SERVISNÍ SMLOUVA uzavřená dle zák. č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů




Veřejná zakázka Webové stránky IKAP

Příloha č. 5 zadávací dokumentace – Závazné obchodní a smluvní podmínkyServisní smlouva




SERVISNÍ SMLOUVA

uzavřená dle zák. č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů



Kraj Vysočina

se sídlem: Xxxxxxx 00, 000 00 Xxxxxxx

IČO: 70890749

zastoupený: MUDr. Xxxxx Xxxxxxxxx, hejtmanem kraje

k podpisu smlouvy pověřena: Xxx. Xxxx Xxxxxxx, radní kraje pro oblast školství, mládeže a sportu

kontaktní osoba: Xxx. Xxxxx Xxxxxxxx, e-mail: xxxxxxxx.x@xx-xxxxxxxx.xx, tel. 000 000 000

(dále jen „Objednatel“)


a
(Pokyn pro dodavatele: dodavatel vyplní všechna místa v textu označená hranatými závorkami [_____].)

[Obchodní firma, název nebo jméno a příjmení dodavatele]

se sídlem/místem podnikání: [_____]

IČO: [_____]

DIČ: [_____]

zapsaná v obchodním rejstříku vedeném [_____], sp. zn. [_____]

bankovní spojení: [_____]

číslo účtu: [_____]

zastoupená: [_____]

kontaktní osoba: [_____], e-mail: [_____], tel. [_____]

(dále jen „Poskytovatel“)

uzavřeli níže uvedeného dne, měsíce a roku


tuto smlouvu:


Čl. I

Úvodní ustanovení

  1. Objednatel a Poskytovatel uzavírají tuto smlouvu o dílo ve výběrovém řízení veřejné zakázky malého rozsahu s názvem „Webové stránky IKAP“ (dále jen „výběrové řízení“ a „veřejná zakázka“), v rámci kterého byla jako nejvýhodnější vybrána nabídka Poskytovatele (dále jen „nabídka“).

  2. Tato smlouva navazuje na smlouvu o dílo uzavřenou mezi Objednatelem a Poskytovatelem jako zhotovitelem v rámci plnění veřejné zakázky (dále jen „smlouva o dílo“). Je-li v této smlouvě pojednáváno o díle, je tím míněn předmět plnění dle uvedené smlouvy o dílo.

  3. Poskytovatel prohlašuje, že je způsobilý k řádnému a včasnému poskytování servisních služeb dle této smlouvy a že disponuje takovými kapacitami a odbornými znalostmi, které jsou třeba k řádnému a včasnému poskytování servisních služeb.

  4. Smluvní strany prohlašují, že identifikační údaje uvedené v čl. I této smlouvy odpovídají aktuálnímu stavu a že osobami jednajícími při uzavření této smlouvy jsou osoby oprávněné k jednání za nebo jménem smluvních stran. Jakékoliv změny údajů uvedených v čl. I této smlouvy, jež nastanou v době po uzavření této smlouvy, jsou smluvní strany povinny bez zbytečného odkladu písemně sdělit druhé smluvní straně.

  5. V případě, že se kterékoliv prohlášení některé ze smluvních stran podle tohoto článku ukáže být nepravdivým, odpovídá tato smluvní strana za škodu a nemajetkovou újmu, která nepravdivostí prohlášení nebo v souvislosti s ní druhé smluvní straně vznikla.

Čl. II

Předmět smlouvy

  1. Poskytovatel se zavazuje poskytovat na svůj náklad a nebezpečí řádně a včas dále specifikované servisní služby a Objednatel se zavazuje zaplatit za řádně a včasně poskytnuté servisní služby sjednanou cenu.

  2. Poskytovatel se zavazuje za podmínek uvedených v této smlouvě poskytovat Objednateli servisní služby vztahující se k dílu provedenému dle smlouvy o dílo. Servisní služby jsou dále specifikovány v příloze č. 1 této smlouvy. Kategorizace a úroveň servisních služeb dle této servisní smlouvy ve vztahu k dílu je uvedena v příloze č. 1 této smlouvy. Veškeré servisní služby poskytované na základě této smlouvy jsou dále označovány také jen jako „servisní služby“.

