316/2021 Sb. Vyhláška o některých požadavcích pro zápis do katalogu cloud computingu

316/2021 Sb.VYHLÁŠKANárodního úřadu pro kybernetickou a informační bezpečnostze dne 24. srpna 2021o některých požadavcích pro zápis do katalogu cloud computingu
Národní úřad pro kybernetickou a informační bezpečnost stanoví podle § 12 odst. 2 zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění zákona č. 261/2021 Sb., (dále jen "zákon"):
§ 1
Předmět úpravy
Tato vyhláška stanoví
a) požadavky na způsobilost poskytovatele cloud computingu (dále jen "poskytovatel") zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy podle § 6m odst. 1 písm. a) zákona,
b) požadavky na dosažení základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy nabízeným cloud computingem podle § 6n písm. b) zákona,
c) seznam certifikací a auditů pro oblast ochrany důvěrnosti, integrity a dostupnosti informací podle § 6q odst. 5 písm. c), § 6t odst. 6 písm. b) a § 6t odst. 7 písm. c) zákona, doklady o jejich splnění a intervaly pro předkládání těchto dokladů podle § 6y odst. 2 zákona,
d) požadavky na strukturu a náležitosti zprávy o provedení penetračního testu podle § 6t odst. 6 písm. d) a § 6t odst. 7 písm. e) zákona a intervaly pro její předkládání,
e) požadavky na náležitosti auditní zprávy osvědčující existenci plánu zajištění kontinuity provozu nabízeného cloud computingu a plánu na obnovu poskytování nabízeného cloud computingu po havárii podle § 6t odst. 6 písm. e) a § 6t odst. 7 písm. f) zákona,
f) požadavky na strukturu a náležitosti dokladu o zhodnocení zdrojů rizik podle § 6t odst. 6 písm. f) a § 6t odst. 7 písm. g) zákona a
g) požadavky na strukturu a náležitosti podkladů k ověření splnění požadavku na zajištění důvěrnosti, integrity a dostupnosti informací podle § 6t odst. 6 písm. g) a § 6t odst. 7 písm. h) zákona.
§ 2
Základní pojmy
Pro účely této vyhlášky se rozumí
a) zákazníkem orgán veřejné správy využívající službu cloud computingu,
b) uživatelem ten, kdo službu cloud computingu prostřednictvím systému orgánu veřejné správy využívá nebo ji nastavuje,
c) zákaznickými daty všechna data, která jsou uživatelem poskytnuta poskytovateli v průběhu užívání služby cloud computingu,
d) zákaznickým obsahem textová, zvuková, audiovizuální, obrazová nebo jiná data, která byla uživatelem do služby cloud computingu vložena, a to bez jejich metadat, a indexy k těmto datům,
e) provozními údaji data vygenerovaná nebo odvozená poskytovatelem v souvislosti s poskytováním služby cloud computingu,
f) specifickými provozními údaji takové provozní údaje, které obsahují informace o identifikovaném nebo identifikovatelném uživateli,
g) zpracováním jakákoliv operace nebo soubor operací se zákaznickými daty a provozními údaji v elektronické podobě, prováděné pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení,
h) bezpečnostní úrovní nabízeného cloud computingu je taková bezpečnostní úroveň, do které nabízený cloud computing řadí poskytovatel.
§ 3
Požadavky na způsobilost zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy
Poskytovatelem způsobilým zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy podle § 6m odst. 1 písm. a) zákona je ten, který splňuje požadavky na způsobilost zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy uvedené v příloze č. 1 k této vyhlášce odpovídající bezpečnostní úrovni nabízeného cloud computingu, v jaké žádá poskytovatel zapsat službu cloud computingu do katalogu cloud computingu, a třídě cloud computingu 1), do které se služba cloud computingu řadí.
------------------------------------------------------------------
1) § 2 písm. a) vyhlášky č. 433/2020 Sb., o údajích vedených v katalogu cloud computingu.
§ 4
Požadavky na dosažení základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy nabízeným cloud computingem
Cloud computingem, který umožňuje dosažení alespoň základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy podle § 6n zákona, je cloud computing splňující požadavky na dosažení základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy nabízeným cloud computingem uvedené v příloze č. 2 k této vyhlášce odpovídající bezpečnostní úrovni nabízeného cloud computingu, v jaké žádá poskytovatel zapsat službu cloud computingu do katalogu cloud computingu, a třídě cloud computingu, do které se služba cloud computingu řadí.
§ 5
Seznam certifikací a auditů pro oblast ochrany důvěrnosti, integrity a dostupnosti informací, doklady o jejich splnění a intervaly pro předkládání těchto dokladů
Seznam certifikací a auditů pro oblast ochrany důvěrnosti, integrity a dostupnosti informací podle § 6q odst. 5 písm. c), § 6t odst. 6 písm. b) a § 6t odst. 7 písm. c) zákona, doklady o jejich splnění a intervaly pro předkládání těchto dokladů podle § 6y odst. 2 zákona jsou stanoveny v příloze č. 3 k této vyhlášce.
§ 6
Požadavky na strukturu a náležitosti zprávy o provedení penetračního testu a intervaly pro její předkládání
Požadavky na strukturu a náležitosti zprávy o provedení penetračního testu podle § 6t odst. 6 písm. d) a § 6t odst. 7 písm. e) zákona a intervaly pro její předkládání jsou stanoveny v příloze č. 4 k této vyhlášce.
§ 7
Požadavky na náležitosti auditní zprávy osvědčující existenci plánu zajištění kontinuity provozu nabízeného cloud computingu a plánu na obnovu poskytování nabízeného cloud computingu po havárii
(1) Auditní zprávou osvědčující existenci plánu zajištění kontinuity provozu nabízené služby cloud computingu a plánu na obnovu poskytování nabízené služby cloud computingu po havárii se rozumí auditní zpráva vyhotovená subjektem nezávislým na poskytovateli, která potvrzuje existenci plánu zajištění kontinuity provozu nabízené služby cloud computingu a plánu na obnovu poskytování nabízené služby cloud computingu po havárii a dokládá ověření jeho aplikace.
(2) Má se za to, že znaky auditní zprávy podle odstavce 1 naplňuje auditní zpráva vydaná pro účel certifikace ČSN ISO/IEC 20000, ISO/IEC 20000, ČSN EN ISO 22301, ISO 22301, SOC 2® Type 2 nebo atestace podle CSA STAR Level 2. V rozsahu dané auditní zprávy musí být zahrnuta nabízená služba cloud computingu.
§ 8
Požadavky na strukturu a náležitosti dokladu o zhodnocení zdrojů rizik
Požadavky na strukturu a náležitosti dokladu o zhodnocení zdrojů rizik podle § 6t odst. 6 písm. f) a § 6t odst. 7 písm. g) zákona jsou stanoveny v příloze č. 5 k této vyhlášce.
§ 9
Požadavky na strukturu a náležitosti podkladů k ověření splnění požadavku na zajištění důvěrnosti, integrity a dostupnosti informací
(1) Struktura podkladů k ověření splnění požadavků podle § 3 a 4 musí být přehledná a srozumitelná. Za účelem dosažení přehlednosti a srozumitelnosti poskytovatel popíše a doloží pro každou jednotlivou službu cloud computingu, kterou žádá zapsat do katalogu cloud computingu, splnění požadavků podle § 4. V případě, že více služeb spadajících do stejné bezpečnostní úrovně nabízeného cloud computingu a stejné třídy cloud computingu splňuje požadavek podle § 4 stejně, je možné doložit splnění takového požadavku pouze jednou a jednoznačně uvést všechny služby cloud computingu, na které se toto doložení vztahuje.
(2) Podklady pro ověření splnění požadavků podle § 3 a 4 obsahují
a) identifikaci poskytovatele podle § 37 odst. 2 správního řádu,
b) popis splnění každého požadavku pro každou službu cloud computingu, kterou poskytovatel žádá zapsat do katalogu cloud computingu, popřípadě popis skutečnosti, kterou poskytovatel dokládá splnění požadavku v přílohách č. 1 a 2 k této vyhlášce ve sloupci "Podklad, kterým poskytovatel doloží splnění požadavku", a
c) podklady, kterými poskytovatel doloží splnění požadavku podle příloh č. 1 a 2 k této vyhlášce.
(3) Náležitosti podle odstavce 2 písm. a) a b) dokládá poskytovatel na elektronickém formuláři, který se zveřejňuje na internetových stránkách Národního úřadu pro kybernetickou a informační bezpečnost.
(4) V případě, že je pro doložení splnění požadavků podle § 3 a 4 nezbytné odkázat do jiného dokumentu, který je k formuláři připojen, provede se tak ve formuláři uvedením kapitoly, strany, odstavce a případně i konkrétní věty.
(5) Formulář i veškeré přílohy se předkládají v elektronické podobě, ve strojově čitelném formátu zaručujícím neměnnost obsahu jednotlivých dokumentů.
(6) V případě, že je splnění některého z požadavků podle § 3 a 4 dokládáno čestným prohlášením, musí z něho být patrné, kdo a kdy jej činí a co se jím dokládá. V případě, že čestné prohlášení činí osoba odlišná od poskytovatele, je přílohou žádosti o zápis nabídky cloud computingu do katalogu cloud computingu i doklad o zmocnění opravňující tuto osobu k tomuto čestnému prohlášení.
§ 10
Přechodné ustanovení
Splnění požadavků uvedených v řádcích 7.8, 7.9 a 8.7 přílohy č. 2 k této vyhlášce se vyžaduje ode dne 1. ledna 2024.
§ 11
Účinnost
Tato vyhláška nabývá účinnosti dnem následujícím po dni jejího vyhlášení. +)
Ředitel:
Ing. Řehka v. r.
--------------------
+) 1. 9. 2021
------------------------------------------------------------------
Příloha č. 1
+-------------+------------------------------------------------+--------------------------------------------------+----------------------------------------+------------------------------------------+| Řádek | Požadavky na způsobilost zajistit základní | Podklad, kterým poskytovatel | Bezpečnostní úroveň nabízeného | Třída cloud computingu || | úroveň ochrany důvěrnosti, integrity | doloží splnění požadavku | cloud computingu | || | a dostupnosti informací orgánu veřejné | +----------+---------+--------+----------+---------------+-----------+--------------+| | správy | | Nízká | Střední | Vysoká | Kritická | cloud | cloud | cloud || | | | | | | | computing | computing | computing || | | | | | | | ve formě | ve formě | ve formě || | | | | | | | infrastruktury| platformy | aplikačního || | | | | | | | | | programového || | | | | | | | | | vybavení |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 1 | Poskytovatel má sídlo nebo bydliště | Výpis z obchodního rejstříku nebo obdobné | X 3) | X | X | X | X | X | X || | v členském státu Evropské unie nebo má | zahraniční evidence, nebo písemné čestné | | | | | | | || | určeného svého zástupce ve členském státu | prohlášení v rozsahu údajů obsažených | | | | | | | || | Evropské unie obdobně podle čl. 27 | v obchodním rejstříku v případě, že není | | | | | | | || | obecného nařízení o ochraně osobních | v obchodním rejstříku zapsán; je-li | | | | | | | || | údajů 2). | poskytovatel evidován ve veřejném | | | | | | | || | | rejstříku podle zákona upravujícího | | | | | | | || | | veřejné rejstříky právnických a fyzických | | | | | | | || | | osob, žádný podklad se nevyžaduje. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 2 | Poskytovatel ani jeho ovládající osoby 4) | Informace z interních systémů Národního | X | X | X | X | X | X | X || | nebyli v posledních 5 letech pravomocně | úřadu pro kybernetickou a informační | | | | | | | || | uznáni vinnými ze spáchání přestupku, | bezpečnost. Žádný podklad se nevyžaduje. | | | | | | | || | za který jim byla uložena pokuta alespoň | | | | | | | | || | ve výši 1 000 000 Kč, spočívajícího | | | | | | | | || | v nezavedení nebo neprovedení | | | | | | | | || | bezpečnostního opatření podle zákona o | | | | | | | | || | kybernetické bezpečnosti. | | | | | | | | || | | | | | | | | | || | Poskytovatel ani jeho ovládající osoby 4) | | | | | | | | || | nebyli v posledních 5 letech | | | | | | | | || | pravomocně uznáni vinnými ze spáchání | | | | | | | | || | přestupku, za který jim byla uložena | | | | | | | | || | pokuta alespoň ve výši 500 000 Kč, | | | | | | | | || | spočívajícího | | | | | | | | || | a) v nepředání dat, provozních údajů | | | | | | | | || | a informací podle § 6a odst. 2 zákona | | | | | | | | || | o kybernetické bezpečnosti, | | | | | | | | || | b) v nepředání dat, provozních údajů | | | | | | | | || | a informací podle § 6a odst. 3 | | | | | | | | || | zákona o kybernetické bezpečnosti, | | | | | | | | || | c) v nezničení kopií dat, provozních údajů | | | | | | | | || | a informací podle § 6a odst. 3 zákona | | | | | | | | || | o kybernetické bezpečnosti, | | | | | | | | || | d) v nedetekování kybernetických | | | | | | | | || | bezpečnostních událostí podle § 7 | | | | | | | | || | odst. 3 zákona o kybernetické | | | | | | | | || | bezpečnosti, | | | | | | | | || | e) v neohlášení kybernetického | | | | | | | | || | bezpečnostního incidentu podle § 8 | | | | | | | | || | odst. 1 až 4 zákona o kybernetické | | | | | | | | || | bezpečnosti, | | | | | | | | || | f) v nesplnění povinnosti uložené Národním | | | | | | | | || | úřadem pro kybernetickou a informační | | | | | | | | || | bezpečnost podle § 13 nebo 14 | | | | | | | | || | zákona o kybernetické bezpečnosti, | | | | | | | | || | g) v nesplnění povinnosti uložené Národním | | | | | | | | || | úřadem pro kybernetickou a informační | | | | | | | | || | bezpečnost v rozhodnutí podle § 15a | | | | | | | | || | odst. 1 zákona o kybernetické | | | | | | | | || | bezpečnosti, | | | | | | | | || | h) v nesplnění některé z povinností | | | | | | | | || | uložených nápravným opatřením podle | | | | | | | | || | § 24 zákona o kybernetické | | | | | | | | || | bezpečnosti, | | | | | | | | || | i) v nezavedení nebo neprovedení | | | | | | | | || | bezpečnostního opatření podle § 4 | | | | | | | | || | odst. 3 zákona o kybernetické | | | | | | | | || | bezpečnosti. | | | | | | | | || | | | | | | | | | || | Poskytovatel ani jeho ovládající | | | | | | | | || | osoby 4) nebyli v posledních 5 letech | | | | | | | | || | pravomocně uznáni vinnými ze spáchání | | | | | | | | || | přestupku podle kontrolního řádu | | | | | | | | || | v souvislosti s kontrolou plnění | | | | | | | | || | povinností podle zákona o kybernetické | | | | | | | | || | bezpečnosti, za který jim byla uložena | | | | | | | | || | pokuta alespoň ve výši 150 000 Kč, | | | | | | | | || | spočívajícího v nesplnění některé | | | | | | | | || | z povinností podle § 10 odst. 2 nebo | | | | | | | | || | § 10 odst. 3 kontrolního řádu. | | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
2) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
3) Symbol "X" označuje existenci povinnosti splnit požadavky v uvedené bezpečnostní úrovni nabízeného cloud computingu a třídě cloud computingu.
4) § 74 zákona č. 90/2012 Sb., o obchodních společnostech a družstvech (zákon o obchodních korporacích), ve znění pozdějších předpisů.
