SERVISNÍ SMLOUVA
uzavřená v souladu s § 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „OZ“)
mezi stranami:
Česká republika - Státní ústav pro kontrolu léčiv, organizační složka státu IČ: 00023817
se sídlem: Xxxxxxxxx 00, 000 00, Xxxxx 00
zastoupena: Mgr. Xxxxxx Xxxxxxxx, pověřenou řízením Státního ústavu pro kontrolu léčiv příkazem k zastupování
bankovní spojení, č.ú.: 623101/0710
(dále jen "Objednatel") a
ICT Energo, s.r.o.
IČ: 29268826
DIČ: CZ29268826
se sídlem: Xxxxxxxxx xxxxx 00, 000 00 Xxxx zastoupen: Xxxxxxxx Xxxxxxxxxx, jednatelem bankovní spojení, č.ú.: 2692125339/0800
(dále jen „Poskytovatel“)
(Objednatel a Poskytovatel dále společně také jen jako „smluvní strany“)
Preambule
Objednatel vyhlásil jako zadavatel veřejné zakázky výběrové řízení č. ZMR05/2018 „Technická a servisní podpora bezpečnostního perimetru", v němž byla nabídka podaná Poskytovatelem vyhodnocena jako nejvýhodnější, a proto Objednatel s Poskytovatelem jako vybraným dodavatelem uzavírá tuto smlouvu o poskytování servisní podpory (dále jen „Smlouva“):
Článek 1.
Předmět a účel Smlouvy
1.01 Objednatel je vlastníkem následujícího HW a uživatelem následujícího SW:
a) HW
b) SW
- HW Moduly Cisco (switche, appliance, moduly)
- Firewall včetně připojení ke vstupnímu bodu internetu
- Webové PROXY
- Emailové gateway
- Certifikační autority
- Interní VPN
HW a SW vybavení uvedené výše pod písm. a) a b) je specifikováno v Příloze č. 1 této Smlouvy a dále je souhrnně označováno jako "vybraný HW a SW". Poskytovatel je povinen poskytovat Služby v rozsahu této Smlouvy i pro další HW a SW, který bude dodán či vytvořen v rámci poskytování Služeb během trvání této Smlouvy.
1.02 Touto Smlouvou se Poskytovatel zavazuje poskytovat Objednateli služby spočívající v servisní technické podpoře vybraného HW a SW, a to po dobu 12 měsíců od data účinnosti této Smlouvy. Služby servisní a technické podpory se Poskytovatel zavazuje poskytovat Objednateli Služby v následujícím rozsahu:
a) realizace jednorázových prací souvisejících s počátkem poskytování Služeb,
b) poskytování reaktivní podpory vybraného HW a SW,
c) poskytování proaktivní podpory vybraného HW a SW,
d) řešení změnových požadavků vybraného HW a SW,
e) další služby vybraného HW a SW.
(dále jen souhrnně „Služby“, jednotlivě „Služba“).
Bližší specifikace jednotlivých Služeb a režimu jejich poskytování je obsažena v čl. 2 a v Příloze č. 2 této Smlouvy, která je její nedílnou součástí. Poskytovatel je povinen zajistit dostupnost vybraného HW a SW a vybraných Služeb v rozsahu stanoveném v Příloze č. 2 této Smlouvy.
1.03 Objednatel se zavazuje za Služby poskytované v souladu s touto Smlouvou zaplatit Poskytovateli sjednanou cenu.
1.04 Poskytovatel podpisem této Smlouvy potvrzuje, že dnem nabytí účinnosti této Smlouvy převzal do své správy vybraný HW a SW ve stavu popsaném v Příloze č. 1 této Smlouvy. Od okamžiku akceptace dokumentace dle odst. 2.01 písm. a) bez výhrad je pro účely této Smlouvy pro obě smluvní strany určující stav vybraného HW a SW, definovaný a specifikovaný v této dokumentaci.
1.05 Objednatel v souladu s § 4a odst. 1 zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, ve znění pozdějších předpisů (dále jen „ZoKB“) informuje Poskytovatele, že vybraný HW a SW je podpůrným prvkem kritické informační infrastruktury a významného informačního systému ve smyslu § 2 písm. b) a d) ZoKB a Objednatel je ve smyslu § 2 písm. e) ZoKB správcem vybraného HW a SW, přičemž Poskytovatel bere toto na vědomí. Poskytovatel rovněž bere na vědomí, že se po dobu účinnosti této Smlouvy stává provozovatelem vybraného HW a SW ve smyslu § 2 písm.
g) ZoKB a dle § 3 písm. c) a e) rovněž osobou, jíž jsou v této souvislosti ZoKB a příslušnými prováděcími předpisy ukládány povinnosti v oblasti kybernetické bezpečnosti.
1.06 Účelem této Smlouvy je zajištění spolehlivého a bezvadného provozu vybraného HW a SW, tak aby byly naplněny úkoly Objednatele stanovené právními předpisy.
Článek 2.
Režim a doba poskytování Služeb
2.01 Služby dle odst. 1.02 písm. a) této Smlouvy budou poskytnuty jednorázově v níže uvedených termínech a zahrnují:
a) provedení vstupní analýzy současného stavu vybraného HW a SW; výstupem této analýzy bude dokumentace, jejíž obsah je specifikován v Příloze č. 2 této
Smlouvy. Dokumentace bude předána Objednateli k akceptaci do 1 měsíce od nabytí účinnosti této Smlouvy.
b) zprovoznění helpdeskového systému a poskytnutí přístupových údajů oprávněným osobám Objednatele. Helpdeskový systém bude předán Objednateli k akceptaci do 20 kalendářních dnů od nabytí účinnosti této Smlouvy.
c) realizace monitoringu. Monitorovací systém bude předán Objednateli k akceptaci
do 1 měsíce od nabytí účinnosti této Smlouvy.
d) proškolení určených zaměstnanců Objednatele. Proškolení bude probíhat tak, aby určení zaměstnanci Objednatele byli proškoleni nejpozději do 3 měsíců od nabytí účinnosti této Smlouvy.
Bližší specifikace jednorázových Služeb dle tohoto odstavce je uvedena v Příloze č. 2 této Smlouvy.
2.02 Služby dle odst. 1.02 písm. b) až e) Smlouvy budou poskytovány po celou dobu účinnosti této Smlouvy ve dvou režimech dle níže uvedené tabulky, tj. část Služeb bude poskytována nepřetržitě v režimu 24 hodin x 7 dní v týdnu (označena jako „N“) a část Služeb bude poskytována v pracovní dny od 8:00 do 18:00 hodin (označena jako „P“).
2.03 Požadavky na reakční časy pro jednotlivé Služby uvedené v níže uvedené tabulce jsou započitatelné pouze v rámci času uvedeného v odstavci 2.02 Smlouvy. Započítávaný čas poskytované Služby označené jako „P“ se každý pracovní den v 18:00 pozastavuje.
Označení | Název Služby | Režim poskytování | Rozsah čerpání Služby |
REAKTIVNÍ PODPORA | |||
SP-1 | Servisní požadavky typu kritická závada | N | A |
SP-2 | Servisní požadavky typu závažná závada | N | A |
SP-3 | Servisní požadavky typu ostatní závada | N | A |
RP-1 | Provozní podpora | N | A |
PROAKTIVNÍ PODPORA | |||
PM-1 | Proaktivní monitoring | N | A |
ZMĚNOVÉ POŽADAVKY | |||
RZ-1 | Identifikace a specifikace změny | P | B |
RZ-2 | Realizace změnových požadavků | P | B |
DALŠÍ SLUŽBY | |||
PP-1 | Produktová podpora SW a HW třetích stran | P | A |
PP-2 | Provoz helpdeskového systému | N | A |
PP-3 | Vedení dokumentace | P | A |
SK-1 | Školení | P | B |
KB-1 | Oznamování incidentu narušení kybernetické bezpečnosti | N | A |
2.04 Rozsah čerpání vybraných Služeb dle odstavce 2.03 Smlouvy, označených jako „A“, není v rámci měsíční paušální platby dle odst. 5.02 Smlouvy časově omezen.
2.05 Rozsah čerpání vybraných Služeb dle odstavce 2.03 Smlouvy, označených jako „B“, je v rámci měsíční paušální platby dle odst. 5.02 Smlouvy časově omezen, a to na 5 člověkodní (dále jen „ČD“) za kalendářní měsíc v úhrnu za všechny Služby označené jako „B“. Nevyčerpanou část ČD v rámci kalendářního měsíce lze převádět a kumulovat po celou dobu platnosti a účinnosti této Smlouvy. Podkladem pro čerpání ČD na Služby dle odstavce 2.03 Smlouvy, označené jako „B“, budou:
- v případě Služeb RZ-1 a RZ-2 Report kvality Služeb dle části PP-3 Přílohy č. 2 této Smlouvy.
- v případě Služby SK-1 protokol o provedení školení dle Přílohy č. 2.
2.06 Čerpání ČD neobsahuje projektový management (projektové řízení) a realizace schůzek. Tyto služby jsou vedeny jako implicitní součást poskytovaných Služeb.
2.07 Jeden ČD je 8 člověkohodin. Jedna člověkohodina je jedna hodina práce jednoho člověka.
2.08 Služby uvedené v odst. 2.03 kategorie „B" budou objednávány na základě postupu uvedeného v Příloze č. 2 této Smlouvy.
2.09 Akceptace výsledků jednorázových Služeb uvedených v odst. 2.01 písm. a) až c) této
Smlouvy bude probíhat následujícím způsobem:
a) Výsledek realizace každé jednorázové Služby, uvedené v odst. 2.01 písm. a) až
c) této Smlouvy včetně veškeré dokumentace a výstupů (dále jen „předmět akceptace“) musí být samostatně, po dokončení takové Služby, předložen Poskytovatelem Objednateli k akceptaci ve lhůtě uvedené v odst. 2.01. O této skutečnosti bude mezi smluvními stranami vyhotoven písemný datovaný zápis o předání předmětu akceptace k akceptaci, podepsaný oprávněnými osobami smluvních stran.
b) Ve lhůtě 10 pracovních dnů od data zápisu o předání k akceptaci provede Objednatel posouzení, zda byl předmět akceptace proveden v souladu s touto Smlouvou a jejími přílohami a v jimi stanoveném rozsahu.
c) V případě, že Objednatel nevznese k předmětu akceptace žádné připomínky ani mu nevytkne žádné vady, bude mezi smluvními stranami vyhotoven písemný datovaný akceptační a předávací protokol, podepsaný oprávněnými osobami smluvních stran, kterým bude konstatována akceptace předmětu akceptace, tj. výsledku realizace příslušné jednorázové Služby bez výhrad a potvrzeno její převzetí Objednatelem. Pokud bylo zhotoveno na základě objednávky dílo, které je autorským dílem ve smyslu zákona č. 121/2000 Sb., autorského zákona, ve znění pozdějších předpisů (dále jen „Autorské dílo“), je Poskytovatel povinen předat Objednateli zdrojový kód v editovatelné elektronické podobě ve formátu daného vývojového prostředí a veškeré související materiály (včetně kompletní a srozumitelně zpracované specifikace, referenčních příruček, pracovních dokumentů apod.), a to nejpozději v den předání a převzetí příslušného Autorského díla.
d) V případě, že Objednatel vznese k předmětu akceptace připomínky či mu vytkne vady, uvede je do zápisu, a to s přesnou specifikací a s uvedením, zda se jedná o připomínku či vadu. Poskytovatel je v takovém případě povinen zapracovat tyto připomínky do předmětu akceptace, resp. odstranit vytknuté vady předmětu akceptace, ve lhůtě 10 pracovních dnů od jejich vznesení, pokud si smluvní strany písemně neodsouhlasí prodloužení lhůty. Ve stejné lhůtě předloží Poskytovatel předmět akceptace Objednateli k opětovné akceptaci, což bude uvedeno v zápisu. V případě, že Objednatel nevznese v rámci opětovné akceptace žádné připomínky k předmětu akceptace ani mu nevytkne žádné vady, bude postupováno dle písm. c) tohoto odstavce. V případě, že Objednatel vznese v rámci opětovného posouzení k předmětu akceptace znovu připomínky či mu vytkne znovu vady, bude postupováno stejně, jako je uvedeno v tomto písm. d). Tento postup se může opakovat maximálně do 40 pracovních dnů od data předání předmětu akceptace k akceptaci.
2.10 Akceptace výsledku realizace každé objednávky na Služby označené v odst. 2.02 jako RZ-1 a RZ-2 bude probíhat samostatně následujícím způsobem:
a) Výsledek realizace každé objednávky na Služby označené v odst. 2.02 jako RZ- 1 a RZ-2 včetně veškeré dokumentace a výstupů (dále jen „předmět akceptace“) musí být Poskytovatelem předán Objednateli k akceptaci ve lhůtě dle Přílohy č. 1 této Smlouvy.
b) Ve lhůtě 7 kalendářních dnů od předání k akceptaci provede Objednatel posouzení, zda byl předmět akceptace proveden v souladu s příslušnou objednávkou.
c) V případě, že Objednatel nevznese k předmětu akceptace žádné připomínky ani mu nevytkne žádné vady, uvede tuto skutečnost do helpdesku, čímž bude konstatována akceptace předmětu akceptace, tj. výsledku realizace příslušné objednávky bez výhrad a potvrzeno její převzetí Objednatelem. Pokud bylo zhotoveno na základě objednávky dílo, které je Autorským dílem, je Poskytovatel povinen předat Objednateli zdrojový kód v editovatelné elektronické podobě ve formátu daného vývojového prostředí a veškeré související materiály (včetně kompletní a srozumitelně zpracované specifikace, referenčních příruček, pracovních dokumentů apod.), a to nejpozději v den předání a převzetí příslušného Autorského díla.
d) V případě, že Objednatel vznese k předmětu akceptace připomínky či mu vytkne vady, učiní o tom záznam do helpdesku, a to s přesnou specifikací a s uvedením, zda se jedná o připomínku či vadu. Poskytovatel je v takovém případě povinen zapracovat tyto připomínky do předmětu akceptace, resp. odstranit vytknuté vady předmětu akceptace, ve lhůtě 7 kalendářních dnů od jejich vznesení, Ve stejné lhůtě předloží Poskytovatel předmět akceptace Objednateli prostřednictvím helpdesku k opětovné akceptaci. V případě, že Objednatel nevznese v rámci opětovné akceptace žádné připomínky k předmětu akceptace ani mu nevytkne žádné vady, bude postupováno dle písm. c). V případě, že Objednatel vznese v rámci opětovného posouzení k předmětu akceptace znovu připomínky či mu vytkne znovu vady, bude postupováno stejně, jako je uvedeno v tomto písm. d). Tento postup se může opakovat maximálně do 21 dnů od data předání předmětu akceptace k akceptaci.
Článek 3.
Práva a povinnosti Poskytovatele
3.01 Poskytovatel bude poskytovat Služby dle této Smlouvy na svou vlastní odpovědnost a bude poskytovat všechny ekonomické, materiální a lidské prvky tak, aby byl naplněn účel této Smlouvy.
