SMLOUVA O POSKYTNUTÍ PLATFORMY PRO TVORBU KURZŮ




Veřejná zakázka Platforma pro tvorbu kurzů informační a kybernetické bezpečnosti

Příloha č. 4 Výzvy k podání nabídek – Závazné obchodní a smluvní podmínky


SMLOUVA O POSKYTNUTÍ PLATFORMY PRO TVORBU KURZŮ

uzavřená podle § 1746 odst. 2 a násl. zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „občanský zákoník“)



Kraj Vysočina

se sídlem: Žižkova 57, 587 33 Jihlava

IČO: 70890749

zastoupený: Mgr. Xxxxxxxxxxx Xxxxxxxx, MBA, hejtmanem kraje

k podpisu smlouvy pověřen: Xxx. Xxxxxxxx Xxxxxxx, 2. náměstek hejtmana

(dále jen „Objednatel“, popř. „zadavatel“)


a

[Obchodní firma, název nebo jméno a příjmení dodavatele]

se sídlem/místem podnikání: [_____]

IČO: [_____]

DIČ: [_____]

zapsaná v obchodním rejstříku vedeném [_____], sp. zn. [_____]

bankovní spojení: [_____]

číslo účtu: [_____]

zastoupená: [_____]

(dále jen „Poskytovatel“, popř. „dodavatel“)

uzavřeli níže uvedeného dne, měsíce a roku


tuto smlouvu:

Čl. I

Předmět a účel smlouvy

  1. Objednatel a Poskytovatel uzavírají tuto smlouvu ve veřejné zakázce malého rozsahu s názvem „Platforma pro tvorbu kurzů informační a kybernetické bezpečnosti (dále jen „veřejná zakázka“), v rámci kterého byla jako nejvýhodnější vybrána nabídka Poskytovatele (dále jen „nabídka“).

  2. Účelem této smlouvy je poskytnutí platformy, která bude sloužit pro tvorbu vzdělávacích kurzů v oblasti rozvoje povědomí o informační a kybernetické bezpečnosti koncových uživatelů ICT prostředků. Součástí platformy musí být školicí a vzdělávací materiály. Bližší specifikace služby je uvedena v příloze č. 1 této smlouvy.

  3. Předmětem této smlouvy je závazek Poskytovatele v rozsahu a za podmínek stanovených touto smlouvou pro Objednatele zpřístupnit platformu včetně školicích a vzdělávacích materiálů, které jsou blíže specifikované v příloze č. 1 této smlouvy a zadávací dokumentaci veřejné zakázky tak, aby byl naplněn cíl dle přílohy č. 1 této smlouvy (dále jen „platforma“). Závazkem Objednatele je řádně a včas dokončenou platformu převzít a zaplatit za ni Poskytovateli cenu stanovenou v čl. IV této smlouvy a za podmínek uvedených v této smlouvě.

Čl. II

Provádění služby

  1. Smluvní strany se dohodly, že platforma je poskytnuta formou služby, dle požadavků uvedených v příloze č. 1 této smlouvy Poskytovatelem, a to za podmínek uvedených v této smlouvě a její příloze č. 1.

  2. Poskytovatel je povinen provést veškeré smluvní činnosti, služby a výkony, kterých je potřeba k řádnému fungování platformy po celou dobu trvání této smlouvy, a to ve vysoké kvalitě s náležitou a odbornou péčí, a obstarat vše, co je k naplnění účelu této smlouvy potřeba. Platforma bude poskytnuta, tak, aby jejímu řádnému užití nebránila práva třetích osob.

  3. Smluvní strany se zavazují informovat se navzájem o všech skutečnostech, které mají, nebo by mohly mít vliv na plnění této smlouvy.

  4. Smluvní strany jsou povinny poskytovat si nezbytnou součinnost k plnění této smlouvy.

  5. Práva, povinnosti, závazky a pohledávky z této smlouvy Poskytovatel není oprávněn postoupit třetím osobám bez předchozího písemného souhlasu Objednatele.

