ZMLUVA O SPROSTREDKOVANÍ VLÁDNYCHCLOUDOVÝCH SLUŽIEB
CEZ MIRRI: <>
ZMLUVA O SPROSTREDKOVANÍ VLÁDNYCHCLOUDOVÝCH SLUŽIEB
medzi
...........................................................
a
Ministerstvom investícií, regionálneho rozvoja a informatizácie Slovenskej republiky
Táto ZMLUVA O SPROSTREDKOVANÍ CLOUDOVÝCH SLUŽIEB (ďalej len „zmluva“) je uzatvorená podľa § 269 ods. 2 zákona č. 513/1991 Zb. Obchodný zákonník v znení neskorších predpisov medzi zmluvnými stranami:
Odoberateľ:
Sídlo:
IČO:
IČ DPH:
Zastúpená:
Bankové spojenie:
(ďalej ako „Odberateľ“)
a
Sprostredkovateľ: Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky
Sídlo: Xxxxxxxxx 0000/00, 000 00 Xxxxxxxxxx
IČO: 503 492 87
DIČ: 21 2028 7004
IČ DPH: SK2120287004
Štatutárny orgán: XXXx. Xxxxxxx Xxxx, PhD., MPH, minister investícií, regionálneho rozvoja a informatizácie Slovenskej republiky
v zastúpení: Xxx. Xxxx Xxxxxxx - štátny tajomník II Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky na základe plnomocenstva č.: 140685/2023 zo dňa 29.11.2023
Bankové spojenie: Štátna pokladnica
IBAN/SWIFT: XX00 0000 0000 0000 0000 0000
(ďalej ako „Sprostredkovateľ“)
(Odberateľ a Sprostredkovateľskej spoločne ako „zmluvné strany“)
PREAMBULA
Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky ako Sprostredkovateľ na strane jednej a .......................................... ako Odberateľ na strane druhej uzatvárajú túto zmluvu za účelom sprostredkovania poskytovania cloudových služieb, prevádzkovaným treťou osobou, ktorá je zmluvnou stranou Sprostredkovateľa.
Ministerstvo investícii, regionálneho rozvoja a informatizácie Slovenskej republiky na základe § 41 písm. h) vyhlášky Úrad podpredsedu vlády SR pre investície a informatizáciu o štandardoch pre informačné technológie verejnej správy v znení neskorších predpisov je sprostredkovateľom cloudovej služby, ktorá spĺňa podmienky vládnej cloudovej služby.
Cloudovou službou sa rozumie ľubovoľný prostriedok alebo zdroj cloud computingu, poskytovaný vzdialeným prístupom na základe podmienok dohodnutých v tejto zmluve.
Cloud computingom sa rozumie model umožňujúci jednoduchý samoobslužný sieťový prístup k službám informačných technológií na vyžiadanie, poskytovaný vo virtuálnom prostredí konfigurovateľných výpočtových zdrojov, ktoré môžu byť pridelené alebo uvoľnené s minimálnym úsilím a časovým obmedzením, a to na základe voliteľného škálovania a navyšovania, nezávisle od lokality zdrojov alebo lokality prístupu k nim a bez osobného kontaktu s sprostredkovateľom cloudovej služby, pričom využitie týchto služieb je merané a hodnotené podľa ich skutočného využitia.
Vládnou cloudovou službou je cloudová služba, ktorá je zapísaná v evidencii vládnych cloudových služieb. Evidenciu vládnych cloudových služieb vedie orgán vedenia a sprístupňuje ju v centrálnom metainformačnom systéme verejnej správy.
Odberateľ je orgánom riadenia podľa § 5 ods. 2 písm. e) zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov ktorý prevádzkuje vlastný informačný systém verejnej správy a má záujem využívať služby sprostredkované Sprostredkovateľ za účelom prevádzky IS VS vo svojej kompetencii.
Účelom tejto Zmluvy je zabezpečenie poskytovania cloudových služieb registrovaných v katalógu služieb vládneho cloudu, počas obdobia definovaného v tejto zmluve na základe požiadaviek Odberateľa cloudových služieb.
Sprostredkovateľ je na základe bodu C.4 uznesenia vlády Slovenskej republiky č. 221/2021 zo dňa 28.04.2021 k návrhu Plánu obnovy a odolnosti Slovenskej republiky určený aj za vykonávateľa investícií a reforiem pre časť komponentu 17, ktorého súčasťou je aj Investícia č.2: „Digitálna transformácia poskytovania služieb verejnej správy“, z ktorej je sprostredkovanie cloudových služieb financované. Zmluvné strany tiež berú na vedomie, že sa jedná o financovanie z prostriedkov štátneho rozpočtu. Prostriedky mechanizmu sú zdrojovo kryté z prostriedkov z rozpočtu EÚ.
Zmluvné strany sú si vedomé svojich záväzkov obsiahnutých v tejto zmluve a s úmyslom byť touto zmluvou viazané, sa dohodli na uzatvorení zmluvy v nasledujúcom znení:
DEFINÍCIA POJMOV
Zmluvné strany sa dohodli na nasledovných používaných skratkách odborných pojmov:
„Cloudové služby“ sú Infrastructure–as-a-Service (IaaS), Platforms-as-a-Service (PaaS) a Software-as-a-Service (SaaS) a služba vyplývajúca z § 41 písm. i) a j) vyhlášky č. 78/2020 o štandardoch, takzvaný manažment cloudovej služby (manažment as a service), všetky uvedené typy cloudových služieb musia byť cloudovými službami vládneho cloudu a sú zapísané v evidencii vládnych cloudových služieb;
„Dokumentácia“ dokumentáciou sa rozumie technická, prevádzková, užívateľská a iná dokumentácia, ktorá čo i len sčasti súvisí s poskytovaním cloudových služieb vrátane dokumentácie týkajúcej sa podpory prevádzky privátnej cloudovej platformy,
Katalóg služieb vládneho cloudu - Katalóg služieb publikuje a aktualizuje v elektronickej forme Sprostredkovateľ na základe úspešne zrealizovaného procesu registrácie cloudovej služby v zmysle platnej a účinnej legislatívy Slovenskej republiky,
“Používateľské prostredie” je súbor rozhraní a nástrojov, ktoré umožňujú používateľom na strane Odberateľa prístup a interakciu so službami a aplikáciami, ktoré sú hosťované v cloudovom prostredí,
„Oprávnená osoba Odberateľa“ je zástupca Odberateľa, ktorého identifikačné údaje, vrátane rozsahu oprávnení oznámi Objednávateľ Sprostredkovateľovi v zmysle bodu 9. tejto Zmluvy;
„Oprávnená osoba Sprostredkovateľa“ je zástupca Sprostredkovateľa, ktorého identifikačné údaje, vrátane rozsahu oprávnení oznámi Sprostredkovateľ Objednávateľovi v zmysle bodu.9 tejto Zmluvy,
OVZ - znamená okolnosti vylučujúce zodpovednosť, pričom na účely tejto zmluvy sa za okolnosti vylučujúce zodpovednosť považuje prekážka, ktorá nastala nezávisle od vôle povinnej strany a bráni jej v splnení jej povinnosti, ak nemožno rozumne predpokladať, že by povinná strana túto prekážku alebo jej následky odvrátila alebo prekonala, a ďalej, že by v čase vzniku záväzku túto prekážku predvídala. Zodpovednosť nevylučuje prekážka, ktorá vznikla až v čase, keď povinná strana bola v omeškaní s plnením svojej povinnosti, alebo vznikla z jej hospodárskych pomerov. Účinky vylučujúce zodpovednosť sú obmedzené iba na dobu, pokiaľ trvá prekážka, s ktorou sú tieto účinky spojené. Týmito udalosťami môžu byť najmä živelné pohromy, vojna, sabotáž, teroristické akcie, blokáda, požiar, štrajk, epidémia a pod.. Rovnaké právne následky môže mať zmena všeobecne záväzných právnych predpisov, pokiaľ zásadným spôsobom ovplyvní plynulé pokračovanie právnych vzťahov, založených zmluvou.
SLA cloudových služieb“ sú služby podpory prevádzky cloudových služieb v zmysle prílohy č. 3 zmluvy. Obchodné podmienky pre podporu prevádzky cloudových služieb sú definované sprostredkovateľom cloudovej služby alebo poskytovateľom cloudovej služby. SLA parametre cloudových služieb sú definované poskytovateľom/prevádzkovateľom cloudovej služby,
„Súčinnosť Odberateľa“ je súčinnosť Odberateľa v rozsahu špecifikovanom v bode 10 tejto zmluvy,
„Súčinnosť Sprostredkovateľa“ je súčinnosť Sprostredkovateľa poskytovaná v rozsahu špecifikovanom v bode 10 a ďalších tejto zmluvy,
„POO“ je plán obnovy a odolnosti Slovenskej republiky. Zdroje na financovanie vybudovania a dodania privátnej cloudovej platformy sú zabezpečené z mechanizmu plánu obnovy a odolnosti. Používanie a nakladanie s týmito finančnými prostriedkami podlieha pravidlám, ktoré definuje nielen POO ale aj príslušná legislatíva Slovenskej republiky a Európskej únie,
„Poskytovateľ cloudových služieb“ subjekt poskytujúci Sprostredkovateľovi Cloudové služby za účelom sprostredkovania ich prevádzky, výkonu a dodávky na účet Odberateľa.
“Tenant” predstavuje používateľské prostredie na strane Sprostredkovateľa, pričom sa jedná o súbor rozhraní a nástrojov, ktoré umožňujú Sprostredkovateľovi prístup a interakciu so službami a aplikáciami, ktoré sú hosťované v cloudovom prostredí. V tenantovi sa vytvára pre Xxxxxxxxxx prístup do svojho konkrétneho účtu, ktorým je subskripcia, pričom do tohto účtu má prístup výlučne Odberateľ. Sprostredkovateľovi ako správcovi celého Tenanta prináleží právo nahliadať do subskripcie za účelom kontroly billingu/spotreby a dodržiavania pravidiel Governance.
„Vyššia moc“ - Vyššia moc je právna skutočnosť, spočívajúca v mimoriadnej, nepredvídateľnej, neodvrátiteľnej a nezavinenej udalosti, ktorá spôsobí reálnu škodu. Môže ísť najmä o neovplyvniteľné štátne nariadenie, alebo o prírodnú udalosť.
„Znalostná databáza“ – zoznam dokumentov, príručiek, referenčnej architektúry, Governance pravidiel, prípadových štúdií a inej súvisiacej dokumentácie/znalostí, ktoré budú dostupné na webe Sprostredkovateľa a budú pravidelne aktualizované na strane Sprostredkovateľa.
1.2 Zmluvné strany sa dohodli na nasledovných skratkách právnych predpisov:
„GDPR“ je nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov),
„Obchodný zákonník“ je zákon č. 513/1991 Zb. Obchodný zákonník v znení neskorších predpisov,
„Vyhláška č. 85/2020“ je vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 85/2020 Z. z. o riadení projektov v znení neskorších predpisov,
„Vyhláška č. 78/2020“ je vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy v znení neskorších predpisov,
„Vyhláška č. 179/2020“ je vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z. ktorou sa upravuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy,
„Trestný zákon“ je zákon č. 300/2005 Z. z. Trestný zákon v znení neskorších predpisov,
„Zákon o e-Governmente“ je zákon č. 305/2013 Z. z., o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e-Governmente) v znení neskorších predpisov,
„Zákon o finančnej kontrole“ je zákon č. 357/2015 Z. z. o finančnej kontrole a audite a o zmene a doplnení niektorých zákonov v znení neskorších predpisov,
„Zákon o ITVS“ je zákon č. 95/2019 Z. z., o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov,
„Zákon o KB“ je zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov, v znení neskorších predpisov,
„Zákon o ochrane osobných údajov“ je zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov,
„Zákon o slobodnom prístupe k informáciám“ je zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií) v znení neskorších predpisov,
„Zákonník práce“ je zákon č. 311/2001 Z. z. Zákonník práce v znení neskorších predpisov
„Zákon o mechanizme“ je zákon č. 368/2021 Z. z. o mechanizme na podporu obnovy a odolnosti a o zmene a doplnení niektorých zákonov.
