Smlouva č. 2017-0786
SMLOUVA O DÍLO - PROVEDENÍ BEZPEČNOSTNÍCH A PENETRAČNÍCH TESTŮ SÍTĚ A INFORMAČNÍCH SYSTÉMŮ
Smlouva č. 2017-0786
Smluvní strany
Objednatel:
město Bohumín
se sídlem v Bohumíně, Masarykova 158, PSČ 735 81 IČO: 00297569, DIČ: CZ00297569
zastoupené: Ing. Xxxxxx Xxxxxx, starostou města
bankovní spojení: Česká spořitelna a.s., číslo účtu: 1721638359/0800 dále jen „město Bohumín“ nebo „objednatel“ a
Zhotovitel:
VIAVIS, a. s.
se sídlem v Ostravě, část Ostrava - Vítkovice, Obránců míru 237/35, PSČ 703 00,
zapsán v obchodním rejstříku vedeném u Krajského soudu v Ostravě v oddíle B, číslo vložky 2249, IČO: 25848402, DIČ: CZ25848402,
bankovní spojení: XXXX, číslo účtu: XXXXXXXXXXXXXXXXXXX, za niž jedná: Xxx. Xxxxxxxx Xxxxxxx, předseda představenstva, dále jen „VIAVIS“, nebo „zhotovitel“ na straně druhé
sjednaly uvedeného dne, měsíce a roku, tuto smlouvu takto:
Preambule
1. Xxxxxxxxxx a objednatel si společně a jeden druhému jednotlivě prohlašují, že se přesvědčili o identitě druhé strany, jakož i o tom, že její označení uvedené v záhlaví této smlouvy o dílo odpovídá skutečnosti a tedy i aktuálnímu zápisu v živnostenském či obchodním rejstříku, a že jim je nepochybná totožnost a řádné oprávnění osoby či osob jednajících za druhou smluvní stranu k tomuto jednání a zároveň si prohlásili, že tyto údaje nejsou dotčeny změnami již uskutečněnými, avšak ještě nezapsanými v živnostenském či obchodním rejstříku.
2. Smluvní strany prohlašují, že si při jednání o uzavření smlouvy sdělily navzájem všechny skutkové a právní okolnosti, o nichž vědí nebo vědět musí tak, aby se každá ze stran mohla přesvědčit o možnosti uzavřít platnou smlouvu a aby byl každé ze stran zřejmý její zájem smlouvu uzavřít.
1. Předmět a účel smlouvy, účel díla
1.1. Tato smlouva je uzavřena podle ust. § 2586 a násl. zákona č. 89/2012 Sb., občanský zákoník (dále jen „občanský zákoník“ nebo „NOZ“). Předmětem této smlouvy je závazkový vztah mezi stranami této smlouvy, spočívající v závazku zhotovitele na svůj náklad a nebezpečí provést pro objednatele dílo níže specifikované jako předmět
VIAVIS a. s. Obránců míru 237/00 000 00 Ostrava tel.: x000 000 000 000 e-mail: xxxx@xxxxxx.xx web: xxx.xxxxxx.xx zapsána v obchodním rejstříku vedeném Krajským soudem v Ostravě Oddíl B, číslo vložky 2249 IČ 25848402 DIČ CZ25848402
plnění a v závazku objednatele úspěšně provedené dílo (§ 2605 NOZ) převzít a zaplatit zhotoviteli za provedené dílo níže sjednanou cenu díla, to vše podle podmínek sjednaných touto smlouvou.
1.2. Účelem této smlouvy je upravení v čl. 1.1 uvedeného závazkového vztahu v souladu s vůlí stran a obecně závaznými právními předpisy. Účelem díla je zajištění možnosti objednatele seznámit se s informačními riziky v jeho činnosti a v souvislosti s ní.
1.3. Předmětem plnění dle této smlouvy je provedení auditu odolnosti informačních a komunikačních technologií (ICT) a informačních systémů (IS) vůči napadení externími a interními subjekty – interní a externí penetrační testy, dále jen „předmět plnění“ nebo „dílo“ nebo „předmět díla“.
1.4. Specifikace předmětu plnění:
1.4.1. provedení důkladného auditu odolnosti informačního systému úřadu včetně provedení řady cílených nedestruktivních útoků zaměřených na odhalení chyb v zabezpečení systému proti neautorizovaným průnikům s možností působení následných škod (zničení dat, zcizení dat, ovládnutí systému, krátkodobá i dlouhodobá ztráta funkčnosti systému či jeho části, modifikace či zničení internetové prezentace města apod.),
1.4.2. využití metod používaných skutečnými útočníky,
1.4.3. využití metod sociálního inženýrství,
1.4.4. ověření odolnosti cílových systémů proti těmto útokům,
1.4.5. ověření kvality zabezpečení proti reálnému útoku,
1.4.6. návrh účinných protiopatření.
1.4.7. Součástí předmětu plnění je také prověření níže uvedeného:
- odolnost proti napadení z internetu,
- odolnost proti napadení pomocí e-mailové pošty,
- odolnost proti napadení bezdrátové komunikace v prostorách radnice a přilehlého okolí,
- návrh nástrojů a metod pro proaktivní reakci na napadení s vazbou na vnitřní předpisy.
1.4.8. Předmět zakázky je dále specifikován v Příloze č. 2 Smlouvy o dílo.
1.5. Výstup předmětu plnění:
1.5.1.písemná zpráva o zjištěných výsledcích testování včetně návrhu opatření, nástrojů a metod pro proaktivní reakci na napadení.
2. Doba a místo provedení díla
2.1. Plnění předmětu smlouvy bude zahájeno dnem účinnosti této smlouvy. Zhotovitel je povinen provést dílo
do 1 měsíce od podpisu této smlouvy o dílo.
