RÁMCOVÁ DOHODA na zajištění penetračních testů a bezpečnostních prověrek integrovaného informačního systému ČSSZ uzavřená níže uvedeného dne, měsíce a roku dle ustanovení § 1746 odst. 2 zákona č. 89/2012 Sb., občanského zákoníku, v platném a účinném...

RÁMCOVÁ DOHODA

na zajištění penetračních testů a bezpečnostních prověrek  integrovaného informačního systému ČSSZ

uzavřená níže uvedeného dne, měsíce a roku dle ustanovení § 1746 odst. 2 zákona č. 89/2012 Sb., občanského zákoníku, v platném a účinném znění (dále jen „Občanský zákoník“),

mezi níže uvedenými stranami

(dále jen „Smlouva“)

Česká republika – Česká správa sociálního zabezpečení

Sídlo: Xxxxxxx 00, 000 00 Xxxxx 0

Statutární zástupce: Xxx. Xxxx Xxxxxx, pověřen zastupováním ústředního ředitele ČSSZ

Jednající: Xxx. Xxxxx Xxxxxxx, ředitel sekce informačních a komunikačních technologií

IČO: 00006963

DIČ: neplátce

Bankovní spojení: Česká národní banka

Číslo účtu: 10006-127001/0710

ID datové schránky: 49kaiq3

(dále jen „Objednatel“)

na straně jedné

a

[●]

Sídlo: [●]

Zastoupená: [●]

Zapsaná v obchodním rejstříku vedeném [●] soudem v [●], oddíl [●], vložka [●]

IČO: [●]

DIČ: [●]

Bankovní spojení: [●]

Číslo účtu: [●]

ID datové schránky: [●]

(dále jen „Poskytovatel“)

na straně druhé

(Objednatel a Poskytovatel dále také společně označovaní jako „Smluvní strany“ nebo jednotlivě jako „Smluvní strana“)

Preambule

1. Objednatel prohlašuje, že

• je organizační složkou státu a správním orgánem, který zabezpečuje výběr pojistného na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti, dále provádí zejména důchodové pojištění a zajišťuje agendu nemocenského pojištění;

• je správcem informačního systému kritické informační infrastruktury podle zákona
  č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon
  o kybernetické bezpečnosti), v platném znění a vyhlášky NBÚ č. 316/2014 Sb.,
  o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška
  o kybernetické bezpečnosti), (dále jen „vyhláška č. 316/2014 Sb.“);

• splňuje veškeré podmínky a požadavky v této Smlouvě stanovené a je oprávněn tuto Smlouvu uzavřít a řádně plnit závazky v ní obsažené.

2. Poskytovatel prohlašuje, že

• je podnikatelem dle ustanovení § 420 a násl. Občanského zákoníku;

• splňuje veškeré podmínky a požadavky v této Smlouvě stanovené a je oprávněn tuto Smlouvu uzavřít a řádně plnit závazky v ní obsažené;

• je odborníkem v oblasti poskytování služeb dle této Xxxxxxx a bude své povinnosti plnit s náležitou a odbornou péčí.

3. Tato Smlouva se uzavírá za účelem zajištění služeb pro Objednatele v oblasti penetračního testování v rozsahu a za podmínek uvedených dále v této Smlouvě.

1. Předmět Smlouvy

1. Předmětem této Smlouvy je stanovení podmínek, za kterých se Poskytovatel zavazuje poskytovat Objednateli služby spočívající v penetračním testování a bezpečnostních prověrkách infrastruktury prvků integrovaného informačního systému ČSSZ Objednatele (dále jen „IIS ČSSZ“), a to na základě a v souladu s dílčími objednávkami případně dílčími smlouvami uzavíranými postupem dle čl. IV., Přílohy č. 7 a v souladu s dalšími případnými pokyny Objednatele (dále jen „Předmět plnění“).

2. Předmět plnění sestává z penetračního testování pro integrační, testovací a produkční prostředí IIS ČSSZ minimálně v rozsahu aktuální verze OWASP Top 10 dle Open Web Application Security Project, dle níže uvedených okruhů:

1. Externí penetrační testování - prvotní externí penetrační testování

2. Externí penetrační testování - následné externí penetrační testování

3. Interní penetrační testování – prvotní interní penetrační testování

4. Interní penetrační testování - následné interní penetrační testování

5. Bezpečnostní prověrka infrastruktury prvků IIS ČSSZ

6. Vyhotovení Závěrečné zprávy z provedení penetračního testování nebo bezpečnostní prověrky

7. Konzultační činnost bezpečnostního specialisty Poskytovatele uvedeného v Příloze č. 6 Smlouvy (dále jen „Bezpečnostní specialista“) k Závěrečné zprávě a při realizaci doporučení vyplývajících ze Závěrečné zprávy,

(„Okruhy“ a každý samostatně jako „Okruh“).

3. Vždy po ukončení testování Okruhu a/nebo (dle volby Objednatele) po dokončení všech Okruhů bude Poskytovatelem vyhotovena Závěrečná zpráva z penetračních testů, nebo Závěrečná zpráva o provedení bezpečnostní prověrky (dále jen „Závěrečná zpráva“). Závěrečná zpráva bude Poskytovatelem předložena Objednateli vždy po ukončení Okruhu nebo všech Okruhů výhradně osobě oprávněné jednat ve věcech věcného plnění Objednatele, přičemž Závěrečná zpráva bude vždy obsahovat alespoň:

• manažerské shrnutí tzn. přehled hlavních zjištění a doporučení, časový rámec testu, cíl a rozsah testů, způsob připojení apod. U dobře známých a jednoduše prokazatelných zranitelností bude uveden i postup zneužití dané zranitelnosti,

• shrnutí známých informací o testované aplikaci, které byly získány z testování a jsou tedy dostupné potenciálnímu útočníkovi,

• detailní postup při provádění penetračních testů včetně použitých nástrojů a technik,

• přehled testovaných zranitelností v souladu s OWASP Testing Guide v4 s kapitolou Reporting,

  • přehledný seznam identifikovaných zranitelností, seřazený sestupně podle jejich závažnosti a jejich popis, kdy bude použito jednotné klasifikační schéma (např. klasifikační schéma DREAD- „damage, reproducibility, exploitability, affected users, discoverability“),

• doporučený postup předcházení uvedeným zranitelnostem, pokud takový existuje, případně popis vhodných alternativních protiopatření.

V případě Závěrečné zprávy o provedení bezpečnostní prověrky infrastruktury

• identifikované zranitelnosti klíčových prvků,

• doporučení na zmírnění rizika zneužití identifikovaných zranitelností,

• hodnocení úrovně bezpečnosti a hodnocení rizik.

4. Před zasláním Závěrečné zprávy je Poskytovatel povinen předložit Objednateli předběžnou zprávu, která bude obsahovat předběžný a stručný (manažerský) souhrn informací, které mají být součástí Závěrečné zprávy (dále jen „Předběžná zpráva“) v následujících lhůtách:

1. do 24 (slovy: čtyřiadvaceti) hodin od okamžiku skončení testování Okruhu a/nebo (dle volby Objednatele) po dokončení všech Okruhů v případě, že bude Poskytovatelem při testování zjištěna jakákoliv závažná zranitelnost IIS ČSSZ nebo jeho subsystému, přičemž v takovém případě je Poskytovatel současně povinen neprodleně po zjištění o povaze zjištěné zranitelnosti alespoň stručně informovat Objednatele prostřednictvím e-mailu či telefonu osoby oprávněné jednat za Objednatele ve věcech věcného plnění,

2. do 2 (slovy: dvou) pracovních dnů ode dne skončení testování Okruhu a/nebo (dle volby Objednatele) po dokončení všech Okruhů v případě, že nebude Poskytovatelem při testování zjištěna žádná závažná zranitelnost IIS ČSSZ nebo jeho subsystému.

5. Jednotlivé Okruhy jsou blíže specifikovány v Příloze č. 1 této Smlouvy.

6. Objednatel předpokládá, že za dobu trvání této Smlouvy bude provedeno přibližně 48 (slovy: čtyřicetosm) penetračních testů a 4 (slovy: čtyři) bezpečnostní prověrky infrastruktury prvků IIS ČSSZ. Tento počet je však pouze orientační, přičemž konkrétní počet bude záviset na průběhu čerpání rozsahu člověkohodin na základě Dílčích smluv (jak je tento pojem definován níže).

7. Objednatel poskytne pracovníkům Poskytovatele po dobu poskytování Předmětu plnění přístup do prvků IIS ČSSZ z konkrétních IP adres Poskytovatele, které Poskytovatel Objednateli uvedl v Příloze č. 1 v části věnované součinnosti Poskytovatele; nelze-li objektivně takové IP adresy uvést dopředu, oznámí Poskytovatel takové IP adresy Objednateli alespoň 4 (slovy: čtyři) pracovní dny před zahájením plnění Dílčí smlouvy (jak je tento pojem definován níže) prostřednictvím autorizačního dopisu, jehož vzor tvoří Přílohu č. 8 (dále jen „Autorizační dopis“).

8. Předmětem této Smlouvy je dále stanovení podmínek, za kterých se Objednatel zavazuje platit za Předmět plnění Poskytovateli dohodnutou cenu na základě a v souladu s podmínkami uvedenými v čl. V. této Smlouvy.

2. Výklad pojmů

1. Externími penetračními testy se rozumí testy, které budou simulovat napadení útočníkem, který má pouze veřejně dostupné informace. Tyto testy budou zaměřeny na aplikace vnějšího webového rozhraní IIS ČSSZ.

2. Interními penetračními testy se rozumí testy, které budou prováděny z vnitřní části sítě Objednatele s cílem detekovat zranitelnosti, které mohou vést k získání neoprávněných informací nebo k získání přístupu k jednotlivým systémům IIS ČSSZ.

3. Prvotními penetračními testy se rozumí takové testování, kdy není Poskytovateli vůbec známa struktura testované aplikace IIS ČSSZ a neprováděl v minulosti žádné penetrační testování na této aplikaci. Cílem prvotních penetračních testů je odhalit co největší množství zranitelností v testované aplikaci IIS ČSSZ, odhalit způsob jejich využití a případnou možnost získání neoprávněných přístupů. Za prvotní penetrační testy jsou považovány i testy, které jsou prováděny po významných změnách v testované aplikaci anebo IIS ČSSZ.

