SMLOUVA
SMLOUVA
O POSKYTOVÁNÍ SLUŽEB NÁRODNÍ CERTIFIKAČNÍ AUTORITY
Čl. I.
Smluvní strany
1.1
Česká republika - Státní oblastní archiv v Třeboni
se sídlem: Xxxxxx 000, 000 00 Xxxxxx X
IČO: 70978956
DIČ: CZ70978956
plátce DPH: NE
zastoupena: PhDr. Xxxxxxxx Xxxxxxx, ředitelem
xxxxxx xxxxxxxx (dále jen „DS“): vuhaiws
kontaktní osoba: .
telefon:
email:
(dále jen „Objednatel“)
a
1.2
Správa státních služeb vytvářejících důvěru
se sídlem: Xx Xxxxxxx 000/00, 000 00 Xxxxx 0 zastoupena: . , ředitelem IČO: 19122063
DIČ: není osobou povinnou k dani
DS: pp634ge
kontaktní osoba: .
telefon:
email:
(dále jen „Poskytovatel“)
Objednatel a Poskytovatel (dále společně jen „Smluvní strany“ a jednotlivě jen „ Smluvní strana“) uzavřely podle zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen
„OZ“) a zákona č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, ve znění pozdějších předpisů (dále jen „zák. č. 297/2016 Sb.“) a nařízení Evropského parlamentu a Rady č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (dále jen „elDAS“) a v souladu s ustanoveními Certifikační politiky vydávání kvalifikovaných certifikátů pro ověřování elektronických podpisů (dále jen „CPQC“) tuto Smlouvu o poskytování služeb Národní certifikační autority (dále jen „Smlouva“).
Čl. II.
Úvodní ustanovení a účel Smlouvy
2.1 Smluvní strany prohlašují, že na tuto Smlouvu navazuje „Smlouva o provozu registračních autorit pro vydávání kvalifikovaných a komerčních certifikátů Národní certifikační autority“ uzavřená mezi Smluvními stranami.
2.2 Poskytovatel je ze strany Digitální a informační agentury (dále jen „DIA“) zapsán na Seznam kvalifikovaných poskytovatelů služeb vytvářejících důvěru a jimi poskytovaných kvalifikovaných služeb vytvářejících důvěru (dále jen „Seznam“) vedený ze strany DIA a publikovaný na xxxxx://xxx.xxx.xxx.xx/xxxxxxxxxxx/xxxxx-xxxxxx-xxxxxxxxxxx-xxxxxx-x-xxxxxxxxxxxx- identifikace/povinne-zverejnovane-informace/seznam-kvalifikovanych-poskytovatelu-sluzeb-
vytvarejicich-duveru-a-poskytovanych-kvalifikovanych-sluzeb-vytvarejicich-duveru/. Na základě této skutečnosti je Poskytovatel oprávněn poskytovat pro Objednatele kvalifikované služby vytvářející důvěru uvedené v tomto Seznamu.
2.3 Účelem této Smlouvy je upravit vzájemná práva a povinnosti Smluvních stran při poskytování těchto služeb, které Poskytovatel zajišťuje prostřednictvím Národní certifikační autority (dále jen
„NCA“).
Čl. III.
Předmět Smlouvy
3.1 Předmětem Smlouvy je povinnost Poskytovatele vydávat bezplatně pro potřeby Objednatele:
a) kvalifikované certifikáty pro elektronické podpisy,
b) kvalifikovaná elektronická časová razítka,
c) kvalifikované certifikáty pro elektronické pečetě, a
d) komerční certifikáty,
a poskytovat další kvalifikované služby s tím spojené (v rozsahu odpovídajícím výčtu služeb tohoto článku), které jsou detailně specifikovány v jednotlivých katalogových listech v Příloze č. 1 Smlouvy (dále souhrnně jen „Služby“).
Čl. IV.
Realizace Služeb
Poskytovatel poskytuje Služby sám nebo prostřednictvím svých dodavatelů:
a) První certifikační autorita, a. s., Xxxxxxxx xxxx 0000/0, 000 00 Xxxxx 0 – Xxxxx, IČO 26439395,
b) Asseco Central Europe, a. s., Xxxxxxxxxxx 000/0x, 000 00 Xxxxx 0, IČO 27074358 (dále jen „Poddodavatelé“).
Čl. V.
Kontrola a vyhodnocování plnění Služeb
5.1 Vyhodnocování kvality poskytovaných Služeb probíhá postupem specifikovaným v bodě 6. Přílohy č. 1.
5.2 Poskytovatel poskytne na vyžádání Objednatele (za vybrané období) nejpozději do pěti pracovních dnů detailní přehled poskytovaných Služeb s vyhodnocením kvality jejich poskytování (dále jen „Vyhodnocení“).
5.3 Objednatel může k obdrženému Vyhodnocení zpracovat a předložit Poskytovateli své písemné stanovisko (dále jen „Stanovisko“) do pěti pracovních dnů od jeho předložení.
5.4 Případné výhrady Objednatele k poskytnutí Služeb dle předloženého Vyhodnocení budou na základě předloženého Stanoviska řešeny vzájemnou dohodou prostřednictvím zástupců pro jednání věcná a technická uvedených v Čl. X Smlouvy.
Čl. VI.
Místo plnění Služeb
Místem plnění pro poskytování Služeb jsou prostory státního datového centra, Na Vápence 915/14,
130 00 Praha 3.
Čl. VII.
Práva a povinnosti Smluvních stran
7.1 Povinnosti Smluvních stran:
a) vzájemně spolupracovat a poskytovat druhé Smluvní straně součinnost potřebnou pro řádné plnění Smlouvy,
b) neprodleně informovat druhou Smluvní stranu o vzniku nebo hrozícím vzniku překážky plnění mající významný vliv na řádné a včasné plnění Smlouvy,
c) plnit své povinnosti vyplývající ze Smlouvy řádně a včas tak, aby nedocházelo k prodlení s plněním povinností vázaných k jednotlivým Službám.
7.2 Povinnosti Poskytovatele:
a) poskytovat Služby ode dne nabytí účinnosti Smlouvy a po celou dobu jejího trvání,
b) postupovat při plnění Smlouvy řádně tak, aby bylo dosaženo jejího účelu,
c) poskytovat Služby v souladu se Smlouvou, řádně, včas a v souladu příslušnými obecnými standardy v odvětví a relevantními technickými normami (včetně ISO 9001, ISO 20000 a ISO 27001) s tím, že Poskytovatel nemusí být držitelem příslušných certifikací, nicméně je povinen Smlouvu plnit v souladu s nimi,
d) zajistit dostatečnou kapacitu zaměstnanců s odpovídající kvalifikací a zkušenostmi pro poskytování Služeb,
e) zajistit po celou dobu trvání Smlouvy provoz Service Desku, na který budou adresovány ze strany Objednatele veškeré požadavky související s provozováním Služeb,
f) zajistit zaměstnancům Objednatele přístup do Service Desku v míře nezbytně nutné pro plnění Smlouvy,
g) poskytovat Služby v souladu s platnými a účinnými obecně závaznými právními předpisy, dle současného stavu techniky, jakož i v souladu se všemi normami obsahujícími technické specifikace a technická řešení, technické a technologické postupy nebo jiná určující kritéria tak, jak vyplývají i z právních předpisů, kterými jsou zejména, nikoliv však výlučně:
- eIDAS,
- nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) - dále jen „nařízení EU 2016/679“,
- zákon č. 110/2019 Sb., o zpracování osobních údajů (dále jen „zák. č. 110/2019 Sb.“),
- zák. č. 297/2016 Sb.,
- zákon č. 298/2016 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o službách vytvářejících důvěru pro elektronické transakce, zákon č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů a zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů,
- zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů,
- zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „zák. č. 181/2014 Sb.“),
h) postupovat v profesionální kvalitě a s odbornou péčí, podle nejlepších odborných znalostí
a schopností a sledovat a chránit oprávněné zájmy Objednatele,
i) plnit Služby v kvalitě potřebné pro dosažení parametrů stanovených v Příloze č. 1 a odpovídat za to, že případné vady plnění poskytnutého dle Smlouvy řádně odstraní, případně nahradí plněním bezvadným.
7.3 Povinnosti Objednatele:
a) zajistit úpravu svých systémů (spisové služby, případně dalších systémů) nezbytných k napojení na služby NCA za účelem opatřování dokumentů kvalifikovaným časovým razítkem a elektronickou pečetí,
b) zajistit hardware (zejména PC apod.) – pro práci operátora registrační autority (dále jen „HW“),
c) zajistit instalaci SW NCA (a jeho případnou aktualizaci) nezbytného pro práci operátora registrační autority,
d) zajistit konektivitu do Service Desku Poskytovatele v míře nezbytně nutné pro plnění Smlouvy, případně propojení s jeho Service Deskem,
e) zajistit v případě nutnosti součinnost svých zaměstnanců dle oprávněných potřeb zaměstnanců Poskytovatele.
Čl. VIII.
Náhrada škody
8.1 Smluvní strany mají v rámci platných a účinných právních předpisů a Smlouvy povinnost k náhradě škody. Zároveň se zavazují k vyvinutí maximálního úsilí k předcházení škodám a k minimalizaci vzniklých škod.
8.2 Smluvní strany nemají povinnost nahradit škodu způsobenou porušením svých povinností vyplývajících ze Smlouvy, bránila-li jim v jejich splnění některá z překážek vylučujících povinnost k náhradě škody ve smyslu § 2913 odst. 2 OZ. Smluvní strana, u níž nastala okolnost vylučující povinnost k náhradě škody, je povinna o této skutečnosti neprodleně písemně informovat druhou Smluvní stranu. Smluvní strany se zavazují k vyvinutí maximálního úsilí k odvrácení a překonání těchto okolností vylučujících odpovědnost.
8.3 Žádná ze Smluvních stran není odpovědná za prodlení způsobené prodlením s plněním povinností druhou Smluvní stranou.
8.4 Uplatněním nebo zaplacením smluvní pokuty není dotčeno ani omezeno právo poškozené Smluvní strany na náhradu škody.
Čl. IX.
Ochrana informací
9.1 Za důvěrné údaje nebo sdělení ve smyslu OZ se považují všechny informace obsažené v této Smlouvě nebo poskytnuté v souvislosti s ní; ustanovení § 1730 odst. 2 OZ se vztahuje i na tyto informace. Smluvní strany budou o takových informacích zachovávat mlčenlivost a sdělí je třetí osobě výhradně v zákonem stanovených případech a zákonem stanoveném rozsahu. Mlčenlivost zahrnuje také zákaz uvádět Objednatele v rámci obchodních, reklamních nebo jiných referencí. Tyto povinnosti trvají i v době po ukončení plnění podle Xxxxxxx nebo v jiných případech jeho ukončení.
9.2 Poskytovatel nesmí postoupit třetí osobě Xxxxxxx ani pohledávku vzniklou na jejím základě.
9.3 Za porušení některé povinnosti podle tohoto Čl. IX Smlouvy zaměstnancem Poskytovatele nebo Poddodavatele odpovídá Poskytovatel tak, jako by povinnost porušil sám.
9.4 Poskytovatel se zavazuje:
a) dodržovat zák. č. 110/2019 Sb. a zabezpečit splnění všech povinností z něj vyplývajících,
b) zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivosti o osobních údajích a o bezpečnostních opatřeních trvá i po ukončení této Smlouvy. Při poskytování Služeb může docházet ke zpřístupnění a též ke zpracování osobních údajů ve smyslu nařízení EU 2016/679 spravovaných Objednatelem.