PREDMET ZMLUVY
Predmetom tejto zmluvy je úprava práv a povinností Zmluvných strán spojených so záväzkom Sprostredkovateľa poskytovať Odberateľovi cloudové služby na vlastné náklady a nebezpečenstvo, riadne, včas, a za ďalších podmienok dohodnutých v tejto zmluve v rozsahu:
dodania cloudových služieb na mieste definovanom Odberateľom,
udelenia súhlasu, zabezpečenia licencií na používanie SW produktov (cloudových služieb), oprávnenia používať cloudové služby v množstve, rozsahu definovanom v tejto zmluve, resp. udelenia oprávnenia používať iné súvisiace služby nevyhnutné na používanie cloudových služieb v rozsahu požadovanom Odberateľom podľa tejto zmluvy,
poskytovanie SLA služieb v rozsahu stanovenom obchodnými podmienkami Poskytovateľa.
Sprostredkovateľ za podmienok a v rozsahu podľa tejto zmluvy poskytuje Odberateľovi cloudové služby vládneho cloudu definované v katalógu vládnych cloudových služieb . (ďalej len „cloudové služby“).
Odberateľ na základe tejto zmluvy nenadobúda licencie aplikácií, ale len právo využívať ich funkcionalitu prostredníctvom poskytovaných cloudových služieb.
MIESTO A ČAS PLNENIA
Cloudové služby podľa bodu 2.1 článku 2 tejto zmluvy, budú poskytované v mieste určenom Sprostredkovateľom a budú sprístupnené do 60 dní odo dňa nadobudnutia účinnosti tejto zmluvy.
Sprostredkovateľ môže určiť, že služby budú poskytované aj na ďalších miestach na území Slovenskej republiky
ROZSAH A CENA CLOUDOVÝCH SLUŽIEB
Zmluvné strany sa dohodli, že Odberateľ bude počas platnosti a účinnosti zmluvy používať cloudové služby v rozsahu uvedenom v Prílohe č. 1 Zmluvy.
Zmluvné strany sa dohodli, že poskytovanie xxxxxxxxxx služieb na účet Odberateľa prostredníctvom prideleného používateľského rozhrania je bezodplatné a Sprostredkovateľ za poskytnuté cloudové služby nemá nárok na žiadne a akékoľvek plnenie zo strany Odberateľa
Zmluvné strany sa dohodli, že Sprostredkovateľ pravidelne jeden krát za 60 dní informuje Odberateľa o aktuálnej spotrebe za používané cloudové služby a posiela Odberateľovi správy o čerpaní a spotrebe cloudových služieb.
Sprostredkovateľ cloudových služieb je oprávnený v súčinnosti s Odberateľom navrhnúť odporúčania, ktorých cieľom je krátkodobé alebo dlhodobé zlepšenie a zefektívnenie využívania cloudových služieb vrátane spotreby cloudových služieb. Odporúčania Sprostredkovateľa nie sú záväzné.
Sprostredkovateľ vyhlasuje, že xxxxxxxx služby poskytované na základe zmluvy Odberateľovi a plnenia súvisiace s poskytovaním cloudových služieb sú poskytované bez dodatočných poplatkov pre Odberateľa a bez potreby dodatočných licenčných dojednaní. Sprostredkovateľ vyhlasuje, že používanie cloudových služieb Odberateľom je v súlade s platnými právnymi predpismi SR, v súlade s dohodami a zmluvami uzatvorenými so Sprostredkovateľom cloudových služieb. V prípade, ak v dôsledku poskytovania cloudových služieb Odoberateľovi na základe tejto zmluvy dôjde k porušeniu akýchkoľvek práv tretích osôb, Sprostredkovateľ sa zaväzuje vysporiadať priamo s dotknutými tretími osobami akékoľvek nároky alebo akúkoľvek škodu spôsobenú z titulu porušenia ich chránených práv súvisiacich s plnením tejto zmluvy. Pre vylúčenie pochybností platí, že Odoberateľ nezodpovedá za žiadnu škodu, ktorá vznikne tretím osobám v súvislosti s využívaním cloudových služieb zo strany Odoberateľa.
PRÁVA A POVINNOSTI ZMLUVNÝCH STRÁN
Sprostredkovateľ sa zaväzuje:
poskytovať cloudové služby Odberateľovi riadne a včas, s odbornou starostlivosťou, v súlade s predmetom zmluvy podľa článku 2 tejto zmluvy,
poskytovať cloudové služby v súlade so špecifikáciou podľa prílohy 1 zmluvy vrátane súvisiacej dokumentácie,
Sprostredkovateľ sa zaväzuje poskytovať cloudové služby podľa parametrov uvedených v prílohách tejto zmluvy,
zabezpečiť dostupnosť a funkčnosť cloudových služieb,
zabezpečiť dostupnosť cloudových služieb v súlade s licenčnými podmienkami a zabezpečiť dodržiavanie licenčných podmienok Odberateľom počas platnosti a účinnosti tejto zmluvy,
vyhotoviť dokumentáciu vrátane manuálov, príručiek, technickej a používateľskej dokumentácie,
sprístupniť Odberateľovi dokumentáciu vrátane manuálov, príručiek, technickej a používateľskej dokumentácie,
pri plnení povinností podľa tejto Zmluvy dodržiavať pokyny a podklady Odberateľa, ktoré nie sú v rozpore s ustanoveniami tejto zmluvy,
neodkladne písomne informovať Odberateľa o každom prípadnom omeškaní, s plnením podľa tejto zmluvy,
poskytnúť Oprávnenej osobe Odberateľa alebo inej poverenej osobe Odberateľa informáciu o stave plnenia zmluvy alebo informáciu súvisiacu s plnením na základe žiadosti Odberateľa s lehotou vybavenia neprevyšujúcou päť kalendárnych dní odo dňa doručenia takejto žiadosti Odberateľa,
bez zbytočného odkladu prerokovať s Odberateľom všetky otázky, ktoré môžu alebo by mohli podstatným spôsobom ovplyvniť realizáciu plnenia predmetu zmluvy podľa tejto zmluvy,
implementovať bezpečnostné a technické opatrenia, ktoré sú nevyhnutné na zabezpečenie SLA cloudových služieb, bezpečnostné a technické opatrenia na úseku ochrany osobných údajov a ochrany pred kybernetickými hrozbami a útokmi,
oboznámiť Odberateľa o výsledkoch vykonaného auditu a prijať opatrenia na zabezpečenie nápravy zistení z auditu bezpečnosti,
pravidelne, v lehotách a spôsobom dohodnutým s Odberateľom, informovať Odberateľa o skutočnostiach nevyhnutných pre plnenie predmetu zmluvy podľa tejto zmluvy,
zabezpečiť súlad cloudových služieb poskytovaných podľa tejto zmluvy s platnými a účinnými všeobecne záväznými právnymi predpismi najneskôr počnúc časom odovzdania privátnej cloudovej platformy, a to najmä so Zákonom o ITVS, Zákonom o KB, Zákonom o eGovernmente, Zákonom o ochrane osobných údajov a s GDPR,
riadiť sa Vyhláškou č. 85/2020, Vyhláškou č. 78/2020 a Vyhláškou č. 179/2020,
dodržiavať bezpečnostné požiadavky špecifikované v Metodike zabezpečenia (dostupnou naMetodikaZabezpeceniaIKT_v2.1.pdf (xxx.xx)),
riadiť sa pri plnení predmetu zmluvy podľa tejto Zmluvy, ktoré je realizované v rámci projektu Plánu obnovy a odolnosti Slovenskej republiky, Investícia č. 2 „Digitálna transformácia poskytovania služieb verejnej správy“ financovaného z prostriedkov Európskej únie,
Metodikou riadenia QAMPR (dostupnou na xxxxx://xxx.xxxxx.xxx.xx/xxxxxx/xxxxxxxxxxxxxx/xxxxxxxx-xxxxxxx-xx/xxxxxxxx-xxxxxxx-xx/xxxxx.xxxx),
Metodikou merania nákladovosti TB-ABC (dostupnou na xxxxx://xxx.xxxx.xx/?xx-xxxxxxxxxxxxx-xxxxxxxx-xx-xxxxxxxx-xxxxxx ),
zabezpečiť súlad cloudových služieb s Katalógom služieb a požiadavkami na realizáciu služieb vládneho cloudu (dostupnou na xxxxx://xxx.xxxxx.xxx.xx/xxxxxx/xxxxxxxxxxxxxx/xxxxxxxxxxx/xxxxxx-xxxxx/xxxxxxx-xxxxxxxxxx-xxxxxxx/xxxxx.xxxx a xxxxx://xxx.xx.xxxxx ),
informovať Odberateľa o priebežnej spotrebe a využívaní cloudových služieb minimálne jedenkrát za kalendárny mesiac alebo na základe vyžiadania Odberateľa.
Sprostredkovateľ garantuje, že nemá právo prístupu k obsahu a nemá právo kontroly obsahu uložených dát Odberateľa. V prípade, ak sa garancia Sprostredkovateľa podľa predchádzajúcej vety v budúcnosti preukáže ako nepravdivá, Sprostredkovateľ zodpovedá za škodu, ktorá vznikne Odberateľovi alebo dotknutým tretím osobám v dôsledku neoprávneného prístupu k uloženým dátam Odberateľa.
Sprostredkovateľ sa zaväzuje zabezpečiť nedotknuteľnosť, integritu a dôvernosť obsahu a dát, ktoré Odberateľ prostredníctvom cloudových služieb spracúva a zaväzuje sa konať tak, aby neboli poškodené záujmy zmluvných strán vyplývajúce zo Zmluvy. Sprostredkovateľ sa zaväzuje garantovať Odberateľovi:
zabezpečenie dát pred zneužitím,
ochranu dát pred ich poškodením, xxxxxxx , zmenou, neoprávneným použitím a neoprávneným prístupom .
Súčasťou poskytovaných cloudových služieb podľa tejto Zmluvy je poskytnutie oprávnení za účelom manažovania dostupných cloudových služieb.
Záväzku Sprostredkovateľa zodpovedá záväzok Objednávateľa prevziať a čerpať cloudové služby v rozsahu a za podmienok dohodnutých ďalej v tejto zmluve.
Odberateľ sa zaväzuje, pokiaľ to nevylučujú všeobecne záväzné právne predpisy alebo iné zmluvné záväzky Odberateľa:
zabezpečiť Sprostredkovateľovi v primeranom rozsahu potrebné informácie a prípadné konzultácie k postaveniu alebo štatútu, organizačnej štruktúre, procesnému riadeniu a vnútorným predpisom Odberateľa,
zabezpečiť pre Xxxxxxxxxxxxxxxxx pri dodržaní bezpečnostných a ďalších predpisov Odberateľa, nevyhnutné poverenia na plnenie tejto zmluvy,
zabezpečiť Sprostredkovateľovi všetky relevantné legislatívne, metodické, koncepčné, dokumentačné, normatívne a ďalšie materiály, ktoré sú nevyhnutné na plnenie podľa tejto zmluvy, ak bude Objednávateľ takými informáciami disponovať a Sprostredkovateľ ich bude potrebovať, to však len za predpokladu, že Sprostredkovateľ nemá k takýmto materiálom sám prístup a len v rozsahu, v akom si tento prístup nevie Sprostredkovateľ zabezpečiť sám,
vykonať všetky úkony, ktoré je možné od neho spravodlivo požadovať pri poskytovaní Súčinnosti Odberateľa Sprostredkovateľovi,
dodržiavať predložené a schválené „Governance modely“, postupy a odporúčania platné pre využívanie cloudových služieb,
informovať Sprostredkovateľa o všetkých skutočnostiach, ktoré sú významné pre splnenie povinností Zmluvných strán podľa tejto Zmluvy, v súvislosti s plnením podľa tejto zmluvy a/alebo o dôvodoch, ktoré Odberateľovi bránia riadne a včas splniť svoje povinnosti podľa tejto zmluvy , a to najneskôr do 48 (štyridsiatich ôsmich) hodín odkedy sa o nich Odberateľ dozvedel,
zabezpečiť odbornú spôsobilosť oprávnených osôb Odberateľa pre účely tejto zmluvy
poskytnúť Sprostredkovateľovi súčinnosť pri implementovaní bezpečnostných a technických opatrení, ktoré sú nevyhnutné pri plnení tejto zmluvy najmä pri implementovaní bezpečnostných a technických opatrení na úseku ochrany osobných údajov a ochrany pred kybernetickými hrozbami a útokmi v súlade s príslušnými všeobecne záväznými právnymi predpismi,
Odberateľ je povinný služby užívať len spôsobom, ktorý je v súlade so zmluvou, s prípadnými pokynmi Sprostredkovateľa a v súlade so všeobecne záväznými právnymi predpismi SR,
Odberateľ je povinný telefonicky a následne prostredníctvom e-mailu v súlade s článkom 11 tejto zmluvy oznámiť Sprostredkovateľovi akékoľvek poruchy, chyby či iné funkčné nedostatky služby bez zbytočného odkladu.
