Certifikace digitální bezpečnosti: Co musí splňovat „prověřený provoz“

Úvod: Certifikace není značka, ale důkaz

V prostředí digitálních služeb vznikl zásadní problém: neexistuje jednotný způsob, jak ověřit, zda je systém skutečně bezpečný. Firmy běžně deklarují, že „mají zabezpečení“ nebo „splňují GDPR“, ale tyto výroky jsou ve většině případů neměřitelné a neověřitelné. Certifikace „Prověřený provoz“ vzniká jako reakce na tento stav. Jejím cílem není marketingová nálepka, ale prokazatelné splnění přísných architektonických a procesních standardů.

1. Architektura jako podmínka nutná

Subjekt může získat certifikaci pouze tehdy, pokud jeho digitální infrastruktura stojí na bezpečných základech. Certifikace automaticky vylučuje systémy postavené na monolitické architektuře nebo neřízených CMS.

Povinné oddělení vrstev: Frontend, aplikační logika a databáze musí být izolované. Přímý přístup z veřejného rozhraní k datům je nepřípustný.

Řízené datové rozhraní: Veškerý přístup k datům probíhá výhradně přes API s granulárními oprávněními. Databáze samotná musí být v privátní síti.

Izolace nájemců (Multi-tenancy): Certifikovaný systém musí garantovat, že kompromitace jednoho klientského účtu nepovede k horizontálnímu průniku k datům jiných uživatelů.

2. Provozní integrita a práce s daty

Samotná technologie nestačí; certifikace prověřuje i způsob, jakým je s technologií nakládáno v každodenním provozu.

Totální šifrování: Data musí být šifrována jak při přenosu (TLS), tak při uložení (Encryption at Rest). Výjimky nejsou přípustné.

Aktivní kontinuita: Zálohování musí být automatizované, uložené v oddělené lokalitě a pravidelně testované na obnovitelnost. Záloha, kterou nelze prokazatelně obnovit, není v rámci certifikace uznána.

Transparentní logování: Certifikovaný provoz musí zaznamenávat přístupy i změny a být schopen detekovat anomálie v reálném čase. Bez auditní stopy nelze bezpečnost prokázat.

3. Eliminace technického dluhu a supply chainu

Certifikace „Prověřený provoz“ klade důraz na dlouhodobou udržitelnost. Systém zatížený technickým dluhem je časovanou bombou.

Zákaz zastaralých komponent: Systém nesmí využívat neudržovaný software nebo knihovny se známými zranitelnostmi (CVE).

Kontrola externích skriptů: Certifikovaný subjekt musí implementovat Content Security Policy (CSP) a Subresource Integrity (SRI). Tím přebírá odpovědnost za kód, který se do systému načítá zvenčí (analytika, widgety).

Auditovatelnost změn: Každá aktualizace systému musí probíhat řízeně a nesmí narušit bezpečnostní integritu architektury.

4. Certifikované technologie a subjekty

Je nutné rozlišovat mezi certifikací technologie a certifikací subjektu, který ji používá. Standard „Prověřený provoz“ uznává pouze systémy, které byly navrženy s důrazem na tyto principy od prvního řádku kódu. Mezi příklady systémů postavených na kontrolované a bezpečné architektuře patří Salonio, Makačenko nebo Therapio.

Certifikace subjektu pak potvrzuje, že daná firma (salon, terapeut, e-shop) tyto technologie používá správně a dodržuje vnitřní procesy bezpečné manipulace s daty.

5. Veřejná verifikace a transparentnost

Certifikace nesmí být „papírem v šuplíku“. Musí být ověřitelná třetí stranou v reálném čase.

Veřejné registry: Certifikované subjekty jsou dohledatelné na portálech jako ferfirma.cz, proverenysalon.cz nebo proverenyterapeut.cz.

Pravidelná obnova: Certifikace není jednorázový akt. Je to kontinuální proces, který vyžaduje pravidelné přezkoumání architektury i procesů.

6. Co certifikace (ne)znamená

Je důležité zůstat nohama na zemi. Certifikace neznamená „absolutní neprůstrelnost“ – taková v digitálním světě neexistuje. Certifikace znamená, že riziko bylo minimalizováno na nejnižší možnou úroveň pomocí nejlepších dostupných architektonických postupů. Je to důkaz, že subjekt udělal maximum pro ochranu dat svých klientů.

Závěr: Důvěra musí být měřitelná

Digitální důvěra v roce 2026 už nemůže být založena na marketingu a vágních slibech. Musí být podložena architekturou, procesy a nezávislou ověřitelností. Certifikace „Prověřený provoz“ vytváří jasnou hranici v digitálním prostoru. Na jedné straně stojí systémy, které o bezpečnosti mluví, na druhé ty, které ji prokazují.

V digitálním světě je bezpečná architektura jedinou skutečnou měnou důvěry. Pokud systém nelze prověřit, nelze mu ani věřit. Certifikace je nástroj, který tuto neviditelnou kvalitu zviditelňuje pro každého uživatele.