9.5 Ochrana informací se nevztahuje na případy:
a) kdy Smluvní strana prokáže, že je tato informace veřejně dostupná, aniž by tuto dostupnost způsobila sama,
b) kdy Smluvní strana prokáže, že měla tuto informaci k dispozici ještě před zpřístupněním druhou Smluvní stranou a že ji nenabyla protiprávně,
c) kdy Smluvní strana obdrží od druhé Smluvní strany písemný souhlas zpřístupňovat danou informaci,
d) je-li zpřístupnění informace vyžadováno zákonem nebo závazným rozhodnutím oprávněného orgánu,
e) kdy jde o plnění získané dle Xxxxxxx (jako dokumentace apod.). Objednatel je tak oprávněn zpřístupnit či předat třetí osobě veškerou dokumentaci vytvořenou Poskytovatelem při poskytování Služeb.
9.6 Za chráněné informace podle tohoto Čl. IX Smlouvy se považují rovněž veškeré informace vzájemně poskytnuté v ústní nebo v písemné formě, jakož i know-how, jímž se rozumí veškeré poznatky obchodní, výrobní, bezpečnostní, technické či ekonomické povahy včetně softwaru, diagnostiky, dokumentace včetně manuálů související s činností Smluvní strany, které mají skutečnou nebo alespoň potenciální hodnotu a které nejsou v příslušných obchodních kruzích běžně dostupné a vztahuje se na ně dle vůle strany povinnost mlčenlivosti.
9.7 Smluvní strany se zavazují nakládat s chráněnými informacemi podle odst. 9.6 Smlouvy jako s obchodním tajemstvím a učinit veškerá organizační technická opatření zabraňující jejich zneužití či prozrazení.
9.8 Povinnost mlčenlivosti o chráněných informacích podle odst. 9.6 Smlouvy trvá po celou dobu účinnosti Smlouvy a po dobu pěti let od ukončení její účinnosti.
9.9 V případě, že některá Smluvní strana poruší povinnost mlčenlivosti podle tohoto Čl. IX Smlouvy, zavazuje se zaplatit druhé straně smluvní pokutu ve výši Kč, a to za každé jednotlivé porušení povinnosti. Právo požadovat ve všech uvedených případech i náhradu škody v plné výši není tímto ujednáním dotčeno.
9.10 Veškerá ustanovení tohoto Čl. IX Smlouvy se vztahují i na všechny změny Smlouvy či její dodatky.
Čl. X.
Zmocněnci a oprávněné osoby
10.1 Zmocněnci a oprávněné osoby Objednatele pro jednání:
a) smluvní (mimo podpisu Smlouvy a jejích dodatků): PhDr. Xxxxxx Xxxxx, e-mail:
,
b) věcná a technická: . , e-mail: ,
c) o naplňování požadavků zák. č. 181/2014 Sb. PhDr. Xxxxxx Xxxxx, e-mail:
.
10.2 Zmocněnci a oprávněné osoby Poskytovatele pro jednání:
a) smluvní a ekonomická (mimo podpisu Smlouvy a jejích dodatků): . , email: ,
b) věcná a technická: . , email: ,
c) o naplňování požadavků zák. č. 181/2014 Sb.: . , email:
10.3 Smluvní strany jsou oprávněny jednostranně změnit zmocněnce uvedené v tomto Čl. X Smlouvy bez nutnosti uzavření dodatku ke Smlouvě. V takovém případě jsou povinny na takovou změnu druhou Smluvní stranu předem písemně upozornit, jinak tato změna nemá vůči druhé Smluvní straně právní účinky.
Čl. XI.
Komunikace mezi Smluvními stranami
11.1 Všechna oznámení mezi Smluvními stranami, která se vztahují k této Smlouvě nebo která mají být učiněna na jejím základě, musí být učiněna v písemné podobě a druhé Smluvní straně doručena buď osobně, nebo doporučeným dopisem či jinou formou registrovaného poštovního styku na její adresu uvedenou v Čl. I. Smlouvy, případně doručením prostřednictvím datové schránky.
11.2 Smluvní strany se zavazují, že v případě změny své adresy budou o této změně druhou Smluvní stranu informovat nejpozději do tří pracovních dnů.
Čl. XII.
Trvání Smlouvy a možnosti jejího ukončení
12.1 Smlouva se uzavírá na dobu určitou, a to na období od 1. ledna 2024 do 31. prosince 2024. Při zániku Xxxxxxx jsou její Smluvní strany povinny vyrovnat veškeré své závazky plynoucí z této Smlouvy a učinit veškeré úkony, které nesnesou odkladu a které jsou nutné k zabránění vzniku újmy na jmění druhé Smluvní strany.
12.2 Smlouva může být před uplynutím doby, na kterou byla sjednána, ukončena Smluvními stranami:
a) výpovědí i bez udání důvodu s výpovědní dobou tři měsíce. Výpovědní doba začne běžet vždy od prvního dne kalendářního měsíce následujícího po doručení výpovědi druhé Smluvní straně,
b) dohodou,
c) odstoupením od Xxxxxxx dle příslušných ustanovení OZ. Pro účely odstoupení od Xxxxxxx v důsledku podstatného porušení se za podstatné porušení Xxxxxxx považuje zejména:
• porušení jakékoli povinnosti stanovené v Čl. VII. Smlouvy,
• pokud Poskytovatel nedodrží opakovaně parametry Služeb uvedené v Příloze č. 1,
• bude-li rozhodnuto o povinném nebo dobrovolném zrušení Poskytovatele (vyjma případů sloučení nebo splynutí),
• porušení jakékoli povinnosti plynoucí Smluvním stranám z čl. IX (Ochrana informací).
Čl. XIII.
Závěrečná ustanovení
13.1 Tato Smlouva je vyhotovena v elektronické podobě, přičemž každá ze Smluvních stran obdrží její elektronický originál.
13.2 Smlouva může být měněna či doplňována pouze písemnou dohodou Smluvních stran formou vzestupně číslovaných dodatků k této Smlouvě podepsaných oběma Smluvními stranami. Za změnu Smlouvy se nepovažuje změna kontaktních údajů zmocněnců a oprávněných osob.
13.3 Smlouva podléhá povinnosti zveřejnění v registru smluv podle zákona č. 340/2015 Sb. o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv), ve znění pozdějších předpisů (dále jen „Zákon o registru smluv“). Její zveřejnění zajistí Poskytovatel.
13.4 Právní jednání Smluvních stran ve věci plnění, porušení a uplatňování nároků ze Smlouvy musí mít písemnou formu, jinak jsou vůči druhé straně neplatné a neúčinné.
13.5 Ve výslovně neupravených otázkách se vztahy mezi Smluvními stranami řídí příslušnými ustanoveními nařízení eIDAS, OZ a zák. č. 297/2016 Sb.
.
13.6 Smluvní strany prohlašují, že jim nejsou známy žádné skutečnosti, které by uzavření Xxxxxxx vylučovaly a berou na vědomí, že v plném rozsahu nesou veškeré právní důsledky plynoucí z jimi udaných vědomě nepravdivých údajů.
13.7 Je-li nebo stane-li se některé ustanovení této Smlouvy neplatným, nevymahatelným nebo neúčinným, nedotýká se tato neplatnost, nevymahatelnost či neúčinnost ostatních ustanovení této Smlouvy. Smluvní strany se zavazují nahradit do pěti (5) pracovních dnů po doručení výzvy kterékoliv ze Smluvních stran neplatné, nevymahatelné nebo neúčinné ustanovení ustanovením platným, vymahatelným a účinným se stejným nebo obdobným právním účelem.
13.8 Smlouva nabývá platnosti dnem jejího podpisu oběma Smluvními stranami a účinnosti dne
1. ledna 2024. Podléhá-li však smlouva povinnosti zveřejnění v registru smluv (odst. 13.3 Smlouvy), nabývá účinnosti nejdříve dnem jejího zveřejnění.
Nedílnou součást této smlouvy tvoří následující přílohy: Příloha č. 1 Katalogové listy NCA na rok 2024 [Podpisová strana následuje]
[Podpisová strana]
Na důkaz toho, že Smluvní strany s obsahem této Smlouvy souhlasí, rozumí jí a zavazují se k jejímu plnění, připojují níže své podpisy.
V Praze dne dle elektronického podpisu V Praze dne dle elektronického podpisu Za Objednatele: Za Poskytovatele:
PhDr. Xxxxxx Xxxxx
ředitel
Příloha č. 1
Správa státních služeb vytvářejících důvěru Na Vápence 915/14, 130 00 Praha 3
Katalogové listy
Příloha ke smlouvě o provozu Národní certifikační autority
Xx Xxxxxxx 000/00, 000 00 Xxxxx 0,
Obsah
Příloha č. 1 9
1. Seznam zkratek a označení 11
2. Služby NCA 13
2.1 Zajištění dostupnosti 13
2.2 Pravidelná údržba 23
2.3 Řešení incidentů 26
2.4 Servis HW 29
2.5 Aktualizace základního SW 30
2.6 Držení záložních HSM 32
2.7 Servis kryptografických prvků 33
3. Služby pro klientské instance 35
3.1 Zajištění obnovy 35
3.2 Pravidelná údržba 36
3.3 Řešení incidentů 38
3.4 Servis HW 40
3.5 Aktualizace základního SW 42
3.6 Servis kryptografických prvků 44
4. Služby společné pro QCA, KCA, TSA&Seal, QVerify a klientské instance 45
5. Vyhodnocování kvality poskytovaných služeb 46
5.1 Měření Služeb 46
5.2 Doba vzniku žádosti, doba vyřešení žádosti, doba trvání žádosti 46
5.3 Čas dostavení se na místo 46
6. Stanovení priorit incidentů a požadavků a jejich SLA 47
6.1 Pro provozní prostředí QCA, KCA a TSA&Seal 47
6.2 Pro provozní prostředí klientské instance 48
tab. 1 – Vývoj dokumentu
Verze | Datum vydání | Změny |
1.8 | 30.11.2023 | Doplněna Správa státních služeb vytvářejících důvěru |
1. Seznam zkratek a označení
RSA | Sada kryptografických algoritmů realizovaných na základě známého problému faktorizace přirozených čísel |
ECC | Sada kryptografických algoritmů realizovaných na základě známého problému nalezení diskrétního logaritmu náhodného bodu eliptické křivky s ohledem na známý základní bod |
NCA | Národní certifikační autorita, zahrnuje jak „kvalifikovanou“ tak i „komerční“ certifikační autoritu, a online služby TSA&Seal a QVerify. |
QCA | „Kvalifikovaná“ certifikační autorita – certifikační autorita vydávající v rámci Národní certifikační autority kvalifikované certifikáty, sloužící pro účely ověřování elektronického podpisu a/nebo elektronické pečetě. Pokud není uvedeno jinak, mají se na mysli certifikáty jak na bázi RSA, tak na bázi ECC |
QCA RSA | Certifikační autorita vydávající v rámci Národní certifikační autority kvalifikované certifikáty, sloužící pro účely ověřování elektronického podpisu a/nebo elektronické pečetě s využitím RSA |
QCA ECC | Certifikační autorita vydávající v rámci Národní certifikační autority kvalifikované certifikáty, sloužící pro účely ověřování elektronického podpisu a/nebo elektronické pečetě s využitím ECC |
KCA | „Komerční“ certifikační autorita – certifikační autorita vydávající v rámci Národní certifikační autority certifikáty, které nejsou kvalifikované a mohou sloužit i pro jiné účely, nežli ověřování elektronického podpisu a/nebo elektronické pečetě. Pokud není uvedeno jinak, mají se na mysli certifikáty jak na bázi RSA, tak na bázi ECC |
KCA RSA | Certifikační autorita vydávající v rámci Národní certifikační autority certifikáty, které nejsou kvalifikované a mohou sloužit i pro jiné účely, nežli ověřování elektronického podpisu a/nebo elektronické pečetě s využitím RSA |
KCA ECC | Certifikační autorita vydávající v rámci Národní certifikační autority certifikáty, které nejsou kvalifikované a mohou sloužit i pro jiné účely, nežli ověřování elektronického podpisu a/nebo elektronické pečetě s využitím ECC |
TSA | Time Stamp Authority (Autorita pro vydávání časových razítek) |
TSS | Time Stamp Services (Služba vydávání časových razítek) |
QSealService | Služba vydávání kvalifikovaných elektronických pečetí |
TSA_izol | Informační systém (řešení) pro bezpečnostní složky zahrnující izolovanou autoritu časových razítek a službu vystavování kvalifikovaných pečetí v zastoupení |
TSA&Seal | Informační systém poskytující na základě odpovídajícího volání oprávněného zdrojového systému (např. spisové služby SZR/DIA nebo bezpečnostní složky) |
kvalifikovanou elektronickou pečeť pro vybraný dokument nebo kvalifikované časové razítko. | |
Online služby NCA | Služby poskytující prostřednictvím informačního systému TSA&Seal časová razítka a kvalifikované pečetě pro potřeby připojené organizace |
QVerify | Služba ověřování platnosti elektronických podpisů a pečetí splňující požadavky nařízení eIDAS pro certifikáty na bázi jak RSA, tak i ECC |
HSM | Hardware Security Modul |
TIF | Technická infrastruktura |
RA | Registrační autorita |
CRL | Certificate revocation list (seznam zneplatněných certifikátů) publikovaný na následujících URL: - xxxx://xxxxx0.xxxxxxx-xx.xx/xxxxXXxx_xxx.xxx |
OCSP | Online certificate status protocol (služba poskytování online informací o stavu certifikátu) |
QTSP | Qualified Trust Service Provider – kvalifikovaný poskytovatel služeb vytvářejících důvěru |
24x7 | Nepřetržitý režim podpory, 365 dní, 24 hodin, včetně víkendů a státních svátků. |
12x5 | Režim podpory v pracovních dnech od 7:00 do 19:00 |
10x5 | Režim podpory v pracovních dnech od 7:00 do 17:00 |
8x5 | Režim podpory v pracovních dnech od 8:00 do 16:00 |
NBD | Následující pracovní den |
Systém | Informační systém zahrnující HW a SW realizující funkčnosti QCA, KCA, TSA&Seal, TSA_izol a SW aplikaci Registrační autority instalovanou na HW klienta |
Standardní provoz | Provoz v daném prostředí v rámci stanoveného režimu pro toto prostředí, kdy by měl být Systém plně funkční |
Riziková činnost | Objednatelem předem definovaný a veřejně oznámený časový interval na daném prostředí, ve kterém může dojít ke snížení nebo omezení funkčnosti Systému nebo některé z jeho částí. Po jeho dobu Objednatel nemůže uplatňovat slevy z ceny (je-li aplikovatelné). O vyhlášení Rizikové činnosti rozhoduje Objednatel |
DIA | Digitální a informační agentura |
2. Služby NCA
Následující katalogové listy zahrnují služby poskytované Poskytovatelem v rámci Core systému NCA.
