K0NSULT // Common-Source-of-Truth/bigtech-sovereignty
k0nsult.cloud / Common-Source-of-Truth / bigtech-sovereignty

BigTech Dependency i suwerenność cyfrowa

Mapa ryzyk zależności od dużych dostawców technologicznych oraz alternatywy UE i open-source. Dokument T-016 K0-CST — podstawa strategii derisking dla organizacji operujących pod RODO, NIS2 i AI Act.

Zależność od BigTech = ryzyko jurysdykcyjne + ryzyko lock-in + ryzyko ciągłości.

Dostawcy z siedzibą w USA podlegają CLOUD Act — dane klientów mogą być udostępniane organom rządowym USA bez wiedzy i zgody administratora danych UE. Koncentracja usług u jednego hyperscalera tworzy pojedynczy punkt awarii dla całego łańcucha operacyjnego.

1. Mapa zależności

Tabela obejmuje kluczowe kategorie usług technologicznych, typowych dostawców BigTech, poziom krytyczności, rodzaj przetwarzanych danych, jurysdykcję prawną, główne ryzyka oraz rekomendowane alternatywy UE lub open-source.

Dostawca / Usługa Kategoria Krytyczność Dane Jurysdykcja Główne ryzyka Alternatywa
AWS / Azure / GCP Hyperscaler cloud (obliczenia, storage, DB) KRYTYCZNA Dane klientów, backupy, logi, PII USA (CLOUD Act) Lock-in API, dane poza UE, jednoczesna awaria wielu usług, naruszenie RODO art. 46 OVHcloud, Scaleway, IONOS, Hetzner (UE/DE), T-Systems OpenTelekom Cloud
OpenAI / Anthropic / Google Gemini Model AI (API, inference, fine-tuning) KRYTYCZNA Zapytania, dokumenty, dane wewnętrzne, PII pośrednio USA (CLOUD Act) Trening na danych klientów (ryzyko umowne), CLOUD Act, lock-in formatu promptów, brak przenośności modelu Mistral AI (FR/UE), Aleph Alpha (DE), Llama 3 self-hosted, Ollama on-prem, modele open-weight
Cloudflare / Akamai / Fastly CDN, WAF, DDoS, DNS WYSOKA Metadane ruchu, nagłówki HTTP, logi dostępu USA (CLOUD Act) Ujawnienie metadanych ruchu, brak UE data residency, zależność od globalnej infrastruktury US CDN77 (CZ/UE), BunnyNet (SI/UE), Limelight EMEA, własna sieć anycast na hostingu EU
Okta / Auth0 / Azure AD / Google Workspace IAM Tożsamość i dostęp (IAM, SSO, MFA) KRYTYCZNA Dane logowania, tokeny, role, atrybuty pracowników USA (CLOUD Act) Centralizacja tożsamości poza UE, brak kontroli nad cyklem życia sesji, SPoF dla całej organizacji Keycloak (open-source, self-hosted), Authentik (OSS), NetIQ/Micro Focus IDM, eIDAS 2.0 Wallet (UE)
Google Workspace / Microsoft 365 Email, współpraca, dokumenty, kalendarze WYSOKA Korespondencja handlowa, dokumenty prawne, dane pracownicze (GDPR art. 9) USA / EU DC opcjonalnie Domyślne przetwarzanie w US, metadata analityka, umowy DPA wymagają weryfikacji, lock-in formatów Nextcloud (DE/OSS), Collabora Office, ProtonMail (CH), Tutanota (DE), Infomaniak (CH)
GitHub / GitLab.com / Bitbucket (Atlassian) Repozytorium kodu, CI/CD, zarządzanie projektem WYSOKA Kod źródłowy (tajemnica handlowa), sekrety, logi buildów USA (Microsoft/Atlassian) Kod źródłowy w jurysdykcji US, CLOUD Act, ryzyko przejęcia platformy, lock-in Actions/Pipelines Gitea / Forgejo (self-hosted OSS), GitLab CE (self-hosted), Codeberg (DE/nonprofit)
Slack / Microsoft Teams / Zoom Komunikacja, wideokonferencje SREDNIA Wiadomości wewnętrzne, nagrania, dane osobowe pracowników USA (CLOUD Act) Archiwizacja rozmów poza UE, metadane komunikacji, ryzyko szpiegostwa korporacyjnego Matrix / Element (OSS, federowany), Mattermost (self-hosted), Jitsi Meet (OSS), Wire (CH)
Stripe / PayPal / Braintree Płatności online, bramka płatnicza WYSOKA Dane transakcyjne, dane kart (PCI DSS), dane finansowe USA Dane finansowe w US, ryzyko blokady konta bez uzasadnienia, zależność od decyzji platformy Przelewy24 (PL), PayU (PL/UE), Adyen (NL/UE), Mollie (NL/UE), BLIK (krajowy)
Datadog / New Relic / Splunk Monitoring, APM, SIEM, logi SREDNIA Logi systemowe, metryki, ślady (traces), potencjalnie PII w logach USA (CLOUD Act) Eksfiltracja logów zawierających PII poza UE, CLOUD Act żądanie dostępu do logów SIEM Grafana + Prometheus (OSS), OpenTelemetry + Victoria Metrics (OSS), Elastic self-hosted (OSS)
Twilio / SendGrid / Mailgun SMS, transakcyjny email, powiadomienia SREDNIA Dane odbiorców, treść wiadomości, numery telefonów USA PII odbiorców (nr telefonu, email) przetwarzane w US, brak data residency EU, lock-in API Brevo / Sendinblue (FR/UE), OVH SMS API, MailerLite (LT/UE), własny SMTP Postfix

