Elektronický podpis v cloudu nebo on-premise: jakou volbu v roce 2026?
Cloud SaaS nebo nasazení on-premise: volba infrastruktury vaší řešení pro elektronický podpis ovlivňuje bezpečnost, náklady a soulad s eIDAS. Odkройte naši odbornou analýzu.
Équipe éditoriale Certyneo
Autor — Certyneo · O Certyneo
Úvod
Volba mezi elektronickým podpisem v cloudu a on-premise hostingem je jedním z nejstratégičtějších rozhodnutí pro DSI nebo právní oddělení v roce 2026. Zatímco SaaS získal velkého příznivce mezi malými a středními podniky svojí jednoduchou implementací, velké podniky a organizace podléhající sektorovým regulačním omezením si stále pokládají otázku na relevanci interního hostingu. Toto podrobné srovnání analyzuje oba modely podle pěti klíčových os: suverenita dat, technická bezpečnost, soulad s eIDAS, celkové náklady vlastnictví a obchodní flexibilita. Na konci tohoto článku budete mít operační rozhodovací rámec pro výběr architektury vhodné pro váš kontext.
Pochopení obou modelů hostingu
Elektronický podpis v cloudu (SaaS)
V cloudovém modelu provozovatel celou infrastrukturu: servery, aktualizace, dostupnost, zálohování a bezpečnost dat. Klientská společnost přistupuje k řešení přes API nebo webové rozhraní bez jakékoli místní instalace. Aktéři na evropském trhu — včetně Certyneo — se obvykle opírají o datová centra certifikovaná ISO 27001 umístěná v Evropské unii (Francie, Německo, Nizozemsko), což zaručuje soulad s GDPR bez dodatečných úsilí ze strany klienta.
Výhody jsou dobře známé: nasazení v řádu hodin, okamžitá škálovatelnost, automatické aktualizace zahrnující regulační vývoj (eIDAS 2.0, DSP3, NIS2) a ekonomický model na základě spotřeby (OPEX). Podle zprávy Markess by Exaegis 2025 nyní 78 % francouzských podniků s méně než 500 zaměstnanci preferuje SaaS pro své digitalizační nástroje.
Nasazení on-premise
On-premise spočívá v přímé instalaci platformy pro elektronický podpis na serverech podniku nebo v soukromém datovém centru, které podnik řídí. Tento model poskytuje úplnou kontrolu nad daty, toky a bezpečnostními politikami. Historicky ho přijímají banky, pojišťovny, nemocnice nebo veřejné správy, které zpracovávají citlivá data podléhající specifickým rámcům (HDS, SecNumCloud, PGSSI-S).
Protihodnotou je značná operační zátěž: tým IT musí spravovat aktualizace, certifikáty kvalifikovaného podpisu, HSM (Hardware Security Modules), vysokou dostupnost a sledovat regulační vývoj. Počáteční náklady (CAPEX) jsou vysoké, s licencemi, které mohou překročit 80 000 € za nasazení podnikového rozsahu, plus roční náklady na infrastrukturu.
Suverenita dat a regulační soulad
GDPR a lokalizace dat
Nařízení eIDAS a jeho důsledky pro vaše kvalifikované podpisy vyžadují, aby poskytovatelé služeb důvěry (PSCo) byli auditováni a zapsáni do seznamů důvěry jednotlivých zemí. Ať se rozhodnete pro cloud nebo on-premise, vaše řešení musí povinně využívat kvalifikovaného PSCo. Opravdová otázka GDPR se týká přenosů mimo EU: cloud hostovaný u amerického hyperscalera (AWS, Azure, GCP) bez platných standardních smluvních doložek (SCC) vystavuje podnik penalizaci až do výše 4 % světového obratu.
Řešení v cloudu evropských poskytovatelů jako Certyneo splňují tento požadavek nativně, se servery výhradně umístěnými ve Francii a smlouvou o zpracování dat (DPA) odpovídající článku 28 GDPR poskytnutou již při předplatném.