4. Následnými penetračními testy se rozumí takové testování, které následuje po odstranění dříve nalezených zranitelností. Hlavním cílem je potvrdit nebo vyvrátit, že dříve nalezená zranitelnost byla odstraněna.

5. Bezpečnostní prověrka infrastruktury prvků IIS ČSSZ posoudí stávající IIS ČSSZ z pohledu bezpečnosti a doporučí odpovídající nastavení jednotlivých systémů a prvků IIS ČSSZ tak, aby byla v souladu s doporučením výrobců a předních organizací, které se zabývají bezpečností informací a zabezpečením informačních systémů (např. IEFT, CVE, apod.).

6. Závažná zranitelnost je zranitelnost, jejímž zneužitím může dojít k vážnému poškození IIS ČSSZ nebo souvisejícího testovaného systému či aplikace Objednatele.

7. Bezpečnostní specialista, který je ve smluvním vztahu se Poskytovatelem, je schopen provést penetrační testování a bezpečnostní prověrku infrastruktury. Nalezených zranitelností je schopen využít, ale také navrhnout vhodná opatření a je informován o nejnovějších hrozbách a zranitelnostech.

3. Doba a místo plnění

1. Poskytovatel zahájí poskytování Předmětu plnění Objednateli počínaje dnem nabytí účinnosti první z Dílčích smluv uzavřených na základě této Smlouvy a bude ho poskytovat po dobu trvání této Smlouvy, resp. jednotlivých Dílčích smluv, a to tak, jak je uvedeno v čl. IV. této Smlouvy.

1. Místem plnění této Smlouvy je sídlo Objednatele na adrese Xxxxxxx 00, 000 00 Xxxxx 0 x Xxxxxxx 00x, 000 00 Xxxxx 0.

4. Způsob realizace a předání Předmětu plnění

1. Objednatel zpravidla určí (zadá) Poskytovateli do 20. (slovy: dvacátého) dne předchozího kalendářního měsíce na následující kalendářní měsíc objednávku definující konkrétní Okruh, konkrétní termín pro jeho splnění, maximální počet člověkohodin vyhrazený pro toto plnění a další případné doplňující podmínky (pokyny Objednatele) k provedení Okruhu. Podrobný popis postupu uzavírání Dílčích smluv je uveden v Příloze č. 7. Dnem potvrzení objednávky, dnem marného uplynutí lhůty pro potvrzení objednávky či vyjádření nesouhlasu s objednávkou, nebo dnem doručení určení maximálního počtu člověkohodin a termínu plnění Objednatelem Poskytovateli, podle toho, který okamžik nastane dříve, dochází k uzavření dílčí smlouvy na plnění konkrétního Okruhu, za podmínek stanovených touto Smlouvou a v objednávce (dále jen „Dílčí smlouva“). Součástí každé Dílčí smlouvy jsou podmínky stanovené v této Smlouvě.

2. Splnění Dílčí smlouvy se Poskytovatel zavazuje doložit Výkazem plnění (dále jen „Výkaz“) , jehož vzor tvoří Přílohu č. 3 této Smlouvy, přičemž tento Výkaz bude vypracován a podepsán Poskytovatelem a doručen Objednateli vždy po dokončení plnění Dílčí smlouvy v souladu s termíny dle tohoto článku odstavce 3 této Smlouvy. Přílohou Výkazu bude vždy také Závěrečná zpráva dle čl. I. odst. 3. této Smlouvy. Předložení Výkazu nezbavuje Poskytovatele povinnosti zpracovat a předložit Závěrečnou zprávu.

3. Poskytovatel je povinen předložit Objednateli (i) Závěrečnou zprávu k akceptaci do 5 (slovy: pěti) pracovních dnů ode dne akceptace Předběžné zprávy Objednatelem a (ii) Výkaz k akceptaci do 5 (slovy: pěti) pracovních dnů ode dne akceptace Závěrečné zprávy Objednatelem.

4. V případě, že Výkaz (včetně jeho příloh) nebude mít dle názoru Objednatele odpovídající náležitosti stanovené touto Smlouvou, náležitosti specifikované v Dílčí smlouvě, další náležitosti obvyklé u takového Výkazu, bude mít jiné nedostatky anebo bude obsahovat vady/chyby (jak gramatické, tak metodické, tj. kvalitativní obsahové), je Objednatel oprávněn Výkaz vrátit zpět Poskytovateli k doplnění či opravě (neakceptovat), přičemž Poskytovatel je v takovém případě povinen předložit opravený Výkaz opětovně Objednateli k akceptaci do 3 (slovy: tří) pracovních dnů ode dne jeho vrácení Objednatelem, přičemž takové vrácení může probíhat opakovaně do doby úplného odstranění nedostatků Výkazu. Je-li pro vypracování bezvadného Výkazu nezbytné provést některé činnosti opakovaně, zavazuje se Poskytovatel takové činnosti provést na vlastní náklady (bezúplatně) tak, aby byl bezvadný Výkaz předložen Objednateli včas. Ustanovení tohoto článku tohoto odstavce této Smlouvy se užije obdobně na Závěrečnou zprávu a Předběžnou zprávu; v případě akceptace Předběžné zprávy dle článku I. odst. 4 písm. a) této Smlouvy se lhůty stanovené v tomto článku tohoto odstavce této Smlouvy zkracují na polovinu.

5. Objednatel je oprávněn v zadání dle odst. 1 tohoto článku této Smlouvy nebo následně při plnění Dílčí smlouvy požadovat, aby Objednatelem určená osoba byla přítomna některých nebo všech činností prováděných v rámci plnění Dílčí smlouvy a mohla tak kontrolovat průběh jejího plnění a seznamovat se s postupy plnění této Smlouvy a jednotlivých Dílčích smluv. Poskytovatel se zavazuje kontrolu plnění Dílčí smlouvy alespoň v rozsahu dle tohoto odstavce tohoto článku této Smlouvy umožnit, poskytovat informace Objednatelem určené osobě, poskytovat veškerou možnou součinnost k provedení kontroly a zajistit efektivní výkon takové kontroly.

6. Akceptací, tj. podpisem předloženého Výkazu Objednatelem, Objednatel rozsah i kvalitu plnění dle Dílčí smlouvy uznává, takové plnění se považuje za dokončené a Objednatel se zavazuje k zaplacení ceny za takto poskytnuté plnění Dílčí smlouvy. Až akceptací Výkazu včetně Závěrečné zprávy vzniká Poskytovateli právo na zaplacení ceny za příslušné plnění. Akceptací Výkazu nejsou dotčena práva Objednatele z vadného plnění.

7. Objednatel není povinen zasílat žádné objednávky a není povinen uzavřít žádnou Dílčí smlouvu. Součástí plnění Dílčí smlouvy (tj. povinnostmi Poskytovatele) jsou veškeré činnosti, které je nezbytné provést tak, aby došlo testování anebo prověrce všech rizik, a to alespoň v rozsahu a kvalitě dle OWASP Top 10 a této Smlouvy včetně jejích příloh a bylo možné vypracovat Závěrečnou zprávu alespoň v rozsahu a kvalitě dle OWASP Testing Guide v4 Open Web Application Security Project a dle této Smlouvy včetně jejích příloh.

5. Cena a platební podmínky

1. Celková cena za poskytnutí Předmětu plnění v maximálním rozsahu 4 900 člověkohodin činí [●],- Kč (slovy: [●] korun českých) bez DPH, tedy [●],- Kč (slovy: [●] korun českých) včetně DPH, výše DPH činí [●],- Kč (slovy: [●] korun českých), (dále jen „Cena“).

2. Bližší specifikace Ceny je uvedena v Příloze č. 2 této Smlouvy.

3. Ceny uvedené v Příloze č. 2 této Smlouvy jsou cenami nejvýše přípustnými a závaznými po celou dobu trvání této Smlouvy. Ceny včetně daně z přidané hodnoty uvedené v Příloze č. 2 této Smlouvy mohou být překročeny pouze v souvislosti se změnou daně z přidané hodnoty mající prokazatelný vliv na Cenu, a to pouze o výši, která této změně bude odpovídat. Z jakýchkoliv jiných důvodů nesmí být ceny v Příloze č. 2 a tudíž ani Cena překročeny.

4. Cena obsahuje veškeré náklady Poskytovatele související s poskytnutím Předmětu plnění dle této Smlouvy, včetně případných nákladů nebo souvisejících výdajů spojených s případnou přítomností Bezpečnostního specialisty anebo členů realizačního týmu v sídle Objednatele.

5. Platba za plnění dle Dílčí smlouvy bude Objednatelem provedena na základě daňového dokladu (faktury) vystaveného Poskytovatelem do 10. (slovy: desátého) dne měsíce následujícího po měsíci, v němž bylo plnění dle Dílčí smlouvy akceptováno Objednatelem znějící na počet skutečně efektivně strávených člověkohodin na plnění takové Dílčí smlouvy (do výše maximálního počtu člověkohodin sjednaného v takové Dílčí smlouvě), vynásobený cenou za jednu člověkohodinu dle této Smlouvy. Nedílnou součástí daňového dokladu (faktury) bude vždy oběma Smluvními stranami podepsaný Výkaz ve struktuře dle Přílohy č. 3 této Smlouvy. Dnem zdanitelného plnění je v takovém případě den, kdy bylo plnění konkrétní Dílčí smlouvy Objednatelem akceptováno.

6. Splatnost řádně vystaveného daňového dokladu (faktury) činí 30 (slovy: třicet) kalendářních dní ode dne jeho doručení Objednateli.

7. Daňový doklad (faktura) musí obsahovat náležitosti dle zákona č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů, a dle této Smlouvy. V případě, že daňový doklad (faktura) nebude mít odpovídající náležitosti nebo bude jinak v rozporu s touto Smlouvou či Dílčí smlouvou, je Objednatel oprávněn daňový doklad (fakturu) zaslat ve lhůtě splatnosti zpět Poskytovateli k doplnění či opravě, a to i opakovaně, aniž se tak dostane do prodlení s úhradou oprávněně fakturované ceny; lhůta splatnosti počíná běžet znovu ode dne doručení náležitě doplněného či opraveného daňového dokladu (faktury) Objednateli.