  6. Veškeré listinné či elektronické dokumenty zpracované a používané Poskytovatelem v rámci plnění této smlouvy je Poskytovatel povinen opatřit prvky vizuální identity Operačního programu Zaměstnanost dle podmínek uvedených v kap. 19 Obecné části pravidel pro žadatele a příjemce, které jsou dostupné na xxxxx://xxx.xxxxx.xx/xxxxxxxx-xxx-xxxxxxxx-x-xxxxxxxx-xxx.

Čl. III

Doba plnění

  1. Poskytovatel je povinen platformu zpřístupnit Objednateli v termínech uvedených v příloze č. 1 této smlouvy. Úpravy termínů budou vždy dohodnuty a potvrzeny Objednatelem, bude-li to nezbytné pro naplnění účelu této smlouvy a cílů projektu.

Čl. IV

Cena

  1. Cena platformy byla stanovena dohodou smluvních stran dle nabídky Poskytovatele ve výběrovém řízení, a to ve výši [_____],- Kč bez DPH (slovy [_____] korun českých), konečná cena včetně DPH je [_____] Kč.

  2. Cena zahrnuje veškeré náklady Poskytovatele na plnění této smlouvy včetně nákladů na udržování kvality platformy dle článku IX. smlouvy.

  3. Cena díla je stanovena jako pevná a nejvýše přípustná a je možno ji překročit nebo snížit pouze za podmínek stanovených v této smlouvě.

  4. Úprava ceny je možná:

  • v souvislosti se změnou daňových předpisů týkajících se výše DPH, přičemž cenu je možné překročit či snížit nejvýše o částku odpovídající této změně.

  1. Úprava sjednané ceny v průběhu trvání této smlouvy včetně stanovení nové konečné ceny bude stanovena dohodou smluvních stran, a to formou písemného dodatku k této smlouvě.

Čl. V

Platební podmínky

    1. Cena díla bude uhrazena na základě faktury – daňového dokladu vystaveného Poskytovatelem takto:

    2. Třetina ceny za užívání kurzů – po 31. 12. 2021,

    3. Druhá třetina ceny kurzů – po 31. 7. 2022

    4. Třetí třetina ceny kurzů – po 28. 2. 2023.

    5. Faktura předložená Objednateli bude obsahovat cenu odpovídajícího plnění a bude mít splatnost 30 dnů ode dne jejího prokazatelného doručení Objednateli.

    6. Faktura musí obsahovat náležitosti daňového dokladu podle zákona č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů, a zákona č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů (dále jen „zákon o DPH“). Každá faktura musí být Poskytovatelem označena reg. číslem a názvem projektu: CZ.03.4.74/0.0/0.0/19_109/0016676 – Rozvoj integrovaného systému řízení kvality (CAF a ISO) v Kraji Vysočina.

    7. Fakturu, která neobsahuje uvedené náležitosti, nebo jsou-li uvedeny nesprávně či neúplně, je Objednatel oprávněn vrátit Poskytovateli. Při nezaplacení takto vystavené a doručené faktury není Objednatel v prodlení se zaplacením. Po doručení řádně vystavené faktury běží znovu sjednaná lhůta splatnosti.

    8. Úhrada za plnění z této smlouvy bude realizována bezhotovostním převodem na účet Poskytovatele, který je správcem daně (finančním úřadem) zveřejněn způsobem umožňujícím dálkový přístup ve smyslu ustanovení § 98 zákona o DPH.

    9. Pokud se po dobu účinnosti této smlouvy Poskytovatel stane nespolehlivým plátcem ve smyslu ustanovení § 106a zákona o DPH, smluvní strany se dohodly, že Objednatel uhradí DPH za zdanitelné plnění přímo příslušnému správci daně. Objednatelem takto provedená úhrada je považována za uhrazení příslušné části smluvní ceny rovnající se výši DPH fakturované Poskytovatelem.