SecNumCloud a regulované sektory
Pro operátory kritické důležitosti (OIV) a subjekty podléhající doktríně Cloud v centru DINUM se postupně uplatňuje kvalifikace SecNumCloud od ANSSI. V roce 2026 pouze několik aktérů na francouzském cloudu získalo tuto kvalifikaci (OVHcloud, Outscale). Příslušné organizace proto musí buď zvolit cloud kvalifikovaný SecNumCloud, nebo udržovat on-premise vyhovující standardu ANSSI RGS v2.
Je třeba poznamenat, že NIS2, která byla přenesena do francouzského práva zákonem ze 26. ledna 2025, rozšiřuje povinnosti v oblasti kybernetické bezpečnosti na více než 15 000 podstatných a důležitých subjektů, což vytváří nový tlak na volbu architektury.
Celkové náklady vlastnictví: srovnávací analýza
Analýza TCO (Total Cost of Ownership) za 5 let systematicky odhaluje výhodu cloudu pro objemy nižší než 50 000 podpisů ročně. Nad tímto limitem se on-premise může stát konkurenceschopným, pokud infrastruktura již existuje. Kalkulátor ROI od Certyneo umožňuje přesně odhadnout tento bod zlomu podle vaší objemové a sektorové situace.
Typické nasazení on-premise pro podnik se 1 000 zaměstnanci představuje:
- Počáteční licence: 60 000 až 120 000 €
- Infrastruktura HSM a dedikované servery: 30 000 až 50 000 €
- Roční údržba (20 % licence): 12 000 až 24 000 €/rok
- Vnitřní IT zdroje: 0,5 až 1 FTE vyhrazené
Na rozdíl od toho cloud SaaS stejné kapacity obvykle stojí 18 000 až 40 000 €/rok všechno zahrnuto, s nulou CAPEX.
Technická bezpečnost: výhody a omezení obou modelů
Bezpečnost v cloudu
Oproti persistentnímu předpokladu cloud specialista často nabízí vyšší úroveň bezpečnosti než typická on-premise infrastruktura běžného podniku. Důvody jsou strukturální: vydavatelé masivně investují do vyhrazených týmů (SOC 24/7, penetrační testy čtvrtletně, certifikace ISO 27001 a SOC 2 Type II), což je mimo dosah většiny interních DSI.
Osvědčené postupy zahrnují šifrování AES-256 v klidu a TLS 1.3 v přenosu, povinné vícefaktorové ověřování, neměnné protokolování eventos podpisu a geograficky redundantní zálohy. Právní hodnota elektronického podpisu spočívá právě v této neměnné sledovatelnosti.
Rizika vlastní on-premise
On-premise generuje specifická rizika často podceňovaná:
- Odchylka verzí: bez vyhrazeného týmu jsou kryptografické aktualizace (revokace certifikátů, přechod na SHA-3) zpožďovány, vystavovat podnik podpisům technicky neplatným.
- Správa HSM: Hardware Security Module špatně nakonfigurovaný nebo s neotualizovaným firmware anuluje záruky neodmítnutelnosti.
- Plán zotavení z havárie: dostupnost (SLA) interního on-premise zřídka překročí 99,5 %, oproti 99,95 % pro strukturovaný cloud SaaS.
Pro organizace, které si přejí kombinovat svrchovanost a operační delegaci, model privátního cloudu (Private Cloud vyhrazený v datovém centru třetí strany certifikovaném HDS nebo SecNumCloud) představuje relevantní střední cestu.
Integrace, flexibilita a škálovatelnost
API a interoperabilita
Oba modely nyní vystavují dokumentovaná REST API. Nicméně rychlost aktualizace je strukturálně odlišná: vydavatel cloudu nasazuje nové funkce (biometrický podpis, AI detekce podvodů na dokumentech, podpora eIDAS 2.0 Wallet) v řádu týdnů, zatímco on-premise znamená cyklus interní kvalifikace 3 až 6 měsíců na hlavní verzi.
Chcete-li integrovat elektronický podpis do ERP (SAP, Oracle), HRMS nebo DMS (OpenText, Alfresco), cloud nabízí předem vytvořené konektory spravované vydavatelem. Úplné srovnání řešení elektronických podpisů podrobně popisuje schopnosti integrace hlavních hráčů trhu.