Odberateľ nemá právo požadovať od Sprostredkovateľa zdrojové kódy poskytovaných služieb alebo iných autorských diel a ani žiadnym spôsobom zasahovať do týchto autorských diel, ak nie je písomne dohodnuté inak.
Odberateľ nesie v plnom rozsahu zodpovednosť za obsah, ktorý používa prostredníctvom cloudových služieb. Sprostredkovateľ nemá právo prístupu k obsahu a nemá právo kontroly obsahu uložených dát Odberateľa,
Odberateľ zodpovedá za škody, ktoré spôsobí v elektronickej komunikačnej sieti govnet alebo tretím osobám, a to najmä neoprávneným prístupom do elektronickej komunikačnej siete, neoprávneným pripojením zariadenie do elektronickej komunikačnej siete, alebo iným zneužívaním prístupu do siete Internet alebo iným neoprávneným konaním.
Odberateľ v plnom rozsahu zodpovedá za prípadné porušenie práv tretích osôb k softvéru, ktorým je cloudová služba a to najmä používaním cloudovej služby v rozpore s licenčnými podmienkami.
Odberateľ sa zaväzuje konať tak, aby neboli poškodené záujmy zmluvných strán vyplývajúce zo zmluvy v oblasti:
a. zabezpečenia dát pred zneužitím,
b. ochrany dát pred ich poškodením,
c. straty dát,
d. neoprávneného použitia dát,
e. zmenou dát,
f. výmazom dát,
g. neoprávneného sprístupnenia dát.
MANAŽOVANIE CLOUDOVEJ SLUŽBY A LICENCIA
Manažovanie cloudových služieb sa začína na strane Sprostredkovateľa momentom podpísania akceptačného protokolu k tenanta Odberateľa. Sprostredkovateľ vytvorí v tenantovi prislúchajúcemu Sprostredkovateľovi osobitný účet /subskripciu/ subtenant, ktorý pridelí Odberateľovi do 60 kalendárnych dní odo dňa nadobudnutia účinnosti tejto zmluvy.
Manažovaním cloudovej služby v tenante sa rozumie správa a manažment cloudovej služby v rozsahu:
definovania typov používateľských účtov, počtu účtov,
správy prístupov do používateľských účtov,
manažovania spotreby cloudových služieb,
monitorovania a reportovania využívania cloudových služieb a tomu zodpovedajúcich výpočtových zdrojov,
monitoring a reportovanie porúch a nefunkčnosti cloudových služieb na základe dostupných informácii od poskytovateľa a prevádzkovateľa služieb,
vedenia zoznamu dostupných cloudových služieb, aktualizácie zoznamu dostupných cloudových služieb v reálnom čase,
definovania návrhov a odporúčaní pre Odberateľa vo vzťahu k využívaniu cloudových služieb.
Zmluvné strany sa dohodli, že, Sprostredkovateľ určí na účely manažovania cloudových služieb kontaktnú osobu, ktorá bude zodpovedať za manažovanie tenanta na strane Sprostredkovateľa, administráciu prístupov, účtov a ďalšie úkony týkajúce sa privátnej cloudovej platformy/cloudovej služby. Sprostredkovateľ písomne oznámi Odberateľovi osobu zodpovednú za manažovanie cloudových služieb do 30 dní odo dňa nadobudnutia účinnosti Zmluvy.
Zmluvné strany sa dohodli, že Odberateľ určí na účely správy cloudových služieb kontaktnú osobu, ktorej bude pridelený prístup do účtu/subskripcie/subtenanta Odberateľa a ktorá bude zodpovedať za administráciu prístupov, účtov a ďalšie úkony týkajúce sa cloudových služieb na strane Odberateľa. Odberateľ písomne oznámi Sprostredkovateľovi osobu zodpovednú za manažovanie rozhrania používateľského prostredia na strane Odberateľa 30 dní odo dňa nadobudnutia účinnosti tejto Zmluvy.
Sprostredkovateľ zabezpečí dostupnosť cloudových služieb podľa katalógu cloudových služieb vládneho cloudu pre Odberateľa v súlade s ich licenčnými podmienkami.
Sprostredkovateľ sa pre účely tejto Zmluvy zaväzuje informovať o všetkých aktualizáciách cloudových služieb, ktoré majú alebo by mohli mať dopad na používanie cloudových služieb Odberateľom.
Práva získané v rámci plnenia tejto Zmluvy prechádzajú aj na prípadného právneho nástupcu Odberateľa. Prípadná zmena v osobe Sprostredkovateľa (napr. právne nástupníctvo) nebude mať vplyv na oprávnenia udelené v rámci tejto Zmluvy.
Ak sú s použitím cloudových služieb spojené akékoľvek poplatky za používanie cloudových služieb tieto znáša Sprostredkovateľ.
OCHRANA DÁT A OSOBNÝCH ÚDAJOV
Sprostredkovateľ pri plnení predmetu Zmluvy spracúva v mene Odberateľa osobné údaje dotknutých osôb, a teda vystupuje v postavení Sprostredkovateľa v zmysle čl. 4 ods. 8 GDPR a § 5 písm. p) Zákona o ochrane osobných údajov. Odberateľ pri plnení predmetu Zmluvy vystupuje v pozícii Prevádzkovateľa v zmysle čl. 4 ods. 7 GDPR a § 5 písm. o) Zákona o ochrane osobných údajov. Zmluvné strany týmto ustanovujú svoje práva a povinnosti v súlade s čl. 28 GDPR a § 34 Zákona o ochrane osobných údajov. Na účely tohto článku zmluvy je Odberateľ Prevádzkovateľom a Sprostredkovateľ Sprostredkovateľom pre oblasť úpravy ochrany osobných údajov. Prevádzkovateľ touto zmluvou poveruje Xxxxxxxxxxxxxxxxx spracúvaním osobných údajov v mene Xxxxxxxxxxxxxxx za podmienok uvedených v tejto Zmluve.
Sprostredkovateľ je oprávnený spracúvať pri plnení predmetu tejto Zmluvy v mene Prevádzkovateľa osobné údaje najskôr po ukončení etapy vývoja a testovania.
Predmetom spracúvania sú osobné údaje, ktoré sprístupňuje Prevádzkovateľ Sprostredkovateľovi na naplnenie účelov, ktoré sú stanovené v bode 7.6 tejto zmluvy.
Právnym základom pre spracúvanie osobných údajov pri plnení tejto Zmluvy je splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi podľa čl. 6 ods. 1 písm. c) a e) GDPR: ,,spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa a na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.“ Verejným záujmom je zjednodušenie prístupu pre občanov k poskytovaným službám verejnej správy a dynamické prispôsobenie sa cloudových služieb verejnej správy potrebám trhu. Právomoc výkonu verejnej moci pre Sprostredkovateľa definuje § 6 ods.1 písm. d) Zákona o ITVS v spojení s § 9 ods. 1 písm. e) Zákona o ITVS a tiež Národná koncepcia informatizácie verejnej správy z roku 2021, konkrétne strategická priorita s názvom: zdieľané služby, vládny cloud a centrálne spoločné bloky.
Doba spracúvania osobných údajov Sprostredkovateľom je vymedzená po dobu účinnosti tejto zmluvy. V prípade vypovedania tejto Zmluvy jedným zo spôsobov uvedených v článku 15 tejto zmluvy je doba spracúvania určená na 3 mesiace od zániku zmluvy na účely uplatňovania prípadných právnych nárokov zmluvných strán, na vyriešenie nezrovnalostí zmluvných strán alebo po dobu vysporiadania povinností vyplývajúcich z GDPR a Zákona o ochrane osobných údajov.
Prevádzkovateľ udeľuje Sprostredkovateľovi oprávnenie spracúvať osobné údaje dotknutých osôb na účely poskytovania IT podpory, na riešenie technických problémov v súvislosti s poskytovanými cloudovými službami, na riešenie bezpečnostných incidentov v rámci súčinnosti medzi zmluvnými stranami a na účely poskytovania súčinnosti pri kontrole a audite v súlade s podmienkami upravenými v tejto zmluve a všeobecne záväznými právnymi predpismi.
Zoznam kategórií a typov osobných údajov, ktoré je Sprostredkovateľ oprávnený spracúvať, je nasledovný:
všeobecná kategória osobných údajov: meno, priezvisko, login, IP adresa, telefónne číslo, e-mailová adresa, rodné číslo
Dotknutými osobami, ktorých osobné údaje Sprostredkovateľ spracúva, sú zamestnanci Prevádzkovateľa, dodávatelia Prevádzkovateľa a subjekty využívajúce službu verejnej správy poskytovanú prostredníctvom informačného systému verejnej správy, ktorá je prevádzkovaná x xxxxxx.
Sprostredkovateľ môže na základe písomného súhlasu Prevádzkovateľa v súlade s článkom 28 ods. 2 GDPR zapojiť do spracúvania osobných údajov tohto sub-sprostredkovateľa: Microsoft Corporation. Každého ďalšieho sub-sprostredkovateľa môže Sprostredkovateľ zapojiť do spracúvania len s písomným súhlasom Prevádzkovateľa. Ak Sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností v mene Prevádzkovateľa ďalšieho Sprostredkovateľa, tomuto ďalšiemu Sprostredkovateľovi sa prostredníctvom zmluvy alebo iného právneho aktu podľa práva Únie alebo práva členského štátu uložia rovnaké povinnosti ochrany osobných údajov, ako sa stanovujú v zmluve alebo inom právnom akte uzatvorenom medzi Prevádzkovateľom a Sprostredkovateľom, a to predovšetkým poskytnutie dostatočných záruk na vykonanie primeraných technických a organizačných opatrení takým spôsobom, aby spracúvanie spĺňalo požiadavky tohto nariadenia. Ak tento ďalší Sprostredkovateľ nesplní svoje povinnosti ochrany údajov, pôvodný Sprostredkovateľ zostáva voči Prevádzkovateľovi plne zodpovedný za plnenie povinností tohto ďalšieho Sprostredkovateľa.
Prevádzkovateľ zabezpečuje vybavovanie žiadostí dotknutých osôb o výkon svojich práv podľa kapitoly III GDPR. Sprostredkovateľ je povinný postúpiť všetky žiadosti dotknutých osôb Prevádzkovateľovi bezodkladne, najneskôr však do 2 pracovných dní od prijatia takejto žiadosti dotknutej osoby. Sprostredkovateľ a po zohľadnení povahy spracúvania, v čo najväčšej miere, pomáha Prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti reagovať na žiadosti o výkon práv dotknutej osoby ustanovených v kapitole III GDPR.