    10. Objednatel tímto jako plátce daně z přidané hodnoty, který z titulu plnění této smlouvy o platformu bude od výše uvedeného Poskytovatele přijímat zdanitelná plnění, prohlašuje, že výše uvedená přijatá zdanitelná plnění použije výlučně při výkonu působností v oblasti veřejné správy. V souladu s ustanovením § 5 odst. 3 zákona č. 235/2004 Sb., o dani z přidané hodnoty, není Kraj Vysočina při přijímání výše uvedených zdanitelných plnění považován za osobu povinnou k dani, a proto tato zdanitelná plnění nebudou uskutečněna v režimu přenesení daňové povinnosti dle § 92a zákona o dani z přidané hodnoty. Daň z přidané hodnoty je tudíž povinen přiznat a zaplatit správci daně Poskytovatel jako plátce, který uskutečňuje zdanitelné plnění poskytnutí služby s místem plnění v tuzemsku.

    11. Poskytovatel nemá právo požadovat během provádění dílčího plnění přiměřenou část náhrady nákladů s přihlédnutím k vynaloženým nákladům.

Čl. VI

Kontaktní osoby

  1. Kontaktní osobou Poskytovatele je: [_____], e-mail: [_____], tel.: [_____].

  2. Kontaktní osobou Objednatele je: Xxx. Xxxx Xxxxxxxx, e-mail: xxxxxxxx.x@xx-xxxxxxxx.xx, tel.: 000 000 000.

Čl. VII

Předání přístupu k platformě

  1. Do 6ti týdnů od nabytí účinnosti smlouvy předá Poskytovatel Objednateli přístupy ke kurzům v kvalitě a rozsahu dle přílohy č. 1 této smlouvy.

  2. Při předání přístupů ke kurzům poskytne Poskytovatel Objednateli školení práce s platformou v rozsahu alespoň 8 hodin (2x4h), pro 4 účastníky, a to v prostorách Objednatele. Na přesném místě a termínu zaškolení se dohodnou kontaktní osoby uvedené v čl. VI této smlouvy.

  3. O předání přístupů a provedení proškolení sepíší smluvní strany protokol, k jehož podpisu jsou oprávněny kontaktní osoby uvedené v čl. VI této smlouvy. V protokolu bude uvedeno, zda platforma a přístupy k ní jsou v souladu s touto smlouvou.

Čl. VIII

Odpovědnost za škodu

Smluvní strany odpovídají za škodu způsobenou porušením povinností vyplývajících z této smlouvy nebo z obecně závazného právního předpisu.

Čl. IX

Udržování kvality platformy

  1. Poskytovatel poskytuje kurzy za podmínek stanovených touto smlouvou a zavazuje se školicí a vzdělávací materiály udržovat aktuální (tzn. v souladu s platnou legislativou, aktuální běžnou bezpečnostní praxi, aktuálními bezpečnostními trendy, tématy a jevy...)a použitelné k naplnění účelu této smlouvy po celou dobu jejího trvání.

  2. Pokud Objednatel zjistí, že školicí a vzdělávací materiály nejsou aktuální ve smyslu předchozího odstavce, nebo mají jinou vadu, Poskytovatel se zavazuje vadu odstranit neprodleně, nejpozději však do 10 dnů ode dne doručení písemného oznámení Objednatele nedostatcích kurzů.

Čl. X

Autorská práva a ochrana nehmotných statků

  1. Tento článek smlouvy se uplatní v případě, je-li součástí plnění nehmotný statek, jenž je předmětem úpravy zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů.

  2. Poskytovatel udílí touto smlouvou Objednateli licenci ke všem nehmotným statkům (autorskoprávním dílům) vzniklým v průběhu plnění smlouvy.

  3. V případě zhotovení části kurzů třetí osobou zajistí Poskytovatel pro Objednatele licenci ke všem nehmotným statkům (autorskoprávním dílům) takto vzniklým.