2.1 Zajištění dostupnosti
Služby zajištění dostupnosti jsou definovány pro následující prostředí:
• vlastní provozní prostředí QCA (PROD) pro obě skupiny používaných algoritmů (RSA a ECC)
• provozní prostředí služby TSA&Seal (PROD) pro algoritmus RSA
• testovací prostředí služby QCA, KCA PREPROD pro obě skupiny používaných algoritmů (RSA a ECC) a TSA&Seal (PREPROD – pouze RSA) a QVerify (PREPROD – pouze RSA)
• vlastní provozní prostředí KCA (PROD) pro obě skupiny používaných algoritmů (RSA a ECC)
• provozní prostředí služby QVerify pro obě skupiny algoritmů (RSA a ECC)
Není-li dále uvedeno jinak, má se za to, že pod pojmem NCA, QCA a KCA se rozumí certifikační autority postavené na obou podporovaných rodinách kryptografických algoritmů, tedy jak RSA, tak i ECC. Případné odchylky jsou v textu uvedeny explicitně.
Zavedení služby dostupnosti pro prostředí PROD je dáno požadavkem Objednatele, který stanovuje maximální možnou dobu nedostupnosti za určitou jednotku času, dostupnost ostatních prostředí je dána požadavkem jejich funkčnosti vzhledem k roli, kterou tato prostředí plní. Konkrétně pro
• provozní prostředí PROD QCA je dostupnost stanovena jako relativní dostupnost v průběhu kalendářního roku hodnotou 99,5 % při stanoveném provozu 24 hodin denně, 7 dní v týdnu. Maximální hodnota absolutní nedostupnosti v kalendářním roce (365 kalendářních, nepřestupný rok) pak činí 2628 minut, tj. 43,8 hodin. Služba přitom podléhá příslušným SLA podle priority a charakteru služby, která není dostupná, s tím, že
o služba získání CRL je zajišťována se speciální prioritou v režimu, Odezvou a Dobou obnovy uvedenými v katalogovém listu NCA03-02,
o služba získání odpovědi na dotaz prostřednictvím OCSP je zařazena do priority 1, viz. Tabulka v kapitole 6.1,
o služba přijetí žádosti o certifikát je zařazena do priority 2, viz. Tabulka v kapitole 6.1,
o a služba vyhledání certifikátů je zařazena do priority 3, viz. Tabulka v kapitole 6.1,
• provozní prostředí PROD TSA&Seal je dostupnost stanovena jako relativní dostupnost v průběhu kalendářního roku hodnotou 99,5 % při stanoveném provozu 24 hodin denně, 7 dní v týdnu. Maximální hodnota absolutní nedostupnosti v kalendářním roce (365 kalendářních dní, nepřestupný rok) pak činí2628 minut, tj. 43,8 hodin. Služba přitom podléhá příslušným SLA podle priority a charakteru služby, která není dostupná, s tím, že
o služba přijetí žádosti o vystavení elektronické pečetě je zařazena do priority 1, viz. Tabulka v kapitole 6.1,
o služba přijetí žádosti o vystavení elektronického časového razítka je zařazena do priority 1, viz. Tabulka v kapitole 6.1,
• provozní prostředí PROD QVerify je dostupnost stanovena jako relativní dostupnost v průběhu kalendářního roku hodnotou 99,5 % při stanoveném provozu 24 hodin denně, 7 dní v týdnu. Maximální hodnota absolutní nedostupnosti v kalendářním roce (52 týdnů, tj. 260 pracovních dní, nepřestupný
rok) pak činí 2628 minut, tj. 43,8 hodin. Služba přitom podléhá příslušným SLA podle priority 1, viz Tabulka v kapitole 6.1,
• prostředí PREPROD QCA, KCA, TSA&Seal a QVerify je dostupnost stanovena jako relativní dostupnost v průběhu kalendářního roku hodnotou 80 % při stanoveném provozu 8 hodin denně, 5 dní v týdnu. Maximální hodnota nedostupnosti v kalendářním roce (52 týdnů, tj. 260 pracovních dní, nepřestupný rok) pak činí 416 hodin, tj. 52 pracovních dní. Služby testovacího prostředí PREPROD jsou zařazeny do priority 4.
• provozní prostředí PROD KCA je dostupnost stanovena jako relativní dostupnost v průběhu kalendářního roku hodnotou 99,5 % při stanoveném provozu 8 hodin denně, 5 dní v týdnu. Maximální hodnota absolutní nedostupnosti v kalendářním roce (52 týdnů, tj. 260 pracovních dní, nepřestupný rok) pak činí 624 minut, tj. 10,4 hodin. Služba přitom podléhá příslušným SLA podle priority a charakteru služby, která není dostupná, s tím, že
o služba získání CRL je zajišťována se speciální prioritou v režimu, Odezvou a Dobou obnovy uvedenými v katalogovém listu NCA03-02,
o služba získání odpovědi na dotaz prostřednictvím OCSP je zařazena do priority 1, viz. Tabulka v kapitole 6.1,
o služba přijetí žádosti o certifikát je zařazena do priority 2, viz. Tabulka v kapitole 6.1,
o a služba vyhledání certifikátů je zařazena do priority 3, viz. Tabulka v kapitole 6.1,
Poznámka: Dostupnost prostředí PREPROD služby TSA&Seal, resp. QVerify je zajištěna z důvodu poskytnutí tohoto prostředí pro testování přístupu a aplikací klientů (uživatelů služby) před jejich napojením na prostředí PROD, resp. při aktualizaci prostředí napojované aplikace apod.
Vzorec pro výpočet nedostupnosti je stanoven takto:
Označíme-li jako
CP = celková doba provozu v minutách odpovídající danému režimu provozu, tedy pro období od 8:00 do 16:00 v rámci jednoho pracovního dne tato hodnota činí 8 x 60 = 480 minut,
N = celková doba nedostupnosti v minutách některé ze služeb v době odpovídající danému režimu provozu (tedy od 8:00 do 16:00 v pracovní dny v případě služby v režimu 8 x 5) – období, ve kterém byla prováděna riziková činnost, se do doby nedostupnosti nezapočítává.
Pak relativní dostupnost RD spočteme jako RD = (CP-N) /CPx100%
kde výpočet provádíme na dvě desetinná místa se zaokrouhlením dolů.
Ověření dostupnosti služby OCSP se realizuje formou dotazu na status vybraného certifikátu – testovací prostředek PROBE_OCSP zajistí Objednatel.
Testování bude probíhat v pravidelných intervalech 1x za 5 minut pro prostředí PROD, resp. 1 x za 10 minut pro prostředí PREPROD, pokud nebude dohodnuto jinak. Testovací scénář se předpokládá následující:
Krok č. | Činnost | Poznámka |
1. | Čítač pokusů je nastaven na hodnotu 0 | Čítač slouží k počítání pokusů v rámci jedné relace |
2. | Odešle se dotaz na OCSP s parametry vybraného certifikátu | Request podle RFC 6960, kap. 4.1 |
3. | Pokud bude vrácena relevantní odpověď, test končí s výsledkem „Je detekována dostupnost služby OCSP“. Čítač pokusů je nastaven na hodnotu 0 | Relevantní odpovědí se má na mysli vrácení očekávaného výsledku, tedy odpovědi v souladu s RFC 6960, kap. 4.2, kde Status je 0 nebo 3 |
4. | Pokud je vrácena odpověď, kterou není možné dekódovat (neodpovídá struktuře OCSPResponse), nebo není vrácena žádná odpověď, čítač pokusů se zvedne o 1 | |
5. | Pokud je čítač roven 3 (tři neplatné pokusy v řadě), test končí s výsledkem „Je zaznamenána nedostupnost služby OCSP“ | |
6. | Po uplynutí 5 minut, resp. 10 minut od odeslání dotazu se pokračuje krokem 2. |
Ověření dostupnosti služby CRL se realizuje formou načtení CRL ze všech tří URL, kde je publikován – testovací prostředek PROBE_CRL zajistí Objednatel.