3.02 Po celou dobu poskytování Služeb dle této Smlouvy se Poskytovatel zavazuje poskytovat tyto Služby v nejvyšší kvalitě, zavazuje se postupovat s odbornou péčí a s přihlédnutím k zájmům Objednatele.
3.03 Poskytovatel se zavazuje dbát pokynů Objednatele. Poskytovatel je povinen bezodkladně oznámit Objednateli všechny okolnosti, které zjistí při své činnosti dle této Smlouvy, a které mohou mít vliv na poskytování Služeb dle této Smlouvy nebo na vydání pokynů Objednatele či jejich změnu. Poskytovatel vždy upozorní Objednatele na případnou nevhodnost jeho pokynů; v případě, že Objednatel přes upozornění Poskytovatele na splnění svých pokynů trvá, je Poskytovatel v odpovídajícím rozsahu zproštěn odpovědnosti za případné vady plnění vzniklé prokazatelně v důsledku provedení takových nevhodných pokynů.
3.04 Poskytovatel se zavazuje předat Objednateli bez zbytečného odkladu po uzavření této Smlouvy seznam osob, které se budou podílet na poskytování Služeb dle této Smlouvy, a to svých pracovníků. Seznam bude vyhotoven, pro účely zajištění přístupu do objektu Objednatele V seznamu budou osoby označeny jménem a příjmením a bude u nich uvedeno označení jejich zaměstnavatele (popř. kontraktora, pokud se nejedná
o pracovněprávní vztah). Poskytovatel je povinen předat tento seznam osob Objednateli s výslovným písemným souhlasem těchto osob se zpracováním jejich osobních údajů Objednatelem pro účely zajištění jejich přístupu do objektu Objednatele a pro zajištění
přístupu k příslušným částem informačního systému Objednatele. Při porušení této povinnosti nese Poskytovatel plnou odpovědnost dle zákona o ochraně osobních údajů. Objednatel se zavazuje, že bude zpracovávat tyto osobní údaje pouze pro potřeby realizace Služeb a v souladu s platnými právními předpisy, a to až do odvolání souhlasu písemnou formou. Určení konkrétní pracovní doby a doby pohybu osob poskytujících Služby dle této Smlouvy v místech Objednatele je Poskytovatel povinen předem domluvit s Objednatelem, o čemž bude pořízen zápis stvrzený podpisy oprávněných osob. Seznam osob je Poskytovatel povinen v případech jakýchkoliv personálních změn neprodleně aktualizovaný předat Objednateli.
3.05 V případě, že pro plnění předmětu této Smlouvy bude Poskytovatel požadovat pro své zaměstnance přístupová oprávnění k informačním systémům Objednatele, zavazuje se Poskytovatel neprodleně po vzniku takové potřeby předat Objednateli vyplněnou a podepsanou žádost o přístup do informačního systému Objednatele pro osoby, které se budou podílet na plnění této Smlouvy, a to svých pracovníků. V případě, že v průběhu plnění této Smlouvy bude Poskytovatel požadovat změnu v osobách přistupujících k informačním systémům Objednatele, je vždy povinen nejprve podat žádost o ukončení přístupu do informačního systému pro osobu/osoby, jejichž oprávnění má být zrušeno, a současně podat novou žádost o přístup do informačního systému pro osobu/osoby, které mají přístupová oprávnění nově nabýt. Poskytovatel je povinen podávat žádosti o přístup/ukončení přístupu do informačního systému Objednatele na formuláři, který je Přílohou č. 2 této Smlouvy. Žádost bude ze strany Objednatele posouzena nejpozději do dvou pracovních dnů následujících po dni jejího doručení. Objednatel si může při procesu posuzování žádosti vyžádat další informace o účelu vydání žádosti. Kopii schválené nebo zamítnuté žádosti předá Objednatel Poskytovateli.
3.06 V souvislosti s přístupy do informačního systému Objednatele je Poskytovatel dále povinen dodržovat následující povinnosti:
- Poskytovatel je povinen zajistit a odpovídá po celou dobu plnění této Smlouvy Objednateli za to, že do příslušných částí informačního systému Objednatele budou přistupovat pouze osoby, pro něž byla podána žádost o přístup do informačního systému a tato žádost byla schválena manažerem bezpečnosti informací Objednatele (dále jen „MBI“). Objednatel je kdykoli v průběhu plnění této Smlouvy oprávněn kontrolovat, které osoby skutečně přistupují do příslušné části jeho informačního systému, a Poskytovatel je v takovém případě vždy povinen tuto informaci Objednateli poskytnout a doložit. Porušení této povinnosti Poskytovatelem je považováno za porušení smluvních povinností Poskytovatele podstatným způsobem.
- Přidělená oprávnění smí využívat pouze osoba, pro niž byla žádost schválena ze strany MBI. Tato osoba nesmí přidělená oprávnění předat žádné jiné osobě. Porušení této povinnosti je považováno za porušení smluvních povinností Poskytovatele podstatným způsobem.
- Při ukončení pracovního poměru osoby, která měla udělena přístupová práva, k Poskytovateli, je Poskytovatel povinen podat žádost o ukončení přístupu této osoby do informačního systému Objednatele, a to nejpozději do dvou pracovních dnů od okamžiku, kdy rozhodná skutečnost nastane. Stejně je Poskytovatel povinen postupovat v případech, kdy pomine důvod nebo potřeba přístupu příslušné osoby Poskytovatele do informačního systému Objednatele. Porušení této povinnosti je považováno za porušení smluvních povinností Poskytovatele podstatným způsobem.
3.07 Poskytovatel je povinen účastnit se jednání svolaných Objednatelem, která se týkají poskytování Služeb dle této Smlouvy. Pokud není specifikováno jinak, účastní se za Poskytovatele takového jednání vždy osoba oprávněná jednat za Poskytovatele ve věcech plnění této Smlouvy dle odst. 16.01 Smlouvy.
3.08 Poskytovatel se zavazuje při plnění dle této Smlouvy spolupracovat s odborníky, které určí Objednatel, tak aby bylo dosaženo účelu této Smlouvy.
3.09 Poskytovatel potvrzuje, že ke dni podpisu této Smlouvy má uzavřenu pojistnou smlouvu na pojištění odpovědnosti za škodu způsobenou při výkonu své podnikatelské činnosti na minimální částku 10 000 000,- Kč (slovy deset miliónů korun českých) se spoluúčastí nejvýše 10 %, a že tuto pojistnou smlouvu bude udržovat účinnou po dobu trvání této Smlouvy a dále nejméně 6 měsíců po ukončení činnosti podle této Smlouvy. Na žádost Objednatele je Poskytovatel bez zbytečného odkladu povinen předložit Objednateli pojistnou smlouvu či pojistný certifikát příslušné pojišťovny.
3.10 Poskytovatel se zavazuje dodržovat veškeré povinnosti v oblasti kybernetické bezpečnosti uložené mu jako provozovateli vybraného HW a SW právním řádem České republiky, zejména pak zákonem č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, ve znění pozdějších předpisů, a vyhláškou č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti, ve znění pozdějších předpisů. Dodržování povinností dle věty první je Poskytovatel povinen kdykoliv na vyžádání Objednatele prokázat.
3.11 Poskytovatel se zavazuje při poskytování Služeb dle této Smlouvy dodržovat veškerá nezbytná opatření k zabránění vzniku případných škod na majetku Objednatele či na zdraví jeho zaměstnanců.
3.12 Poskytovatel je povinen na výzvu Objednatele umožnit jemu pověřeným zaměstnancům provedení auditu plnění požadavků vyhlášky č. 316/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů, tedy zjištění náležitostí plnění ustanovení této Smlouvy a požadavků legislativy v oblasti kybernetické bezpečnosti. Oznámení o provedení auditu bude Poskytovateli doručeno nejméně 5 kalendářních dnů před termínem zahájení auditu.
3.13 Poskytovatel je povinen neprodleně informovat Objednatele o veškerých krocích orgánu státní správy vykonávajícího kontrolu v oblasti kybernetické bezpečnosti (dále jen
„Úřad“) vůči Poskytovateli, zejména pak neprodleně informovat Objednatele o provádění a výsledcích kontrol u Poskytovatele a o případném uložení nápravných opatření ze strany Úřadu.
3.14 Poskytovatel se zavazuje do 10 pracovních dnů od data uzavření této Smlouvy zaslat Objednateli písemné oznámení, zda je zaměstnavatelem zaměstnávajícím více než 50 % zaměstnanců na zřízených nebo vymezených chráněných pracovních místech (viz
§ 75 zákona č. 435/2004 Sb. o zaměstnanosti, ve znění pozdějších předpisů), kteří jsou osobami se zdravotním postižením, nebo zda je osobou se zdravotním postižením a zároveň osobou samostatně výdělečně činnou, která nemá žádné zaměstnance. Poskytovatel je povinen zaslat Objednateli toto oznámení i v případě, že podmínky dle předchozí věty nesplňuje (v takovém případě zašle negativní oznámení). Dojde-li během platnosti této Smlouvy k jakékoli změně oznámeného stavu, je Poskytovatel povinen do 10 pracovních dnů ode dne, kdy tato skutečnost prokazatelně nastala, zaslat Objednateli písemné ohlášení této změny.
3.15 Poskytovatel se zavazuje, nejpozději do 5 kalendářních dnů od doručení žádosti Objednatele, předat Objednateli provozní dokumentaci vybraného HW a SW. Provozní dokumentací dle tohoto odstavce se rozumí data, provozní údaje a informace, které má Poskytovatel k dispozici v souvislosti s poskytováním servisní podpory vybraného HW a SW, zejména pak:
a) aktuální administrátorská a uživatelská dokumentace vybraného HW a SW,
b) informace o přístupových oprávněních do Systému a veškerá administrátorská
hesla k vybranému HW a SW,
c) záznamy provozních deníků ve formátu XML za celé období poskytování servisní
podpory vybraného HW a SW.
Poskytovatel se zavazuje výše uvedenou provozní dokumentaci vybraného HW a SW předat v aktuálním znění ke dni ukončení této Smlouvy, a to i bez předchozí žádosti Objednatele.
3.16 Poskytovatel se zavazuje poskytnout Objednateli nebo novému poskytovateli servisní podpory vybraného HW a SW součinnost, spočívající zejména v činnostech nezbytných pro zajištění nepřetržité servisní podpory vybraného HW a SW v souvislosti s převzetím servisní podpory vybraného HW a SW novým poskytovatelem, a to po dobu 6 měsíců od pozbytí platnosti této Smlouvy.
Článek 4.
Práva a povinnosti Objednatele
4.01 Objednatel je povinen předat včas Poskytovateli úplné, pravdivé a přehledné informace, jež jsou nezbytně nutné k poskytování Služeb dle této Smlouvy, pokud z jejich povahy nevyplývá, že je má zajistit Poskytovatel sám v rámci plnění předmětu této Smlouvy.
4.02 Objednatel je povinen vytvořit řádné podmínky pro poskytování Služeb dle této Smlouvy Poskytovatelem a poskytovat mu po dobu trvání této Smlouvy nezbytnou součinnost, pokud si tuto součinnost Poskytovatel důvodně vyžádá. Jedná se zejména o předání dokumentů a jiných informací nezbytně nutných k poskytování Služeb, umožnění přístupu do prostor Objednatele. Požadavek Poskytovatele na poskytnutí součinnosti musí být písemný, adresovaný oprávněné osobě Objednatele dle této Smlouvy. Požadavek musí být předložen v takovém předstihu, aby bylo, vzhledem k provozní době Objednatele a rozsahu požadované součinnosti (např. rozsahu požadované dokumentace nebo činnosti), možné poskytnutí požadované součinnosti v daném čase vůbec rozumně/reálně očekávat.
4.03 Objednatel je oprávněn stanovit dobu poskytování Služeb v jeho prostorách dle svých potřeb.
4.04 Objednatel je oprávněn požadovat účast kteréhokoliv zástupce Poskytovatele
a Poskytovatel se zavazuje zajistit účast takového zástupce na jednání.
4.05 Bude-li to dle názoru Objednatele nezbytné pro poskytování Služeb dle této Smlouvy, poskytne Objednatel Poskytovateli v souladu se svými bezpečnostními politikami následující součinnost:
a) poskytnutí administrátorských přístupových oprávnění ke spravovanému HW a SW,
b) zajištění vzdáleného přístupu ke spravovanému HW a SW v režimu 24 x 7 i prostřednictvím VPN,
c) zajištění možnosti dvou pracovních míst s připojením do sítě LAN a internetu
v sídle Objednatele,
d) zajištění potřebných licencí veškerého vybraného HW a SW.
4.06 Objednatel je oprávněn provést editaci konfigurace jednotlivých nastavení vybraného HW a SW, např. při nutnosti rychlého a neodkladného zásahu, kdy není možné čekat na reakci Poskytovatele. Veškeré zásahy do vybraného HW a SW musí být Objednatelem zdokumentované. Před zahájením jakékoliv činnosti na změně nastavení vybraného HW a SW je Objednatel povinen informovat Poskytovatele o provádění změn, a to prostřednictvím helpdesku, aby byl Poskytovatel včas informován o probíhajících pracích a nedošlo k následným problémům, nebo výpadkům.
Článek 5.
Cena Služeb
5.01 Smluvní strany se dohodly, že cena za jednorázové Služby poskytnuté Poskytovatelem v rozsahu dle odst. 2.01 písm. a) až d) této Smlouvy (dle specifikace v Příloze č. 2 této Smlouvy) činí 15 000,- Kč bez DPH, tj. 18 150,- Kč vč. DPH.
5.02 Smluvní strany se dohodly, že cena Služeb dle odst. 2.02 a 2.03 (dle specifikace v Příloze č. 2 této Smlouvy), poskytnutých řádně a včas v souladu s podmínkami této Smlouvy, činí 48 700,- Kč bez DPH, tj. 58 927,- Kč vč. DPH za každý kalendářní měsíc poskytování Služeb.
5.03 Cena dle odst. 5.01 a 5.02 této Smlouvy je maximálně přípustná, nepřekročitelná a zahrnuje rovněž veškeré náklady Poskytovatele spojené s poskytováním Služeb v rozsahu dle čl. 1 a 2 a Přílohy č. 2 této Smlouvy. Cena uvedená v odst. 5.02 je stanovena jako paušální.
5.04 Nebudou-li Služby dle odst. 2.02 této Smlouvy poskytovány po celou dobu trvání kalendářního měsíce, je Poskytovatel oprávněn za daný kalendářní měsíc fakturovat pouze poměrnou část ceny Služeb dle odst. 5.02 této Smlouvy, odpovídající počtu dní v kalendářním měsíci, v nichž byly Služby poskytovány.
5.05 Pro případ, že v době platnosti této Smlouvy (tj. po jejím uzavření) dojde ke změně sazby DPH (tj. k jejímu zvýšení či snížení), je Poskytovatel povinen tuto změnu zohlednit při vyúčtování (fakturaci) ceny Služeb, tj. cenu snížit či zvýšit o výši změny DPH.