  4. Licence je poskytována jako nevýhradní, ke všem známým způsobům užití bez územního omezení, na dobu trvání majetkových práv k nehmotnému statku. Licence pro využívání platformy musí pokrývat použití kurzů 500 (pěti sty) uživateli minimálně do 28. 2. 2023. Licence nesmí být omezena počtem vytvářených kurzů ani vydávaných osvědčení pro absolventy kurzu.

  5. Objednatel není povinen uvedená práva využít. Objednatel je oprávněn poskytnout práva získaná touto smlouvou (udělovat podlicence) zcela nebo zčásti třetím osobám, a to i opakovaně. Oprávnění k výkonu těchto práv platí pro třetí osoby ve stejném rozsahu jako pro Objednatele.

  6. Objednatel je oprávněn kurzy dále zpracovávat a upravovat, spojit kurzy s jiným dílem, jakož i zařadit jej do díla souborného.

  7. Smluvní strany konstatují, že odměna za poskytnutí výše uvedených licencí je zahrnuta do výše ceny díla čl. IV této smlouvy.

Čl. XI

Bezpečnost informací

  1. Poskytovatel je povinen dodržovat platnou legislativu ČR i EU, která se týká bezpečnosti informací.

  2. Poskytovatel se zavazuje dodržovat požadavky a opatření pro zajištění bezpečnosti informací a informačních aktiv objednatele uvedené v příloze č. 2 této smlouvy.

  3. Poskytovatel je povinen zajistit plnění bezpečnostních opatření a požadavků stanovených touto smlouvou ve stejné míře u všech případných subdodavatelů či jiných osob, které mají přístup k informačním aktivům objednatele prostřednictvím Poskytovatele.

  4. Poskytovatel je povinen zachovávat mlčenlivost o všech skutečnostech a informacích, které mu byly v souvislosti s touto smlouvou nebo jejím plněním jakkoliv zpřístupněny, předány či sděleny, nebo o nichž se jakkoliv dozvěděl, vyjma těch, které jsou v okamžiku, kdy se s nimi poskytovatel seznámil, prokazatelně veřejně přístupné nebo těch, které se bez zavinění poskytovatele veřejně přístupnými stanou (dále jen „důvěrné informace“). Poskytovatel nesmí důvěrné informace použít v rozporu s jejich účelem, nesmí je použít ve prospěch svůj nebo třetích osob a nesmí je použít ani v neprospěch objednatele. Po ukončení trvání smlouvy jakýmkoliv způsobem je Poskytovatel povinen jakékoliv informace tohoto druhu, které bude mít k okamžiku ukončení této smlouvy k dispozici, zlikvidovat. Povinnosti dle tohoto odstavce je poskytovatel povinen zachovávat i po zániku této smlouvy, vyjma případů, kdy se důvěrné informace stanou prokazatelně veřejně přístupné bez zavinění poskytovatele. Povinnosti dle tohoto odstavce se nevztahují na případy, kdy je poskytovatel povinen zveřejnit důvěrnou informaci na základě povinnosti uložené poskytovateli právním předpisem nebo rozhodnutím orgánu veřejné moci.

Čl. XII

Smluvní pokuty, sankce

  1. Za nesplnění kterékoliv povinnosti obsažené v čl. XI Bezpečnosti informací, je objednatel oprávněn účtovat poskytovateli smluvní pokutu ve výši 100 000 Kč, a to za každé jednotlivé porušení povinností obsažených v tomto článku.

  2. Jestliže je Objednatel v prodlení s plněním povinnosti podle této smlouvy, je Poskytovatel oprávněn požadovat po Objednateli a Objednatel je povinen zaplatit smluvní pokutu ve výši 500,- Kč za každý, i započatý den prodlení.

  3. V případě, že je Poskytovatel v prodlení s plněním povinnosti podle této smlouvy, je Objednatel oprávněn požadovat po Poskytovateli a Poskytovatel je povinen zaplatit smluvní pokutu ve výši 1 000,- Kč za každý i započatý den prodlení.

