Porównanie dostawców PAM 2026: USA vs UE — architektura, bezpieczeństwo i cena
Ocena korporacyjnego PAM w Europie w 2026 r. to nie ta sama decyzja, co w 2022 r. Dyrektywa NIS2 UE obowiązuje od stycznia 2023 r.; polska transponująca ustawa krajowa (UKSC) weszła w życie w kwietniu 2026 r., z terminem zgodności do kwietnia 2027 r. dla podmiotów objętych. Egzekwowanie RODO przyspiesza. Pytanie nie brzmi już tylko „który PAM ma najlepsze funkcje" — lecz „któremu PAM mogę faktycznie zaufać w zakresie zgodności z przepisami UE i który trzyma moje dane w Europie". Ten artykuł porównuje pięć wiodących platform PAM w czterech wymiarach, które mają największe znaczenie dla europejskich nabywców korporacyjnych: architektura, postura bezpieczeństwa w UE, model cenowy i dopasowanie do infrastruktury opartej na RDP.
Pięciu dostawców
Wybieranie dostawców PAM w 2026 r. oznacza poruszanie się po rynku, który obejmuje chmurowe startupy z USA, europejskich regulowanych dostawców zasiedziałych i nową falę założycieli z UE zbudowanych specjalnie na erę NIS2. Oto gdzie każdy z pięciu dostawców w tym porównaniu się plasuje.
Dostawca A (USA) to chmurowa platforma PAM z siedzibą w USA, która zbudowała swoją reputację na zarządzaniu dostępem SSH i Kubernetes. Od tamtej pory rozszerzyła się o Windows Desktop (RDP) i dostęp do baz danych. Jego model cenowy oparty jest na zużyciu — Miesięczni Aktywni Użytkownicy plus chronione zasoby — co sprawia, że jest atrakcyjny dla organizacji z intensywnym inżynierskim środowiskiem i przewidywalną infrastrukturą. Nie publikuje gwarancji rezydencji danych w UE na swojej publicznej stronie.
Dostawca B (USA) to wieloprotokołowa platforma PAM z siedzibą w USA z szerokim pokryciem: bazy danych (PostgreSQL, MySQL, MSSQL, MongoDB), serwery (SSH, RDP), Kubernetes i usługi chmurowe w jednym modelu proxy. Został przejęty przez głównego dostawcę PAM z dziedzictwa na początku 2026 r. Ceny wymagają kontaktu z działem sprzedaży dla wszystkich poziomów. Rezydencja danych w UE nie jest udokumentowana publicznie.
Dostawca C (UE) to francuska spółka notowana publicznie z podwójną certyfikacją BSI i ANSSI — jedyny dostawca w tym porównaniu posiadający zarówno niemiecką, jak i francuską krajową certyfikację bezpieczeństwa. Skupia się na wieloprotokołowym PAM z opcjami wdrożenia lokalnego i chmurowego, i ma silną obecność handlową we Francji i Niemczech, w tym zamówienia przez ramowe umowy rządu francuskiego. Ceny wymagają kontaktu z działem sprzedaży.
Dostawca D (UE) to polska firma z siedzibą w Warszawie, w rundzie Series A sfinansowanej w 2025 r. Skupia się na bezagentowym PAM z nagrywaniem sesji RDP i wyraźnie pozycjonuje się wokół zgodności z NIS2. Jako firma z siedzibą w Warszawie, podziela tę samą jurysdykcję co VaultPAM. Ceny wymagają kontaktu z działem sprzedaży.
Dostawca E (UE) to fińska spółka notowana publicznie (giełda nordycka), która stosuje oparty na certyfikatach, bezsejfowy podejście do PAM: efemeryczne certyfikaty całkowicie zastępują przechowywane poświadczenia, więc nie ma sejfu poświadczeń uprzywilejowanych do ochrony. Jest SSH-primary z dodaną obsługą RDP. To jedyny dostawca w tym porównaniu z dostępnymi zakupami online po opublikowanych cenach poziomów.