  3. Servisní služby budou prováděny v následujících kategoriích:

    1. Maintenance,

    2. Technická podpora a vývoj,

    3. Řešení incidentů.

Specifikace jednotlivých kategorií a rozsah jednotlivých servisních služeb v nich poskytovaných jsou uvedeny v příloze č. 1 této smlouvy.

  1. Servisními službami v kategorii Řešení incidentů je i odstraňování záručních vad, avšak pouze těch částí díla, které jsou stanoveny v příloze č. 1 této smlouvy. Jestliže se vyskytne záruční vada části díla, která není stanovena v příloze č. 1 této smlouvy, budou smluvní strany postupovat dle smlouvy o dílo.

  2. Poskytovatel je povinen poskytovat servisní služby dle této smlouvy tak, aby dostupnost díla (SLA) měla hodnotu alespoň 93% každý měsíc po celou dobu účinnosti této smlouvy. Výpočet dosažené dostupnosti se řídí metodikou dle přílohy č. 1 této smlouvy.

Čl. III

Poskytování servisních služeb

  1. Servisní služby mohou být prováděny vzdálenou správou nebo přímo příjezdem pracovníka Poskytovatele na místo plnění, kterým je sídlo Objednatele. Webové stránky budou provozovány na serveru zadavatele umístěném v Technologickém centru Kraje Vysočina v sídle Objednatele.

  2. Poskytovatel je povinen udržovat servisní pohotovost tak, aby byl schopný garantovat časové lhůty stanovené v příloze č. 1 této smlouvy.

  3. Poskytovatel je povinen při poskytování servisních služeb dodržovat reakční dobu (dále jen „reakční doba“ nebo „reakce“) a dobu vyřešení incidentu nebo požadavku (dále jen „doba vyřešení nebo „vyřešení). Specifikace reakční doby a doby vyřešení je uvedena v příloze č. 1 této smlouvy.

  4. Kategorizace incidentů a požadavků, reakční doby a doby vyřešení pro jednotlivé kategorie incidentů a požadavků jsou uvedeny v příloze č. 1 této smlouvy a jsou pro Poskytovatele závazné.

  5. Objednatel nahlásí incident nebo požadavek Poskytovateli způsobem stanoveným v příloze č. 1 této smlouvy. Objednatel stanoví kategorii incidentu a úroveň požadovaných servisních služeb dle přílohy č. 1 této smlouvy.

  6. Poskytovatel přijetí nahlášeného incidentu nebo požadavku bez prodlení potvrdí zpět Objednateli na e-mailovou adresu kontaktní osoby Objednatele.

  7. Poskytovatel má právo si na základě nahlášení incidentu nebo požadavku vyžádat po Objednateli bližší specifikaci incidentu nebo požadavku. Tato činnost je již považována za zahájení činnosti Poskytovatele ve smyslu přílohy č. 1 této smlouvy.

  8. V případě, že Objednatel informuje e-mailem Poskytovatele ve lhůtě 24 hod., že s vyřešením incidentu nebo požadavku nesouhlasí, je Poskytovatel povinen pokračovat v řešení požadavku nebo incidentu v jeho původní kategorii a je povinen dodržet dobu vyřešení dle přílohy č. 1 této smlouvy. Do doby vyřešení dle přílohy č. 1 této smlouvy není počítána doba od okamžiku doručení e-mailu Objednateli o vyřešení incidentu či požadavku do okamžiku doručení e-mailu obsahujícího informaci o souhlasu či nesouhlasu Objednatele s vyřešením incidentu nebo požadavku Poskytovateli.