8. Není-li Poskytovatel registrovaným plátcem DPH při podpisu této Smlouvy, potom tuto daň nevyčíslí. Skutečnost, že není plátcem DPH, bude uvedena v hlavičce této Smlouvy. Smluvní strany berou na vědomí, že pokud se Poskytovatel stane plátcem DPH až po uzavření této Smlouvy, platí, že ceny uvedené v  této Smlouvě v sobě již DPH zahrnovaly. Poskytovatel je tedy povinen příslušnou část celkové ceny Předmětu plnění odvést jako DPH a nemá vůči Nabyvateli z titulu DPH nárok na další plnění nad rámec celkové ceny Předmětu plnění.

9. Cena nebo její část bude vždy hrazena bezhotovostním převodem z účtu Objednatele na účet Poskytovatele uvedený v záhlaví této Smlouvy. Platby budou probíhat výhradně v české měně (CZK) a rovněž veškeré cenové údaje budou uvedeny v této měně.

10. Platba se považuje za uhrazenou okamžikem odepsání odpovídající částky z účtu Objednatele.

11. Objednatel neposkytuje Poskytovateli jakékoliv zálohy na Cenu nebo její část.

6. Další práva a povinnosti Smluvních stran

1. Poskytovatel se zavazuje, že bude Předmět plnění poskytovat řádně, s odbornou péčí, v ujednaném čase, v ujednané kvalitě, v souladu s touto Smlouvou, Dílčími smlouvami a v souladu s obecně závaznými právními předpisy platnými a účinnými v době poskytování Předmětu plnění a dle pokynů Objednatele.

2. V případě rozporu ustanovení Dílčí smlouvy s touto Smlouvou, mají pro plnění příslušné Dílčí smlouvy přednost ustanovení takové Dílčí smlouvy.

3. Poskytovatel se zavazuje, že bude při poskytování Předmětu plnění úzce spolupracovat s Objednatelem a konzultovat veškeré zásadní nebo problematické otázky (např. součinnost s pracovníky Objednatele, prodlení na straně operátorů datového připojení), a dále, že bude bez zbytečného prodlení informovat Objednatele o vzniklých skutečnostech ovlivňujících poskytování Předmětu plnění.

4. Poskytovatel nemůže nad rámec Předmětu plnění jakýmkoli způsobem vstupovat do informačních systémů Objednatele bez jeho výslovného souhlasu, ani se o to pokoušet či vyvíjet jakoukoliv jinou činnost, kterou by byl nebo mohl být ohrožen, narušen nebo znemožněn provoz Objednatele, neudělí-li k takové činnosti Objednatel výslovný souhlas.

5. Poskytovatel se zavazuje, že bude při poskytování Předmětu plnění dodržovat aktuálně platné standardy IKT Objednatele, se kterými byl Poskytovatel seznámen, a jejichž seznam je uveden v Příloze č. 4 této Smlouvy.

6. Objednatel je povinen poskytnout Poskytovateli nezbytnou součinnost k plnění povinností Poskytovatele z této Smlouvy nebo Dílčích smluv. Požadavek na součinnost Objednatele se Poskytovatel zavazuje sdělit Objednateli vždy alespoň 5 (slovy: pět) pracovních dnů předem, přičemž součinnost Objednatele za celý Předmět plnění nepřekročí 160 člověkohodin a součinnost bude poskytována vždy v obvyklé pracovní době Objednatele, nedohodnou-li se Smluvní strany jinak. Objednatel je oprávněn součinnost odmítnout, pokud by její poskytnutí závažně narušilo jeho běžnou činnost.

7. Poskytovatel se zavazuje na žádost Objednatele a v termínu v žádosti uvedeném, který nebude kratší než 2 (slovy: dva) pracovní dny, zajistit přítomnost Bezpečnostního specialisty anebo členů realizačního týmu v sídle Objednatele nebo na jiném místě uvedeném Objednatelem v žádosti dle tohoto článku tohoto odstavce této Smlouvy.

7. Sankční ujednání a náhrada škody

1. Objednatel je oprávněn požadovat na Poskytovateli zaplacení smluvní pokuty za prodlení Poskytovatele s předložením Předběžné zprávy k akceptaci oproti termínu dohodnutému v čl. I. odst. 4. písm. a) této Smlouvy ve výši 2.000,- Kč (slovy: dva tisíce korun českých) za každou i započatou hodinu prodlení.

2. Objednatel je oprávněn požadovat na Poskytovateli zaplacení smluvní pokuty za prodlení Poskytovatele s předložením Předběžné zprávy k akceptaci oproti termínu dohodnutému v čl. I. odst. 4. písm. b) této Smlouvy ve výši 1.000,- Kč (slovy: jeden tisíc korun českých) za každý i započatý den prodlení.

3. Objednatel je oprávněn požadovat na Poskytovateli zaplacení smluvní pokuty za prodlení Poskytovatele s předložením Výkazu anebo Závěrečné zprávy k akceptaci oproti termínu dohodnutému v čl. IV. odst. 3. této Smlouvy ve výši 1.000,- Kč (slovy: jeden tisíc korun českých) za každý i započatý den prodlení.

4. Objednatel je oprávněn požadovat na Poskytovateli zaplacení smluvní pokuty v případě nedodržení lhůty pro přijetí objednávky nebo vyjádření nesouhlasu (tj. včetně přijetí návrhu, zaslání oponentního návrhu, nesouhlasu atd.), tj. porušení povinnosti zaslat příslušnou odpověď ve stanovených lhůtách, dle čl. IV. odst. 1. a Přílohy č. 7 této Smlouvy ve výši 20.000,- Kč (slovy: dvacet tisíc korun českých) za každý takový případ porušení povinnosti.

5. Objednatel je oprávněn požadovat na Poskytovateli zaplacení smluvní pokuty za prodlení Poskytovatele s opětovným předložením opraveného Výkazu anebo Závěrečné zprávy k akceptaci oproti termínu dohodnutému v čl. IV. odst. 4. této Smlouvy ve výši 2.000,- Kč (slovy: dva tisíce korun českých) za každý i započatý den prodlení.

6. Objednatel je oprávněn požadovat na Poskytovateli zaplacení smluvní pokuty za prodlení Poskytovatele s plněním Dílčí smlouvy ve výši 0,05 % z částky vypočítané jako cena za jeden člověkoden dle Přílohy č. 2 Smlouvy vynásobená maximálním počtem člověkodnů dle Dílčí smlouvy, a to za každý i započatý den prodlení.

7. Poskytovatel se zavazuje v případě porušení kteréhokoliv ze závazků uvedených v čl. IX. odst. 6, 7, 8, 9, 12, 14, 15, 16, 17 a 19 této Smlouvy zaplatit Objednateli smluvní pokutu ve výši 500.000,- Kč (slovy: pět set tisíc korun českých) za každé takové porušení.

8. Poskytovatel se zavazuje v případě porušení závazku uvedeného v čl. VI. odst. 4. této Smlouvy zaplatit Objednateli smluvní pokutu ve výši 500.000,- Kč (slovy: pět set tisíc korun českých) za každé takové porušení.

9. Uplatněním smluvní pokuty není dotčeno právo Objednatele na náhradu újmy způsobené porušením povinnosti, na kterou se smluvní pokuta vztahuje, v plném rozsahu ani povinnost Poskytovatele uhradit Objednateli jakoukoliv sankci, která bude uložena Objednateli v důsledku jednání Poskytovatele.

10. Smluvní pokuty mohou být libovolně kombinovány, tzn. uplatnění jedné smluvní pokuty, nevylučuje souběžné uplatnění jakékoliv jiné smluvní pokuty.

11. Smluvní pokuta je splatná do 30 (slovy: třiceti) dnů ode dne doručení oznámení o uložení smluvní pokuty Poskytovateli. V případě prodlení s úhradou smluvní pokuty uhradí Poskytovatel Objednateli úrok z prodlení podle nařízení vlády č. 351/2013 Sb., kterým se určuje výše úroků z prodlení a nákladů spojených s uplatněním pohledávky, určuje odměna likvidátora, likvidačního správce a člena orgánu právnické osoby jmenovaného soudem a upravují některé otázky Obchodního věstníku a veřejných rejstříků právnických a fyzických osob, v platném a účinném znění (dále jen „Nařízení“).

12. V případě prodlení s úhradou oprávněně vystaveného daňového dokladu (faktury) uhradí Objednatel Poskytovateli z nezaplacené částky úrok z prodlení ve výši určené Nařízením.

13. Poskytovatel se zavazuje, že bude mít po celou dobu trvání smluvního vztahu sjednáno pojištění odpovědnosti za škodu způsobenou Objednateli nebo třetí osobě při výkonu podnikatelské činnosti na základě této Smlouvy anebo jakékoliv Dílčí smlouvy s limitem pojistného plnění ve výši nejméně 10.000.000,- Kč (slovy: deset milionů korun českých) za rok, přičemž spoluúčast Poskytovatele nebude vyšší než 5 % (pět procent) z limitu pojistného plnění. Tuto skutečnost je Poskytovatel povinen prokázat kdykoliv po dobu trvání této Smlouvy k výzvě Objednatele tím, že doručí a předá Objednateli pojistnou smlouvu (originál či úředně ověřenou kopii) či podobný doklad o trvání pojištění (pojistku) do 7 (sedmi) kalendářních dnů od doručení této výzvy. Porušení této povinnosti bude považováno za podstatné porušení Smlouvy. Poskytovatel předložil Objednateli před podpisem této Smlouvy doklad o uzavření pojištění dle tohoto odstavce tohoto článku Smlouvy.

8. Odpovědnost za újmu

1. Objednatel je oprávněn požadovat na Poskytovateli a Poskytovatel je povinen poskytnout Objednateli náhradu újmy, kterou Poskytovatel způsobil Objednateli porušením povinností daných touto Smlouvou, Dílčími smlouvami nebo v souvislosti s plněním této Smlouvy, včetně případů, kdy se jedná o takové porušení povinnosti dané touto Smlouvou, na které se vztahuje smluvní pokuta. Jakékoliv omezení výše či druhu náhrady újmy není přípustné. Újma se hradí v penězích, případně uvedením do předešlého stavu podle volby Objednatele v každém konkrétním případě.

2. Poskytovatel se zavazuje poskytnout Předmět plnění specifikovaný v této Smlouvě řádně a včas bez faktických a právních vad.

3. Objednatel je oprávněn domáhat se náhrady újmy v plné výši, přičemž škodou se rozumí skutečná škoda a ušlý zisk a dále náklady, které musel Objednatel vynaložit v důsledku porušení povinnosti Poskytovatele.