Jak każdy PAM obsługuje Twój ruch
Architektura nie jest szczegółem implementacyjnym — determinuje, jak wygląda Twój dziennik audytu, czy agent musi być zainstalowany na każdym serwerze docelowym i czy nagrania sesji spełnią wymagania regulatora, który poprosi o ich okazanie.
| Wymiar | VaultPAM | Dostawca A (USA) | Dostawca B (USA) | Dostawca C (UE) | Dostawca D (UE) | Dostawca E (UE) |
|---|---|---|---|---|---|---|
| Model wdrożenia | SaaS natywny chmurowo (GCP europe-central2) | SaaS natywny chmurowo (wieloregionowy) | SaaS natywny chmurowo (wieloregionowy) | Lokalnie + chmura hybrydowa | SaaS natywny chmurowo | SaaS natywny chmurowo |
| Obsługa protokołów | Bezagentowy — brak agenta na serwerze docelowym | Wymagany agent na celach Windows (Windows Desktop Service); bezagentowy dla SSH/K8s | Bezagentowy proxy dla wszystkich protokołów | Oparty na agencie (lokalnie) i bezagentowy (chmura) | Bezagentowy | Bezagentowy |
| Podejście do RDP | Natywny proxy RDP — pełne nagrywanie na poziomie protokołu, bez hosta pośredniego | RDP przez Windows Desktop Service; uwierzytelnianie smart card; udokumentowane nagrywanie zrzutami ekranu | Proxy RDP przez agent; nagrywanie sesji wliczone | Proxy RDP; lokalna brama lub przekaźnik chmurowy | Natywny proxy RDP; nagrywanie sesji wliczone | RDP obsługiwany przez proxy; architektura SSH-primary |
| Model poświadczeń | Sejf (AES-256-GCM, Vault Transit) + sesje ograniczone czasowo JIT | Efemeryczne oparte na certyfikatach (bez przechowywanych poświadczeń dla SSH/K8s); sejf używany dla haseł Windows | Sejf — sekrety przechowywane i rotowane; zero stałego dostępu | Sejf — sekrety przechowywane i rotowane | Sejf + JIT | Oparte na certyfikatach (bez sejfu) |
| Nagrywanie sesji | Tak — przechowywane w GCP europe-central2; łańcuch skrótów BLAKE3; przechowywanie WORM | Tak — nagrania przechowywane w chmurze dostawcy; region nieudokumentowany publicznie | Tak — nagrania przechowywane w chmurze dostawcy; region nieudokumentowany publicznie | Tak — dostępna opcja lokalnego przechowywania; region chmury nieudokumentowany publicznie | Tak — region nieudokumentowany publicznie | Nieudokumentowane publicznie dla RDP |
Co tak naprawdę oznaczają różnice architektoniczne
Wybór modelu poświadczeń ma konsekwencje dla compliance, które łatwo przeoczyć w porównaniu funkcji.
PAM tylko z certyfikatami (bez sejfu) eliminuje ryzyko kompromitacji przechowywanych poświadczeń — nie ma przechowywanych poświadczeń do kradzieży. Architektura Dostawcy E (UE) jest pod tym względem naprawdę innowacyjna. Oznacza to jednak również brak ścieżki audytu dostępu do poświadczeń dla niektórych ram regulacyjnych. Jeśli audytor pyta „kto miał dostęp do hasła Windows Administrator na tym serwerze między 1 a 31 marca", odpowiedzią w modelu tylko z certyfikatami jest dziennik wystawiania certyfikatów — nie dziennik dostępu do sejfu poświadczeń. Niektórzy regulatorzy i ramy audytowe akceptują to; inne oczekują tradycyjnego dziennika dostępu do sejfu. Wiedz, czego oczekują Twoi audytorzy, zanim wybierzesz ten model.
Nagrywanie RDP oparte na zrzutach ekranu a na poziomie protokołu to rozróżnienie istotne dla NIS2 art. 21. Nagrywanie oparte na zrzutach ekranu rejestruje to, co widział użytkownik, ale nie rejestruje podstawowego strumienia sterowania i kontroli RDP. Nagrywanie na poziomie protokołu rejestruje całą sesję: naciśnięcia klawiszy, transfery ze schowka, transfery plików i wyjście wyświetlacza na warstwie protokołu. Różnica staje się istotna, gdy zespół reagowania na incydenty musi dokładnie odtworzyć to, co się wydarzyło w uprzywilejowanej sesji — sekwencja zrzutów ekranu może być niewystarczająca. VaultPAM, Dostawca C (UE) i Dostawca D (UE) dokumentują nagrywanie na poziomie protokołu lub równoważne; Dostawca A (USA) dokumentuje nagrywanie oparte na zrzutach ekranu dla sesji Windows Desktop konkretnie.