Škálovatelnost a objemy
V cloudu je škálovatelnost téměř okamžitá: kampaň 10 000 současných podpisů (valná hromada akcionářů, hromadné nasazení HR) je absorbována bez předchozí konfigurace. Na on-premise musí nadrozměřování infrastruktury předvídat špičky, což generuje immobilizační náklady.
Rychle rostoucí organizace nebo ty s cyklickými objemy (realitní, pojišťovnictví) se obzvláště těší z elasticity cloudu. Elektronický podpis v nemovitostech například zažívá špičky objemů spojené s tržními cykly, které by na on-premise znamenaly permanentní nadrozměřování.
Kritéria rozhodnutí: který model pro jaký profil?
Podniky a MSP bez specifických sektorových omezení
Pro MSP s 10 až 500 zaměstnanci bez zvláštní sektorové regulační povinnosti se cloud SaaS prosazuje bez váhání: rychlé nasazení, kontrolované náklady, soulad s eIDAS a GDPR garantovaný vydavatelem. Integrace do existujících nástrojů HR je usnadněna nativními konektory — jak ilustruje použití elektronického podpisu pro HR týmy pokrývající výplatní lístky, smlouvy a dohodnutá ukončení bez vyhrazené infrastruktury.
Velké podniky a regulované sektory
Podniky zpracovávající zdravotní údaje (HDS povinné), kritická finanční data nebo klasifikované informace musí vážně vyhodnotit on-premise nebo kvalifikovaný privátní cloud. Otázka není technická, ale regulační: umožňuje příslušný standard místo pro veřejný cloud?
Hybridní architektura — cloud pro běžné podpisy, on-premise pro nejcitlivější kvalifikované akty — je od roku 2024 přijata několika velkými francouzskými skupinami. Tento model vyžaduje přísnou orchestraci a solidní API brány.
Veřejné subjekty a veřejné správy
Od cirkuláru DINUM 2023-1 jsou státní správa incitovány upřednostňovat cloudová řešení kvalifikovaná SecNumCloud. On-premise zůstává povolen pro citlivé informační systémy (SIS), ale musí dodržovat RGS v2 a PGSSI-S pro zdravotní data. Elektronický podpis pro právní kanceláře ilustruje, jak subjekty s vysokými požadavky na sledovatelnost nacházejí rovnováhu mezi těmito dvěma modely.
Právní rámec применitelný k hostingu vaší řešení elektronického podpisu
Volba mezi cloudem a on-premise není neutrální z právního hlediska. Několik právních těles přímo upravuje technickou architekturu vašich řešení podpisu.
Občanský zákoník, články 1366 a 1367: Tyto články definují elektronický podpis jako spolehlivý proces identifikace garantující jeho spojitost s aktem, k němuž se vztahuje. Spolehlivost procesu je presumována, dokud není prokázáno opaku, je-li použit kvalifikovaný elektronický podpis. Tato presumpce se vztahuje nezávisle na režimu hostingu, za podmínky, že poskytovatel služeb důvěry (PSCo) je kvalifikován.
Nařízení eIDAS č. 910/2014 a eIDAS 2.0 (nařízení EU 2024/1183): Nařízení eIDAS rozlišuje tři úrovně podpisu (jednoduchý, pokročilý, kvalifikovaný). Kvalifikovaný podpis vyžaduje povinně účast PSCo zapsaného v seznamu důvěry jednotlivé státu (seznam důvěry ANSSI pro Francii). Ať je vaše řešení cloud nebo on-premise, musí se připojit k kvalifikovanému PSCo pro vydávání kvalifikovaných podpisů. eIDAS 2.0, platné od května 2024, zavádí evropskou peněženku digitální identity (EUDIW) a posiluje požadavky na správu kvalifikovaných certifikátů.