Testování bude probíhat v pravidelných intervalech 1x za 5 minut pro prostředí PROD, resp. 1 x za 10 minut pro prostředí PREPROD, pokud nebude dohodnuto jinak. Testovací scénář se předpokládá následující:
Krok č. | Činnost | Poznámka |
1. | Čítač pokusů je nastaven na hodnotu 0 | Čítač slouží k počítání pokusů v rámci jedné relace |
2. | Odešle se požadavek na načtení CRL z první URL Odešle se požadavek na načtení CRL z druhé URL Odešle se požadavek na načtení CRL ze třetí URL | |
3. | Pokud při načítání CRL alespoň z jedné URL dostane relevantní odpověď, test končí s výsledkem „Je detekována dostupnost služby CRL“. Čítač pokusů je nastaven na hodnotu 0 | Relevantní odpovědí se má na mysli vrácení očekávaného výsledku, tedy odpovědi v souladu s RFC 6960, kap. 4.2, kde Status je 0 nebo 3 |
4. | Pokud je ze všech URL vrácena odpověď, kterou není možné dekódovat (neodpovídá struktuře CRLResponse), nebo není ze všech URL vrácena žádná odpověď, nebo není žádná URL dostupná, čítač pokusů se zvedne o 1 | |
5. | Pokud je čítač roven 3 (tři neplatné pokusy v řadě), test končí s výsledkem „Je zaznamenána nedostupnost služby CRL“ | |
6. | Po uplynutí 5 minut, resp. 10 minut od odeslání dotazu se pokračuje krokem 2. |
Ověření dostupnosti služby TSA&Seal se realizuje formou získání elektronické pečeti a časového razítka k definovanému testovacímu dokumentu – odpovídající testovací prostředek PROBE_TSA&Seal zajistí Objednatel, a to pro obě prostředí (PROD i PREPROD). Testování bude probíhat v pravidelných intervalech 1x za 5 minut pro prostředí PROD, resp. 1 x za 10 minut pro prostředí PREPROD, pokud nebude dohodnuto jinak. Testovací scénář se předpokládá následující:
Krok č. | Činnost | Poznámka |
1. | Čítač pokusů je nastaven na hodnotu 0 | Čítač slouží k počítání pokusů v rámci jedné relace |
2. | Odešle se požadavek vystavení pečetě k danému dokumentu Odešle se požadavek vystavení časového razítka k danému dokumentu | |
3. | Pokud v obou případech je získána relevantní odpověď, test končí s výsledkem „Je detekována dostupnost služby TSA&Seal“. Čítač pokusů je nastaven na hodnotu 0 | Relevantní odpovědí se má na mysli vrácení očekávaného výsledku, tedy podepsaného dokumentu nebo časového razítka v souladu s RFC 3161 |
4. | Pokud některá ze služeb nevrátí očekávanou odpověď, čítač pokusů se zvedne o 1 | |
5. | Pokud je čítač roven 3 (tři neplatné pokusy v řadě), test končí s výsledkem „Je zaznamenána nedostupnost služby TSA&Seal“ | |
6. | Po uplynutí 5 minut, resp. 10 minut od odeslání dotazu se pokračuje krokem 2. |
Ověření dostupnosti služby QVerify se realizuje formou získání odpovědi k definovanému testovacímu dokumentu – odpovídající testovací prostředek PROBE_QVerify zajistí Objednatel, a to pro obě prostředí (PROD i PREPROD). Testování bude probíhat v pravidelných intervalech 1x za 5 minut pro prostředí PROD, resp. 1 x za 10 minut pro prostředí PREPROD, pokud nebude dohodnuto jinak. Testovací scénář se předpokládá následující:
Krok č. | Činnost | Poznámka |
1. | Čítač pokusů je nastaven na hodnotu 0 | Čítač slouží k počítání pokusů v rámci jedné relace |
2. | Odešle se požadavek ověření pečetě k danému dokumentu | |
3. | Pokud je získána relevantní odpověď, test končí s výsledkem „Je detekována dostupnost služby QVerify“. Čítač pokusů je nastaven na hodnotu 0 | Relevantní odpovědí se má na mysli vrácení očekávaného výsledku, tedy podepsané odpovědi systému |
4. | Pokud služba QVerify nevrátí očekávanou odpověď, čítač pokusů se zvedne o 1 | |
5. | Pokud je čítač roven 3 (tři neplatné pokusy v řadě), test končí s výsledkem „Je zaznamenána nedostupnost služby QVerify“ | |
6. | Po uplynutí 5 minut, resp. 10 minut od odeslání dotazu se pokračuje krokem 2. |
Pokud test skončil s výsledkem „Je zaznamenána nedostupnost služby CRL“, resp. „Je zaznamenána nedostupnost služby OCSP“ nebo „Je zaznamenána nedostupnost služby TSA&Seal“ nebo „Je zaznamenána nedostupnost služby QVerify“,, odešle se prostřednictvím ServiceDesk oznámení o nedostupnosti Dodavateli, současně testovací nástroj uloží do logu časový údaj o zjištění nedostupnosti.
Pokud z některé URL není vrácena odpověď nebo je vrácena odpověď, jejíž struktura neodpovídá požadavkům na strukturu CRL, nebo není vlastní URL dostupná, odešle se prostřednictvím ServiceDesk vyrozumění o nefunkčnosti daného distribučního bodu.
Nadále je pak dostupnost, resp. nedostupnost testována podle výše uvedeného postupu s tím, že pokud je detekována dostupnost, odešle se hlášení pomocí ServiceDesk a do logu je uložena odpovídající zpráva o obnovení dostupnosti s časovým údajem, pokud je nadále detekována nedostupnost, tato skutečnost je rovněž zaznamenána, avšak hlášení se neodesílá.
Katalogový list Služby | |
Identifikace (ID) | NCA01-01 |
Název Služby | Zajištění dostupnosti QCA PROD (RSA a ECC) |
Popis činnosti | Zajištění dostupnosti QCA PROD za účelem udržení parametrů služeb dle definovaných KPI. Jedná se o zajištění dostupnosti vybraných služeb: - přijetí žádosti o certifikát, - získání CRL, - získání odpovědi na dotaz prostřednictvím OCSP, - vyhledání certifikátů. Nejedná se o dostupnost www stránek NCA. Dostupnost kritické služby OCSP je sledována pomocí testovacího nástroje PROBE_OCSP, dostupnost kritické služby CRL je sledována pomocí testovacího nástroje PROBE_CRL, ostatní služby pomocí pravidelné kontroly pracovníků Objednatele, resp. na základě podnětů uživatelů |
Identifikace KPI | KPI 1 |
Název KPI | Dostupnost poskytování služeb QCA PROD |
Definice KPI | |
Popis | Dostupnost poskytování služeb QCA PROD při standardním provozu |
Měřící bod | QCA vnější rozhraní, podle provozních dat v monitoringu Objednatele |
Rozsah poskytování Služby | 24 x 7 |
Hodnota | |
Způsob měření a výpočtu | V pravidelných intervalech 1 x 5 minut se provádí testování dostupnosti služeb CRL a OCSP v prostředí PROD postupy uvedenými úvodu kapitoly. Vyhodnocuje se nahlášená doba nedostupnosti, která byla zjištěna a doložena Objednatelem ve formě logů prostředku PROBE_CRL a PROBE_OCSP a hlášení ServiceDesk. Měří se: CP = celková doba provozu v minutách odpovídající danému režimu provozu (pro období od 0:00 do 23:59 v rámci jednoho kalendářního dne tato hodnota činí 24 x 60 = 1440 minut), N = celková doba nedostupnosti v minutách některé ze služeb v době odpovídající danému režimu provozu (tedy od 0:00 do 23:59 kalendářního dne), období, ve kterém byla prováděna riziková činnost, se do doby nedostupnosti nezapočítává. Pak KPI 1 = (CP-N) /CP*100 |
Hodnota KPI 1 | KPI 1> = 99,5 % (nedostupnost maximálně 2628 minut, tedy 43,8 hodin, měřeno za kalendářní rok v době0:00 - 23:59 každý den). |
Maximální doba pro obnovu Služby | Podle čI. 6.1 této přílohy – Priorita 1 pro OCSP a CRL, přijetí žádosti o certifikát – priorita 2 vyhledání certifikátu – priorita 3 |
Doplňující informace | |
Platební podmínky | Paušální měsíční platba |
Způsob dokladování | Měsíční Záznam o poskytnutých Službách, založení incidentu na Poskytovatele na základě události z monitoringu. |
1.
Katalogový list Služby | |
Identifikace (ID) | NCA01-02 |
Název Služby | Zajištění dostupnosti online služeb TSA&Seal v prostředí PROD (RSA) |
Popis činnosti | Zajištění dostupnosti online služeb TSA&Seal v prostředí PROD za účelem udržení parametrů služeb dle definovaných KPI. Jedná se o zajištění dostupnosti vybraných služeb: ̶ přijetí žádosti o vystavení elektronické pečetě, ̶ přijetí žádosti o vystavení elektronického časového razítka, ̶ správa uživatelů online služeb (prostřednictvím portálu) Dostupnost online služeb je sledována pomocí testovacího nástroje PROBE_TSA&Seal, ostatní služby pomocí pravidelné kontroly pracovníků Objednatele, resp. na základě podnětů uživatelů. |
Identifikace KPI | KPI 1 |
Název KPI | Dostupnost online služeb TSA&Seal v prostředí PROD |
Definice KPI | |
Popis | Dostupnost online služeb TSA&Seal v prostředí PROD |
Měřící bod | TSA&Seal vnější rozhraní, podle provozních dat v monitoringu Objednatele |
Rozsah poskytování Služby | 24 x 7 |
Hodnota | |
Způsob měření a výpočtu | V pravidelných intervalech 1 x 5 minut se provádí testování dostupnosti služeb TSA&Seal postupem uvedeným úvodu kapitoly. Vyhodnocuje se nahlášená doba nedostupnosti, která byla zjištěna a doložena Objednatelem ve formě logů prostředku PROBE_TSA&Seal a hlášení ServiceDesk. Měří se: CP = celková doba provozu v minutách odpovídající danému režimu provozu (pro období od 0:00 do 23:59 v rámci jednoho kalendářního dne tato hodnota činí 24 x 60 = 1440 minut), N = celková doba nedostupnosti v minutách některé ze služeb v době odpovídající danému režimu provozu (tedy od 0:00 do 23:59 kalendářního dne), období, ve kterém byla prováděna riziková činnost, se do doby nedostupnosti nezapočítává. Pak KPI 1 = (CP-N) /CP*100 |
Hodnota KPI 2 | KPI 1> = 99,5 % (nedostupnost maximálně 2628 minut, tedy 43,8 hodin, měřeno za kalendářní rok v době 0:00 - 23:59 každý den). |
Maximální doba pro obnovu Služby | Podle čI. 6.1 této přílohy - priorita 1 |
Doplňující informace | |
Platební podmínky | Paušální měsíční platba |
Způsob dokladování | Měsíční Záznam o poskytnutých Službách, založení incidentu na Poskytovatele na základě události z monitoringu. |
Způsob dokladování | Měsíční Záznam o poskytnutých Službách, založení incidentu na Poskytovatele na základě události z monitoringu. |
Katalogový list Služby | |
Identifikace (ID) | NCA01-03 |
Název Služby | Zajištění dostupnosti služeb QCA, KCA (RSA a ECC), TSA&Seal (RSA) a QVerify prostředí PREPROD |
Popis činnosti | Zajištění dostupnosti služeb QCA, KCA, TSA&Seal a QVerify prostředí PREPROD za účelem udržení parametrů služeb dle definovaných KPI. Jedná se o zajištění dostupnosti vybraných služeb: ̶ přijetí žádosti o certifikát, ̶ získání CRL, ̶ získání odpovědi na dotaz prostřednictvím OCSP, ̶ vyhledání certifikátů, ̶ přijetí žádosti o vystavení elektronické pečetě systémem TSA&Seal, ̶ přijetí žádosti o vystavení elektronického časového razítka systémem TSA&Seal, ̶ správa uživatelů online služeb QCA, KCA, TSA&Seal a QVerify (prostřednictvím portálu) Dostupnost online služeb je sledována pomocí testovacích nástrojů PROBE_CRL, PROBE_OCSP, PROBE_TSA&Seal a PROBE_QVerify, ostatní služby pomocí pravidelné kontroly pracovníků Objednatele, resp. na základě podnětů uživatelů. |