Sprostredkovateľ garantuje bezpečnosť cloudu. Sprostredkovateľ garantuje technické a organizačné opatrenia v súvislosti so spracúvaním osobných údajov prostredníctvom registrovaných cloudových služieb z Katalógu služieb vládneho cloudu. Všetky služby z Katalógu služieb vládneho cloudu sú certifikované podľa medzinárodných noriem a sú v súlade so štandardmi ISO 27 000 noriem
ISO/ IEC 27 001: 2013/ ISO/ IEC 27 001: 2022,
ISO/ IEC 27 017: 2015,
ISO/ IEC 27 018: 2019,
ISO// IEC 22 301: 2019
ISO // IEC 27 701: 2019
Sprostredkovateľ garantuje dostupnosť nasledovného Opatrenia zamerané na šifrovanie osobných údajov:
Cloudové služby poskytujú nástroje za účelom šifrovania všetkých údajov (vrátane osobných údajov) privátnymi kľúčmi zákazníka (Bring Your Own Key), za pohybu alebo/a pri uložení.
Kontaktné údaje zodpovednej osoby Prevádzkovateľa za ochranu osobných údajov sú nasledovné: e-mail: .................... telefónne číslo ....................
Kontaktné údaje zodpovednej osoby Sprostredkovateľa za ochranu osobných údajov sú nasledovné: xxxxxxxxxx.xxxxx@xxxxx.xxx.xx, + 421 2 2092 8425.
Zmluvné strany sú povinné navzájom si oznámiť každé porušenie ochrany osobných údajov podľa nasledovných pravidiel:
oznámenie musí vykonať bezodkladne, najneskôr do 24 hodín od okamihu, kedy sa o porušení ochrany osobných údajov dozvedela daná zmluvná strana,
oznámenie musí byť vykonané elektronicky prostredníctvom vyššie uvedených e-mailových adries zodpovedných osôb za ochranu osobných údajov,
oznámenie musí obsahovať tieto informácie:
opis porušenia ochrany osobných údajov vrátane, podľa možnosti, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých záznamov o osobných údajoch,
meno/názov a kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde možno získať viac informácií o porušení ochrany osobných údajov,
opis pravdepodobných následkov porušenia ochrany osobných údajov,
opis opatrení prijatých alebo navrhovaných zmluvnou stranou s cieľom napraviť porušenie ochrany osobných údajov vrátane, podľa potreby, opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov.
Sprostredkovateľ vyhlasuje, že má odbornú, technickú, organizačnú a personálnu spôsobilosť a schopnosť poskytnúť dostatočné záruky na to, aby spracúvanie osobných údajov spĺňalo zákonné požiadavky a aby sa zabezpečila ochrana práv dotknutých osôb, najmä aby sa zabezpečila primeraná ochrana osobných údajov pred neoprávneným narušením dôvernosti, dostupnosti a integrity osobných údajov.
Sprostredkovateľ vyhlasuje, že bude spracúvať osobné údaje len na základe pokynov uvedených v tejto Zmluve alebo na základe ďalších písomných pokynov od Prevádzkovateľa, ktoré sú v súlade s GDPR alebo v súlade so Zákonom o ochrane osobných údajov.
Sprostredkovateľ sa zaväzuje vykonať všetky opatrenia podľa čl. 32 GDPR a poskytnúť Prevádzkovateľovi všetky informácie potrebné na preukázanie splnenia povinností stanovených v čl. 28 GDPR.
Sprostredkovateľ umožní výkon auditu, ako aj kontroly vykonávaného Prevádzkovateľom alebo iným audítorom, ktorého poveril Prevádzkovateľ a pri výkone auditu alebo kontroly poskytuje Prevádzkovateľovi potrebnú súčinnosť.
Sprostredkovateľ s poukazom na čl. 32 GDPR identifikuje všetky bezpečnostné, technické a iné opatrenia v súlade s prílohou č.2, za účelom ochrany osobných údajov spracovávaných cloudovými službami. Sprostredkovateľ aplikuje Čl. 32 GDPR rovnako aj na akékoľvek iné dáta neosobného charakteru, ktoré má Prevádzkovateľ k dispozícii. Sprostredkovateľ je povinný poskytnúť Prevádzkovateľovi informácie potrebné na preukázanie splnenia povinností podľa bodu 7.17 tejto Zmluvy, prostredníctvom predloženia akéhokoľvek dôveryhodného dôkazu preukazujúceho splnenie týchto povinností podľa Zákona o ochrane osobných údajov a GDPR formou Prílohy č. 2 tejto zmluvy. Sprostredkovateľ môže preukázať splnenie dostatočných záruk schváleným kódexom správania alebo certifikátom podľa Zákona o ochrane osobných údajov a GDPR.
Sprostredkovateľ podpisom Zmluvy deklaruje, že prijal také bezpečnostné, technické a iné opatrenia, ktoré predstavujú záruky zabraňujúce zneužitiu osobných ako aj neosobných údajov alebo nezákonnému prístupu a prenosu osobných a neosobných údajov.
Sprostredkovateľ pomáha Prevádzkovateľovi pri plnení povinností uvedených v čl. 32 až 36 GDPR s prihliadnutím na povahu spracúvania a informácie, ktoré sú Sprostredkovateľovi dostupné.
Zmluvné strany sú povinné písomne si navzájom oznamovať každú zmenu kontaktných údajov zodpovedných osôb za ochranu osobných údajov bezodkladne po tom, čo sa o zmene dozvedeli, najneskôr do 5 dní odo dňa, keď zmena nastala.
V prípade, ak sú podľa názoru Sprostredkovateľa pokyny od Prevádzkovateľa v rozpore s GDPR alebo v rozpore so Zákonom o ochrane osobných údajov, Sprostredkovateľ bezodkladne o tejto skutočnosti informuje Prevádzkovateľa. V takom prípade je Prevádzkovateľ uzrozumený s tým, že Xxxxxxxxxxxxxxxx nie je viazaný príslušným pokynom a nenesie žiadnu zodpovednosť za porušenie všeobecne záväzných právnych predpisov týkajúcich sa ochrany osobných údajov.
Po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia Prevádzkovateľa Sprostredkovateľ všetky osobné údaje (i) vymaže alebo vráti Prevádzkovateľovi, (ii) vymaže všetky existujúce kópie bez možnosti obnovy dát a (iii) splnenie povinností podľa (i) a (ii) zabezpečí aj na strane svojho Sub-sprostredkovateľa, ktorý spracúvajú osobné údaje Prevádzkovateľa, ak právo Európskej únie alebo právny predpis Slovenskej republiky nepožaduje uchovávanie týchto osobných údajov.
Ak akékoľvek zmeny príslušných predpisov o ochrane osobných údajov vedú alebo budú viesť k tomu, že jedna alebo obe zmluvné strany nebudú dodržiavať zákony o ochrane osobných údajov v súvislosti so spracovaním osobných údajov vykonávaným na základe tejto zmluvy, potom zmluvné strany vynaložia maximálne úsilie na to, aby sa bezodkladne dohodli na takých zmenách tejto zmluvy, ktoré môžu byť potrebné na odstránenie takéhoto nesúladu.
Sprostredkovateľ sa zaväzuje nahradiť Prevádzkovateľovi škodu, ktorá mu vznikne v dôsledku porušenia povinností upravených v GDPR a/alebo Zákona o ochrane osobných údajov a/alebo v tomto článku zmluvy zo strany Sprostredkovateľa alebo jeho Sub-Sprostredkovateľov, vrátane škody, ktorá vznikne v dôsledku uloženia sankcií Prevádzkovateľovi zo strany príslušných orgánov verejnej moci Slovenskej republiky.
MLČANLIVOSŤ A OCHRANA DÔVERNÝCH INFORMÁCIÍ
Zmluvné strany sú povinné zaviazať mlčanlivosťou o osobných údajoch a ďalšími povinnosťami v súlade s článkom 29 a článkom 32 ods. 4 GDPR všetky fyzické osoby, ktoré prídu alebo by mohli prísť do styku s osobnými údajmi, pričom povinnosť mlčanlivosti trvá aj po skončení pracovného pomeru, štátnozamestnaneckého pomeru alebo obdobného pracovného vzťahu fyzických osôb.
Zmluvné strany sú povinné zachovávať mlčanlivosť o dátach, ktoré získali v súvislosti s plnením tejto Zmluvy a získané výstupy, ktorých predmetom alebo obsahom sú dáta, nesmú ďalej použiť na iné účely ako plnenie jej predmetu, okrem prípadu poskytnutia dát odborným poradcom Sprostredkovateľa (vrátane právnych, účtovných, daňových a iných poradcov alebo audítorov), ktorí sú viazaní všeobecnou povinnosťou mlčanlivosti na základe osobitných právnych predpisov alebo sú povinní zachovávať mlčanlivosť na základe písomnej dohody, ak sa podieľa na plnení predmetu tejto Zmluvy, a ak je to potrebné na účely plnenia zmluvných povinností Sprostredkovateľa podľa tejto Zmluvy.
Povinnosť Sprostredkovateľa a Odberateľa zachovávať mlčanlivosť o dôverných informáciách, ktoré získali v súvislosti s plnením tejto Zmluvy sa nevzťahuje na informácie, ktoré:
boli zverejnené už pred podpisom tejto Zmluvy,
sa stanú preukázateľným spôsobom všeobecne a verejne dostupné po podpise tejto Zmluvy z iného dôvodu, ako z dôvodu porušenia povinností podľa tejto Zmluvy ,
majú byť sprístupnené na základe povinnosti stanovenej zákonom, rozhodnutím súdu, prokuratúry alebo na základe iného záväzného rozhodnutia príslušného orgánu,
boli preukázateľným spôsobom získané Sprostredkovateľom od tretej strany, ktorá ich legitímne získala alebo vyvinula a ktorá nemá žiadnu povinnosť, ktorá by obmedzovala ich zverejňovanie.
Zmluvné strany sa zaväzujú, že poučia svojich zamestnancov, štatutárne orgány, ich členov a subdodávateľov, ktorým sú sprístupnené dôverné informácie, o povinnosti mlčanlivosti v zmysle tohto bodu Zmluvy. V rozsahu zaisťujúcom splnenie povinnosti mlčanlivosti podľa tohto bodu Zmluvy, Sprostredkovateľ uzatvorí s každým jeho subdodávateľom dohodu o mlčanlivosti, pokiaľ obdobný záväzok nevyplýva pre takého subdodávateľa zo zákona. Sprostredkovateľ vyhlasuje, že oboznámil svojich zamestnancov, ktorí sa budú podieľať na plnení tejto Zmluvy , o povinnosti mlčanlivosti.
Zmluvné strany sa zaväzujú užívať Dôverné informácie výlučne na účel, na ktorý im boli poskytnuté a zároveň sa zaväzujú ich ochraňovať najmenej s rovnakou starostlivosťou ako ochraňujú vlastné Dôverné informácie rovnakého druhu, vždy však najmenej v rozsahu primeranej odbornej starostlivosti, predovšetkým ich budú chrániť pred náhodným alebo neoprávneným poškodením a zničením, náhodnou stratou, zmenou alebo iným znehodnotením, nedovoleným prístupom alebo sprístupnením alebo zverejnením, pričom, ak nie je v tejto Zmluve ustanovené inak, zaväzujú sa, že bez predchádzajúceho písomného súhlasu druhej Zmluvnej strany neposkytnú, neodovzdajú, neoznámia alebo iným spôsobom nevyzradia, resp. nesprístupnia Dôverné informácie druhej Zmluvnej strany tretej osobe.
Sprostredkovateľ sa zaväzuje nahradiť Odberateľovi škodu, ktorá mu vznikne v dôsledku porušenia tohto článku zmluvy zo strany Sprostredkovateľa v súlade s ustanovením § 373 a nasl.. Obchodného zákonníka; to neplatí, ak sa preukáže, že porušenie nastalo v dôsledku OVZ.
OPRÁVNENÉ OSOBY
Sprostredkovateľ sa zaväzuje do piatich (5) pracovných dní od podpisu tejto Zmluvy vymenovať oprávnenú osobu, ktorá bude počas účinnosti tejto Zmluvy oprávnená konať za Sprostredkovateľa vo veciach súvisiacich s plnením tejto Zmluvy a v tej istej lehote písomne oznámiť Odberateľovi jej meno a kontaktné údaje.