------------------------------------------------------------------
Příloha č. 2
+-------------+------------------------------------------------+--------------------------------------------------+----------------------------------------+------------------------------------------+| Řádek | Požadavky na dosažení základní úrovně ochrany | Podklad, kterým poskytovatel | Bezpečnostní úroveň nabízeného | Třída cloud computingu || | důvěrnosti, integrity a dostupnosti informací | doloží splnění požadavku | cloud computingu | || | orgánu veřejné správy nabízeným cloud | +----------+---------+--------+----------+---------------+-----------+--------------+| | computingem | | Nízká | Střední | Vysoká | Kritická | cloud | cloud | cloud || | | | | | | | computing | computing | computing || | | | | | | | ve formě | ve formě | ve formě || | | | | | | | infrastruktury| platformy | aplikačního || | | | | | | | | | programového || | | | | | | | | | vybavení |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 1. Místo zpracování a uložení dat |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 1.1 | Poskytovatel uvádí informace o všech | Písemný popis, ze kterého bude vyplývat, | X | X | | | X | X | X || | územích států, ve kterých jsou nebo mohou | na území jakých států jsou nebo mohou být | | | | | | | || | být uložena zákaznická data ve stavu | uložena zákaznická data ve stavu | | | | | | | || | neaktivních dat a specifické provozní údaje | neaktivních dat a specifické provozní | | | | | | | || | ve stavu neaktivních dat, a dále uvádí | údaje ve stavu neaktivních dat a na území | | | | | | | || | informace o všech územích států mimo území | jakých států mimo území členských států | | | | | | | || | členských států Evropské unie a členských | Evropské unie a členských států Evropského | | | | | | | || | států Evropského sdružení volného obchodu, | sdružení volného obchodu se předpokládá | | | | | | | || | ve kterých předpokládá zpracování | zpracování zákaznických dat a na území | | | | | | | || | zákaznických dat a specifických provozních | jakých států se předpokládá zpracování | | | | | | | || | údajů. | specifických provozních údajů. | | | | | | | || | | | | | | | | | || | | Má se za to, že předpokládanými územími | | | | | | | || | | států, na nichž dochází nebo může docházet | | | | | | | || | | ke zpracování zákaznických | | | | | | | || | | dat nebo specifických provozních údajů | | | | | | | || | | nejsou: | | | | | | | || | | - území států, z nichž se mohou | | | | | | | || | | nepravidelně vzdáleně připojovat | | | | | | | || | | pracovníci technické podpory | | | | | | | || | | poskytovatele cloud computingu | | | | | | | || | | za účelem technické podpory služby | | | | | | | || | | cloud computingu, která se v čase | | | | | | | || | | mění a nemohou být specifikována | | | | | | | || | | předem; | | | | | | | || | | - území států, do nichž poskytovatel | | | | | | | || | | může předávat zákaznická data nebo | | | | | | | || | | specifické provozní údaje za účelem | | | | | | | || | | poskytování volitelné doplňkové služby | | | | | | | || | | se zapojením třetích stran, která není | | | | | | | || | | sama o sobě cloud computingem, | | | | | | | || | | aktivované podle volby zákazníka, | | | | | | | || | | s tím, že poskytovatel jasně označí | | | | | | | || | | třetí stranu, jíž může předat zákaznická | | | | | | | || | | data nebo specifické provozní údaje, | | | | | | | || | | a je-li to možné, blíže specifikuje, | | | | | | | || | | jaká zákaznická data nebo jaké | | | | | | | || | | specifické provozní údaje zpravidla | | | | | | | || | | předává a na jakou předpokládanou dobu | | | | | | | || | | zákaznická data nebo specifické | | | | | | | || | | provozní údaje předává. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 1.2 | Poskytovatel uvádí informace o všech | Písemný popis, ze kterého bude vyplývat, | X | X | X | X | X | X | X || | územích států, ze kterých dochází k výkonu | z území jakých států dochází k výkonu | | | | | | | || | správy a dohledu nad službou cloud | správy a dohledu nad službou cloud | | | | | | | || | computingu. | computingu. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 1.3 | Zákaznická data ve stavu neaktivních dat | Odkaz na část smluvních podmínek, kde je | | | X | | X | X | X || | jsou ukládána nepřetržitě a výlučně na | vymezen závazek uložení zákaznických dat | | | | | | | || | území členských států Evropské unie a | ve stavu neaktivních dat nepřetržitě a | | | | | | | || | členských států Evropského sdružení volného | výlučně na území členských států Evropské | | | | | | | || | obchodu. | unie a členských států Evropského sdružení | | | | | | | || | | volného obchodu, | | | | | | | || | V případě, že služba cloud computingu daný | | | | | | | | || | požadavek nesplňuje, poskytovatel takovou | nebo v případě, že se požadavek uložení | | | | | | | || | službu jasně označuje a uvádí, zda taková | zákaznických dat ve stavu neaktivních dat | | | | | | | || | služba cloud computingu ukládá zákaznická | nepřetržitě a výlučně na území členských | | | | | | | || | data ve stavu neaktivních dat | států Evropské unie a členských států | | | | | | | || | v pseudonymizované podobě nebo | Evropského sdružení volného obchodu | | | | | | | || | nepseudonymizované podobě. | nevztahuje na danou službu, jasné označení | | | | | | | || | | takové služby a zároveň odkaz na část | | | | | | | || | Poskytovatel uvádí místo uložení | smluvních podmínek, kde je vymezen závazek | | | | | | | || | zákaznických dat ve stavu neaktivních dat. | uložení zákaznických dat ve stavu | | | | | | | || | | neaktivních dat v pseudonymizované podobě, | | | | | | | || | Na základě označení služby cloud computingu | | | | | | | | || | jako služby cloud computingu, která | nebo v případě, že se požadavek uložení | | | | | | | || | nesplňuje požadavek na uložení zákaznických | zákaznických dat ve stavu neaktivních dat | | | | | | | || | dat ve stavu neaktivních dat nepřetržitě | nepřetržitě a výlučně na území členských | | | | | | | || | a výlučně na území členských států Evropské | států Evropské unie a členských států | | | | | | | || | unie a členských států Evropského sdružení | Evropského sdružení volného obchodu | | | | | | | || | volného obchodu, bude tato služba cloud | neuplatní na danou službu a zároveň taková | | | | | | | || | computingu uvedena na internetových | služba ukládá zákaznická data ve stavu | | | | | | | || | stránkách Národního úřadu pro kybernetickou | neaktivních dat v nepseudonymizované | | | | | | | || | a informační bezpečnost a daný požadavek se | podobě, jasné označení takové služby. | | | | | | | || | na ni neuplatní. Taková služba cloud | | | | | | | | || | computingu bude rovněž označena v katalogu | Poskytovatel dále doloží odkaz na tu část | | | | | | | || | cloud computingu jako služba cloud | platné certifikace ČSN EN ISO/IEC 27001, | | | | | | | || | computingu zapsaná na základě uvedené | EN ISO/IEC 27001 nebo ISO/IEC 27001 od | | | | | | | || | výjimky citací uvedené výjimky. | certifikačního orgánu, který byl | | | | | | | || | | akreditován pro certifikaci systémů řízení | | | | | | | || | | bezpečnosti informací některým z členů | | | | | | | || | | Mezinárodního akreditačního fóra (IAF) nebo | | | | | | | || | | auditní zprávu SOC 2® Type 2, s odkazem na | | | | | | | || | | tu část, ze které bude patrný úplný výčet | | | | | | | || | | datových center a jejich lokace po úroveň | | | | | | | || | | katastrálního území/obce, ve kterých budou | | | | | | | || | | zákaznická data uložena ve stavu | | | | | | | || | | neaktivních dat s označením, zda jsou nebo | | | | | | | || | | nejsou v daném datovém centru uložena | | | | | | | || | | v pseudonymizované podobě. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 1.4 | Specifické provozní údaje jsou ve stavu | Odkaz na část smluvních podmínek, kde je | | | X | | X | X | X || | neaktivních dat ukládány nepřetržitě a | vymezen závazek uložení specifických | | | | | | | || | výlučně na území členských států Evropské | provozních údajů ve stavu neaktivních dat | | | | | | | || | unie a členských států Evropského sdružení | nepřetržitě a výlučně na území členských | | | | | | | || | volného obchodu. | států Evropské unie a členských | | | | | | | || | | států Evropského sdružení volného obchodu, | | | | | | | || | V případě, že služba cloud computingu daný | | | | | | | | || | požadavek nesplňuje, poskytovatel takovou | nebo v případě, že se požadavek uložení | | | | | | | || | službu jasně označuje a uvádí, zda taková | specifických provozních údajů ve stavu | | | | | | | || | služba cloud computingu ukládá | neaktivních dat nepřetržitě a výlučně na | | | | | | | || | specifické provozní údaje ve stavu | území členských států Evropské unie a | | | | | | | || | neaktivních dat v pseudonymizované | členských států Evropského sdružení volného | | | | | | | || | podobě nebo nepseudonymizované podobě. | obchodu nevztahuje na danou službu, jasné | | | | | | | || | | označení takové služby a zároveň odkaz na | | | | | | | || | Poskytovatel uvádí místo uložení | část smluvních podmínek, kde je vymezen | | | | | | | || | specifických provozních údajů ve stavu | závazek uložení specifických provozních | | | | | | | || | neaktivních dat. | údajů ve stavu neaktivních dat v | | | | | | | || | | pseudonymizované podobě, | | | | | | | || | Na základě označení služby cloud computingu | | | | | | | | || | jako služby cloud computingu, která | nebo v případě, že se požadavek uložení | | | | | | | || | nesplňuje požadavek na uložení specifických | specifických provozních údajů ve stavu | | | | | | | || | provozních údajů ve stavu neaktivních dat | neaktivních dat nepřetržitě a výlučně na | | | | | | | || | nepřetržitě a výlučně na území členských | území členských států Evropské unie a | | | | | | | || | států Evropské unie a členských států | členských států Evropského sdružení volného | | | | | | | || | Evropského sdružení volného obchodu, bude | obchodu neuplatní na danou službu a zároveň | | | | | | | || | tato služba cloud computingu uvedena | taková služba ukládá specifické provozní | | | | | | | || | na internetových stránkách Národního úřadu | údaje ve stavu neaktivních dat v | | | | | | | || | pro kybernetickou a informační bezpečnost | nepseudonymizované podobě, jasné označení | | | | | | | || | a daný požadavek se na ni neuplatní. | takové služby. | | | | | | | || | Taková služba cloud computingu bude rovněž | | | | | | | | || | označena v katalogu cloud computingu | Poskytovatel dále doloží odkaz na tu část | | | | | | | || | jako služba cloud computingu zapsaná | platné certifikace ČSN EN ISO/IEC 27001, | | | | | | | || | na základě uvedené výjimky citací uvedené | EN ISO/IEC 27001 nebo ISO/IEC 27001 od | | | | | | | || | výjimky. | certifikačního orgánu, který byl | | | | | | | || | | akreditován pro certifikaci systémů řízení | | | | | | | || | | bezpečnosti informací některým z členů | | | | | | | || | | Mezinárodního akreditačního fóra (IAF) | | | | | | | || | | nebo auditní zprávu SOC 2® Type 2, | | | | | | | || | | s odkazem na tu část, ze které bude patrný | | | | | | | || | | úplný výčet datových center a jejich lokace | | | | | | | || | | po úroveň katastrálního území/obce, | | | | | | | || | | ve kterých budou specifické provozní údaje | | | | | | | || | | uloženy ve stavu neaktivních dat s | | | | | | | || | | označením, zda jsou nebo nejsou v daném | | | | | | | || | | datovém centru uloženy v pseudonymizované | | | | | | | || | | podobě. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 1.5 | Zákaznická data jsou zpracovávána na území | 1. Poskytovatel uvede u služby cloud | | | X | | X | X | X || | členských států Evropské unie a členských | computingu, | | | | | | | || | států Evropského sdružení volného obchodu. | a) která zpracovává zákaznická data | | | | | | | || | Aniž jsou dotčeny požadavky stanovené na | pouze na území členských států | | | | | | | || | řádku 1.3 přílohy č. 2 k této vyhlášce, | Evropské unie a členských států | | | | | | | || | v odůvodněných případech, po nezbytně nutnou | Evropského sdružení volného obchodu: | | | | | | | || | dobu a v nezbytném rozsahu mohou být | - jasné označení takové služby | | | | | | | || | zákaznická data zpracovávána i na území | cloud computingu a | | | | | | | || | jiných států, pokud poskytovatel popíše, | - deklaraci závazku zpracování | | | | | | | || | jak budou zákaznická data chráněna před | zákaznických dat na území | | | | | | | || | narušením bezpečnosti informací. | členských států Evropské unie | | | | | | | || | | a členských států Evropského | | | | | | | || | | sdružení volného obchodu, | | | | | | | || | | b) která zpracovává zákaznický obsah | | | | | | | || | | pouze na území členských států | | | | | | | || | | Evropské unie a členských států | | | | | | | || | | Evropského sdružení volného obchodu | | | | | | | || | | a která zpracovává nebo může | | | | | | | || | | zpracovávat zákaznická data bez | | | | | | | || | | zákaznického obsahu mimo území | | | | | | | || | | členských států Evropské unie | | | | | | | || | | a členských států Evropského | | | | | | | || | | sdružení volného obchodu: | | | | | | | || | | - jasné označení takové služby cloud | | | | | | | || | | computingu, | | | | | | | || | | - údaje o předpokládaném území | | | | | | | || | | státu, na němž dochází nebo může | | | | | | | || | | docházet ke zpracování zákaznických | | | | | | | || | | dat bez zákaznického obsahu, | | | | | | | || | | a údaje o předpokládané době | | | | | | | || | | trvání, předpokládaném rozsahu a | | | | | | | || | | předpokládaném účelu zpracování | | | | | | | || | | zákaznických dat bez zákaznického | | | | | | | || | | obsahu na příslušném předpokládaném | | | | | | | || | | území státu, a údaj o tom, zda jsou | | | | | | | || | | nebo nejsou zákaznická data bez | | | | | | | || | | zákaznického obsahu | | | | | | | || | | pseudonymizována v případě tohoto | | | | | | | || | | zpracování. U zákaznických dat bez | | | | | | | || | | zákaznického obsahu zpracovávaných | | | | | | | || | | mimo území členských států Evropské | | | | | | | || | | unie a členských států Evropského | | | | | | | || | | sdružení volného obchodu popis | | | | | | | || | | toho, jak budou chráněna ve smyslu | | | | | | | || | | kapitoly V. obecného nařízení | | | | | | | || | | o ochraně osobních údajů, | | | | | | | || | | c) která zpracovává nebo může | | | | | | | || | | zpracovávat zákaznická data mimo | | | | | | | || | | území členských států Evropské unie | | | | | | | || | | a členských států Evropského sdružení | | | | | | | || | | volného obchodu, | | | | | | | || | | - jasné označení takové služby cloud | | | | | | | || | | computingu, | | | | | | | || | | - údaje o předpokládaném území státu, | | | | | | | || | | na němž dochází nebo může docházet | | | | | | | || | | ke zpracování zákaznických dat, | | | | | | | || | | a údaje o předpokládané době | | | | | | | || | | trvání, předpokládaném rozsahu | | | | | | | || | | a předpokládaném účelu zpracování | | | | | | | || | | zákaznických dat na příslušném | | | | | | | || | | předpokládaném území státu a údaj | | | | | | | || | | o tom, zda jsou nebo nejsou | | | | | | | || | | zákaznická data pseudonymizována | | | | | | | || | | v případě tohoto zpracování. | | | | | | | || | | U zákaznických dat zpracovávaných | | | | | | | || | | mimo území členských států Evropské | | | | | | | || | | unie a členských států Evropského | | | | | | | || | | sdružení volného obchodu popis | | | | | | | || | | toho, jak budou chráněna alespoň | | | | | | | || | | ve smyslu kapitoly V. obecného | | | | | | | || | | nařízení o ochraně osobních údajů. | | | | | | | || | | | | | | | | | || | | 2. Má se za to, že předpokládanými územími | | | | | | | || | | států, na nichž dochází nebo může | | | | | | | || | | docházet ke zpracování zákaznických dat, | | | | | | | || | | nejsou: | | | | | | | || | | - území států, z nichž se mohou | | | | | | | || | | nepravidelně vzdáleně připojovat | | | | | | | || | | pracovníci technické podpory | | | | | | | || | | poskytovatele za účelem technické | | | | | | | || | | podpory služby cloud computingu, | | | | | | | || | | která se v čase mění a nemohou být | | | | | | | || | | specifikována předem; | | | | | | | || | | - území států, do nichž poskytovatel | | | | | | | || | | může předávat zákaznická data | | | | | | | || | | za účelem poskytování volitelné | | | | | | | || | | doplňkové služby se zapojením třetích | | | | | | | || | | stran, která není sama o sobě službou | | | | | | | || | | cloud computingu, aktivované podle | | | | | | | || | | volby zákazníka, s tím, že | | | | | | | || | | poskytovatel jasně označí třetí | | | | | | | || | | stranu, jíž může předat zákaznická | | | | | | | || | | data, a je-li to možné, blíže | | | | | | | || | | specifikuje, jaká zákaznická data | | | | | | | || | | zpravidla předává a na jakou | | | | | | | || | | předpokládanou dobu zákaznická | | | | | | | || | | data předává. