(1) Podklady k ověření splnění požadavku podle § 4 obsahují

a) popis splnění požadavku pro službu cloud computingu, kterou poskytovatel žádá zapsat do katalogu cloud computingu, kterým poskytovatel dokládá splnění požadavku v přílohách č. 1 až 4 k této vyhlášce, a

b) dokumenty, kterými poskytovatel doloží splnění požadavku podle příloh č. 1 až 4 k této vyhlášce.

(2) Náležitosti podle odstavce 1 písm. a) dokládá poskytovatel na elektronickém formuláři, který se zveřejňuje na internetových stránkách Digitální a informační agentury.

(3) Struktura podkladů k ověření splnění požadavků podle § 4 musí být přehledná a srozumitelná. Za tímto účelem poskytovatel popíše splnění každého z požadavků pro každou službu cloud computingu, kterou žádá zapsat do katalogu cloud computingu. V případě, že poskytovatel v rámci jedné nabídky cloud computingu žádá zapsat více služeb cloud computingu spadajících do stejné bezpečnostní úrovně a splňujících požadavek shodným způsobem, je možné doložit splnění každého z požadavků pouze jednou a následně jednoznačně uvést všechny služby cloud computingu, na které se toto doložení vztahuje. V případě, že poskytovatel žádá zapsat nabídku cloud computingu, pro kterou je možné doložit splnění požadavků shodným podkladem, kterým byly prokázány již zapsané nabídky téhož poskytovatele, může se poskytovatel na tento podklad odkázat. Na takový odkaz se uplatní požadavky odstavce 4.

(4) V případě, že je pro doložení splnění požadavku podle § 4 nezbytné odkázat do jiného dokumentu, který je k formuláři připojen, provede se tak ve formuláři uvedením názvu připojeného dokumentu a kapitoly, strany, odstavce a případně i konkrétní věty, ze které splnění požadavku pro službu cloud computingu vyplývá.

(5) Pro účely podkladů k ověření splnění požadavku na zajištění důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy nabízeným cloud computingem podle § 4 se rozumí

a) písemným popisem popis uvedený ve formuláři žádosti podle odstavce 1 písm. a) nebo v samostatném podkladu, na který je v popisu splnění požadavku odkazováno,

b) čestným prohlášením podklad, kterým je čestně prohlášeno splnění daného požadavku či jeho aspektu, ze kterého je patrné, kdo a kdy jej činí, co jím dokládá, a podepsaný osobou oprávněnou jednat za poskytovatele; v případě, že čestné prohlášení činí osoba odlišná od poskytovatele, je zároveň s čestným prohlášením dokládán i doklad o zmocnění opravňujícím tuto osobu k tomuto čestnému prohlášení,

c) smluvní dokumentací návrh smlouvy, smluvních podmínek, podmínek poskytování služby či podobný podklad pro služby cloud computingu, které poskytovatel žádá zapsat do katalogu cloud computingu,

d) další dokumentací produktová specifikace, technická dokumentace nebo další jiný popis služby, který není smluvní dokumentací, a

e) auditní zprávou

(6) Auditní zpráva podle odstavce 5 písm. e) musí být vydána subjektem nezávislým na poskytovateli, nesmí být ke dni podání žádosti o zápis nabídky cloud computingu do katalogu cloud computingu starší než 24 měsíců a do jejího rozsahu musí jmenovitě spadat posuzovaná služba cloud computingu.

1. auditní zpráva vydaná pro certifikaci podle ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF),

2. auditní zpráva SOC 2® Type 2,

3. auditní zpráva o vyhodnocení shody s aktuálními požadavky Cloud Computing Compliance Criteria Catalogue (C5), a to ve formě Type 2, nebo

4. auditní zpráva o vyhodnocení shody s požadavky této vyhlášky.