  4. Výše smluvních pokut dle odst. 1 a 2 tohoto článku nepřevýší celkovou cenu bez DPH dle čl. IV odst. 1 této smlouvy.

  5. Smluvní pokuty dle tohoto článku jsou splatné do 15 kalendářních dnů od doručení písemné výzvy oprávněné smluvní strany povinné smluvní straně. Zaplacením smluvní pokuty nezaniká příslušný nárok oprávněné smluvní strany na splnění povinnosti povinné smluvní strany smluvní pokutou zajištěné. Smluvní pokuty se nezapočítávají na nárok na náhradu škody. Objednatel je oprávněn jednostranně započíst pohledávku na zaplacení jakékoli smluvní pokuty dle této Smlouvy na jakoukoli pohledávku Poskytovatele vůči Objednateli dle této Smlouvy.

  6. Zaplacení smluvní pokuty nemá vliv na právo smluvních stran domáhat se náhrady škody vzniklé porušením smluvní povinnosti nebo povinnosti vyplývající z obecně závazného právního předpisu. V případě, že Poskytovatel poruší tuto smlouvou způsobem majícím vliv na výši dotace uhrazené poskytovatelem dotace Objednateli, je Poskytovatel odpovědný za takto vzniklou škodu.

  7. Škoda způsobená Objednateli poddodavatelem Poskytovatele se považuje za škodu způsobenou přímo Poskytovatelem.

  8. Smluvní strany se zavazují k vyvinutí maximálního úsilí k předcházení škodám a k minimalizaci vzniklých škod.

  9. Poskytovatel se nedostává do prodlení v případě prodlení Objednatele s poskytnutím nutné součinnosti Poskytovateli.

Čl. XIII

Platnost, změna a zánik smlouvy

  1. Tato smlouva nabývá platnosti dnem podpisu a účinnosti dnem zveřejnění v informačním systému veřejné správy – Registru smluv a uzavírá se do doby vypořádání všech závazků z této smlouvy.

  2. Platnost smlouvy lze ukončit písemnou dohodou podepsanou oprávněnými zástupci obou smluvních stran.

  3. Objednatel má právo od této smlouvy odstoupit v případě, že:

  • Poskytovatel je v prodlení se zpřístupněním platformy delším než 30 dní.

  • Poskytovatel vstoupí do likvidace nebo bude na jeho majetek prohlášen soudem konkurz nebo bude zamítnut návrh na vyhlášení konkurzu pro nedostatek majetku nebo zanikne bez likvidace a/nebo bude soudem prohlášen úpadek Poskytovatele a/nebo Poskytovatel vstoupí do insolvence.

  1. Kterákoliv smluvní strana má právo odstoupit od této smlouvy i z kteréhokoliv zákonného důvodu.

  2. Odstoupení je účinné doručením písemného oznámení o odstoupení druhé smluvní straně.

  3. Obsah smlouvy může být měněn jen dohodou smluvních stran, a to vždy jen vzestupně číslovanými písemnými dodatky podepsanými oprávněnými osobami smluvních stran.

Čl. XIV

Vyšší moc

  1. Smluvní strany nejsou odpovědné za částečné nebo úplné nesplnění smluvních závazků způsobené vyšší mocí. Za vyšší moc se považují překážky vzniklé po uzavření smlouvy, které jsou mimořádné, nepředvídatelné a nepřekonatelné, vzniklé nezávisle na vůli smluvních stran, a které mají přímý vliv na plnění předmětu smlouvy.

