OpenAI v srpnu 2023 spustilo ChatGPT Enterprise a korporátní svět zbystřil. Konečně oficiální odpověď na otázku, která trápí každého CISO: „Jak dát zaměstnancům ChatGPT, aniž bychom ohrozili firemní data?” Prošli jsme několika enterprise nasazeními a sdílíme, co funguje — a kde jsou pasti.
Proč nestačí firemní VPN a „neposílejte tam nic citlivého”¶
Většina firem v první polovině 2023 reagovala na boom ChatGPT interním e-mailem: „Nepoužívejte ChatGPT pro firemní data.” Výsledek? Zaměstnanci ho používali stejně — jen tajně. Shadow AI je reálný problém a zákaz ho neřeší. Řeší ho řízené nasazení s jasnými pravidly.
Problém veřejného ChatGPT je jednoduchý: data odeslaná přes API mohou být použita k trénování modelu (pokud nepoužíváte API s opt-out). Pro regulované odvětví — banky, pojišťovny, zdravotnictví — je to nepřijatelné. GDPR, bankovní tajemství, NIS2 — regulace nezná výjimky pro „ale je to užitečné”.
Azure OpenAI — data zůstávají ve vašem tenantu¶
Naše doporučená cesta: Azure OpenAI Service. Modely GPT-4 a GPT-3.5 Turbo běží v Azure datacentru (West Europe pro české klienty). Data nejsou sdílena s OpenAI, nejsou použita k trénování, zůstávají v rámci vašeho Azure tenantu. Private endpoint, VNET integrace, managed identity — standardní Azure security stack.
Pro klienty, kteří už mají Azure Enterprise Agreement, je nasazení relativně přímočaré. Resource group, RBAC, diagnostické logy do Log Analytics — nic nového pod sluncem. Jen model je nový.
ChatGPT Enterprise vs. Azure OpenAI — co vybrat?¶
ChatGPT Enterprise (přímo od OpenAI) je managed SaaS — uživatelské rozhraní, admin konzole, SSO přes SAML. Výhoda: zero infrastructure. Nevýhoda: omezená customizace, vendor lock-in, data processing agreement je s OpenAI (americká jurisdikce).
Azure OpenAI je API-first — stavíte vlastní frontend, máte plnou kontrolu nad infrastrukturou. Výhoda: compliance (EU data residency), integrace s existujícím Azure stackem, custom RAG pipeline. Nevýhoda: musíte to postavit sami.
Pro české enterprise klienty obvykle doporučujeme Azure OpenAI. Důvod: GDPR compliance, existující Azure smlouvy, a hlavně — potřeba integrace s interními systémy, ne jen chatovací okno.
Architektura bezpečného nasazení¶
Typická architektura, kterou nasazujeme:
- API Gateway (Azure API Management) — rate limiting, autentizace, logování všech requestů
- PII filtr — Azure AI Content Safety + custom regex pro rodná čísla, čísla účtů, interní kódy
- Azure OpenAI s private endpoint — žádný public internet
- Prompt injection ochrana — system prompt validace, input sanitizace
- Audit log — kdo, kdy, co se ptal, co dostal za odpověď → Log Analytics → Sentinel
- Cost management — token budget per user/department, alerting na anomálie
Governance — pravidla hry¶
Technologie je polovina řešení. Druhá polovina je governance:
Acceptable Use Policy: co smí a co nesmí do LLM. Konkrétní příklady — „smíte: sumarizace veřejných dokumentů, draft e-mailů bez klientských dat. Nesmíte: osobní údaje klientů, interní finanční data, zdrojový kód core systémů.”
Klasifikace dat: napojení na existující data classification schéma. Veřejné → OK. Interní → OK s PII filtrem. Důvěrné → zakázáno. Tajné → zakázáno.
Training: bez školení je každá policy zbytečná. Workshop pro zaměstnance: co je LLM, jak funguje, proč hallucinate, jak psát efektivní prompty, co nikdy neposílat.
Měřitelné výsledky¶
U jednoho klienta (středně velká pojišťovna, 800 zaměstnanců) jsme po třech měsících měřili: 73 % zaměstnanců aktivně používá interní ChatGPT. Průměrná úspora 45 minut denně u knowledge workers. Nulový bezpečnostní incident. Shadow AI usage kleslo z odhadovaných 40 % na méně než 5 %.
Náklady: Azure OpenAI GPT-4 Turbo pro 800 uživatelů — přibližně 35 000 Kč/měsíc. ROI se vrátil za 6 týdnů.
Časté chyby při nasazení¶
„Nasadíme to za víkend”: technicky možné, governance trvá týdny. Právní review DPA, security assessment, školení — počítejte s 6-8 týdny pro regulovaná odvětví.
Žádný monitoring: bez logování nevíte, jestli někdo neposlal celou klientskou databázi do promptu. Audit trail není nice-to-have, je must-have.
Přehnané očekávání: ChatGPT není Oracle. Nedá vám přesná čísla z vašeho ERP. Na to potřebujete RAG nad strukturovanými daty.
Bezpečné nasazení je možné — ale není triviální¶
ChatGPT v enterprise není o technologii — je o governance, compliance a change managementu. Azure OpenAI řeší technickou vrstvu. Zbytek je na vás. A ten „zbytek” je 70 % práce.