Jak Microsoft řeší digitální suverenitu v České republice

Diskuse o digitální suverenitě, tedy schopnosti účastnit se digitální ekonomiky bezpečně, nezávisle a pod vlastní kontrolou, se často točí kolem konzistentní sady otázek: Kde jsou uložena má data a kde se zpracovávají? Kdo k nim má přístup? Jak je zajištěna vysoká dostupnost a odolnost? Budeme mít přístup k nejnovějším inovacím? Níže jsme na tyto otázky odpověděli a zdůraznili závazky, které jsme přijali, včetně dostupnosti technologií v České republice. 

1. Jaká jsou suverénní cloudová řešení Microsoftu v České republice?

Microsoft nabízí komplexní portfolio, které pokrývá celé spektrum potřeb suverenity v České republice i po celé Evropě:

• Suverénní veřejný cloud: široká nabídka digitální suverenity, včetně evropské residence a zpracování dat, šifrování a správy prostředí v souladu s evropskými regulacemi. Nabídka je dostupná ve všech Microsoft evropských datacentrových regionech (přehled datových center). Pro využití suverénního veřejného cloudu není potřeba migrace do samostatných datových center s omezenou nabídkou služeb.  

• Suverénní privátní cloud: organizacím, které potřebující maximální provozní autonomii, umožňují Azure Local a Microsoft 365 Local provozovat IT systémy pod plnou kontrolou zákazníka ve vlastních (on-premises) prostředích s konzistentním řízením a bezpečností, které jsou známé ve veřejném cloudu. 

• Otevřené a hybridní v základu: Azure Arc umožňuje jednotnou správu napříč multi-cloudovými (Microsoft, AWS, Google) i on-premise prostředími, podporující hybridní a multi-dodavatelské strategie. Omezuje závislost na jednom dodavateli (vendor lock) a jednom technologickém prostředí v cloudu a koncových zařízeních (Windows, Linux, Android, iOS). 

Více informací: Comprehensive Sovereign Solutions  

2. Kde jsou data uložena a kdo k nim má přístup?

Pro zákazníky z České republiky je umístění dat a maximální kontrola nad tím, kde se jejich data nacházejí, jak je k nim přistupováno a kde jsou zpracovávána, neoddiskutovatelné. Microsoft v tomto ohledu poskytuje více vrstev ochrany pro zvýšení jejich efektu: 

• Evropská datová hranice (EU Data Boundary) znamená, že veřejný sektor a komerční zákazníci v EU/EFTA mohou ukládat a zpracovávat zákaznická data, servisní logy a data o profesionálních službách ve službách Microsoft 365, Dynamics 365, Power Platform a majority Azure služeb ve výhradně v datových centrech umístěných na území EU/EFTA. Výjimku tvoří pouze služby, které mají z definice globální charakter nebo mají za úkol chránit uživatele před kybernetickými riziky, které neznají geografické hranice.  

• Neumožňujeme žádný přímý ani neomezený přístup vlády. Microsoft přezkoumává každou vládní žádost o data, zveřejňuje je pouze tehdy, když je to v souladu se zákonem vynuceno, a omezuje jakékoli zveřejnění na konkrétní účty uvedené v platném příkazu. Naše zásady jsou podrobně popsány v naší Zprávě o vládních žádostech o zákaznická data. 

• Neposkytujeme žádné vládě šifrovací klíče ani možnost prolomit naše šifrování. 

• Kromě Evropské datové hranice poskytujeme evropským zákazníkům několik možností zabezpečení a šifrování jejich dat. Naše nabídky Confidential Compute v Azure eliminují možnost třetích stran – včetně Microsoftu – přistupovat k zákaznickým datům i během zpracování z operační paměti, zajišťují, že data jsou zpracovávána v důvěryhodném prostředí, které ovládá pouze zákazník. Dále umožňujeme zákazníkům vytvořit „lockbox“ kolem svých dat napříč Azure, Dynamics 365 a Microsoft 365, který dává možnost zkontrolovat a schvalovat přístup k datům, který Microsoft případně potřebuje pro zákaznickou a servisní podporu. 

• Také umožňujeme zákazníkům chránit jejich data pomocí šifrovacích klíčů, které plně kontrolují sami, nikoli Microsoft, a to pomocí Azure Key Vault a Purview Customer Key. Microsoft Cloud for Sovereignty nabízí zákazníkům řadu dalších nástrojů pro zabezpečení dat, ochranu před neoprávněným přístupem a splnění právních požadavků. 

• Pro šifrovací klíče poskytuje Azure Key Vault auditní záznamy a detaily, abyste mohli sledovat operace s klíči a nastavovat téměř aktuální upozornění přes Azure Monitor. Zákazníci, kteří potřebují neměnné, nefalsifikované auditní záznamy pro své vlastní operace, mohou použít Azure Confidential Ledger. 