9. Ochrana informací

1. Poskytovatel se zavazuje, že neužije informace získané v souvislosti s plněním této Smlouvy jinak než pro účely plnění této Smlouvy a Dílčích smluv a v souladu s účelem, pro který byly takové informace získány.

Předmět zpracování, kategorie subjektů údajů a typ osobních údajů

2. S ohledem na předmět této Smlouvy smluvní strany nemohou vyloučit, že Poskytovatel bude zpracovávat osobní údaje nebo zvláštní kategorie osobních údajů (citlivé údaje) (dále společně jen „osobní údaje“) obsažené v informačních systémech Objednatele či osob evidovaných v informačních systémech Objednatele (dále jen „koncoví uživatelé“). Nedílnou součástí Smlouvy je tak i ujednání o zpracování osobních údajů mezi Objednatelem jako správcem a Poskytovatelem jako zpracovatelem, uvedené níže v tomto čl. IX. této Smlouvy.

3. Podrobněji jsou předmět zpracování, kategorie subjektů údajů, typ osobních údajů a rozsah zpracování osobních údajů popsány v této Smlouvě.

Povaha, účel a prostředky zpracování

4. Poskytovatel nezpracovává osobní údaje automatizovanými prostředky za účelem plnění této Smlouvy. Podrobněji jsou povaha, účel a prostředky zpracování osobních údajů popsány v této Smlouvě.

Doba zpracování

5. Zpracování osobních údajů bude ze strany Poskytovatele probíhat po dobu účinnosti této Smlouvy. Povinnosti Poskytovatele týkající se ochrany osobních údajů se Poskytovatel zavazuje plnit po celou dobu účinnosti Smlouvy, pokud z ustanovení Smlouvy nevyplývá, že mají trvat i po zániku její účinnosti.

Obecné zásady zpracování osobních údajů

6. Poskytovatel se zavazuje dodržovat všechny povinnosti, které mu jako zpracovateli vyplývají z právních předpisů o ochraně osobních údajů, jakož i z interních předpisů Objednatele a rozhodnutí či doporučení nebo stanovisek vydaných pro Objednatele příslušným orgánem státní správy, s nimiž byl seznámen, a to včetně rozhodnutí či stanovisek nebo doporučení vydaných v budoucnu.

7. Poskytovatel v souvislosti se zpracováním osobních údajů:

1. zpracovává osobní údaje výlučně na základě pokynů Objednatele učiněných v souladu se zásadami komunikace dle této Smlouvy, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládá právo Unie nebo členského státu, které se na Objednatele vztahuje; v takovém případě Poskytovatel Objednatele informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitýc h důvodů veřejného zájmu;

2. v případě, kdy je ze strany Úřadu pro ochranu osobních údajů či jiného správního orgánu provedena kontrola zpracování osobních údajů Poskytovatelem či v případě zahájení správního řízení ze strany Úřadu pro ochranu osobních údajů či jiného správního orgánu ve vztahu k zpracování osobních údajů Poskytovatelem, oznámí tuto skutečnost okamžitě Objednateli a poskytne mu veškeré informace o průběhu a výsledcích této kontroly, resp. průběhu a výsledcích takového řízení;

3. poskytne Objednateli součinnost při komunikaci s dozorovým orgánem a dle pokynů Objednatele bude spolupracovat při přípravě odpovědí dozorovému úřadu ohledně činností prováděných Poskytovatelem;

4. nezpracovává osobní údaje získané za účelem plnění této Smlouvy pro své vlastní účely;

5. nezapojí do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení Objednatele;

6. zohledňuje povahu zpracování,

7. je Objednateli nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění Objednatelovy povinnosti reagovat na žádosti o výkon práv koncových uživatelů;

8. je Objednateli nápomocen při zajišťování souladu s povinnostmi Objednatele zajistit úroveň zabezpečení zpracování a ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu a případně též koncovým uživatelům, posuzovat vliv na ochranu osobních údajů (výstupem tohoto posouzení bude poskytnutí podkladových materiálů a vlastních odborných vyjádření) a realizovat předchozí konzultace s dozorovým úřadem, a to při zohlednění povahy zpracování a informací, jež má Poskytovatel k dispozici;

9. v souladu s rozhodnutím Objednatele všechny osobní údaje buď vymaže, nebo vrátí Objednateli, a vymaže existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů;

10. poskytne Objednateli veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku Smlouvy, a umožní audity, včetně inspekcí, prováděné Objednatelem nebo jiným auditorem, kterého Objednatel pověřil, a k těmto auditům přispěje;

11. není oprávněn osobní údaje koncových uživatelů jím zpracovávané či k nimž mu byl umožněn přístup žádným způsobem ukládat, kopírovat, tisknout, opisovat, činit z nich výpisky či opisy či je pozměňovat, pokud toto není nezbytné pro plnění jeho povinností dle této Smlouvy;

12. umožní Objednateli na vyžádání kontrolu dodržování povinností dle tohoto čl. IX. Smlouvy, zejména přístupy do prostor, v nichž jsou osobní údaje uchovávány, předložení seznamu osob s přístupem k osobním údajům či doložení, že veškeré osoby přistupující k osobním údajům splňují požadavky pověřené osoby, jak je tato definována níže;

13. umožní Objednateli přístup do informačního systému užívaného pro zpracování a k probíhajícím operacím zpracování.

8. V souvislosti se zpracováním osobních údajů vede Poskytovatel v souladu s právními předpisy o ochraně osobních údajů záznamy o všech kategoriích činností zpracování prováděných pro Objednatele, jež obsahují zejména:

1. jméno a kontaktní údaje Poskytovatele, Objednatele a případného zástupce Objednatele nebo Poskytovatele a pověřence pro ochranu osobních údajů;

2. kategorie zpracování prováděného pro Objednatele;

3. informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci; a

4. popis technických a organizačních bezpečnostních opatření.

Poskytovatel se na základě písemné výzvy Objednatele zavazuje Objednateli vedené záznamy zpřístupnit.

9. Poskytovatel zajišťuje, kontroluje a odpovídá za:

1. plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům,

2. zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování,

3. zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje a

4. opatření, která umožní určit a ověřit, komu byly osobní údaje předány.

10. Pokud Poskytovatel zjistí, že Objednatel v souvislosti s plněním této Smlouvy porušuje povinnosti podle právních předpisů o ochraně osobních údajů, je povinen jej na to neprodleně upozornit.

11. Vznikne-li Objednateli v důsledku nesplnění povinnosti Poskytovatele dle právních předpisů o ochraně osobních údajů újma (škoda i nemajetková újma), zavazuje se Poskytovatel Objednateli tuto újmu v plném rozsahu nahradit. Újmou vzniklou Objednateli se pro účely tohoto ustanovení rozumí zejména (i) náhrada újmy (škody i nemajetkové újmy) subjektům údajů ve smyslu právních předpisů o ochraně osobních údajů a (ii) pokuty uložené Úřadem pro ochranu osobních údajů či jiným správním úřadem.

12. V případě ukončení této Smlouvy je Poskytovatel povinen předat Objednateli protokolárně veškeré hmotné nosiče obsahující osobní údaje a smazat veškeré osobní údaje v elektronické podobě v jeho dispozici, neobdrží-li Poskytovatel od Objednatele písemně jiné pokyny, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů.

Zabezpečení osobních údajů

13. Poskytovatel přijal a udržuje taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.

14. Poskytovatel je povinen zajistit, že přístup k osobním údajům bude umožněn výlučně pověřeným osobám, které budou v pracovněprávním, příkazním či jiném obdobném poměru k Poskytovateli, budou předem prokazatelně seznámeny s povahou osobních údajů a rozsahem a účelem jejich zpracování a budou povinny zachovávat mlčenlivost o všech okolnostech, o nichž se dozví v souvislosti se zpřístupněním osobních údajů a jejich zpracováním (dále jen „pověřené osoby“). Splnění této povinností zajistí Poskytovatel vhodným způsobem, zejména vydáním svých vnitřních předpisů, příp. prostřednictvím zvláštních smluvních ujednání. Přístup k osobním údajům bude pověřeným osobám umožněn výlučně pro účely zpracování osobních údajů v rozsahu a za účelem stanoveným touto Smlouvou.

15. Poskytovatel dále vhodným způsobem zajistí, že pověřené osoby budou zpracovávat osobní údaje na základě smlouvy s Poskytovatelem, budou zpracovávat osobní údaje pouze za podmínek a v rozsahu Poskytovatelem stanoveném a odpovídajícím této Smlouvě uzavírané mezi Poskytovatelem a Objednatelem a právními předpisy, zejména zajistí zachování mlčenlivosti o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, a to i pro dobu po skončení zaměstnání nebo příslušných prací pověřených osob.

Poskytovatel přijal a udržuje zejména následující opatření k zajištění úrovně zabezpečení:

1. pořizování elektronických záznamů, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány;

2. zabránění neoprávněnému přístupu k datovým nosičům;

3. schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování – zavedená opatření a jejich korektní fungování budou pravidelně kontrolovány;

4. proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování;

5. šifrovaný přenos dat prostřednictvím IT technologií;

6. přístup k osobním údajům mají pouze pověřené osoby Poskytovatele;

7. servery s osobními údaji jsou adekvátně zabezpečeny; a

8. zálohy dat se provádějí do jiné lokality šifrovaným přenosem a přístup k nim mají pouze pověřené osoby Poskytovatele.

1. Při zpracování osobních údajů budou osobní údaje uchovávány výlučně na zabezpečených serverech nebo na zabezpečených nosičích dat, jedná-li se o osobní údaje v elektronické podobě.

17. Poskytovatel se zavazuje na písemnou žádost Objednatele přijmout v přiměřené lhůtě stanovené Objednatelem další záruky za účelem technického a organizačního zabezpečení osobních údajů, zejména přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům.

18. V případě zjištění porušení záruk dle odst. 5 tohoto článku IX. Xxxxxxx je Poskytovatel povinen zajistit stav odpovídající zárukám neprodleně poté, co zjistí, že záruky porušuje, nejpozději však do 3 pracovních dnů poté, co je k tomu Objednatelem vyzván.

19. V případě, že Poskytovatel zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu, nejpozději do 24 hodin, Objednateli.