Odberateľ sa zaväzuje do piatich (5) pracovných dní od podpisu tejto Zmluvy vymenovať oprávnenú osobu, ktorá bude počas účinnosti tejto Zmluvy oprávnená konať za Odberateľa vo veciach súvisiacich s plnením tejto Zmluvy a v tej istej lehote písomne oznámiť Sprostredkovateľovi jej meno a kontaktné údaje.
Prostredníctvom určených oprávnených osôb Zmluvné strany:
zabezpečia vzájomnú komunikáciu Zmluvných strán týkajúcu sa všetkých záležitostí týkajúcich sa plnenia tejto Zmluvy ,
plnia vymedzené úlohy Zmluvných strán podľa tejto Zmluvy,
uskutočnia všetky organizačné záležitosti s ohľadom na všetky aktivity a činnosti súvisiace s plnením tejto Zmluvy ,
zabezpečia koordináciu jednotlivých aktivít a činností Zmluvných strán súvisiacich s plnením tejto Zmluvy,
sledujú priebeh plnenia tejto Zmluvy ,
navrhujú potrebné zmeny technických riešení a technickej povahy v zmysle tejto Zmluvy a
zabezpečia vzájomnú spoluprácu a súčinnosť.
Zmena oprávnených osôb Zmluvných strán v zmysle tohto bodu Zmluvy sa vykoná prostredníctvom písomného oznámenia o zmene oprávnenej osoby adresovaného jednou zo Zmluvných strán druhej Zmluvnej strane.
SÚČINNOSŤ ZMLUVNÝCH STRÁN
Sprostredkovateľ sa zaväzuje spolupracovať s Odberateľom počas poskytovania xxxxxxxxxx služieb a vyvinúť maximálne úsilie a súčinnosť z jeho strany tak, aby boli poskytnuté cloudové služby v súlade s touto Zmluvou.
Súčinnosť Sprostredkovateľa spočíva najmä ale nie výlučne v nasledovných činnostiach a úkonoch:
pri vykonávaní úkonov súvisiacich so správou bezpečnosti cloudových služieb,
v prípadoch auditných zistení spočívajúcich v charaktere cloudových služieb zabezpečiť bezodkladné riešenie zistení, vysvetlenie alebo vyjadrenie k auditným zisteniam a ich komunikovanie Odberateľovi,
poskytovať pravidelné konzultácie na úrovni account security lead, account delivery lead oprávnenej osobe Odberateľa,
poskytnúť informácie o odstávkach cloudových služieb a to najmenej 14 pracovných dní pred realizáciou odstávky,
zabezpečiť transfer znalostí a know-how (Sprostredkovateľ zabezpečí prístup Odberateľovi k znalostnej databáze vytvorenej Sprostredkovateľom),
zabezpečiť dôvernosť a bezpečnosť- (Sprostredkovateľ musí zabezpečiť, že všetky dôverné informácie sú vrátené alebo zničené, a deklarovať, že nedochádza k neoprávnenému uchovávaniu, zneužitiu alebo použitiu dát Odberateľa na iný účel ako účel dojednaný touto zmluvou).
KOMUNIKÁCIA ZMLUVNÝCH STRÁN
Zmluvné strany sa dohodli, že ich vzájomná komunikácia ohľadom akejkoľvek záležitosti týkajúcej sa tejto Zmluvy bude vykonávaná prostredníctvom oprávnených osôb Zmluvných strán podľa článku 9 tejto Zmluvy.
Zmluvné strany sa ďalej dohodli, že bežná komunikácia (napr. komunikácia týkajúca sa organizácii stretnutí alebo iných organizačných záležitosti alebo podkladov pre fakturáciu a pod.) bude vykonávaná prostredníctvom emailu. Komunikácia Zmluvných strán, ktorá má povahu právneho úkonu (napr. odstúpenie od zmluvy, uplatnenie zmluvnej pokuty,) bude vykonávaná písomne v listinnej podobe s doporučeným doručovaním druhej zmluvnej strane prostredníctvom poštovej služby alebo kuriérskej služby, prípadne elektronicky formou zaručeného elektronického podpisu s pripojením kvalifikovaného certifikátu alebo elektronickou pečaťou s pripojením mandátneho certifikátu.
OCHRANA ZAMESTNANCOV SPROSTREDKOVATEĽA A SUBDODÁVATEĽOV
Zmluvné strany zodpovedajú za svojich zamestnancov, ich bezpečnosť a ochranu zdravia pri práci, a tiež za svojich subdodávateľov. Zmluvné strany sú povinné vykonať všetky nevyhnutné opatrenia, aby v maximálne možnej miere zabezpečili v súvislosti s plnením tejto Zmluvy bezpečnosť svojich zamestnancov.
Zmluvné strany sú povinné v súvislosti s plnením tejto Zmluvy vykonať opatrenia a určiť postupy na zaistenie bezpečnosti svojich zamestnancov a subdodávateľov a zabezpečiť prostriedky potrebné na ochranu života a zdravia zamestnancov v mieste plnenia tejto Zmluvy.
Zmluvné strany sú povinné zaraďovať zamestnancov na výkon práce so zreteľom na ich zdravotný stav, schopnosti, kvalifikačné predpoklady a odbornú spôsobilosť podľa príslušných právnych predpisov a ostatných právnych predpisov na zaistenie bezpečnosti a ochrany zdravia pri práci a nedovoliť, aby vykonávali práce, ktoré nezodpovedajú ich zdravotnému stavu a schopnostiam a na ktoré nemajú vek, kvalifikačné predpoklady alebo doklad o odbornej spôsobilosti podľa príslušných právnych predpisov a iných normatívnych aktov na zaistenie bezpečnosti a ochrany zdravia pri práci.
DÔVERNÉ INFORMÁCIE A ZACHOVÁVANIE MLČANLIVOSTI
Zmluvné strany sú povinné zachovávať mlčanlivosť o všetkých skutočnostiach a informáciách, o ktorých sa dozvedeli pri plnení predmetu zmluvy a o získaných dôverných informáciách spôsobom obvyklým pre utajovanie takýchto informácií, ak nie je výslovne dohodnuté inak. Sprostredkovateľ je povinný všetky osoby, ktoré sa podieľajú na jeho činnosti spojenej s poskytovaním cloudových služieb Odberateľovi, poučiť o rozsahu ich zmluvnej i zákonnej povinnosti zachovávať mlčanlivosť a možných následkoch ich porušenia.
Za dôverné informácie sa považujú všetky a akékoľvek údaje, dáta, podklady, poznatky, dokumenty alebo akékoľvek iné informácie, bez ohľadu na formu ich zachytenia
ktoré sa týkajú zmluvnej strany, najmä informácie o jej činnosti, štruktúre, hospodárskych výsledkoch, všetky zmluvy, finančné, štatistické a účtovné informácie, informácie o jej majetku, aktívach a pasívach, pohľadávkach a záväzkoch, informácie o jej technickom a programovom vybavení, know-how, hodnotiace štúdie a správy, stratégie a plány, interné predpisy, smernice, informácie týkajúce sa predmetov chránených právom priemyselného alebo iného duševného vlastníctva a všetky ďalšie informácie o zmluvnej strane;
pre ktoré je stanovený všeobecne záväznými právnymi predpismi osobitný režim nakladania (najmä obchodné tajomstvo, bankové tajomstvo, daňové tajomstvo, telekomunikačné tajomstvo, osobné údaje, utajované skutočnosti a pod.)
(ďalej len „dôverné informácie“).
Dôverné informácie poskytnuté, odovzdané, oznámené, sprístupnené a/alebo akýmkoľvek iným spôsobom získané jednou zmluvnou stranou od druhej zmluvnej strany na základe a/alebo v akejkoľvek súvislosti so zmluvou môžu byť použité výhradne na účely plnenia predmetu zmluvy a v súlade so všeobecne záväznými právnymi predpismi, ktoré upravujú nakladanie s takýmito údajmi. Zmluvné strany sa zaväzujú dôverné informácie ako aj všetky informácie poskytnuté, odovzdané, oznámené, sprístupnené a/alebo akýmkoľvek iným spôsobom získané zmluvnými stranami na základe zmluvy a/alebo v akejkoľvek súvislosti so zmluvou udržiavať v tajnosti, zachovávať o nich mlčanlivosť a chrániť ich pred zneužitím, poškodením, zničením, znehodnotením, stratou a odcudzením. Zmluvná strana nie je oprávnená bez predchádzajúceho písomného súhlasu druhej zmluvnej strany dôverné informácie poskytnúť, odovzdať, oznámiť, sprístupniť, zverejniť, publikovať, rozširovať, vyzradiť ani použiť inak než na účely plnenia predmetu zmluvy, a to ani po ukončení platnosti a účinnosti zmluvy, s výnimkou prípadu ich poskytnutia, odovzdania, oznámenia alebo sprístupnenia oprávneným subjektom v súlade so všeobecne záväznými právnymi predpismi.
Povinnosť zmluvných strán zachovávať mlčanlivosť o dôverných informáciách sa nevzťahuje na informácie, ktoré
boli preukázateľným spôsobom zverejnené už pred podpisom zmluvy, čo musí byť preukázateľné na základe poskytnutých podkladov, ktoré túto skutočnosť dokazujú;
sa stanú preukázateľným spôsobom všeobecne a verejne dostupné po podpise zmluvy z iného dôvodu, ako z dôvodu porušenia povinností podľa zmluvy, čo musí byť preukázateľné na základe poskytnutých podkladov, ktoré túto skutočnosť dokazujú;
majú byť sprístupnené na základe povinnosti stanovenej zákonom alebo rozhodnutím oprávneného orgánu verejnej moci;
boli vyvinuté zmluvnou stranou nezávisle na informáciách získaných od druhej zmluvnej strany, získané zmluvnou stranou od tretej strany, ktorá ich legitímne získala alebo vyvinula, a ktorá nemá žiadnu povinnosť, ktorá by obmedzovala ich zverejňovanie.
Povinnosť mlčanlivosti Sprostredkovateľa a osôb, ktoré sa podieľajú na jeho činnosti spojenej s poskytovaním cloudových služieb Odberateľovi, trvá aj po skončení zmluvného vzťahu založeného touto zmluvou.
ZODPOVEDNOSŤ ZA ŠKODU
Zodpovednosť zmluvných strán za škodu spôsobenú v dôsledku porušenia zmluvných povinností sa riadi ustanoveniami § 373 a nasl. Obchodný zákonník o náhrade škody.
Sprostredkovateľ nezodpovedá Odberateľovi za:
škody finančného, materiálneho alebo iného charakteru, spôsobené nefunkčnosťou a/alebo prerušením poskytovania cloudových služieb podľa zmluvy, alebo poškodením, obmedzením prevádzky hardvéru, resp. softvéru, ktoré preukázateľne nespôsobil Sprostredkovateľ alebo Poskytovateľ cloudových služieb,
za poškodenie, stratu, zneužitie dát ukladaných alebo používaných prostredníctvom cloudovej služby, ktorú Odberateľ využíva na svoje účely v rámci oprávnení podľa tejto Zmluvy, a to výlučne ak k poškodeniu, strate alebo zneužitiu takýchto dát dôjde preukázateľne v dôsledku konania alebo opomenutia Odberateľa.
Sprostredkovateľ nezodpovedá za používanie služieb Odberateľom v rozpore s platnými právnymi predpismi,
za akékoľvek nároky Odberateľa z tejto Zmluvy, ktoré vznikli v dôsledku nedostupnosti a nefunkčnosti cloudových služieb, ktoré boli zverejnené v katalógu cloudových služieb,
za vady spôsobené vyššou mocou,
za vady preukázateľne spôsobené obsluhou Xxxxxxxxxx,
za škody ani omeškania spôsobené v dôsledku nepresných alebo nesprávnych informácií, vybavení, dát a podpory poskytnutých zo strany Odberateľa.