• Operace pod kontrolou občanů Evropy. S novou rolí “Data Guardian” přidáme další úroveň jistoty tím, že zajistíme, že vzdálený přístup k těmto systémům běžících v evropských datových centrech budou mít pod kontrolou pouze zaměstnanci Microsoftu žijící v Evropě. Data Guardian přidává další lidský a technický dohled vždy, když inženýři mimo Evropu potřebují přístup. Veškerý vzdálený přístup inženýrů Microsoftu k systémům, které ukládají a zpracovávají vaše data v Evropě, je schvalován a monitorován evropským rezidentním personálem v reálném čase a bude zaznamenán v nefalzifikovatelném auditním záznamu (logged in a tamper-evident ledger). 

• Závazek obrany vašich dat: Microsoft bude napadat každou vládní žádost o údaje veřejných sektorů nebo podniků, pokud k tomu existuje zákonný důvod. Zavazujeme se k transparentnosti ohledně vládních žádostí o data a pravidelně zveřejňujeme podrobné zprávy o těchto žádostech. 

3. Vyžadují opatření pro suverenitu migraci nebo snižují funkčnost?

Microsoft Suverénní veřejný cloud poskytuje kontrolu suverenity napříč stávajícími evropskými regiony – není potřeba migrace do samostatných datových center – a zároveň udržujete plné inovační tempo veřejného cloudu. Suverénní privátní cloud dává zákazníkům ještě větší míru kontroly, avšak na úkor určitých omezení.  

Nové klíčové vlastnosti navržené pro suverenitu: 

• Data Guardian pro evropské operace a schvalování přístupu. 

• Externí správa šifrovacích klíčů, dává možnost uchovávat šifrovací klíče ve svých vlastních hardwarových šifrovacích modulech (HSM) mimo cloudová datová centra a to ve vlastní infrastruktuře (onpremises) nebo u důvěryhodné třetí strany. 

• Regulated Environment Management poskytuje jednotné místo pro konfiguraci a monitorování všech opatření suverenity. 

4. Co když je vyžadována plná provozní autonomie?

• Některá odvětví potřebují provozovat své systémy v prostředích s plnou fyzickou kontrolou – včetně propojených, hybridních nebo odpojených scénářů. 

• Azure Local přináší Azure služby do vašich lokalit umístěných v národních datacentrech, ve vaší vlastní infrastruktuře nebo partnersky provozovaném datacentru (kolokace). 

• Microsoft 365 Local poskytuje ověřenou architekturu pro provoz služeb produktivity jako jsou Exchange Server a SharePoint Server, běžící nad Azure Local s konzistentní správou pomocí Azure nástrojů. Řešení Sovereign Private Cloud (Azure Local + Microsoft 365 Local) je nyní v preview režimu a v Evropě bude obecně dostupné během tohoto kalendářního roku.  

5. Můžeme přesunout naše data? 

Suverenita a přenositelnost dat jdou ruku v ruce. 

• Otevřené už od návrhu: Azure podporuje otevřené standardy, opensource runtime a široký ekosystém partnerů. 

• Cloudové služby Microsoftu jsou navrženy pro otevřenost a flexibilitu. Zákazníci mohou svá data exportovat kdykoliv pomocí dobře zdokumentovaných procesů a široce podporovaných, průmyslově standardních formátů. Neexistují žádné proprietární bariéry, které by zákazníkům bránily přesunout data nebo workloady na jiné platformy. Tento závazek k přenosnosti vám zajišťuje plnou kontrolu a svobodu volby – bez rizika závislosti na dodavateli.  

6. Podporuje Microsoft open-source řešení?

• Open Source umožňuje produktům a službám Microsoftu přinášet našim zákazníkům volbu, technologie a komunitu. Suverenita vyžaduje otevřenost a otevřené standardy a open-source technologie lze využívat v celé naší infrastruktuře. Podle Open-Source Contributor Index (OSCI) je Microsoft na celosvětovém místě #2 s 5 079 aktivními přispěvateli a celkem 11 217 členy komunity, přičemž Microsoft je základním pilířem open-source inovací. 

Více informací: Microsoft Open Source  

7. Co odolnost, správa a bezpečnostní dohled v Evropě?

Formalizovali jsme naše závazky tak, aby zákazníci mohli dlouhodobě plánovat použití našich služeb. 

• Závazek k digitální odolnosti. Zavazujeme se napadnout jakýkoli příkaz k pozastavení nebo ukončení cloudových služeb v Evropě všemi dostupnými právními prostředky, včetně soudního řízení. Tento závazek je právně závazný pro společnost Microsoft Corporation a všechny dceřiné společnosti. 