  2. Vyskytne-li se působení vyšší moci, zakládají tyto okolnosti na straně Poskytovatele právo požadovat přiměřené prodloužení sjednané doby či lhůty plnění o dobu trvání překážky plnění a povinnost Objednatele takovou změnu doby či lhůty plnění akceptovat. V takovém případě je však Poskytovatel o této skutečnosti a okolnostech bránících mu v realizaci plnění ze smlouvy Objednatele bez zbytečného odkladu informovat. Pokud by tak Poskytovatel neučinil, nemůže se na působení vyšší moci odvolávat. V případě, že takové prodloužení nelze po objednateli spravedlivě požadovat, má poskytovatel právo od smlouvy odstoupit, nepřísluší mu však nárok na sankční plnění, které by mu jinak náleželo, či náležet mohlo. To platí pouze v případě, že se nejedná o zjevné zneužití práva poskytovatele.

  3. Smluvní strany prohlašují, že jsou si vědomy, že tuto smlouvu uzavírají v době trvání hrozby karantény, epidemie či pandemie onemocnění COVID-19 a s tím spojených možných účinných opatření orgánů veřejné moci přijatých za účelem omezení šíření tzv. koronavirové epidemie. Jestliže z důvodů zapříčiněných těmito opatřeními nebude možné plnění poskytnout v dohodnuté lhůtě, zakládají tyto okolnosti právo smluvních stran postupovat podle odst. 2 tohoto článku smlouvy.

Čl. XV

Závěrečná ustanovení

  1. Výběr Poskytovatele byl proveden v souladu s pravidly poskytovatele dotace a Pravidly Rady Kraje Vysočina pro zadávání veřejných zakázek ze dne 29.6.2021.

  2. Poskytovatel prohlašuje, že se před uzavřením smlouvy nedopustil v souvislosti s výběrovým řízením veřejné zakázky sám nebo prostřednictvím jiné osoby žádného jednání, jež by odporovalo zákonu nebo dobrým mravům nebo by zákon obcházelo, zejména že nenabízel žádné výhody osobám podílejícím se na zadání veřejné zakázky, na kterou s ním Objednatel uzavřel tuto smlouvu, a že se zejména ve vztahu k ostatním dodavatelům nedopustil žádného jednání narušujícího hospodářskou soutěž.

  3. Vzhledem k veřejnoprávnímu charakteru Objednatele Poskytovatel výslovně prohlašuje, že je s touto skutečností obeznámen a souhlasí se zveřejněním smluvních podmínek obsažených v této smlouvě v rozsahu a za podmínek vyplývajících z příslušných právních předpisů, zejména zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů.

  4. Vzhledem k tomu, že Objednatel hodlá předmět plnění financovat částečně dotací ze strukturálních fondů Evropské unie prostřednictvím Operačního programu zaměstnanost v rámci projektu reg. č. CZ.03.4.74/0.0/0.0/19_109/0016676 – Rozvoj integrovaného systému řízení kvality (CAF a ISO) v Kraji Vysočina je Poskytovatel povinen uchovávat veškeré doklady související s realizací předmětu této smlouvy po dobu 10 let od skončení financování projektu, přičemž tato lhůta začíná běžet 1. ledna následujícího kalendářního roku. Poskytovatel je dále povinen v této lhůtě poskytovat požadované informace a dokumentaci související s plněním této smlouvy zaměstnancům nebo zmocněncům pověřených orgánů (MPSV ČR, MF ČR, Evropské komise, Evropského účetního dvora, Nejvyššího kontrolního úřadu, příslušného orgánu finanční správy a dalších oprávněných orgánů státní správy) a je povinen vytvořit výše uvedeným osobám podmínky k provedení kontroly vztahující se k realizaci projektu a poskytnout jim při provádění kontroly součinnost.

  5. Není-li v této smlouvě výslovně uvedeno jinak, právní vztahy smluvních stran touto smlouvou blíže neupravené se řídí příslušnými ustanoveními občanského zákoníku, jakož i dalšími obecně závaznými právními předpisy ČR.

  6. Poskytovatel výslovně souhlasí se zveřejněním celého textu této smlouvy včetně podpisů v informačním systému veřejné správy - Registru smluv.