Sprostredkovateľ nezodpovedá za prerušenie poskytovania služieb Odberateľovi v prípade, že si Odberateľ poruchu spôsobil sám, v prípade zásahu tretích osôb, či OVZ a/alebo vyššej moci alebo v prípade poruchy na zariadení tretích dodávateľov (najmä rozsiahly a dlhodobý výpadok dodávky elektriny, telekomunikačného spojenia, a pod.), pokiaľ týmto skutočnostiam nebolo možné zabrániť alebo neboli spôsobené nedbalosťou Sprostredkovateľa alebo boli spôsobené neodvrátiteľnou udalosťou nemajúcou pôvod v prevádzke služby.
Odberateľ zodpovedá za zálohovanie svojich údajov, ak nie je písomne dohodnuté inak.
Žiadna zo Zmluvných strán nie je zodpovedná za škodu spôsobenú OVZ a/alebo v dôsledku vyššej moci. V prípade pôsobenia OVZ a/alebo vyššej moci, lehoty dohodnuté k plneniu zmluvných záväzkov sa predlžujú o dobu jej pôsobenia. Zmluvná strana ovplyvnená vyššou mocou je povinná druhú zmluvnú stranu upovedomiť písomne o začatí a ukončení pôsobenia OVZ a/alebo vyššej moci bezodkladne, najneskôr však do 2 dní od začatia jej pôsobenia. Ak by tak zmluvná strana neurobila, nemôže sa zmluvná strana účinne dovolávať pôsobenia OVZ a/alebo vyššej moci.
Ak OVZ a/alebo vyššia moc pretrvávajú po dobu dlhšiu ako 90 dní, nehľadiac na predĺženie lehoty na splnenie zmluvy, ktoré možno Sprostredkovateľovi z tohto dôvodu udeliť, ktorákoľvek zo zmluvných strán je oprávnená vypovedať zmluvu s jednomesačnou výpovednou lehotou, ktorá začína plynúť prvým dňom kalendárneho mesiaca nasledujúceho po kalendárnom mesiaci, v ktorom bola výpoveď doručená druhej zmluvnej strane.
DOBA TRVANIA A ZÁNIK ZMLUVY
Zmluva sa uzatvára na dobu neurčitú.
Pred uplynutím doby trvania zmluvy táto zmluva zaniká aj
písomnou dohodou,
písomným odstúpením od zmluvy, pričom každá zo zmluvných strán je oprávnená odstúpiť od tejto zmluvy pri podstatnom porušení zmluvnej povinnosti druhou zmluvnou stranou alebo v prípadoch ustanovených v tejto zmluve, alebo vo všeobecne záväzných právnych predpisoch,
písomnou výpoveďou s jedno mesačnou výpovednou dobou.
Odberateľ je oprávnený odstúpiť od tejto zmluvy, ak Sprostredkovateľ poruší svoje povinnosti podľa tejto zmluvy podstatným spôsobom, pričom porušením povinností Sprostredkovateľa podstatným spôsobom sa rozumie
neodôvodnené nedodržanie pokynov Odberateľa, za predpokladu, že dotknutý pokyn má podstatný význam pre realizáciu tejto zmluvy,
opakované neodôvodnené neposkytnutie informácií požadovaných Odberateľom,
skutočnosť, ak služby neposkytne Odberateľovi riadne a včas podľa podmienok dohodnutých v zmluve,
nedodržanie záväzku Sprostredkovateľa poskytnúť služby dohodnutým spôsobom, v dohodnutom množstve, kvalite, čase a mieste.
Sprostredkovateľ je oprávnený odstúpiť od tejto zmluvy, ak Odberateľ poruší svoje povinnosti podľa tejto zmluvy podstatným spôsobom, pričom porušením povinností Odberateľa podstatným spôsobom sa rozumie neposkytnutie nevyhnutne potrebnej súčinnosti Odberateľom pri poskytovaní cloudovej služby.
Zmluvné strany sa dohodli, že pri odstúpení od zmluvy vylučujú aplikáciu ustanovenia § 351 ods. 2 Obchodného zákonníka, teda nevracajú si skôr poskytnuté plnenia.
Každá zo zmluvných strán môže ukončiť zmluvu výpoveďou bez uvedenia dôvodu. Výpovedná doba je jednomesačná a začína plynúť prvým dňom kalendárneho mesiaca nasledujúceho po kalendárnom mesiaci, v ktorom bola výpoveď doručená druhej zmluvnej strane.
ZÁVEREČNÉ USTANOVENIA
Táto zmluva nadobúda platnosť dňom jej podpisu oboma zmluvnými stranami a účinnosť dňom nasledujúcim po dni jej prvého zverejnenia v Centrálnom registri zmlúv vedenom Úradom vlády Slovenskej republiky.
Táto zmluva je vyhotovená v 3 rovnopisoch s platnosťou originálu, z ktorých po jej podpísaní dostane Odberateľ 2 rovnopisy a Sprostredkovateľ dostane 1 rovnopis.
Vo veciach neupravených touto zmluvou sa zmluvný vzťah spravuje príslušnými ustanoveniami Obchodného zákonníka, Občianskeho zákonníka a ďalších súvisiacich všeobecne záväzných právnych predpisov. Ak takýchto ustanovení niet, použijú sa ustanovenia im svojou povahou a obsahom najbližšie. Ak niet ani tých, použijú sa základné princípy súkromného práva s cieľom naplnenia účelu tejto zmluvy.
Zmluvné strany sa dohodli, že akékoľvek zmeny a doplnenia tejto zmluvy je možné vykonávať len so súhlasom oboch zmluvných strán a to iba formou písomného a očíslovaného dodatku podpísaného oprávneným zástupcom zmluvnej strany. Dodatok sa po podpísaní stane neoddeliteľnou súčasťou tejto zmluvy.
Ak niektoré ustanovenia tejto zmluvy nie sú celkom alebo sčasti platné, účinné, nevykonateľné alebo neskôr stratia účinnosť, nie je tým dotknutá platnosť ostatných ustanovení. Namiesto neúčinných ustanovení sa použije právna úprava, ktorá sa čo najviac približuje zmyslu a účelu tejto zmluvy a následne v danej veci zmluvné strany čo najskôr uzatvoria písomný dodatok k Zmluve.
Akúkoľvek zmenu uvedených identifikačných údajov alebo kontaktných údajov je zmluvná strana povinná bezodkladne oznámiť druhej zmluvnej strane.
Zmluvné strany prehlasujú, že ich prejavy vôle byť viazaní touto zmluvou sú slobodné, jasné, určité a zrozumiteľné. Zmluvná voľnosť oboch zmluvných strán nie je ničím obmedzená a zmluvu nepodpisujú v tiesni, v omyle, a ani za nápadne nevýhodných podmienok.
Zmluvné strany vyhlasujú, že si túto zmluvu riadne prečítali, jej obsahu porozumeli a na znak toho, že obsah tejto zmluvy zodpovedá ich skutočnej a slobodnej vôli, ju vlastnoručne podpísali.
Neoddeliteľnou súčasťou zmluvy sú
Príloha č. 1 – Katalóg cloudových služieb
Príloha č. 2 – Technické a organizačné opatrenia na zaistenie bezpečnosti údajov
Príloha č. 3 - SLA poskytovaných cloudových služieb
Príloha č. 4 - Všeobecné podmienky pre pripojenie do verejnej časti vládneho cloudu
V Bratislave, dňa .................... |
V Bratislave, dňa .................... |
|
|
_____________________________________ |
_____________________________________ |
Sprostredkovateľ |
Odberateľ |
Ministerstvo investícií, regionálneho rozvoja |
<> |
a informatizácie Slovenskej republiky |
<> |
Xxx. Xxxx Xxxxxxx |
<> |
štátny tajomník II |
<> |
Príloha č. 1 – Katalóg cloudových služieb
Všetky cloudové služby zaradené do verejnej časti vládnych cloudových služieb nájdete na linku:
xxxxx://xxxxxxx.xxxxxxxx.xx/
Príloha č. 2 – Technické a organizačné opatrenia na zaistenie bezpečnosti údajov
Opis technických a organizačných bezpečnostných opatrení zavedených Sprostredkovateľom a implementovaných Poskytovateľom cloudových služieb s cieľom zaistiť primeranú úroveň bezpečnosti, pričom sa zohľadní povaha, rozsah, kontext a účel spracúvania, ako aj riziká pre práva a slobody fyzických osôb. Poskytovateľ cloudových služieb plní úlohy a funkcie ďalšieho subsprostredkovateľa podľa čl. 7 zmluvy:
Sprostredkovateľ garantuje bezpečnosť cloudu. Sprostredkovateľ garantuje technické a organizačné opatrenia v súvislosti so spracúvaním osobných údajov prostredníctvom registrovaných cloudových služieb z Katalógu služieb Vládneho cloudu. Všetky služby z Katalógu služieb Vládneho cloudu sú certifikované podľa medzinárodných noriem a sú v súlade so štandardmi ISO 27 000 noriem:
ISO/ IEC 27 001: 2013,
ISO/ IEC 27 017: 2015,
ISO/ IEC 27 018: 2019,
ISO// IEC 22 301: 2019.
Opatrenia zamerané na pseudonymizáciu osobných údajov:
MS Azure nemá nástroj na pseudonymizáciu – jedine na úrovni zdrojov, ktoré podporujú maskovanie identít. (feature „data masking“) – aktiváciou feature „data masking“ sa zapne pseudonymizácia.
Opatrenia zamerané na šifrovanie osobných údajov:
Sprostredkovateľ garantuje opatrenie zamerané na šifrovanie osobných údajov. Cloudové služby poskytujú nástroje za účelom šifrovania všetkých údajov (vrátane osobných údajov) privátnymi kľúčmi Odberateľa (Bring Your Own Key ), za pohybu alebo/a pri uložení. Microsoft Key Vault je nástroj na ukladanie kľúčov, hesiel a ostatných citlivých údajov. Ide o cloudovú službu ponúkajúcu zabezpečené úložisko.
Opatrenia na zabezpečenie trvalej dôvernosti (proti náhodnému alebo úmyselnému neoprávnenému prístupu, neoprávnenému poskytnutiu údajov alebo neoprávnenej manipulácii s údajmi):
Sprostredkovateľ vie zabezpečiť dôvernosť opatrením, aby pred každým získaním prístupu do cloudu prebehla autentizácia a autorizácia používateľov a tiež nastavením privilégií a manažmentom prístupov podľa požiadaviek Odberateľa.
Azure cloud ako taký zabezpečuje súlad s požiadavkami dôvernosti osobných údajov na úrovni GDPR compliant. Správa prístupu k jednotlivým entitám a presne definované prístupové role sú zabezpečované cez politiku RBAC (azure role based access control)
Opatrenia na zabezpečenie integrity údajov (proti náhodnému alebo úmyselnému zničeniu, strate alebo zmene údajov, na zabezpečenie kvality údajov, úplnosti, presnosti údajov a zaistenie aktuálnosti údajov a tiež, aby boli údaje zmenené výhradne autorizovaným spôsobom):
Integritu údajov Sprostredkovateľ prostredníctvom Poskytovateľa cloudových služieb zabezpečí pravidelným zálohovaním a pravidelnou údržbou serverov, administrátorskými rolami a aktualizáciou údajov podľa vykonaných zmien. Data in rest (v pokoji na úložisku) sú chránené prostredníctvom základných funkcií MS Azure úložiska.
Opatrenia na zabezpečenie dostupnosti údajov a systémov (aby údaje boli prístupné a použiteľné pre autorizovaných používateľov):
Sprostredkovateľ x xxxxxx poskytuje manažovanú cloud službu BaaS (Backup as a Service) pre prípad, keď Odberateľ bude potrebovať obnoviť uložené dáta, ak dôjde k ich strate, poškodeniu alebo zničeniu. Pre dosiahnutie vyššej dostupnosti zdrojov je možné definovať architektúru podľa referenčných požiadaviek pre dostupnosť služieb.
