Mapa ryzyk zależności od dużych dostawców technologicznych oraz alternatywy UE i open-source. Dokument T-016 K0-CST — podstawa strategii derisking dla organizacji operujących pod RODO, NIS2 i AI Act.
Dostawcy z siedzibą w USA podlegają CLOUD Act — dane klientów mogą być udostępniane organom rządowym USA bez wiedzy i zgody administratora danych UE. Koncentracja usług u jednego hyperscalera tworzy pojedynczy punkt awarii dla całego łańcucha operacyjnego.
Tabela obejmuje kluczowe kategorie usług technologicznych, typowych dostawców BigTech, poziom krytyczności, rodzaj przetwarzanych danych, jurysdykcję prawną, główne ryzyka oraz rekomendowane alternatywy UE lub open-source.
| Dostawca / Usługa | Kategoria | Krytyczność | Dane | Jurysdykcja | Główne ryzyka | Alternatywa |
|---|---|---|---|---|---|---|
| AWS / Azure / GCP | Hyperscaler cloud (obliczenia, storage, DB) | KRYTYCZNA | Dane klientów, backupy, logi, PII | USA (CLOUD Act) | Lock-in API, dane poza UE, jednoczesna awaria wielu usług, naruszenie RODO art. 46 | OVHcloud, Scaleway, IONOS, Hetzner (UE/DE), T-Systems OpenTelekom Cloud |
| OpenAI / Anthropic / Google Gemini | Model AI (API, inference, fine-tuning) | KRYTYCZNA | Zapytania, dokumenty, dane wewnętrzne, PII pośrednio | USA (CLOUD Act) | Trening na danych klientów (ryzyko umowne), CLOUD Act, lock-in formatu promptów, brak przenośności modelu | Mistral AI (FR/UE), Aleph Alpha (DE), Llama 3 self-hosted, Ollama on-prem, modele open-weight |
| Cloudflare / Akamai / Fastly | CDN, WAF, DDoS, DNS | WYSOKA | Metadane ruchu, nagłówki HTTP, logi dostępu | USA (CLOUD Act) | Ujawnienie metadanych ruchu, brak UE data residency, zależność od globalnej infrastruktury US | CDN77 (CZ/UE), BunnyNet (SI/UE), Limelight EMEA, własna sieć anycast na hostingu EU |
| Okta / Auth0 / Azure AD / Google Workspace IAM | Tożsamość i dostęp (IAM, SSO, MFA) | KRYTYCZNA | Dane logowania, tokeny, role, atrybuty pracowników | USA (CLOUD Act) | Centralizacja tożsamości poza UE, brak kontroli nad cyklem życia sesji, SPoF dla całej organizacji | Keycloak (open-source, self-hosted), Authentik (OSS), NetIQ/Micro Focus IDM, eIDAS 2.0 Wallet (UE) |
| Google Workspace / Microsoft 365 | Email, współpraca, dokumenty, kalendarze | WYSOKA | Korespondencja handlowa, dokumenty prawne, dane pracownicze (GDPR art. 9) | USA / EU DC opcjonalnie | Domyślne przetwarzanie w US, metadata analityka, umowy DPA wymagają weryfikacji, lock-in formatów | Nextcloud (DE/OSS), Collabora Office, ProtonMail (CH), Tutanota (DE), Infomaniak (CH) |
| GitHub / GitLab.com / Bitbucket (Atlassian) | Repozytorium kodu, CI/CD, zarządzanie projektem | WYSOKA | Kod źródłowy (tajemnica handlowa), sekrety, logi buildów | USA (Microsoft/Atlassian) | Kod źródłowy w jurysdykcji US, CLOUD Act, ryzyko przejęcia platformy, lock-in Actions/Pipelines | Gitea / Forgejo (self-hosted OSS), GitLab CE (self-hosted), Codeberg (DE/nonprofit) |
| Slack / Microsoft Teams / Zoom | Komunikacja, wideokonferencje | SREDNIA | Wiadomości wewnętrzne, nagrania, dane osobowe pracowników | USA (CLOUD Act) | Archiwizacja rozmów poza UE, metadane komunikacji, ryzyko szpiegostwa korporacyjnego | Matrix / Element (OSS, federowany), Mattermost (self-hosted), Jitsi Meet (OSS), Wire (CH) |
| Stripe / PayPal / Braintree | Płatności online, bramka płatnicza | WYSOKA | Dane transakcyjne, dane kart (PCI DSS), dane finansowe | USA | Dane finansowe w US, ryzyko blokady konta bez uzasadnienia, zależność od decyzji platformy | Przelewy24 (PL), PayU (PL/UE), Adyen (NL/UE), Mollie (NL/UE), BLIK (krajowy) |