Čl. IV

Cena servisních služeb

  1. Objednatel se zavazuje zaplatit Poskytovateli za poskytování servisních služeb dle této smlouvy smluvní cenu. Cena plnění je tvořena následujícími částmi:

Cena v Kč bez DPH za 1 měsíc

Cena za poskytování servisních služeb v kategorii Maintenance

[_____],-



Cena v Kč bez DPH za 1 hodinu

Cena za poskytování servisních služeb v kategorii Technická podpora a vývoj

[_____],-

Cena za poskytování servisních služeb v kategorii Řešení incidentů nad rámec ceny Maintenance

[_____],-


  1. Cena servisních služeb v kategorii Maintenance zahrnuje veškeré náklady, jež mohou Poskytovateli v souvislosti s poskytováním této kategorie služeb vzniknout, zejm. cestovní výdaje a náklady na softwarové vybavení. Za poskytování služeb v kategorii Maintenance tak Poskytovatel kromě shora uvedené ceny nemá nárok na žádné další finanční plnění.

  2. Cena servisních služeb v kategorii Technická podpora a vývoj zahrnuje:

    • veškeré náklady, jež mohou Poskytovateli v souvislosti s poskytováním této kategorie služeb vzniknout, zejm. cestovní výdaje a náklady na softwarové a hardwarové vybavení,

    • cenu dodaného software a licencí nutných pro vyřešení jednotlivých požadavků objednatele, licence musí odpovídat podmínkám stanoveným ve smlouvě o dílo.

Za poskytování služeb v kategorii Technická podpora a vývoj kromě shora uvedené ceny nemá Poskytovatel nárok na žádné další finanční plnění.

  1. Cena servisních služeb v kategorii Řešení incidentů zahrnuje veškeré náklady, jež mohou Poskytovateli v souvislosti s poskytováním této kategorie služeb vzniknout, zejm. cestovní výdaje a náklady na softwarové a hardwarové vybavení.

  2. K cenám uvedeným v tomto článku bude při fakturaci dopočítáno DPH dne zákonné sazby.

Čl. V

Fakturace a platební podmínky

  1. Cenu za poskytování servisních služeb se Objednatel zavazuje platit na základě faktur (dále jen „faktura“) vystavených Poskytovatelem po uplynutí kalendářního měsíce trvání této smlouvy. Fakturou bude vyúčtována:

  • cena servisních služeb v kategoriích Maintenance a Řešení incidentů poskytnutých v příslušném kalendářním měsíci trvání této smlouvy,

  • cena servisních služeb v kategorii Technická podpora a vývoj dle času skutečně a účelně stráveného Poskytovatelem při poskytování této kategorie servisních služeb.

  1. Po uplynutí kalendářního měsíce je Poskytovatel povinen zaslat Objednateli výkaz poskytnutých servisních služeb k potvrzení. Jeho součástí bude i hodnota dosažené dostupnosti díla v uplynulém kalendářním měsíci a její výpočet dle vzorce uvedeného v čl. VI Přílohy č. 1 této smlouvy.

  2. Objednatel do 7 dnů Poskytovateli sdělí, zda s výkazem souhlasí, či požaduje jeho úpravu s ohledem na skutečnost, že služby byly poskytnuty v jiném rozsahu či s jinou dostupností. Po odsouhlasení výkazu Objednatelem je Poskytovatel oprávněn vystavit fakturu za poskytování servisních služeb v uplynulém měsíci. Výkaz odsouhlasený objednatelem bude vždy tvořit přílohu faktury.

  3. Ve faktuře bude uvedena původní cena Maintenance a její konečná cena k fakturaci po uplatnění slevy dle čl. VI Přílohy č. 1 této smlouvy.

  4. Cena za poskytování servisních služeb je splatná do 30 kalendářních dnů od doručení faktury Objednateli.

Čl. VII

Ostatní podmínky plnění předmětu smlouvy

  1. Poskytovatel je povinen při poskytování servisních služeb dodržovat platné právními předpisy ČR i EU.

  2. Objednatel je povinen spolupracovat s Poskytovatelem a poskytovat mu veškerou nutnou součinnost potřebnou pro řádné poskytování servisních služeb podle této smlouvy. Objednatel je povinen informovat Poskytovatele o veškerých skutečnostech, které jsou nebo mohou být důležité pro poskytování servisních služeb dle této smlouvy.

  3. Pokud Objednatel neposkytne součinnost dle tohoto článku, má Poskytovatel právo požadovat od Objednatele posunutí stanovených termínů o dobu, po kterou nemohl Poskytovatel poskytovat servisní služby dle této smlouvy z důvodu neposkytnutí součinnosti. Objednatel je povinen takovému požadavku vyhovět.