• Zálohy našeho kódu budeme uchovávat v zabezpečeném úložišti ve Švýcarsku a našim evropským partnerům poskytneme právní nárok potřebný k přístupu a používání tohoto kódu, pokud to bude potřeba. 

• Dohled evropským představenstvem. Provoz našich evropských datových center a jejich představenstva jsou řízeny evropskou správní radou složenou výhradně z evropských občanů a fungující podle evropského práva. 

• Evropský bezpečnostní program. Rozšiřujeme sdílení AI-podporovaných zpravodajských informací o hrozbách, budování kapacit a partnerství (včetně Europolu) pro vlády napříč EU, EFTA, Velkou Británií a dalšími – zdarma. Také jsme vytvořili roli zástupce CISO pro Evropu, která se zaměřuje na soulad regulacemi, jako jsou DORA, NIS2 a zákon o kybernetické odolnosti (CRA). 

• Schopnosti globální kybernetické bezpečnosti. Bezpečnostní platforma Microsoftu analyzuje denně přes 84 bilionů signálů hrozeb, což je jeden z největších a nejrozmanitějších datsetů s informacemi o hrozbách na světě, aby pomohl chránit zákazníky v České republice i celosvětově před vyvíjejícími se kybernetickým zločinem. V roce 2024 Microsoft zablokoval více než 7 000 útoků na hesla za sekundu a sledoval více než 1 500 aktérů hrozeb po celém světě. Detailní zprávu o rozvoji kybernetických hrozeb a obraně proti nim získáte v Microsoft Digital Defense Report 2025. 

Více informací o závazcích: Microsoft oznamuje nové evropské digitální závazky 

8. Jak zajišťujeme transparentnost a ověřitelnost informací a závazků?

• Centrum důvěry. Naše Centrum důvěry (Trust Center) centralizuje certifikace, auditní zprávy, dokumentaci o ochraně dat (včetně DPA) a obsah týkající se dodržování předpisů specifický pro produkty a služby. 

• Zákazníci mají právo provést audit, pokud jsou splněny potřebné podmínky. 

• Vládní bezpečnostní program (Government Security Program). Vlády a jejich kvalifikované orgány, které vstoupily do tohoto programu, získávají informace o kybertických hrozbách a mohou kontrolovat zdrojový kód Microsoftu v bezpečných Transparency Centrech. 

• Pololetní transparentní reporty. Zveřejňujeme podrobné globální zprávy o vládních žádostech o vydání zákaznických dat a o našich reakcích. 

• Používáme průmyslové standardy zabezpečených transportních protokolů jako IPsec a TLS mezi datovými centry a uživatelskými zařízeními. Uložená neaktivní data těží z dvojitého šifrování, šifrování na úrovni služeb a šifrování médií. Azure Confidential Computing umožňuje šifrování i během zpracování dat. Aktuálně také podporujeme post-quantum odolné šifrovací algoritmy. 

• Microsoft se zavazuje dodržovat všechny zákony a předpisy týkající se poskytování produktů a služeb, včetně povinnosti oznamování bezpečnostních incidentů a zákonů na ochranu osobních údajů, včetně GDPR. 

9. Jak Microsoft investuje v České republice? 

V České republice sdílíme se státem, firmami i akademickou sférou stejný zájem: aby digitální služby přinášely reálný užitek, byly bezpečná a zároveň dávaly lidem i organizacím kontrolu nad daty a možnost využívat nejnovější inovace. Právě proto Microsoft dlouhodobě investuje „u nás doma“ – především do lidí, know-how a schopnosti země uspět v AI ekonomice.

V Praze sídlí Microsoft Development Center Prague (MDCP), největší vývojové inženýrské centrum Microsoftu v kontinentální Evropě – s více než tisícovkou inženýrů, více než 100 týmy a 55+ národnostmi. Tady vznikají technologie, které chrání identity a cloudové služby i zlepšují každodenní digitální spolupráci – tedy věci, na které se Česko může spolehnout stejně jako zbytek světa. Zároveň jsme společně s partnery spustili Microsoft AI National Skilling Plan, který navazuje na Národní strategii AI 2030 a má pomoci prakticky rozšířit AI dovednosti napříč veřejným i soukromým sektorem – s příslibem vyškolit 350 000 lidí.

Více si můžete přečíst zde: Microsoft spouští AI National Skilling Plan v České republice: V první fázi projektu investuje přes 10 milionů korun do vzdělávání více než 350 000 lidí – Source EMEA 

Autor: Dalibor Kačmář, technologický a bezpečnostní ředitel Microsoftu pro Českou republiku a Slovensko