Článek 6.
Fakturace a platební podmínky
6.01 Objednatel uhradí Poskytovateli cenu stanovenou v odst. 5.01 této Smlouvy na základě jediné faktury vystavené Poskytovatelem. Poskytovatel je oprávněn vystavit fakturu za Služby dle odst. 2.01 písm. a) až d) této Smlouvy až po jejich řádném poskytnutí a dokončení, tj. po akceptaci Služeb dle odst. 2.01 písm. a) až c) Objednatelem bez výhrad, resp. po provedení proškolení Objednatele dle odst. 2.01 písm. d) v souladu s Přílohou č. 2 této Smlouvy. Přílohou faktury musí být kopie akceptačních a předávacích protokolů podepsaných oprávněnými osobami smluvních stran, kterými konstatují akceptaci výsledků realizace Služeb dle odst. 2.01 písm. a) až c) bez výhrad.
6.02 Objednatel uhradí Poskytovateli cenu stanovenou v odst. 5.02 této Smlouvy na základě faktur vystavených Poskytovatelem. Služby dle odst. 2.02 a 2.03 této Smlouvy budou fakturovány měsíčně, každá faktura musí být vystavena nejpozději do 15. dne měsíce následujícího po kalendářním měsíci, za který je poskytování Služeb fakturováno. Přílohou faktury musí být Report kvality Služeb poskytnutých v tomto měsíci, specifikovaný v Příloze č. 2 této Smlouvy v části PP-3.
6.03 Faktury musí obsahovat veškeré náležitosti daňového a účetního dokladu stanovené zákonem č. 235/2004 Sb., o DPH, a zákonem č. 563/1991 Sb., o účetnictví, ve znění jejich pozdějších změn. V případě, že předložená faktura neobsahuje náležitosti předepsané zákonem či touto Smlouvou, je Objednatel oprávněn ji ve lhůtě splatnosti vrátit Poskytovateli s uvedením důvodu jejího vrácení. V takovém případě začíná běžet nová splatnost ode dne vystavení opravené faktury.
6.04 Splatnost faktur činí 30 kalendářních dní ode dne vystavení, přičemž Poskytovatel je povinen doručit každou fakturu Objednateli nejpozději do 3 pracovních dnů od data vystavení. Smluvní strany se dohodly, že závazek k úhradě faktury je splněn dnem, kdy byla příslušná částka odepsána z účtu Objednatele ve prospěch účtu Poskytovatele.
6.05 Je-li Objednatel v prodlení s úhradou plateb podle této Smlouvy, je povinen uhradit Poskytovateli úrok z prodlení z neuhrazené dlužné částky ve výši stanovené příslušnými právními předpisy.
6.06 Poskytovatel si je vědom vlastních finančních nákladů spojených s plněním předmětu Smlouvy a nebude žádat jakékoliv finanční plnění v průběhu poskytování Služeb nad rámec sjednaných podmínek úhrady ceny, upravených v čl. 6 této Smlouvy.
Článek 7.
Místo plnění, odpovědnost za vadné plnění
7.01 Smluvní strany se dohodly, že místem poskytování Služeb a činností dle této Smlouvy
je sídlo Objednatele a sídlo Poskytovatele.
7.02 Služby a činnosti dle této Smlouvy mohou být poskytovány i vzdáleně prostřednictvím sítí elektronických komunikací (ve smyslu zákona č. 127/2005 Sb., o elektronických komunikacích), pokud to povaha poskytovaného plnění umožňuje.
7.03 Objednatel je oprávněn kontrolovat kdykoli během plnění této Smlouvy kvalitu poskytovaných Služeb, tj. zda jsou poskytovány řádně, včas a v rozsahu stanoveném touto Smlouvou. Zjistí-li Objednatel jakoukoli vadu či vady poskytovaných Služeb či jednotlivé Služby, je oprávněn uplatnit vůči Poskytovateli (jeho oprávněné osobě dle této Smlouvy) jejich reklamaci, a to buď písemně, nebo elektronicky formou emailu se zaručeným elektronickým podpisem. Poskytovatel je v takovém případě povinen odstranit reklamovanou vadu do 5 pracovních dnů od data přijetí reklamace, a současně informovat oprávněnou osobu Objednatele dle této Smlouvy o způsobu vyřešení reklamace, a to buď písemně, nebo elektronicky formou emailu se zaručeným elektronickým podpisem. Opakované porušení povinnosti Poskytovatele odstranit reklamovanou vadu v termínu dle tohoto odstavce je důvodem pro odstoupení Objednatele od této Smlouvy.
Článek 8.
Poddodávky Poskytovatele
8.01 Poskytovatel je povinen provádět veškeré plnění podle této Smlouvy výhradně prostřednictvím vlastních zaměstnanců.
Článek 9.
Ochrana důvěrných informací
9.01 Poskytovatel je povinen zachovávat mlčenlivost o všech skutečnostech, o kterých se dozví při plnění této Smlouvy, a které nejsou právním předpisem určeny ke zveřejnění nebo nejsou obecně známé. Poskytovatel se také zavazuje neumožnit žádné osobě, aby mohla zpřístupnit důvěrné informace neoprávněným třetím osobám, pokud tato Xxxxxxx nestanoví jinak. S informacemi poskytnutými Objednatelem Poskytovateli, popř. získanými Poskytovatelem v souvislosti s plněním jeho závazků dle této Smlouvy, je povinen Poskytovatel nakládat jako s důvěrnými informacemi.
9.02 Za důvěrné informace se pro účely této Smlouvy nepovažují:
a) informace, které se staly veřejně přístupnými veřejnosti jinak než následkem jejich zpřístupnění Poskytovatelem;
b) informace, které Poskytovatel získá z jiného zdroje než od Objednatele, které jsou jejich poskytovatelem označené za veřejné.
9.03 Poskytovatel se zavazuje použít důvěrné informace výhradně za účelem splnění svých závazků vyplývajících z této Smlouvy. Poskytovatel se dále zavazuje, že on ani jiná
osoba, která bude Poskytovatelem seznámena s důvěrnými informacemi v souladu
s touto Smlouvou, je nezpřístupní žádné třetí osobě vyjma případů, kdy:
a) jde o zpřístupnění důvěrných informací osobám, pro které je přístup k těmto informacím nezbytný za účelem splnění závazků Poskytovatele vyplývajících z této Smlouvy;
b) jde o zpřístupnění důvěrných informací s předchozím písemným souhlasem
Objednatele;
c) tak stanoví obecně závazný právní předpis nebo je dána taková povinnost pravomocným a zákonným rozhodnutím příslušného orgánu vydaným na základě jeho zákonného zmocnění. Takovou skutečnost je Poskytovatel povinen na výzvu Objednateli bez zbytečného odkladu prokázat.
9.04 Poskytovatel se dále zavazuje zajistit i ochranu důvěrných informací proti jejich neoprávněnému získání třetími osobami. V případě, že Poskytovatel bude mít důvodné podezření, že došlo k neoprávněnému zpřístupnění (získání) důvěrných materiálů, je povinen neprodleně o této skutečnosti informovat Objednatele.
9.05 Poskytovatel je povinen předat bez zbytečného odkladu Objednateli veškeré materiály a věci, které od něho či jeho jménem převzal při plnění Smlouvy, a to bez zbytečného odkladu po ukončení této Smlouvy. Důvěrné informace uložené v elektronické podobě je Poskytovatel povinen odstranit, a to nejpozději po uplynutí doby jejich povinné archivace, pokud se na něj tato zákonná povinnost vztahuje.
9.06 Závazek ochrany důvěrných informací zůstává v platnosti i po ukončení této Smlouvy.
9.07 Poskytovatel se zavazuje bez zbytečného odkladu zavázat povinností mlčenlivosti ve stejném rozsahu jako je vázán touto Smlouvou sám i všechny své pracovníky podílející se se souhlasem Objednatele na poskytování Služeb pro Objednatele.
9.08 Objednatel je oprávněn kdykoliv po dobu účinnosti této Smlouvy i po skončení její účinnosti, uveřejnit tuto Smlouvu nebo její část i informace vztahující se k jejímu plnění, což Poskytovatel bere na vědomí, resp. s tím souhlasí.
9.09 Poskytovatel není v rámci poskytování Služeb dle této Smlouvy oprávněn ke zpracování osobních údajů.
10.01Definování používaných pojmů
Článek 10.
Autorská práva
Smluvní strany se dohodly, že kdekoliv tato Smlouva používá níže uvedené pojmy, pak
se jimi rozumí níže uvedený význam
a) „Autorským zákonem“ se rozumí zákon č.121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů
b) „Autorským dílem“ se rozumí dílo ve smyslu § 2 Autorského zákona, zejména Software, databáze, jakékoliv výstupy Poskytovatele předávané Objednateli na základě této Smlouvy, které splňují podmínky stanovené § 2 Autorského zákona
c) „Databází“ se rozumí databáze ve smyslu § 88 Autorského zákona
10.02Licence k autorským dílům a databázím vytvořeným na zakázku
10.02.1 Udělení licence Poskytovatelem
a) Poskytovatel Objednateli poskytuje výhradní oprávnění (licenci, resp. podlicenci)
k výkonu práva užít Autorská díla a k výkonu práva vytěžovat a zužitkovat Databáze
vytvořené na zakázku pro Objednatele v rámci plnění této Smlouvy, a to v územně a množstevně neomezeném rozsahu a všemi známými způsoby užití, a to na celou dobu trvání majetkových práv autora, a k postoupení nebo poskytnutí oprávnění tvořících součást této licence (podlicenci) zcela nebo zčásti jakékoliv třetí osobě, a to včetně svolení Autorská díla a Databáze (zcela i z části) měnit, spojovat, upravovat, rozdělovat, spojovat s jinými díly, zařazovat je do děl souborných, dopracovat, vše zcela samostatně či prostřednictvím třetí osoby („Výhradní licence“). Odměna za Výhradní licenci je zahrnuta v ceně dle odst. 5.01 písm. b) Smlouvy. Smluvní strany tímto pro vyloučení případných pochybností výslovně prohlašují, že veškerá finanční vyrovnání za užívání Autorského díla jsou zahrnuta v ceně dle odst. 5.01 písm. b) Smlouvy. Licence zahrnuje aktualizace Autorských děl a Databází vytvořené Poskytovatelem během trvání této Smlouvy.
b) Ve vztahu k Výhradní licenci k Autorským dílům Poskytovatel prohlašuje, že oprávněné zájmy autora nemohou být značně nepříznivě dotčeny tím, že Objednatel nebude Výhradní licenci vůbec či zčásti užívat. Bez ohledu na tuto skutečnost Strany tímto sjednávají, že právo Poskytovatele na odstoupení dle § 2378 OZ není Poskytovatel oprávněn uplatnit před uplynutím 10 let od poskytnutí Výhradní licence.
c) Poskytovatel prohlašuje, že s ohledem na povahu výnosů z Výhradní licence nemohou vzniknout podmínky pro uplatnění ustanovení § 2374 OZ, tedy, že odměna za udělení výhradní licence k jednotlivým Autorským dílům nemůže být ve zřejmém nepoměru k zisku z využití Výhradní licence a významu příslušného Autorského díla pro dosažení takového zisku.
d) Poskytovatel Objednateli poskytuje výhradní oprávnění (licenci, resp. podlicenci) užít zdrojové kódy k veškerým Autorským dílům vytvořeným v rámci této Smlouvy na zakázku pro Objednatele za podmínek dle této Smlouvy.
e) Poskytovatel je povinen předat Objednateli zdrojový kód v editovatelné elektronické podobě ve formátu daného vývojového prostředí a veškeré související materiály (včetně kompletní a srozumitelně zpracované specifikace, referenčních příruček, pracovních dokumentů apod.), a to nejpozději v den předání a převzetí příslušného Autorského díla.
f) Poskytovatel bude uchovávat a aktualizovat zdrojový kód a další materiál po dobu trvání této Smlouvy. Poskytovatel bude dále informovat Objednatele o postupech takové aktualizace a též vždy, když bude aktualizace provedena, neprodleně dodá aktualizované verze zdrojových kódů a souvisejících materiálů dle tohoto odst. 10.02.1 této Smlouvy Objednateli.
10.02.2 Udělení licence třetí osobou
Pro všechny případy, ve kterých nemůže Poskytovatel z objektivních důvodů sám udělit Objednateli oprávnění dle odst. 10.02.1. této Smlouvy k Autorskému dílu či Databázi vytvořeným na zakázku pro Objednatele v rámci plnění této Smlouvy, Poskytovatel zajistí, že třetí osoba, jež vykonává majetková práva k příslušnému Autorskému dílu, resp. práva pořizovatele Databáze, udělí Objednateli bezúplatně výhradní oprávnění (licenci) Autorské dílo užít, resp. právo vytěžovat a zužitkovat Databázi v rozsahu a za podmínek dle odst. 10.02.1 této Smlouvy, a dále výhradní oprávnění (licenci) užít zdrojové kódy k tomuto Autorskému dílu v rozsahu a za podmínek dle odst. 10.02.1 této Smlouvy a to tak, že příslušné oprávnění bude Objednateli uděleno v písemné formě nejpozději v den předání příslušného Autorského díla či Databáze. Nebude-li Objednateli v den předání příslušného Autorského díla či Databáze předloženo v písemné formě udělení oprávnění třetí osobou dle předchozí věty, znamená to, že příslušná oprávnění udělil Objednateli Poskytovatel dle odst. 10.02.1.této Smlouvy
10.03Licence ke standardním autorským dílům a databázím
10.03.1 Udělení licence Poskytovatelem
a) Pro všechny případy, ve kterých je součástí plnění dle této Smlouvy Autorské dílo nebo Databáze, které nebudou vytvořeny na zakázku pro Objednatele, Poskytovatel poskytuje Objednateli nevýhradní oprávnění k výkonu práva užít (licenci, resp. podlicenci) veškerá taková Autorská díla a k výkonu práva vytěžovat a zužitkovat Databáze vytvořené na zakázku pro Objednatele v rámci plnění této Smlouvy, a to v územně a množstevně neomezeném rozsahu a všemi známými způsoby užití, a to na celou dobu trvání majetkových práv autora, a k postoupení nebo poskytnutí oprávnění tvořících součást této licence (podlicenci) zcela nebo zčásti jakékoliv třetí osobě, a to včetně svolení Autorská díla a k výkonu práva vytěžovat a zužitkovat, (zcela i z části) měnit, spojovat, upravovat, rozdělovat, spojovat s jinými díly, zařazovat je do děl souborných, dopracovat, vše zcela samostatně či prostřednictvím třetí osoby. Databáze, a to v územně neomezeném rozsahu a všemi způsoby odpovídajícími účelu, pro který je takové Autorské dílo, resp. Databáze, určeno, a to na celou dobu trvání majetkových práv autora, a v potřebném množstevním rozsahu odpovídajícím účelu, pro který je takové Autorské dílo, resp. Databáze, určeno, a dále souhlas k postoupení nebo poskytnutí oprávnění tvořících součást této licence (podlicenci) zcela nebo zčásti jakékoliv třetí osobě („Nevýhradní licence“). Odměna za Nevýhradní licenci je zahrnuta v ceně dle odst. 5.01 písm. b) Smlouvy. Smluvní strany tímto pro vyloučení případných pochybností výslovně prohlašují, že veškerá finanční vyrovnání za užívání Autorského díla jsou zahrnuta v ceně dle odst. 5.01 písm. b) Smlouvy.
b) Nevýhradní licenci není Objednatel povinen využít.
c) Poskytovatel prohlašuje, že s ohledem na povahu výnosů z Nevýhradních licencí k Autorským dílům nemohou vzniknout podmínky pro uplatnění ustanovení § 2374 OZ, tedy, že odměna za udělení Nevýhradní licence k jednotlivým Autorským dílům nemůže být ve zřejmém nepoměru k zisku z využití Nevýhradní licence a významu příslušného Autorského díla pro dosažení takového zisku.