Nařízení GDPR č. 2016/679: Článek 28 vyžaduje uzavření DPA (smlouvu o zpracování dat) s jakýmkoli cloud poskytovatelem zpracovávajícím osobní údaje pro váš účet. Článek 44 zakazuje přenosy dat mimo EU bez odpovídajících záruk (standardní smluvní doložky nebo vázající korporativní pravidla). Na on-premise interní tato povinnost zmizí, ale podnik se stane odpovědným správcem v plné míře a musí dokumentovat své technické a organizační opatření (MTO) v souladu s článkem 32.
Směrnice NIS2 (směrnice EU 2022/2555), přenesena do francouzského práva zákonem ze 26. ledna 2025: Podstatné a důležité subjekty (energetika, zdravotnictví, finance, vodní hospodářství, digitální služby, doprava, veřejná správa) musí zavést přiměřená opatření v oblasti kybernetické bezpečnosti, včetně řízení rizik související s digitální dodavatelským řetězcem. Poskytovatel cloudu pro elektronický podpis tvoří kritického třetího dodavatele ve smyslu NIS2: povinná proveďte náležitou péči, specifické smluvní doložky a právo na audit.
Normy ETSI EN 319 132 a ETSI EN 319 122: Tyto normy definují formáty pokročilého elektronického podpisu (XAdES, PAdES, CAdES) přijaté na evropských veřejných trzích a ve B2B výměně. Soulad s těmito formáty musí být ověřen nezávisle na zvolené architektuře.
Obecný bezpečnostní referenční rámec (RGS v2) a HDS: Pro veřejnou správu a poskytovatele zdravotní péče se RGS v2 od ANSSI a certifikace HDS (Poskytovatel dat zdravotní péče, vyhláška ze 11. června 2018) uplatňují příslušně. Cloud není certifikován HDS je právně diskvalifikován pro hosting zdravotních údajů osobního charakteru, i přechodně při podepisování souhlasu pacienta.
Právní rizika k předvídání: Podpis vydaný ze systému, který není v souladu, může být zpochybněn u soudu, zejména pokud nelze nezvratně prokázat integritu dokumentu nebo identitu podepsané osoby. Břemeno důkazu leží na tom, kdo podpis uplatňuje. Audit souladu před nasazením, cloud nebo on-premise, je silně doporučován.
Scénáře použití: cloud nebo on-premise podle obchodního kontextu
Scénář 1 — Průmyslová skupina střední velikosti spravující 15 000 smluv ročně
Průmyslová střední podnik (přibližně 1 200 zaměstnanců, 3 výrobní místa ve Francii) musí digitalizovat všechny smlouvy dodavatelů, klientů a subdodavatelů. Ročně zpracovává v průměru 15 000 podpisů se špičkami v lednu (obnova rámcových smluv) a září (nákupní kampaně). Jeho průmyslová data jsou citlivá, ale nejsou klasifikovaná.
Po analýze TCO na 5 let směřuje finanční oddělení k závěru, že cloud SaaS evropského poskytovatele certifikovaný ISO 27001 je o 40 % levnější než ekvivalentní nasazení on-premise (úspora z rozsahu vydavatele vs. 0,7 FTE IT vyhrazených interně). DSI si vybrala cloud řešení hostované ve Francii s SLA 99,95 % a dokumentovaným REST API, přímo integrovaným do jejího ERP. Sezónní špičky jsou absorbovány bez dodatečných nákladů. Výsledek po 12 měsících: snížení průměrného času podepisování dodavatelských smluv o 65 % (z 8,3 dní na 2,9 dní) a odhadovaná roční úspora 120 000 € na náklady na papírové zpracování a opětovné napomenutí.
Scénář 2 — Nemocniční skupiny 1 200 lůžek podléhající certifikaci HDS
Nemocniční skupiny veřejné správy si přeje digitalizovat své souhlas pacientů, smlouvy praktikujících lékařů v soukromém sektoru a veřejné nákupy. Zpracovaná data zahrnují zdravotnické údaje osobního charakteru, podléhající certifikaci HDS (Poskytovatel dat zdravotní péče) a PGSSI-S.
