RÁMCOVÁ DOHODA
RÁMCOVÁ DOHODA
Dodávka, implementace a technická podpora NG Firewallů
Ev. č. ŘPVS: 3000421
Číslo smlouvy objednatele: PPR-17787-13/ČJ-2021-990656
Smluvní strany:
Česká republika – Ministerstvo vnitra
Sídlo: Nad Xxxxxx 000/0, XXX 000 00, Xxxxx
IČO: 00007064
DIČ: CZ00007064
Zastoupená: plk. Mgr. Xxxxxx Xxxxxxxx, ředitelem Ředitelství pro podporu
výkonu služby Policejního prezidia České republiky
Korespondenční adresa: Policejní prezidium ČR, Ředitelství pro podporu výkonu služby,
xxxxxxxx xxxxxxxx 00/ XXXX, 000 00 Xxxxx 0
(dále jen „Objednatel“)
a
TAKTIK, s.r.o.
Sídlo: Xxxxxxxx 1472/9, 155 00, Praha 5
IČO: 285 22 869
DIČ: CZ28522869
Zastoupená: jednatelem
Bankovní spojení: 115-2635940257/0100
Korespondenční adresa: Kubrův dvůr, Xxxxxxxxxxxxx 0000/00, 000 00, Xxxxx 0
Obchodní společnost zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, pod sp. zn C 147789.
(dále jen „Dodavatel“)
(společně dále také jen „Smluvní strany“, nebo jednotlivě „Smluvní strana“)
uzavřely v souladu s ustanoveními zákona č. 89/2012 Sb., občanský zákoník, (dále jen „občanský zákoník“) a zákona č. 134/2016 Sb., o zadávání veřejných zakázek (dále jen „ZZVZ)), a příslušných ustanovení zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících
s právem autorským a o změně některých zákonů (dále jen „autorský zákon“) tuto
Rámcovou dohodu
Dodávka, implementace a technická podpora NG Firewallů (dále jen „Dohoda“)
PREAMBULE
1. Tato Dohoda je uzavřena na základě výsledků zadávacího řízení, které bylo uskutečněno dle ust. zákona č. 134/2016 Sb., o zadávání veřejných zakázek k veřejné zakázce s názvem
„Pořízení, implementace a technická podpora NG Firewallů - rámcová dohoda“ č.j.: PPR-17787/ČJ-2021-990656 (dále též „Veřejná zakázka“).
2. Dílčí veřejné zakázky budou zadávány postupem dle ustanovení § 132 ZZVZ, na základě něhož budou s Dodavatelem uzavřeny jednotlivé Prováděcí smlouvy. Tato Rámcová dohoda vymezuje obecné obchodní podmínky v budoucnu uzavřených Prováděcích smluv. Tato Xxxxxxx dohoda se uzavírá s jedním Dodavatelem.
1. PŘEDMĚT DOHODY
1.1. Dodavatel se zavazuje poskytnout Objednateli plnění specifikované touto Dohodou a jejími přílohami, dle podmínek a v rozsahu stanoveném touto Dohodou. Dodavatel na základě této Dohody dodá zejména následující plnění:
I. Plnění A – Dodávka a implementace 4 ks NG FW a 1ks SW pro správu FW včetně jednoleté podpory (dále také jen „Plnění A“)
II. Plnění B - Technická podpora (dále také jen „Plnění B“),
III. Plnění C - Konfigurační a konzultační práce v rozsahu max. 150 MD (dále také jen
„Plnění C“)
(souhrnně dále též „Předmět plnění“).
1.2. Podrobná specifikace Předmětu plnění je uvedena v Příloze č. 1.
1.3. Objednatel se za řádně poskytnuté plnění zavazuje Dodavateli zaplatit cenu sjednanou v této Dohodě a podrobně specifikovanou v Příloze č. 2 této Dohody.
2. POSTUP PŘI UZAVÍRÁNÍ PROVÁDĚCÍCH SMLUV
2.1. Na základě této Rámcové dohody budou zadány dílčí veřejné zakázky, výsledkem kterých bude uzavření Prováděcí smlouvy, postupem stanoveným touto Dohodou, a to, následujícím postupem:
Objednatel písemné vyzve Dodavatele k podání nabídky. Výzva k podání nabídky musí obsahovat alespoň tyto náležitosti:
a) identifikační údaje Objednatele;
b) podrobnou specifikaci požadovaného plnění;
c) místo a dobu požadovaného plnění;
d) podpis a označení osoby oprávněné podat výzvu;
e) číslo výzvy;
f) lhůtu, způsob a místo pro podání nabídek.
2.2. Dodavatel je povinen na základě výzvy k podání nabídky doručit Objednateli ve lhůtě stanovené ve výzvě svou nabídku. Minimální lhůta pro doručení nabídky je 5 dní od doručení výzvy Dodavateli. Nabídka Dodavatele bude obsahovat vyplněný návrh Prováděcí smlouvy, jejíž vzor je uveden v Příloze č. 3 této Dohody.
2.3. Nabídka Xxxxxxxxxx nesmí být v rozporu s touto Rámcovou dohodou. Dodavatel není oprávněn navrhnout ve své nabídce smluvní podmínky, které budou pro Objednatele méně výhodné v porovnání s jeho nabídkou v Zadávacím řízení a touto Dohodou.