  7. Smluvní strany se dohodly, že zákonnou povinnost dle § 5 odst. 2 zákona č. 340/2015 Sb.,
    o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv), splní Objednatel a splnění této povinnosti doloží Poskytovateli. Smluvní strany současně berou na vědomí, že v případě nesplnění zákonné povinnosti je smlouva do tří měsíců od jejího podpisu bez dalšího zrušena od samého počátku.

  8. Tato smlouva nabývá platnosti dnem podpisu obou smluvních stran a účinnosti okamžikem uveřejnění v Registru smluv. Datum podpisu této smlouvy se určuje z data připojených elektronických podpisů.

  9. Tato smlouva se vyhotovuje elektronicky, přičemž každá smluvní strana obdrží originální vyhotovení smlouvy podepsané kvalifikovanými či zaručenými elektronickými podpisy osob oprávněných za ně jednat, založenými na kvalifikovaném certifikátu pro elektronický podpis dle zák. č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, ve znění pozdějších předpisů.

  10. Nedílnou součástí této smlouvy je příloha č. 1 obsahující požadavky Objednatele na předmět plnění veřejné zakázky a další podmínky plnění a příloha č. 2 – bezpečnostní požadavky Objednatele.

  11. Smluvní strany této smlouvy prohlašují a stvrzují svými podpisy, že jsou plně svéprávné, a že tuto smlouvu uzavírají svobodně a vážně, že ji neuzavírají v tísni za nápadně nevýhodných podmínek, že si ji řádně přečetly a jsou srozuměny s jejím obsahem.



[_____] dne [_____] V Jihlavě








______________________ _______________________

za Poskytovatele za Objednatele

[_____] Xxx. Xxxxxxxx Xxxxxxx

2. náměstek hejtmana


Příloha č. 1 – Předmět plnění (vyplněná příloha č. 1 výzvy z nabídky Poskytovatele)


Příloha č. 2 - Bezpečnostní požadavky


  • Bezpečnost přístupových oprávnění

    • Poskytovatel je povinen chránit veškeré přístupové údaje k informačním aktivům objednatele včetně přístupů k informačním aktivům Poskytovatele, které umožňují přístup k informačním aktivům objednatele či umožnují jejich správu.

    • Poskytovatel je povinen dodržovat tuto bezpečnostní politiku hesel pro výše uvedené přístupové údaje:

      • min. délka hesla 17 znaků

      • složitost hesla musí splňovat minimálně 3 ze 4 kategorií

        • malá písmena

        • velká písmena

        • číslice

        • speciální znaky

      • hesla musí být uchovávána v tajnosti, nesmí být ukládána v nezašifrované podobě (dle bodu kryptografie)

      • hesla nesmí obsahovat žádné informace z přihlašovacího jména (login)

      • platnost hesla musí být maximálně 1,5 roku.

    • Poskytovatel je povinen používat personifikované účty, které jsou nepřenosné na jiné osoby, než kterým byly údaje přiděleny.

    • Přístupová oprávnění lze využívat pouze pro ten účel, pro který byla zřízena.

    • Pokud by Poskytovatel zřizoval přístupová oprávnění třetí straně, je Poskytovatel povinen o této skutečnosti informovat objednatele. Objednatel má v tomto případě právo zřízení přístupu zamítnout.

  • Řízení změn

    • Poskytovatel se zavazuje zaznamenávat všechny změny, které v informačním aktivu provedl.

    • Poskytovatel se zavazuje vynucovat zaznamenávání změn i u případných subposkytovatelů.

    • Záznam změny musí obsahovat minimálně tyto informace:

      • Datum a čas změny

      • Xxxxx osoby, která změnu provedla

      • Název, popis a účel změny

    • Objednatel si vyhrazuje právo na pravidelné informace o záznamech všech změn provedených Poskytovatelem i případnými subdodavateli/subposkytovateli.