10.03.2 Udělení licence třetí osobou
Pro všechny případy, ve kterých nemůže Poskytovatel z objektivních důvodů sám udělit Objednateli oprávnění ke standardním Autorským dílům a Databázím dle odst.
10.03.1. této Smlouvy, Poskytovatel zajistí, že třetí osoba, která má užívací práva k Autorskému dílu, resp. databázi, Objednateli poskytne bezúplatně oprávnění (licenci) k užití Autorského díla, resp. právo vytěžovat a zužitkovat Databázi za podmínek dle odst. 10.03.1. této Smlouvy, a to nejpozději v den předání příslušného Autorského díla či databáze. Nebude-li Objednateli v den předání příslušného Autorského díla či Databáze předloženo v písemné formě udělení oprávnění třetí osobou dle předchozí věty, znamená to, že příslušná oprávnění udělil Objednateli Poskytovatel dle odst.
10.03.1 Xxxxxxx.
Článek 11.
Smluvní pokuty
11.01Pokud Poskytovatel poruší jakoukoli povinnost stanovenou v čl. 8 této Smlouvy, je povinen uhradit Objednateli smluvní pokutu ve výši 50.000,- Kč za každé jednotlivé porušení.
11.02Pokud Poskytovatel poruší jakoukoli povinnost stanovenou v čl. 9 této Smlouvy, je povinen uhradit Objednateli smluvní pokutu ve výši 500.000,- Kč za každé jednotlivé porušení.
11.03V případě porušení kvalitativních parametrů Služeb a dalších povinností, stanovených Přílohou č. 2 této Smlouvy, je Poskytovatel povinen uhradit Objednateli smluvní pokutu ve výši stanovené v následující tabulce:
Kategorie | Smluvní pokuta |
Nedodržení termínu poskytování služeb dle Služby PP-1 | 1.000,- Kč za každý započatý pracovní den nad stanovený limit dle Přílohy č. 2 |
Nedodržení termínu potvrzení pro převzetí požadavku dle Služby PP-2 | 1.000,- Kč za každou započatou hodinu nad stanovený limit dle Přílohy č. 2 |
Nedodržení termínu pro předání měsíčního reportu dle Služby PP-3 | 2.000,- Kč za každý započatý den nad stanovený limit dle Přílohy č. 2 |
Nedodržení termínu aktualizace dokumentace dle Služby PP-3 | 10.000,- Kč za každý započatý den nad stanovený limit dle Přílohy č. 2 |
Neprovedení školení dle Služby SK-1 v dohodnutém termínu | 1.000,- Kč za každý započatý den nad stanovený limit dle Přílohy č. 2 |
Nedodržení termínu pro zahájení prací na odstranění závady či termínu pro odstranění závady dle Služby SP-1 | 5.000,- Kč za každou započatou hodinu nad stanovený limit dle Přílohy č. 2 |
Nedodržení termínu pro zahájení prací na odstranění závady či termínu pro odstranění závady dle Služby SP-2 | 4.000,- Kč za každou započatou hodinu nad stanovený limit dle Přílohy č. 2 |
Nedodržení termínu pro zahájení prací na odstranění závady či termínu pro odstranění závady dle Služby SP-3 | 4.000,- Kč za každý započatý kalendářní den nad stanovený limit dle Přílohy č. 2 |
Nedodržení termínu na provedení rychlého a nutného administračního zásahu do vybraného HW a SW v rozsahu do 2 člověkohodin (kategorie A) v rámci Služby RP-1 | 3.000,- Kč za každou započatou hodinu nad stanovený limit dle Přílohy č. 2 |
Nedodržení termínu na provedení složitého administračního zásahu do vybraného HW a SW v rozsahu do 3 ČD (kategorie B a C) v rámci Služby RP-1 | 4.000,- Kč za každý započatý den nad stanovený limit dle Přílohy č. 2 |
Nedodržení termínu pro předání výsledku realizace objednávky Služby RZ-1 či RZ-2 k akceptaci či nedodržení termínu pro zapracování připomínek, resp. odstranění vytknutých vad dle odst. 2.10 písm. d) | 2.000,- Kč za každý započatý den nad stanovený limit dle Přílohy č. 2 |
Nedodržení úrovně dostupnosti vybraného HW a SW (každého jednotlivého systému) dle Přílohy č. 2 či nedodržení úrovně dostupnosti vybraných Služeb dle Přílohy č. 2 | 10.000,- Kč za každých započatých 0,5 procenta pod smluvní úroveň dostupnosti vybraného HW a SW či každé Služby dle Přílohy č. 2 |
Neumožnění provedení auditu dle odst. 3.12 Smlouvy | 50.000,- Kč za každý takový případ. |
Neoznámení bezpečnostního incidentu dle Služby KB-1 | 100.000,- Kč za každou započatou hodinu nad stanovený limit dle Přílohy č. 2 |
11.04V případě prodlení Poskytovatele s předáním kterékoli jednorázové Služby k akceptaci oproti termínu stanovenému v odst. 2.01 písm. a) až c) této Smlouvy je Poskytovatel povinen uhradit Objednateli smluvní pokutu ve výši 10.000,- Kč za každý započatý den prodlení.
11.05Pokud Poskytovatel nezapracuje připomínky či neodstraní vytknuté vady, vznesené Objednatelem v rámci akceptace jednorázových Služeb, ve lhůtě stanovené v odst. 2.09 písm. d), je povinen uhradit Objednateli smluvní pokutu ve výši 10.000,- Kč za každý započatý den prodlení.
11.06Při porušení každé jednotlivé povinnosti stanovené v odst. 3.05 či 3.06 uhradí Poskytovatel Objednateli smluvní pokutu ve výši 50.000,- Kč za každé jednotlivé porušení.
11.07Poruší-li Poskytovatel jakoukoli povinnost dle odst. 3.14 této Smlouvy, je povinen uhradit Objednateli smluvní pokutu ve výši 1.000,- Kč za každý započatý kalendářní den prodlení se splněním této povinnosti. V případě opakovaného porušení je Poskytovatel povinen hradit tuto smluvní pokutu Objednateli opakovaně.
11.08Poruší-li Poskytovatel jakoukoli povinnost dle odst. 3.15 či 3.16 této Smlouvy, je povinen uhradit Objednateli smluvní pokutu ve výši 5.000,- Kč za každý započatý kalendářní den prodlení se splněním této povinnosti.
11.09Pokud Poskytovatel v průběhu smluvního vztahu přestane plnit předmět této Smlouvy, je povinen uhradit Objednateli smluvní pokutu ve výši odpovídající poměrné části ceny za poskytování Služeb dle odst. 5.02 této Smlouvy za každý den prodlení s plněním předmětu této Smlouvy. Takové prodlení je porušením povinností Poskytovatele podstatným způsobem.
11.10Po dobu od uzavření této Smlouvy do okamžiku akceptace dokumentace dle odst. 2.01 písm. a) bez výhrad Objednatelem se částky smluvních pokut dle tabulky uvedené v odst. 11.03 této Smlouvy snižují o 50 %.
11.11Úhradou smluvní pokuty se Poskytovatel nezbavuje povinnosti poskytnout Objednateli sjednané plnění ze Smlouvy ani povinnosti nahradit případnou vzniklou škodu, a to i ve výši přesahující výši smluvní pokuty.
Článek 12.
Trvání Smlouvy
12.01 Tato Xxxxxxx se uzavírá na dobu 12 měsíců od data nabytí její účinnosti.
12.02 Smluvní strany si sjednaly možnost ukončit platnost Smlouvy i před uplynutím doby podle předchozího odstavce z těchto důvodů:
a) Výpovědí;
b) Ztrátou oprávnění Poskytovatele k výkonu činnosti, které je zapotřebí pro poskytování Služeb;
c) Písemnou dohodou smluvních stran.
12.03 V případě ukončení Smlouvy zůstávají i po jejím skončení v platnosti a účinnosti veškerá ujednání smluvních stran upravující odpovědnost Poskytovatele za škodu, nárok na smluvní pokutu a ochranu důvěrných informací a osobních údajů.
Článek 13.
Výpověď a odstoupení od Xxxxxxx
13.01Kterákoli ze smluvních stran může Smlouvu zcela či zčásti vypovědět. Objednatel je oprávněn Smlouvu vypovědět bez uvedení důvodu, přičemž výpovědní doba pro Objednatele činí 90 dní a počíná běžet dnem bezprostředně následujícím po dni prokazatelného doručení výpovědi druhé smluvní straně. Poskytovatel je oprávněn Xxxxxxx vypovědět pouze z důvodu prodlení Objednatele se zaplacením faktury vystavené Poskytovatelem po uskutečnění plnění, tj. po řádném a včasném poskytnutí Služeb v souladu s touto Smlouvou; prodlení Objednatele musí činit více než 60 dní. Výpovědní doba pro Poskytovatele činí 180 dní a počíná běžet dnem bezprostředně následujícím po dni prokazatelného doručení výpovědi druhé smluvní straně.
13.02Po obdržení výpovědi Objednatele uvedené v předchozím odstavci je Poskytovatel povinen pokračovat v činnosti dle této Smlouvy až do uplynutí výpovědní doby, pokud neobdrží jiný písemný pokyn Objednatele. Zároveň je povinen Objednatele upozornit na opatření potřebná k tomu, aby se zabránilo vzniku škody bezprostředně hrozící Objednateli nedokončením určité činnosti.
13.03V případě ukončení Smlouvy výpovědí má Poskytovatel nárok na úhradu skutečně a prokazatelně vynaložených nákladů spojených s dosavadní realizací Služeb, neoznačených v odst. 2.03 jako RZ-1, RZ-2 a SK-1. Pokud jde o Služby, označené v odst. 2.03 jako RZ-1, RZ-2 a SK-1, má Poskytovatel nárok na úhradu příslušné objednávky, pokud došlo k akceptaci bez výhrad a převzetí výsledku příslušné objednávky Objednatelem.
13.04Smluvní strana je oprávněna bez zbytečného odkladu odstoupit od této Smlouvy v případě, že druhá smluvní strana poruší tuto Smlouvu podstatným způsobem ve smyslu § 2002 OZ.
13.05Odstoupení od Xxxxxxx je smluvní strana povinna sdělit druhé smluvní straně formou písemného oznámení o odstoupení. Z oznámení musí být zřejmé, v čem odstupující smluvní strana spatřuje podstatné porušení Smlouvy včetně odkazu na konkrétní porušenou smluvní povinnost.
13.06Odstoupení od Xxxxxxx je účinné doručením písemného oznámení o odstoupení druhé smluvní straně, pokud z obsahu odstoupení nevyplývá pozdější účinek odstoupení. Za řádné doručení oznámení o odstoupení od Xxxxxxx se považuje jeho doručení prostřednictvím poskytovatele poštovních služeb, kurýra, nebo jeho doručení do datové schránky druhé smluvní strany.
13.07Pro případ odstoupení od Smlouvy kteroukoliv ze smluvní stran se smluvní strany dohodly na následujícím způsobu vypořádání:
a) Poskytovatel má nárok na úhradu skutečně a prokazatelně vynaložených nákladů spojených s dosavadní realizací Služeb, neoznačených v odst. 2.03 jako RZ-1, RZ- 2 a SK-1;
b) Objednatel si ponechá všechna řádně akceptovaná a Poskytovatelem předaná plnění poskytnutá v rámci této Smlouvy, označená v odst. 2.03 jako RZ-1, RZ-2 a SK-1;
c) Poskytovatel si ponechá všechna Objednatelem poskytnutá peněžitá plnění za Služby, označené v odst. 2.03 jako RZ-1, RZ-2 a SK-1, za plnění dle písm. b) tohoto odstavce;
d) Všechna ostatní vzájemná plnění v rámci Služeb, označených v odst. 2.03 jako RZ- 1, RZ-2 a SK-1, neuvedená v písm. b) nebo c) tohoto odstavce (tj. u nichž nedošlo k akceptaci bez výhrad a předání), mezi sebou smluvní strany vypořádají dle ustanovení § 2991 a násl. OZ upravujících bezdůvodné obohacení.
13.08Odstoupením od Xxxxxxx nejsou dotčena ustanovení týkající se ochrany informací a osobních údajů, řešení sporů, zajištění pohledávky kterékoliv ze Smluvních stran, náhrady škody a ustanovení týkajících se těch práv a povinností, z jejichž povahy vyplývá, že mají trvat i po odstoupení od Smlouvy (zejména jde o povinnost poskytnout
peněžitá plnění za plnění poskytnutá před účinností odstoupení od Smlouvy). V případě odstoupení ze strany Objednatele je tento oprávněn určit, zda si již akceptovaná a plnění ponechá nebo budou vrácena Poskytovateli a vzájemně vypořádána.
Článek 14. Vyšší moc
14.01Smluvní strany nejsou odpovědné za částečné nebo úplné neplnění smluvních závazků následkem vyšší moci. Za vyšší moc se považují okolnosti, vzniklé po podepsání této Smlouvy jako následek nevyhnutelných událostí mimořádné povahy, které mají přímý vliv na plnění předmětu Smlouvy a které smluvní strana uplatňující existenci vlivu (působení) vyšší moci, nemohla předpokládat před uzavřením této Smlouvy, a které nemůže tato dotčená smluvní strana ovlivnit při vynaložení veškerého svého úsilí.
14.02Vyskytne-li se působení vyšší moci, lhůty ke splnění smluvních závazků se prodlouží
o dobu jejího působení.
14.03Smluvní strana postižená vyšší mocí je povinna druhou smluvní stranu uvědomit písemně o počátku a ukončení působení vyšší moci neprodleně nejpozději však do 15 dnů. Pokud by tak neučinila, nemůže se smluvní strana účinně dovolávat působení vyšší moci.
Článek 15.