Identifikace KPI | KPI 1 |
Název KPI | Dostupnost služeb QCA, KCA, TSA&Seal a QVerify prostředí PREPROD |
Definice KPI | |
Popis | Dostupnost služeb QCA, KCA, TSA&Seal a QVerify prostředí PREPROD |
Měřící bod | QCA, KCA, TSA&Seal a QVerify – PREPROD vnější rozhraní, podle provozních dat v monitoringu Objednatele |
Rozsah poskytování Služby | 8 x 5 |
Hodnota | |
Způsob měření a výpočtu | V pravidelných intervalech 1 x 10 minut se provádí testování dostupnosti služeb QCA, KCA, TSA&Seal a QVerify prostředí PREPROD postupem uvedeným úvodu kapitoly. Vyhodnocuje se nahlášená doba nedostupnosti, která byla zjištěna a doložena Objednatelem ve formě logů prostředku PROBE_CRL, PROBE_OCSP, PROBE_TSA&Seal a PROBE_QVerify a hlášení ServiceDesk. Měří se: CP = celková doba provozu v minutách odpovídající danému režimu provozu (pro období od 8:00 do 16:00 v rámci jednoho pracovního dne tato hodnota činí 8 x 60 = 480 minut), N = celková doba nedostupnosti v minutách některé ze služeb v době odpovídající danému režimu provozu (tedy od 8:00 do 16:00 v pracovní dny), období, ve kterém byla prováděna riziková činnost, se do doby nedostupnosti nezapočítává. Pak KPI 1 = (CP-N) /CP*100 |
Hodnota KPI 2 | KPI 1> = 80 % (nedostupnost maximálně 416 hodin, měřeno za kalendářní rok v době 8:00 -16:00 v pracovních dnech). |
Maximální doba pro obnovu Služby | Podle čI. 6.1 této přílohy - priorita 4 |
Doplňující informace | |
Platební podmínky | Paušální měsíční platba |
Způsob dokladování | Měsíční Záznam o poskytnutých Službách, založení incidentu na Poskytovatele na základě události z monitoringu. |
Katalogový list Služby | |
Identifikace (ID) | NCA01-04 |
Název Služby | Zajištění dostupnosti KCA PROD (RSA a ECC) |
Popis činnosti | Zajištění dostupnosti KCA PROD za účelem udržení parametrů služeb dle definovaných KPI. Jedná se o zajištění dostupnosti vybraných služeb: - přijetí žádosti o certifikát, - získání CRL, - získání odpovědi na dotaz prostřednictvím OCSP, - vyhledání certifikátů. Nejedná se o dostupnost www stránek NCA. Dostupnost kritické služby OCSP je sledována pomocí testovacího nástroje PROBE_OCSP, dostupnost kritické služby CRL je sledována pomocí testovacího nástroje PROBE_CRL, ostatní služby pomocí pravidelné kontroly pracovníků Objednatele, resp. na základě podnětů uživatelů |
Identifikace KPI | KPI 1 |
Název KPI | Dostupnost poskytování služeb KCA PROD |
Definice KPI | |
Popis | Dostupnost poskytování služeb KCA PROD při standardním provozu |
Měřící bod | KCA vnější rozhraní, podle provozních dat v monitoringu Objednatele |
Rozsah poskytování Služby | 8 x 5 |
Hodnota | |
Způsob měření a výpočtu | V pravidelných intervalech 1 x 5 minut se provádí testování dostupnosti služeb CRL a OCSP v prostředí PROD postupy uvedenými úvodu kapitoly. Vyhodnocuje se nahlášená doba nedostupnosti, která byla zjištěna a doložena Objednatelem ve formě logů prostředku PROBE_CRL a PROBE_OCSP a hlášení ServiceDesk. Měří se: CP = celková doba provozu v minutách odpovídající danému režimu provozu (pro období od 8:00 do 16:00 v rámci jednoho pracovního dne tato hodnota činí 8 x 60 = 480 minut), N = celková doba nedostupnosti v minutách některé ze služeb v době odpovídající danému režimu provozu (tedy od 8:00 do 16:00 v pracovní dny), období, ve kterém byla prováděna riziková činnost, se do doby nedostupnosti nezapočítává. Pak KPI 1 = (CP-N) /CP*100 |
Hodnota KPI 1 | KPI 1> = 99,5 % (nedostupnost maximálně 626 minut, tj. 10,4 hodin měřeno za kalendářní rok v době 8:00 -16:00 v pracovních dnech). |
Maximální doba pro obnovu Služby | Podle čI. 6.1 této přílohy – Priorita 1 pro OCSP a CRL, přijetí žádosti o certifikát – priorita 2 vyhledání certifikátu – priorita 3 |
Doplňující informace | |
Platební podmínky | Paušální měsíční platba |
Způsob dokladování | Měsíční Záznam o poskytnutých Službách, založení incidentu na Poskytovatele na základě události z monitoringu. |
Katalogový list Služby | |
Identifikace (ID) | NCA01-05 |
Název Služby | Zajištění dostupnosti služby QVerify v prostředí PROD |
Popis činnosti | Zajištění dostupnosti služby QVerify PROD za účelem udržení parametrů služeb dle definovaných KPI. Jedná se o zajištění dostupnosti získání odpovědi na dotaz prostřednictvím QVerify. Nejedná se o dostupnost www stránek NCA. Dostupnost kritické služby QVerify je sledována pomocí testovacího nástroje PROBE_QVerify. |
Identifikace KPI | KPI 1 |
Název KPI | Dostupnost poskytování služeb QVerify PROD |
Definice KPI | |
Popis | Dostupnost poskytování služeb QVerify PROD při standardním provozu |
Měřící bod | QVerify vnější rozhraní, podle provozních dat v monitoringu Objednatele |
Rozsah poskytování Služby | 24 x 7 |
Hodnota | |
Způsob měření a výpočtu | V pravidelných intervalech 1 x 5 minut se provádí testování dostupnosti služby QVerify v prostředí PROD postupy uvedenými úvodu kapitoly. Vyhodnocuje se nahlášená doba nedostupnosti, která byla zjištěna a doložena Objednatelem ve formě logů prostředku PROBE_QVerify a hlášení ServiceDesk. Měří se: CP = celková doba provozu v minutách odpovídající danému režimu provozu (pro období od 0:00 do 23:59 v rámci jednoho kalendářního dne tato hodnota činí 24 x 60 = 1440 minut), N = celková doba nedostupnosti v minutách některé ze služeb v době odpovídající danému režimu provozu (tedy od 0:00 do 23:59 kalendářního dne), období, ve kterém byla prováděna riziková činnost, se do doby nedostupnosti nezapočítává. Pak KPI 1 = (CP-N) /CP*100 |
Hodnota KPI 1 | KPI 1> = 99,5 % (nedostupnost maximálně 2628 minut, tedy 43,8 hodin, měřeno za kalendářní rok v době 0:00 - 23:59 každý den). |
Maximální doba pro obnovu Služby | Podle čI. 6.1 této přílohy – Priorita 1 pro QVerify, |
Doplňující informace | |
Platební podmínky | Paušální měsíční platba |
Způsob dokladování | Měsíční Záznam o poskytnutých Službách, založení incidentu na Poskytovatele na základě události z monitoringu. |
2.2 Pravidelná údržba
Katalogový list Služby | |
Identifikace (ID) | NCA02 |
Název Služby | Pravidelná údržba QCA, KCA (RSA a ECC) a online služeb TSA&Seal (RSA) a QVerify |
Popis Služby | Služba údržby zahrnuje kontrolu, profylaxi a zálohování Systému v prostředích QCA PROD a PREPROD, KCA PROD a PREPROD a v prostředích online služeb TSA&Seal (PROD a PREPROD) a QVerify (PROD a PREPROD). Pravidelná údržba, kontrola stavu jednotlivých prvků TIF – monitorování, proaktivní a profylaktické činnosti, směřující k zajištění chodu technické infrastruktury QCA, KCA, TSA&Seal a QVerify, poskytování požadovaných informací o případných zjištěních a realizace nápravných opatření. Pravidelná údržba, kontrola stavu jednotlivých aplikačních modulů – monitorování, proaktivní a profylaktické činnosti, směřující k zajištění chodu programového vybavení QCA, KCA, TSA&Seal a QVerify, poskytování požadovaných informací o případných zjištěních a realizace nápravných opatření. Aktualizace databáze QVerify (PROD a PREPROD) na základě identifikovaných změn národních TL v rámci Evropské unie, vyhodnocení změn, analýza dopadů těchto změn a implementace zjištěných skutečností do odpovídajících tabulek databáze. Zálohování serverů, dat a HSM, kontrola záloh. |
Zajištění dalších nezbytných činností k provozu QCA, KCA, TSA&Seal a QVerify a řešení vybraných požadavků v rámci kybernetické bezpečnosti. | |
Definice činnosti | |
Popis činnosti | Provádění pravidelné kontroly, testování a monitorování TIF a SW QCA, KCA, TSA&Seal a QVerify, identifikace případných incidentů a realizace nápravných opatření. ̶ pravidelnou kontrola prvků technické infrastruktury ̶ předávání informací o zjištěných nedostatcích ̶ zajištění/provedení údržby v případě zjištěných nedostatků Provádění činností spojených se zálohováním v minimálním rozsahu: ̶ Vytváření záloh ̶ Správa zálohovacích nástrojů QCA, KCA, TSA&Seal a QVerify. ̶ Kontrola běhu zálohování formou monitoringu. ̶ Eskalaci v případě nedoběhnutých záloh formou založení incidentu a předání/řešení incidentu. ̶ Obnovu dat ze zálohy na vyžádání formou servisního požadavku. ̶ Pravidelnou kontrolu čitelnosti zálohovacích médií. ̶ Pravidelnou kontrolu obnovitelnosti QCA, KCA, TSA&Seal a QVerify ze záloh. Řízení životního cyklu zálohovacích médií. Vybrané požadavky v rámci kybernetické bezpečnosti: ̶ Rozvíjet bezpečnostní povědomí svých zaměstnanců a příp. dalších osob, které se podílejí na plnění Smlouvy a průběžně je seznamovat se změnami v ISMS a další relevantní bezpečnostní dokumentaci Objednatele. ̶ Realizovat pravidelné školení pro rozvíjení bezpečnostního povědomí svých zaměstnanců a příp. dalších osob, které se podílejí na plnění Smlouvy, nejméně však 1x ročně. Dodavatel předloží Objednateli prokazatelné záznamy o provedených školeních, obsahu školení a seznamu proškolených osob Objednateli. ̶ Min. 1x za 6 měsíců předložit seznam všech osob s administrátorskými účty, které se na realizaci Smlouvy podílejí, včetně podrobných informací, k jakým částem QCA, KCA, TSA&Seal a QVerify a jejich infrastruktuře mají přístup. |
Parametry činnosti | |
Rozsah poskytování Služby | 24 x 7 pro QCA (RSA i ECC), TSA&Seal a QVerify prostředí PROD 8 x 5 pro KCA PROD 8 x 5 pro všechna prostředí PREPROD |
Měřící bod | Monitoring – logové záznamy |
Objem poskytované služby | V objemu a podle harmonogramu dle technické dokumentace |
Doplňující informace | |
Platební podmínky | Paušální měsíční platba |
Způsob dokladování | Měsíční Záznam o provedených úkonech z logu. |
2.3 Řešení incidentů
Katalogový list Služby | |
Identifikace (ID) | NCA03-01 |
Název Služby | Řešení incidentů na Systému |