  4. Objednatel je povinen poskytnout Poskytovateli součinnost k zajištění vzdáleného přístupu Poskytovateli k serverům, na kterých je umístěno dílo výhradně pro účely poskytování servisních služeb podle této smlouvy.

  5. Smluvní strany spolu budou komunikovat způsobem stanoveným v příloze č. 1 této smlouvy.

  6. Písemné oznámení o změnách výše uvedených kontaktních údajů Poskytovatele nebo webové adresy Helpdesku Poskytovatele předá Poskytovatel Objednateli alespoň pět dní před očekávanou změnou.

  7. Poskytovatel se zavazuje dodržovat požadavky a opatření pro zajištění bezpečnosti informací a informačních aktiv Kraje Vysočina uvedené v příloze č. 2 této smlouvy.

  8. Poskytovatel je povinen zajistit plnění bezpečnostních opatření a požadavků stanovených touto smlouvou ve stejné míře u všech případných poddodavatelů či jiných osob, které mají přístup k informačním aktivům Kraje Vysočina prostřednictvím Poskytovatele.

  9. Poskytovatel se zavazuje v plném rozsahu zachovávat mlčenlivost o všech skutečnostech a informacích, které mu byly v souvislosti s touto smlouvou nebo jejím plněním jakkoliv zpřístupněny, předány či sděleny, nebo o nichž se jakkoliv dozvěděl, vyjma těch, které jsou v okamžiku, kdy se s nimi Poskytovatel seznámil, prokazatelně veřejně přístupné nebo těch, které se bez zavinění Poskytovatele veřejně přístupnými stanou, a dále se zavazuje chránit důvěrné informace vyplývající z příslušných právních předpisů, zejména povinnosti vyplývající ze zákona č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů, a Nařízení (EU) 2016/679, vše společně dále jen jako „důvěrné informace“. Poskytovatel se dále zavazuje k ochraně osobních údajů třetích osob, se kterými přichází do styku v souvislosti s plněním předmětu této smlouvy. Poskytovatel se jako zpracovatel osobních údajů v této souvislosti zavazuje poučit veškeré osoby, které se na jeho straně budou podílet na plnění této Smlouvy, o výše uvedených povinnostech mlčenlivosti a ochrany důvěrných informací a dále se zavazuje vhodným způsobem zajistit dodržování těchto povinností všemi osobami podílejícími se na plnění této Smlouvy. Na základě výše uvedeného se poskytovatel zavazuje shora uvedené osobní údaje zpracovávat pouze k účelu, ke kterému byly objednatelem touto smlouvou určeny. Tímto účelem je poskytování servisních služeb. Poskytovatel nebude osobní údaje shromažďovat, uchovávat a ani je jinak zpracovávat.

  10. Poskytovatel nesmí důvěrné informace použít v rozporu s jejich účelem, nesmí je použít ve prospěch svůj nebo třetích osob a nesmí je použít ani v neprospěch Objednatele. Povinnosti dle tohoto odstavce je Poskytovatel povinen zachovávat i po zániku této smlouvy, vyjma případů, kdy se důvěrné informace stanou prokazatelně veřejně přístupné bez zavinění Poskytovatele. Povinnosti dle tohoto odstavce se nevztahují na případy, kdy je Poskytovatel povinen zveřejnit důvěrnou informaci na základě povinnosti uložené Poskytovateli právním předpisem nebo rozhodnutím orgánu veřejné moci.

Čl. VIII

Trvání a ukončení smlouvy

  1. Tato smlouva je uzavřena na dobu tří let ode dne akceptace díla dle smlouvy o dílo uzavřené mezi shora uvedenými smluvními stranami.


  1. Jestliže Objednatel nebo Poskytovatel odstoupí od smlouvy o dílo, na jejíž plnění navazuje plnění z této servisní smlouvy, nebo uvedená smlouva o dílo bude jinak ukončena, aniž by dílo bylo provedeno, tato servisní smlouva zaniká v den účinnosti odstoupení od smlouvy o dílo.