Bezagentowy a oparty na agencie wpływa na koszty wdrożenia w skali. Dla organizacji z setkami serwerów Windows wdrożenie i utrzymanie agenta na każdym celu dodaje koszty operacyjne. Modele bezagentowe (VaultPAM, Dostawca D (UE), Dostawca B (USA)) łączą się przez centralny proxy bez dotykania stosu oprogramowania serwera docelowego.
Suwerenność danych, certyfikacje i głębokość zgodności z NIS2
Postura bezpieczeństwa w UE jest coraz częściej bramą zakupową — nie miłym dodatkiem. Dla organizacji podlegających NIS2, RODO lub sektorowym regulacjom (DORA, UKSC, polska ustawa o cyberbezpieczeństwie), jurysdykcja i postura certyfikacyjna dostawcy determinują, czy narzędzie w ogóle znalazło się na krótkiej liście.
| Wymiar | VaultPAM | Dostawca A (USA) | Dostawca B (USA) | Dostawca C (UE) | Dostawca D (UE) | Dostawca E (UE) |
|---|---|---|---|---|---|---|
| Jurysdykcja siedziby | UE (Polska) | USA | USA | UE (Francja) | UE (Polska) | UE (Finlandia) |
| Rezydencja danych | GCP europe-central2 (Warszawa, Polska) | Nieudokumentowana publicznie | Nieudokumentowana publicznie | Opcja lokalna; region chmury nieudokumentowany publicznie | Nieudokumentowana publicznie | Nieudokumentowana publicznie |
| Ryzyko transferu do państwa trzeciego | Brak (spółka UE, dane UE) | Stosuje się US CLOUD Act | Stosuje się US CLOUD Act | Brak (spółka UE) | Brak (spółka UE) | Brak (spółka UE) |
| Certyfikaty bezpieczeństwa | Gotowość SOC 2 Type II; gotowość ISO 27001 | SOC 2 Type II (udokumentowany publicznie) | SOC 2 Type II (udokumentowany publicznie) | Podwójna certyfikacja BSI + ANSSI | Nieudokumentowane publicznie | Nieudokumentowane publicznie |
| Dokumentacja zgodności z NIS2 | Opublikowane mapowanie mechanizmów kontrolnych art. 21 | Nieudokumentowane publicznie | Treści NIS2 opublikowane (poziom wpisu na blogu) | Nieudokumentowane publicznie | Udokumentowane skupienie na NIS2; mapowanie art. 21 niepotwierdzono publicznie | Nieudokumentowane publicznie |
Problem CLOUD Act dla nabywców z UE
Firmy z siedzibą w USA — niezależnie od tego, gdzie przechowują dane — podlegają US Clarifying Lawful Overseas Use of Data (CLOUD) Act z 2018 r. Na podstawie CLOUD Act firma z USA może być zobowiązana przez nakaz rządu USA do ujawnienia danych, które posiada lub kontroluje, nawet gdy dane te są przechowywane w centrum danych w UE.
To nie jest ryzyko teoretyczne. Dla podmiotów objętych NIS2 w sektorach infrastruktury krytycznej (energia, transport, opieka zdrowotna, infrastruktura finansowa), zakup usług chmurowych od dostawców z siedzibą w USA rutynowo obejmuje teraz przegląd prawny ryzyka CLOUD Act. Dla organizacji, które przeprowadziły ten przegląd i zaakceptowały ryzyko, dostawcy z USA pozostają opłacalni. Dla organizacji, w których zespół prawny lub compliance oznaczył CLOUD Act jako bramę zakupową, przechodzą wyłącznie dostawcy z siedzibą w UE.
Dostawcy C, D i E (UE) są zarejestrowani w państwach członkowskich UE i nie mają bezpośredniego narażenia na CLOUD Act jako firmy. VaultPAM jest również zarejestrowany w UE (Polska), ale jego infrastruktura chmurowa działa na GCP europe-central2 — produkcie Google LLC, firmy z USA. To, czy CLOUD Act mógłby dotrzeć do danych klientów VaultPAM poprzez żądanie skierowane do Google, jest kwestią prawną; zespoły zakupowe w sektorach infrastruktury krytycznej powinny zasięgnąć porady prawnej. W praktyce standardowe umowy o przetwarzaniu danych w chmurze i europejskie ramy ochrony danych zapewniają znaczną ochronę proceduralną przed takimi żądaniami, a Google publikuje Raport przejrzystości żądań rządowych dokumentujący wskaźnik zakwestionowań.