Čistý on-premise je vyloučen kvůli složitosti údržby HSM a chybějícím kryptografickým kompetencím interně. Skupiny se rozhoduje pro privátní cloud hostovaný u poskytovatele certifikovaného HDS a kvalifikovaného SecNumCloud. Řešení podpisu je nasazeno v tomto vyhrazeném cloudu, se striktním oddělením sítě a exportem protokolů auditu do interního SIEM. Náklady jsou o 25 % vyšší než standardní mutualizovaný cloud, ale o 35 % nižší než kompletní on-premise. Provozní přínos: 800 měsíčních souhlasů je zpracováno za méně než 24 hodin, oproti 5 dnům v papírovém formátu, s úplnou trasovatelností odpovídající požadavkům HAS.
Scénář 3 — Právnická kancelář 25 právníků integrující podpis do denního pracovního toku
Právnická kancelář pařízská zabývající se právem obchodních transakcí každodenně zpracovává cedule, smlouvy o dohodě a plná moc vyžadující pokročilý nebo kvalifikovaný elektronický podpis. Důvěrnost klientských dat je absolutní prioritou, ale kancelář nemá žádnou vlastní IT infrastrukturu.
On-premise je vyloučena od počátku z důvodu zdrojů. Kancelář si volí cloud SaaS evropského poskytovatele se šifrováním end-to-end, klíčům šifrování spravovanými klientem (BYOK — Bring Your Own Key), a smluvní zárukou nepřístupu vydavatele k datům. Tato architektura nazývaná "zero knowledge" splňuje jak etické požadavky České komory právníků, tak povinnosti GDPR. Integrace se softwarem pro správu záležitostí (přes API) snižuje čas přípravy podepisovatelného aktu z 45 minut na 8 minut v průměru, takže zvýšení produktivity o 82 % v tomto úkolu.
Závěr
Cloud nebo on-premise: neexistuje univerzální odpověď, ale strukturovaný rozhodovací rámec. Pro velkou část francouzských podniků — MSP, střední podniky bez kritického sektorového omezení — přináší cloud SaaS evropského poskytovatele vyhovující eIDAS a GDPR nejlepší poměr mezi bezpečností, soulad a celkovými náklady vlastnictví. On-premise nebo kvalifikovaný privátní cloud zůstává relevantní pro regulované sektory (zdravotnictví, obrana, OIV), kde imperativní rámce (HDS, SecNumCloud, RGS v2) ukládají úplnou kontrolu infrastruktury.
V roce 2026 opravdová otázka není "cloud nebo on-premise", ale "jaká úroveň suverenity pro jaká data, s kterým kvalifikovaným PSCo?" Certyneo splňuje tyto požadavky cloudovou architekturou hostovanou výhradně ve Francii, certifikovanou ISO 27001, vyhovující eIDAS 2.0 a GDPR. Objevte naše nabídky a ceny na Certyneo nebo kontaktujte náš tým pro bezplatný audit vaší potřeby elektronického podpisu.
Vyzkoušejte Certyneo zdarma
Odešlete svou první podpisovou obálku za méně než 5 minut. 5 obálek zdarma měsíčně, bez platební karty.
Prohloubení tématu
Naše kompletní průvodce pro zvládnutí elektronického podpisu.
Doporučené články
Prohlubujte své znalosti s těmito souvisejícími články.
Elektronický podpis: zdarma nebo placené, co zvolit v roce 2026?
Mezi omezenými bezplatnými nabídkami a placeným řešením odpovídajícím eIDAS se jedná o důležitou volbu pro malé a střední podniky. Zjistěte z našeho srovnání, jak se správně rozhodnout.
Srovnění HelloSign vs Certyneo: kterou zvolit v roce 2026?
HelloSign a Certyneo se zaměřují na podniky B2B, ale jejich přístupy se zásadně liší. Zjistěte, která řešení skutečně splňuje vaše požadavky na soulad s eIDAS a produktivitu.
Plánování stavby v digitální podobě: elektronický podpis v roce 2026
Digitální plánování stavby revolucionizuje řízení projektů ve stavebnictví v roce 2026. Elektronický podpis, sledovatelnost a regulační soulad: kompletní průvodce pro profesionály v tomto odvětví.