Seznam zpracovatelů¶
Třetí strany zpracovávající údaje a poskytovatelé ICT služeb pro MazeVault
ID dokumentu: MV-LEG-033
Verze: 1.0.0
Klasifikace: Důvěrné
Vlastník: Pověřenec pro ochranu osobních údajů (DPO)
Poslední aktualizace: 2026-05-01
Cyklus revize: Čtvrtletně
Schválil: CISO / DPO
1. Účel¶
Tento dokument uvádí všechny dílčí zpracovatele a poskytovatele ICT služeb třetích stran, které MazeVault využívá při poskytování svých služeb. Dokument je udržován v souladu s:
- GDPR článek 28(2) — Zpracovatel nesmí zapojit jiného zpracovatele bez předchozího konkrétního nebo obecného písemného souhlasu správce
- DORA článek 29 — Finanční subjekty musí být informovány o řetězcích subdodávek
- Zákon č. 264/2025 Sb. §27 — Transparentnost dodavatelského řetězce pro regulované subjekty
Zákazníci jsou informováni nejméně 30 dní předem o jakýchkoli změnách tohoto seznamu a mají právo vznést námitku.
2. Aktuální zpracovatelé¶
2.1 Infrastruktura a cloudové služby¶
| Zpracovatel | Právní subjekt | Umístění | Služba | Zpracovávaná data | Certifikace |
|---|---|---|---|---|---|
| Microsoft Azure | Microsoft Corporation | EU (West Europe — Nizozemsko) | Cloudová infrastruktura: AKS, ACR, Key Vault, Managed HSM, PostgreSQL, Redis | Šifrovaná zákaznická data (v klidu), kontejnerové obrazy, šifrovací klíče (zabalené HSM) | ISO 27001, SOC 2 Type II, CSA STAR, FIPS 140-2 L3 (HSM) |
| Microsoft Azure (DR Region) | Microsoft Corporation | EU (North Europe — Irsko) | Infrastruktura pro obnovu po havárii (studená záloha) | Geograficky replikovaná data (šifrovaná) | Stejné jako výše |
2.2 Vývoj a CI/CD¶
| Zpracovatel | Právní subjekt | Umístění | Služba | Zpracovávaná data | Certifikace |
|---|---|---|---|---|---|
| GitHub | GitHub, Inc. (Microsoft) | USA (s rezidencí dat v EU) | Repozitář zdrojového kódu, CI/CD (GitHub Actions), registr kontejnerů (GHCR) | Zdrojový kód, CI artefakty, kontejnerové obrazy | SOC 2 Type II, ISO 27001 |
Žádná zákaznická data na GitHubu
GitHub zpracovává pouze zdrojový kód a sestavovací artefakty MazeVault. Žádné osobní údaje zákazníků ani tajné klíče nejsou uloženy na GitHubu ani do něj přenášeny. Zákaznická nasazení jsou plně samostatná.
2.3 Poskytovatelé certifikačních autorit¶
| Zpracovatel | Právní subjekt | Umístění | Služba | Zpracovávaná data | Certifikace |
|---|---|---|---|---|---|
| DigiCert | DigiCert, Inc. | USA | Vydávání veřejných certifikátů | Data CSR (CN, SAN), údaje pro validaci organizace | WebTrust, ISO 27001 |
| Let's Encrypt | Internet Security Research Group (ISRG) | USA | Automatizované certifikáty ACME | Doménová jména, tokeny výzvy ACME | WebTrust |
| I.CA | I.CA (První certifikační autorita, a.s.) | Česká republika | Kvalifikované certifikáty (eIDAS) | Data CSR, údaje o organizaci | eIDAS QTSP, ISO 27001 |
Použití poskytovatelů CA
Poskytovatelé certifikačních autorit jsou zapojeni pouze v případě, že zákazník nakonfiguruje vydávání certifikátů prostřednictvím těchto poskytovatelů. Zákazníci si volí, které CA budou používat. MazeVault předkládá CSR jménem zákazníka — žádné soukromé klíče nejsou přenášeny.
2.4 Správa licencí¶
| Zpracovatel | Právní subjekt | Umístění | Služba | Zpracovávaná data | Certifikace |
|---|---|---|---|---|---|
| Google Cloud Platform | Google LLC | EU (europe-west1 — Belgie) | Hosting licenčního serveru (Cloud Run) | Název organizace, licenční klíč, e-mail administrátora, metriky využití | ISO 27001, SOC 2 Type II |
3. Komponenty spravované zákazníkem (NEJSOU zpracovatelé)¶
Následující komponenty jsou nasazeny a spravovány v rámci vlastní infrastruktury zákazníka. MazeVault nemá v produkčním prostředí přístup k těmto systémům:
| Komponenta | Popis | Umístění dat |
|---|---|---|
| PostgreSQL | Primární databáze | Infrastruktura zákazníka |
| Redis | Mezipaměť relací, pomíjivá data | Infrastruktura zákazníka |
| MazeVault Backend | Aplikační server | Infrastruktura zákazníka |
| MazeVault Frontend | Webové uživatelské rozhraní | Infrastruktura zákazníka |
| MazeVault Agent | Nasazení certifikátů on-premise | Infrastruktura zákazníka |
| OCSP Responder | Služba stavu certifikátů | Infrastruktura zákazníka |
4. Proces oznamování změn zpracovatelů¶
4.1 Oznámení¶
MazeVault informuje zákazníky nejméně 30 kalendářních dní před zapojením nového zpracovatele nebo podstatnou změnou rozsahu stávajícího zpracovatele.