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 1.6 | Specifické provozní údaje jsou zpracovávány | 1. Poskytovatel uvede u služby cloud | | | X | | X | X | X || | na území členských států Evropské unie | computingu, | | | | | | | || | a členských států Evropského sdružení | a) která zpracovává specifické | | | | | | | || | volného obchodu. Aniž jsou dotčeny požadavky | provozní údaje pouze na území | | | | | | | || | stanovené na řádku 1.4 přílohy č. 2 k této | členských států Evropské unie | | | | | | | || | vyhlášce, v odůvodněných případech, | a členských států Evropského | | | | | | | || | po nezbytně nutnou dobu a v nezbytném | sdružení volného obchodu: | | | | | | | || | rozsahu mohou být specifické provozní | - jasné označení takové služby cloud | | | | | | | || | údaje zpracovávány i na území jiných států, | computingu | | | | | | | || | pokud poskytovatel popíše, jak budou | - a deklaraci závazku zpracování | | | | | | | || | specifické provozní údaje chráněny před | specifických provozních údajů | | | | | | | || | narušením bezpečnosti informací. | na území členských států Evropské | | | | | | | || | | unie a členských států Evropského | | | | | | | || | | sdružení volného obchodu, | | | | | | | || | | b) která zpracovává nebo může | | | | | | | || | | zpracovávat specifické provozní | | | | | | | || | | údaje mimo území členských států | | | | | | | || | | Evropské unie a členských států | | | | | | | || | | Evropského sdružení volného obchodu: | | | | | | | || | | - jasné označení takové služby cloud | | | | | | | || | | computingu, | | | | | | | || | | - údaje o předpokládaném území státu, | | | | | | | || | | na němž dochází nebo může | | | | | | | || | | docházet ke zpracování specifických | | | | | | | || | | provozních údajů, a údaje | | | | | | | || | | o předpokládané době trvání, | | | | | | | || | | předpokládaném rozsahu | | | | | | | || | | a předpokládaném účelu zpracování | | | | | | | || | | specifických provozních údajů | | | | | | | || | | na příslušném předpokládaném území | | | | | | | || | | státu a údaj o tom, zda jsou nebo | | | | | | | || | | nejsou specifické provozní | | | | | | | || | | údaje pseudonymizovány v případě | | | | | | | || | | tohoto zpracování. U specifických | | | | | | | || | | provozních údajů zpracovávaných | | | | | | | || | | mimo území členských států Evropské | | | | | | | || | | unie a členských států Evropského | | | | | | | || | | sdružení volného obchodu popis | | | | | | | || | | toho, jak budou chráněny alespoň | | | | | | | || | | ve smyslu kapitoly V. obecného | | | | | | | || | | nařízení o ochraně osobních údajů. | | | | | | | || | | | | | | | | | || | | 2. Má se za to, že předpokládanými územími | | | | | | | || | | států, na nichž dochází nebo může | | | | | | | || | | docházet ke zpracování specifických | | | | | | | || | | provozních údajů, nejsou: | | | | | | | || | | - území států, z nichž se mohou | | | | | | | || | | nepravidelně vzdáleně připojovat | | | | | | | || | | pracovníci technické podpory | | | | | | | || | | poskytovatele cloud computingu | | | | | | | || | | za účelem technické podpory služby | | | | | | | || | | cloud computingu, která se v čase | | | | | | | || | | mění a nemohou být specifikována | | | | | | | || | | předem; | | | | | | | || | | - území států, do nichž poskytovatel | | | | | | | || | | může předávat specifické provozní | | | | | | | || | | údaje za účelem poskytování volitelné | | | | | | | || | | doplňkové služby se zapojením třetích | | | | | | | || | | stran, která není sama o sobě cloud | | | | | | | || | | computingem, aktivované podle volby | | | | | | | || | | zákazníka, s tím, že poskytovatel | | | | | | | || | | jasně označí třetí stranu, jíž může | | | | | | | || | | předat specifické provozní údaje, | | | | | | | || | | a je-li to možné, blíže specifikuje, | | | | | | | || | | jaké specifické provozní údaje | | | | | | | || | | zpravidla předává a na jakou | | | | | | | || | | předpokládanou dobu specifické | | | | | | | || | | provozní údaje předává. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 1.7 | Poskytovatel vyžaduje souhlas zákazníka | Dokument oddělený od podmínek poskytování | | | X | | X | X | X || | pro případy zpracování zákaznických dat | služby či smlouvy, nebo odkaz na zřetelně | | | | | | | || | mimo území členských států Evropské unie | uvedený text smluvní dokumentace, jimiž je | | | | | | | || | a členských států Evropského sdružení | vyžadován souhlas zákazníka pro případy | | | | | | | || | volného obchodu, který je vyjádřen | zpracování zákaznických dat mimo území | | | | | | | || | v samostatném dokumentu, který obsahuje | členských států Evropské unie a členských | | | | | | | || | údaj o předpokládaném území státu, na němž | států Evropského sdružení volného obchodu, | | | | | | | || | dochází nebo může docházet ke zpracování | které obsahují údaje o předpokládaném území | | | | | | | || | zákaznických dat. | státu, na němž dochází nebo může docházet | | | | | | | || | | ke zpracování zákaznických dat, | | | | | | | || | Poskytovatel informuje zákazníka o | | | | | | | | || | předpokládané době trvání, předpokládaném | nebo odkaz na konkrétní část podmínek | | | | | | | || | rozsahu a předpokládaném účelu zpracování | poskytování služby nebo část návrhu smluvní | | | | | | | || | zákaznických dat na příslušném | dokumentace nebo produktovou specifikaci, | | | | | | | || | předpokládaném území státu a o tom, zda | ze které bude patrné, že poskytovatel | | | | | | | || | jsou nebo nejsou zákaznická data | v základním nastavení služby vyžaduje | | | | | | | || | pseudonymizována v případě tohoto | souhlas zákazníka v každém jednotlivém | | | | | | | || | zpracování. | případě zpracování zákaznických dat mimo | | | | | | | || | | území členských států Evropské unie | | | | | | | || | Alternativně k vyžadování souhlasu a | a členských států Evropského sdružení | | | | | | | || | informování zákazníka poskytovatel v | volného obchodu. | | | | | | | || | základním nastavení služby cloud computingu | | | | | | | | || | vyžaduje souhlas zákazníka pro případy | | | | | | | | || | zpracování zákaznických dat v každém | | | | | | | | || | jednotlivém případě zpracování zákaznických | | | | | | | | || | dat mimo území členských států Evropské unie | | | | | | | | || | a členských států Evropského sdružení | | | | | | | | || | volného obchodu. | | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 1.8 | Zákaznická data a specifické provozní údaje | Odkaz na konkrétní část podmínek | | | | X | X | X | X || | jsou zpracovávány na území České republiky. | poskytování služby cloud computingu nebo | | | | | | | || | Aniž je dotčen požadavek uvedený na | část návrhu smlouvy, ve které je závazek | | | | | | | || | řádku 6.6 přílohy č. 2 k této vyhlášce, | zpracovávat zákaznická data a specifické | | | | | | | || | mimo území České republiky mohou být | provozní údaje pouze na území České | | | | | | | || | zákaznická data a specifické provozní údaje | republiky, a dále odkaz na tu část platné | | | | | | | || | zpracovávány pouze v odůvodněných případech, | certifikace ČSN EN ISO/IEC 27001, | | | | | | | || | po nezbytně nutnou dobu a v nezbytném | EN ISO/IEC 27001 nebo ISO/IEC 27001 od | | | | | | | || | rozsahu, pokud poskytovatel popíše, jak | certifikačního orgánu, který byl | | | | | | | || | budou zákaznická data chráněna před | akreditován pro certifikaci systémů | | | | | | | || | narušením bezpečnosti informací, | řízení bezpečnosti informací některým | | | | | | | || | | z členů Mezinárodního akreditačního fóra | | | | | | | || | a pouze s výslovným písemným svolením | (IAF) nebo auditní zprávy SOC 2® Type 2, | | | | | | | || | zákazníka, který je vyjádřen na samostatném | ze které bude patrný úplný výčet datových | | | | | | | || | dokumentu, který obsahuje údaje o | center a jejich lokace po úroveň | | | | | | | || | předpokládaném území státu, na němž dochází | katastrálního území/obce, ve kterých | | | | | | | || | nebo může docházet ke zpracování | budou zákaznická data a specifické | | | | | | | || | zákaznických dat, a údaje o předpokládané | provozní údaje zpracovávány. | | | | | | | || | době trvání, předpokládaném rozsahu | | | | | | | | || | a předpokládaném účelu zpracování | U služby cloud computingu, která zpracovává | | | | | | | || | zákaznických dat na příslušném | nebo může zpracovávat zákaznická data | | | | | | | || | předpokládaném území státu a údaj o tom, | a specifické provozní údaje mimo území | | | | | | | || | zda jsou nebo nejsou zákaznická data | České republiky, poskytovatel takovou | | | | | | | || | pseudonymizována v případě tohoto | službu jasně označí a uvede údaje | | | | | | | || | zpracování, | o předpokládaném území státu, na němž | | | | | | | || | | dochází nebo může docházet ke zpracování | | | | | | | || | nebo pouze pokud poskytovatel vyžaduje | zákaznických dat a specifických provozních | | | | | | | || | souhlas zákazníka v každém jednotlivém | údajů, a údaje o předpokládané době trvání, | | | | | | | || | případě zpracování zákaznických dat a | předpokládaném rozsahu a předpokládaném | | | | | | | || | specifických provozních údajů mimo území | účelu zpracování zákaznických dat a | | | | | | | || | České republiky. | specifických provozních údajů na příslušném | | | | | | | || | | předpokládaném území státu a údaj o tom, | | | | | | | || | | zda jsou nebo nejsou zákaznická data a | | | | | | | || | | specifické provozní údaje pseudonymizovány | | | | | | | || | | v případě tohoto zpracování. | | | | | | | || | | | | | | | | | || | | U služby cloud computingu, která zpracovává | | | | | | | || | | nebo může zpracovávat zákaznická data | | | | | | | || | | a specifické provozní údaje mimo území | | | | | | | || | | České republiky, poskytovatel doloží | | | | | | | || | | dokument oddělený od podmínek poskytování | | | | | | | || | | služby či smlouvy, nebo odkaz na zřetelně | | | | | | | || | | uvedený text smluvní dokumentace, jimiž je | | | | | | | || | | vyžadován souhlas zákazníka pro případy | | | | | | | || | | zpracování zákaznických dat mimo území | | | | | | | || | | České republiky, které obsahují údaje o | | | | | | | || | | předpokládaném území státu, na němž dochází | | | | | | | || | | nebo může docházet ke zpracování | | | | | | | || | | zákaznických dat, a údaje o předpokládané | | | | | | | || | | době trvání, předpokládaném rozsahu | | | | | | | || | | a předpokládaném účelu zpracování | | | | | | | || | | zákaznických dat na příslušném | | | | | | | || | | předpokládaném území státu a údaj o tom, | | | | | | | || | | zda jsou nebo nejsou zákaznická data | | | | | | | || | | pseudonymizována v případě tohoto | | | | | | | || | | zpracování, | | | | | | | || | | | | | | | | | || | | nebo odkaz na konkrétní část podmínek | | | | | | | || | | poskytování služby nebo část návrhu | | | | | | | || | | smluvní dokumentace nebo produktovou | | | | | | | || | | specifikaci, ze které bude patrné, že | | | | | | | || | | poskytovatel vyžaduje souhlas zákazníka | | | | | | | || | | v každém jednotlivém případě zpracování | | | | | | | || | | zákaznických dat mimo území České republiky. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 2. Žádosti o zpřístupnění a předání dat |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 2.1 | Poskytovatel v případě, že obdrží právně | Čestné prohlášení nebo odkaz na část návrhu | X | X | | | X | X | X || | závaznou žádost cizozemského orgánu | smlouvy, konkrétní část podmínek | | | | | | | || | o zpřístupnění nebo předání zákaznických | poskytování služby cloud computingu nebo | | | | | | | || | dat a specifických provozních údajů, | jiný popis služby cloud computingu, ze | | | | | | | || | nevyhoví této žádosti a odkáže tohoto | které bude patrné, že poskytovatel | | | | | | | || | žadatele na zákazníka nebo o takové žádosti | v případě, že obdrží právně závaznou žádost | | | | | | | || | zákazníka bezodkladně informuje, pokud to | cizozemského orgánu o zpřístupnění nebo | | | | | | | || | právní řád, jemuž poskytovatel podléhá, | předání zákaznických dat a specifických | | | | | | | || | poskytovateli nezakazuje. | provozních údajů, odkáže tohoto žadatele | | | | | | | || | | na zákazníka nebo o takové žádosti | | | | | | | || | | zákazníka bezodkladně informuje, | | | | | | | || | | | | | | | | | || | | nebo auditní zpráva vydaná pro certifikaci | | | | | | | || | | ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo | | | | | | | || | | ISO/IEC 27001 od certifikačního orgánu, | | | | | | | || | | který byl akreditován pro provádění auditů | | | | | | | || | | a certifikaci systémů řízení bezpečnosti | | | | | | | || | | informací některým z členů Mezinárodního | | | | | | | || | | akreditačního fóra (IAF), nebo auditní | | | | | | | || | | zpráva SOC 2® Type 2, s odkazem na tu část, | | | | | | | || | | ze které bude patrné, že poskytovatel | | | | | | | || | | v případě, že obdrží právně závaznou žádost | | | | | | | || | | cizozemského orgánu o zpřístupnění nebo | | | | | | | || | | předání zákaznických dat a specifických | | | | | | | || | | provozních údajů, odkáže tohoto žadatele | | | | | | | || | | na zákazníka nebo o takové žádosti | | | | | | | || | | zákazníka bezodkladně informuje. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 2.2 | Poskytovatel v případě, že obdrží právně | Čestné prohlášení nebo odkaz na část návrhu | | | X | X | X | X | X || | závaznou žádost cizozemského orgánu o | smlouvy, konkrétní část podmínek | | | | | | | || | zpřístupnění nebo předání zákaznických dat | poskytování služby cloud computingu nebo | | | | | | | || | a specifických provozních údajů, odkáže | jiný popis služby cloud computingu, | | | | | | | || | tohoto žadatele na zákazníka nebo o takové | ze kterého bude patrné, že poskytovatel | | | | | | | || | žádosti zákazníka bezodkladně informuje. | v případě, že obdrží právně závaznou | | | | | | | || | Pokud právní řád, jemuž poskytovatel | žádost cizozemského orgánu o zpřístupnění | | | | | | | || | podléhá, poskytovateli zakazuje informovat | nebo předání zákaznických dat a | | | | | | | || | zákazníka, vyvine veškeré možné zákonné | specifických provozních údajů, nevyhoví | | | | | | | || | úsilí, aby dosáhl zrušení tohoto zákazu | této žádosti a odkáže tohoto žadatele | | | | | | | || | a využije všech dostupných opravných | na zákazníka nebo o takové žádosti | | | | | | | || | prostředků s cílem zpochybnit takový zákaz, | zákazníka bezodkladně informuje, nebo | | | | | | | || | případně pozastavit účinky zákazu, dokud | pokud právní řád, jemuž poskytovatel | | | | | | | || | soud nerozhodne ve věci samé. Pokud | podléhá, poskytovateli zakazuje | | | | | | | || | nedosáhne zrušení povinnosti zákazu | informovat zákazníka, vyvine veškeré možné | | | | | | | || | informování zákazníka, pak poskytovatel | zákonné úsilí, aby dosáhl zrušení tohoto | | | | | | | || | zákazníka informuje poté, co vyprší | zákazu a využije všech dostupných opravných | | | | | | | || | platnost právního zákazu, např. po vypršení | prostředků s cílem zpochybnit takový zákaz, | | | | | | | || | období mlčenlivosti nařízeného | případně pozastavit účinky zákazu, dokud | | | | | | | || | zákonem nebo soudem. | soud nerozhodne ve věci samé, a pokud | | | | | | | || | | nedosáhne zrušení povinnosti zákazu | | | | | | | || | | informování zákazníka, pak poskytovatel | | | | | | | || | | zákazníka informuje poté, co vyprší | | | | | | | || | | platnost právního zákazu, např. po vypršení | | | | | | | || | | období mlčenlivosti nařízeného zákonem | | | | | | | || | | nebo soudem, | | | | | | | || | | | | | | | | | || | | nebo auditní zpráva vydaná pro certifikaci | | | | | | | || | | ČSN EN ISO/IEC 27001,EN ISO/IEC 27001 nebo | | | | | | | || | | ISO/IEC 27001 od certifikačního orgánu, | | | | | | | || | | který byl akreditován pro provádění auditů | | | | | | | || | | a certifikaci systémů řízení bezpečnosti | | | | | | | || | | informací některým z členů Mezinárodního | | | | | | | || | | akreditačního fóra (IAF), | | | | | | | || | | | | | | | | | || | | nebo auditní zpráva SOC 2® Type 2, s | | | | | | | || | | odkazem na tu část, ze které bude patrné, | | | | | | | || | | že poskytovatel v případě, že obdrží | | | | | | | || | | právně závaznou žádost cizozemského orgánu | | | | | | | || | | o zpřístupnění nebo předání zákaznických | | | | | | | || | | dat a specifických provozních údajů, | | | | | | | || | | nevyhoví této žádosti a odkáže tohoto | | | | | | | || | | žadatele na zákazníka nebo o takové žádosti | | | | | | | || | | zákazníka bezodkladně informuje, nebo | | | | | | | || | | pokud právní řád, jemuž poskytovatel | | | | | | | || | | podléhá, poskytovateli zakazuje informovat | | | | | | | || | | zákazníka, vyvine veškeré možné zákonné | | | | | | | || | | úsilí, aby dosáhl zrušení tohoto zákazu | | | | | | | || | | a využije všech dostupných opravných | | | | | | | || | | prostředků s cílem zpochybnit takový zákaz, | | | | | | | || | | případně pozastavit účinky zákazu, dokud | | | | | | | || | | soud nerozhodne ve věci samé, a pokud | | | | | | | || | | nedosáhne zrušení povinnosti zákazu | | | | | | | || | | informování zákazníka, pak poskytovatel | | | | | | | || | | zákazníka informuje poté, co vyprší | | | | | | | || | | platnost právního zákazu, např. po zrušení | | | | | | | || | | povinnosti mlčenlivosti stanovené zákonem | | | | | | | || | | nebo nařízené soudem | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 2.3 | Poskytovatel v případě, že obdrží žádost | Čestné prohlášení nebo odkaz na část návrhu | X | X | | | X | X | X || | cizozemského orgánu o zpřístupnění nebo | smlouvy, konkrétní část podmínek | | | | | | | || | předání zákaznických dat a specifických | poskytování služby cloud computingu nebo | | | | | | | || | provozních údajů, přezkoumá zákonnost takové | jiný popis služby cloud computingu, | | | | | | | || | žádosti, zejména provede právní posouzení, | ze kterého bude patrné, že poskytovatel | | | | | | | || | ze kterého bude vyplývat, zda žádost | přezkoumá zákonnost cizozemských orgánů | | | | | | | || | cizozemského orgánu má proveditelný, | o zpřístupnění, zejména provede právní | | | | | | | || | aplikovatelný a platný právní základ, | posouzení, ze kterého bude vyplývat, zda | | | | | | | || | je právně závazná a rozsah poskytovaných | žádost cizozemského orgánu má proveditelný | | | | | | | || | nebo zpřístupňovaných zákaznických dat a | a platný právní základ, je právně závazná | | | | | | | || | specifických provozních údajů je přiměřený | a rozsah poskytovaných nebo | | | | | | | || | účelu žádosti. Poskytovatel se zavazuje, | zpřístupňovaných zákaznických dat a | | | | | | | || | že předá zákaznická data a specifické | specifických provozních údajů je přiměřený | | | | | | | || | provozní údaje cizozemskému orgánu pouze, | účelu žádosti, a poskytovatel předá | | | | | | | || | pokud z právního posouzení vyšlo, že žádost | zákaznická data a specifické provozní údaje | | | | | | | || | cizozemského orgánu má proveditelný, | cizozemskému orgánu pouze, pokud z právního | | | | | | | || | aplikovatelný a platný právní základ, je | posouzení vyšlo, že žádost cizozemského | | | | | | | || | právně závazná a rozsah poskytovaných nebo | orgánu má proveditelný, aplikovatelný a | | | | | | | || | zpřístupňovaných zákaznických dat a | platný právní základ, je právně závazná a | | | | | | | || | specifických provozních údajů je přiměřený | rozsah poskytovaných nebo zpřístupňovaných | | | | | | | || | účelu žádosti. | zákaznických dat a specifických provozních | | | | | | | || | O podkladech sloužících k posouzení | údajů je přiměřený účelu žádosti, | | | | | | | || | poskytovatel provede záznam, který uchová | | | | | | | | || | alespoň 5 let pro účely kontroly nebo ho | nebo auditní zpráva vydaná pro certifikaci | | | | | | | || | prokazatelně předá zákazníkovi. | ČSN EN ISO/IEC 27001,EN ISO/IEC 27001 nebo | | | | | | | || | | ISO/IEC 27001 od certifikačního orgánu, | | | | | | | || | | který byl akreditován pro provádění auditů | | | | | | | || | | a certifikaci systémů řízení bezpečnosti | | | | | | | || | | informací některým z členů Mezinárodního | | | | | | | || | | akreditačního fóra (IAF), nebo auditní | | | | | | | || | | zpráva SOC 2® Type 2, s odkazem na tu část, | | | | | | | || | | ze které bude patrné, že poskytovatel | | | | | | | || | | přezkoumá zákonnost cizozemských orgánů | | | | | | | || | | o zpřístupnění, zejména provede právní | | | | | | | || | | posouzení, ze kterého bude vyplývat, zda | | | | | | | || | | žádost cizozemského orgánu má proveditelný | | | | | | | || | | a platný právní základ, je právně závazná | | | | | | | || | | a rozsah poskytovaných nebo | | | | | | | || | | zpřístupňovaných zákaznických dat | | | | | | | || | | a specifických provozních údajů je | | | | | | | || | | přiměřený účelu žádosti, a poskytovatel | | | | | | | || | | předá zákaznická data a specifické provozní | | | | | | | || | | údaje cizozemskému orgánu pouze, pokud | | | | | | | || | | z právního posouzení vyšlo, že žádost | | | | | | | || | | cizozemského orgánu má proveditelný, | | | | | | | || | | aplikovatelný a platný právní základ, | | | | | | | || | | je právně závazná a rozsah poskytovaných | | | | | | | || | | nebo zpřístupňovaných zákaznických | | | | | | | || | | dat a specifických provozních údajů je | | | | | | | || | | přiměřený účelu žádosti. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 2.4 | Poskytovatel v případě, že obdrží žádost | Čestné prohlášení nebo odkaz na část | | | X | | X | X | X || | cizozemského orgánu o zpřístupnění nebo | návrhu smlouvy, konkrétní část podmínek | | | | | | | || | předání zákaznických dat a specifických | poskytování služby cloud computingu nebo | | | | | | | || | provozních údajů, přezkoumá zákonnost | jiný popis služby cloud computingu, ze | | | | | | | || | takové žádosti, zejména provede právní | kterého bude patrné, že poskytovatel | | | | | | | || | posouzení, ze kterého bude vyplývat, zda | přezkoumá zákonnost cizozemských orgánů | | | | | | | || | žádost cizozemského orgánu má proveditelný | o zpřístupnění, zejména provede právní | | | | | | | || | a platný právní základ, je právně závazná | posouzení, ze kterého bude vyplývat, zda | | | | | | | || | a rozsah poskytovaných nebo zpřístupňovaných | žádost cizozemského orgánu má proveditelný | | | | | | | || | zákaznických dat a specifických provozních | a platný právní základ, je právně závazná | | | | | | | || | údajů je přiměřený účelu žádosti, a vyvine | a rozsah poskytovaných nebo | | | | | | | || | veškeré možné zákonné úsilí, aby zabránil | zpřístupňovaných zákaznických dat | | | | | | | || | zpřístupnění nebo předání zákaznických dat | a specifických provozních údajů je | | | | | | | || | a specifických provozních údajů na základě | přiměřený účelu žádosti, a vyvine veškeré | | | | | | | || | žádosti cizozemského orgánu bez souhlasu | možné zákonné úsilí, aby zabránil | | | | | | | || | zákazníka, zejména zohlední právní závazky | zpřístupnění nebo předání zákaznických dat | | | | | | | || | a povinnosti vyplývající z právních | a specifických provozních údajů na základě | | | | | | | || | předpisů Evropské unie a České republiky | žádosti cizozemského orgánu bez souhlasu | | | | | | | || | a bude usilovat o zrušení povinnosti | zákazníka, zejména zohlední právní závazky | | | | | | | || | zpřístupnění nebo předání zákaznických dat | a povinnosti vyplývající z právních | | | | | | | || | a specifických provozních údajů. | předpisů Evropské unie a České republiky | | | | | | | || | O podkladech sloužících k posouzení | a bude usilovat o zrušení povinnosti | | | | | | | || | poskytovatel provede záznam, který uchová | zpřístupnění nebo předání zákaznických | | | | | | | || | alespoň 10 let pro účely kontroly nebo ho | dat a specifických provozních údajů, | | | | | | | || | prokazatelně předá zákazníkovi. | | | | | | | | || | | nebo auditní zpráva vydaná pro certifikaci | | | | | | | || | | ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo | | | | | | | || | | ISO/IEC 27001 od certifikačního orgánu, | | | | | | | || | | který byl akreditován pro provádění auditů | | | | | | | || | | a certifikaci systémů řízení bezpečnosti | | | | | | | || | | informací některým z členů Mezinárodního | | | | | | | || | | akreditačního fóra (IAF), nebo auditní | | | | | | | || | | zpráva SOC 2® Type 2, s odkazem na tu část, | | | | | | | || | | ze které bude patrné, že poskytovatel | | | | | | | || | | přezkoumá zákonnost cizozemských orgánů o | | | | | | | || | | zpřístupnění, zejména provede právní | | | | | | | || | | posouzení, ze kterého bude vyplývat, zda | | | | | | | || | | žádost cizozemského orgánu má proveditelný | | | | | | | || | | a platný právní základ, je právně závazná | | | | | | | || | | a rozsah poskytovaných nebo | | | | | | | || | | zpřístupňovaných zákaznických dat a | | | | | | | || | | specifických provozních údajů je přiměřený | | | | | | | || | | účelu žádosti, a vyvine veškeré možné | | | | | | | || | | zákonné úsilí, aby zabránil zpřístupnění | | | | | | | || | | nebo předání zákaznických dat a | | | | | | | || | | specifických provozních údajů na základě | | | | | | | || | | žádosti cizozemského orgánu bez souhlasu | | | | | | | || | | zákazníka, zejména zohlední právní závazky | | | | | | | || | | a povinnosti vyplývající z právních | | | | | | | || | | předpisů Evropské unie a České republiky | | | | | | | || | | a bude usilovat o zrušení povinnosti | | | | | | | || | | zpřístupnění nebo předání zákaznických dat | | | | | | | || | | a specifických provozních údajů. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 2.5 | Poskytovatel jasně a srozumitelně uvádí | Písemný popis povinností vyplývajících | X | X | X | X | X | X | X || | jeho povinnosti vyplývající z právních | z právních předpisů států odlišných od | | | | | | | || | předpisů států odlišných od členských | členských států Evropské unie, v nichž | | | | | | | || | států Evropské unie, v nichž poskytovatel | poskytovatel předpokládá zpracování | | | | | | | || | předpokládá zpracování zákaznických dat dle | zákaznických dat dle řádků 1.1, 1.5 a 1.6 | | | | | | | || | řádků 1.1, 1.5 a 1.6 přílohy č. 2 k této | přílohy č. 2 k této vyhlášce týkající se | | | | | | | || | vyhlášce týkající se zpřístupnění a | zpřístupnění a předávání zákaznických dat | | | | | | | || | předávání zákaznických dat a specifických | a specifických provozních údajů. Písemný | | | | | | | || | provozních údajů. | popis musí být v takové kvalitě, aby z něj | | | | | | | || | | bylo možné zákazníkem posoudit vhodnost | | | | | | | || | | právního řádu s ohledem na zpracovávání | | | | | | | || | | zákaznických dat a specifických provozních | | | | | | | || | | údajů. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 2.6 | Poskytovatel v případě, že obdrží žádost | Čestné prohlášení nebo odkaz na část | | | | X | X | X | X || | cizozemských orgánů o zpřístupnění nebo | návrhu smlouvy, konkrétní část podmínek | | | | | | | || | předání zákaznických dat a specifických | poskytování služby cloud computingu nebo | | | | | | | || | provozních údajů, tuto žádost odmítne a | jiný popis služby cloud computingu, ze | | | | | | | || | data nevydává a nezpřístupňuje. | které bude patrné, že poskytovatel v | | | | | | | || | | případě, že obdrží žádost cizozemských | | | | | | | || | | orgánů o zpřístupnění nebo předání | | | | | | | || | | zákaznických dat a specifických provozních | | | | | | | || | | údajů, tuto žádost odmítne a data nevydá | | | | | | | || | | a nezpřístupní, | | | | | | | || | | | | | | | | | || | | nebo auditní zpráva vydaná pro certifikaci | | | | | | | || | | ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo | | | | | | | || | | ISO/IEC 27001 od certifikačního orgánu, | | | | | | | || | | který byl akreditován pro provádění auditů | | | | | | | || | | a certifikaci systémů řízení bezpečnosti | | | | | | | || | | informací některým z členů Mezinárodního | | | | | | | || | | akreditačního fóra (IAF), nebo auditní | | | | | | | || | | zpráva SOC 2® Type 2, s odkazem na tu část, | | | | | | | || | | ze které bude patrné, že poskytovatel | | | | | | | || | | v případě, že obdrží žádost cizozemských | | | | | | | || | | orgánů o zpřístupnění nebo předání | | | | | | | || | | zákaznických dat a specifických provozních | | | | | | | || | | údajů, tuto žádost odmítne a data nevydá | | | | | | | || | | a nezpřístupní. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 3. Oprávnění k provedení kontroly+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 3.1 | Poskytovatel jednou ročně, nebo na základě | Žádný podklad se nevyžaduje. | X | X | X | X | X | X | X || | opakujících se kybernetických bezpečnostních | | | | | | | | || | incidentů, nebo v případě rozporu vůči | Splnění tohoto požadavku ověří | | | | | | | || | deklarovaným parametrům, umožňuje | Ministerstvo vnitra nebo Národní úřad | | | | | | | || | Ministerstvu vnitra nebo Národnímu úřadu | pro kybernetickou a informační bezpečnost | | | | | | | || | pro kybernetickou a informační bezpečnost | z vlastní činnosti. | | | | | | | || | zdarma ve vztahu k dané službě cloud | | | | | | | | || | computingu provedení kontroly splnění | | | | | | | | || | požadavků podle § 6i odst. 2 a 3 zákona | | | | | | | | || | o informačních systémech veřejné správy | | | | | | | | || | a podle kontrolního řádu na všech místech | | | | | | | | || | a zařízeních, souvisejících s poskytováním | | | | | | | | || | služby cloud computingu, a zároveň poskytuje | | | | | | | | || | veškerou součinnost, kterou si tyto orgány | | | | | | | | || | vyžádají, vyjma zpřístupnění či předání | | | | | | | | || | zákaznických dat bez souhlasu dotčeného | | | | | | | | || | zákazníka. | | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 4. Úrovně dostupnosti služby |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 4.1 | Poskytovatel je schopen zajišťovat | Odkaz na konkrétní část podmínek | - | 99,45 | 99,90 | 99,99 | X | X | X || | dostupnost služby cloud computingu | poskytování služby cloud computingu nebo | | (%) | (%) | (%) | | | || | s nepřetržitou provozní dobou alespoň | část návrhu smlouvy, ve které bude | | | | | | | || | v uvedených úrovních vyhodnocované na | poskytovatel garantovat zajištění | | | | | | | || | měsíční bázi včetně časů nutných pro | dostupnosti alespoň v uvedených úrovních, | | | | | | | || | servisní zásahy, měřeno ve výměnném | | | | | | | | || | uzlu internetu (IXP) deklarovaném | nebo auditní zpráva vydaná pro certifikaci | | | | | | | || | poskytovatelem. | ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo | | | | | | | || | | ISO/IEC 27001 od certifikačního orgánu, | | | | | | | || | | který byl akreditován pro provádění auditů | | | | | | | || | | a certifikaci systémů řízení bezpečnosti | | | | | | | || | | informací některým z členů Mezinárodního | | | | | | | || | | akreditačního fóra (IAF), nebo auditní | | | | | | | || | | zpráva SOC 2® Type 2, s odkazem na tu část, | | | | | | | || | | ze které bude patrné, že poskytovatel je | | | | | | | || | | schopen zajišťovat dostupnost služby cloud | | | | | | | || | | computingu s nepřetržitou provozní dobou | | | | | | | || | | alespoň v uvedených úrovních vyhodnocované | | | | | | | || | | na měsíční bázi včetně časů nutných pro | | | | | | | || | | servisní zásahy, měřeno ve výměnném uzlu | | | | | | | || | | internetu (IXP) deklarovaném | | | | | | | || | | poskytovatelem. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 4.2 | Poskytovatel je schopen zajišťovat | Odkaz na konkrétní část podmínek | 96,16 | - | - | - | X | X | X || | dostupnost služby cloud computingu | poskytování služby cloud computingu nebo | (%) | | | | | | || | s provozní dobou alespoň 10 hodin v | část návrhu smlouvy, ve které bude | | | | | | | || | pracovní dny v uvedené úrovni vyhodnocované | poskytovatel garantovat zajištění | | | | | | | || | na měsíční bázi včetně časů nutných pro | dostupnosti alespoň v uvedených úrovních, | | | | | | | || | servisní zásahy, měřeno ve výměnném uzlu | | | | | | | | || | internetu (IXP) deklarovaném poskytovatelem. | nebo auditní zpráva vydaná pro certifikaci | | | | | | | || | | ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo | | | | | | | || | | ISO/IEC 27001 od certifikačního orgánu, | | | | | | | || | | který byl akreditován pro provádění auditů | | | | | | | || | | a certifikaci systémů řízení bezpečnosti | | | | | | | || | | informací některým z členů Mezinárodního | | | | | | | || | | akreditačního fóra (IAF), nebo auditní | | | | | | | || | | zpráva SOC 2® Type 2, s odkazem na tu část, | | | | | | | || | | ze které bude patrné, že poskytovatel je | | | | | | | || | | schopen zajišťovat dostupnost služby cloud | | | | | | | || | | computingu s provozní dobou alespoň | | | | | | | || | | 10 hodin v pracovní dny v uvedené úrovni | | | | | | | || | | vyhodnocované na měsíční bázi včetně časů | | | | | | | || | | nutných pro servisní zásahy, měřeno ve | | | | | | | || | | výměnném uzlu internetu (IXP) deklarovaném | | | | | | | || | | poskytovatelem. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 5. Připojení do výměnného uzlu internetu (IXP) |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 5.1 | Poskytovatel má zajištěno připojení do | Výpis z veřejně dostupné databáze subjektů | | | X | X | X | X | X || | výměnného uzlu internetu (IXP) v České | připojených do výměnného uzlu internetu, | | | | | | | || | republice. | | | | | | | | || | | nebo platná smlouva s poskytovatelem služby | | | | | | | || | | výměnného uzlu internetu, | | | | | | | || | | | | | | | | | || | | nebo čestné prohlášení poskytovatele, že | | | | | | | || | | má zajištěno připojení do výměnného uzlu | | | | | | | || | | internetu (IXP) v České republice. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 6. Zajištění poskytování služby cloud computingu |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 6.1 | Poskytovatel má vyhotoven plán zajištění | Strategie zajištění kontinuity provozu a | X | X | | | X | X | X || | kontinuity provozu a plán na obnovu po | strategie na obnovu po havárii, | | | | | | | || | havárii týkající se poskytované služby | | | | | | | | || | cloud computingu pro zajištění dostupnosti | nebo auditní zpráva vyhotovená subjektem | | | | | | | || | uvedené v řádcích 4.1 a 4.2 přílohy č. 2 k | nezávislým na poskytovateli, která | | | | | | | || | této vyhlášce. | potvrzuje existenci plánu zajištění | | | | | | | || | | kontinuity provozu nabízené služby cloud | | | | | | | || | | computingu a plánu na obnovu poskytování | | | | | | | || | | nabízené služby cloud computingu po havárii | | | | | | | || | | a dokládá ověření jeho aplikace, zejména | | | | | | | || | | auditní zpráva vydaná pro účel | | | | | | | || | | certifikace ČSN ISO/IEC 20000, | | | | | | | || | | ISO/IEC 20000, ČSN EN ISO 22301 | | | | | | | || | | nebo ISO 22301, SOC 2®Type2 nebo atestace | | | | | | | || | | podle CSA STAR Level 2 nebo platný | | | | | | | || | | certifikát ČSN ISO/IEC 20000, | | | | | | | || | | ISO/IEC 20000, ČSN EN ISO 22301 nebo | | | | | | | || | | ISO 22301 vydaný subjektem nezávislým | | | | | | | || | | na poskytovateli. V rozsahu dané | | | | | | | || | | certifikace nebo auditní zprávy musí | | | | | | | || | | být zahrnuta nabízená služba cloud | | | | | | | || | | computingu. V případě, že rozsah | | | | | | | || | | auditní zprávy nebo certifikace | | | | | | | || | | nezahrnuje jmenovitě službu cloud | | | | | | | || | | computingu, kterou žádá poskytovatel | | | | | | | || | | zapsat do katalogu cloud computingu, doloží | | | | | | | || | | poskytovatel čestné prohlášení, které | | | | | | | || | | služby cloud computingu do rozsahu auditní | | | | | | | || | | zprávy nebo certifikace spadají. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 6.2 | Poskytovatel má vyhotoven plán zajištění | Strategie zajištění kontinuity provozu | | | X | X | X | X | X || | kontinuity provozu a plán na obnovu po | a strategie na obnovu po havárii, | | | | | | | || | havárii týkající se poskytované služby | | | | | | | | || | cloud computingu pro zajištění dostupnosti | nebo auditní zpráva vyhotovená subjektem | | | | | | | || | uvedené v řádcích 4.1 a 4.2 přílohy č. 2 k | nezávislým na poskytovateli, která | | | | | | | || | této vyhlášce. | potvrzuje existenci plánu | | | | | | | || | | zajištění kontinuity provozu nabízené | | | | | | | || | | služby cloud computingu a plánu na obnovu | | | | | | | || | | poskytování nabízené služby cloud | | | | | | | || | | computingu po havárii a dokládá ověření | | | | | | | || | | jeho aplikace, zejména auditní zpráva | | | | | | | || | | vydaná pro účel certifikace | | | | | | | || | | ČSN ISO/IEC 20000, ISO/IEC 20000, | | | | | | | || | | ČSN EN ISO 22301 nebo ISO 22301, | | | | | | | || | | SOC 2® Type 2 nebo atestace podle | | | | | | | || | | CSA STAR Level 2. | | | | | | | || | | V rozsahu dané auditní zprávy musí být | | | | | | | || | | zahrnuta nabízená služba cloud computingu. | | | | | | | || | | V případě, že rozsah auditní zprávy | | | | | | | || | | nezahrnuje jmenovitě službu cloud | | | | | | | || | | computingu, kterou žádá poskytovatel | | | | | | | || | | zapsat do katalogu cloud computingu, doloží | | | | | | | || | | poskytovatel čestné prohlášení, které | | | | | | | || | | služby cloud computingu do rozsahu auditní | | | | | | | || | | zprávy spadají. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 6.3 | Poskytovatel umožňuje synchronní replikaci | Odkaz na konkrétní část podmínek | | | X | X | | X | X || | (zálohování) dat alespoň do jednoho záložního | poskytování služby cloud computingu nebo | | | | | | | || | datového centra, které je kapacitně | část návrhu smlouvy nebo produktovou | | | | | | | || | dostatečné k převzetí služby cloud | specifikaci nebo auditní zpráva vydaná | | | | | | | || | computingu poskytované z primárního datového | pro certifikaci ČSN EN ISO/IEC 27001, | | | | | | | || | centra. | EN ISO/IEC 27001 nebo ISO/IEC 27001 | | | | | | | || | | od certifikačního orgánu, který byl | | | | | | | || | | akreditován pro provádění auditů | | | | | | | || | | a certifikaci systémů řízení bezpečnosti | | | | | | | || | | informací některým z členů Mezinárodního | | | | | | | || | | akreditačního fóra (IAF), nebo auditní | | | | | | | || | | zpráva SOC 2® Type 2, s odkazem na tu část, | | | | | | | || | | ze které bude patrné umožnění synchronní | | | | | | | || | | replikace (zálohování) dat do záložního | | | | | | | || | | datového centra. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 6.4 | Poskytovatel zajišťuje, že primární a | Odkaz na konkrétní část podmínek | X | X | X | X | X | X | X || | alespoň jedno záložní datové centrum, které | poskytování služby nebo část návrhu smlouvy | | | | | | | || | je kapacitně dostatečné k převzetí služby | nebo produktovou specifikaci nebo auditní | | | | | | | || | poskytované z primárního datového centra, | zpráva vydaná pro certifikaci | | | | | | | || | jsou v dostatečné vzdálenosti od přírodních | ČSN EN ISO/IEC 27001,EN ISO/IEC 27001 | | | | | | | || | zdrojů rizik a zdrojů rizik vyvolaných | nebo ISO/IEC 27001 od certifikačního | | | | | | | || | činností člověka vedoucích k narušení nebo | orgánu, který byl akreditován | | | | | | | || | omezení poskytování služby cloud computingu | pro provádění auditů a certifikaci | | | | | | | || | nebo bezpečnosti informací, nebo je přijato | systémů řízení bezpečnosti informací | | | | | | | || | adekvátní bezpečnostní opatření, nebo se | některým z členů Mezinárodního | | | | | | | || | primární a alespoň jedno záložní datové | akreditačního fóra (IAF), nebo z auditní | | | | | | | || | centrum, které je kapacitně dostatečné k | zprávy SOC 2® Type 2, s odkazem na tu | | | | | | | || | převzetí služby poskytované z primárního | část, ze které bude patrné zajištění | | | | | | | || | datového centra, nacházejí ve vzájemné | alespoň jednoho záložního datového centra, | | | | | | | || | vzdálenosti nejméně 50 km a u obou datových | které je kapacitně dostatečné k převzetí | | | | | | | || | center je navržena a aplikována fyzická | služby poskytované z primárního datového | | | | | | | || | ochrana proti přírodním katastrofám, | centra, | | | | | | | || | úmyslnému útoku nebo haváriím. | | | | | | | | || | | a | | | | | | | || | | | | | | | | | || | | pro doložení dostatečné vzdálenosti nebo | | | | | | | || | | přijetí adekvátního bezpečnostního opatření | | | | | | | || | | zpráva nebo jiný doklad o zhodnocení | | | | | | | || | | přírodních zdrojů rizik a zdrojů rizik | | | | | | | || | | vyvolaných činností člověka, které obsahuje | | | | | | | || | | náležitosti uvedené v příloze č. 5 k této | | | | | | | || | | vyhlášce, | | | | | | | || | | | | | | | | | || | | nebo pro doložení vzájemné vzdálenosti | | | | | | | || | | nejméně 50 km a návrhu a aplikace fyzické | | | | | | | || | | ochrany proti přírodním katastrofám, | | | | | | | || | | úmyslnému útoku nebo haváriím odkaz na tu | | | | | | | || | | část platné certifikace | | | | | | | || | | ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo | | | | | | | || | | ISO/IEC 27001 od certifikačního orgánu, | | | | | | | || | | který byl akreditován pro certifikaci | | | | | | | || | | systémů řízení bezpečnosti informací | | | | | | | || | | některým z členů Mezinárodního | | | | | | | || | | akreditačního fóra (IAF), nebo auditní | | | | | | | || | | zprávy SOC 2® Type 2, ze které bude patrný | | | | | | | || | | úplný výčet datových center a jejich lokace | | | | | | | || | | po úroveň katastrálního území/obce, ze | | | | | | | || | | kterých je služba cloud computingu | | | | | | | || | | poskytována a ze které bude patrné, že | | | | | | | || | | fyzická ochrana proti přírodním | | | | | | | || | | katastrofám, úmyslnému útoku nebo haváriím | | | | | | | || | | je navržena a aplikována. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 6.5 | Poskytovatel zajišťuje, že primární i | Odkaz na tu část platné certifikace | | | X | | X | X | X || | záložní datové centrum, ve kterých jsou | ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 | | | | | | | || | uložena zákaznická data ve stavu neaktivních | nebo ISO/IEC 27001 od certifikačního | | | | | | | || | dat, se nacházejí buďto všechna v České | orgánu, který byl akreditován pro | | | | | | | || | republice, nebo alespoň na území dvou | certifikaci systémů řízení bezpečnosti | | | | | | | || | různých členských států Evropské unie a | informací některým z členů Mezinárodního | | | | | | | || | Evropského sdružení volného obchodu. Tento | akreditačního fóra (IAF), nebo auditní | | | | | | | || | požadavek se neuplatní na služby cloud | zprávy SOC 2® Type 2, ze které bude patrný | | | | | | | || | computingu uplatňující výjimku z požadavků | úplný výčet datových center a jejich lokace | | | | | | | || | na řádku 1.4 přílohy č. 2 k této vyhlášce. | po úroveň katastrálního území/obce, | | | | | | | || | | ve kterých jsou uložena zákaznická data | | | | | | | || | | ve stavu neaktivních dat. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 6.6 | Poskytovatel zajišťuje, že primární i všechna | Odkaz na tu část platné certifikace | | | | X | X | X | X || | záložní datová centra, ze kterých je | ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 | | | | | | | || | poskytována služba cloud computingu, se | nebo ISO/IEC 27001 od certifikačního | | | | | | | || | nacházejí v České republice, vyjma případů | orgánu, který byl akreditován pro | | | | | | | || | výslovného písemného svolení zákazníka s | certifikaci systémů řízení bezpečnosti | | | | | | | || | ukládáním zákazníkem zašifrovaných | informací některým z členů Mezinárodního | | | | | | | || | zákaznických dat ve stavu neaktivních dat | akreditačního fóra (IAF), nebo auditní | | | | | | | || | na území jiného členského státu Evropské unie | zprávy SOC 2® Type 2, ze které bude patrný | | | | | | | || | a členského státu Evropského sdružení volného | úplný výčet datových center a jejich lokace | | | | | | | || | obchodu. | po úroveň katastrálního území/obce, | | | | | | | || | | ve kterých bude zákaznický obsah dlouhodobě | | | | | | | || | | uložen ve stavu neaktivních dat. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 6.7 | Poskytovatel je schopen poskytovat nástroje | Odkaz na konkrétní část podmínek | X | X | X | X | X | X | X || | nebo služby pro zvýšení odolnosti vůči útokům | poskytování služby cloud computingu nebo | | | | | | | || | typu DoS/DDoS. | na popis volitelné služby cloud computingu, | | | | | | | || | | ze které bude patrný nástroj nebo služba | | | | | | | || | | využívaná pro zvýšení odolnosti vůči útokům | | | | | | | || | | typu DoS/DDos, | | | | | | | || | | | | | | | | | || | | nebo auditní zpráva vydaná pro certifikaci | | | | | | | || | | ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 | | | | | | | || | | nebo ISO/IEC 27001 od certifikačního | | | | | | | || | | orgánu, který byl akreditován pro | | | | | | | || | | provádění auditů a certifikaci systémů | | | | | | | || | | řízení bezpečnosti informací některým | | | | | | | || | | z členů Mezinárodního akreditačního fóra | | | | | | | || | | (IAF), nebo auditní zpráva SOC 2® Type 2, | | | | | | | || | | s odkazem na tu část, ze které bude patrné, | | | | | | | || | | že poskytovatel je schopen poskytovat | | | | | | | || | | nástroje nebo služby pro zvýšení odolnosti | | | | | | | || | | vůči útokům typu DoS/DDoS, a ze které bude | | | | | | | || | | patrný nástroj nebo služba využívané pro | | | | | | | || | | zvýšení odolnosti vůči útokům typu | | | | | | | || | | DoS/DDos. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 6.8 | Poskytovatel umožňuje obsluhu služby cloud | Odkaz na konkrétní část podmínek | | | X | X | X | X | X || | computingu pomocí management portálu nebo | poskytování služby cloud computingu, část | | | | | | | || | jiné formy administrátorské konzole vzdáleně | návrhu smlouvy nebo technickou dokumentaci, | | | | | | | || | přístupné zákazníkovi v nepřetržitém režimu. | ze které bude patrné, že poskytovatel | | | | | | | || | | umožňuje obsluhu služby cloud computingu | | | | | | | || | | pomocí management portálu nebo jiné formy | | | | | | | || | | administrátorské konzole vzdáleně přístupné | | | | | | | || | | zákazníkovi v nepřetržitém režimu. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 7. Nakládání s daty+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 7.1 | Poskytovatel umožňuje import či export dat | Odkaz na konkrétní část podmínek | | | X | X | X | X | X || | v objemu větším než 2 TB prostřednictvím | poskytování služby cloud computingu, část | | | | | | | || | zaslání šifrovaných paměťových médií. | návrhu smlouvy, nebo produktovou | | | | | | | || | | specifikaci, ze které bude patrné, | | | | | | | || | | že poskytovatel umožňuje import či export | | | | | | | || | | dat v objemu větším než 2 TB | | | | | | | || | | prostřednictvím zaslání šifrovaných | | | | | | | || | | paměťových médií. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 7.2 | Poskytovatel chrání zákaznický obsah | Odkaz na konkrétní část podmínek | X | X | X | X | X | X | X || | šifrováním při přenosu a v úložištích ve | poskytování služby cloud computingu nebo | | | | | | | || | službě cloud computingu. | část návrhu smlouvy nebo produktovou | | | | | | | || | | specifikaci služby cloud computingu, ze | | | | | | | || | | které bude patrné, že poskytovatel chrání | | | | | | | || | | zákaznický obsah šifrováním při přenosu a | | | | | | | || | | v úložištích ve službě cloud computingu, | | | | | | | || | | | | | | | | | || | | nebo auditní zpráva vydaná pro certifikaci | | | | | | | || | | ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo | | | | | | | || | | ISO/IEC 27001 od certifikačního orgánu, | | | | | | | || | | který byl akreditován pro provádění auditů | | | | | | | || | | a certifikaci systémů řízení bezpečnosti | | | | | | | || | | informací některým z členů Mezinárodního | | | | | | | || | | akreditačního fóra (IAF), nebo auditní | | | | | | | || | | zpráva SOC 2® Type 2, s odkazem na tu část, | | | | | | | || | | ze které bude patrné, že poskytovatel | | | | | | | || | | chrání zákaznický obsah šifrováním | | | | | | | || | | při přenosu a v úložištích ve službě cloud | | | | | | | || | | computingu. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 7.3 | Poskytovatel umožňuje ochranu zákaznického | Odkaz na konkrétní část podmínek | | X | X | X | X | X | X || | obsahu šifrováním při přenosu a | poskytování služby cloud computingu nebo | | | | | | | || | v úložištích ve službě cloud computingu | část návrhu smlouvy nebo produktovou | | | | | | | || | pomocí některého z algoritmů uvedených | specifikaci služby cloud computingu, | | | | | | | || | v doporučení v oblasti kryptografických | ze které bude patrný způsob šifrování při | | | | | | | || | prostředků vydaného Národním úřadem pro | přenosu a v úložištích ve službě cloud | | | | | | | || | kybernetickou a informační bezpečnost, | computingu. | | | | | | | || | které je zveřejněno na jeho internetových | | | | | | | | || | stránkách. | | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 7.4 | Poskytovatel umožňuje zákazníkovi využití | Odkaz na konkrétní část podmínek | | | X | | X | X | X || | vlastního šifrovacího klíče (BYOK). | poskytování služby cloud computingu nebo | | | | | | | || | | část návrhu smlouvy nebo produktovou | | | | | | | || | | specifikaci služby cloud computingu, | | | | | | | || | | ze které bude patrné, že poskytovatel | | | | | | | || | | umožňuje zákazníkovi využití vlastních | | | | | | | || | | šifrovacích klíčů, a to buď jejich | | | | | | | || | | vygenerováním v certifikovaném hardware | | | | | | | || | | security modulu (dále jen “HSM modulu“) | | | | | | | || | | umístěném u poskytovatele pod vzdálenou | | | | | | | || | | správou zákazníka, nebo importem těchto | | | | | | | || | | klíčů z jiných prostředků pod správou | | | | | | | || | | zákazníka. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 7.5 | Poskytovatel umožňuje uložení šifrovacích | Odkaz na konkrétní část podmínek | | | | X | X | X | X || | klíčů v certifikovaném HSM modulu úrovně | poskytování služby cloud computingu | | | | | | | || | ochrany FIPS 140-2 level 2 a vyšší, | nebo část návrhu smlouvy nebo produktovou | | | | | | | || | FIPS 140-3 level 2 a vyšší nebo certifikaci | specifikaci služby cloud computingu, | | | | | | | || | podle Common Criteria minimálně na EAL4 a | ze které bude patrné, že poskytovatel | | | | | | | || | vyšší, který je pod vzdálenou správou | umožňuje uložení klíčů v certifikovaném | | | | | | | || | zákazníka nebo instalaci HSM modulu zákazníka | HSM modulu úrovně ochrany FIPS 140-2 | | | | | | | || | do infrastruktury poskytovatele. | level 2 a vyšší, FIPS 140-3 level 2 a | | | | | | | || | | vyšší nebo certifikaci podle Common | | | | | | | || | | Criteria minimálně na EAL4 a vyšší, který | | | | | | | || | | je pod správou zákazníka, nebo instalaci | | | | | | | || | | certifikovaného HSM modulu zákazníka | | | | | | | || | | do infrastruktury poskytovatele. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 7.6 | Poskytovatel umožňuje bezpečnou likvidaci | Odkaz na konkrétní část podmínek poskytování | | | | X | X | X | X || | kryptografických klíčů uložených | služby cloud computingu nebo část návrhu | | | | | | | || | v certifikovaném HSM modulu řízenou | smlouvy nebo produktovou specifikaci služby | | | | | | | || | zákazníkem. | cloud computingu, ze které bude patrné | | | | | | | || | | umožnění bezpečné likvidace kryptografických | | | | | | | || | | klíčů uložených v certifikovaném HSM modulu | | | | | | | || | | řízené zákazníkem a závazek umožnit/zajistit | | | | | | | || | | při ukončení služby cloud computingu | | | | | | | || | | likvidaci vrchního přístupového klíče. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 7.7 | Poskytovatel umožňuje při ukončení služby | Odkaz na konkrétní část podmínek poskytování | | | X | | X | X | X || | cloud computingu bezpečnou likvidaci | služby cloud computingu nebo část návrhu | | | | | | | || | kryptografických klíčů, které šifrují | smlouvy nebo produktovou specifikaci služby | | | | | | | || | zákaznický obsah v úložištích v souladu | cloud computingu, ze které bude patrný popis | | | | | | | || | s vyhláškou o kybernetické bezpečnosti. | bezpečné likvidace dat v souladu s vyhláškou | | | | | | | || | | o kybernetické bezpečnosti. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 7.8 | Poskytovatel vyhotovuje záznam o přístupu | Odkaz na konkrétní část podmínek poskytování | X | X | X | X | X | X | X || | jeho interních a externích pracovníků | služby cloud computingu nebo část návrhu | | | | | | | || | k nezašifrovaným zákaznickým datům, ke | smlouvy nebo produktovou specifikaci služby | | | | | | | || | kterému došlo bez přechozího svolení | cloud computingu, | | | | | | | || | zákazníka v daném případě. Tento záznam | | | | | | | | || | musí obsahovat alespoň důvod, čas, trvání, | nebo auditní zpráva vydaná pro certifikaci | | | | | | | || | typ a rozsah přístupu a dostatek dalších | ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 | | | | | | | || | údajů potřebných k tomu, aby mohl zákazník | nebo ISO/IEC 27001 od certifikačního orgánu, | | | | | | | || | vyhodnotit rizikovost tohoto přístupu. | který byl akreditován pro provádění auditů | | | | | | | || | | a certifikaci systémů řízení bezpečnosti | | | | | | | || | | informací některým z členů Mezinárodního | | | | | | | || | | akreditačního fóra (IAF), nebo auditní zpráva | | | | | | | || | | SOC 2® Type 2, s odkazem na tu část, ze které | | | | | | | || | | bude patrné, že poskytovatel vyhotovuje záznam | | | | | | | || | | o přístupu jeho interních a externích | | | | | | | || | | pracovníků k nezašifrovaným zákaznickým datům, | | | | | | | || | | ke kterému došlo bez přechozího svolení | | | | | | | || | | zákazníka v daném případě, a že tento záznam | | | | | | | || | | obsahuje důvod, čas, trvání, typ a rozsah | | | | | | | || | | přístupu. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 7.9 | Poskytovatel umožňuje zákazníkovi přístup | Odkaz na konkrétní část podmínek poskytování | X | X | X | X | X | X | X || | k záznamu vytvořenému dle řádku 7.8 přílohy | služby cloud computingu nebo část návrhu | | | | | | | || | č. 2 k této vyhlášce, a za tím účelem ho | smlouvy nebo produktovou specifikaci služby | | | | | | | || | poskytovatel uchová alespoň po dobu 7 dní. | cloud computingu, | | | | | | | || | | | | | | | | | || | Poskytovatel nemusí umožňovat přístup | nebo auditní zpráva vydaná | | | | | | | || | k záznamu v případě, že interní a externí | pro certifikaci ČSN EN ISO/IEC 27001, | | | | | | | || | pracovníci přistupují k nezašifrovanému | EN ISO/IEC 27001 nebo ISO/IEC 27001 od | | | | | | | || | zákaznickému obsahu na základě žádosti | certifikačního orgánu, který byl akreditován | | | | | | | || | cizozemského orgánu o zpřístupnění nebo | pro provádění auditů a certifikaci systémů | | | | | | | || | předání dat a vyrozumění zákazníka o této | řízení bezpečnosti informací některým z členů | | | | | | | || | žádosti není možné v souladu s body 2.1, | Mezinárodního akreditačního fóra (IAF), nebo | | | | | | | || | 2.2 přílohy č. 2 této vyhlášky. | auditní zpráva SOC 2® Type 2, s odkazem na tu | | | | | | | || | | část, ze které bude patrné, že poskytovatel | | | | | | | || | | umožňuje zákazníkovi přístup k záznamu | | | | | | | || | | vytvořenému dle řádku 7.8 přílohy č. 2 k této | | | | | | | || | | vyhlášce, a že takový záznam uchová alespoň | | | | | | | || | | po dobu 7 dní. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 8. Certifikace služby cloud computingu |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 8.1 | Poskytovatel provozuje službu cloud | Čestné prohlášení, že systém řízení | X | | | | X | X | X || | computingu v rozsahu systému řízení | bezpečnosti informací, v jehož rozsahu je | | | | | | | || | bezpečnosti informací, který je | služba cloud computingu provozována, je | | | | | | | || | v souladu s požadavky vyhlášky o | v souladu s požadavky vyhlášky o kybernetické | | | | | | | || | kybernetické bezpečnosti nebo | bezpečnosti nebo s požadavky | | | | | | | || | s požadavky ČSN EN ISO/IEC 27001, | ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo | | | | | | | || | EN ISO/IEC 27001 nebo ISO/IEC 27001. | ISO/IEC 27001 a prohlášení o aplikovatelnosti | | | | | | | || | | jednotlivých opatření. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 8.2 | Poskytovatel je držitelem platné | Platný certifikát ČSN EN ISO/IEC 27001, | | X | | | X | X | X || | certifikace ČSN EN ISO/IEC 27001, | EN ISO/IEC 27001 nebo ISO/IEC 27001 | | | | | | | || | EN ISO/IEC 27001 nebo ISO/IEC 27001 | od certifikačního orgánu, který byl | | | | | | | || | od certifikačního orgánu, který byl | akreditován pro provádění auditů a certifikaci | | | | | | | || | akreditován pro provádění auditů a | systémů řízení bezpečnosti informací některým | | | | | | | || | certifikaci systémů řízení bezpečnosti | z členů Mezinárodního akreditačního fóra (IAF) | | | | | | | || | informací některým z členů Mezinárodního | s označením poskytovatele, kdy rozsah | | | | | | | || | akreditačního fóra (IAF), do jejíhož | certifikace jmenovitě zahrnuje službu | | | | | | | || | rozsahu certifikace náleží posuzovaná | cloud computingu, kterou žádá poskytovatel | | | | | | | || | služba cloud computingu. | zapsat do katalogu cloud computingu, nebo | | | | | | | || | | v případě, že rozsah certifikace uvedený | | | | | | | || | | na certifikátu nezahrnuje jmenovitě službu | | | | | | | || | | cloud computingu, kterou žádá poskytovatel | | | | | | | || | | zapsat do katalogu cloud computingu, čestné | | | | | | | || | | prohlášení, které služby spadají do rozsahu | | | | | | | || | | systému řízení bezpečnosti informací, | | | | | | | || | | pro nějž byl daný certifikát vystaven. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 8.3 | Poskytovatel je držitelem platné | Platný certifikát ČSN EN ISO/IEC 27001, | | | X | X | X | X | X || | certifikace ČSN EN ISO/IEC 27001, | EN ISO/IEC 27001 nebo ISO/IEC 27001 od | | | | | | | || | EN ISO/IEC 27001 nebo ISO/IEC 27001 | certifikačního orgánu, který byl akreditován | | | | | | | || | od certifikačního orgánu, který byl | pro provádění auditů a certifikaci systémů | | | | | | | || | akreditován pro provádění auditů a | řízení bezpečnosti informací některým z členů | | | | | | | || | certifikaci systémů řízení bezpečnosti | Mezinárodního akreditačního fóra (IAF), | | | | | | | || | informací některým z členů Mezinárodního | s označením poskytovatele, kdy rozsah | | | | | | | || | akreditačního fóra (IAF), do jejíhož | certifikace jmenovitě zahrnuje službu cloud | | | | | | | || | rozsahu certifikace náleží posuzovaná | computingu, kterou žádá poskytovatel zapsat | | | | | | | || | služba cloud computingu. | do katalogu cloud computingu, | | | | | | | || | | | | | | | | | || | | nebo v případě, že rozsah certifikace uvedený | | | | | | | || | | na certifikátu nezahrnuje jmenovitě službu | | | | | | | || | | cloud computingu, kterou žádá poskytovatel | | | | | | | || | | zapsat do katalogu cloud computingu, čestné | | | | | | | || | | prohlášení, které služby spadají do rozsahu | | | | | | | || | | systému řízení bezpečnosti informací, pro nějž | | | | | | | || | | byl daný certifikát vystaven, a dále příslušné | | | | | | | || | | prohlášení o aplikovatelnosti. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 8.4 | Poskytovatel je držitelem platné | Platný certifikát ČSN EN ISO/IEC 27001, | | X | | | X | X | X || | certifikace ČSN EN ISO/IEC 27001, | EN ISO/IEC 27001 nebo ISO/IEC 27001 od | | | | | | | || | EN ISO/IEC 27001 nebo ISO/IEC 27001 | certifikačního orgánu, který byl akreditován | | | | | | | || | od certifikačního orgánu, který byl | pro provádění auditů a certifikaci systémů | | | | | | | || | akreditován pro provádění auditů a | řízení bezpečnosti informací některým z členů | | | | | | | || | certifikaci systémů řízení bezpečnosti | Mezinárodního akreditačního fóra (IAF), | | | | | | | || | informací některým z členů Mezinárodního | s označením poskytovatele, kdy rozsah | | | | | | | || | akreditačního fóra (IAF), do jejíhož | certifikace jmenovitě zahrnuje službu cloud | | | | | | | || | rozsahu certifikace náleží posuzovaná | computingu, kterou žádá poskytovatel zapsat | | | | | | | || | služba cloud computingu provozovaná | do katalogu cloud computingu a provozovanou | | | | | | | || | v souladu s postupy normy ČSN ISO/IEC 27017 | v souladu s postupy normy ČSN ISO/IEC 27017 | | | | | | | || | nebo ISO/IEC 27017. | nebo ISO/IEC 27017, | | | | | | | || | | | | | | | | | || | | nebo v případě, že rozsah certifikace uvedený | | | | | | | || | | na certifikátu nezahrnuje jmenovitě službu | | | | | | | || | | cloud computingu, kterou žádá poskytovatel | | | | | | | || | | zapsat do katalogu cloud computingu, čestné | | | | | | | || | | prohlášení, které služby spadají do rozsahu | | | | | | | || | | systému řízení bezpečnosti informací, pro nějž | | | | | | | || | | byl daný certifikát vystaven. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 8.5 | Poskytovatel je držitelem platné | Platný certifikát ČSN EN ISO/IEC 27001, | | | X | X | X | X | X || | certifikace ČSN EN ISO/IEC 27001, | EN ISO/IEC 27001 nebo ISO/IEC 27001 | | | | | | | || | EN ISO/IEC 27001 nebo ISO/IEC 27001 | od certifikačního orgánu, který byl | | | | | | | || | od certifikačního orgánu, který byl | akreditován pro provádění auditů a certifikaci | | | | | | | || | akreditován pro provádění auditů a | systémů řízení bezpečnosti informací některým | | | | | | | || | certifikaci systémů řízení bezpečnosti | z členů Mezinárodního akreditačního fóra (IAF), | | | | | | | || | informací některým z členů Mezinárodního | s označením poskytovatele, kdy rozsah | | | | | | | || | akreditačního fóra (IAF), do jejíhož | certifikace jmenovitě zahrnuje službu cloud | | | | | | | || | rozsahu certifikace náleží posuzovaná | computingu, kterou žádá poskytovatel zapsat | | | | | | | || | služba cloud computingu provozovaná | do katalogu cloud computingu a provozovanou | | | | | | | || | v souladu s postupy normy | v souladu s postupy normy ČSN ISO/IEC 27017 | | | | | | | || | ČSN EN ISO/IEC 27017 nebo EN ISO/IEC 27017. | nebo ISO/IEC 27017, | | | | | | | || | | | | | | | | | || | | nebo v případě, že rozsah certifikace uvedený | | | | | | | || | | na certifikátu nezahrnuje jmenovitě službu cloud | | | | | | | || | | computingu, kterou žádá poskytovatel zapsat | | | | | | | || | | do katalogu cloud computingu, čestné prohlášení, | | | | | | | || | | které služby spadají do rozsahu systému řízení | | | | | | | || | | bezpečnosti informací, pro nějž byl daný | | | | | | | || | | certifikát vystaven, a dále příslušné prohlášení | | | | | | | || | | o aplikovatelnosti. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 8.6 | Poskytovatel je držitelem platné | Platný certifikát ČSN EN ISO/IEC 27001, | | | X | X | X | X | X || | certifikace ČSN EN ISO/IEC 27001, | EN ISO/IEC 27001 nebo ISO/IEC 27001 od | | | | | | | || | EN ISO/IEC 27001 nebo ISO/IEC 27001 | certifikačního orgánu, který byl akreditován | | | | | | | || | od certifikačního orgánu, který byl | pro provádění auditů a certifikaci systémů | | | | | | | || | akreditován pro provádění auditů a | řízení bezpečnosti informací některým z členů | | | | | | | || | certifikaci systémů řízení bezpečnosti | Mezinárodního akreditačního fóra (IAF) | | | | | | | || | informací některým z členů Mezinárodního | s označením poskytovatele, kdy rozsah | | | | | | | || | akreditačního fóra (IAF), do jejíhož | certifikace jmenovitě zahrnuje službu cloud | | | | | | | || | rozsahu certifikace náleží posuzovaná | computingu, kterou žádá poskytovatel zapsat | | | | | | | || | služba cloud computingu provozovaná | do katalogu cloud computingu a provozovanou | | | | | | | || | v souladu s postupy normy ČSN ISO/IEC 27018 | v souladu s postupy normy ČSN ISO/IEC 27018 | | | | | | | || | nebo ISO/IEC 27018. | nebo ISO/IEC 27018, | | | | | | | || | | | | | | | | | || | | nebo v případě, že rozsah certifikace uvedený | | | | | | | || | | na certifikátu nezahrnuje jmenovitě službu | | | | | | | || | | cloud computingu, kterou žádá poskytovatel | | | | | | | || | | zapsat do katalogu cloud computingu, čestné | | | | | | | || | | prohlášení, které služby spadají do rozsahu | | | | | | | || | | systému řízení bezpečnosti informací, pro nějž | | | | | | | || | | byl daný certifikát vystaven, a dále příslušné | | | | | | | || | | prohlášení o aplikovatelnosti. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 8.7 | Poskytovatel je držitelem auditní zprávy | Auditní zpráva SOC 2® Type 2 v doménách | | | X | X | X | X | X || | SOC 2® Type 2 nebo auditní zprávy o | bezpečnosti, dostupnosti, procesní integrity, | | | | | | | || | vyhodnocení shody s aktuálními požadavky | důvěrnosti a soukromí nebo auditní zpráva | | | | | | | || | Cloud Computing Compliance Criteria Catalogue | o vyhodnocení shody s aktuálními požadavky | | | | | | | || | C5 vydaný BSI, a to ve formě Type 2, která | Cloud Computing Compliance Criteria Catalogue | | | | | | | || | není starší než 24 měsíců, do jejíhož rozsahu | (C5) vydaný BSI, a to ve formě Type 2. | | | | | | | || | náleží posuzovaná služba cloud computingu, | | | | | | | | || | vydaná nezávislým auditorem. | | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 9. Kybernetické bezpečnostní události a kybernetické bezpečnostní incidenty |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 9.1 | Poskytovatel má zaveden nástroj na sledování | Odkaz na konkrétní část podmínek poskytování | X | | | | X | X | X || | a vyhodnocování kybernetických bezpečnostních | služby cloud computingu, část návrhu smlouvy | | | | | | | || | událostí. | nebo jiný popis služby cloud computingu, | | | | | | | || | | ze které bude patrné, že poskytovatel má | | | | | | | || | | zaveden nástroj na sledování a vyhodnocování | | | | | | | || | | kybernetických bezpečnostních událostí, | | | | | | | || | | | | | | | | | || | | nebo auditní zpráva vydaná pro certifikaci | | | | | | | || | | ČSN EN ISO/IEC 27001,EN ISO/IEC 27001 nebo | | | | | | | || | | ISO/IEC 27001 od certifikačního orgánu, který | | | | | | | || | | byl akreditován pro provádění auditů a | | | | | | | || | | certifikaci systémů řízení bezpečnosti | | | | | | | || | | informací některým z členů Mezinárodního | | | | | | | || | | akreditačního fóra (IAF), nebo auditní zpráva | | | | | | | || | | SOC 2® Type 2, s odkazem na tu část, ze které | | | | | | | || | | bude patrné, že poskytovatel má zaveden | | | | | | | || | | nástroj na sledování a vyhodnocování | | | | | | | || | | kybernetických bezpečnostních událostí. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 9.2 | Poskytovatel má zaveden nástroj | Odkaz na konkrétní část podmínek poskytování | | X | X | X | X | X | X || | na sledování a vyhodnocování | služby cloud computingu, část návrhu smlouvy | | | | | | | || | kybernetických bezpečnostních událostí. | nebo jiný popis služby cloud computingu, | | | | | | | || | Poskytovatel umožní zpřístupnění | ze kterých bude patrné, že poskytovatel má | | | | | | | || | vzdáleně všech událostí tykajících | zaveden nástroj na sledování a vyhodnocování | | | | | | | || | se konkrétního zákazníka zákazníkovi. | kybernetických bezpečnostních událostí a | | | | | | | || | Nové události zpřístupní zákazníkovi bez | umožní zpřístupnění vzdáleně všech událostí | | | | | | | || | zbytečného odkladu po vzniku události, | tykajících se konkrétního zákazníka zákazníkovi | | | | | | | || | nejpozději však do 24 hodin. | a nové události zpřístupní zákazníkovi bez | | | | | | | || | | zbytečného odkladu, nejpozději však do 24 hodin | | | | | | | || | | po vzniku události, | | | | | | | || | | | | | | | | | || | | nebo auditní zpráva vydaná pro certifikaci | | | | | | | || | | ČSN EN ISO/IEC 27001,EN ISO/IEC 27001 nebo | | | | | | | || | | ISO/IEC 27001 od certifikačního orgánu, který | | | | | | | || | | byl akreditován pro provádění auditů a | | | | | | | || | | certifikaci systémů řízení bezpečnosti | | | | | | | || | | informací některým z členů Mezinárodního | | | | | | | || | | akreditačního fóra (IAF), nebo auditní zpráva | | | | | | | || | | SOC 2® Type 2, s odkazem na tu část, ze které | | | | | | | || | | bude patrné, že poskytovatel má zaveden nástroj | | | | | | | || | | na sledování a vyhodnocování kybernetických | | | | | | | || | | bezpečnostních událostí, umožní zpřístupnění | | | | | | | || | | vzdáleně všech událostí tykajících se | | | | | | | || | | konkrétního zákazníka zákazníkovi a nové | | | | | | | || | | události zpřístupní zákazníkovi bez zbytečného | | | | | | | || | | odkladu po vzniku události, nejpozději však | | | | | | | || | | do 24 hodin. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 9.3 | Poskytovatel informuje zákazníka v případě | Odkaz na konkrétní část podmínek poskytování | X | X | X | X | X | X | X || | narušení bezpečnosti informací zákaznických | služby cloud computingu, část návrhu smlouvy | | | | | | | || | dat a specifických provozních údajů bez | nebo jiný popis služby cloud computingu, | | | | | | | || | zbytečného odkladu, ale nejpozději do 72 hodin | ze které bude patrné, že poskytovatel | | | | | | | || | od okamžiku, kdy se o narušení bezpečnosti | informuje zákazníka v případě narušení | | | | | | | || | zákaznických dat dozvěděl. Jakmile je řešení | bezpečnosti informací zákaznických dat a | | | | | | | || | incidentu uzavřeno, informuje poskytovatel | specifických provozních údajů bez zbytečného | | | | | | | || | zákazníka o přijatých opatřeních. | odkladu, ale nejpozději do 72 hodin | | | | | | | || | | od okamžiku, kdy se o narušení bezpečnosti | | | | | | | || | | zákaznických dat dozvěděl. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 10. Testování služby cloud computingu |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 10.1 | Poskytovatel provádí pravidelně skeny | Tři záznamy o provedení skenů zranitelností | X | X | X | X | X | X | X || | zranitelností. Služba cloud computingu | provedených maximálně 3 měsíce před podáním | | | | | | | || | zapisovaná do katalogu cloud computingu musí | žádosti o zápis služby cloud computingu | | | | | | | || | být zahrnuta do rozsahu skenu zranitelností. | do katalogu cloud computingu, | | | | | | | || | | | | | | | | | || | | nebo auditní zpráva vydaná pro certifikaci | | | | | | | || | | ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo | | | | | | | || | | ISO/IEC 27001 od certifikačního orgánu, který | | | | | | | || | | byl akreditován pro provádění auditů a | | | | | | | || | | certifikaci systémů řízení bezpečnosti | | | | | | | || | | informací některým z členů Mezinárodního | | | | | | | || | | akreditačního fóra (IAF), nebo auditní zprávu | | | | | | | || | | SOC 2® Type 2, s odkazem na tu část, ze které | | | | | | | || | | bude patrné, že skeny zranitelností jsou | | | | | | | || | | prováděny pravidelně v takovém intervalu, | | | | | | | || | | ze kterého bude vyplývat, že byly provedeny | | | | | | | || | | alespoň 3 skeny zranitelností maximálně | | | | | | | || | | 3 měsíce před podáním žádosti o zápis služby | | | | | | | || | | cloud computingu do katalogu cloud | | | | | | | || | | computingu. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 10.2 | Poskytovatel zajišťuje provádění penetračních | Zpráva z provedení penetračního testu | | | X | X | X | X | || | testů subjektem, který je nezávislý | provedeného podle standardu NIST 800-115 | | | | | | | || | na poskytovateli. Služba cloud computingu | nebo v souladu s metodikou OSSTMM. | | | | | | | || | zapisovaná do katalogu cloud computingu musí | Penetrační test provede subjekt, který je | | | | | | | || | být zahrnuta do rozsahu penetračního testu. | nezávislý na poskytovateli. Zpráva | | | | | | | || | | z provedení penetračního testu nesmí být | | | | | | | || | | starší než 24 měsíců před podáním žádosti | | | | | | | || | | o zápis služby cloud computingu do katalogu | | | | | | | || | | cloud computingu. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+| 10.3 | Poskytovatel zajišťuje provádění penetračních | Zpráva z provedení penetračního testu, | | | X | X | | | X || | testů subjektem, který je nezávislý | při kterém budou ověřena rizika alespoň | | | | | | | || | na poskytovateli. Služba cloud computingu | podle standardu OWASP Top 10 Web | | | | | | | || | zapisovaná do katalogu cloud computingu musí | Application Security Risks. Penetrační test | | | | | | | || | být zahrnuta do rozsahu penetračního testu. | provede subjekt, který je nezávislý | | | | | | | || | | na poskytovateli. Zpráva z provedení | | | | | | | || | | penetračního testu nesmí být starší než | | | | | | | || | | 24 měsíců před podáním žádosti o zápis služby | | | | | | | || | | cloud computingu do katalogu cloud computingu. | | | | | | | |+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
------------------------------------------------------------------
Příloha č. 3
+------------------------------------------------------------------------------------------------------------------------------------------------------------------+| Seznam certifikací pro oblast ochrany důvěrnosti, integrity a dostupnosti informací |+------------------------------------------------------------------------------------------------------------------------------------------------------------------+| || - ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 || - ČSN ISO/IEC 27017 nebo ISO/IEC 27017 || - ČSN ISO/IEC 27018 nebo ISO/IEC 27018 || |+------------------------------------------------------------------------------------------------------------------------------------------------------------------+| Doklady o splnění |+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+| Pro řádek 8.2 | Platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění || přílohy č. 2 | auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), s označením poskytovatele, || k této vyhlášce | kdy rozsah certifikace jmenovitě zahrnuje službu cloud computingu, kterou žádá poskytovatel zapsat do katalogu cloud computingu, nebo || | v případě, že rozsah certifikace uvedený na certifikátu nezahrnuje jmenovitě službu cloud computingu, kterou žádá poskytovatel zapsat || | do katalogu cloud computingu, čestné prohlášení, které služby spadají do rozsahu systému řízení bezpečnosti informací, pro nějž byl daný || | certifikát vystaven, a dále příslušné prohlášení o aplikovatelnosti. |+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+| Pro řádek 8.3 | Platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění || přílohy č. 2 | auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), s označením poskytovatele, || k této vyhlášce | kdy rozsah certifikace jmenovitě zahrnuje službu cloud computingu, kterou žádá poskytovatel zapsat do katalogu cloud computingu, nebo || | v případě, že rozsah certifikace uvedený na certifikátu nezahrnuje jmenovitě službu cloud computingu, kterou žádá poskytovatel zapsat || | do katalogu cloud computingu, čestné prohlášení, které služby spadají do rozsahu systému řízení bezpečnosti informací, pro nějž byl daný || | certifikát vystaven, a dále příslušné prohlášení o aplikovatelnosti. |+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+| Pro řádek 8.4 | Platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění || přílohy č. 2 | auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), s