2.2. Zhotovitel není v prodlení s plněním předmětu smlouvy, chybí-li potřebná součinnost k plnění ze strany objednatele, kterou si zhotovitel v souladu s touto smlouvou vyžádal. Zhotovitel není v prodlení s plněním pro překážky způsobené objednatelem. Chybí-li součinnost objednatele nebo je-li objednatel v prodlení s dodáním věcí potřebných dle této smlouvy k provedení díla zhotoviteli nebo pro další překážky na straně objednatele se prodlužuje doba plnění (termín předání díla objednateli) o tuto dobu prodlení objednatele. Po tuto dobu není zhotovitel v prodlení provést dílo. Zhotovitel dále není v prodlení s plněním předmětu této smlouvy pro překážky způsobené objednatelem.
2.3. Zhotovitel je oprávněn prodloužit lhůtu k provedení díla o nezbytnou dobu, po kterou trvají překážky, jež nastaly nezávisle na vůli zhotovitele a brání mu ve splnění jeho povinností, jestliže nelze rozumně předpokládat, že by zhotovitel tuto překážku nebo její následky odvrátil nebo překonal, a dále, že by v době vzniku závazku tuto překážku předvídal. O existenci těchto překážek je zhotovitel povinen objednatele informovat bez
zbytečného odkladu po jejich vzniku.
2.4. V případě ztížených podmínek provádění díla (například poruchy v dopravě, stávky, živelní pohromy, porušení veřejného pořádku, mobilizace, embarga, povstání, omezení dodávky energie, požáru, technické závady,
pracovní konflikty, apod.) týkajících se díla dle této smlouvy, které zhotoviteli omezují možnost dílo včas
provést, si zhotovitel vyhrazuje právo přiměřeným způsobem dobu provádění a předání díla prodloužit bez toho, že by se tím dostal do prodlení nebo navrhnout jiný adekvátní postup.
2.5. Místo plnění: sídlo objednatele uvedené v záhlaví této smlouvy.
2.6. Sjednává se, že zhotovitel splní svůj závazek provést dílo dle této smlouvy jeho řádným a včasným provedením, po jeho dílčích částech (článek 1 odst. 1.4.). Xxxx je provedeno, je-li dokončeno a předáno. Dílo je dokončeno, je- li předvedena jeho způsobilost sloužit svému účelu (§ 2604 NOZ a § 2605 NOZ). Předáním díla se rozumí odevzdání předmětu plnění objednateli po částech (§ 2606 NOZ) v místě plnění dle odst. 2. 3 tohoto článku. Je-li dílo dokončeno, je objednatel povinen dílo převzít a to s výhradami, nebo bez výhrad (§ 2605 NOZ). Pokud objednatel bezdůvodně nepřevezme předmět plnění, resp. jeho část, nebo se k převzetí nedostaví, a to přesto, že zhotovitel předmět plnění, resp. jeho část, v souladu s touto smlouvou řádně a včas provedl, je sjednáno, že závazek provést dílo byl splněn třetím dnem po uplynutí dne určeného k předání a má se zato, že tímto dnem bylo plnění nebo dílčí plnění předáno a převzato. K převzetí předmětu plnění vyzve zhotovitel objednatele písemně, nebude-li v konkrétním případě později smluvními stranami dohodnuto jinak.
2.7. O předání a převzetí dokončeného díla, resp. každé jeho ucelené části (článek 1 odst. 1.4.), sepíší smluvní strany protokol o předání a převzetí díla, v němž budou tyto základní údaje:
a) označení díla, identifikace objednatele a zhotovitele,
b) číslo smlouvy o dílo a datum jejího uzavření, včetně modifikace této smlouvy případnými konkrétními písemnými dodatky,
c) zahájení a dokončení prací na díle,
d) prohlášení objednatele, že dokončené dílo přejímá s výhradami nebo bez výhrad, při stanovení písemných podmínek,
e) datum a místo sepsání protokolu,
f) jména a podpisy objednatele a zhotovitele.
Seznam oprávněných osob objednatele s oprávněním specifikovat v nadepsaném protokolu podmínky nebo výhrady ve shora uvedeném smyslu (článek 2.4. a 2.5.) a převzít od něj předmět smlouvy je uveden v příloze č. 1 této smlouvy.
3. Práva a povinnosti zhotovitele
3.1. Zhotovitel se, ve smyslu ust. § 2590 NOZ, zavazuje provést dílo dle této smlouvy s potřebnou péčí, v ujednaném čase a s obstaráním všeho, co je k provedení díla potřeba, s výjimkou věcí, které případně k provedení díla dle samostatné dohody obstará objednatel. Zhotovitel bude provádět dílo osobně ve sjednaném místě plnění. Provedení díla třetí osobou je, s ohledem na specifika činnosti dle této smlouvy a osobní vlastnosti (kvalifikaci) zhotovitele, možné pouze pod osobním vedením zhotovitele, toliko výjimečně a vždy pouze s předchozím písemným souhlasem objednatele. Za použitou osobu odpovídá zhotovitel ve smyslu ust. § 1935 NOZ tak, xxxxxx dílo prováděl sám.
3.2. Objednatel je oprávněn podle potřeby dávat zhotoviteli pokyny při určení způsobu provedení díla. Zhotovitel se zavazuje tyto pokyny respektovat. Jinak postupuje zhotovitel při provádění díla samostatně a s péčí, která je potřebná k tomu, aby dílo bylo provedeno řádně, včas a bez vad, za dodržení obvyklých technologických a pracovních postupů a zvyklostí v souladu s touto smlouvou o dílo, přičemž se smluvní strany dohodly, že objednatel se bude účastnit prostřednictvím svého pověřeného zaměstnance jakýchkoliv řízených konzultací, které bude zhotovitel u objednatele vykonávat. Zhotovitel se zavazuje informovat objednatele o veškerých uvažovaných konzultacích v dostatečném časovém předstihu. Seznam zaměstnanců, kteří jsou oprávněni mu v tomto směru udělovat pokyny, je uveden v příloze č. 1.