| Datadog / New Relic / Splunk | Monitoring, APM, SIEM, logi | SREDNIA | Logi systemowe, metryki, ślady (traces), potencjalnie PII w logach | USA (CLOUD Act) | Eksfiltracja logów zawierających PII poza UE, CLOUD Act żądanie dostępu do logów SIEM | Grafana + Prometheus (OSS), OpenTelemetry + Victoria Metrics (OSS), Elastic self-hosted (OSS) |
| Twilio / SendGrid / Mailgun | SMS, transakcyjny email, powiadomienia | SREDNIA | Dane odbiorców, treść wiadomości, numery telefonów | USA | PII odbiorców (nr telefonu, email) przetwarzane w US, brak data residency EU, lock-in API | Brevo / Sendinblue (FR/UE), OVH SMS API, MailerLite (LT/UE), własny SMTP Postfix |
Proprietary API, formaty danych i narzędzia CI/CD tworzą barierę wyjścia. Migracja po 2-3 latach integracji trwa miesiącami i pochłania budżet projektowy. Każde "convenience feature" platformy to potencjalna pułapka lock-in.
CLOUD Act (USA 2018) zobowiązuje dostawców w jurysdykcji US do udostępnienia danych organom rządowym — nawet gdy dane są przechowywane w UE. Koliduje z RODO art. 46 i Schrems II. Nie istnieje mechanizm, który w pełni eliminuje to napięcie.
Awaria AWS us-east-1 w 2021 unieruchomiła tysiące usług globalnie. Zależność całego stosu od jednego hyperscalera = zero odporności. BCP/DR musi uwzględniać scenariusz "dostawca niedostępny przez 48h".
Formaty zastrzeżone, brak standaryzowanych eksportów, niekompletne API do migracji. RODO art. 20 gwarantuje przenośność dla osób fizycznych — ale nie dla organizacji. Vendor oferuje eksport "w formacie CSV" który jest niekompatybilny z jakimkolwiek innym systemem.
Dostawcy SaaS sami korzystają z BigTech (model AI hostowany na AWS, CI na GitHub Actions). Nawet wybierając "niezależnego" dostawcę, organizacja pośrednio pozostaje w ekosystemie hyperscalera. Wymagany audyt sub-procesorów DPA.
Zawieszenie konta, zmiana cen o 300% bez wypowiedzenia, EOL kluczowej usługi, przejęcie przez konkurenta — decyzje BigTech mogą sparaliżować operacje w 24h. Stripe wielokrotnie zamrażał konta bez ostrzeżenia. Brak exit planu = pełna ekspozycja.
Sporządź kompletny rejestr wszystkich usług zewnętrznych: nazwa dostawcy, kategoria, siedziba prawna, region przetwarzania danych, umowa DPA, koszt miesięczny. Podstawa: bez mapy nie ma strategii.
Dla każdej usługi określ: czas akceptowalnej niedostępności (RTO), punkt odtworzenia danych (RPO), możliwość ręcznego fallbacku. Krytyczność = f(RTO, dane wrażliwe, jurysdykcja).
Zacznij od usług przetwarzających dane osobowe (RODO), dane szczególnych kategorii (art. 9) i tajemnicę handlową w jurysdykcji US (CLOUD Act). To najwyższe ryzyko prawne i reputacyjne. Pozostałe — w kolejnym kwartale.
Dla każdej kategorii wysokiego ryzyka: wybierz alternatywę UE lub self-hosted OSS, uruchom pilotaż równoległy (30-60 dni), oceń dojrzałość, wsparcie i koszty migracji. Nie migraj "z dnia na dzień" — ryzyko awarii produkcji.
Dla każdej usługi zdefiniuj procedurę wyjścia: eksport danych (format, czas), przeniesienie konfiguracji, shutdown current vendor. Testuj exit plan co 12 miesięcy — nieprzetestowany plan nie istnieje.
Utrzymuj rejestr zależności jako living document. Przegląd kwartalny: nowe zależności, zmiany ryzyka (nowe przepisy, fuzje dostawców, incydenty). Cel: zmniejszenie zależności CLOUD Act o min. 50% w 24 miesiące.