    • Poskytovatel se zavazuje všechny jím provedené změny i změny případných subdodavatelů poskytnout objednateli formou pravidelného čtvrtletního reportu.

  • Řízení kybernetických bezpečnostních incidentů:

    • Poskytovatel je povinen objednateli hlásit veškeré kybernetické bezpečnostní incidenty, které by mohli mít nějakou souvislost s:

      • informačními aktivy objednatele,

      • přístupovými údaji k informačním aktivům objednatele,

      • informacím objednatele.

    • Poskytovatel je dále povinen poskytnout adekvátní součinnost při řešení kybernetických bezpečnostních incidentů a při forenzní analýze incidentů souvisejících s informačními aktivy Kraje Vysočina.


  • Kryptografie:


Obecně

Pro šifrování, elektronické podepisování a provádění otisků dat (hashování) nesmí být použity proprietární/uzavřené algoritmy, ale ty, které jsou považovány za standardy, jejich funkcionalita je všeobecně známá a popsaná.


Hashovací funkce

Ukládání otisků hesel

  • pro ukládání hesel uživatelů mohou být použity pouze tyto tzv. pomalé hashovací funkce:

    • Argon2i

    • bcrypt

    • scrypt

    • PBKDF2

  • při hashování hesla musí být použit pseudonáhodně vygenerovaný kryptografický salt

  • pro ukládání hesel nesmí být použity tzv. rychlé hashovací funkce typu MD-X, SHA-X, apod.


Asymetrická kryptografie

SSL/TLS

  • verze protokolu minimálně TLSv1.2 a vyšší

  • konfigurace

    • cipher suite musí být vybrána na základě serverem preferovaného pořadí

    • vyšší priority musí mít cipher suites, které obsahují varianty asymetrických algoritmů s eliptickými křivkami, např.:

      • ECDHE musí mít vyšší prioritu než DHE

      • ECDSA musí mít vyšší prioritu než DSA

    • všechny EXPORT cipher suites musí být zakázány

    • algoritmy a funkce pro výměnu klíčů

      • algoritmus pro výměnu klíčů musí podporovat Perfect forward secrecy

        • tzn., že šifrovací klíč je vyměněn mezi klientem a serverem tak, aby jej nebylo možné získat se znalostí privátního klíče serveru, např. musí být použit Diffie-Hellman (DH nebo ECDH) algoritmus

        • a navíc se musí jednat o tzv. ephemeral Diffie-Xxxxxxx (DHE, ECDHE), tzn., že pro každou session je generován nový set Diffie-Hellman klíčů

      • délky klíčů:

        • pro Diffie-Hellman (DH) - 2048 bitů a více (postupně přecházet na 3072 bitů, tam kde to bude možné)

        • pro Elliptic Curve Diffie-Hellman (ECDH) – 256 bitů a více

      • nesmí být použita anonymní výměna klíčů

    • algoritmy a funkce pro autentizaci

      • minimální délky klíčů:

        • RSA - 2048 bitů (postupně přecházet na 3072 bitů, tam kde to bude možné)

        • ECDSA - 256 bitů

    • algoritmy a funkce pro symetrické šifrování

      • nesmí být použita hodnota NULL v cipher suites

      • nesmí být použity tyto šifry:

        • DES, 3DES, RC4

      • minimální délka šifrovacího klíče - 128 bitů

      • cipher suites s šiframi s větší délkou klíče musí mít větší prioritu v seznamu ciphersuites než s menší délkou klíče

    • MAC (Message Authentication Code)

      • použití SHA funkce s minimální délkou hashe 256 bitů

      • vyšší délky otisků musí mít vyšší prioritu v cipher suites


TLS cipher suites

  • Doporučené cipher suites (v doporučeném pořadí), které naplňují výše zmíněné požadavky

  • TLS1.3:

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS_AES_128_GCM_SHA256

TLS_AES_128_CCM_SHA256


  • TLS1.2:

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

Document Metadata

Filed: March 19th, 2023