3.3. Zhotovitel odpovídá objednateli za kvalitu, všeobecnou a odbornou správnost předmětu plnění v souladu se svým podnikatelským oprávněním a zaručuje, že předmět plnění bude plněn řádně, tedy nejméně v kvalitě odpovídající obecně uznávaným standardům v České republice.
3.4. Zhotovitel odpovídá objednateli za dodržování vnitřních pokynů a směrnic objednatele, stanovících provozně technické a bezpečnostní podmínky pohybu osob v prostorách, zařízeních a pracovištích objednatele, se kterými
byl zhotovitel prokazatelně seznámen. Objednatel zajistí seznámení pověřených osob zhotovitele s těmito předpisy a provede o tom záznam v dokumentaci, uložené u bezpečnostního technika objednatele.
3.5. Xxxxxxxxxx je povinen strpět kontrolu objednatelem, a to na základě jeho písemné výzvy, učiněné dva dny předem. Objednatel si vyhrazuje právo pověřit kontrolou třetí osobu, a to odborně způsobilou.
4. Práva a povinnosti objednatele
4.1. Objednatel je povinen předat před zahájením prací dle této smlouvy podklady, popř. materiály nezbytné pro provedení předmětu plnění dle této smlouvy, které si zhotovitel vyžádá, a to bez faktických a právních vad, jež by znemožňovaly nebo ztěžovaly plnění této smlouvy. Zhotovitel byl před uzavřením této smlouvy objednatelem informován, že objednatel nedisponuje ke dni uzavření této smlouvy žádnou ucelenou dokumentací či vnitřními předpisy upravujícími problematiku ochrany informací, kterou by mohl ve smyslu tohoto ustanovení zhotoviteli předat, je však připraven mu poskytnout součinnost (včetně poskytnutí informací) v rozsahu, který bude nezbytný k řádnému plnění povinností zhotovitele dle této smlouvy.
4.2. Objednatel se zavazuje spolupracovat při provádění předmětu plnění dohodnutým způsobem, předmět plnění převzít a zaplatit jeho cenu způsobem sjednaným v této smlouvě.
4.3. Objednatel se zavazuje v rámci plnění této smlouvy poskytnout zhotoviteli nezbytnou součinnost, kterou si zhotovitel v souladu s touto smlouvou po objednateli vyžádá. Je-li k provedení díla nutná součinnost objednatele, postupuje zhotovitel dle ust. § 2591 NOZ.
4.4. Objednatel se zavazuje dodržovat tento způsob komunikace k dosažení účelu smlouvy: 4.4.1.Mailem na adresu XXXXXXXX
4.4.2.Operativní schůzky smluvních stran, konané dle jejich operativní potřeby na vyžádání jedné ze smluvních stran.
4.5. Objednatel je oprávněn průběžně kontrolovat provádění předmětu plnění této smlouvy svými pověřenými zaměstnanci nebo prostřednictvím jiné osoby, kterou k tomuto účelu pověří.
4.6. Objednatel umožní pověřeným osobám zhotovitele za účelem provedení konzultací a analýzy rizik přístup do svých objektů a prostřednictvím svých zaměstnanců k informacím, které budou nezbytné pro řádné splnění povinností zhotovitele. Xxxxxxxxxx se zavazuje po ukončení smluvního vztahu dle této smlouvy objednateli vrátit bez zbytečného odkladu vše, co z jeho majetku použil při plnění této smlouvy. Zaměstnanci zhotovitele s právem přístupu dle tohoto ujednání jsou uvedeni v příloze č. 1 této smlouvy.
5. Cena a platební podmínky
5.1. Cena díla (bez DPH v zákonné výši) byla sjednána smluvními stranami v celkové výši 95.000 Kč (slovy: devadesátpěttisíc korun českých). Cena díla (včetně DPH v zákonné výši) celkem činí částku ve výši 114.950 Kč (slovy: jednostočtrnáctisícdevětsetpadesát korun českých).
5.2. V ceně díla jsou zahrnuty cestovní náklady zhotovitele na cestu „do“ a „z“ místa plnění ve výši dle platné právní úpravy.
5.3. Cena díla, spolu s DPH v zákonné výši, bude zhotovitelem objednateli účtována po předání a převzetí díla, postupem upraveným v článku 2. této smlouvy, a to fakturou s náležitostmi daňového dokladu se splatností do 30 (třiceti) dnů ode dne doručení faktury objednateli.
5.4. Závazek zaplatit cenu je splněn okamžikem připsání vyúčtované peněžní částky na účet zhotovitele.
5.5. Pro případ prodlení objednatele se zaplacením ceny díla nebo jeho části, je zhotovitel oprávněn vyúčtovat objednateli úrok z prodlení v zákonné výši.
5.6. Do doby úplné úhrady v této smlouvě o dílo dohodnuté ceny díla zůstává předmět díla ve vlastnictví zhotovitele (výhrada vlastnického práva). Objednatel není oprávněn bez předchozího písemného souhlasu zhotovitele prodat či jinak převést předmět díla, jehož cena nebyla dosud zhotoviteli uhrazena, třetí osobě, na díle však nese nebezpečí škody.
5.7. Nastane-li zcela mimořádná nepředvídatelná okolnost, která dokončení díla podstatně ztěžuje, může soud podle svého uvážení rozhodnout o spravedlivém zvýšení ceny za dílo, anebo o zrušení smlouvy a o tom, jak se strany vypořádají.
6. Smluvní pokuty, úrok z prodlení škoda
6.1. Pro případ prodlení objednatele se zaplacením sjednané ceny díla, je zhotovitel oprávněn vyúčtovat objednateli smluvní pokutu ve výši 0,05 % z dlužné částky za každý započatý den prodlení. Objednatel se zavazuje takto vyúčtovanou smluvní pokutu zhotoviteli zaplatit ve lhůtě do 15 (slovy: patnácti) kalendářních dnů ode dne doručení jejího vyúčtování.