Čl. IX

Odpovědnost poskytovatele, slevy a sankce

  1. Dostane-li se Objednatel do prodlení s placením úhrady za servisní služby poskytované dle této smlouvy, je povinen zaplatit Poskytovateli úrok z prodlení ve výši 0,02 % z dlužné částky za každý den prodlení.

  2. V případě nedodržení závazku standardní garantované měsíční dostupnosti díla (SLA = 93,00 %), je poskytovatel povinen poskytnout objednateli smluvní pokutu (slevu z ceny Maintenance) v následující výši:


měsíční dostupnost (SLA)

92,99 % - 91,00 %

90,99 % - 90,00 %

pod 90,00 %

výše smluvní pokuty (sleva z ceny Maintenance)

25 %

50 %

75 %


  1. V případě nesplnění kterékoliv povinnosti obsažené čl. VII. této smlouvy je Objednatel oprávněn požadovat po Poskytovateli smluvní pokutu ve výši 100 000 Kč a Poskytovatel se zavazuje Objednateli tuto smluvní pokutu uhradit Objednateli, a to za každé jednotlivé porušení povinností obsažených v tomto článku.

  2. V případě prodlení Poskytovatele s poskytováním služeb kategorie Technická podpora a vývoj a Řešení incidentů dle této smlouvy a jejích příloh, je Poskytovatel povinen zaplatit Objednateli smluvní pokutu ve výši 200 Kč za každý započatý den prodlení, přičemž celková výše takových pokut nepřesáhne částku 200 000 Kč.

  3. Ustanovením o smluvních pokutách a úrocích z prodlení není dotčeno právo smluvních stran na náhradu škody či nemajetkové újmy. Doba splatnost úroků a smluvních pokut činí 30 dnů ode dne doručení faktury povinné smluvní straně.

Čl. X

Závěrečná ustanovení

  1. Vzhledem k veřejnoprávnímu charakteru Objednatele i Poskytovatele smluvní strany výslovně prohlašují, že souhlasí se zveřejněním celého textu smlouvy v Registru smluv. Smluvní strany se dohodly, že zákonnou povinnost dle § 5 odst. 2 zákona o registru smluv splní Poskytovatel.

  2. Tato smlouva nabývá platnosti dnem jejího podpisu oběma smluvními stranami a může být měněna pouze písemnými dodatky k této smlouvě podepsanými Objednatelem a Poskytovatelem.

  3. Tato smlouva je vyhotovena ve čtyřech stejnopisech s platností originálu, z nichž každá ze smluvních stran obdrží po dvou vyhotoveních.

  4. Nedílnou součástí této smlouvy je:

Příloha č. 1 – Specifikace servisních služeb

Příloha č. 2 – Požadavky a opatření pro zajištění bezpečnosti informací a informačních aktiv


[_____] dne [_____] V Jihlavě dne






______________________ _______________________

za Poskytovatele za Objednatele

[_____] Xxx. Xxxx Xxxxxxx, MBA

[_____] radní Kraje Vysočina

Servisní smlouva „Webové stránky IKAP

Příloha č. 1 – Specifikace servisních služeb


I.

Seznam zkratek a pojmů

Pro potřeby dalšího textu budou používány následující pojmy:

Pojem

Význam

Incident

Indikovaný problém díla, případně části díla, který není v souladu s technickým stavem díla dle smlouvy o dílo. Kategorizace incidentů je uvedena dále v textu.

Okamžik nahlášení

Okamžik nahlášení incidentu nebo požadavku prostřednictvím Helpdesku

Reakční doba (Reakce)

Doba od Okamžiku nahlášení incidentu nebo požadavku prostřednictvím Helpdesku do okamžiku zahájení činnosti Poskytovatele na identifikaci a odstranění incidentu nebo zahájení realizace požadavku Objednatele

Doba vyřešení (Vyřešení)

Doba od Okamžiku nahlášení incidentu nebo požadavku do okamžiku odsouhlasení vyřešení incidentu nebo požadavku Objednatelem.

SLA

Konkrétní smluvní parametry pro poskytování služeb v daných úrovních servisních služeb.

