Vendor Sovereignty Assessment
Vendor Sovereignty Assessment
Section titled “Vendor Sovereignty Assessment”Rozšíření Vendor Security Questionnaire | Technologická suverenita
Header
Section titled “Header”| Pole | Hodnota |
|---|---|
| Vendor Name | [PLACEHOLDER] |
| Assessment Date | [PLACEHOLDER: DD.MM.YYYY] |
| Completed By | [PLACEHOLDER: Name, Role] |
| Reviewer | [PLACEHOLDER: DSO / CISO] |
Section 1: Data Residency (0-25 bodů)
Section titled “Section 1: Data Residency (0-25 bodů)”| # | Otázka | Odpověď | Body |
|---|---|---|---|
| 1.1 | Kde fyzicky leží data? | ☐ ČR (5) / ☐ EU mimo ČR (4) / ☐ Mix EU+US (3) / ☐ US (2) / ☐ Nevíme (0) | /5 |
| 1.2 | Podléhá vendor US CLOUD Act? | ☐ Ne (5) / ☐ Ano (1) | /5 |
| 1.3 | Je GDPR compliance reálná nebo papírová? | ☐ Reálná - audit proveditelný (5) / ☐ Papírová (2) / ☐ Nevíme (0) | /5 |
| 1.4 | Můžeme používat vlastní šifrovací klíče (BYOK)? | ☐ Ano (5) / ☐ Ne (0) | /5 |
| 1.5 | Poskytuje vendor audit trail přístupu k datům? | ☐ Ano - kompletní (5) / ☐ Částečně (3) / ☐ Ne (0) | /5 |
Subtotal Section 1: ___ / 25
Poznámky k Data Residency:
Section titled “Poznámky k Data Residency:”- Data center lokace:
- CLOUD Act status (US parent company?):
- GDPR evidence:
Section 2: Vendor Lock-in (0-25 bodů)
Section titled “Section 2: Vendor Lock-in (0-25 bodů)”| # | Otázka | Odpověď | Body |
|---|---|---|---|
| 2.1 | Používá vendor standardní nebo proprietární datové formáty? | ☐ Standard (JSON, CSV, SQL) (5) / ☐ Hybrid (3) / ☐ Proprietární (1) | /5 |
| 2.2 | Jsou exit costs (náklady na migraci) kvantifikovány? | ☐ Ano, přesně (5) / ☐ Hrubý odhad (3) / ☐ Ne (0) | /5 |
| 2.3 | Existují funkční alternativy na trhu? | ☐ Mnoho (5) / ☐ Některé (3) / ☐ Žádné reálné (1) | /5 |
| 2.4 | Jak vysoká je API/integrace závislost? | ☐ Nízká - standardní API (5) / ☐ Střední (3) / ☐ Vysoká - vendor-specific (1) | /5 |
| 2.5 | Jaké jsou smluvní podmínky? | ☐ Flexibilní - měsíční (5) / ☐ Střední - roční (3) / ☐ Tvrdé - multi-year + penále (1) | /5 |
Subtotal Section 2: ___ / 25
Poznámky k Lock-in:
Section titled “Poznámky k Lock-in:”- Odhadované exit costs:
- Identifikované alternativy:
- Smluvní závazky (délka, penále):
Section 3: Geopolitická expozice (0-25 bodů)
Section titled “Section 3: Geopolitická expozice (0-25 bodů)”| # | Otázka | Odpověď | Body |
|---|---|---|---|
| 3.1 | Jaký je podíl US vendorů v naší kritické infrastruktuře? | ☐ <30% (5) / ☐ 30-60% (3) / ☐ >60% (1) | /5 |
| 3.2 | Má vendor významnou závislost na US vládních kontraktech? | ☐ Nízká/žádná (5) / ☐ Střední (3) / ☐ Vysoká (1) | /5 |
| 3.3 | Je vedení vendora politicky angažované? | ☐ Nízká angažovanost (5) / ☐ Střední (3) / ☐ Vysoká/kontroverzní (1) | /5 |