Popis Služby | Řešení incidentů různého rozsahu ve všech prostředích (PROD, PREPROD) jak pro základní služby QCA (QCA Core) a KCA (KCA Core), tak i pro online služby TSA&Seal a QVerify. Jako izolovaný incident je chápána nefunkčnost/nestandardní chování zařízení v infrastruktuře QCA, KCA,TSA&Seal nebo QVerify, případně služby QCA, KCA, služby TSA&Seal nebo QVerify. Incident je logován vždy na jedno zařízení případně jednu službu. Službou je zabezpečeno odstraňování incidentů (nefunkčností) vzniklých v souvislosti se správou serverů a služeb, včetně kompletní obnovy systému. Jako havárie je chápán incident, který zapříčinil kompletní pád všech služeb QCA, KCA (úplná nefunkčnost) nebo služeb TSA&Seal a QVerify. Incident vyžadující ruční vystavení CRL v prostředí PROD není předmětem řešení podle tohoto katalogového listu. |
Definice činnosti | |
Popis činnosti | Poskytovatel zejména zajišťuje a zodpovídá za: ̶ Příjem incidentů v Service Desku. ̶ Analýzu, zda se jedná o incident, tj. nefunkčnost. Servisní a provozní požadavky jsou řešeny cestou katalogového listu NCATSA05 ̶ L2 aplikační a infrastrukturní podporu v součinnosti s ServiceDeskem Objednatele ̶ V případě potřeby řešení na vyšší úrovni zajištění přesměrování incidentu na L3 podporu ̶ V případě, že incident musí být řešen zcela nebo částečně subdodavatelem, zajištění neprodleného přesměrování požadavku na subdodavatele |
Parametry činnosti | |
Rozsah poskytování Služby | 24 x 7 pro QCA (RSA i ECC), TSA&Seal a QVerify prostředí PROD 8 x 5 pro KCA PROD 8 x 5 pro všechna prostředí PREPROD |
Odezva | Podle čI. 6.1 této přílohy |
Obnovení Služby | Podle čI. 6.1 této přílohy |
Měřící bod | ServiceDesk Objednatele |
Objem poskytované služby | Dle potřeby |
Doplňující informace | |
Poznámka | Zadávání incidentů probíhá prostřednictvím Service Desku Objednatele, který je referenčním komunikačním bodem. V případě, že (např. kvůli vadnému dílu) je řešení předáno subdodavateli, pozastavuje se lhůta pro obnovení služby po dobu, kdy problém řeší subdodavatel. Se subdodavatelem je sepsán předávací protokol obsahující kromě obvyklých ustanovení také datum předání vadného dílu a datum převzetí opraveného či nového dílu. Skutečnosti, že byl díl předán subdodavateli, informuje Poskytovatel neprodleně Objednatele. |
Platební podmínky | Měsíční paušální platba |
Služba nezahrnuje | Jakýkoliv návazný problém, change, release management. |
Způsob dokladování | Měsíční Záznam o poskytnutých Službách, záznam v Service Desku Objednatele |
Katalogový list Služby | |
Identifikace (ID) | NCA03-02 |
Název Služby | Řešení incidentu spojeného s nevydáním CRL v prostředí QCA a KCA PROD |
Popis Služby | V případě, že Objednatel zjistí, že v prostředí QCA a/nebo KCA PROD je na některé z URL vypublikován CRL, jehož platnost končí za méně než 15 hodin, zajistí určeným způsobem předání této informace odpovědnému pracovníkovi Poskytovatele. Poskytovatel následně zajistí vydání CRL náhradním způsobem v zákonem stanovené lhůtě. |
Definice činnosti | |
Popis činnosti | Poskytovatel zejména zajišťuje a zodpovídá za: ̶ Příjem incidentu prostřednictvím určeného způsobu vyrozumění a následně i v rámci Service Desku. ̶ Analýzu příčin, proč nedošlo k vydání CRL ̶ Opětovné automatické, případně ruční vydání CRL pro prostředí QCA a |
Parametry činnosti | |
Rozsah poskytování Služby | 24x7 |
Odezva | Do 60 minut od prokazatelného doručení požadavku Poskytovateli |
Obnovení Služby | Obnovení služby bude provedeno v době nutné pro dodržení zákonem stanovené lhůty pro aktualizaci CRL. |
Měřící bod | ServiceDesk Objednatele |
Objem poskytované služby | Dle potřeby |
Doplňující informace | |
Poznámka | Zadávání incidentů probíhá prostřednictvím Service Desku Objednatele, který je referenčním komunikačním bodem a v daném případě i prostřednictvím dohodnutého způsobu (SMS, volání apod.). |
Platební podmínky | Měsíční paušální platba |
Služba nezahrnuje | Jakýkoliv návazný problém, change, release management. |
Způsob dokladování | Měsíční Záznam o poskytnutých Službách, záznam v Service Desku Objednatele |
2.4 Servis HW
Katalogový list Služby | |
Identifikace (ID) | NCA04 |
Název Služby | Servis HW QCA, KCA, TSA&Seal nebo QVerify |
Popis Služby | Zajištění servisu v případě závady na HW v rámci infrastruktury QCA, KCA, TSA&Seal a QVerify |
Definice činnosti | |
Popis činnosti | Zajištění servisu HW Objednatel: Hlášení závady prostřednictvím ServiceDesk Poskytovatel zejména zajišťuje a zodpovídá za: ̶ příjem incidentu na HW závadu, ̶ vzdálená analýza závady, identifikace vadného dílu/serverů/prvku, ̶ výjezd na místo s náhradním dílem nebo objednání zásahu u výrobce (v tomto případě zajištění součinnosti technika Poskytovatele s technikem výrobce), |
Parametry činnosti | |
Rozsah poskytování Služby | 24 x 7 pro NCA (RSA i ECC), TSA&Seal a QVerify prostředí PROD 8 x 5 pro KCA PROD 8 x 5 pro všechna prostředí PREPROD |
Odezva | Podle čI. 6.1 této přílohy |
Obnovení Služby | Podle čI. 6.1 této přílohy |
Měřící bod | ServiceDesk Objednatele |
Objem poskytované služby | Dle poruchovosti HW QCA, KCA, resp. TSA&Seal a QVerify. |
Doplňující informace | |
Poznámka | Poskytovatel má povinnost po celou dobu platnosti Smlouvy mít platnou smlouvu na podporu od výrobce HW nebo od jeho certifikovaného servisního partnera, nebo vlastnit platný certifikát od výrobce na poskytování této služby (viz katalogový list NCATSA02). |
Platební podmínky | Paušální měsíční platba |
Způsob dokladování | Záznamy ServiceDesk Objednatele |
2.5 Aktualizace základního SW
Katalogový list Služby | |
Identifikace (ID) | NCA05 |
Název Služby | Podpora a aktualizace základního SW QCA, KCA, TSA&Seal a QVerify |
Popis Služby | Zajištění pravidelných aktualizací základního SW (OS, firmware, standardní SW třetích stran). Provádění prací spojených s podporou a pravidelnými aktualizacemi SW infrastruktury QCA, KCA, TSA&Seal a QVerify a jejích komponent podle instrukcí, které vydávají výrobci jednotlivých komponent NCA. |
Definice činnosti | |
Popis činnosti | Provádění pravidelné kontroly, aktualizace a údržby SW infrastruktury QCA, KCA, TSA&Seal a QVerify, sledování nových aktualizací a doporučení uveřejněných výrobci jednotlivých SW komponent a použitých SW knihoven a modulů, analýza jejich dopadů na QCA, KCA, TSA&Seal nebo QVerify, návrhy na implementace aktualizací a vlastní implementace po odsouhlasení návrhu Objednatelem. Poskytovatel zejména zajišťuje a zodpovídá za: ̶ předání Objednateli návrhu vhodných a potřebných aktualizací s analýzou přínosů, rizik a dopadů aktualizací na QCA, KCA, TSA&Seal nebo QVerify ̶ Jednorázovou zálohu prvku (pokud je potřeba) ̶ Provedení implementace na PREPROD prostředí ̶ Implementace odsouhlasených aktualizací na prostředí PROD. ̶ Aktualizace provozní dokumentace. ̶ Správa a údržba běhu serverů a služeb zajištující aktualizaci SW. DIA zajišťuje a zodpovídá za: ̶ Výběr vhodných aktualizací a schválení analýzy přínosů, rizik a dopadů aktualizací na QCA, KCA, TSA&Seal a QVerify. |
Parametry činnosti | |
Rozsah poskytování Služby | 24 x 7 pro QCA (RSA i ECC), TSA&Seal a QVerify prostředí PROD 8 x 5 pro KCA PROD 8 x 5 pro všechna prostředí PREPROD |
Odezva | Podle čI. 6.1 této přílohy |
Obnovení Služby | Podle čI. 6.1 této přílohy |
Měřící bod | ServiceDesk Objednatele |
Objem poskytované služby | Podle Objednatelem schváleného harmonogramu kontrol a údržby a jednotlivých harmonogramů implementací aktualizací a v rozsahu nutném pro zajištění parametrů služby požadovaných v rámci Smlouvy. |
Doplňující informace | |
Poznámka | Nasazení každé aktualizace bude předcházet analýza přínosů, rizik a dopadů Poskytovatelem a Objednatel bude o výsledku této analýzy informován. Aktualizace pak proběhne na základě oboustranné dohody. Pokud odsouhlasené aktualizace neřeší akutní bezpečnostní riziko, bude jejich nasazení kumulováno do pravidelného "release". |
Platební podmínky | Paušální měsíční platba |
Způsob dokladování | Záznamy ServiceDesk Objednatele |
2.6 Držení záložních HSM
Katalogový list Služby | |
Identifikace (ID) | NCA06 |
Název Služby | Pohotovostní držení náhradních HSM pro RootCA a SubCA |
Popis Služby | Poskytnutí dispoziční zálohy zařízení HSM Entrust nShield Connect XC eIDAs CC pro účely rychlé výměny vadného HSM za účelem maximalizace doby dostupnosti služeb QCA, případně KCA |
Definice činnosti | |
Popis činnosti | Poskytovatel zajistí na své náklady 2 exempláře HSM Entrust nShield Connect XC eIDAs CC v provozuschopném stavu za účelem rychlé výměny vadného zařízení a opravu vadného zařízení. Vlastní výměna vadného zařízení je realizována podle KL NCA04 Servis HW NCA. |
Parametry činnosti | |
Měřící bod | ServiceDesk Objednatele |
Objem poskytované služby | Dle potřeby |
Doplňující informace | |
Platební podmínky | Paušální měsíční platba |
Způsob dokladování | Záznam v Service Desku Objednatele |
2.7 Servis kryptografických prvků
Služby servisu kryptografických prvků jsou definovány pro všechna prostředí, tedy pro
o vlastní provozní prostředí QCA (PROD)
o vlastní provozní prostředí TSA&Seal (PROD)
o vlastní provozní prostředí KCA (PROD)
o testovací prostředí služeb QCA (PREPROD)
o testovací prostředí služeb TSA&Seal (PREPROD)
o testovací prostředí služeb KCA (PREPROD)
o
a spočívají v
o generování privátních klíčů HSM v prostředí QCA a KCA
o obnově certifikátů RootCA, SubCA1, SubCA2
o generování privátních klíčů a instalaci certifikátů pro pečetění v prostředí TSA&Seal
o generování privátních klíčů a instalaci certifikátů časových razítek v prostředí TSA&Seal.
Jedná se o služby poskytované
o na základě blížící se exspirace stávajících certifikátů a klíčů (generování následných certifikátů a klíčů) - poskytovatel je povinen upozornit Objednatele na blížící se exspiraci klíče či certifikátu nejpozději 15 kalendářních dní předem a dohodnout potřebnou součinnost,
o na základě objednávky Objednatele (v případě generování nových klíčů a certifikátů).