NBD

Následující pracovní den od doby nahlášení incidentu nebo požadavku.

HW

Hardware

SW

Software

Helpdesk

Technické řešení systému podpory na straně poskytovatele



II.

Komunikace smluvních stran

Smluvní strany se dohodly na následujících prostředcích komunikace v závislosti na kategorii servisních služeb:

  • Maintenance – prostřednictvím e-mailu

  • Technická podpora a vývoj – prostřednictvím e-mailu nebo Helpdesku

  • Řešení incidentů – prostřednictvím e-mailu nebo Helpdesku


Webová adresa Helpdesku Poskytovatele je [_____].


Údaje kontaktní osoby Objednatele oprávněné k zadávání servisních požadavků a kontaktní osoby Poskytovatele jsou uvedeny v záhlaví servisní smlouvy.


III.

Maintenance

Maintenance (pravidelná údržba) dle této smlouvy je realizována Poskytovatelem v intervalu uvedeném níže (dále jen Maintenance).

Poskytovatel se zavazuje Maintenance provádět tak, aby co možná nejvíce zamezil vzniku jakýchkoli incidentů, které by znemožňovaly řádné užívání díla objednateli a aby byla splněna dostupnost dle čl. II odst. 5 servisní smlouvy po celou dobu účinnosti této smlouvy.

Služby poskytované v rámci Maintenance min. 1x měsíčně:

  • kontrola funkčnosti všech modulů a stavu databáze,

  • bezpečnostní analýzy (kontrola logů).

Služby poskytované v rámci Maintenance min. 1x ročně:

  • penetrační testy,

  • pravidelné čištění a optimalizace databáze.

Služby poskytované v rámci Maintenance průběžně, případně na vyžádání:

  • 2 hodiny měsíčně na řešení incidentů,

  • identifikace výkonnostních problémů a optimalizace běhu systému,

  • údržba veškeré dodané dokumentace,

  • úprava díla dle legislativních změn,

  • opravy bezpečnostních vad.


Poskytovatel se zavazuje výsledky shora uvedených měsíčních a ročních úkonů realizovaných v rámci Maintenance zasílat spolu s plným jménem odpovědného pracovníka a datem úkonu/kontroly průběžně po jejich provedení na e-mailovou adresu Objednatele: xxxx@xx-xxxxxxxx.xx.


IV.

Technická podpora a vývoj

V rámci servisních služeb kategorie Technická podpora a vývoj dle této smlouvy jsou poskytovány následující služby:

  • konzultační služby,

  • realizace požadavků na novou funkcionalitu systému.

Objednatel je oprávněn objednat další služby v této kategorii v ceně dle článku V. odst. 1 této smlouvy.


V.

Řešení incidentů

Kategorie servisních služeb Řešení incidentů definuje požadavky na činnost Poskytovatele k zajištění plynulého a bezproblémového užívání díla tak, aby byl zajištěn účel smlouvy o dílo a požadované parametry dostupnosti díla.

Kategorie incidentů a požadavků:

Kategorie

Popis

A

Situace, kdy dílo nebo část díla je zcela nefunkční, neumožňuje práci uživatelů a nelze používat Objednatelem nebo dílo obsahuje bezpečnostní zranitelnost, která dosáhne základního skóre 7.0 - 10.0 bodů dle obecného systému hodnocení zranitelností (otevřený standard CVSSv3 base score).

B

Situace, kdy dílo nebo část díla je částečně funkční, umožňuje částečné poskytování služeb, po přechodnou dobu se sníženým komfortem uživatelů, případně provizorním způsobem z důvodů na straně díla nebo jeho části, na niž je Poskytovatel povinen poskytovat servisní služby, nebo dílo obsahuje bezpečnostní zranitelnost, která dosáhne základního skóre 4.0 - 6.9 bodů dle obecného systému hodnocení zranitelností (otevřený standard CVSSv3 base score).

C

Nedostatky a vady drobného rozsahu, které nebrání užívání díla nebo jeho části, nicméně nejsou v souladu s technickým stavem díla dle smlouvy o dílo, nebo dílo obsahuje bezpečnostní zranitelnost, která dosáhne základního skóre 0.0 - 3.9 bodů dle obecného systému hodnocení zranitelností (otevřený standard CVSSv3 base score).