6.2. Pro případ prodlení zhotovitele s provedením díla dle článku 1 odst. 1.4., je objednatel oprávněn vyúčtovat zhotoviteli smluvní pokutu ve výši 0,05 % z ceny díla, za každý započatý den prodlení zhotovitele s provedením díla nebo jeho ucelené části. Zhotovitel se zavazuje takto vyúčtovanou smluvní pokutu objednateli zaplatit ve lhůtě do 15 (slovy: patnácti) kalendářních dnů ode dne doručení jejího vyúčtování.
6.3. Zaplacení smluvní pokuty nezbavuje dlužníka povinnosti plnit dluh (či závazek) smluvní pokutou utvrzený.
6.4. Kdo z účastníků této smlouvy porušil právní povinnost, nebo kdo může a má vědět, že ji poruší, oznámí to bez zbytečného odkladu druhé smluvní straně, které z toho může újma vzniknout, a upozorní ji na možné následky. Splní-li oznamovací povinnost, nemá poškozený právo na náhradu té újmy, které mohl po oznámení zabránit.
6.5. V otázkách náhrady majetkové újmy (škody) a jiné újmy a odpovědnosti zhotovitele či objednatele za újmu (deliktní odpovědnost) smluvní strany plně odkazují na úpravu občanského zákoníku. Dále odkazují na úpravu zvláštních právních předpisů, zejména veřejnoprávních.
6.6. Smluvní strany v souladu s ust. § 2898 NOZ výslovně omezují rozsah náhrady veškeré případně vzniklé škody dle předchozí věty tohoto odstavce tak, že tato náhrada škody, po prokázání její výše, může činit nejvýše částku ve výši ceny díla dle této smlouvy. Náhrady škody nad tuto částku se poškozená strana tímto ujednáním výslovně vzdává, s výjimkou případu, vznikla-li škoda úmyslně. Smluvní strany se zavazují, že neuplatní vůči sobě žádný nárok na náhradu škody v rozporu s tímto ujednáním.
7. Ochrana průmyslového nebo jiného duševního vlastnictví a ochrana informací
7.1. Je-li výsledkem nebo součástí provedeného díla dle této smlouvy výsledek, který je nebo bude chráněn právem jako průmyslové nebo jiné duševní vlastnictví, je objednatel oprávněn jej využívat jen k účelu a způsobem vyplývajícím z této smlouvy. Pro další využití je povinen uzavřít se zhotovitelem příslušnou smlouvu v souladu se zákonem.
7.2. Pokud si smluvní strany při uzavírání této smlouvy o dílo nebo v průběhu realizace předmětu této smlouvy o dílo navzájem poskytnou informace přímo, nepřímo, ústně a písemně, které jsou předmětem obchodního tajemství nebo je označí jako důvěrné, nesmí tyto informace poskytnout, zpřístupnit či jinak sdělit třetím subjektům nebo je využít pro sebe v rozporu se zájmy druhé smluvní strany, popřípadě k jinému účelu – než k tomu, pro který jí byly sděleny. Porušení této povinnosti bude dotčená strana považovat za nekalou soutěž s tím, že právo na náhradu škody tím není dotčeno.
7.3. S ohledem na charakter činnosti objednatele, který je oprávněným správcem osobních údajů ve smyslu zákona, se zhotovitel zavazuje prokazatelně poučit své zaměstnance i případné subdodavatele o jejich povinnosti neseznamovat se při své činnosti s osobními údaji z IS objednatele a pokud by tento závazek nemohl být dodržen z důvodu splnění povinností zhotovitele, zaváže je k naprosté mlčenlivosti o osobních údajích v IS objednatele, s nimiž se seznámil a to i po skončení jeho pracovněprávního či obchodního vztahu ke zhotoviteli.
7.4. Smluvní strany po přečtení této smlouvy prohlašují, že souhlasí s jejím obsahem, že tato smlouva byla sepsána vážně, určitě, srozumitelně a na základě jejich pravé a svobodné vůle, na důkaz čehož připojují své podpisy. Smlouva nabývá platnosti dnem podpisu smluvních stran, kterým obě smluvní strany zároveň vyjadřují svůj souhlas se zveřejněním této smlouvy dle zákona č. 340/2015 Sb., ve znění pozdějších předpisů. Zveřejnění
v registru smluv provede objednatel, který bude informovat zhotovitele o uveřejnění smlouvy na e-mail, uvedený v záhlaví této smlouvy.
7.5. Smluvní strany přejímají a dále rozvádějí pro účely této smlouvy úpravu ust. § 1730 NOZ takto:
a) poskytnou-li si strany při jednání o smlouvě údaje a sdělení, má každá ze stran právo vést o nich záznamy, i když smlouva nebude uzavřena;
b) získá-li strana při jednání o smlouvě o druhé straně důvěrný údaj nebo sdělení, dbá, aby nebyly zneužity, nebo aby nedošlo k jejich prozrazení bez zákonného důvodu. Poruší-li tuto povinnost a obohatí-li se tím, vydá druhé straně to, oč se obohatila;
c) zhotovitel smí poskytnout informace získané na základě uzavření nebo plnění této smlouvy třetí osobě pouze po předchozím písemném souhlasu objednatele a to za podmínek objednatelem stanovených. Třetí osobou pro účely této smlouvy nejsou zaměstnanci zhotovitele, kteří se přímo podílejí na plnění této smlouvy, členové statutárního a dozorčího orgánu zhotovitele, pracovníci právní služby nebo technické kontroly, auditor a daňový poradce. To neplatí, stanoví-li zákon jinak,
d) smluvní strany se zavazují nešířit ani neposkytnout třetím osobám jakékoliv podklady, znalosti, informace a skutečnosti, se kterými se seznámily při realizaci této smlouvy a zavazují se tyto utajit před třetími osobami jak během trvání smlouvy, tak i po dobu 10 (deseti) let po jejím skončení,
e) smluvní strany jsou povinny přijmout veškeré vhodné kroky, aby všichni jejich zaměstnanci, zástupci a reprezentanti dodržovali ustanovení této smlouvy o utajení důvěrných informací.