Oznámení je poskytováno prostřednictvím:
- E-mailu na určený kontakt pro ochranu osobních údajů
- Aktualizace tohoto dokumentu (zvýšení čísla verze)
- Oznámení v administračním panelu MazeVault (pokud je k dispozici)
4.2 Právo zákazníka na námitku¶
Zákazníci mohou vznést námitku proti novému zpracovateli do 15 kalendářních dní od oznámení. Námitky musí být písemné a musí uvádět přiměřené důvody související s ochranou osobních údajů nebo bezpečnostními obavami.
Po obdržení námitky MazeVault:
- Projedná obavy se zákazníkem do 5 pracovních dní
- Pokud námitku nelze vyřešit:
- MazeVault vynaloží obchodně přiměřené úsilí k zajištění alternativy
- Pokud není alternativa proveditelná, kterákoli strana může dotčenou službu ukončit s 90denní výpovědní lhůtou
4.3 Nouzové změny¶
Ve výjimečných okolnostech (např. bezpečnostní incident zpracovatele vyžadující okamžitou migraci) může MazeVault zapojit náhradního zpracovatele s kratší lhůtou za předpokladu, že:
- Zákazník je informován okamžitě
- Náhrada splňuje ekvivalentní bezpečnostní standardy
- Úplná dokumentace je poskytnuta do 7 dní
5. Bezpečnostní požadavky na zpracovatele¶
Všichni zpracovatelé jsou povinni splňovat:
| Požadavek | Standard |
|---|---|
| Řízení informační bezpečnosti | Certifikace ISO/IEC 27001 nebo ekvivalent |
| Nezávislý audit | Zpráva SOC 2 Type II nebo ekvivalent |
| Šifrování při přenosu | Minimálně TLS 1.2+ |
| Šifrování v klidu | AES-256 nebo ekvivalent |
| Řízení přístupu | Na základě rolí, princip minimálních oprávnění |
| Oznámení incidentu | Do 24 hodin směrem k MazeVault |
| Smlouva o zpracování údajů | V souladu s čl. 28 GDPR |
| Lokalizace dat | Zpracování v EU, pokud není výslovně dohodnuto jinak |
| Práva na audit | MazeVault si ponechává právo auditu nad zpracovateli |
6. Registr informací DORA¶
Pro zákazníky podléhající nařízení DORA (nařízení EU 2022/2554) jsou pro každého zpracovatele poskytovány následující informace na podporu registru informací zákazníka (článek 28(3)):
| Pole | Microsoft Azure | GitHub | DigiCert | Let's Encrypt | I.CA | GCP |
|---|---|---|---|---|---|---|
| Typ služby | Cloudová infrastruktura | DevOps platforma | Služby CA | Služby CA | Služby CA | Hosting licencí |
| Kritičnost | Kritická | Kritická (pouze vývoj) | Významná | Významná | Významná | Významná |
| Nahraditelnost | Střední (AWS/GCP) | Střední (GitLab) | Vysoká (jiné CA) | Vysoká (jiné CA) | Střední (jiní QTSP) | Vysoká (Azure/AWS) |
| Umístění dat | EU | USA/EU | USA | USA | CZ | EU |
| Subdodávky | Ano (dodavatelský řetězec Azure) | Ano (dodavatelský řetězec GitHub) | Ne | Ne | Ne | Ano (dodavatelský řetězec GCP) |
| Proveditelnost odchodu | 6–12 měsíců | 1–3 měsíce | Okamžitě | Okamžitě | 1–3 měsíce | 1–3 měsíce |
7. Historie dokumentu¶
| Verze | Datum | Změna | Autor |
|---|---|---|---|
| 1.0.0 | 2026-05-01 | Počáteční vydání | DPO |
Související¶
- Řízení rizik třetích stran — Hodnocení a správa dodavatelů
- Smlouva o zpracování osobních údajů (k dispozici na vyžádání na info@mazevault.com) — Šablona dle čl. 28 GDPR
- Mapování souladu s DORA — Požadavky na registr informací
- Bezpečnostní příloha (k dispozici na vyžádání na info@mazevault.com) — Smluvní ustanovení pro dílčí zpracování