Certyfikacja BSI i ANSSI
Dostawca C (UE) jest jedynym dostawcą w tym porównaniu z podwójną certyfikacją BSI (Bundesamt für Sicherheit in der Informationstechnik, Niemcy) i ANSSI (Agence nationale de la sécurité des systèmes d'information, Francja). Dla zamówień do infrastruktury federalnej Niemiec, krytycznej infrastruktury krajowej we Francji lub jakiejkolwiek organizacji posiadającej umowny wymóg certyfikacji BSI lub ANSSI, Dostawca C (UE) jest jedyną opcją w tym porównaniu, która się kwalifikuje. Żaden inny dostawca sprawdzony tutaj nie osiągnął tego poziomu certyfikacji.
Dokumentacja art. 21 NIS2
NIS2 art. 21 wymaga od organizacji wdrożenia „odpowiednich i proporcjonalnych środków technicznych i organizacyjnych", w tym kontroli dostępu uprzywilejowanego, uwierzytelniania wieloskładnikowego i nagrywania sesji. Audytorzy coraz częściej proszą dostawców o mapowanie mechanizmów kontrolnych pokazujące, w jaki sposób ich produkt implementuje każde podwymaganie art. 21.
VaultPAM publikuje mapowanie mechanizmów kontrolnych art. 21 jako część dokumentacji produktu. Dostawca B (USA) opublikował treści NIS2 na poziomie bloga/marketingu. Pozostali dostawcy w tym porównaniu nie dokumentują publicznie mapowania mechanizmów kontrolnych art. 21 według stanu na maj 2026 r.
Ile tak naprawdę płacisz
Ceny korporacyjnego PAM są niemal powszechnie nieprzejrzyste. Poniższa tabela odzwierciedla to, co każdy dostawca publicznie dokumentuje.
| Dostawca | Model cenowy | Publiczne ceny | Bezpłatny poziom |
|---|---|---|---|
| VaultPAM | Per zarządzany cel + użytkownicy; miesięcznie lub rocznie | Tak — Starter 399 €/mies., Business 699 €/mies., Enterprise od 2 500 €/mies. | 14-dniowy bezpłatny okres próbny (poziom Starter, bez karty kredytowej) |
| Dostawca A (USA) | Oparty na zużyciu (MAU + chronione zasoby) | Wymaga rozmowy sprzedażowej; brak publicznych kwot | Community Edition (firmy poniżej 100 pracowników / 10 mln USD przychodu) |
| Dostawca B (USA) | Kontakt z działem sprzedaży; poziomy Essentials / Enterprise / GovCloud | Brak publicznych cen per miejsce lub per zasób | Nieudokumentowane publicznie |
| Dostawca C (UE) | Kontakt z działem sprzedaży; dostępne ceny w ramach zamówień rządu francuskiego | Brak publicznych kwot | Nieudokumentowane publicznie |
| Dostawca D (UE) | Kontakt z działem sprzedaży | Brak publicznych kwot | Nieudokumentowane publicznie |
| Dostawca E (UE) | Skalowalne poziomy z zakupami online | Tak — publiczne ceny poziomów dostępne na stronie | Dostępny bezpłatny poziom |
VaultPAM i Dostawca E (UE) są jedynymi dwoma dostawcami w tym porównaniu, którzy publikują ceny na swojej publicznej stronie i oferują ścieżkę do rozpoczęcia bez rozmowy sprzedażowej. Każdy inny dostawca w tym porównaniu wymaga zaangażowania w zamówienie, zanim jakiekolwiek informacje cenowe staną się dostępne.
Prawdziwy koszt to nie opłata licencyjna
Cena katalogowa to najmniej informatywna liczba w ocenie PAM. Całkowity koszt posiadania zależy od:
- Koszty wdrożenia i utrzymania agenta — dla architektur opartych na agencie, bieżący koszt wdrażania, aktualizacji i rozwiązywania problemów z agentami na wszystkich serwerach docelowych to rzeczywisty koszt operacyjny. Dla środowiska 500 serwerów może to przekroczyć koszt licencji w czasie pracy w ciągu trzyletniego kontraktu.