8. Práva z vadného plnění a způsob uplatňování práv z vadného plnění
8.1. Dílo má vadu, neodpovídá-li této smlouvě o dílo.
8.2. Objednatel a zhotovitel berou na vědomí, že o právech objednatele z vadného plnění zhotovitele platí obdobně příslušná ustanovení občanského zákoníku o kupní smlouvě.
8.3. Právo objednatele z vadného plnění zakládá vada, kterou má dílo při jeho předání objednateli.
8.4. Pokud neoznámil objednatel zhotoviteli vady díla bez zbytečného odkladu poté, kdy je zjistil nebo při náležité pozornosti zjistit měl (nejpozději však do dvou let od předání díla) a namítne-li zhotovitel, že právo objednatele bylo uplatněno opožděně, soud objednateli právo z vadného plnění nepřizná.
8.5. Objednatel je povinen dokončené dílo při jeho předání od zhotovitele řádně prohlédnout a přesvědčit se o jeho vlastnostech a způsobilosti sloužit svému účelu.
8.6. Dokončené dílo, kterým se rozumí dílo, u kterého byla objednateli zhotovitelem předvedena jeho způsobilost sloužit svému účelu, převezme objednatel bez výhrad nebo s výhradami. Bylo-li dílo objednatelem převzato bez výhrad, platí, že soud nepřizná objednateli právo ze zjevné vady díla, pokud zhotovitel namítne, že právo nebylo objednatelem uplatněno včas.
8.7. Vadným plněním je tato smlouva o dílo porušena buď podstatným, nebo nepodstatným způsobem. Podstatné je takové porušení povinnosti, o němž strana porušující smlouvu o dílo již při uzavření smlouvy o dílo věděla nebo musela vědět, že by druhá strana smlouvu o dílo neuzavřela, pokud by toto porušení předvídala; v ostatních případech platí, že porušení podstatné není.
8.8. Je-li vadné plnění podstatným porušením smlouvy o dílo, má objednatel právo na odstranění vady formou provedení nového díla bez vady nebo na dodání chybějícího komponentu díla, nebo právo na odstranění vady díla, nebo právo na přiměřenou slevu z ceny díla, anebo má právo odstoupit od smlouvy o dílo. Objednatel je povinen sdělit zhotoviteli, jaké právo z vadného plnění si zvolil, a to při oznámení konkrétní vady zhotoviteli, nebo bez zbytečného odkladu po oznámení konkrétní vady zhotoviteli s tím, že provedenou volbu nemůže objednatel změnit bez souhlasu zhotovitele; ledaže uplatnil objednatel opravu vady, která se ukáže jako neopravitelná.
8.9. Neodstraní – li zhotovitel vady v přiměřené lhůtě, či oznámí-li zhotovitel objednateli, že vady neodstraní, může objednatel požadovat místo odstranění vady přiměřenou slevu z ceny díla, nebo může od smlouvy o dílo odstoupit. Neoznámil-li objednatel vadu díla zhotoviteli včas, pozbývá právo od této smlouvy o dílo odstoupit.
8.10. Objednatel nemůže od smlouvy o dílo odstoupit, ani požadovat provedení nového díla, nemůže-li předmět díla vrátit zhotoviteli v tom stavu, v jakém jej převzal. To neplatí, došlo-li ke změně stavu díla v důsledku prohlídky za účelem zjištění vady díla, nebo použil-li objednatel předmět díla ještě před objevením vady, nebo nezpůsobil-
li objednatel nemožnost vrácení předmětu díla v nezměněném stavu jednáním anebo opomenutím, nebo prodal-li objednatel předmět díla ještě před objevením vady, spotřeboval-li jej, xxxxx pozměnil-li předmět díla při obvyklém použití.
8.11. Je-li vadné plnění nepodstatným porušením smlouvy o dílo, má objednatel právo na odstranění vady díla, anebo na přiměřenou slevu z ceny díla.
8.12. Práva z vadného plnění se uplatňují u zhotovitele v jeho sídle, uvedeném v záhlaví této smlouvy.
8.13. Zhotovitel rozhodne o reklamaci do 10 pracovních dnů. Do této lhůty se nezapočítává doba přiměřená podle druhu díla, potřebná k odbornému posouzení vady díla. Reklamaci včetně odstranění vady díla zhotovitel vyřídí nejpozději do 10 kalendářních dnů ode dne uplatnění reklamace objednatelem
9. Doba trvání smlouvy a odstoupení od smlouvy
9.1. Tuto smlouvu lze ukončit způsoby upravenými v občanském zákoníku.
9.2. Od této smlouvy lze odstoupit, ujednají-li si to smluvní strany, nebo stanoví-li tak zákon.
9.3. Poruší-li smluvní strana smlouvu podstatným způsobem, může druhá strana bez zbytečného odkladu od této smlouvy odstoupit. Podstatné je takové porušení povinnosti, o němž strana porušující smlouvu již při uzavření smlouvy věděla nebo musela vědět, že by druhá strana smlouvu neuzavřela, pokud by toto porušení předvídala; v ostatních případech se má za to, že porušení podstatné není.
9.4. Smluvní strana může rovněž od této smlouvy odstoupit bez zbytečného odkladu poté, co z chování druhé strany nepochybně vyplyne, že poruší smlouvu podstatným způsobem, a nedá-li na výzvu oprávněné strany přiměřenou jistotu.
