Jak vybrat dodavatele webu nebo SaaS systému: Rozhodnutí, které určuje vaše bezpečnostní riziko

Úvod: Většina firem vybírá dodavatele špatně

Výběr dodavatele webu nebo SaaS systému je jedno z nejkritičtějších rozhodnutí, které firma dělá. Přesto se v praxi rozhoduje téměř výhradně podle ceny, referencí a vizuálního dojmu. Bezpečnost se v poptávkovém řízení téměř nikdy nehodnotí. To vede k paradoxní situaci: firma získá funkční a líbivé řešení, ale zároveň s ním nevědomky přebírá masivní skryté riziko. Dodavatel neurčuje jen to, jak systém vypadá; určuje, jak snadno jej bude možné vykrást.

1. První chyba: Sledování výsledku místo architektury

Dva weby mohou vypadat identicky, odesílat stejné formuláře a stát stejné peníze. Jeden však může být postaven jako izolovaná pevnost a druhý jako chatrný monolit.

Co firmy sledují: Design, počet funkcí a rychlost dodání.

Co ignorují: Jak je systém vnitřně strukturován, kde jsou uložena data a kdo k nim má technický přístup. Rozdíl mezi bezpečným a strukturálně zranitelným systémem není na první pohled viditelný. Projeví se až v momentě útoku – buď jako „odražený pokus“, nebo jako „totální exfiltrace dat“.

2. Red Flags: Varovné signály při jednání

Pokud dodavatel na technické dotazy odpovídá vágně, je to jasný signál, že bezpečnost v jeho procesu nehraje primární roli.

3. Iluze „moderních technologií“

Častým argumentem dodavatelů je používání moderních frameworků (React, Vue, Node.js). Moderní technologie však samy o sobě neřeší architekturu ani izolaci. Moderní systém může být postaven stejně chybně jako ten deset let starý, pokud vývojář rezignuje na oddělení vrstev. Bezpečnost není vlastnost programovacího jazyka, ale důsledek architektonické disciplíny.

4. Co MUSÍ kvalitní dodavatel splňovat (Standard 2026)

V roce 2026 již neexistuje prostor pro kompromisy. Kvalitní dodavatel:

Architektonická integrita: MUSÍ oddělit frontend, logiku a data. MUSÍ technicky znemožnit přímý přístup z webu k databázi.

Plná kontrola: MUSÍ být schopen doložit každou komponentu třetí strany a vysvětlit tok dat systémem.

Odpovědnost: MUSÍ nést odpovědnost za implementaci a mít připravený plán reakce na incident (Incident Response Plan).

5. Největší manažerský omyl: Delegování bez kontroly

Firmy často „předají projekt dodavateli“ a věří, že je vše v pořádku. Odpovědnost za data však ze zákona i z logiky věci nelze delegovat bez ověření.

Důvěra vs. Verifikace: Kvalitní dodavatel se kontroly nebojí; naopak ji vítá jako potvrzení své kvality.

Auditovatelnost: Pokud dodavatel odmítá zpřístupnit architekturu k nezávislému posouzení, pravděpodobně skrývá vysoký technický dluh nebo nebezpečné implementační zkratky.

6. Checklist pro finální rozhodnutí

Před podpisem smlouvy s dodavatelem si položte těchto pět otázek:

Je databáze izolovaná od veřejné vrstvy?

Má systém jasnou, zdokumentovanou architekturu?

Je možné kdykoliv provést nezávislý bezpečnostní audit?

Jsou externí knihovny a pluginy pod přísnou kontrolou?

Existuje otestovaný plán pro obnovu dat a reakci na útok?

Pokud je odpověď na některou z těchto otázek „NE“ nebo „NEVÍM“, systém představuje reálné riziko pro vaši firmu i vaše klienty.

Závěr: Dodavatel určuje úroveň vašeho rizika

Výběr dodavatele není jen obchodní rozhodnutí o ceně a termínu. Je to strategické rozhodnutí o stabilitě vaší firmy. Dodavatel, který optimalizuje na design a cenu, vám prodává krátkodobý efekt. Dodavatel, který optimalizuje na architekturu, vám prodává dlouhodobý klid.

Bezpečný systém nezačíná technologií, ale správným manažerským rozhodnutím. V roce 2026 je rozdíl mezi těmito dvěma přístupy rozdílem mezi prosperující firmou a firmou, která právě přišla o svou nejdůležitější hodnotu – důvěru svých zákazníků.