Kategorizaci jednotlivých incidentů provede Poskytovatel.

V následující tabulce jsou pak pro jednotlivé úrovně servisních služeb definovány reakční doby a doby vyřešení jednotlivých kategorií incidentů a požadavků.


Reakční doba a doba vyřešení incidentů a požadavků:

A

B

C

Reakce

Vyřešení

Reakce

Vyřešení

Reakce

Vyřešení

NBD

2

pracovní dny

2 pracovní dny

10 pracovních dnů

10 pracovních dnů

20 pracovních dnů


VI.

Metodika výpočtu dostupnosti

Pro potřeby výpočtu dosažené dostupnosti (požadovaná úroveň SLA 93%) bude využita měsíční suma výpadků v kategorii incidentu A.


Pro výpočet skutečně dosažené dostupnosti díla Poskytovatel použije následující vzorec:


(TS — TN)

dostupnost = —————— x 100 %

TS

kde:

TS znamená celkový počet hodin, po které má být v daném kalendářním měsíci dílo provozováno, s výjimkou doby oprávněného omezení provozu.

TN znamená celkový počet hodin, po které byla dílo nedostupné nebo neplnilo svoji funkci (viz kategorie A incidentu), s výjimkou doby oprávněného omezení provozu díla.


Do nedostupnosti díla nebudou započítány výpadky ani přerušení nebo vady díla vyplývající zejména z níže uvedených příčin:

  1. Dílo je změněno nebo upraveno na pokyn Objednatele a s jeho vědomím takovým způsobem, že parametry definované dostupnosti nemohou být splněny.

  2. V případě zásahu vyšší moci.


Hodnotu dosažené dostupnosti díla v uplynulém kalendářním měsíci a její výpočet dle shora uvedeného vzorce Poskytovatel uvede v rámci výkazu poskytnutých servisních služeb dle čl. V odst. 2 servisní smlouvy.

Servisní smlouva „Webové stránky IKAP

Příloha č. 2 – Požadavky a opatření pro zajištění bezpečnosti informací a informačních aktiv


  • Bezpečnost přístupových oprávnění:

    • Poskytovatel je povinen chránit veškeré přístupové údaje k předmětným informačním aktivům včetně přístupů k informačním aktivům Poskytovatele, které umožňují přístup k předmětným informačním aktivům či umožnují jejich správu.

    • Poskytovatel je povinen dodržovat tuto bezpečnostní politiku hesel pro výše uvedené přístupové údaje:

      • min. délka hesla 10 znaků

      • složitost hesla musí splňovat minimálně 3 ze 4 kategorií

        • malá písmena

        • velká písmena

        • číslice

        • speciální znaky

      • hesla musí být uchovávána v tajnosti, nesmí být ukládána v nezašifrované podobě (dle bodu kryptografie)

      • hesla nesmí obsahovat žádné informace z přihlašovacího jména (login)

      • platnost hesla musí být maximálně 1 rok.

    • Poskytovatel je povinen používat personifikované účty, které jsou nepřenosné na jiné osoby, než kterým byly údaje přiděleny.

    • Přístupová oprávnění lze využívat pouze pro ten účel, pro který byla zřízena.

    • Pokud by Poskytovatel zřizoval přístupová oprávnění třetí straně, je Poskytovatel povinen o této skutečnosti informovat Kraj Vysočina. Kraj Vysočina má v tomto případě právo zřízení přístupu zamítnout.

  • Řízení kybernetických bezpečnostních incidentů:

    • Poskytovatel je povinen Objednateli hlásit veškeré kybernetické bezpečnostní incidenty, které se týkají předmětných informačních aktiv nebo informačních aktiv Poskytovatele, pokud se kybernetický bezpečnostní incident týká předmětných informačních aktiv.

    • Poskytovatel je dále povinen poskytnout adekvátní součinnost při řešení kybernetických bezpečnostních incidentů a při forenzní analýze incidentů souvisejících s předmětnými informačními aktivy.