2. Ryzyka systemowe

Lock-in technologiczny

Proprietary API, formaty danych i narzędzia CI/CD tworzą barierę wyjścia. Migracja po 2-3 latach integracji trwa miesiącami i pochłania budżet projektowy. Każde "convenience feature" platformy to potencjalna pułapka lock-in.

Jurysdykcja danych: CLOUD Act vs RODO

CLOUD Act (USA 2018) zobowiązuje dostawców w jurysdykcji US do udostępnienia danych organom rządowym — nawet gdy dane są przechowywane w UE. Koliduje z RODO art. 46 i Schrems II. Nie istnieje mechanizm, który w pełni eliminuje to napięcie.

Koncentracja i pojedynczy punkt awarii

Awaria AWS us-east-1 w 2021 unieruchomiła tysiące usług globalnie. Zależność całego stosu od jednego hyperscalera = zero odporności. BCP/DR musi uwzględniać scenariusz "dostawca niedostępny przez 48h".

Brak przenośności danych

Formaty zastrzeżone, brak standaryzowanych eksportów, niekompletne API do migracji. RODO art. 20 gwarantuje przenośność dla osób fizycznych — ale nie dla organizacji. Vendor oferuje eksport "w formacie CSV" który jest niekompatybilny z jakimkolwiek innym systemem.

Uzależnienie łańcucha dostaw

Dostawcy SaaS sami korzystają z BigTech (model AI hostowany na AWS, CI na GitHub Actions). Nawet wybierając "niezależnego" dostawcę, organizacja pośrednio pozostaje w ekosystemie hyperscalera. Wymagany audyt sub-procesorów DPA.

Ryzyko decyzji platformy

Zawieszenie konta, zmiana cen o 300% bez wypowiedzenia, EOL kluczowej usługi, przejęcie przez konkurenta — decyzje BigTech mogą sparaliżować operacje w 24h. Stripe wielokrotnie zamrażał konta bez ostrzeżenia. Brak exit planu = pełna ekspozycja.

3. Plan redukcji zależności

Inwentaryzacja

Sporządź kompletny rejestr wszystkich usług zewnętrznych: nazwa dostawcy, kategoria, siedziba prawna, region przetwarzania danych, umowa DPA, koszt miesięczny. Podstawa: bez mapy nie ma strategii.

Klasyfikacja krytyczności

Dla każdej usługi określ: czas akceptowalnej niedostępności (RTO), punkt odtworzenia danych (RPO), możliwość ręcznego fallbacku. Krytyczność = f(RTO, dane wrażliwe, jurysdykcja).

Priorytety — dane krytyczne i jurysdykcja najpierw

Zacznij od usług przetwarzających dane osobowe (RODO), dane szczególnych kategorii (art. 9) i tajemnicę handlową w jurysdykcji US (CLOUD Act). To najwyższe ryzyko prawne i reputacyjne. Pozostałe — w kolejnym kwartale.

Alternatywy UE / OSS — pilotaż i testy

Dla każdej kategorii wysokiego ryzyka: wybierz alternatywę UE lub self-hosted OSS, uruchom pilotaż równoległy (30-60 dni), oceń dojrzałość, wsparcie i koszty migracji. Nie migraj "z dnia na dzień" — ryzyko awarii produkcji.

Przenośność i exit plan

Dla każdej usługi zdefiniuj procedurę wyjścia: eksport danych (format, czas), przeniesienie konfiguracji, shutdown current vendor. Testuj exit plan co 12 miesięcy — nieprzetestowany plan nie istnieje.

Monitoring i przegląd

Utrzymuj rejestr zależności jako living document. Przegląd kwartalny: nowe zależności, zmiany ryzyka (nowe przepisy, fuzje dostawców, incydenty). Cel: zmniejszenie zależności CLOUD Act o min. 50% w 24 miesiące.

4. Powiązane

Zastrzeżenie. Materiał analityczno-strategiczny — nie stanowi rekomendacji zakupowej ani audytu dostawcy. Oceny ryzyka odzwierciedlają stan wiedzy na dzień publikacji (2026-07-01) i podlegają aktualizacji wraz ze zmianami prawnymi i rynkowymi. not a certification · not a notified body · not a legal conclusion.