10. Ukončení Smlouvy

1. Tato Smlouva může být ukončena vzájemnou dohodou Smluvních stran. Tato dohoda musí být písemná a podepsaná oprávněnými zástupci obou Smluvních stran, jinak je neplatná.

2. Objednatel je oprávněn od této Smlouvy odstoupit v souladu s ustanovením § 2001 a násl. Občanského zákoníku. Odstoupení od této Smlouvy je možné v důsledku, mimo jiné, podstatného porušení Smlouvy Poskytovatelem. Podstatným porušením této Smlouvy je zejména porušení povinností ve smyslu ustanovení § 2002 Občanského zákoníku Poskytovatelem a dále zejména ze strany Poskytovatele opakované nedodání Okruhu řádně nebo včas, předložení Předběžné zprávy k akceptaci v prodlení delším, než 24 (slovy: dvacetčtyři) hodin v případě čl. I. odst. 4 písm. a) této Smlouvy, a než 48 (slovy: čtyřicetosm) hodin v případě čl. I. odst. 4. písm. b) této Smlouvy, porušení povinností dle čl. IX. odst. 6, 7, 8, 9, 12, 14, 15, 16, 17 a 19 této Smlouvy, opakované nebo soustavné porušování povinností, změna poddodavatele nebo člena realizačního týmu v rozporu s postupem dle článku XI. této Smlouvy. Odstoupením od této Smlouvy se závazek zrušuje ke dni doručení odstoupení Poskytovateli.

3. Jednostranné ukončení této Smlouvy nebo skončení trvání Smlouvy z jiného důvodu se nedotýká práva na zaplacení smluvní pokuty nebo úroku z prodlení pokud již dospěl, práva na náhradu újmy vzniklé z porušení smluvní povinnosti ani ujednání, které má vzhledem ke své povaze zavazovat Smluvní strany i po odstoupení od této Smlouvy, například ujednání o smluvních pokutách, ujednání o způsobu řešení sporů dle ustanovení § 2005 Občanského zákoníku, článek IX. o ochraně informací, tento odstavec tohoto článku Smlouvy, apod.

4. Objednatel je oprávněn od jakékoliv Dílčí smlouvy odstoupit i bez udání důvodu, a to do dne prokazatelného zahájení předmětu jejího plnění. V případě ukončení Smlouvy zanikají rovněž jednotlivé Dílčí smlouvy, ledaže Objednatel sdělí Poskytovateli, že trvá na splnění konkrétních Dílčích smluv; práva a povinnosti Smluvních stran se při plnění takových Dílčích smluv nadále řídí touto Smlouvou.

11. Poddodavatelé a členové realizačního týmu

1. Poskytovatel nese plnou odpovědnost za plnění prováděná poddodavatelem se všemi z toho plynoucími důsledky tak, jako by plnil sám.

2. Poskytovatel smí po předchozím souhlasu Objednatele změnit poddodavatele pro provedení části Předmětu plnění dle této Smlouvy. To platí rovněž pro změnu poddodavatele, prostřednictvím kterého Poskytovatel v zadávacím řízení prokazoval kvalifikaci. Takový poddodavatel může být nahrazen pouze poddodavatelem, který se prokáže stejnou nebo vyšší kvalifikací ve vztahu k předmětu příslušné poddodávky, jako poddodavatel původní.

3. Přehled poddodavatelů Poskytovatele, včetně konkrétních částí Předmětu plnění, které bude Poskytovatel prostřednictvím poddodavatelů poskytovat, je uveden v Příloze č. 5 této Smlouvy.

4. Poskytovatel se zavazuje plnit Předmět plnění prostřednictvím členů realizačního týmu uvedených v Příloze č. 6 této Smlouvy. Členové realizačního týmu mohou být měněni pouze po předchozím souhlasu Objednatele. Člen realizačního týmu, který má nahradit původního člena, může být nahrazen pouze osobou se stejnou nebo vyšší kvalifikací ve vztahu k Předmětu plnění, jako původní (nahrazovaný) člen realizačního týmu.

12. Licence

1. Vzhledem k tomu, že součástí výstupů plnění Poskytovatele dle této Smlouvy je i plnění, které může naplňovat znaky autorského díla ve smyslu zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů (dále jen „Autorský zákon“), je k těmto výstupům plnění Poskytovatele poskytována licence za podmínek sjednaných dále v tomto článku této Smlouvy a to ode dne jejich předání Objednateli.

2. Objednatel je oprávněn veškeré výstupy provádění Předmětu plnění, zejména Závěrečné zprávy, považované za autorské dílo ve smyslu Autorského zákona (dále jen „Autorská díla“) užít dle níže uvedených podmínek: Objednatel je oprávněn od okamžiku účinnosti poskytnutí licence k Autorskému dílu toto Autorské dílo užít k jakémukoliv účelu, v neomezeném množstevním a územním rozsahu, a to všemi známými způsoby užití a s časovým rozsahem omezeným pouze dobou trvání majetkových autorských práv k takovémuto Autorskému dílu. Součástí licence je neomezené oprávnění Objednatele provádět jakékoliv modifikace, úpravy, změny Autorského díla a dle svého uvážení do něj zasahovat, zapracovávat ho do dalších Autorských děl, zařazovat ho do děl souborných či do databází apod., a to i prostřednictvím třetích osob. Objednatel je bez potřeby jakéhokoliv dalšího svolení Poskytovatele oprávněn udělit třetí osobě podlicenci k užití Autorského díla nebo svoje oprávnění k užití Autorského díla třetí osobě postoupit. Licence k Autorskému dílu je poskytována jako výhradní, výlučná a neomezená. Objednatel není povinen licenci využít. Objednatel ode dne nabytí této licence k Autorskému dílu poskytuje Poskytovateli na dobu trvání této Smlouvy licenci k užití Autorského díla v rozsahu nezbytném pro řádné plnění jeho povinností z této Smlouvy.

3. Smluvní strany výslovně prohlašují, že pokud při plnění této Smlouvy vznikne činností Poskytovatele a Objednatele dílo spoluautorů a nedohodnou-li se Smluvní strany výslovně jinak, bude se mít za to, že je Objednatel oprávněn vykonávat majetková autorská práva k dílu spoluautorů tak, jako by byl jejich výlučným vykonavatelem a že Poskytovatel udělil Objednateli souhlas k jakékoliv změně nebo jinému zásahu do díla spoluautorů.

4. K veškerým databázím ve smyslu § 88 Autorského zákona (dále jen „Databáze“), které vznikly při plnění této Smlouvy a jednotlivých Dílčích smluv, je Objednatel v postavení pořizovatele takové Databáze ve smyslu § 89 Autorského zákona. V ostatních případech Poskytovatel tímto dále Objednateli uděluje právo vytěžovat a zužitkovat veškeré výstupy plnění Předmětu plnění Poskytovatele považované za Databáze za podmínek sjednaných pro poskytnutí licence k Autorským dílům.

5. Odměna za poskytnutí licence k Autorským dílům, vytvoření Databáze a práva vytěžovat a zužitkovat Databáze dle tohoto článku této Smlouvy je zahrnuta v Ceně; bylo-li by z jakéhokoli důvodu třeba určit podrobněji výši odměny za licence a výši odměny za právo vytěžovat a zužitkovat Databáze, a není-li možné výši odměny určit jiným způsobem, pak se Smluvní strany dohodly, že výše odměny tvoří 5 % z Ceny.

13. Závěrečná ujednání

1. Tato Xxxxxxx nabývá platnosti dnem jejího podpisu oběma Smluvními stranami a účinnosti dnem zveřejnění v registru smluv dle ZRS (jak je tento pojem definován níže) Objednatelem a uzavírá se na dobu určitou, a to do doby vyčerpání maximálního počtu člověkohodin, nejdéle však na dobu 48 měsíců ode dne nabytí účinnosti Smlouvy.

2. V souvislosti s aplikací zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv), ve znění pozdějších předpisů (dále jen „ZRS“) se Smluvní strany dohodly na následujícím:

1. Smlouva neobsahuje obchodní tajemství žádné ze Smluvních stran a je včetně jejích příloh způsobilá ke zveřejnění v registru smluv ve smyslu ZRS a Smluvní strany se zveřejněním Smlouvy, včetně jejích příloh, souhlasí,

2. Objednatel v souladu s ustanovením § 5 odst. 2 ZRS zašle správci registru smluv elektronický obraz Smlouvy a jejích příloh a metadata vyžadovaná ZRS,

Ustanovení se obdobně uplatní na jednotlivé Dílčí smlouvy v ZRS požadovaném rozsahu.

3. Smluvní strany potvrzují, že jsou za ně oprávněni jednat:

Ve věcech smluvních:

za Poskytovatele: [●], tel: [●], email: [●],

za Objednatele: Xxx. Xxxxx Xxxxxxx, ředitel sekce IKT, xxxxx.xxxxxxx@xxxx.xx, tel.: 000 00 000

Ve věcech věcného plnění:

za Poskytovatele: [●], tel: [●], email: [●],

za Objednatele: Xx. Xxxx Xxxxxx, vedoucí oddělení bezpečnosti IKT, xxxx.xxxxxx@xxxx.xx, tel.: 000 000 000

4. Smluvní strany jsou oprávněny změnit výše uvedené oprávněné osoby, jsou však povinny na takovou změnu písemně upozornit druhou Smluvní stranu, a to bez zbytečného odkladu. Taková změna nabývá účinnosti okamžikem, kdy je druhé Smluvní straně doručeno písemné upozornění o změně, přičemž o provedení změny dle tohoto odstavce tohoto článku Smlouvy není nezbytné sepisovat dodatek ke Smlouvě. Všechny dokumenty mající vztah k plnění dle této Smlouvy budou vždy podepsány oprávněnými osobami Smluvních stran nebo jejich pověřenými zástupci, není-li v této Smlouvě stanoveno výslovně jinak.

5. Poskytovatel (včetně případných poddodavatelů) souhlasí s tím, aby subjekty oprávněné dle zákona č. 320/2001 Sb., o finanční kontrole ve veřejné správě a o změně některých zákonů (zákon o finanční kontrole), ve znění pozdějších předpisů, provedly finanční kontrolu závazkového vztahu vyplývajícího ze Smlouvy s tím, že se Poskytovatel podrobí této kontrole, a bude působit jako osoba povinná ve smyslu ustanovení § 2 písm. e) uvedeného zákona.