označením poskytovatele, || k této vyhlášce | kdy rozsah certifikace jmenovitě zahrnuje službu cloud computingu, kterou žádá poskytovatel zapsat do katalogu cloud computingu a || | provozovanou v souladu s postupy normy ČSN ISO/IEC 27017 nebo ISO/IEC 27017, nebo v případě, že rozsah certifikace uvedený na certifikátu || | nezahrnuje jmenovitě službu cloud computingu, kterou žádá poskytovatel zapsat do katalogu cloud computingu, čestné prohlášení o tom, které || | služby spadají do rozsahu systému řízení bezpečnosti informací, pro nějž byl daný certifikát vystaven, a dále příslušné prohlášení || | o aplikovatelnosti. |+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+| Pro řádek 8.5 | Platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění || přílohy č. 2 | auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), s označením poskytovatele, || k této vyhlášce | kdy rozsah certifikace jmenovitě zahrnuje službu cloud computingu, kterou žádá poskytovatel zapsat do katalogu cloud computingu a || | provozovanou v souladu s postupy normy ČSN ISO/IEC 27017 nebo ISO/IEC 27017, nebo v případě, že rozsah certifikace uvedený na certifikátu || | nezahrnuje jmenovitě službu cloud computingu, kterou žádá poskytovatel zapsat do katalogu cloud computingu, čestné prohlášení o tom, které || | služby spadají do rozsahu systému řízení bezpečnosti informací, pro nějž byl daný certifikát vystaven, a dále příslušné prohlášení || | o aplikovatelnosti. |+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+| Pro řádek 8.6 | Platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění || přílohy č. 2 | auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), s označením poskytovatele, || k této vyhlášce | kdy rozsah certifikace jmenovitě zahrnuje službu cloud computingu, kterou žádá poskytovatel zapsat do katalogu cloud computingu a || | provozovanou v souladu s postupy normy ČSN ISO/IEC 27018 nebo ISO/IEC 27018, nebo v případě, že rozsah certifikace uvedený na certifikátu || | nezahrnuje jmenovitě službu cloud computingu, kterou žádá poskytovatel zapsat do katalogu cloud computingu, čestné prohlášení, které služby || | spadají do rozsahu systému řízení bezpečnosti informací pro nějž byl daný certifikát vystaven, a dále příslušné prohlášení o aplikovatelnosti. |+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+| Pro řádek 8.7 | Auditní zprávu SOC 2® Type 2 v doménách bezpečnosti, dostupnosti, procesní integrity, důvěrnosti a soukromí nebo auditní zprávu o vyhodnocení || přílohy č. 2 | shody s aktuálními požadavky Cloud Computing Compliance Criteria Catalogue (C5) vydaný BSI, a to ve formě Type 2, přičemž tyto auditní zprávy || k této vyhlášce | nesmí být starší než 24 měsíců k datu podání žádosti o zápis do katalogu cloud computingu. |+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+| Poskytovatel dodá každých 15 měsíců evidence služby cloud computingu v katalogu cloud computingu vedeném Ministerstvem vnitra |+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+| Pro řádek 8.2 | Doklad platnosti certifikátu nebo platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který || přílohy č. 2 | byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra || k této vyhlášce | (IAF), s označením poskytovatele, ne starší než 3 měsíce v době jeho dodání, kdy rozsah certifikace jmenovitě zahrnuje v katalogu cloud || | computingu zapsanou službu cloud computingu, nebo v případě, že rozsah certifikace uvedený na certifikátu nezahrnuje v katalogu cloud || | computingu zapsanou službu cloud computingu, čestné prohlášení o tom, které služby spadají do rozsahu systému řízení bezpečnosti informací, || | pro nějž byl daný certifikát vystaven, a dále příslušné prohlášení o aplikovatelnosti. |+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+| Pro řádek 8.3 | Doklad platnosti certifikátu nebo platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který || přílohy č. 2 | byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra || k této vyhlášce | (IAF), s označením poskytovatele, ne starší než 3 měsíce v době jeho dodání, kdy rozsah certifikace jmenovitě zahrnuje v katalogu cloud || | computingu zapsanou službu cloud computingu, nebo v případě, že rozsah certifikace uvedený na certifikátu nezahrnuje v katalogu cloud || | computingu zapsanou službu cloud computingu, čestné prohlášení o tom, které služby spadají do rozsahu systému řízení bezpečnosti informací, || | pro nějž byl daný certifikát vystaven, a dále příslušné prohlášení o aplikovatelnosti. |+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+| Pro řádek 8.4 | Doklad platnosti certifikátu nebo platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který || přílohy č. 2 | byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra || k této vyhlášce | (IAF), s označením poskytovatele, ne starší než 3 měsíce v době jeho dodání, kdy rozsah certifikace jmenovitě zahrnuje v katalogu cloud || | computingu zapsanou službu cloud computingu provozovanou v souladu s postupy normy ČSN ISO/IEC 27017 nebo ISO/IEC 27017, nebo v případě, || | že rozsah certifikace uvedený na certifikátu nezahrnuje v katalogu cloud computingu zapsanou službu cloud computingu, čestné prohlášení || | o tom, které služby spadají do rozsahu systému řízení bezpečnosti informací, pro nějž byl daný certifikát vystaven, a dále příslušné || | prohlášení o aplikovatelnosti. |+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+| Pro řádek 8.5 | Doklad platnosti certifikátu nebo platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který || přílohy č. 2 | byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra || k této vyhlášce | (IAF), s označením poskytovatele, ne starší než 3 měsíce v době jeho dodání, kdy rozsah certifikace jmenovitě zahrnuje v katalogu cloud || | computingu zapsanou službu cloud computingu provozovanou v souladu s postupy normy ČSN ISO/IEC 27017 nebo ISO/IEC 27017, nebo v případě, || | že rozsah certifikace uvedený na certifikátu nezahrnuje v katalogu cloud computingu zapsanou službu cloud computingu, čestné prohlášení || | o tom, které služby spadají do rozsahu systému řízení bezpečnosti informací, pro nějž byl daný certifikát vystaven, a dále příslušné || | prohlášení o aplikovatelnosti. |+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+| Pro řádek 8.6 | Doklad platnosti certifikátu nebo platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který || přílohy č. 2 | byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra || k této vyhlášce | (IAF), s označením poskytovatele, ne starší než 3 měsíce v době jeho dodání, kdy rozsah certifikace jmenovitě zahrnuje v katalogu cloud || | computingu zapsanou službu cloud computingu provozovanou v souladu s postupy normy ČSN ISO/IEC 27018 nebo ISO/IEC 27018, nebo v případě, || | že rozsah certifikace uvedený na certifikátu nezahrnuje v katalogu cloud computingu zapsanou službu cloud computingu, čestné prohlášení || | o tom, které služby spadají do rozsahu systému řízení bezpečnosti informací, pro nějž byl daný certifikát vystaven, a dále příslušné || | prohlášení o aplikovatelnosti. |+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+| V případě, že některou ze skutečností dokládá poskytovatel předložením auditní zprávy SOC 2® Type 2, nesmí být tato auditní zpráva starší než 24 měsíců || k datu podání žádosti o zápis do katalogu cloud computingu nebo k datu dokládané skutečnosti. |+------------------------------------------------------------------------------------------------------------------------------------------------------------------+| Poskytovatel dodá každých 24 měsíců evidence služby cloud computingu v katalogu cloud computingu vedeném Ministerstvem vnitra |+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+| Pro řádek 8.7 | Auditní zprávu SOC 2® Type 2 v doménách bezpečnosti, dostupnosti, procesní integrity, důvěrnosti a soukromí nebo auditní zprávu || přílohy č. 2 | o vyhodnocení shody s aktuálními požadavky Cloud Computing Compliance Criteria Catalogue (C5) vydaný BSI, a to ve formě Type 2, přičemž || k této vyhlášce | tyto auditní zprávy nesmí být starší než 24 měsíců. |+-----------------+------------------------------------------------------------------------------------------------------------------------------------------------+
------------------------------------------------------------------
Příloha č. 4
+----------------------------------------------------------------------------------------------------------------------------------------------------------------+| Požadavky na strukturu a náležitosti zprávy o provedení penetračního testu || |+------------------+---------------------------------------------------------------------------------------------------------------------------------------------+| Pro řádek 10.1 | Tři záznamy o provedení skenu zranitelností provedených maximálně 3 měsíce před podáním žádosti o zápis do katalogu cloud computingu nebo || přílohy č. 2 | auditní zpráva vydaná pro certifikaci ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl || k této vyhlášce | akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra || | (IAF), nebo auditní zprávy SOC 2® Type 2, s odkazem na tu část, ze které bude patrné, že skeny zranitelností jsou prováděny pravidelně || | v takovém intervalu, ze kterého bude vyplývat, že byly provedeny alespoň 3 skeny zranitelností maximálně 3 měsíce před podáním žádosti || | o zápis do katalogu cloud computingu. || | |+------------------+---------------------------------------------------------------------------------------------------------------------------------------------+| Pro řádek 10.2 | Zprávu o provedení penetračního testu provedeného podle standardu NIST 800-115 nebo v souladu s metodikou OSSTMM, provedeného subjektem, || přílohy č. 2 | který je nezávislý na poskytovateli. Zpráva o provedení penetračního testu nesmí být starší než 24 měsíců před podáním žádosti o zápis || k této vyhlášce | do katalogu cloud computingu. || | |+------------------+---------------------------------------------------------------------------------------------------------------------------------------------+| Pro řádek 10.3 | Zpráva o provedení penetračního testu, při kterém budou ověřena rizika alespoň podle standardu OWASP Top 10 Web Application Security || přílohy č. 2 | Risks provedeného subjektem, který je nezávislý na poskytovateli. Zpráva o provedení penetračního testu nesmí být starší než 24 měsíců || k této vyhlášce | před podáním žádosti o zápis do katalogu cloud computingu. || | |+------------------+---------------------------------------------------------------------------------------------------------------------------------------------+| Poskytovatel dodá každých 24 měsíců evidence služby cloud computingu v katalogu cloud computingu Ministerstvu vnitra || |+------------------+---------------------------------------------------------------------------------------------------------------------------------------------+| Pro řádek 10.1 | Čtyři záznamy o provedení skenu zranitelností provedených každých 6 měsíců evidence v katalogu cloud computingu nebo auditní zpráva || přílohy č. 2 | vydaná pro certifikaci ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro || k této vyhlášce | provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), nebo || | auditní zprávy SOC 2® Type 2, s odkazem na tu část, ze které bude patrné, že skeny zranitelností jsou prováděny pravidelně v takovém || | intervalu, ze kterého bude vyplývat, že byly provedeny alespoň 4 skeny zranitelností každých 6 měsíců evidence v katalogu cloud || | computingu. || | |+------------------+---------------------------------------------------------------------------------------------------------------------------------------------+| Pro řádek 10.2 | Zprávu z provedení penetračního testu provedeného podle standardu NIST 800-115 nebo v souladu s metodikou OSSTMM, provedeného subjektem, || přílohy č. 2 | který je nezávislý na poskytovateli. Zpráva o provedení penetračního testu nesmí být starší než 23 měsíců od zápisu do katalogu cloud || k této vyhlášce | computingu nebo dodání předchozí zprávy o provedení penetračního testu. || | |+------------------+---------------------------------------------------------------------------------------------------------------------------------------------+| Pro řádek 10.3 | Zprávu o provedení penetračního testu, při kterém budou ověřena rizika alespoň podle standardu OWASP Top 10 Web Application Security || přílohy č. 2 | Risks provedeného subjektem, který je nezávislý na poskytovateli. Zpráva o provedení penetračního testu nesmí být starší než 23 měsíců || k této vyhlášce | od zápisu do katalogu cloud computingu nebo dodání předchozí zprávy o provedení penetračního testu. || | |+------------------+---------------------------------------------------------------------------------------------------------------------------------------------+
------------------------------------------------------------------
Příloha č. 5
+------------------+---------------------------------------------------------------------------------------------------------------------------------------------+| Pro řádek 6.4 | Zpráva nebo jiný doklad o zhodnocení přírodních zdrojů rizik a zdrojů rizik vyvolaných činností člověka musí obsahovat přehledně || přílohy č. 2 | a srozumitelně: || k této vyhlášce | || | - označení subjektu poskytovatele cloud computingu, || | - označení posuzovaných lokalit primárního/záložního datového centra, || | - označení zpracovatele zprávy, || | - datum zpracování zprávy. || | || | 1. Situační, dispoziční a konstrukční řešení objektu primárního/záložního datového centra - stručný popis stavby z hlediska dispozičního || | uspořádání a umístění stavby ve vztahu k okolní zástavbě a geolokaci, případně popis technologie provozu. || | || | 2. Analýzu ohrožení každého primárního/záložního datového centra, ze kterého je poskytována služba cloud computingu, zahrnující: || | a) identifikaci zdrojů rizik, || | b) pravděpodobnost aktivace zdroje rizik, || | c) míru dopadu, || | d) popis možné škody, || | e) označení rizika v matici rizik, || | f) vyjádření významnosti rizika, || | g) aplikovaná protiopatření. || | || | 3. Přílohou zprávy budou zvolené škály pravděpodobnosti aktivace zdroje rizik a míry dopadu, kritéria pro hodnocení významnosti rizik || | a zpracovaná matice rizik, která kombinuje pravděpodobnost aktivace zdroje rizik a míru dopadu a ukazuje jaká rizika z toho vyplývají || | s jakou mírou přijatelnosti. || | || | Zpráva zohlední zejména tyto zdroje rizik: || | - požár, || | - vydatné srážky, || | - povodeň, || | - tsunami, || | - krupobití, || | - extrémně vysoké teploty, || | - dlouhodobé sucho, || | - extrémní vítr, || | - tornádo, || | - extrémně nízké teploty, || | - sněhová kalamita, || | - sněhová lavina, || | - náledí a ledovka, || | - geomagnetické anomálie, || | - zemětřesení, || | - propad zemských dutin, || | - svahová nestabilita, || | - sopečná erupce, || | - závažná nehoda - pád letadla, || | - epidemie - hromadné nákazy osob, || | - závažné narušení bezpečnosti komunikační sítě a ztráta integrity komunikační sítě, || | - narušení dodávek elektrické energie velkého rozsahu, || | - radiační havárie. || | |+------------------+---------------------------------------------------------------------------------------------------------------------------------------------+
******************************************************************