9.5. Objednatel je oprávněn až do dokončení díla od této smlouvy odstoupit:
a) zjistí-li, že zhotovitel porušuje svou povinnost provádět dílo včas a řádným způsobem a zhotovitel ani
v přiměřené době dle ust. § 2593 NOZ neučiní nápravu, pokud by postup zhotovitele nepochybně vedl k podstatnému porušení smlouvy,
b) zjistí-li, že zhotovitel odtajnil informace dle článku 7 odst. 7.2. této smlouvy; a
c) z ostatních důvodů uvedených v občanském zákoníku.
9.6. Odstoupí-li objednatel od této smlouvy před dokončením díla z jiného důvodu, než je uveden v odstavci 9.5. písm. a) nebo b), popř. bez udání důvodu odstoupení, je povinen zaplatit zhotoviteli část ceny, která připadá na práce již vykonané, pokud zhotovitel nemůže jejich výsledek použít jinak a nahradit mu účelně vynaložené náklady. V předchozí větě uvedená část ceny bude určena hodnota dosud provedených prací; hodnota dosud provedených prací bude zhotovitelem stanovena na základě rozpisu provedených prací jako přiměřená cena těchto prací.
9.7. Zhotovitel má právo odstoupit od smlouvy:
a) v případě, kdy k provedení díla je nutná součinnost objednatele, uplyne-li marně lhůta dle ust. § 2591 NOZ a objednatel neposkytne potřebnou součinnost ani po předchozím upozornění zhotovitele na možnost odstoupení od smlouvy, nebo
b) trvá- li objednatel na provedení díla dle zřejmě nevhodného pokynu nebo s použitím zřejmě nevhodné věci i po zhotovitelově upozornění,
c) při prodlení objednatele se zaplacením ceny nebo její části v případě, kdy prodlení trvalo déle než jeden kalendářní měsíc; a
d) z ostatních důvodů uvedených v občanském zákoníku.
9.8. Každá smluvní strana je touto smlouvou oprávněna odstoupit od této smlouvy v případě, že u druhé smluvní strany byl soudem zjištěn úpadek nebo na její majetek byla prohlášena soudem exekuce nebo výkon
rozhodnutí.
9.9. Odstoupením od smlouvy se tato smlouva zrušuje od počátku.
9.10. Plnila-li smluvní strana (dlužník) zčásti, může druhá strana (věřitel) od smlouvy odstoupit jen ohledně nesplněného zbytku plnění. Nemá-li však částečné plnění pro věřitele význam, může věřitel od smlouvy odstoupit ohledně celého plnění.
9.11. Oznámení o odstoupení musí být učiněno písemně a odesláno doporučeně na adresu druhé smluvní strany uvedenou v záhlaví této smlouvy; účinnosti nabývá dnem doručení. Ve všech případech odstoupení od smlouvy jsou strany povinny vrátit si vzájemná plnění v rozsahu a za podmínek stanovených českým
občanským zákoníkem.
9.12. V ostatním ohledně odstoupení a jeho účinků strany odkazují na použití občanského zákoníku.
10. Ostatní a závěrečná ujednání
10.1. Případné spory obou stran se budou řešit přednostně dohodou. Nedojde-li k dohodě, rozhodne věcně a místně příslušný soud České republiky dle českého práva.
10.2. Obě smluvní strany, při znalosti svých hospodářských a právních poměrů, prohlašují, že nejsou slabší smluvní stranou ve smyslu občanského zákoníku a jsou podnikateli ve smyslu platné právní úpravy.
10.3. Smluvní strany se dohodly, že pro tento svůj závazkový vztah vylučují použití ustanovení § 558 odst. 2 NOZ, ustanovení § 1740 odst. 2 a 3 NOZ, ustanovení § 1765 NOZ, ustanovení § 1978 odst. 2 NOZ, ustanovení § 2093 NOZ.
10.4. Obě smluvní strany prohlašují, že měly skutečnou příležitost ovlivnit obsah této smlouvy a že tato smlouva nebyla uzavřena výhradně formou užití smluvního formuláře.
10.5. Obě smluvní strany prohlašují, že se měly možnost seznámit se všemi doložkami a přílohami odkazujícími mimo vlastní text smlouvy a s jejich významem.
10.6. Smluvní strany vylučují možnost postoupení práv a povinnosti z této smlouvy na třetí osobu bez předchozího písemného souhlasu druhé smluvní strany (§ 1895 NOZ).
10.7. Vyskytnou-li se události, které jednomu nebo oběma stranám částečně nebo úplně znemožní plnění jejich povinností podle smlouvy, jsou povinni se o tom bez zbytečného prodlení informovat a společně podniknout kroky k jejich překonání.
10.8. Tato smlouva může být měněna a doplňována pouze písemně, formou písemných dodatků podepsaných oběma smluvními stranami. Tím je vyloučena možnost měnit obsah této smlouvy v jiné formě (§ 564 NOZ). K písemným návrhům na změnu této smlouvy se strany zavazují vyjádřit písemně ve lhůtě 15 dnů od doručení návrhu na změnu (dodatku) smlouvy druhé straně. Po tuto dobu je tímto návrhem vázána strana, která návrh dodatku doručila.
10.9. Písemnou formou se pro účely této smlouvy rozumí elektronická zpráva (e-mail) za předpokladu připojení uznávaného elektronického podpisu pod takovou zprávou a za předpokladu dodržení ust. § 562 NOZ. Elektronická zpráva (e-mail) se však nepovažuje za zprávu učiněnou v písemné formě, jde-li o změnu či doplnění této smlouvy nebo uplatnění nároku ze smlouvy nebo v souvislosti s ní. K dodržení požadavku písemné formy je třeba, aby všechny nároky nebo právní jednání o změně či doplnění této smlouvy byly uplatněny doporučeným dopisem, cestou držitele poštovní licence. Za datum uplatnění se považuje datum podacího razítka držitele poštovní licence.