Opatrenia na zabezpečenie odolnosti systémov a služieb spracúvania (detekcia škodlivých kódov, ochrana pred externými kybernetickými hrozbami, zabezpečenie systémov pred zlyhaním alebo preťažením):
Sprostredkovateľ prostredníctvom Poskytovateľa cloudových služieb zabezpečí odolnosť systémov pravidelnou aktualizáciou systému, softvéru, aktualizáciu záplat, monitorovaním hrozieb, vyhľadávaním zraniteľností, detekciou škodlivých kódov, monitorovaním toku dát, opatrením proti preťaženiu služieb alebo systémov, ktoré by mali za následok nedostupnosť služieb. Nástroje MS Azure určené na uvedené opatrenia sú OS manažment, monitoring vyťaženia cloudových služieb/zdrojov, firewall – ochrana pred útokmi z vonka (Firewall, Application Gateway, WAF, DDoS, Front Door – nástroje pred útokmi z vonkajšieho prostredia).
Opatrenia na zabezpečenie schopnosti včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu:
Sprostredkovateľ sa prostredníctvom Poskytovateľa cloudových služieb riadi vypracovaným havarijným plánom obnovy systémov (Disaster Recovery Plan). Disaster Recovery Plan je závislý od požiadaviek projektu a mal by byť realizovaný v regióne rozdielnom ako je domovský región (rozdielne dátové centrá).
Opatrenia na zabezpečenie procesov pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení:
Sprostredkovateľ prostredníctvom Poskytovateľa cloudových služieb minimálne raz ročne posudzuje účinnosť zavedených technických a organizačných opatrení. Sprostredkovateľ prostredníctvom Poskytovateľa cloudových služieb preverí účinnosť zavedených opatrení aj na základe individuálnej žiadosti Odberateľa. MS Azure umožňuje realizáciu compliance kontroly a nastavených MS Azure politík, pomocou „MS defender for cloud“.
Opatrenia na identifikáciu používateľov a poskytovanie používateľských rolí:
Sprostredkovateľ má prostredníctvom Poskytovateľa cloudových služieb zavedený manažment rolí používateľov. Role based access control (RBAC) je autorizačný systém na riadenie prístupu a oprávnení, ktorým sa zabezpečí požadovaný level oprávnenia. Prístup do MS Xxxxx je vynucovaný prostredníctvom multifaktorovej autorizácie.
Opatrenia na ochranu údajov počas prenosu:
Sprostredkovateľ prostredníctvom Poskytovateľa cloudových služieb na základe žiadosti Odberateľa zabezpečí, aby pri prenose a poskytovaní údajov označených ako citlivé, boli tieto údaje šifrované.
Údaje sú počas prenosu zakryptované „by default“.
Opatrenia na ochranu údajov počas uchovávania:
Sprostredkovateľ garantuje bezpečnosť údajov uložených x xxxxxx, a to dodržiavaním ISO 27 000 noriem. MS Azure umožňuje automaticky kryptovať dáta at rest a umožňuje kryptovanie vlastným kľúčom.
Opatrenia na zaistenie fyzickej bezpečnosti miest, na ktorých sa spracúvajú osobné údaje:
Sprostredkovateľ garantuje fyzické zabezpečenie priestorov datacentra a priestorov, v ktorých údaje spracúvajú poverení zamestnanci. ISO 27001 pravidlá musia byť uplatnené pri fyzickej ochrane dátového centra.
Opatrenia na zabezpečenie zaznamenávania udalostí (logov):
Sprostredkovateľ prostredníctvom Poskytovateľa cloudových služieb zaznamenáva logy podozrivých aktivít, ktoré by mohli mať za dôsledok vznik kybernetického incidentu. Sprostredkovateľ zaznamenáva logy automatizovaným spôsobom. MS Azure poskytuje nástroj na zaznamenávanie logov „MS Azure log analytics“ – nástroj na zaznamenanie a vyhodnocovanie logov.
Opatrenia na zabezpečenie konfigurácie systému vrátane predvolenej konfigurácie:
Sprostredkovateľ prostredníctvom Poskytovateľa cloudových služieb nastaví systémové požiadavky a špecifikácie systému tak, aby všetky komponenty spoľahlivo fungovali. MS Azure umožňuje použitie vlastného „image“ a zároveň umožňuje „hardening“ operačných systémov.
Opatrenia na vnútorné riadenie IT a bezpečnosti IT:
Sprostredkovateľ aj Poskytovateľ cloudových služieb majú zavedené bezpečnostné interné smernice k riadeniu IT a bezpečnosti IT vrátane komunikačnej matice osôb, ktoré riadia IT.
Opatrenia na certifikáciu procesov a produktov:
Procesy a produkty, ktoré Sprostredkovateľ prostredníctvom Poskytovateľa cloudových služieb poskytuje, sú licencované.
Opatrenia na zabezpečenie minimalizácie údajov:
Sprostredkovateľ a Poskytovateľ cloudových služieb spracúvajú iba minimálny rozsah potrebných osobných údajov na poskytovanie IT podpory, riešenie incidentov a súčinnosť pri audite a kontrole.
Opatrenia na zabezpečenie obmedzenej doby uchovávania údajov:
Sprostredkovateľ a Poskytovateľ cloudových služieb dodržiavajú minimalizáciu doby uchovávania osobných údajov. Doba spracúvania a doba uchovávania osobných údajov je ohraničená dobou trvania zmluvy a dobou počas ktorej Odberateľ využíva cloudové služby Sprostredkovateľa, prípadne dobou trvania projektu.
Opatrenia na zabezpečenie zodpovednosti:
Sprostredkovateľ vymedzil práva, povinnosti, záväzky a zodpovednosť za plnenie tejto zmluvy medzi Sprostredkovateľom a Poskytovateľom cloudových služieb. Poskytovateľ cloudových služieb je povinný plniť technické a organizačné opatrenia dohodnuté v tejto prílohe zmluvy. Sprostredkovateľ tiež určil práva, povinnosti, záväzky a zodpovednosť za plnenie tejto zmluvy medzi Sprostredkovateľom a Odberateľom.
Opatrenia na umožnenie prenosnosti údajov a zabezpečenie výmazu:
Sprostredkovateľ zabezpečí výmaz alebo vrátenie osobných údajov po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia Odberateľa. Sprostredkovateľ prostredníctvom Poskytovateľa cloudových služieb vie umožniť bezpečný prenos údajov. Možnosť mať „immutable storage“, také úložisko, ktoré chráni dáta pred zmenou alebo výmazom bez časového ohraničenia.
Opatrenia na zabezpečenie toho, aby každá fyzická osoba, ktorá koná základe poverenia sprostredkovateľa a má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov od sprostredkovateľa:
Sprostredkovateľ a Poskytovateľ cloudových služieb zabezpečia poučenie poverených osôb, ktoré pracujú s osobnými údajmi.
V prípade prenosov Poskytovateľom cloudových služieb technické a organizačné opatrenia, ktoré má prijať tento subjekt:
Poskytovateľ cloudových služieb je zmluvne viazaný dodržiavať tieto technické a organizačné opatrenia
Príloha č. 3
Všeobecné podmienky pre pripojenie do verejnej časti vládneho cloudu
Microsoft Azure
Popis riešenia verejnej časti vládneho cloudu v Microsoft Azure
Riešenie reprezentuje cloudovú infraštruktúru od spoločnosti Microsoft Azure (ďalej len „infraštruktúra Azure“ alebo „Azure“), ktorá zabezpečuje poskytovanie a dostupnosť cloudových služieb. Tieto služby sú zaradené do katalógu vládnych cloudových služieb vedeného Ministerstvom investícií, regionálneho rozvoja a informatizácie Slovenskej republiky (ďalej len „MIRRI SR“), ako súčasť verejnej časti vládneho cloudu.
V kontexte manažmentu vládnych cloudových služieb sa v cloudových riešeniach implementovaných do verejnej časti vládneho cloudu uplatňuje koncept „Single Tenant“. Single tenant koncept v kontexte znamená, že organizácia MIRRI SR používa cloudové služby s konceptom jediného nájomcu. Tento koncept zahŕňa "Root Tenant", čo je centrálne prostredie, kde každý odberateľ cloudových služieb má prístup k presne ohraničenému virtuálnemu priestoru pre každý projekt. Projektom sa rozumie projekt v zmysle vyhlášky o riadení projektov alebo informačná technológia, ktorá nespĺňa formálne požiadavky projektu podľa vyhlášky o riadení projektov a bude umiestnená v cloudovej infraštruktúre Microsoft Azure.
Prístup do tohto virtuálneho priestoru je riadený prostredníctvom definovaných prístupových rolí odberateľa, čím sa zabezpečuje, že každý používateľ má prístup len k relevantným zdrojom a funkciám projektu, v rámci jedného tenanta.
Správcom tohto virtuálneho priestoru je MIRRI SR, ktoré má oprávnenia na monitorovanie fakturácie, výkonnosti a súladu s politikami pripojenia do infraštruktúry Azure (ďalej len „politiky Azure“). Tieto práva sú navrhnuté tak, aby zabezpečili bezpečnosť, dôvernosť a integritu údajov bez akéhokoľvek získavania metaúdajov zo zdrojov projektu.
V rámci konceptu single tenant sa využíva dizajn "hub & spoke" topológie sietí. Spomínaná topológia predstavuje architektonický model dedikovaných virtuálnych sietí, ktorých súčasťou je centrálne umiestnený "hub" spojený s viacerými takzvanými "spoke". Centrálny hub v topológii slúži aj ako miesto, kde sú umiestnené kritické bezpečnostné prvky, ako je firewall a ďalšie centrálne zariadenia na monitorovanie a riadenie bezpečnosti. Implementovaním dizajnu “hub & spoke“ sa zabezpečuje centralizovaná kontrola nad prístupom z verejnej internetovej siete do infraštruktúry Azure (Inbound traffic) a do verejnej internetovej siete z infraštruktúry Azure (outbound), z internetu a von do internetu, detekciou hrozieb a zabezpečením dát v rámci celej infraštruktúry Azure (vrátane virtuálneho priestoru odberateľa). Jednotlivé projekty, reprezentované "spoke", môžu byť spravované a monitorované individuálne tzn. v správe odberateľa pričom pravidlá oddelenia a izolácie od iných projektov ostávajú zachované.
Takýto dizajn umožňuje efektívne riadenie a monitorovanie komunikácie medzi jednotlivými časťami infraštruktúry Azure. Zároveň poskytuje flexibilitu a škálovateľnosť, pretože nové projekty môžu byť ľahko pridané alebo odstránené bez výrazných zásahov do celkovej centrálnej infraštruktúry. Celkový bezpečnostný rámec je zoskupený a riadený centrálnym hubom, čo zabezpečuje konzistentnú a efektívnu implementáciu bezpečnostných opatrení.
Odberateľ, ktorý zvažuje umiestnenie svojich služieb vo verejnej časti vládneho cloudu, je povinný oboznámiť sa s technickým riešením a pravidlami vyplývajúcimi z tohto riešenia definovanými v tomto dokumente.
Požiadavky na bezpečnosť prístupov identít
Pre prístup do prostredia je nevyhnutné poskytnúť informácie o identitách, ktoré majú byť prizvané v podobe rolí do vládneho cloudu v infraštruktúre Azure. Vo verejnej časti vládneho cloudu sú identity odberateľa prizývané ako hosťovské účty, čo platí aj pre externých dodávateľov projektu. MIRRI SR má na starosti správu Microsoft Entra ID v rozsahu prizývania identít, vytvárania a pridelenia oprávnení do bezpečnostných skupín. Následne je potrebné mať zriadený autentifikátor na overenie identity pomocou multifaktorovej autentifikácie (ďalej len „MFA“).
Aplikáciu MFA je možné inštalovať prostredníctvom tohto odkazu:
Download and Install the Microsoft Authenticator App
Technické požiadavky
Technické požiadavky predstavujú súbor špecifikácií a kritérií, ktoré musia byť splnené pre úspešnú implementáciu a prevádzku technologických systémov, aplikácií alebo projektov. Tieto požiadavky definujú minimálne štandardy a parametre, ktoré zabezpečujú správnu funkčnosť, bezpečnosť a efektívnosť technických riešení.