Salvatorní ustanovení
15.01Je-li nebo stane-li se některé ustanovení této Smlouvy neplatné, neúčinné či nevymahatelné, zůstávají ostatní ustanovení této Smlouvy platná a účinná. Namísto neplatného, neúčinného nebo nevymahatelného ustanovení se použijí ustanovení obecně závazných právních předpisů upravujících otázku vzájemného vztahu smluvních stran. Smluvní strany se pak zavazují upravit svůj vztah přijetím jiného ustanovení, které svým výsledkem nejlépe odpovídá záměru ustanovení neplatného, resp. neúčinného či nevymahatelného. Pokud bude v této Smlouvě chybět jakékoli ustanovení, jež by jinak bylo přiměřené z hlediska úplnosti úpravy práv a povinností, vynaloží Strany maximální úsilí k doplnění takového ustanovení do této Smlouvy.
Článek 16.
Závěrečná ujednání
16.01Oprávněnými osobami smluvních stran pro jednání v záležitostech plnění této Smlouvy
jsou tyto osoby (kterákoli z uvedených):
Za Objednatele
Xxx. Xxxxx Xxxxxx, tel. x000 000 000 000, e-mail: xxxxx.xxxxxx@xxxx.xx
PhDr. Xxxxxxxxx Xxxxx, XXx., tel. x000 000 000 000, e-mail: xxxxxxxxx.xxxxx@xxxx.xx
Xxx. Xxxxx Xxxxxxxxx, tel. x000 000 000 000, e-mail: xxxxx.xxxxxxxxx@xxxx.xx
Za Poskytovatele: XXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Telefonní číslo Poskytovatele pro hlášení závad: x000 000 000 000 E-mail Poskytovatele pro hlášení závad: xxxxxxx@xxxxxxxxx.xx
16.02Nedílnou součástí této Smlouvy je:
Příloha č. 1 - Popis současného stavu vybraného HW a SW, specifikace vybraného
HW a SW
Příloha č. 2 - Specifikace Služeb
Příloha č. 3 - Formulář žádosti o přístup/ukončení přístupu do informačního systému
Objednatele
16.03Tuto Smlouvu lze měnit pouze písemným, číslovaným a oboustranně potvrzeným ujednáním, výslovně nazvaným dodatek ke smlouvě. Jiné zápisy, protokoly apod. se za změnu Xxxxxxx nepovažují.
16.04Nastanou-li u některé ze stran skutečnosti bránící řádnému plnění této Smlouvy, je povinna to neprodleně oznámit druhé straně.
16.05Tato Smlouva je vyhotovena ve 2 stejnopisech, z nichž každá smluvní strana obdrží po 1 vyhotovení.
16.06Smluvní strany prohlašují, že si Xxxxxxx pozorně přečetly a že je jim její obsah jasný a srozumitelný. Prohlašují, že tato Smlouva nebyla sjednána ani v tísni, ani za jinak jednostranně nevýhodných podmínek.
16.07Ve všech případech, které neřeší ujednání obsažené v této Smlouvě, platí příslušná ustanovení OZ, případně dalších předpisů platného práva České republiky.
16.08Poskytovatel bere na vědomí povinnost zveřejnit Smlouvu i jakékoli objednávky učiněné na jejím základě v registru smluv (dále jen „registr smluv“) v souladu se zákonem č. 340/2015 Sb., o registru smluv, a podpisem této Smlouvy vyslovuje souhlas se zveřejněním všech údajů uvedených ve Smlouvě či objednávkách Objednatelem v registru smluv zřízeném uvedeným zákonem, vyjma osobních údajů. Poskytovatel výslovně prohlašuje, že žádný údaj uvedený v této Smlouvě a jejích přílohách není obchodním tajemstvím ve smyslu § 504 OZ.
16.09Tato Smlouva nabývá platnosti dnem podpisu oběma smluvními stranami a účinnosti dnem uveřejnění v registru smluv. Článek 10 nabývá účinnosti dnem převzetí příslušného Autorského díla Objednatelem.
Na důkaz toho, že celý obsah Smlouvy je projevem jejich pravé, vážné a svobodné vůle, připojují osoby oprávněné za smluvní strany uzavírat tuto Smlouvu své vlastnoruční podpisy.
V Praze dne 28. 3. 2018 V Brně dne 20. 3. 2018 Objednatel: Poskytovatel:
……………………………………... ……………………………………...
Xxx. Xxxxx Xxxxxxx Xxxxxx Xxxxxxxx
příkazem k zastupování pověřena řízením jednatel
Státního ústavu pro kontrolu léčiv
Popis součˇasné´ho stavu vybrané´ho HW a SW, spéčifikačé vybrané´ho HW a SW
Úvod
Tento dokument obsahuje popis jednotlivých bezpečnostních prvků sloužících primárně k ochraně sítě, systémů a aplikací Objednatele (dále též „SÚKL“).
Infrastruktura perimetru
Bezpečnostní perimetr SÚKL se skládá ze soustavy prvků, které jako celek zajišťují bezpečnost centrální sítě, lokálních sítí, aplikací a připojených externích uživatelů. Bezpečnostní perimetr je provozován v režimu 24 hodin x 7 dní v týdnu a zahrnuje zejména: firewall, IDS/IPS, VPN, certifikační autority, centrální antispamový systém, webové proxy, e-mailovou gateway, připojení do Internetu a další vybrané bezpečnostní systémy.
Prostředí SÚKL je logicky a částečně i fyzicky rozděleno na více samostatných celků. Nejdůležitějším prostředím z hlediska externích uživatelů je prostředí „ERP“ zajišťující funkcionalitu elektronické preskripce. Toto prostředí je logicky odděleno na úrovni jednotlivých VLAN od dalších prostředí. Druhé prostředí, nazývané „S“, je určeno pro zajištění provozu SÚKL a dále pak je na něm provozováno testovací prostředí (TEST) pro prostředí „S“ a „ERP“. V prostředí „S“ jsou provozovány i některé klíčové prvky.
Firewall
V hlavní budově úřadu v lokalitě Praha jsou instalovány 2 centrální firewally složené z Cisco 6509E a Cisco ASA 5520 v HA zapojení. Na těchto firewallech jsou definována pravidla řídící provoz mezi externí a interní sítí a je definováno cca 60 demilitarizovaných zón (DMZ), do kterých jsou vyčleněny síťové zdroje dostupné z vnějšího světa.
V rámci lokální sítě je cca 700 koncových stanic a v rámci DMZ je cca 300 virtuálních serverů. Dále je přes tento uzel realizováno připojení externích subjektů, kterých je cca 10 000.
Připojení regionálních pracovišť (dále i „OKL“) je na straně těchto pracovišť realizováno pomocí zařízení
Cisco ASA 5505. Seznam lokalit regionálních pracovišť je dále uveden v kapitole Seznam lokalit.
Síťová infrastruktura
Základem síťové infrastruktury perimetru jsou dva páteřní přepínače Cisco C6509E. Tyto přepínače obsahují firewall modul a Application Control Engine (ACE) modul. Tím tvoří základ nejen pro síťové služby, ale i pro zabezpečení celého perimetru. Přepínače slouží jak pro prostředí „S“, tak pro prostředí
„ERP“. Přepínače jsou zapojeny samostatně, není použita žádná clusterová technologie. Routování mezi vnitřními sítěmi je řešeno kvůli redundanci pomocí technologie HSRP (Hot Standby Routing Protocol) a statických rout definovaných na obou přepínačích Cisco C6509E. Propojení mezi těmito přepínači a ostatními přepínači v síti jsou řešeny redundantně pomocí protokolu RapidPVST (Rapid Per VLAN Spanning Tree Protocol).
Dalšími prvky v této síti jsou přepínače Cisco C6504, které slouží k SSL připojení externích uživatelů a subjektů komunikujících se systémy SÚKL. Každý z těchto přepínačů je vybaven Application Control Engine (ACE) modulem.
V rámci síťové infrastruktury je provozováno cca 40 VLAN, které slouží k bezpečnému oddělení jednotlivých částí sítě.
Dále jsou v rámci síťové infrastruktury využívány loadbalancery F5, které slouží mj. k zakončení SSL připojení externích subjektů k systémům SÚKL a jako aplikační FW. Správa těchto zařízení je zajišťována třetí stranou a není součástí této služby.
Připojení k Internetu
Připojení centrální lokality (v Praze) k Internetu je řešeno pomocí tří nezávislých linek. Hlavní linka s přenosovou rychlostí 100+ Mbps je připojena pomocí optického kabelu. Druhá, záložní linka s přenosovou rychlostí 100 Mbps je připojena prostřednictvím mikrovlnného spojení. Třetí, sekundární linka je zajištěna radiovým spojem od jiného poskytovatele než předchozí dvě spojení. Rychlost tohoto spojení je taktéž 150+ Mbps. Všechna tato připojení jsou na straně SÚKL zakončena dvojicí routerů Cisco ASR1002-F. Veškerá redundance připojení je řešena technologií HSRP. V případě výpadku hlavní linky dochází k automatickému přepnutí na záložní linku.
Připojení regionálních pracovišť (OKL) do Internetu je realizováno prostřednictvím internetových linek s přenosovou rychlostí 20 Mbps. Tato internetová připojení jsou využívána pro přístup OKL k centrálním systémům. Pro bezpečné připojení je využívána technologie VPN.
VPN a SSL
SÚKL používá VPN a SSL technologii zejména pro tyto typy regulovaných subjektů:
⮚ Ambulantní pracoviště
⮚ Lékárny
⮚ Distributoři léčivých přípravků (LP)
⮚ Zdravotní pojišťovny
⮚ Farmaceutické firmy
⮚ Poskytovatelé IT služeb
⮚ Regionální pracoviště (OKL)
⮚ Interní zaměstnanci
V centrále SÚKL v Praze jsou instalovány 2 centrální zařízení Cisco ASA 5520 v HA zapojení. Zařízení Cisco ASA 5520 funguje jako VPN koncentrátor, na němž jsou zakončovány VPN tunely. Přístupová práva k jednotlivým síťovým zdrojům jsou řízena pomocí Cisco Access Control Server (ACS) serveru. Toto zařízení rovněž spolupracuje s IDS/IPS zařízením Cisco Monitoring, Analysis, and Response System (MARS).
Připojení regionálních pracovišť (OKL) je realizováno pomocí zařízení Cisco ASA 5505. Toto zařízení plní funkci firewallu a zároveň vytváří zabezpečený IPSec tunel mezi regionálním pracovištěm a centrálou SÚKL.
Řešení pro připojení regulovaných subjektů využívá jako VPN klienta zařízení Cisco 871/881. VPN tunely jsou ukončeny na centrálních VPN koncentrátorech. Provoz tohoto řešení je ze strany externích subjektů zajišťován třetí stranou.
E-mailová a webová proxy
Jako www proxy je použita dvojice zařízení Cisco IronPort S-170 v HA zapojení (active/pasive).
Ochrana e-mailové komunikace je zabezpečena pomocí dvojice zařízení Cisco IronPort C-170 v HA
režimu (active/active), na kterém je zapnuta antispamová a antivirová ochrana.
Denní objem dat v rámci internetové proxy je cca 50 GB. Průměrný počet doručených e-mailových zpráv je cca 16 000/den (včetně zachycených spamů) a počet odeslaných zpráv je cca 7000/den.
IDS/IPS
Pro detekci útoků a zpracování informací o síťovém provozu včetně vyhodnocování bezpečnostních incidentů je používáno zařízení Cisco Monitoring, Analysis, and Response System (MARS). Zařízení je využíváno i pro generování statistik o výkonnosti sítě a bezpečnostních incidentech. Cisco MARS je provozován a používán bez podpory, důvodem je ukončení podpory výrobcem.
Jako IPS se používá Cisco ASA 5520.
Dále je využíván systém SIEM od výrobce IBM (QRadar). Správa a servisní podpora tohoto systému je
zajišťována třetí stranou a není součástí této služby.
Certifikační autority (CA)
SÚKL provozuje dvě hierarchické struktury certifikačních autorit, založených na technologii Microsoft. Certifikační autority provozované SÚKL jsou v obou strukturách navázány na kořenové certifikační autority Ministerstva zdravotnictví (MZ CR Root CA). Samotná PKI (Public Key Infrastructure) má více vrstev.
První PKI hierarchie (SHA-1)
První vrstva – je nadřazená CA z Ministerstva zdravotnictví
Druhá vrstva – zahrnuje Intermediate CA, která je spravovaná SÚKL a je podepsaná certifikátem MZ CR Root CA. Tato CA slouží k vydávání certifikátů podřízeným koncovým CA SÚKL.
Třetí vrstva – obsahuje koncové CA, jejichž certifikáty jsou používány koncovými uživateli.
Obrázek 1- Popis PKI-1 hierarchie SÚKL
Popis jednotlivých CA:
1) SUKL Intermediate CA – zastřešuje vydávající certifikační autority, je určena výhradně pro vydávání certifikátů podřízeným certifikačním autoritám a je podřízena kořenové certifikační autoritě Ministerstva zdravotnictví.
Vlastnosti:
❖ velikost klíče 2048 bitů,
❖ umístnění soukromých klíčů je na CryptoServeru Utimaco,
❖ typ CA offline stand-alone,
❖ server s operačním systémem Microsoft Windows Server 2003 Enterprise Edition (virtualizováno na VMware).
2) SUKL Users CA – začleněna do Active Directory xxxx.xx. Slouží k vydávání uživatelských certifikátů pro šifrování pošty, digitálních podpisů pošty, digitálních podpisů dokumentů, přihlašování do operačního systému atd.
Vlastnosti:
❖ velikost klíče 2048 bitů,
❖ umístnění soukromých klíčů je na CryptoServeru Utimaco,
❖ typ CA online enterprise,
❖ Server s operačním systémem Microsoft Windows Server 2003 Enterprise Edition (virtualizováno na VMware).
3) SUKL Devices CA - začleněna do Active Directory xxxx.xx. Slouží k vydávání certifikátů pro
servery i jiná HW zařízení ve vnitřní síti.
Vlastnosti:
❖ velikost klíče 2048 bitů,
❖ umístnění soukromých klíčů je na CryptoServeru Utimaco,
❖ typ CA online enterprise,
❖ server s operačním systémem Microsoft Windows Server 2003 Enterprise Edition (virtualizováno na VMware).
4) SUKL Services2 CA – Slouží k vydávání certifikátů pro služby, které SÚKL musí poskytovat podle zákonů nebo vyhlášek.
Vlastnosti:
❖ velikost klíče 2048 bitů,
❖ umístnění soukromých klíčů je na CryptoServeru Utimaco,
❖ typ CA online enterprise,
❖ server s operačním systémem Microsoft Windows Server 2003 Enterprise Edition
(virtualizováno na VMware).
Druhá PKI hierarchie (SHA-2)
První vrstva – je nadřazená CA z Ministerstva zdravotnictví
Druhá vrstva – zahrnuje Intermediate CA, která je spravovaná SÚKL a je podepsaná certifikátem MZ CR Root CA. Tato CA slouží k vydávání certifikátů podřízeným koncovým CA SÚKL.
Třetí vrstva – v současné době obsahuje jednu koncovou CA, jejichž certifikáty jsou používány koncovými uživateli.
Popis jednotlivých CA:
1) SUKL G2 Intermediate CA – zastřešuje vydávající certifikační autority, je určena výhradně pro vydávání certifikátů podřízeným certifikačním autoritám a je podřízena kořenové certifikační autoritě Ministerstva zdravotnictví.