  • Kryptografie:

    • Obecně

      • pro šifrování, elektronické podepisování a provádění otisků dat (hashování) nesmí být použity proprietární/uzavřené algoritmy, ale ty, které jsou považovány za standardy, jejich funkcionalita je všeobecně známá

    • Hashovací funkce

      • ukládání otisků hesel

        • pro ukládání hesel uživatelů mohou být použity pouze tyto tzv. pomalé hashovací funkce:

          • Argon2i

          • bcrypt

          • scrypt

          • PBKDF2

        • při hashování hesla musí být použit pseudonáhodně vygenerovaný kryptografický salt

        • pro ukládání hesel nesmí být použity tzv. rychlé hashovací funkce typu MD-X, SHA-X, apod.

      • elektronické podepisování e-mailů a dokumentů

        • SHA-2 a vyšší

        • délka otisku 256 bitů a vyšší

      • ověřování integrity souborů

        • SHA-2 a vyšší

        • délka otisku 224 bitů a vyšší

    • Asymetrická kryptografie

      • SSL/TLS

        • verze protokolu minimálně TLSv1.2 a vyšší

        • konfigurace

          • cipher suite musí být vybrána na základě serverem preferovaného pořadí

          • vyšší priority musí mít cipher suites, které obsahují varianty asymetrických algoritmů s eliptickými křivkami, např.:

            • ECDHE musí mít vyšší prioritu než DHE

            • ECDSA musí mít vyšší prioritu než DSA

          • všechny EXPORT cipher suites musí být zakázány

          • výměna klíčů

            • algoritmus pro výměnu klíčů musí podporovat Perfect forward secrecy

              • tzn., že šifrovací klíč je vyměněn mezi klientem a serverem tak, aby jej nebylo možné získat se znalostí privátního klíče serveru, např. musí být použit Diffie-Hellman algoritmus

              • a navíc se musí jednat o tzv. ephemeral Diffie-Hellman (DHE), tzn. že pro každou session je generován nový set Diffie-Hellman klíčů

            • v případě použití Diffie-Hellman algoritmu musí mít modulo délku minimálně 2048b (2048-bit group)

            • nesmí být použita anonymní výměna klíčů

          • autentizace

            • minimální délky klíčů:

              • RSA - 2048 bitů

              • ECDSA - 256 bitů

          • symetrické šifrování

            • nesmí být použita hodnota NULL v cipher suites

            • nesmí být použity tyto šifry:

              • DES, 3DES, RC4

            • minimální délka šifrovacího klíče - 128 bitů

            • cipher suites s šiframi s větší délkou klíče musí mít větší prioritu v seznamu ciphersuites než s menší délkou klíče

          • MAC (Message Authentication Code)

            • použití SHA funkce s minimální délkou hashe 1024b

            • vyšší délky otisků musí mít vyšší prioritu v cipher suites

          • Způsob naplnění:

        • certifikáty

          • minimální délka privátního klíče

            • RSA 2048 bitů

            • ECDSA - 256 bitů

          • hash funkce pro podpis

            • SHA-2 s minimální délkou 224 bitů

          • v případě veřejně publikované webové aplikace

            • certifikát musí být vydaný důvěryhodnou certifikační autoritou

            • musí se jednat o EV certifikát

            • je možné použít multi-domain certifikát

            • EV certifikát nesmí mít platnost delší než 3 roky

      • ochrana e-mailů (šifrování a podepisování) a autentizace

        • týká se různých technologií PGP, S/MIME, SSH, apod.

        • minimální délka klíče

          • algoritmus RSA - 2048 bitů

          • algoritmus ECDSA - 256 bitů

      • ověřování (např. SSH klíče)

        • délka klíče minimálně 2048 b u RSA a DSA algoritmů

        • délka klíče minimálně 256 bitů u algoritmů používajících eliptické křivky

    • Symetrická kryptografie

      • nesmí být použity tyto šifry:

        • DES, 3DES, RC4

      • minimální délka šifrovacího klíče - 128 bitů



Stránka 1

Document Metadata

Filed: October 4th, 2024