6. Všechna oznámení mezi Smluvními stranami, která se vztahují k této Smlouvě nebo která mají být učiněna na základě této Smlouvy, musí být učiněna písemně a druhé Smluvní straně doručena buď doporučeným dopisem na adresu uvedenou v záhlaví této Smlouvy, nebo prostřednictvím datové schránky, není-li v této Smlouvě stanoveno nebo mezi Smluvními stranami dohodnuto jinak.

7. Poskytovatel výslovně uvádí, že přebírá nebezpečí změny okolností ve smyslu ustanovení § 1765 odst. 2 a § 2620 odst. 2 (je-li to aplikovatelné) Občanského zákoníku.

8. Smluvní strany se dohodly, že se pro účely této Smlouvy nepoužije ustanovení § 2050 Občanského zákoníku.

9. Poskytovatel se zavazuje, bude-li nezbytná přítomnost zaměstnanců nebo poddodavatelů Poskytovatele v sídle Objednatele, že bude dodržovat závazné platné normy bezpečnosti a ochrany zdraví při práci a vnitřní předpisy Objednatele, se kterými jej Objednatel seznámí, bude se řídit pokyny Objednatele v souvislosti s pohybem osob v rámci budov Objednatele a dále nebude narušovat provoz Objednatele.

10. Případné spory vzniklé z této Smlouvy se Smluvní strany zavazují nejprve vyřešit dohodou. Pokud se Smluvní strany nedohodnout, bude spor řešen před věcně a místně příslušným obecným soudem České republiky dle sídla Objednatele. Rozhodčí řízení je vyloučeno.

11. Ve věcech touto Smlouvou neupravených se tato Smlouva řídí příslušnými ustanoveními Občanského zákoníku. Obchodní zvyklosti nemají přednost před ustanoveními Občanského zákoníku a to ani těmi, které nemají donucující charakter. Na plnění této Smlouvy a Dílčích smluv se nevztahují žádné všeobecné či obdobné obchodní podmínky Poskytovatele. Poskytovatel prohlašuje, že se podrobně seznámil s povinnostmi, které mu vyplývají z této Smlouvy a s důsledky, které způsobí jejich případné nesplnění. V tomto kontextu Smluvní strany výslovně vylučují aplikaci úpravy obsažené v ustanovení § 1799 a § 1800 Občanského zákoníku na tuto Smlouvu a jednotlivé Dílčí smlouvy.

12. Stane-li se některé z ustanovení této Smlouvy zdánlivé, neplatné nebo neúčinné, nebude to mít vliv na platnost a účinnost ustanovení ostatních a na platnost a účinnost této Smlouvy jakožto celku. Zdánlivé, neplatné nebo neúčinné ustanovení bude nahrazeno po vzájemné dohodě Smluvních stran takovým ustanovením, které bude odpovídat svým účinkem co nejblíže původnímu záměru a účelu neplatného či neúčinného ustanovení v ekonomickém i právním smyslu.

13. Tato Smlouva (s výjimkou změny dle čl. XIII. odst. 4 této Smlouvy) může být měněna pouze na základě dohody Smluvních stran, a to ve formě písemně vyhotoveného a vzestupně číslovaného dodatku podepsaného Smluvními stranami. Podpisem Smluvních stran se dodatek stává nedílnou součástí této Smlouvy.

14. Smluvní strany se dohodly na tom, že Poskytovatel není oprávněn činit jednostranná započtení svých pohledávek vzniklých na základě této Smlouvy či v souvislosti s ní vůči jakýmkoli pohledávkám Objednatele.

15. Poskytovatel není bez písemného souhlasu Objednatele oprávněn postoupit práva (včetně pohledávek) ze smluvního vztahu založeného touto Smlouvou na třetí osobu.

16. Tato Smlouva je vyhotovena v 5 (slovy: pěti) stejnopisech, kdy každý z nich má platnost originálu. Z toho 3 (slovy: tři) stejnopisy obdrží Objednatel a 2 (slovy: dva) stejnopisy obdrží Poskytovatel.

17. Součástí této Smlouvy jsou níže uvedené Přílohy:

Příloha č. 1 – Specifikace Předmětu plnění

Příloha č. 2 - Specifikace ceny Předmětu plnění

Příloha č. 3 – Výkaz plnění vzor

Příloha č. 4 - Seznam aktuálně platných standardů IKT Objednatele

Příloha č. 5 - Přehled poddodavatelů [●]; v případě, že nebude plněno prostřednictvím poddodavatelů, uvede uchazeč - Poskytovatel v této příloze počet poddodavatelů 0]

Příloha č. 6 – Realizační tým Poskytovatele

Příloha č. 7 - Podrobný popis způsobů uzavírání Dílčích smluv

Příloha č. 8 – Vzor Autorizačního dopisu

18. Smluvní strany prohlašují, že si tuto Smlouvu před jejím podpisem přečetly, a že byla uzavřena podle jejich pravé a svobodné vůle. Na důkaz výše uvedeného připojují Smluvní strany své podpisy.

V Praze dne: V [●] dne:

Za Objednatele: Za Poskytovatele:

……………………………………… ………………………………………

Xxx. Xxxxx Xxxxxxx [●]

ředitel sekce informačních titul, jméno, příjmení, funkce

a komunikačních technologií

Příloha č. 1

Specifikace Předmětu plnění

1. Specifikace předmětu plnění

1. Objednatel, který je správcem informačního systému kritické informační infrastruktury podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), v platném znění, požaduje (a Poskytovatel je povinen provést) poskytování komplexní služby penetračního testování a bezpečnostní prověrku infrastruktury IIS ČSSZ.

2. Prováděné penetrační testy musí být Poskytovatelem navrženy jako potenciálně nedestruktivní. Pokud budou některé úkony v prováděných testech potenciálně destruktivní, je Poskytovatel povinen tyto úkony nechat předběžně odsouhlasit Objednatelem a doporučit mu vhodná opatření či jiné kroky pro zamezení vzniku jakékoliv újmy.

3. Prvotní penetrační test musí mimo využití automatizovaného penetračního testu umožňovat i manuální otestování a ověření kritických zranitelností.

4. Prvotní penetrační test bude zahrnovat minimálně následujících úkony, které budou popsány v Závěrečné zprávě:

• seznámení se s IIS ČSSZ a jeho architekturou, získání informací o cílovém systému, jejich identifikace a analýza apod.,

• zmapování zranitelností – identifikace možných slabin a zranitelností aplikací a prostředí, ve kterém jsou provozovány, dle metodiky u webových aplikací OWASP, případně i podle jiné metodiky, kterou Objednatel, nebo Poskytovatel po dohodě s Objednatelem, používá,

• využití zranitelností – pokus o získání přístupu pomocí dříve identifikovaných zranitelností s cílem získat uživatelský nebo administrátorský přístup do aplikace nebo operačního systému, neoprávněné získání dat, modifikaci či poškození dat.

5. Následné penetrační testy se provádějí s cílem potvrdit nebo vyvrátit, že dříve nalezená zranitelnost byla odstraněna.

5. Následný penetrační test bude prováděn ve stejném rozsahu jako Prvotní penetrační test, pouze s tím rozdílem, že je u Poskytovatele předpokládána znalost testované aplikace z předchozího testování.

5. Bezpečnostní prověrka infrastruktury prvků IIS ČSSZ se týká následujících částí:

• aktivních síťových prvků,

• databází,

• interních aplikací,

• provozovaných operačních systémů.

5. Hlavním cílem bezpečnostní prověrky infrastruktury prvků IIS ČSSZ je posouzení vybraných prvků v kontextu s doporučeními organizací zabývajících se bezpečnosti informačních technologií (IETF, CVE, CIS apod.).

6. Poskytovatel identifikuje klíčové prvky v rámci IIS ČSSZ a navrhne doporučení ke zvýšení bezpečnosti.

5. Bezpečnostní prověrka infrastruktury prvků IIS ČSSZ posoudí stávající infrastrukturu, nebo její část, z pohledu bezpečnosti a doporučí odpovídající nastavení jednotlivých systémů a prvků infrastruktury tak, aby byla v souladu s doporučením výrobců a předních organizací, které se zabývají bezpečností informací.

5. Součástí Závěrečné zprávy o bezpečnostní prověrce infrastruktury prvků IIS ČSSZ bude hodnocení rizik dle Přílohy 2 Vyhlášky č. 316/2014 Sb.

2. Penetrační testy popis

Poskytovatel předložil závazný vzorový výstup prvotního penetračního testu webové aplikace.

Poskytovatel předložil závazný vzorový postup při provádění penetračních testů.

Poskytovatel předložil závazné vzorové hodnocení rizik prvotních penetračních testů v souladu s Vyhláškou č. 316/2014 Sb.

Vzorový výstup:

[doplní účastník]

3. Bezpečnostní prověrka prvků IIS ČSSZ popis

Poskytovatel předložil závazný vzorový výstup bezpečnostní prověrky infrastruktury.

Poskytovatel předložil závazné vzorové hodnocení rizik bezpečnostní prověrky infrastruktury v souladu s Vyhláškou č. 316/2014 Sb.

Vzorový výstup:

[doplní účastník]

4. Povinnosti Poskytovatele

Poskytovatel se zavazuje po celou dobu trvání Smlouvy plnit Předmět plnění v souladu a alespoň ve stejné nebo vyšší  kvalitě popisů penetračních testů a bezpečnostní prověrky uvedených v článcích 2. a 3. této Přílohy č. 1 této Smlouvy a poskytovat Objednateli součinnost alespoň v rozsahu uvedeném v článku 6. této Přílohy č. 1 této Smlouvy.

5. Součinnost ze strany Objednatele

Pro potřeby koordinace činnosti a poskytování odpovídajících informací bude na straně Objednatele ustanovena kontaktní osoba, která bude za spolupráci s dodavatelem odpovědná. S kontaktní osobou je Poskytovatel povinen v potřebném rozsahu spolupracovat a s touto osobou upřesnit všechny detaily spojené s obsahem a způsobem realizace Předmětu plnění. Tato osoba bude zajišťovat konzultace a zpřístupnění informací a dokumentů, které jsou pro provádění jednotlivých částí Předmětu plnění nezbytné.