10.10. Písemnosti se považují za doručené i v případě, že kterákoliv ze stran její doručení odmítne či jinak znemožní.
10.11. Pokud oddělitelné ustanovení této smlouvy je nebo se stane neplatným či nevynutitelným, nemá to vliv na platnost zbývajících ustanovení této smlouvy. V takovém případě se strany této smlouvy zavazují uzavřít do 10 (deseti) pracovních dnů od výzvy druhé ze stran této smlouvy dodatek k této smlouvě nahrazující oddělitelné ustanovení této smlouvy, které je neplatné či nevynutitelné, platným a vynutitelným ustanovením odpovídajícím hospodářskému účelu takto nahrazovaného ustanovení.
10.12. Vše, co bylo dohodnuto před uzavřením smlouvy, je právně irelevantní a mezi stranami platí jen to, co je dohodnuto ve smlouvě.
10.13. Tato smlouva je uzavřena a nabývá účinnosti dnem jejího zveřejnění v registru smluv.
10.14. Tato smlouva je sepsána a podepsána ve 2 (dvou) vyhotoveních rovné právní síly v jazyce českém, přičemž znění v jazyce českém je rozhodující i pro případ jejího výkladu a výkladu jejích případných překladů do jiných jazyků. Každá strana obdrží jedno vyhotovení této smlouvy.
10.15. Účastníci smlouvy si tuto přečetli, prohlašují, že smlouvě rozumí, že byla sepsána podle jejich pravé a svobodné vůle a na důkaz toho připojují své vlastnoruční podpisy pod každý list této smlouvy, a to i jako deklaraci svých platných jednatelských oprávnění.
10.16. Nedílnou součástí této smlouvy jsou tyto její přílohy, které budou takto označeny a podepsány oběma stranami s uvedením data, o nichž strany prohlašují, že je mají k dispozici:
10.16.1. Příloha číslo 1: Seznam oprávněných zaměstnanců objednatele a zhotovitele.
10.16.2. Příloha číslo 2: Specifikace předmětu zakázky.
10.17. Všechny přílohy k této smlouvě, takto označené, jsou její nedílnou součástí. V případě, že přílohy k této smlouvě mění tuto smlouvu, vyžaduje se pro její přijetí dohodnutý kontraktační postup včetně signování všech stran přílohy oprávněnými osobami objednatele i zhotovitele.
Za objednatele: Za zhotovitele:
V Bohumíně dne 02.11.2017 V Ostravě dne 06.11.2017
……………………………………… ……………………………………….
Xxx. Xxxx Xxxxx Xxx. Xxxxxxxx Xxxxxxx
starosta města předseda představenstva
Městem Bohumín a VIAVIS a.s.
Seznam oprávněných zaměstnanců objednatele a zhotovitele
Seznam zaměstnanců objednatele:
XXXXXXXX XXXXXXXX XXXXXXXX
Seznam zaměstnanců zhotovitele:
XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
Městem Bohumín a VIAVIS a.s. Specifikace předmětu zakázky
Předmětem plnění je provedení bezpečnostních testů ICT infrastruktury a IS zadavatele v níže uvedením rozsahu. Realizace prověření bezpečnosti bude zohledňovat zásadní požadavek zadavatele týkající se bezpečnostních rizik.
Navržené metody a postupy nesmí zvýšit bezpečnostní rizika oproti současnému stavu. Dále nesmí způsobit nestabilitu prostředí, která by způsobila významné potíže pracovníkům s užíváním informačních systémů. Tento požadavek bude zohledněn tak, že:
- Realizátor prověření bezpečnosti je povinen vždy dopředu oznámit pověřené osobě
zadavatele čas a charakter testování tak, aby v případě nestability systému mohl zadavatel včas zorganizovat řešení.
- Prověření bezpečnosti proběhne v dohodnutou dobu, tak aby byly minimalizovány případné dopady. Např. mimo obvyklou pracovní dobu v pátek odpoledne a sobotu apod.
- Veškeré agresivní testy budou předem konzultovány se zadavatelem.
Prověření bude prováděno v souladu se standardem OSSTMM (Open-Source Security Testing Methodology Manual) a OWASP (OWASP (Open Web Application Security Project).
A. Externí penetrační testy
Při realizaci bude prověřena bezpečnost a funkčnost prvků v síti úřadu dostupných z veřejné sítě internet. Při testech se bude vycházet z veřejně známých informací o prvcích v síti. Externí penetrační testy budou prováděny z prostředí
internetu a testování bude typu zero knowledge a následně při plné znalosti topologie. Jejich cílem je prověření bezpečnosti veřejně dostupných systémů. Externí penetrační testy se budou skládat z:
- testů k získání informací, identifikace funkčních systémů,
- všeobecných testů zranitelnosti,
- testů týkajících se charakteristiky infrastruktury systému,
- testů spolehlivosti konfigurace,
- testů existence backdoors,
- testů autentizace a schémat pro kontrolu přístupu,
- testů firewallů,
- testů routerů,
- kontroly operačních systémů,
- testů aplikačních chyb a vad v systému,
- testů nedostatečného provozního zabezpečení,
- testování slabých míst zahrnující body selhání s cílem způsobit odmítnutí služeb webových aplikací.
B. Analýza bezpečnosti webů města – xxx.xxxxx-xxxxxxx.xx a xxx.xxxxxxxx-xxxxxxx.xx
- Injektování (Injection) - chyby umožňující napadení aplikace vložením kódu přes neošetřený vstup.
- Chybná autentizace a správa sezení (Broken Authentication and Session Management) zranitelnosti umožňující napadení funkcí aplikace, které souvisí s autentizací a správou sezení s cílem převzít identitu jiného uživatele.
- Cross Site Scripting (XSS) - zranitelnosti umožňující napadení vkládáním skriptů či jejich částí do webového prohlížeče.