Vlastnosti:
❖ velikost klíče 3072 bitů,
❖ umístnění soukromých klíčů je na CryptoServeru Utimaco,
❖ typ CA offline stand-alone,
❖ server s operačním systémem Microsoft Windows Server Standard 2016 (virtualizováno na VMware).
2) SUKL G2 Issuing CA – začleněna do Active Directory xxxx.xx. Slouží k vydávání certifikátů pro služby, které SÚKL musí poskytovat podle zákonů nebo vyhlášek.
Vlastnosti:
❖ velikost klíče 3072 bitů,
❖ umístnění soukromých klíčů je na CryptoServeru Utimaco,
❖ typ CA online enterprise,
❖ Server s operačním systémem Microsoft Windows Server Standard 2016 (virtualizováno na VMware).
Nová PKI hierarchie kromě klasického CRL (seznamu odvolaných certifikátů) publikovaného na xxxx://xxx.xxxx.xx podporuje rovněž protokol OCSP na adrese xxxx://xxxx.xxxx.xx. Vše je umístěno a stravováno na virtuálním serveru s operačním systémem Microsoft Windows Server Standard 2016.
Součástí řešení je Hardware Security Module (HSM) server Utimaco CryptoServer CS10 LAN. Na tomto
HSM jsou bezpečně uložené soukromé klíče certifikačních autorit a certifikáty podepisující OCSP.
Další bezpečnostní systémy
Pro podporu provozu celé sítě jsou v rámci bezpečnostního perimetru provozovány další infrastrukturní služby, zejména DNS, monitoring a síťové přepínače.
Seznam používaného hardwaru
Aktivní prvky
Switche
Model | Počet |
WS-C2960G-24TC-L | 7 |
WS-C2960S-24PS-L | 3 |
WS-C3560E-48PD-SF | 4 |
WS-C3560G-24PS-S | 3 |
WS-C3560G-24TS-S | 6 |
WS-C3560G-48PS | 1 |
WS-C3560G-48PS-S | 10 |
WS-C3560X-48PF-L | 3 |
WS-C3650-24PS-L | 1 |
WS-C6504-E | 4 |
WS-C6509-E | 2 |
WS-CBS3130X-S | 1 |
Dell Networking S4048 | 2 |
Dell Networking S4048P | 2 |
Dell Networking N3048 | 4 |
Dell Brocade 6510 | 4 |
Access Pointy
Model | Počet |
AIR-AP1252AG-E-K9 | 2 |
AIR-CT5508-100-K9 | 1 |
AIR-LAP1142N-E-K9 | 8 |
AIR-LAP1142N-E-K9 | 9 |
AIR-LAP1142N-E-K9 | 67 |
Firewally
Model | Počet |
ASA5505-50-BUN-K9 | 7 |
ASA5520-AIP20-K9 | 2 |
F5 Loadbalancery
Model | Počet |
F5 Big IP i5800 LTM | 4 |
Servery
Výrobce | Model | Počet |
DELL | PowerEdge M710 | 5 |
DELL | PowerEdge M820 | 2 |
DELL | PowerEdge 2950 | 4 |
SUN | Sunfire X4470 | 1 |
DELL | Power Edge R900 | 5 |
DELL | PowerEdge M630 | 8 |
DELL | PowerEdge R630 | 2 |
DELL | PowerEdge R730 | 10 |
DELL | PowerEdge R730XD | 1 |
Monitorovací server
Model | Počet |
CS-MARS-110R-K9 | 1 |
Seznam používaných diskových polí EMC Diskové pole EMC CX4-120 CKM00085000089
Model | Popis | Počet |
CX4-120C | CX4-120C SPE | 1 |
CX-4G15-300 | 300GB 15K RPM Drive | 15 |
CX-4G15-450 | 450GB 15K RPM Drive | 30 |
CX-SA07-010 | 1TB 7.2K RPM Drive | 45 |
CX4-4PDAE | UltraPoint array expansion (Factory or Field Install) | 6 |
NAV4-120 | NAVISPHERE/UNISPHERE FOR BLOCK FOR THE CX4-120 | 1 |
NAVAYZ4-120 | NAVISPHERE/UNISPHERE ANALYZER FOR THE CX4-120 | 1 |
Diskové pole EMC CX4-240 CK200074100203
Model | Popis | Počet |
CX4-240C | CX4-240C SPE with redundant SPS | 1 |
CX-4G15-146 | 146GB 15K RPM Drive | 15 |
CX-4G15-450 | 450GB 15K RPM Drive | 45 |
CX4-4PDAE | UltraPoint array expansion (Factory or Field Install) | 4 |
NAV4-240 | NAVISPHERE/UNISPHERE FOR BLOCK FOR THE CX4-240 | 1 |
NAVAYZ4-240 | NAVISPHERE/UNISPHERE ANALYZER FOR THE CX4-240 | 1 |
SV4-240 | SNAPVIEW FOR CX4-240 | 1 |
Diskové pole EMC CX4-120 CKM00091700260
Model | Popis | Počet |
CX4-120C | CX4-120C SPE | 1 |
CX-4G15-300 | 300GB 15K RPM Drive | 4 |
CX-4G15-450 | 450GB 15K RPM Drive | 46 |
CX-SA07-010 | 1TB 7.2K RPM Drive | 30 |
CX4-4PDAE | UltraPoint array expansion (Factory or Field Install) | 6 |
NAV4-120 | NAVISPHERE/UNISPHERE FOR BLOCK FOR THE CX4-120 | 1 |
NAVAYZ4-120 | NAVISPHERE/UNISPHERE ANALYZER FOR THE CX4-120 | 1 |
Diskové pole EMC CX4-240 CK200082000044
Model | Popis | Počet |
CX4-240C | CX4-240C SPE with redundant SPS | 1 |
CX-4G15-73 | 73GB 15K RPM Drive | 5 |
CX-4G15-300 | 300GB 15K RPM Drive | 55 |
CX4-4PDAE | UltraPoint array expansion (Factory or Field Install) | 4 |
NAV4-240 | NAVISPHERE/UNISPHERE FOR BLOCK FOR THE CX4-240 | 1 |
NAVAYZ4-240 | NAVISPHERE/UNISPHERE ANALYZER FOR THE CX4-240 | 1 |
Diskové pole HP 3PAR 8200
Model | Popis | Počet |
HP3PAR DCN2 | Diskové pole | 2 |
HP3PAR DCS8 | Diskové pole | 4 |
Diskové pole Dell
Model | Popis | Počet |
CT-SC7020 | Diskové pole | 2 |
SC 420 | Disková police | 12 |
Seznam lokalit
• Xxxxx, Xxxxxxxxx 00
• Xxxx, Xxxxx 00
• České Budějovice, Xxxxxx Xxxxxxx 54
• Xxxxx, Xxxxxxxxxx 0
• Hradec Králové, Resslova 745
• Ostrava, Třída 17. listopadu 1790
• Xxxxxxx, Xxxxxxxxxxxx 0
Všechny uvedené obrázky a schémata znázorňují strukturu a rozsah vybraného HW a SW.
Specifikace Služˇeb – katalogove´ listy
JS-1 Vstupní analýza současného stavu včetně vytvoření aktuální verze
dokumentace
Popis služby
Analýza současného stavu musí obsáhnout veškeré bezpečnostní prvky infrastruktury a jejich konfigurace, viz Příloha č. 1 Smlouvy (dále též souhrnně „perimetr“). Popis v podobě dokumentace bude obsahovat zejména:
a. seznam HW (zejména: název, typ, výrobce, výrobní číslo, modelové číslo (pokud existuje), IP adresa, MAC adresa, počet, typ a propustnost fyzických portů, verze firmware, způsob a rozsah zajištění podpory a datum ukončení podpory výrobcem, fyzické umístění) včetně všech modulů a označení jejich příslušnosti k danému HW,
b. schéma zapojení bezpečnostních prvků v síti,
c. popis konfigurace jednotlivých bezpečnostních prvků,
d. seznam všech bezpečnostních pravidel aplikovaných na všech bezpečnostních prvcích,
e. dokumentaci všech VLAN včetně podrobného popisu,
f. dokumentace VPN připojení včetně podrobného popisu,
g. dokumentace CA, seznam použitých CA v jednotlivých zařízeních včetně data
exspirace,
h. plány zálohy a obnovy poskytovaných služeb,
i. měření zatížení vytížení jednotlivých HW komponent perimetru.
Dokumentace bude ve vlastnictví Objednatele. Dokumentace bude předána v editovatelném formátu
MS Office, případně dle dohody s Objednatelem i v jiném formátu, např. modely.
Analýza musí identifikovat i případné nedostatky, slabá místa a bezpečnostní rizika v rámci perimetru.
Na základě analýzy Poskytovatel navrhne optimalizaci perimetru.
Vstupy
Současný stav perimetru
Výstupy
Dokumentace jednotlivých částí perimetru
Návrh optimalizace perimetru
Doba poskytování a zařazení služby
Služba je poskytnuta jednorázově.
JS-2 Zprovoznění helpdeskového řešení a poskytnutí přístupových údajů oprávněným osobám
Popis služby
Poskytovatel poskytne pomocí helpdeskového řešení (helpdeskového systému, telefonu a e-mailu) přístup k zadávání a řešení hlášení (požadavků a incidentů). Helpdeskové řešení (dále i „Helpdesk“) Poskytovatele musí být schopno zobrazit a řídit celý životní cyklus hlášení. Dále musí obsahovat následující funkcionality: kategorizace hlášení, prioritizace hlášení, určení řešitele, způsob řešení (vlastními silami, předání třetí straně k řešení), fulltextové vyhledávání v hlášeních, evidence pracnosti, e-mailové notifikace s URL hlášení a e-mailové zadávání hlášení, přiložení souborů k hlášení, uzavření hlášení a reporting. Dostupnost přehledu všech hlášení a jejich stavů musí jít omezit pouze na přihlášeného uživatele. Helpdesk musí umožnit vybraným uživatelům zobrazit veškeré informace ke všem hlášením. Systém musí být schopen integrace s případnými dalšími helpdeskovými systémy přes technologicky nezávislé rozhraní (na bázi webových služeb nebo e-mailových zpráv). Systém musí podporovat možnost pravidelného exportu všech vedených údajů do XML.
Telefonickou linku lze využívat pro nouzové zadávání hlášení nebo v případě nedostupnosti helpdeskového systému.
Popis životního cyklu hlášení (minimální varianta)
Nejčastěji využívaný scénář
Aktivita | Role |
1. Zápis hlášení | Objednatel |
1.1 Kategorizace | Objednatel |
1.2 Prioritizace | Objednatel |
2. Notifikace o založení | Systém |
3. Analýza hlášení | Poskytovatel |
4. Přiřazení řešitele | Poskytovatel |
5. Notifikace o změně | Systém |
6. Řešení požadavku/incidentu | Poskytovatel |
7. Aktualizace stavu řešení | Poskytovatel |
8. Notifikace o změně | Systém |
9. Popis řešení | Poskytovatel |
10. Notifikace o změně | Systém |
11. Požadavek na akceptaci | Poskytovatel |
12. Notifikace o změně | Systém |
13. Akceptace | Poskytovatel |
14. Uzavření hlášení | Systém |
Alternativní scénář k bodu 6.
6. Řešení požadavku/incidentu | Poskytovatel |
6.1 Požadavek na součinnost | Poskytovatel |
6.2 Notifikace o změně | Systém |
6.3 Poskytnutí/Koordinace součinnosti | Objednatel |
Alternativní scénář k bodu 11.
11. Požadavek na akceptaci | Poskytovatel |
12. Notifikace o změně | Systém |
13. Odmítnutí akceptace | Objednatel |
6. Řešení požadavku/incident | Poskytovatel |
Ostatní alternativní scénáře:
⮚ Objednatel musí mít možnost kdykoliv ukončit zpracování hlášení.
⮚ Objednatel musí mít možnost kdykoliv přidat k hlášení další řešitele, a to jak interní, tak externí.
Vstupy
Seznam přistupujících osob v každé kategorii
Akceptovaný životní cyklus incidentu a požadavků
Výstupy
Nastavené helpdeskové řešení dle požadavků Objednatele
Funkční telefonní linka helpdeskového řešení provozovaná v režimu 24x7 (24 hodin x 7 dní v týdnu)
E-mailová adresa provázaná s helpdeskovým systémem
Doba poskytování a zařazení služby
Služba je poskytnuta jednorázově.
JS-3 Realizace monitoringu
Popis služby
V rámci této služby bude nastaveno monitorování perimetru Objednatele v nepřetržitém režimu 24x7 (24 hodin x 7 dní v týdnu). Služba monitoringu musí být schopna zajistit proaktivní dohled nad jednotlivými prvky perimetru, včetně integrovaných systémů třetích stran, pokud to bude technicky možné.
Monitoring musí být schopen přijímat a filtrovat zprávy z IPS/IDS zařízení Objednatele.
Monitoring musí být přístupný vybraným zaměstnancům Objednatele v plné míře. Veškeré služby perimetru musí být rozčleněné a čitelně popsané. K monitoringu bude předána Poskytovatelem Objednateli dokumentace v podobě uživatelské, konfigurační a administrátorské příručky. Monitoring i jeho dokumentace bude Poskytovatel pravidelně aktualizovat spolu s prováděnými změnami během realizace Xxxxxxx.
Objednatel provádí monitoring vlastními prostředky vybraných komponent infrastruktury prostřednictvím systému Zabbix. Dále některé prvky perimetru mohou být monitorovány správcem infrastruktury nebo jiným subjektem. Poskytovatel nesmí tyto služby omezit.
Vstupy
Dokumentace perimetru
Zvolená monitorovací technologie, nebo kombinace zvolených monitorovacích technologií
Výstupy
Fungující monitoring (dohledový systém služeb) dle požadavků Objednatele.
Doba poskytování a zařazení služby
Služba je poskytnuta jednorázově.
JS-4 Proškolení interních zaměstnanců Objednatele
Popis služby
Proškolení interních zaměstnanců Objednatele bude uskutečněno s využitím realizovaného monitoringu a dodané dokumentace. Součástí školení budou názorné ukázky nastavení perimetru, monitorování a testování nastavení perimetru. Školení bude realizováno pro provozní („S“) prostředí a
„EP“ prostředí. Interní zaměstnanci Objednatele by měli být po zaškolení schopni identifikovat jednotlivé služby infrastruktury perimetru v monitoringu, identifikovat možné problémy a číst v dokumentaci infrastruktury perimetru.
Školení bude provedeno v interních prostorách Objednatele v lokalitě Praha, s využitím interních IT prostředků. Celkový počet zaměstnanců Objednatele účastnících se školení nepřekročí deset. Časový rozsah školení bude 2 MD.
Vstupy
Funkční monitoring dle parametrů Objednatele Dodaná dokumentace
Výstupy
Proškolení interní zaměstnanci Objednatele.
Doba poskytování a zařazení služby
Služba je poskytnuta jednorázově.