Katalogový list Služby | |
Identifikace (ID) | NCA07 |
Název Služby | Generování a nasazení klíče RootCA a/nebo SubCA1 nebo SubCA2 (RSA a ECC), generování a nasazení klíčů OCSP responderu, generování a nasazení klíčů a certifikátů pro pečetění a službu vystavování časových razítek TSS (Time Stamp Service). |
Popis Služby | Generování a nasazení privátního klíče RootCA a/nebo SubCA1 nebo SubCA2, generování certifikátu, a jeho nasazení, generování nových operátorských čipových karet a přístupů ve všech třech prostředích a pro aktuálně používané rodiny kryptografických algoritmů. Generování a nasazení klíčů OCSP responderu, generování a nasazení klíčů a certifikátů pro pečetění a vystavování časových razítek. Zajištění umístění certifikátů pro vystavení časových razítek (TSS certifikátů) na seznam důvěryhodných certifikátů (TSL). |
Definice činnosti | |
Popis činnosti | Kontrola exspirace privátních klíčů a certifikátů QCA a KCA. Vygenerování privátních klíčů HSM, nového privátního klíče RootCA, SubCA1, SubCA2 resp. OCSP responderu a odpovídajících certifikátů RootCA, SubCA1, SubCA2 resp. OCSP responderu v daném termínu a struktuře a jejich nasazení. Kontrola exspirace privátních klíčů a certifikátů v rámci služby TSA&Seal. Vygenerování privátních klíčů TSS a odpovídajících certifikátů v daném termínu a struktuře a jejich nasazení. Vygenerování nových privátních klíčů pro pečetění a odpovídajících certifikátů na základě požadavku Objednatele v daném termínu a struktuře a jejich nasazení. |
Parametry činnosti | |
Rozsah poskytování Služby | 8 x 5 |
Odezva | Podle čI. 6.1 této přílohy – priorita 5 |
Měřící bod | ServiceDesk Objednatele |
Objem poskytované služby | Dle potřeby, resp. dle objednávky |
Doplňující informace | |
Platební podmínky | Paušální měsíční platba |
Způsob dokladování | Záznam o poskytnutých Službách, report HSM a RootCA. |
Priorita | Nedodržení termínu a struktury se považuje za incident Priority 1 pro prostředí PROD a Priority 4 na prostředí PREPROD. |
3. Služby pro klientské instance
Následující katalogové listy zahrnují služby poskytované v rámci podpory provozu instancí TSA_izol a RA u jednoho klienta Objednatele (společně dále „klientská instance“).
TSA_izol je řešení služeb vystavování časových razítek a vzdáleného pečetění dokumentů realizované v prostředí izolovaných sítí klientů Objednatele, bez možnosti online připojení a monitoringu Poskytovatelem. V některých případech není možné vadný HW odvážet a může se jen vyměňovat za nový.
V případě registrační autority (RA) vzhledem ke skutečnosti, že HW a základní SW je majetkem klienta Objednatele, je předmětem podpory provozu pouze podpora SW umožňujícího využívání služeb NCA (SW pro správu žádostí o certifikát – NCARA). Instancí RA se proto týkají pouze odpovídající katalogové listy.
3.1 Zajištění obnovy
Katalogový list Služby | |
Identifikace (ID) | TSA01 |
Název Služby | Zajištění obnovy služeb klientské instance |
Popis Služby | Zajištění obnovy poskytování služeb po výpadku služeb klientské instance vystavení časového razítka a vystavení elektronické pečeti nebo po výpadku služby vydávání certifikátů. |
Hodnota | |
Způsob měření | Vyhodnocuje doba od nahlášení nedostupnosti služeb klientské instance do doby jejich obnovy podle údajů uvedených v Service Desku Objednatele, (pokud bylo současně nedostupných více služeb, počítá se pouze delší doba) |
Parametry činnosti | |
Rozsah poskytování Služby | 8 x 5 |
Odezva | Podle čI. 6.2 této přílohy – priorita 1 |
Obnovení Služby | Podle čI. 6.2 této přílohy – priorita 1 |
Měřící bod | ServiceDesk Objednatele |
Objem poskytované služby | Dle potřeby |
Doplňující informace | |
Platební podmínky | Paušální měsíční platba |
Způsob dokladování | Měsíční Záznam o poskytnutých Službách, založení incidentu na Poskytovatele na základě události z monitoringu. |
3.2 Pravidelná údržba
Katalogový list Služby | |
Identifikace (ID) | TSA02 |
Název Služby | Údržba klientské instance |
Popis Služby | Pravidelná údržba, kontrola stavu jednotlivých prvků TIF a SW – proaktivní a profylaktické činnosti, směřující k zajištění chodu technické infrastruktury a SW vybavení klientské instance. |
Definice činnosti | |
Popis činnosti | Provádění pravidelné kontroly, testování a lokální monitorování TIF TSA_izol, identifikace případných incidentů Poskytovatel zejména zajišťuje a zodpovídá za: ̶ pravidelnou kontrolu prvků technické infrastruktury ̶ preventivní analýzu logů ̶ předávání informací o zjištěných nedostatcích ̶ iniciaci servisu v případě zjištěných nedostatků Provádění pravidelné kontroly, testování a lokální monitorování programového vybavení klientské instance, identifikace případných incidentů Poskytovatel zejména zajišťuje a zodpovídá za: ̶ pravidelnou kontrolu jednotlivých modulů programového vybavení ̶ preventivní analýzu logů ̶ předávání informací o zjištěných nedostatcích ̶ iniciaci servisu v případě zjištěných nedostatků Poskytovatel zejména zajišťuje a zodpovídá za: ̶ Provádění pravidelných záloh jednotlivých serverů TSA_izol a jejich systémového nastavení vč. logů ̶ Funkčnost, provoz a správu zálohování ̶ Správu zálohovacích nástrojů klientské instance. |
Parametry činnosti | |
Rozsah poskytování Služby | 1 x za 3 měsíce v režimu 8x5 |
Měřící bod | Záznamy v lozích jednotlivých komponent klientské instance, checklist s realizovanými činnostmi podepsaný zástupcem klienta Objednatele |
Objem poskytované služby | Dle checklistu pravidelných činností údržby odsouhlaseného mezi Objednatelem a Poskytovatelem |
Doplňující informace | |
Platební podmínky | Paušální měsíční platba |
Způsob dokladování | Měsíční Záznam o provedených úkonech, checklisty podepsané zástupci klienta Objednatele |
3.3 Řešení incidentů
Katalogový list Služby | |
Identifikace (ID) | TSA03 |
Název Služby | Řešení incidentů klientské instance |
Popis Služby | Řešení incidentů různého rozsahu: Jako izolovaný incident je chápán nefunkčnost/nestandardní chování zařízení v infrastruktuře TSA_izol nebo služby klientské instance. Incident je logován vždy na jedno zařízení případně jednu službu. Jako havárie je chápán incident, který zapříčinil kompletní pád všech služeb TSA_izol nebo služby RA (úplná nefunkčnost). Havárie může způsobit delší nefunkčnost, zpravidla nad rámec služby TSA01. Službou je zabezpečeno řešení a odstraňování incidentů (nefunkčností) vzniklých v souvislosti se správou serverů a služeb. |
Definice činnosti | |
Popis činnosti | Poskytovatel v případě izolovaného incidentu zejména zajišťuje a zodpovídá za: ̶ Příjem incidentů v Service Desku. ̶ Analýzu, zda se jedná o incident, tj. nefunkčnost. Servisní a provozní požadavky jsou řešeny cestou katalogového listu NCA05 ̶ L1 aplikační a infrastrukturní podporu v součinnosti se ServiceDeskem Objednatele ̶ V případě potřeby řešení na vyšší úrovni zajištění přesměrování incidentu na L2/L3 podporu ̶ Výjezd na místo implementace TSA_izol, analýza a vyřešení incidentu, v případě RA předání příslušné záplaty s popisem odstranění závady. ̶ Komunikaci se ServiceDeskem a uzavření tiketu V případě havárie poskytovatel zejména zajišťuje a zodpovídá za: ̶ Příjem hlášení o havárii v Service Desku. ̶ Analýzu, zda se jedná o havárii, tj. nefunkčnost významné části klientské instance. Servisní požadavky a lokální incidenty jsou řešeny jinou cestou |
Parametry činnosti | |
Rozsah poskytování Služby | 8x5 |
Odezva | Podle čI. 6.2 této přílohy |
Obnovení Služby | Podle čI. 6.2 této přílohy |
Měřící bod | ServiceDesk Objednatele |
Objem poskytované služby | Dle potřeby |
Doplňující informace | |
Poznámka | Zadávání požadavků na řešení incidentů probíhá prostřednictvím Service Desku Objednatele, který je referenčním komunikačním bodem. |
Platební podmínky | Měsíční paušální platba |
Služba nezahrnuje | Jakýkoliv návazný problém, change, release management. |
Způsob dokladování | Měsíční Záznam o poskytnutých Službách, záznam v Service Desku Objednatele |
3.4 Servis HW
Katalogový list Služby | |
Identifikace (ID) | TSA04-01 |
Název Služby | Servis HW klientské instance – výměna |
Popis Služby | Zajištění servisu v případě závady na HW klientské instance, kde je možno vadný HW vyměnit za nový. |
Definice činnosti | |
Popis činnosti | Zajištění servisu HW Objednatel: Hlášení závady prostřednictvím ServiceDesk Poskytovatel zejména zajišťuje a zodpovídá za: ̶ příjem incidentu na HW závadu, ̶ identifikaci vadného dílu/serverů/prvku – vzdáleně na základě hovoru s kontaktní osobou, pokud nestačí, prostřednictvím návštěvy ̶ výjezd na místo s náhradním dílem nebo objednání zásahu u výrobce (v tomto případě zajištění součinnosti technika Poskytovatele s technikem výrobce), ̶ výměnu vadného dílu/prvku, otestování funkčnosti, ̶ ukončení incidentu, zpráva na ServiceDesk Objednatele |
Parametry činnosti | |
Rozsah poskytování Služby | 8 x 5 |
Odezva | Podle čI. 6.2 této přílohy |
Obnovení Služby | Podle čI. 6.2 této přílohy |
Měřící bod | ServiceDesk Objednatele |
Objem poskytované služby | Dle potřeby |
Doplňující informace | |
Poznámka | Služba může být poskytována v individuálním režimu odpovídajícímu podmínkám klienta, kde je klientská instance implementována. |
Platební podmínky | Paušální měsíční platba |
Způsob dokladování | Záznamy ServiceDesk Objednatele |
Katalogový list Služby | |
Identifikace (ID) | TSA04-02 |
Název Služby | Servis HW klientské instance – bez výměny |
Popis Služby | Zajištění servisu v případě závady na HW klientské instance, kde není možno vadný HW odvést, ale musí být nahrazen novým. |
Definice činnosti | |
Popis činnosti | Zajištění servisu HW Objednatel: Hlášení závady prostřednictvím ServiceDesk Poskytovatel zejména zajišťuje a zodpovídá za: ̶ příjem incidentu na HW závadu, ̶ identifikaci vadného dílu/serverů/prvku – vzdáleně na základě hovoru s kontaktní osobou, pokud nestačí, prostřednictvím návštěvy ̶ výjezd na místo s náhradním dílem nebo objednání zásahu u výrobce (v tomto případě zajištění součinnosti technika Poskytovatele s technikem výrobce), ̶ dodání nového dílu/prvku, otestování funkčnosti, ̶ předání vadného dílu zástupci klienta Objednatele, ̶ ukončení incidentu, zpráva na ServiceDesk Objednatele V případě HW RA (čtečka) nahlásí klient Objednatele závadu do ServiceDesku |
Parametry činnosti | |
Rozsah poskytování Služby | 8 x 5 |
Odezva | Podle čI. 6.2 této přílohy |
Obnovení Služby | Podle čI. 6.2 této přílohy |
Měřící bod | ServiceDesk Objednatele |
Objem poskytované služby | Dle potřeby |
Doplňující informace | |
Poznámka | Služba může být poskytována v individuálním režimu odpovídajícímu podmínkám klienta, kde je klientská instance implementována. |
Platební podmínky | Paušální měsíční platba |
Způsob dokladování | Záznamy ServiceDesk Objednatele |