6. Součinnost ze strany Poskytovatele

[doplní Účastník]

Příloha č. 2

_{Specifikace ceny Předmětu plnění}

Poskytovatel se zavazuje poskytovat Objednateli Předmět plnění dle této Smlouvy za ceny uvedené v následujícím přehledu:

Počet člověkohodin	Cena v Kč (bez DPH)	Cena v Kč (vč. DPH 21 %)
1 člověkohodina poskytování Předmětu plnění	[doplní účastník dle nabídky]	[doplní účastník dle nabídky]
4 900 člověkohodin poskytování Předmětu plnění	[doplní účastník dle nabídky]	[doplní účastníkdle nabídky]

Výše uvedený počet 4 900 člověkohodin je pro tuto Smlouvu maximální a nepřekročitelný a Objednatel není povinen tento počet člověkohodin za dobu trvání této Smlouvy zcela vyčerpat. Objednatel tedy není povinen uhradit Poskytovateli za poskytování Předmětu plnění dle této Smlouvy celkovou maximální Cenu Předmětu plnění, nýbrž pouze cenu za skutečně poskytnutý Předmět plnění v podobě počtu člověkohodin strávených pracovníky Poskytovatele poskytováním Předmětu plnění. Člověkohodinou se rozumí 60 minut práce jednoho člověka skutečně provedené na plnění Předmětu plnění.

Příloha č. 3

Výkaz plnění - vzor

(k Rámcové dohodě na zajištění penetračních testů a bezpečnostních prověrek  integrovaného informačního systému ČSSZs obchodní společností [doplní účastník])

Výkaz za období…………………………

Příloha k faktuře č. ……

ID	Služba	Člověkohodiny (ČH)			Cena celkem (bez DPH)	Cena celkem (vč. DPH 21%)
		Počet ČH	Cena za 1 ČH (bez DPH)	Cena za 1 ČH (vč. DPH 21% DPH)
A	Externí penetrační testování - prvotní externí penetrační testování	[doplní Poskytovatel dle skutečně odpracovaných hodin]	[doplní Poskytovatel dle Přílohy č. 2] Kč	[doplní Poskytovatel dle Přílohy č. 2] Kč	[doplní Poskytovatel dle Přílohy č. 2] Kč	[doplní Poskytovatel dle Přílohy č. 2] Kč
B	Externí penetrační testování - následné externí penetrační testování	[doplní Poskytovatel dle skutečně odpracovaných hodin]	[doplní Poskytovatel dle Přílohy č. 2] Kč	[doplní Poskytovatel dle Přílohy č. 2] Kč	[doplní Poskytovatel dle Přílohy č. 2] Kč	[doplní Poskytovatel dle Přílohy č. 2] Kč
C	Interní penetrační testování - prvotní interní penetrační testování	[doplní Poskytovatel dle skutečně odpracovaných hodin]	[doplní Poskytovatel dle Přílohy č. 2] Kč	[doplní Poskytovatel dle Přílohy č. 2] Kč	[doplní Poskytovatel dle Přílohy č. 2] Kč	[doplní Poskytovatel dle Přílohy č. 2] Kč
D	Interní penetrační testování - následné interní penetrační testování	[doplní Poskytovatel dle skutečně odpracovaných hodin]	[doplní Poskytovatel dle Přílohy č. 2] Kč	[doplní Poskytovatel dle Přílohy č. 2] Kč	[doplní Poskytovatel dle Přílohy č. 2] Kč	[doplní Poskytovatel dle Přílohy č. 2] Kč
E	Bezpečnostní prověrka infrastruktury IIS ČSSZ	[doplní Poskytovatel dle skutečně odpracovaných hodin]	[doplní Poskytovatel dle Přílohy č. 2] Kč	[doplní Poskytovatel dle Přílohy č. 2] Kč	[doplní Poskytovatel dle Přílohy č. 2] Kč	[doplní Poskytovatel dle Přílohy č. 2] Kč
F	Vyhotovení Závěrečné zprávy	[doplní Poskytovatel dle skutečně odpracovaných hodin]	[doplní Poskytovatel dle Přílohy č. 2] Kč	[doplní Poskytovatel dle Přílohy č. 2] Kč	[doplní Poskytovatel dle Přílohy č. 2] Kč	[doplní Poskytovatel dle Přílohy č. 2] Kč
G	Konzultační činnost Bezpečnostního specialisty k Závěrečné zprávě	[doplní Poskytovatel dle skutečně odpracovaných hodin]	[doplní Poskytovatel dle Přílohy č. 2] Kč	[doplní Poskytovatel dle Přílohy č. 2] Kč	[doplní Poskytovatel dle Přílohy č. 2] Kč	[doplní Poskytovatel dle Přílohy č. 2] Kč
Celkem:		[doplní Poskytovatel dle skutečně odpracovaných hodin, max. dle Dílčí smlouvy]	x	x	[doplní Poskytovatel dle Přílohy č. 2] Kč	[doplní Poskytovatel dle Přílohy č. 2] Kč

Za Poskytovatele [doplní účastník]:

Xxxxx a příjmení: ……………………………

Podpis: ………….……….………

V Praze dne: ……………………….….

Za Objednatele Českou Republiku – Českou správu sociálního zabezpečení akceptoval:

Jméno a příjmení: Xx. Xxxx Xxxxxx

Podpis: ………….……….….……

V Praze dne: ………….……….….……

Příloha č. 4

Seznam aktuálně platných standardů IKT Objednatele

Xxxxx	Xxxxx souboru	Název dokumentu	Verze
	std_db_20151113_v0.97.doc	Standard databází	0.97
	std_inet_1_12.doc	Standard připojení k Internetu	1.12
	std_pošta_1_01.pdf	Standard poštovního systému ČSSZ	1.01
	std_AD_DNS_DHCP_NTP_2.05.pdf	Standard AD DNS DHCP	2.05
	std_AVO1_11.doc	Standard Antivirové ochrany	1.11
	Standard systémové konfig. pracovní stanice 2.20	Standard systémové konfigurace pracovní stanice	2.20
	Std_mgmt_v.0.54.doc	Standard Management	0.54
	std_metodikavyvoje_apv_1_0_20.pdf	Standard metodiky vývoje	1_0_20
	std_pravidlareleasemanagementu_apv_1_2_7.pdf	Standard Release managementu	1_2_7
	std_net_1-95.docx	Standard síťové infrastruktury	1.95
	Programátorské konvence .NET 2.0 - 4.5_v1_0_19.pdf	Programátorské konvence .NET	1_0_19
	BizTalkDevelopmentStandard.v2.01.pdf	Standard pro tvorbu aplikací pro Microsoft BizTalk server	2.01
	AAA_Pozadavky_na_aplikace_v9.02	Požadavky na nové aplikace při integraci do AAA portálu	9.02
	Standard_pro_tvorbu_skriptu_db_Oracle_0.4.pdf	Standard pro tvorbu, předávání a spouštění skriptů v databázích Oracle	0.4
	Standard API rozhraní systému DMA - CSSZ_DMS_WS_API_DMA_v3_6.pdf	API ROZHRANÍ SYSTÉMU DMA: WS_API_DMA - Standard rozhraní pro ukládání dokumentů do DMS	3.6
	CSSZ_DU_STD_V_1.12.doc	Standard provozu databáze Oracle	1.12
	std_srv_0.41.doc	Standard systémové konfigurace aplikačních serverů verze	0.41
	std_PKI_v2.pdf	Standard pro PKI	2.0
	Standard Komunikace SD s exter firm v1_00	Standard komunikace Servicedesku s externími firmami	1.00
S6.1.	Standard Připravenost IIS ČSSZ na otevřená data.pdf	Standard Připravenost IIS ČSSZ na otevřená data	0.4
S6.2.	Standard Tvorba IRI RDF zdrojů.pdf	Standard Tvorba IRI RDF zdrojů	0.2
S6.3.	Standard Využívání KE.pdf	Standard využívání kmenových evidencí	0.4
S6.4.	Standard Využívání datového katalogu.pdf	Standard využívání datového katalogu	0.4
S6.5.	Standard Číselníky ČSSZ.pdf	Standard Číselníky ČSSZ	0.5

Příloha č. 6

Realizační tým Poskytovatele

[Xxxxx a příjmení Bezpečnostního specialisty – doplní účastník]	Pozice: Bezpečnostní specialista
	Délka praxe: [délka relevantní praxe- doplní účastník]
	Certifikace: ANO
	Certifikát: [doplní účastník název certifikátu, případně více certifikátů]
[Xxxxx a příjmení člena týmu – doplní účastník]	Pozice: [Pozice člena týmu - doplní účastník]
	Délka praxe: [délka relevantní praxe- doplní účastník]
	Poddodavatel: [ANO/NE – doplní účastník]
[Xxxxx a příjmení člena týmu – doplní účastník]	Pozice: [Pozice člena týmu - doplní účastník]
	Délka praxe: [délka relevantní praxe- doplní účastník]
	Poddodavatel: [ANO/NE – doplní účastník]

Poskytovatel uvede takový počet buněk tabulky výše, kolik je členů realizačního týmu Poskytovatele, minimálně však 3 osoby.

Příloha č. 7

Podrobný popis způsobů uzavírání Dílčích smluv

Postup Smluvních stran

1. V souladu se Smlouvou, jejíž přílohou je tento dokument, se Smluvní strany zavazují provádět jakékoliv dílčí plnění Předmětu plnění dle Smlouvy výhradně na základě Dílčích smluv uzavřených v souladu a na základě objednávek (výzev) Objednatele uzavíraných způsobem blíže specifikovaným níže a dále v článku IV. Smlouvy.

2. Pojmy s počátečním velkým písmenem mají stejný význam, jako ve Smlouvě, není-li výslovně uvedeno jinak.

3. Pro zamezení pochybnostem Objednatel není povinen uzavřít žádnou Dílčí smlouvu a je oprávněn jednání o jejím uzavření kdykoliv ukončit a to i bez udání důvodu.

Způsob uzavírání Dílčích smluv

1. Objednatel zašle Poskytovateli výzvu k uzavření Dílčí smlouvy včetně písemného návrhu Dílčí smlouvy v souladu a v termínu dle článku IV. Smlouvy, a uvede případně další relevantní skutečnosti, s nimiž by měl být Poskytovatel seznámen před zahájením poskytování plnění na základě Dílčí smlouvy.