PP-1 Produktová podpora SW a HW třetích stran
Popis služby
Poskytování součinnosti při provozování perimetru. Služba je prováděná za účelem odborné pomoci a rady při řešení konkrétního problému. Podpora bude poskytována formou ústních nebo písemných konzultací či formou účasti na jednáních na základě vyžádání Objednatele. Poskytovatel je povinen zajistit účast osoby s odpovídající odborností.
Služba zahrnuje zejména:
• konzultace - informace – poskytnutí informace na základě dotazu Objednatele,
• konzultace - kontrola – vypracování kontrolní zprávy o provedení kontroly; jedná se o dotaz složitějšího charakteru a je zde požadována součinnost Objednatele,
• konzultace - vyjádření – vypracování dokumentu, který bere v úvahu i možné jiné dopady vztahující se k řešení složitého problému; tento dotaz je již komplexního charakteru a požadovaná součinnost Objednatele může být vysoká,
• účast na jednáních - účast na jednáních s Objednatelem či třetími stranami organizované
Objednatelem.
Vstupy
Vstupem je požadavek Objednatele v systému Helpdesk (služba PP-2), nebo telefonická/e-mailová žádost.
SLA
Popis | Termín plnění |
Převzetí požadavku | Do 30 minut od nahlášení |
Konzultace – informace | Do 1 pracovního dne |
Konzultace - kontrola | Do 3 pracovních dnů |
Konzultace - vyjádření | Do 10 pracovních dní |
Účast na jednání | Dle dohody s Objednatelem (Objednatel předá požadavek min. 3 pracovní dny předem) |
Výstupy
Výstupem je písemné sdělení Poskytovatele prostřednictvím Helpdesku či e-mailu. U kontrol a vyjádření (konzultace – kontrola a konzultace – vyjádření) je Objednatel oprávněn požadovat předání zprávy nebo stanoviska v listinné podobě opatřené podpisem Poskytovatele.
Doba poskytování a zařazení služby
Doba poskytování služby je v pracovní dny od 8:00 do 18:00 hodin.
Rozsah čerpání této služby není v rámci paušální platby časově omezen.
PP-2 Provoz helpdeskového řešení
Popis služby
Poskytovatel zajišťuje provoz a aktualizaci helpdeskového systému pro vedení evidence hlášení o chybách, námětech, změnách nebo rozšířeních funkcí perimetru včetně stavu jejich řešení. Helpdeskový systém musí být provozován s webovým uživatelským rozhraním. Poskytovatel zajistí přístup do systému pro oprávněné osoby Objednatele a třetích stran určených Objednatelem.
Standardně se hlášení provádí zápisem do helpdeskového systému prostřednictvím webového formuláře nebo e-mailem. V případě nedostupnosti helpdeskového systému Poskytovatele lze požadavky hlásit rovněž na stanovené telefonní číslo nebo e-mailem a požadavek do helpdeskového systému zaeviduje Poskytovatel neprodleně po obnovení činnosti helpdeskového systému. Tento způsob lze použít i v případě jiné kritické situace.
Helpdeskové řešení zajišťuje služby dle požadavků JS-2. Provoz helpdeskového systému bude zajištěn na bázi popsaného životního cyklu požadavku.
Vstupy
Vstupem je požadavek uživatele/Objednatele.
Za hlášení uživatele/Objednatele se považuje i výstup služby PM-1 Proaktivní monitoring.
SLA
Dostupnost této služby musí být 99 % v kalendářním měsíci. Výpočet dostupnosti se řídí postupem popsaným v kapitole Výpočet dostupnosti.
Popis SLA | Termín plnění |
Převzetí požadavku | Do 30 minut od přijetí požadavku |
Výstupy
Výstupem je zaevidované hlášení včetně celého životního cyklu.
Doba poskytování a zařazení služby
Doba poskytování služby je v režimu 24x7 (24 hodin x 7 dní v týdnu).
Rozsah čerpání této služby není v rámci paušální platby časově omezen.
PP-3 Vedení dokumentace
Popis služby
Účelem služby je vedení dokumentace, její aktualizace a zpřístupnění Objednateli. Dokumentace je majetkem Objednatele. Dokumentace musí být verzována, jednotlivé změny v každé verzi musí být zřetelně označeny a popis změn musí být uveden v samostatném dokumentu. Dokumentace bude dostupná v editovatelném formátu.
Součástí služby je:
- průběžně vedený strukturovaný dokument (vycházející z výstupu služby JS-1) neustále přístupný vybraným zaměstnancům Objednatele, který bude mj. obsahovat popis provedených úkonů v rámci administrace a údržby systémů s popisem jejich dopadu do vlastního i navazujících systémů,
- zasílání Reportu kvality služeb za předcházející kalendářní měsíc na email oprávněné osoby Objednatele dle odst. 16.01 Xxxxxxx, a to do pátého pracovního dne kalendářního měsíce následujícího, který bude mj. obsahovat:
o měsíční souhrnný report zahrnující posouzení parametrů provozu, upozornění na anomálie a seznam provedených úkonů v rámci administrace a údržby systémů,
o měsíční report identifikovaných bezpečnostních incidentů s popisem přijatých opatření (dle § 30 až 32 vyhlášky č. 316/2014 Sb.),
o vyřešené požadavky a incidenty zjištěné při administraci systému, z monitorovacích nástrojů, nebo nahlášené Poskytovateli Objednatelem a stav řešení nevyřešených hlášení,
o statistika plnění požadovaných SLA pro všechny poskytované služby,
o souhrnné statistiky o odpracovaných hodinách pro jednotlivé části perimetru,
o podrobný popis čerpání služeb SK-1, RZ-1 a RZ-2,
o souhrnné statistiky o výpadcích jednotlivých systémů a komponent,
o výstupy z pravidelné profylaxe systémů,
o výstupy z monitoringu,
o předání obsahu veškerých helpdeskových požadavků v daném období
v popsané XML struktuře v elektronické podobě.
Vstupy
Prvotním vstupem je dokumentace vytvořená v rámci služby JS-1. Vstupy jsou zejména změny perimetru.
SLA
Popis SLA | Termín plnění |
Aktualizace dokumentace na základě změn perimetru v průběhu kalendářního měsíce | Do 5. pracovního dne následujícího kalendářního měsíce |
Výstupy
Zaslaný report kvality
Dokumentace bude předávána Objednateli v souladu s termíny dle SLA, případně bude zajištěn přístup k zabezpečenému sdílenému úložišti Poskytovatele.
Doba poskytování a zařazení služby
Doba poskytování služby je v pracovní dny od 8:00 do 18:00 hodin.
Rozsah čerpání této služby není v rámci paušální platby časově omezen.
SK-1 Školení
Popis služby
V rámci této služby budou poskytována školení nad rámec služby JS-4.
Školení budou prováděna na základě konkrétního požadavku Objednatele. Školení budou realizována po schválení příslušného požadavku, který bude za Poskytovatele doplněn zejména o navržené místo školení, rozsah školení, školící materiály atd.
Školení budou prováděna v prostorách Objednatele v lokalitě Praha.
Objednatel musí potvrdit navrženou variantu, termín a způsob provedení školení. Poskytovatel musí zajistit školitele s odpovídající odborností, dle obsahu školení.
Požadavek na provedení služby SK-1 bude vznesen alespoň 14 kalendářních dnů před vlastním termínem realizace služby.
Vstupy
Zápis v systému Helpdesk.
SLA
Popis SLA | Termín plnění |
Provedení školení | Do 14 kalendářních dnů od odsouhlasení parametrů školení ze strany Objednatele. S návrhem termínu realizace školení musí Objednatel souhlasit. |
Převzetí požadavku | Do 30 minut od nahlášení |
Výstupy
Realizované školení
Protokol o provedení školení, jehož přílohou je stručný obsah školení a podpisový arch účastníků školení.
Doba poskytování a zařazení služby
Doba poskytování služby je v pracovní dny od 8:00 do 18:00 hodin.
Rozsah čerpání této služby je v rámci paušální platby časově omezen do vyčerpání počtu ČD za
kalendářní měsíc.
SP-1 Servisní požadavky typu kritická závada
Popis služby
Kritickou závadou se rozumí chyby či závady, které způsobují provozní problémy a znemožňují používání a využívání systémů k účelu, k němuž jsou určeny.
Po vyřešení každé kritické závady je Poskytovatel povinen předložit Objednateli podrobnou analýzu příčin vzniku kritické závady a návrh opatření, jak této závadě předcházet.
Tato služba zajišťuje všechny nezbytné kroky, které vedou k odstranění kritické závady nebo změnu její
kvalifikace na závadu závažnou (SP-2) nebo na závadu ostatní (SP-3).
Vstupy
Záznam v systému Helpdesk
Hlášení monitorovacího systému (služby PM-1 Proaktivní monitoring)
SLA
Popis SLA | Termín plnění |
Převzetí incidentu | Do 30 minut od nahlášení |
Zahájení prací na odstranění kritické závady | Do 4 hodin od nahlášení * |
Odstranění (fixace) kritické závady | Do 6 hodin od nahlášení * |
* Do termínu plnění se nezapočítává čas, kdy nebyla poskytnuta požadovaná součinnost Objednatele či třetí strany.
Výstupy
Záznam v helpdeskovém systému
Podrobná analýza příčin vzniku kritické závady a návrh opatření, jak této závadě předcházet Odstraněná kritická závada nebo změna její kvalifikace
Doba poskytování a zařazení služby
Doba poskytování služby je v režimu 24x7 (24 hodin x 7 dní v týdnu).
Rozsah čerpání této služby není v rámci paušální platby časově omezen.
SP-2 Servisní požadavky typu závažná závada
Popis služby
Závažnou závadou se rozumí méně závažné poruchy, chyby či závady nebo diference, které funkčně nebo kapacitně omezují používání a využívání systémů k účelu, k němuž jsou určeny.
Tato služba zajišťuje všechny nezbytné kroky, které zajistí odstranění závažné závady nebo změnu její
kvalifikace na ostatní závadu (SP-3).
Po vyřešení každé závažné závady je Poskytovatel povinen předložit Objednateli podrobnou analýzu příčin vzniku této závady a návrh opatření, jak závadě předcházet.
Vstupy
Záznam v systému Helpdesk
Hlášení monitorovacího systému (služby PM-1 Proaktivní monitoring)
SLA
Popis SLA | Termín plnění |
Převzetí incidentu | Do 30 minut od nahlášení |
Zahájení prací na odstranění závažné závady | Do 8 hodin od nahlášení * |
Odstranění (fixace) závažné závady | Do 12 hodin od nahlášení * |
* Do termínu plnění se nezapočítává čas, kdy nebyla poskytnuta požadovaná součinnost Objednatele či třetí strany. V případě překvalifikace z požadavku typu kritická závada je začátkem plnění čas nahlášení závady, ne čas překvalifikace.
Výstupy
Záznam v helpdeskovém systému
Návrh opatření, jak této závadě předcházet
Odstraněná závažná závada nebo změna její kvalifikace
Doba poskytování a zařazení služby
Doba poskytování služby je v režimu 24x7 (24 hodin x 7 dní v týdnu).
Rozsah čerpání této služby není v rámci paušální platby časově omezen.
SP-3 Servisní požadavky ostatní závada
Popis služby
Ostatní závadou se rozumí ostatní chyby či závady nebo diference, které málo nebo vůbec neomezují používání a využívání systému k účelu, k němuž je určen, nejsou však v souladu se správnou funkcí systému.
Tato služba zajišťuje všechny nezbytné kroky, které zajistí odstranění ostatní závady.
Vstupy
Záznam v systému Helpdesk
Hlášení monitorovacího systému (služby PM-1 Proaktivní monitoring)
SLA
Popis SLA | Termín plnění |
Převzetí incidentu | Do 30 minut od nahlášení |
Zahájení prací na odstranění ostatní závady | Do 2 dnů od nahlášení * |
Odstranění (fixace) ostatní závady | Do 4 dnů od nahlášení. Tento termín může být s ohledem na charakter vady prodloužen na základě písemné dohody mezi Poskytovatelem a Objednatelem. * |
*Do termínu plnění se nezapočítává čas, kdy nebyla poskytnuta požadovaná součinnost Objednatele či třetí strany. V případě překvalifikace z požadavku typu kritická závada nebo závažná závada je začátkem plnění čas nahlášení závady, ne čas překvalifikace.
Výstupy
Záznam v helpdeskovém systému Odstraněná ostatní závada
Doba poskytování a zařazení služby
Doba poskytování služby je v režimu 24x7 (24 hodin x 7 dní v týdnu).
Rozsah čerpání této služby není v rámci paušální platby časově omezen.
RP-1 Provozní podpora
Popis služby
Obsahem této služby je zajištění servisní a technické podpory perimetru (viz popis současného stavu - příloha č. 1 smlouvy a výstupy služby JS-1). Cílem služby je zajištění bezproblémového fungování perimetru a zajištění vysoké míry bezpečnosti provozovaných systémů odpovídající postavení Objednatele.
Poskytovatel při plnění této služby zajišťuje zejména:
o zajištění provozu perimetru v režimu 24x7,
o zajištění pravidelné aktualizace firmware a SW prvků perimetru,
o profylaxi komponent perimetru,
o administraci, konfigurace a změny perimetru dle požadavků Objednatele,
o zajištění součinnosti při instalaci nových HW komponent, majících vliv na bezpečnost, do infrastruktury,
o poskytnutí/zajištění součinnosti třetím stranám na vyžádání Objednatele,
o odhalování a diagnostiku chybových stavů.
Zajištění služby provozní podpory zahrnuje zejména:
• Administrace a správa security systémů:
o konfigurace a administrace firewallů;
o konfigurace a administrace IDS/ IPS systémů;
o konfigurace a administrace systémů vyhodnocujících bezpečnostní incidenty;
o administrace a správa přístupových práv k prvkům perimetru;
o kontrola dostupnosti firewallových systémů;
o proaktivní sledování a řešení bezpečnostních incidentů;
o konfigurace, monitoring a správa VPN;
• Administrace a správa webové PROXY:
o konfigurace a administrace webové PROXY;
o kontrola dostupnosti webové PROXY;
• Administrace a správa e-mailových bran/gatewayí:
o konfigurace a administrace e-mailových bran/gatewayí;
o kontrola dostupnosti e-mailových bran/gatewayí;
• Administrace a správa CA:
o konfigurace CA;
o vydávání a rušení certifikátů;
o kontrola platnosti vydaných certifikátů.
Realizace pravidelných měsíčních schůzek, na kterých bude řešeno mj.:
o návrhy na zlepšení kvality služeb,
o návrhy na optimalizaci služeb,
o zadávání náročnějších požadavků RZ-2.
