Jak vybrat dodavatele webu nebo SaaS systému: Rozhodnutí, které určuje vaše bezpečnostní riziko

Úvod: Většina firem vybírá dodavatele špatně Výběr dodavatele webu nebo SaaS systému je jedno z nejkritičtějších rozhodnutí, které firma dělá. Přesto se v praxi rozhoduje téměř výhradně podle ceny, referencí a vizuálního dojmu. Bezpečnost se v poptávkovém řízení téměř nikdy nehodnotí. To vede k paradoxní situaci: firma získá funkční a líbivé řešení, ale zároveň s ním nevědomky přebírá masivní skryté riziko. Dodavatel neurčuje jen to, jak systém vypadá; určuje, jak snadno jej bude možné vykrást. ## **1. První chyba: Sledování výsledku místo architektury** Dva weby mohou vypadat identicky, odesílat stejné formuláře a stát stejné peníze. Jeden však může být postaven jako izolovaná pevnost a druhý jako chatrný monolit. - **Co firmy sledují:** Design, počet funkcí a rychlost dodání. - **Co ignorují:** Jak je systém vnitřně strukturován, kde jsou > uložena data a kdo k nim má technický přístup.\ > Rozdíl mezi bezpečným a strukturálně zranitelným systémem není na > první pohled viditelný. Projeví se až v momentě útoku -- buď jako > „odražený pokus", nebo jako „totální exfiltrace dat". ## **2. Red Flags: Varovné signály při jednání** Pokud dodavatel na technické dotazy odpovídá vágně, je to jasný signál, že bezpečnost v jeho procesu nehraje primární roli. ----------------------------------------------------------------------- **Otázka pro **Varovná odpověď (Red **Správná odpověď (Standard dodavatele** Flag)** 2026)** ------------------ ---------------------- ----------------------------- **Jak je oddělena „To řeší hosting, je „Databáze je v privátní síti, databáze?** to standard." přístupná jen přes API." **Kde jsou „V databázi aplikace „V izolované datové vrstvě s klientská data?** na serveru." definovaným kontextem." **Kolik má systém „To neřešíme, „Máme přesný přehled (SBOM) a závislostí?** používáme běžné kontrolujeme integritu." pluginy." **Jak probíhá „Není potřeba, systém „Máme definovaný proces audit?** je nový." logování a auditní stopy." ----------------------------------------------------------------------- ## **3. Iluze „moderních technologií"** Častým argumentem dodavatelů je používání moderních frameworků (React, Vue, Node.js). Moderní technologie však samy o sobě neřeší architekturu ani izolaci. Moderní systém může být postaven stejně chybně jako ten deset let starý, pokud vývojář rezignuje na oddělení vrstev. **Bezpečnost není vlastnost programovacího jazyka, ale důsledek architektonické disciplíny.** ## **4. Co MUSÍ kvalitní dodavatel splňovat (Standard 2026)** V roce 2026 již neexistuje prostor pro kompromisy. Kvalitní dodavatel: - **Architektonická integrita:** MUSÍ oddělit frontend, logiku a data. > MUSÍ technicky znemožnit přímý přístup z webu k databázi. - **Plná kontrola:** MUSÍ být schopen doložit každou komponentu třetí > strany a vysvětlit tok dat systémem. - **Odpovědnost:** MUSÍ nést odpovědnost za implementaci a mít > připravený plán reakce na incident (Incident Response Plan). ## **5. Největší manažerský omyl: Delegování bez kontroly** Firmy často „předají projekt dodavateli" a věří, že je vše v pořádku. Odpovědnost za data však ze zákona i z logiky věci nelze delegovat bez ověření. - **Důvěra vs. Verifikace:** Kvalitní dodavatel se kontroly nebojí; > naopak ji vítá jako potvrzení své kvality. - **Auditovatelnost:** Pokud dodavatel odmítá zpřístupnit architekturu > k nezávislému posouzení, pravděpodobně skrývá vysoký technický > dluh nebo nebezpečné implementační zkratky. ## **6. Checklist pro finální rozhodnutí** Před podpisem smlouvy s dodavatelem si položte těchto pět otázek: 1. **Je databáze izolovaná od veřejné vrstvy?** 2. **Má systém jasnou, zdokumentovanou architekturu?** 3. **Je možné kdykoliv provést nezávislý bezpečnostní audit?** 4. **Jsou externí knihovny a pluginy pod přísnou kontrolou?** 5. **Existuje otestovaný plán pro obnovu dat a reakci na útok?** Pokud je odpověď na některou z těchto otázek „NE" nebo „NEVÍM", systém představuje reálné riziko pro vaši firmu i vaše klienty. ## **Závěr: Dodavatel určuje úroveň vašeho rizika** Výběr dodavatele není jen obchodní rozhodnutí o ceně a termínu. Je to strategické rozhodnutí o stabilitě vaší firmy. Dodavatel, který optimalizuje na design a cenu, vám prodává krátkodobý efekt. Dodavatel, který optimalizuje na architekturu, vám prodává dlouhodobý klid. **Bezpečný systém nezačíná technologií, ale správným manažerským rozhodnutím.** V roce 2026 je rozdíl mezi těmito dvěma přístupy rozdílem mezi prosperující firmou a firmou, která právě přišla o svou nejdůležitější hodnotu -- důvěru svých zákazníků.