Názory k článku Nový český cloud od T-Mobilu je hezký start, ale na americké obry to zatím opravdu nemá

Pokud dochazi ke zpracovani dat, tak tato jsou v urcitem okamziku desifrovana. A v zavislosti na technickem reseni pak k nim v tomto okamziku ma pristup provozovatel v dane jurisdikci. Muze delat treba nepozorovane dumpy pameti procesu/vmek. A muze v prubehu zpracovani dat ziskavat udaje. U VMek/procesu je to smesne jednoduche. Ale treba HSM velmi narocne a bez schovanych backdooru pokud neni znacne hodnotny cil nerentabilni. U hostovane HSM/nebo balanceru s TLS se muzetete pouze domnivat ze vse je bezpecne. Nemate jak si to vyjma papiru od auditu overit.
A to vubec nezminuji data typu zaznamenej dnes, desifruj zitra.
Takze diskuse JE o suverenite a o tom ze data _zpracovavam_ lokalne. Ulozeni dejme tomu mohu resit klidne jinde po svete ale jejich _zpracovavani_ budu resit na svem pisecku mimo napriklad cloud act.

Souhlas, data-at-rest, data-in-transit a data-in-use jsou přesně ty body, které v debatě o suverenitě většinou chybí. A máte pravdu, že samotná lokace serveru je neřeší. A confidential computing lokální hráči zatím většinou neřeší a oproti hyperscalerům ani nenabízí. TEE (AMD SEV, Intel TDX) řeší váš bod o přístupu provozovatele při zpracování kryptograficky ověřitelně a to výrazně lépe než jurisdikční důvěra nebo papír od auditu, v současném threat modelu většiny organizací.