Vstupy
Dokumentace, požadavky Objednatele, výsledky jednorázové služby JS-1
SLA
Kategorie | Popis kategorie | Termín plnění |
A | Rychlé a nutné administrační zásahy v rozsahu do 2 člověkohodin (ČH) (1 člověkohodina = 1/8 ČD) | Do 4 hodin od nahlášení * |
B | Složité administrační zákroky v rozsahu do 4 ČH | Do 8 hodin od nahlášení * |
C | Složité administrační zákroky v rozsahu do 8 ČH | Do 5 kalendářních dní od nahlášení * |
* Do termínu plnění se nezapočítává čas, kdy nebyla poskytnuta požadovaná součinnost Objednatele či třetí strany.
Poskytovatel potvrdí převzetí požadavku do 30 minut od nahlášení.
Poskytovatel je povinen zajistit v každém kalendářním měsíci dostupnost jednotlivých dílčích částí
perimetru dle následující tabulky:
Část perimetru | Dostupnost |
VPN/SSL | 99% |
Webová proxy | 99% |
e-mailová gateway | 99% |
Firewall | 99% |
CA | 99% |
IDS/IPS | 99% |
Výpočet dostupnosti se řídí postupem popsaným v kapitole Výpočet dostupnosti.
Výstupy
Správně fungující a nakonfigurované systémy perimetru
Doba poskytování a zařazení služby
Doba poskytování služby je v režimu 24x7 (24 hodin x 7 dní v týdnu).
Rozsah čerpání této služby není v rámci paušální platby časově omezen.
PM-1 Proaktivní monitoring
Popis služby
Pomocí monitoringu bude Poskytovatel ověřovat správnou funkčnost perimetru. Jeho součástí je zejména:
• administrace a správa dohledového systému:
o konfigurace monitorovacích systémů dohledového centra;
o administrace dohledového centra;
• monitoring funkčnosti jednotlivých komponent perimetru,
• monitoring dostupnosti jednotlivých služeb perimetru,
• vyhodnocování bezpečnostních událostí a incidentů generovaných security systémy,
• automatické zakládání výpadků jednotlivých dílčích částí perimetru, které jsou vyjmenovány v části RP-1, zjištěných incidentů a požadavků na základě naměřených metrik do systému Helpdesk.
Podrobnější popis požadavků na monitorovací služby vychází z jednorázové služby JS-3.
Při detekci potenciálně nebezpečné hodnoty parametru z výše uvedeného výčtu bude tato skutečnost evidována v systému helpdesk nejpozději do 1 hodiny od zjištění tohoto stavu a bude rovněž bezodkladně kontaktován pověřený zástupce Objednatele (e-mailem nebo telefonicky), pokud nebude písemně dohodnuto jinak.
Vstupy
Informace z monitorovaných částí perimetru.
SLA
Dostupnost této služby musí být 99 % v kalendářním měsíci. Výpočet dostupnosti se řídí postupem popsaným v kapitole Výpočet dostupnosti.
Výstupy
Informace o potencionálně nebezpečných hodnotách monitorovaného parametru (e-mailem, telefonicky).
Doba poskytování a zařazení služby
Doba poskytování služby je v režimu 24x7 (24 hodin x 7 dní v týdnu).
Rozsah čerpání této služby není v rámci paušální platby časově omezen.
RZ-1 Identifikace a specifikace změny
Popis služby
Tato služba zajišťuje podrobné informace pro rozhodování Objednatele před realizaci navržených změn konfigurace perimetru.
Poskytovatel potvrdí přijetí požadavku v systému Helpdesk do 30 minut od jeho nahlášení.
Poskytovatel analyzuje požadavek, pokud to je vyžadováno Objednatelem, a výstupem této analýzy je
písemné stanovisko. Stanovisko pak musí obsahovat zejména:
• popis požadavku,
• výsledek analýzy včetně:
o posouzení a analýzy navrhovaných změn a úprav infrastruktury/perimetru a její konfigurace z hlediska provozu jednotlivých komponent infrastruktury/perimetru,
o posouzení a analýzy navrhovaných změn a úprav infrastruktury/perimetru a její konfigurace z hlediska architektury,
o posouzení a analýzy navrhovaných změn a úprav infrastruktury/perimetru a její konfigurace z hlediska bezpečnosti,
• varianty řešení, pokud jsou možné; jednotlivé varianty musí obsahovat informace zejména o finanční náročnosti (vyjádřeno v ČD), časové náročnosti, omezeních provozu při realizaci jednotlivých variant, rizika při realizaci jednotlivých variant,
• doporučení pro Objednatele (včetně zdůvodnění) pro realizaci jedné z navržených variant, včetně způsobu testování, způsobu nasazení, případně způsobu integrace do stávající infrastruktury.
Vstupy
Vstupem je požadavek Objednatele v systému Helpdesk (služba PP-2)
SLA
Popis SLA | Termín plnění |
Dokončení analýzy a předání návrhu postupu na realizaci změny | Termín dle dohody (bude uveden v systému Helpdesk), nejpozději však do 14 dnů od data přijetí požadavku |
Převzetí požadavku proběhne do 30 minut od nahlášení do helpdeskového systému.
Výstupy
Zápis o akceptaci řešení Objednatelem v helpdesku.
Doba poskytování a zařazení služby
Doba poskytování služby je v pracovní dny od 8:00 do 18:00 hodin.
Rozsah čerpání této služby je v rámci paušální platby časově omezen do vyčerpání počtu ČD za
kalendářní měsíc.
RZ-2 Realizace změnových/rozvojových požadavků
Popis služby
Rozvoj bude řízen procesem pro změnové řízení a bude realizován po schválení příslušného změnového požadavku.
Realizace změnových/rozvojových požadavků RZ-2 slouží především pro dodávku nových služeb nebo realizaci většího množství změnových požadavků v rámci stávající služby. Změnové požadavky menšího rozsahu jsou popsané v sekci RP-1, včetně kategorizace a popisu rozsahu změn.
Objednatel prostřednictvím systému Helpdesk definuje požadavek na změnu s využitím služby PP-2.
Současně s požadavkem Objednatel stanoví termín dokončení (na základě návrhu Poskytovatele, který bude obsahovat zejména způsob testování, způsob nasazení, případně způsob integrace do stávající infrastruktury).
Poskytovatel požadavek realizuje, provede aplikační testování a po dokončení prací na tuto skutečnost upozorní Objednatele a vyzve jej k převzetí a akceptaci řešení. Poskytovatel předá Objednateli protokol z testování včetně testovacích scénářů (důvodem je zajištění přehledu Objednatele nad komplexností testování).
V průběhu realizace může Poskytovatel požadovat po Objednateli součinnost a ten ji musí
v odpovídajícím čase poskytnout.
Vstupy
Vstupem je požadavek Objednatele v systému Helpdesk (služba PP-2).
Odsouhlasená varianta požadavku na změnu, která bude zpracována na základě služby RZ-1.
SLA
Realizace změnových požadavků proběhne dle domluveného harmonogramu, odsouhlaseného oběma stranami, který bude zanesen do helpdesku. V případě že nedojde k oboustranné dohodě na harmonogramu realizace prací, platí následující pravidlo:
Rozsah čerpání služby na jeden požadavek | Dokončení realizace požadavku |
Čerpání ČD < 2 dny | Do 5 pracovních dnů od nahlášení požadavku |
Čerpání ČD ≥ 2 dny | Do 10 pracovních dnů od nahlášení požadavku |
Převzetí požadavku proběhne do 30 minut od nahlášení do helpdeskového systému.
Výstupy
Zápis o akceptaci řešení Objednatelem v helpdesku.
Doba poskytování a zařazení služby
Doba poskytování služby je v pracovní dny od 8:00 do 18:00 hodin.
Rozsah čerpání této služby je v rámci paušální platby časově omezen do vyčerpání počtu ČD za
kalendářní měsíc.
KB-1 Oznamování incidentu narušení kybernetické bezpečnosti
Popis služby
Tato služba představuje povinnost Poskytovatele oznámit Objednateli každý kybernetický bezpečnostní incident (dále jen „incident“) dle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, ve znění pozdějších předpisů. Každý incident je Poskytovatel povinen nahlásit Objednateli v elektronické podobě prostřednictvím helpdeskového systému a současně mailem na adresu xxxxxxxxx@xxxx.xx a telefonicky na číslo: 000 000 000
Hlášení musí obsahovat zejména následující informace:
• Datum a čas zjištění incidentu
• Popis incidentu
• Označení typu incidentu podle příčiny
a) kybernetický bezpečnostní incident způsobený kybernetickým útokem nebo jinou událostí vedoucí k průniku do systému nebo k omezení dostupnosti služeb,
b) kybernetický bezpečnostní incident způsobený škodlivým kódem,
c) kybernetický bezpečnostní incident způsobený překonáním technických opatření,
d) kybernetický bezpečnostní incident způsobený porušením organizačních opatření,
e) kybernetický bezpečnostní incident spojený s projevem trvale působících hrozeb a
f) ostatní kybernetické bezpečnostní incidenty způsobené kybernetickým útokem.
• Označení typu incidentu podle dopadu
a) kybernetický bezpečnostní incident způsobující narušení důvěrnosti aktiv,
b) kybernetický bezpečnostní incident způsobující narušení integrity aktiv,
c) kybernetický bezpečnostní incident způsobující narušení dostupnosti aktiv, nebo
d) kybernetický bezpečnostní incident způsobující kombinaci dopadů uvedených v písmenech a) až c).
Vstupy
Vznik incidentu narušení kybernetické bezpečnosti.
SLA
Popis SLA | Doba plnění |
Nahlášení incidentu Objednateli ve stanovené formě | Do 180 minut od zjištění vzniku incidentu |
Výstupy
Záznam v helpdeskovém systému.
Doba poskytování a zařazení služby
Doba poskytování služby je v režimu 24 hodin x 7 pracovních dní v týdnu. Rozsah čerpání této služby je součástí paušální platby.
Výpočet dostupnosti
Dostupnost příslušné dílčí části perimetru (systému) je procentuální vyjádření doby, po kterou je systém dostupný. Časy jsou počítány v minutách a vychází z časů, uvedených v Helpdesku. Je vykazována za sledované období a její výpočet je proveden na základě následujícího vzorce:
𝐷𝑚
= 𝑇𝑜𝑘 − 𝑇𝑒𝑟𝑟 ∗ 100
𝑇𝑜𝑘
D m je dostupnost v % za sledované období,
T err je celková doba nedostupnosti za sledované období v minutách,
T ok je celková doba, po kterou byla dostupnost sledována nebo též doba provozování služby
(v minutách).
Sledovaným obdobím se rozumí kalendářní měsíc.
Systém se považuje za nedostupný v případech, kdy vykazuje kritickou nebo závažnou závadu.
Dobou nedostupnosti se rozumí doba od okamžiku prokazatelného zjištění závady Poskytovatelem, nebo od okamžiku prokazatelného nahlášení závady oprávněnou osobou Objednatele způsobem stanoveným touto Smlouvou, do odstranění nedostupnosti.
Do doby nedostupnosti se nezapočítává nedostupnost systému způsobená závadou, která prokazatelně není v rozsahu smlouvy.
Do doby nedostupnosti se nezapočítává nedostupnost infrastruktury perimetru způsobená závadou, která vyžaduje řešení od třetí strany či Objednatele (po dobu řešení třetí stranou či Objednatelem) nebo doba, kdy nebyla poskytnuta vyžádaná součinnost Objednatele či třetí strany. Výpadek, který generuje souběžnou nedostupnost několika prvků infrastruktury perimetru, se započítává pouze jednou. V případě nedostupnosti hierarchických prvků se započítává nedostupnost pouze u nejvýznamnějšího prvku této hierarchie.
Dále se do doby nedostupnosti nezapočítává doba závady způsobená vyšší mocí, tedy událostí, jež nastaly nezávisle na vůli Poskytovatele a brání mu ve splnění jeho povinností, jestliže nelze rozumně předpokládat, že by Poskytovatel tuto překážku nebo její následky odvrátil nebo překonal a dále, že by v době vzniku závazku tuto překážku předvídal. Do doby nedostupnosti se nezapočítává doba potřebná k provedení plánovaných údržbových prací Poskytovatele, které byly odsouhlaseny Objednatelem. Stejně tak se do tohoto času nezapočítává doba, po kterou je zaměstnancům Poskytovatele znemožněn přístup za účelem opravy. Do doby nedostupnosti se nezapočítá doba plánovaných odstávek a doba od vznesení požadavku na nutnou součinnost Objednatele do doby jejího poskytnutí.
Stejným způsobem, jako je uvedeno v této kapitole, se řídí výpočet dostupnosti vybraných Služeb, pokud je jejich dostupnost stanovena touto přílohou.
Příloha č. 3 Smlouvy
…………………. IČ (dále jen „žadatel“) žádá o zavedení přidělení přístupu na servery SÚKL
Pro své následující zaměstnance : .........................................................................................
..........................................................................................
žádáme o přístupové oprávnění na servery:
Název serveru | IP adresa | |
za účelem: “Plnění smlouvy č.……………. (objednávky ze dne ) a souvisejících objednávek“
Přístupy k serverům lze použít pouze za uvedeným účelem Žadatel a jeho zaměstnanci jsou povinni přístupová oprávnění chránit proti neoprávněnému použití či jakémukoliv zneužití. Současně se zavazují, že informace, se kterými se seznámí, použijí pouze k účelu, pro který jim byl přístup povolen, a nebudou je dále šířit.
Žadatel zpřístupní přístupová oprávnění pouze svým výše uvedeným zaměstnancům pověřeným prováděním činností v rámci plnění výše uvedené smlouvy / objednávky. Žadatel se zavazuje, že bude přistupovat pouze k serverům, o které požádal a pokud skončí potřeba přístupu, neprodleně o tomto SÚKL informuje. Žadatel je povinen SÚKL neprodleně informovat o skutečnosti, že zaměstnanec, kterému bylo přiděleno přístupové oprávnění, přestal pro žadatele vykonávat činnosti, pro něž mu byla přístupová oprávnění udělena. Převod přístupového oprávnění na jiného
zaměstnance žadatele podléhá předchozímu schválení ze strany SÚKL, o nějž je žadatel povinen požádat novou žádostí.
Neoprávněné použití přístupových oprávnění žadatelem či jeho zaměstnancem je považováno za porušení uděleného povolení, které zakládá plnou odpovědnost za takové porušení dle platných právních předpisů.
Uchazeč i jeho zaměstnanci přistupující k serverům SÚKL se zavazují k dodržování veškerých povinností stanovených zákonem č. 101/2000 Sb. o ochraně osobních údajů v platném znění, zákona č. 148/1998 Sb. o ochraně utajovaných skutečností v platném znění, a dalších platných právních předpisů. Podpisem této žádosti žadatel osvědčuje, že jeho zaměstnanci jsou plně obeznámeni s povinnostmi stanovenými v právních předpisech dle předchozí věty.
Žadatel odpovídá SÚKL za veškeré škody, způsobené porušením povinností stanovených v této žádosti či v platných právních předpisech ze strany žadatele či jeho zaměstnance. Každou takovou škodu je žadatel povinen nahradit SÚKL v plné výši.
Datum: ……………………. ……………………….……………………
Podpis
Schválil manažer bezpečnosti informací SUKL
Datum………………………….. ………………………….……………….
Podpis