2. Poskytovatel je povinen návrh Dílčí smlouvy dle tohoto článku této Přílohy č. 7 do 10 (slovy: deseti) pracovních dnů od odeslání Objednatelem písemně potvrdit, nebo v případě, že Poskytovatel s návrhem nesouhlasí, je povinen ve stejné lhůtě doručit Objednateli svůj nesouhlas spolu s jím vypracovaným oponentním návrhem Dílčí smlouvy (v rozsahu počtu člověkohodin či termínu plnění). Za potvrzení návrhu Objednatele se považuje doručení podepsaného návrhu Dílčí smlouvy Poskytovatelem Objednateli. V případě, že Poskytovatel návrh nepotvrdí, ani neprojeví svůj nesouhlas dle tohoto článku tohoto odstavce Přílohy č. 7, platí, že návrh přijímá.

3. Objednatel na základě nesouhlasu Poskytovatele s návrhem posoudí Poskytovatelův oponentní návrh, přičemž při svém rozhodování může přihlédnout k obvyklé pracnosti v podobných případech; Objednatel doručí Poskytovateli reakci na oponentní návrh a Poskytovatel je povinen ve lhůtě dle odstavce 2 tohoto článku této Přílohy č. 7 doručit Objednateli přijetí reakce nebo nesouhlas. Protinávrh Objednatele na nesouhlas Poskytovatele se zněním reakce je závazný pro obě Smluvní strany. Objednatel bezodkladně po uzavření Dílčí smlouvy zašle Poskytovateli vyplněný a podepsaný Autorizační dopis, v němž Objednatel vyplní části uvedené v Příloze č. 8 vyznačené k doplnění Objednatelem.

4. Poskytovatel zašle Objednateli alespoň 4 (slovy: čtyři) pracovní dny před zahájením plnění dle Dílčí smlouvy vyplněný Autorizační dopis, v němž Poskytovatel vyplní části uvedené v Příloze č. 8 vyznačené k doplnění Poskytovatelem a podepíše jej, přičemž nebude provádět změny v Autorizačním dopise v částech vyplněných Objednatelem. Obsah Autorizačního dopisu lze před zahájením plnění na základě dohody Smluvních stran změnit, nikoliv však v rozporu s Dílčí smlouvou a takto také nelze změnit Dílčí smlouvu. V případě rozporů v obsahu Autorizačního dopisu má přednost obsah vyplněný Objednatelem.

5. Návrh, oponentní návrh, protinávrh, reakce, nesouhlas, Autorizační dopis, včetně dalších informací, výkazů, souhlasů či rozhodnutí dle  tohoto článku této Přílohy č. 7, bude Smluvním stranám zasílán písemně na adresu uvedenou v záhlaví Smlouvy k rukám osoby oprávněné jednat ve věcech smluvních za konkrétní Smluvní stranu vlastnoručně podepsaný osobou oprávněnou jednat ve věcech smluvních za druhou Smluvní stranu.

6. Poskytovatel se zavazuje zahájit realizaci plnění Dílčí smlouvy neprodleně po uzavření Dílčí smlouvy na základě výzvy a návrhu Dílčí smlouvy dle tohoto článku této Přílohy č. 7, není-li v takové Dílčí smlouvě uzavřené postupem dle tohoto článku této Přílohy č. 7 stanoven jiný termín realizace.

7. Lhůty dle tohoto článku této Přílohy č. 7 lze po dohodě Smluvních stran prodloužit, a to zejména s ohledem na objektivní složitost požadovaného plnění v konkrétním případě, anebo pokud Poskytovateli brání v potvrzení návrhu vážné důvody, které není schopen objektivně překonat. Má-li prodloužení termínů dle tohoto odstavce tohoto článku této Přílohy č. 7 přímý vliv na jiné termíny uvedené ve Smlouvě či Příloze č. 7, prodlužují se takové termíny automaticky o dohodnutý počet dnů, a to pouze ve vztahu k Dílčí smlouvě, které se přímo týkají. V případě, k dohodě Smluvních stran dle první věty tohoto odstavce nedojde, platí termíny dle této Smlouvy.

8. Ustanovení článku IV. včetně článku VII. odst. 4 Smlouvy týkající se objednávky Objednatele a dalších jednání dle článku 1 této Přílohy č. 7 se na návrh Dílčí smlouvy a reakci na oponentní návrh dle tohoto článku této Přílohy č. 7 vztahují obdobně.

Příloha č. 8

Vzor Autorizačního dopisu

Pro	[Jméno a příjmení – doplní Objednatel] [Pozice – doplní Objednatel] Objednatel	Datum	[dd.mm.rrrr – doplní Objednatel]
Od	[Xxxxx a příjmení– doplní Poskytovatel] [Pozice– doplní Poskytovatel] Poskytovatel
Věc	Autorizační dopis k Provedení penetračních testů [Okruh – doplní Objednatel] dle testovací metodiky OWASP Testing Guide v4

Vážená paní, vážený pane

níže předkládáme Autorizační dopis k Provedení penetračních testů [Okruh – doplní Objednatel] dle testovací metodiky OWASP Testing Guide v4 specifikující podmínky (pokyny Objednatele), za nichž budou provedeny uvedené penetrační testy.

Provedení penetračních testů [Okruh – doplní Objednatel ] dle testovací metodiky OWASP Testing Guide v4 je realizováno jako plnění [Dílčí smlouvy č. xx – doplní Objednatel] uzavřené na základě Rámcové dohody na zajištění služeb pro penetrační testování a bezpečnostní prověrky infrastruktury prvků IIS ČSSZ ze dne dd.mm.rrrr (dále rovněž jen „Smlouva“).

Účel dokumentu

Účelem tohoto autorizačního dopisu je

• zrekapitulovat a doplnit podmínky a informace nutné k provedení penetračních testů;

• naplánovat a schválit podrobnosti ohledně zahájení testů;

• za strany Objednatele a Poskytovatele deklarovat:

• připravenost pro spolupráci při plánování testu a přípravě testu (harmonogramu apod.);

• asistenci technických pracovníků ČSSZ a spolupráci při ověřování existence a závažnosti zjištěných nedostatků;

• Ujednotit řízení a organizaci testů, zejména v oblastech:

• zásady pro provádění testů;

• plán testů;

• zásady pro zvládání mimořádných situací;

• komunikační matice pracovníků, kteří se podílejí na provádění testů.

Rozsah a cíl bezpečnostních testů

V souladu se Smlouvou a Dílčí smlouvy budou provedeny penetrační testy [Okruh – doplní Objednatel dle Dílčí smlouvy], a to dle testovací metodiky OWASP Testing Guide v4.

Cílem penetrační testů bude odhalení veškerých bezpečnostních slabin včetně související infrastruktury a návrh účinných opatření k jejich eliminaci včetně stanovení priorit při jejich realizaci.

Testovaná aplikace

• [bude doplněno Objednatelem v návaznosti na podmínky testování]

Přístupové údaje

Pro účely bezpečnostních testů bude použita …[bude doplněno Objednatelem v návaznosti na podmínky testování]

Postup a způsob realizace

Bezpečnostní testy budou realizovány ….[bude doplněno Objednatelem v návaznosti na podmínky testování]

Metodika

Testy webové prezentace budou zaměřeny zejména na bezpečnostní slabiny definované v dokumentu OWASP Testing Guide v4.

Součástí všech testů bude zjištění slabin a analýza možností jejich využití k provedení konkrétních útoků (vulnerability assessment).

Prostředí a nastavení

• Testy proběhnou v [produkčním/testovacím – doplní Objednatel] prostředí.

• Testy budou prováděny z [doplnit místo – doplní Objednatel].

• Testy budou prováděny ze zařízení (osobních počítačů) pracovníků Poskytovatele.

• Testy budou prováděny z dedikované IP adresy [xxx.xxx.xx.xxx– doplní Poskytovatel].

• Testy budou realizovány dle potřeby následujícími zaměstnanci Poskytovatele, kteří jsou oprávnění provést bezpečnostní prověrku ve výše specifikovaném rozsahu:

• [Jméno příjmení – doplní Poskytovatel]

• [Jméno příjmení – doplní Poskytovatel]

• …

Plán testů – Harmonogram

• Ověření přístupnosti a připravenosti prostředí pro penetrační testy proběhne v rozmezí [od dd. do dd.mm.rrrr – doplní Poskytovatel dle Dílčí smlouvy].

• Realizace bezpečnostních testů proběhne v období [od dd. do dd.mm.rrrr – doplní Poskytovatel dle Dílčí smlouvy].

• Předběžná zpráva bude předložena [dd. dd. rrrr – doplní Poskytovatel dle Dílčí smlouvy], nestanoví-li Smlouva jinak.

• Návrh Závěrečné zprávy bude předán do [dd. dd. rrrr – doplní Poskytovatel dle Dílčí smlouvy], nestanoví-li Smlouva jinak.

Předané podklady

V rámci podkladů pro testování byly ze strany Objednatele předány následující podklady:

• [název dokumentu – doplní Objednatel]

Zásady provádění testů

• Testování, jeho průběh a časování se bude řídit plánem testů.

• V průběhu testů nesmí být použity útoky typu DoS nebo DDoS.

• Během testů budou operativně ověřovány s Objednatelem zejména závažné nálezy testu tak, aby mohly být případně okamžitě odstraněny.

Potřebná součinnost Objednatele

• [bude doplněno Objednatelem v návaznosti na podmínky testování]

Komunikace v době přípravy a průběhu testů

• Osoba Objednatele odpovědná za věcné plnění a koordinátor Objednatele bude informován Poskytovatelem o zahájení jednotlivých částí testů a o jejich průběhu.

• Osoba Objednatele odpovědná za věcné plnění a koordinátor Objednatele bude informován Poskytovatelem o ukončení jednotlivých částí testů.

• Osoba Objednatele odpovědná za věcné plnění bude neprodleně informována Poskytovatelem o zjištěných kritických nedostatcích již v průběhu testů.

• Formální závěry budou předány Poskytovatelem ve formě Závěrečné zprávy z bezpečnostního testování výhradně osobě odpovědné za věcné plnění Objednatele.

Slova či sousloví uvedené s počátečním velkým písmenem mají stejný význam, jako ve Smlouvě, jsou-li ve Xxxxxxx definovány. V případě rozporu tohoto Autorizačního dopisu a Smlouvy mají přednost ustanovení Smlouvy.

Za Objednatele Za Poskytovatele

…………………………… ……………………………

Datum, podpis Datum, podpis