3.5 Aktualizace základního SW
Katalogový list Služby | |
Identifikace (ID) | TSA05 |
Název Služby | Podpora a aktualizace základního SW klientské instance |
Popis Služby | Zajištění pravidelných aktualizací základního SW (OS, firmware, standardní SW třetích stran), provádění prací spojených s podporou a pravidelnými aktualizacemi SW infrastruktury TSA_izol a jejích komponent podle instrukcí, které vydávají výrobci jednotlivých komponent Systému. Příprava instalačních balíčků pro upgrade RA. |
Definice činnosti | |
popis činnosti | Provádění pravidelné kontroly, aktualizace a údržby SW infrastruktury TSA_izol a RA, sledování nových aktualizací a doporučení uveřejněných výrobci jednotlivých SW komponent a použitých SW knihoven a modulů, analýza jejich dopadů na TSA_izol a RA. Návrhy na implementace aktualizací TSA_izol a realizace vlastní implementace po odsouhlasení návrhu Objednatelem. Poskytovatel zejména zajišťuje a zodpovídá za: ̶ Jednorázovou zálohu prvku (pokud je potřeba) ̶ Analýzu přínosů, rizik a dopadů aktualizací na klientskou instanci, výběr vhodných aktualizací. ̶ Předání návrhů na změny ̶ Odsouhlasení implementace vybraných aktualizací s aplikačními administrátory a Objednatelem. ̶ Provedení implementace na referenčním prostředí Poskytovatele ̶ Provedení testování implementované aktualizace a ověření zachování funkčnosti celého řešení. ̶ Implementace odsouhlasených aktualizací na všech dotčených |
Parametry činnosti | |
Rozsah poskytování Služby | 8 x 5 |
Měřící bod | ServiceDesk Objednatele |
Objem poskytované služby | Minimálně 1 x za 2 měsíce (pokud NUKIB nerozhodne jinak) podle Objednatelem schváleného harmonogramu kontrol a údržby a jednotlivých harmonogramů implementací aktualizací a v rozsahu nutném pro zajištění parametrů služby požadovaných v rámci Smlouvy. |
Doplňující informace | |
Poznámka | Nasazení každé aktualizace bude předcházet analýza přínosů, rizik a dopadů Poskytovatelem a Objednatel bude o výsledku této analýzy informován. Aktualizace pak proběhne na základě oboustranné dohody. Pokud odsouhlasené aktualizace neřeší akutní bezpečnostní riziko, bude jejich nasazení kumulováno do pravidelného "release". |
Platební podmínky | Paušální měsíční platba |
Způsob dokladování | Záznamy ServiceDesk Objednatele |
3.6 Servis kryptografických prvků
Katalogový list Služby | |
Identifikace (ID) | TSA07 |
Název Služby | Obnova certifikátů TSA a QSealCD |
Definice činnosti | |
Popis činnosti | Generování privátního klíče pro TSS (Time Stamp Service – služba vydávání časových razítek), generování žádosti o certifikát, vložení certifikátu do zařízení Thales nShield Solo 500e F3 a jeho nasazení do serveru TSS, zálohování certifikátu a privátního klíče Generování privátního klíče pro QSealService (služba vydávání kvalifikovaných elektronických pečetí), generování žádosti o certifikát, vložení certifikátu do zařízení, a jeho nasazení do QSealService, zálohování certifikátu a privátního klíče, generování nových operátorských a provozních čipových karet a přístupů k zařízení Thales nShield Connect 1500. Vygenerování klíčů a certifikátů jsou služby poskytované na základě blížící se expirace platných certifikátů. Poskytovatel je povinen upozornit Objednatele na blížící se exspiraci klíče či certifikátu nejpozději 15 kalendářních dní předem a dohodnout potřebnou součinnost. |
Parametry činnosti | |
Rozsah poskytování Služby | 8 x 5 |
Odezva | Podle čI. 6.2 této přílohy – priorita 5 |
Měřící bod | ServiceDesk Objednatele |
Objem poskytované služby | Dle potřeby |
Doplňující informace | |
Platební podmínky | Paušální měsíční platba |
Způsob dokladování | Záznam o poskytnutých Službách, report HSM, testovací PDF s elektronickou pečetí a časovým razítkem, případně prohlášení zástupce klienta Objednatele o proběhlé výměně. |
Priorita | Nedodržení dohodnutého termínu a struktury se považuje za incident Priority 1 |
4. Služby společné pro QCA, KCA, TSA&Seal, QVerify a klientské instance
Neaplikuje se.
5. Vyhodnocování kvality poskytovaných služeb
5.1 Měření Služeb
Objednatel bude provádět dostupnými prostředky kontrolu provádění Služeb. Pokud Objednatel identifikuje, že dotčená činnost nebyla vykonána zcela nebo vykonána jen částečně, zaznamená tuto skutečnost do Service Desku Objednatele prostřednictvím přidělení incidentu Poskytovateli. Stejným způsobem Objednatel provádí záznam jakéhokoli provozního incidentu nebo regestu.
5.2 Doba vzniku žádosti, doba vyřešení žádosti, doba trvání žádosti
Za dobu vzniku žádosti se považuje datum a čas jejího vytvoření v Service Desku Objednatele. V případě, že Service Desk Objednatele je nefunkční, za dobu vzniku se považuje datum a čas odeslání e-mailové zprávy, kterou Objednatel nahlásil žádost na kontaktní e-mailovou adresu Poskytovatele. Doba řešení žádosti počíná jejím prokazatelným doručením Poskytovateli.
Za dobu vyřešení žádosti se považuje datum a čas v Service Desku Objednatele, kdy byl status žádosti změněn na „vyřešeno“.
Za dobu trvání žádosti se považuje doba od vzniku žádosti do doby jejího vyřešení. V případě reklamace vyřešení žádosti se do doby trvání žádosti připočítává i doba od vrácení žádosti do statusu
„v řešení“ do doby jejího opětovného vyřešení.
5.3 Čas dostavení se na místo
Za čas dostavení se na místo se považuje čas mezi datem a časem předání žádosti v Service Desku Objednatele na Poskytovatele (v případě, že Service Desk Objednatele je nefunkční, datem a časem odeslání e-mailové zprávy, kterou Objednatel nahlásil žádost na kontaktní e-mailovou adresu Poskytovatele) a datem a časem dostavení se technika Poskytovatele na adresu klienta Objednatele, kde uvedenou v žádosti.
6. Stanovení priorit incidentů a požadavků a jejich SLA
Standardní režim dostupnosti je 24 x 7, pro provozní prostředí QCA, TSA&Seal a QVerify, pro ostatní provozní prostředí (KCA a klientské instance), stejně jako pro všechna PREPROD prostředí je režim dostupnosti stanoven na 8 x 5. Pro jednotlivé parametry SLA platí následující upřesňující ustanovení:
̶ dobou dostupnosti v režimu 24 x 7 se mají na mysli kalendářní dny od 0:00 do 23:59 hodin
̶ dobou dostupnosti v režimu 8 x 5 se mají na mysli státem uznané pracovní dny od 8 do 16 hodin
̶ pokud jakákoliv níže stanovená lhůta končí po uplynutí doby dostupnosti, přerušuje se plynutí dané lhůty do začátku následující doby dostupnosti, doba mezi koncem jedné doby dostupnosti a začátkem následující doby dostupnosti se do trvání lhůty nezapočítává
Pro katalogový list NCA03-02 Řešení incidentu spojeného s nevydáním CRL v prostředí PROD platí doby odezvy a obnovení služby uvedené v katalogovém listu.
6.1 Pro provozní prostředí QCA, KCA a TSA&Seal
Priorita | Definice priority požadavku | Parametry řešení požadavku – SLA |
Priorita 1 Kritická | Některé nebo všechny části QCA, KCA, QVerify, resp. TSA&Seal selhaly a jsou zcela nefunkční nebo je jejich funkčnost omezena tak, že je kritickým způsobem ovlivněna činnost QCA, KCA, QVerify, resp. TSA&Seal. | Odezva: 60 minut Obnovení Služby: 4 hodiny Kalendář: 8x5 pro KCA, 24 x 7 pro ostatní |
Priorita 2 Vysoká | Činnost QCA, KCA, QVerify, resp. TSA&Seal je podstatně omezena, některé části selhaly a jsou zcela nefunkční nebo je jejich funkčnost omezena tak, že je zásadním způsobem ovlivněna činnost QCA, KCA, QVerify, resp. TSA&Seal, např. není dostupná jedna instance QCA, KCA, QVerify, resp. TSA&Seal. | Odezva: 60 minut Obnovení Služby: 8 hodin Kalendář: 8x5 pro KCA, 24 x 7 pro ostatní |
Priorita 3 Střední | QCA, KCA, QVerify, resp. TSA&Seal je funkční pouze částečně, QCA, KCA, resp. TSA&Seal je ovlivněn selháním nebo omezením některé ze QCA, KCA, QVerify, resp. TSA&Seal funkcí podporujících důležité činnosti QCA, KCA, QVerify, resp. TSA&Seal. Některá ze služeb vykazuje funkční vady, pouze některé funkce nejsou plně funkční. | Odezva: 60 minut Obnovení Služby: 24 hodin Kalendář 8x5 pro KCA, 24 x 7 pro ostatní |
Priorita 4 Nízká | QCA, KCA, QVerify, resp. TSA&Seal je operativní, závada nemá vliv na činnost QCA, KCA, QVerify, resp. TSA&Seal. Vyskytují se nedostatky nepodstatné povahy, které způsobují například nekomfortní ovládání uživatelem ztěžující běžný provoz, resp. zvyšující pracnost činností v běžném provozu. | Odezva: 60 minut Obnovení Služby: 5 dní Kalendář: 8x5 pro KCA, 24 x 7 pro ostatní |
Priorita | Definice priority požadavku | Parametry řešení požadavku – SLA |
Priorita požadavku zároveň zahrnuje situace, kdy některé funkce prokazatelně selhaly, ale nejsou v daný moment využívány nebo nemají žádný vliv na řádný chod QCA, KCA, QVerify, resp. TSA&Seal. | ||
Priorita 5 | Požadavkem je žádost o podání informace (dotaz, vysvětlení). | Odezva: 60 minut Obnovení Služby: 20 dnů |
Ostatní | Kalendář: 8x5 pro KCA, 24 x 7 pro ostatní |
6.2 Pro provozní prostředí klientské instance
Priorita | Definice priority požadavku | Parametry řešení požadavku SLA |
Priorita 1 Kritická | Některé nebo všechny části TSA_izol nebo RA selhaly a jsou zcela nefunkční nebo je jejich funkčnost omezena tak, že je kritickým způsobem ovlivněna činnost TSA_izol nebo je nefunkční RA. | Odezva: 60 minut Dostavení se na místo: NBD Obnovení Služby: do 2 pracovních dnů Kalendář: 8x5 |
Priorita 2 Vysoká | Činnost TSA_izol nebo RA je podstatně omezena, některé části selhaly a jsou zcela nefunkční nebo je jejich funkčnost omezena tak, že je zásadním způsobem ovlivněna jejich činnost, u TSA_izol např. není dostupná jedna instance. | Odezva: 60 minut Dostavení se na místo: do 2 pracovních dnů Obnovení Služby: do 3 pracovních dnů Kalendář: 8x5 |
Priorita 3 Střední | TSA_izol nebo RA jsou funkční pouze částečně, TSA_izol nebo RA jsou ovlivněny selháním nebo omezením některé z jejich funkcí podporujících důležité činnosti. Některá ze služeb vykazuje funkční vady, pouze některé funkce nejsou plně funkční. | Odezva: 60 minut Dostavení se na místo: do 2 pracovních dnů Obnovení Služby: do 5 pracovních dnů Kalendář: 8x5 |
Priorita | Definice priority požadavku | Parametry řešení požadavku SLA |
Priorita 4 Nízká | TSA_izol nebo RA jsou operativní, závada nemá vliv na jejich činnost. Vyskytují se nedostatky nepodstatné povahy, které způsobují například nekomfortní ovládání uživatelem ztěžující běžný provoz, resp. zvyšující pracnost činností v běžném provozu. Priorita požadavku zároveň zahrnuje situace, kdy některé funkce prokazatelně selhaly, ale nejsou v daný moment využívány nebo nemají žádný vliv na řádný chod TSA_izol a RA. | Odezva: 60 minut Dostavení se na místo: do 3 pracovních dnů Obnovení Služby: do 10 pracovních dnů Kalendář: 8x5 |
Priorita 5 | Požadavkem je žádost o podání informace (dotaz, vysvětlení). | Odezva: 60 minut Dostavení se na místo: do 10 pracovních dnů |
Ostatní | Obnovení Služby: do 20 pracovních dnů | |
Kalendář: 8x5 |