- Koszty przechowywania sesji — nagrania sesji o pełnej wierności generują znaczną ilość przechowywania. Dostawcy, którzy wliczają przechowywanie do licencji (VaultPAM Starter wlicza 50 GB), są łatwiejsi do budżetowania niż ci, którzy naliczają oddzielnie za przechowywanie nagrań.
- Wysiłek integracji z AD/LDAP — prawie wszystkie platformy PAM wymagają integracji z Active Directory dla tożsamości użytkowników. Złożoność integracji znacznie się różni między dostawcami, a zły projekt integracji stwarza trwałe obciążenie dla działu pomocy technicznej.
- Koszty SLA wsparcia — różnica między wsparciem e-mailowym w godzinach roboczych a telefonicznym 24/7 jest często oddzielną pozycją lub uaktualnieniem poziomu. Dla platform PAM chroniących infrastrukturę krytyczną, SLA wsparcia nie jest opcjonalne.
Właściwe narzędzie dla Twojej sytuacji
Żadna pojedyncza platforma PAM nie jest właściwą odpowiedzią dla każdego europejskiego przedsiębiorstwa. Wybory architektoniczne, jurysdykcja, postura certyfikacyjna i model cenowy tworzą naturalne dopasowania dla konkretnych profili nabywców.
Polska jednostka objęta NIS2 — szczególnie w infrastrukturze krytycznej lub usługach zasadniczych regulowanych przez polską transponującą ustawę UKSC. Potrzebujesz twardej gwarancji rezydencji danych w UE (nie opcji umownej, która domyślnie ustawia inne miejsce), opublikowanego mapowania mechanizmów kontrolnych art. 21, nagrywania sesji RDP z odpornym na manipulacje łańcuchem dowodowym i wsparcia dostępnego w kompatybilnej strefie czasowej. VaultPAM (siedziba w Warszawie, rezydencja danych GCP europe-central2, opublikowane mapowanie art. 21) i Dostawca D (UE) (również siedziba w Warszawie, skupienie na NIS2) to dwaj dostawcy w tym porównaniu, którzy spełniają ten profil. VaultPAM publikuje ceny i oferuje bezpłatny okres próbny; Dostawca D (UE) wymaga rozmowy sprzedażowej.
Francuska lub niemiecka infrastruktura krytyczna z umownym wymogiem BSI lub ANSSI. To zawęża pole do jednej opcji: Dostawcy C (UE). To jedyny dostawca w tym porównaniu z podwójną certyfikacją BSI i ANSSI. Jeśli Twój kontrakt zamówień lub sektor regulatora wymaga tego poziomu certyfikacji, żaden inny dostawca w tym porównaniu się nie kwalifikuje. Kompromisem są ceny wyłącznie przez kontakt ze sprzedażą i bardziej złożony lokalny model wdrożenia.
Natywna chmurowo firma technologiczna z SSH i Kubernetes jako główną powierzchnią dostępową. Jeśli Twoja infrastruktura jest oparta na Linuksie, Kubernetes-first i hostowana u głównego dostawcy chmury, podstawowy produkt Dostawcy A (USA) jest naprawdę mocny. Jego zarządzanie dostępem SSH i Kubernetes jest bardziej dojrzałe niż jego stos Windows/RDP. Zaakceptuj ryzyko CLOUD Act, jeśli Twój dział prawny je wyjaśnił, zaakceptuj model cenowy oparty na zużyciu i zweryfikuj pozycję rezydencji danych w UE na piśmie przed podpisaniem.
Zespół bezpieczeństwa, który chce całkowicie wyeliminować przechowywane poświadczenia — PAM tylko z certyfikatami. Jeśli uzasadnieniem Twojej architektury bezpieczeństwa jest „nie chcemy sejfu poświadczeń, bo sejfy są celem", model oparty na certyfikatach Dostawcy E (UE) jest jedyną opcją w tym porównaniu, która pasuje do tej filozofii. Jest SSH-primary, więc zweryfikuj konkretnie możliwość nagrywania RDP przed zamówieniem. To również jedyny europejski dostawca w tym porównaniu z zarówno publicznymi cenami, jak i zakupami online — najszybsza ścieżka do proof of concept.
CTA
VaultPAM jest zbudowany dla europejskich przedsiębiorstw z infrastrukturą opartą na RDP i zobowiązaniami NIS2. Publicznie udokumentowane ceny, 14-dniowy bezpłatny okres próbny i rezydencja danych GCP europe-central2 — bez potrzeby standardowych klauzul umownych dla przetwarzania danych UE.