| 3.4 | Jaké je sankční riziko při EU-US konfliktu? | ☐ Nízké (5) / ☐ Střední (3) / ☐ Vysoké (1) | /5 |
| 3.5 | Jaká je historie stability vendora? | ☐ Stabilní (5) / ☐ Měnící se (akvizice) (3) / ☐ Turbulentní (1) | /5 |
Subtotal Section 3: ___ / 25
Poznámky ke Geopolitice:
Section titled “Poznámky ke Geopolitice:”- Vendor ownership struktura:
- Známé vládní kontrakty:
- Nedávné akvizice/změny:
Section 4: Kontinuita & Resilience (0-25 bodů)
Section titled “Section 4: Kontinuita & Resilience (0-25 bodů)”| # | Otázka | Odpověď | Body |
|---|---|---|---|
| 4.1 | Je single point of failure identifikován a řešen? | ☐ Ano, řešen (5) / ☐ Identifikován (3) / ☐ Ne (0) | /5 |
| 4.2 | Je alternativní dodavatel připraven? | ☐ Ready to switch (5) / ☐ Identifikován (3) / ☐ Ne (0) | /5 |
| 4.3 | Byl testován DR scénář bez tohoto vendora? | ☐ Ano (5) / ☐ Částečně (3) / ☐ Ne (0) | /5 |
| 4.4 | Máme interní kompetence pro provoz alternativy? | ☐ Ano (5) / ☐ Částečně (3) / ☐ Ne (0) | /5 |
| 4.5 | Je time-to-switch realisticky odhadnut? | ☐ Ano (5) / ☐ Hrubě (3) / ☐ Ne (0) | /5 |
Subtotal Section 4: ___ / 25
Poznámky k Resilience:
Section titled “Poznámky k Resilience:”- Identifikovaná alternativa:
- Odhadovaný time-to-switch:
- DR test výsledky:
Celkové vyhodnocení
Section titled “Celkové vyhodnocení”| Oblast | Skóre | Max | % |
|---|---|---|---|
| Data Residency | 25 | ||
| Vendor Lock-in | 25 | ||
| Geopolitická expozice | 25 | ||
| Kontinuita & Resilience | 25 | ||
| CELKEM | 100 |
Interpretace
Section titled “Interpretace”| Skóre | Úroveň | Doporučení |
|---|---|---|
| 80-100% | Vysoká suverenita | Pokračovat, quarterly review |
| 50-79% | Střední riziko | Identifikovat priority, 90-denní plán |
| 0-49% | Vysoké riziko | Urgentní akční plán, zvážit alternativu |
Doporučení a akční plán
Section titled “Doporučení a akční plán”Prioritní oblast 1:
Section titled “Prioritní oblast 1:”Oblast: Aktuální skóre: Cílové skóre: Akce: 1. 2. 3.
Prioritní oblast 2:
Section titled “Prioritní oblast 2:”Oblast: Aktuální skóre: Cílové skóre: Akce: 1. 2. 3.
Exit Strategy Summary
Section titled “Exit Strategy Summary”| Komponenta | Status | Poznámka |
|---|---|---|
| Alternativní vendor identifikován | ☐ Ano / ☐ Ne | |
| Data export procedura dokumentována | ☐ Ano / ☐ Ne | |
| Exit costs kvantifikovány | ☐ Ano / ☐ Ne | |
| Time-to-switch odhadnut | ☐ Ano / ☐ Ne | |
| Trigger kritéria definována | ☐ Ano / ☐ Ne |
Sign-off
Section titled “Sign-off”| Role | Name | Date | Signature |
|---|---|---|---|
| Assessor | |||
| DSO / CISO | |||
| Procurement |
Příští review: [PLACEHOLDER: +3 měsíce]
Verze: 1.0 | Datum: Prosinec 2025 Licence: CC BY-SA 4.0