- Nezabezpečený přímý odkaz na objekt (Insecure Direct Object References) – chyby umožňující neoprávněné přístupy k datům nezabezpečeným přístupem k vnitřnímu objektu aplikace (souboru, adresáři, databázovému klíči).
- Chybná konfigurace (Security Misconfiguration) - zranitelnost umožňující napadení využitím nedostatků v
zabezpečení konfigurací aplikačních serverů, webových serverů, databázových serverů, softwarových platforem atd. (např. ponecháním výchozích hodnot, neaktualizováním aj.).
- Expozice citlivých dat (Sensitive Data Exposure) - zranitelnosti umožňující napadení nechráněných citlivých dat (mimo kontroly přístupu). A to od chvíle, kdy je uživatel zadá, jsou odeslány a uloženy v aplikaci až po poslání (zpět) do prohlížeče.
- Nezabezpečený přímý odkaz na objekt (Insecure Cryptographic Storage) - rizika vyplývající z nedostatečně chráněných citlivých dat (čísla kreditních karet, rodná čísla atd.) šifrováním.
- Nezabezpečená komunikace (Insufficient Transport Layer Protection) – zranitelnosti umožňující napadení odposlechem sítí. Ohrožení dat na straně prohlížeče.
- Chyby v řízení úrovní přístupů (Missing Function Level Access Control) - špatná kontrola ACL (Access Control List) a URL (Failure to Restrict URL Access) – zranitelnosti umožňující napadení nedostatečně zabezpečeným řízením přístupu ke zdrojům informací (dokument, služba) přes URL. Zranitelnosti umožňující napadení neoprávněným přístupem k funkcionalitě.
- Cross-Site Request Forgery (CSRF) - zranitelnosti umožňující napadení podvržením požadavku webové aplikace.
CSRF útočníkovi umožňuje prohlížeč oběti donutit k vykonání předem autentizovaného požadavku nezabezpečenou aplikací.
- Použití známých zranitelností komponent (Using Known Vulnerable Components).
- Neošetřené přesměrování (Unvalidated Redirects and Forwards) - zranitelnosti umožňující napadení přesměrováním na jiné stránky.
- Citlivost na Google Hacking - zbytečné informace usnadňující napadení webu, únik dat na Internet.
- Embedování IFRAME – integrace IFRAME objektů.
C. Interní penetrační testy
Bude proveden řízený útok na síť úřadu z vnitřní sítě (LAN) a síť bezpečnostních kamer městské policie Bohumín, tj. bude simulováno počínání potencionálního útočníka pokoušejícího se o průnik z vnitřní sítě. Interní penetrační testy budou
prováděny z prostředí interní LAN sítě úřadu. Jejich cílem je prověření bezpečnosti systému v rámci jeho provozního prostředí a provozu interní sítě, kde se dá předpokládat nižší úroveň zabezpečení. Interní penetrační testy budou
částečně kopírovat externí testy pro interní datovou síť a dále budou zaměřeny na:
- odposlech komunikace se systémem,
- odchycení a přesměrování této komunikace,
- zneužití odchycených informací a komunikace směrem k aplikačním službám (serverům),
- útoky na uživatele systému prostřednictvím tohoto systému.
XXXXXXXX XXXXXXXX
D. Penetrační testy na bezdrátovou Wi-Fi síť
Bude proveden řízený útok na bezdrátovou Wi-Fi síť úřadu, tj. bude simulováno počínání potencionálního útočníka pokoušejícího se o průnik z bezdrátové Wi-Fi sítě do vnitřní sítě úřadu. Cílem je prověření bezpečnosti systému v rámci jeho provozního prostředí a provozu sítě, kde se dá předpokládat nižší úroveň zabezpečení. Penetrační testy budou
částečně kopírovat externí testy pro interní datovou síť a dále budou zaměřeny na:
- odposlech komunikace se systémem
- odchycení a přesměrování této komunikace
- zneužití odchycených informací a komunikace směrem k aplikačním službám (serverům)
- útoky na uživatele systému prostřednictvím tohoto systému
E. Testy metodou sociálního inženýrství
Budou prověřeny následující oblasti:
- Přístup do lokalit úřadu.
- Získání přístupu k výpočetním prostředkům uživatelů a do systémů do kterých mají přístup.
- Obecně získání přístupů do lokalit (kanceláří) jednotlivých odborů s cílem získání osobních/citlivých, obecně neveřejných informací.
Lokalitou je ve výše zmíněném kontextu myšleno sídlo úřadu a její pobočky (konkrétní lokality s termíny testování budou upřesněny v dokumentaci k projektu - scénáři). Využity budou techniky telefonátů, osobních návštěv, komunikačních
kanálů, prostředků internetu a e-mailu.
X. Xxxxxxxx opatření
Konzultační a systémové služby (např. konfigurace a rekonfigurace firewallu, síťových prvků, systémových a síťových prvků) v místě zadavatele za účelem aplikace klíčových nápravných opatření v rozsahu 2 pracovních dnů (16
člověkohodin).
Výstupy penetračních testů
Výstupem prověření bezpečnosti bude písemný dokument. Zpráva o provedeném prověření bezpečnosti, která bude zahrnovat zejména:
- Popis metodiky prověření bezpečnosti a použitých nástrojů.
- Podrobný popis průběhu prověření bezpečnosti.
- Podrobný popis dosažených výsledků, zranitelností, výstupů prověření. Zpráva musí jasně označit veškeré neznámé anomálie, uvést úspěšná i neúspěšná bezpečnostní měření.
- Návrh protiopatření k eliminaci identifikovaných zranitelností. Zpráva bude obsahovat pouze kvantitativní metriky měření, které musí být založeny pouze na faktech a musí se vyvarovat jakékoli subjektivní interpretaci.
Zpráva o provedeném prověření bezpečnosti bude doručena a prezentována zadavateli.