Hub and Spoke Topológia je implementovaná s nasledujúcimi charakteristikami:
Hub predstavuje centrálny bod, manažovanú cloudovú službu Virtual WAN, kde sú lokalizované všetky zdieľané služby, vrátane prvkov ako Firewall, AppGW, VPN spojenia a Spoke spojenia (tzv. peering službou).
Spokes predstavujú dedikované virtuálne siete pre konkrétny projekt s definovaným IP rozsahom, ktorý sa môže ďalej rozdeliť na viaceré prefixy (subnet). Spoke predstavuje izolovanú časť infraštruktúry, ktorá je spojená s centrálnym hubom pomocou peering služby.
Obrázok 1: Diagram verejnej časti vládneho cloudu v Azure.
Subscription predstavuje predplatné a organizáciu zdrojov:
Poskytuje prístup k rôznym cloudovým službám infraštruktúry Azure, ako sú virtuálne siete, stroje, úložiská dát, databázové riešenia a ďalšie.
Poskytuje nástroje na správu a monitorovanie cloudových prostredí v infraštruktúre Azure pre efektívne využívanie zdrojov.
Riadenie prístupu a bezpečnosti, poskytuje mechanizmus na riadenie prístupu, čo umožňuje definovať špecifické oprávnenia pre jednotlivé skupiny zdrojov.
Štruktúrovaná správa umožňuje štruktúrovanú a efektívnu správu zdrojov, ktoré patria k rôznym projektom, tímom alebo organizačným útvarom organizácie.
Izolácia zdrojov od ostatných, čím sa minimalizuje riziko neoprávnenej manipulácie alebo prístupu.
Virtual Cloud Network ( ďalej len „Vnet“) a ich použitie:
Poskytuje sieťové oddelenie jednotlivých projektov využívaním cloudovéj služby Vnet. Prevádzkovateľ verejnej časti vládneho cloudu prideľuje rozsah IP adries pre každý jeden nový projekt, ktorý je implementovaný x xxxxxx bez nadväznosti na predchádzajúce on premise reišenie (Green Field projekt). Táto konfigurácia zabezpečuje efektívne oddelenie sieťových zdrojov pre každý projekt.
Poznámka: Ak sa jedná o projekt, ktorý má nadväznosť na on-premise riešenie je potrebná konzultácia o pridelení IP rozsahov.
Naming Convention a Tagging (Menná konvencia a značkovanie) charakteristika:
Súbor pravidiel a štandardov, ktoré určujú spôsob pomenovávania a identifikácie cloudových zdrojov a objektov infraštruktúry Azure , medzi ktoré patria virtuálne stroje, úložiská, siete, alebo iné komponenty.
Cieľom menných konvencií a značkovaní je zabezpečiť jednotný a systematický prístup k identifikácii zdrojov v celom virtuálnom prostredí, čo prispieva k efektívnemu riadeniu, organizácii a sledovaniu zdrojov v Azure.
Menná konvencia pre cloudové služby poskytované v rámci infraštruktúry Azure je dostupná na GitHube.
Menná Konvencia pre Microsoft Azure
Poznámka: Ak sa jedna o cloudové služby, ktoré nie sú v mennej konvencii uvedené, je potrebné skutočnosť nahlásiť na cloud kanceláriu MIRRI na adrese xxxxx@xxxxx.xxx.xx
Technické pravidlá využívania vládnych cloudových služieb infraštruktúry Azure vo verejnej časti vládneho cloudu požadujú, okrem vyššie uvedeného, aj implementáciu nasledovných princípov :
Používanie zdieľaných komponentov dedikovaných pre bezpečnosť akým je centrálny hub.
Efektívne využívanie služieb x xxxxxx tak, aby sa pre každý projekt nemuseli alokovať nové dedikované zdroje, ktoré nebudú dostatočne využívané.
Medzi najčastejšie používané zdieľané komponenty v infraštruktúre Azure patria:
Požiadavky pre finančné riadenie predstavujú pravidlá využívania zdrojov a tomu zodpovedajúcich výdavkov v infraštruktúre Azure
Kvóta je obmedzenie s nasledujúcimi charakteristikami:
Určuje množstvo zdrojov, ktoré môže daný projekt v infraštruktúre Azure využívať. To zahŕňa virtuálne stroje, úložný priestor, sieťové komponenty a ďalšie.
Cieľom je optimalizovať využitie zdrojov a pridelenie dostupných zdrojov na základe vyplnených žiadostí.
Budget predstavuje službu s nasledujúcimi charakteristikami:
Slúži na sledovanie a riadenie výdavkov v rámci infraštruktúry Azure, čím umožňuje efektívne hospodárenie s finančnými prostriedkami.
Pomáha predchádzať neplánovaným nákladom a zabezpečuje, že projekt operuje v rámci stanovených finančných limitov.
Poskytuje nástroje na monitorovanie a správu nákladov na služby využívané v infraštruktúre Azure, vrátane sledovania aktuálneho stavu výdavkov v porovnaní s definovaným rozpočtom.
Organizačné pravidlá, ktorých používanie je nevyhnutné na zabezpečenie správnej funkčnosti informačnej technológie pri využívaní infraštruktúry Azure:
Povinnosti projektu pri používaní IaaS služieb
Aktualizácia operačného systému a softvéru: Zabezpečiť, aby bol operačný systém a inštalovaný softvér vždy v aktuálnej verzii. V prípade použitia nepodporovanej alebo nelicencovanej služby, pričom poskytovateľ cloudových služieb nenesie zodpovednosť za ich výpadok a správu.
Sledovanie bezpečnostných noviniek: Pravidelne monitorovať novinky v oblasti bezpečnosti týkajúce sa používaného operačného systému a softvéru.
Reakcia na bezpečnostné audity: Okamžite reagovať na výsledky bezpečnostných auditov, pričom časový rámec reakcie by mal byť dostatočne krátky na zachovanie bezpečnosti poskytovanej služby.
Dodržiavať konvencie: Povinnosť dodržiavať mennú a značkovaciu konvenciu ("naming convention" a „tagging“) pri pomenovávaní a identifikovaní cloudových zdrojov.
Povinnosť dodržiavať stanovený rozsah cloudových služieb: Dodržiavať stanovený rozsah poskytovaných cloudových služieb a nevyužívať zdroje mimo tejto definície.
Povinnosti projektu pri používaní PaaS/SaaS služieb
Dodržiavať odporúčanie poskytovateľa cloudových služieb: Riadiť sa odporúčaniami poskytovateľa cloudových služieb, ktoré sú verejne dostupné na oficiálnych stránkach poskytovateľa.
Používať odporúčanú verziu manažovanej cloud služby: Vybrať a používať odporúčanú verziu manažovanej cloudovéj služby tak, aby boli dodržané stanovené termíny End-of-Support (EoS) a End-of-Life (EoL) od poskytovateľa. V prípade spravovania služby v nepodporovanej verzii môže byť služba vypnutá alebo poskytovaná bez podpory poskytovateľa, pričom poskytovateľ cloudových služieb nenesie zodpovednosť za ich výpadok a správu.
Dodržiavať konvencie: Povinnosť dodržiavať mennú a značkovaciu konvenciu ("naming convention" a „tagging“) pri pomenovávaní a identifikovaní cloudových zdrojov.
Povinnosť dodržiavať stanovený rozsah cloudových služieb: Dodržiavať stanovený rozsah poskytovaných cloudových služieb a nevyužívať zdroje mimo tejto definície.
Pravidlá pre audit virtuálneho prostredia a používaných cloudových služieb v Azure
Audit procesu a nastavení
Sledovanie a hodnotenie celkového virtuálneho prostredia v Azure sú usmerňované s cieľom zabezpečiť dodržiavanie štandardov, ktoré zahŕňajú ISO normy, ako aj najlepšie postupy poskytovateľa cloud služieb, a to v súlade s politikami na zabezpečenie pravidiel informačnej bezpečnosti.
Azure politiky je mechanizmus, ktorý umožňuje definovať, implementovať a spravovať pravidlá pre správu zdrojov x xxxxxx s cieľom dosiahnuť zhodu x XXXXX XX bezpečnostnými štandardmi.
Nezávislý audit a kontrola nastavení predstavuje overenie, nastavenia všetkých aspektov virtuálneho prostredia, s dôrazom na bezpečnosť a v súlade s predpísanými politikami MIRRI SR. Analýza konfigurácie vychádzajúca z auditov procesu a nastavení vykonávaná ad-hoc.
Reakcie na zistenia auditu
Promptné reakcie na identifikované bezpečnostné nedostatky: promptné a adekvátne reakcie na identifikované bezpečnostné nedostatky alebo nesúlad s najlepšími postupmi.
Zabezpečenie ssl/tls používania: ak audit odhalí používanie nezabezpečeného prenosu dát (napr. http namiesto https), od projektu sa očakáva včasné a riadne riešenie tohto nedostatku alebo jeho odôvodnenie .
Vyhodnotenie bezpečnostných praktík: sledovanie dodržiavania bezpečnostných pravidiel a odporúčaní, s výzvami na ich aktualizáciu a prípadné zlepšenia.
Pravidlá pre implementáciu a migráciu informačných technológií do infraštruktúry Azure predstavujú základné princípy prechodu projektov, technológií, aplikácii do infraštruktúry vládnych cloudových služieb
Plánovanie nového projektu
Administratívne požiadavky: Splnenie administratívnych požiadaviek, ako je kategorizácia, Sizing, a žiadosť o poskytnutie cloudových služieb.
Povinnosť prispôsobenia technológie: Odberateľ, ktorý plánuje nový projekt, je zaviazaný optimalizovať informačnú technológiu pre "cloud native" požiadavky s výrazným dôrazom na minimalizáciu používania IaaS služieb.
Odôvodnenie pri použití IaaS: V prípade požiadavky na IaaS služby musí odberateľ písomne zdôvodniť skutkový stav použitia IaaS, pričom tento je povolený za predpokladu, že neexistuje rovnocenná alternatíva pre vybranú IaaS službu alebo koncový IT produkt nie je kompatibilný s PaaS alebo SaaS cloudovú službou.
Povinnosť využiť PaaS a SaaS cloudových služieb, ak je to z povahy projektu možné.
Migrácia existujúceho projektu
Hodnotenie AS IS prostredia: Odberateľ, ktorý zvažuje migráciu existujúceho projektu, je povinný vypracovať komplexné hodnotenie súčasného prostredia. Tento proces vyžaduje dôkladné spracovanie všetkých potrebných dokumentov, ako sú Sizing a kategorizácia, TCO.
Návrh nahradenia služieb: Výstupom hodnotenia musí byť konkrétny návrh nahradenia existujúcich IaaS služieb ekvivalentnými alebo obdobnými PaaS alebo SaaS službami, s dôrazom na dosiahnutie ekonomickej efektívnosti.
Zoznam plánovaných služieb: Odberateľ je povinný predložiť konečný zoznam plánovaných služieb, spolu s počtami a s indikáciou maximálneho odhadovaného počtu služieb.
Odôvodnenie pri použití IaaS: V prípade požiadavky na IaaS služby musí odberateľ písomne zdôvodniť skutkový stav použitia IaaS, pričom tento je povolený za predpokladu, že neexistuje rovnocenná alternatíva pre vybranú IaaS službu alebo koncový IT produkt nie je kompatibilný s PaaS alebo SaaS cloudovú službou.
Stanovenie časového aspektu migrácie: Povolená časová alokácia pre migráciu je maximálne obdobie 3 kalendárnych mesiacov, v odôvodnených prípadoch môže MIRRI SR povoliť predĺženie doby migrácie na ďalšie 3 kalendárne mesiace.
Príloha č. 4 – Podmienky SLA pre cloudové služieb MS Azure
Podmienky SLA pre cloudové služby MS Azure sú dostupné vždy v aktualizovanej verzii na nasledovnom linku:
Licensing Documents (xxxxxxxxx.xxx)