3. CENA ZA PLNĚNÍ
3.1. Objednatel má povinnost zaplatit Dodavateli za řádně poskytnuté plnění sjednanou cenu.
3.2. Podrobné určení ceny pro Plnění A, B, C včetně rozpisu cen jednotlivých položek každého plnění, je uvedeno v Příloze č. 2 této Dohody.
3.3. Celková cena plnění dle Prováděcích smluv uzavřených dle této Dohody (tj. součet smluvních cen uzavřených prováděcích smluv) nesmí přesáhnout 40 866 000 Kč bez DPH (čtyřicetmiliónůosmsetšedesátšesttisíc korun českých), tj. 49 447 860 Kč s DPH (čtyřicetdevětmiliónůčtyřistačtyřicetsedmtisícosmsetšedesát korun českých).
3.4. Smluvní strany se dohodly, že cena za plnění dle konkrétní Prováděcí smlouvy je cenou konečnou, nejvýše přípustnou, nepřekročitelnou. Pokud není Rámcovou dohodou stanoveno jinak, sjednaná cena zahrnuje veškeré náklady, které Dodavateli v souvislosti s řádným poskytováním dohodnutého plnění vzniknou, vč. veškerých licenčních poplatků, nákladů na dopravu, cel, nákladů na balení, doručení apod., a jsou v nich zohledněna rizika, bonusy, slevy a další vlivy ve vztahu k celkové době plnění dle této Dohody.
3.5. Cena plnění bude upravena o případnou zákonnou procentní změnu DPH, a to ode dne účinnosti změny.
3.6. Veškeré ceny dohodnuté v této Dohody a Prováděcích smlouvách jsou ceny v korunách českých.
4. PLATEBNÍ PODMÍNKY
4.1. Dodavatel je povinen vystavit platební doklad tzv. fakturu do 10 dnů ode dne podpisu příslušného závěrečného akceptačního protokolu oběma Smluvními stranami, v příslušné Prováděcí smlouvě může být upraveno, že Dodavatel je oprávněn vystavit fakturu i za dílčí plnění, a to v případě Plnění B a Plnění C, kdy je Dodavatel oprávněn vystavit fakturu za poskytnuté dílčí plnění, a to vždy za uplynulé kalendářní čtvrtletí, na základě dílčího akceptačního protokolu. V případě Plnění B a Plnění C je datem uskutečnění zdanitelného plnění poslední kalendářní den příslušného kalendářního čtvrtletí, to neplatí v posledním čtvrtletí, ve kterém je poskytováno plnění dle Dohody, když datem uskutečnění zdanitelného plnění je poslední den poskytnutého plnění v daném čtvrtletí.
4.2. Splatnost faktury je 30 dnů od data jejího prokazatelného doručení Objednateli na adresu uvedenou v Dohodě, s výjimkou případu, kdy faktura doručená v termínu od 1. 12. daného roku do 31. 1. následujícího roku je splatná ve lhůtě 60 dnů od data jejího prokazatelného doručení Objednateli.
4.3. Faktura musí obsahovat číslo této Dohody a náležitosti řádného daňového dokladu podle příslušných právních předpisů, zejména pak zákona o dani z přidané hodnoty v platném znění a náležitosti obchodní listiny dle občanského zákoníku. V případě, že faktura nebude mít odpovídající náležitosti nebo nebude vystaven v souladu s touto Dohodou, je Objednatel oprávněn zaslat jej zpět k doplnění Dodavateli, aniž se dostane do prodlení se splatností, lhůta splatnosti počíná běžet znovu od opětovného doručení náležitě doplněné či opravené faktury Objednateli.
4.4. Adresa Objednatele pro doručení daňového dokladu je:
Policejní prezidium ČR, Ředitelství pro podporu výkonu služby, Strojnická 27, poštovní schránka 62/ŘPVS, 170 89 Praha 7
4.5. Fakturovaná částka se považuje za uhrazenou okamžikem odepsání příslušné finanční částky z bankovního účtu Objednatele uvedeného ve smlouvě v prospěch bankovního účtu Dodavatele uvedeného v smlouvě.
4.6. Přílohou faktury za poskytnuté plnění je 1x originál a 1x kopie akceptačního protokolu podepsaný pověřenými zástupci obou Smluvních stran, jinak Objednatel nebude fakturu Dodavatele akceptovat. Akceptační protokol obsahuje přehled poskytnutého plnění, tak aby bylo možné poskytnuté plnění jednoznačně identifikovat.
4.7. Akceptační protokol musí obsahovat alespoň:
- označení čísla Dohody a Prováděcí smlouvy;
- předmět poskytnutého plnění včetně výrobních čísel;
- datum převzetí, resp. akceptace;
- identifikace osob pověřených akceptační protokol za Smluvní strany podepsat;
4.8. Objednatel neposkytuje Dodavateli finanční zálohy na předmět plnění.
5. DOBA, MÍSTO A PODMÍNKY PLNĚNÍ DODÁVEK
5.1. Místem plnění dle této Dohody jsou lokality Objednatele umístněné v Praze, které budou
Dodavateli specifikovány v konkrétní Prováděcí smlouvě.
5.2. Řádně a včas dodaný Předmět plnění dle odst. 1.1. Dohody, je předán okamžikem akceptace tj. podpisem závěrečného akceptačního protokolu oběma Smluvními stranami, resp. dílčím akceptačním protokolem, pokud to příslušná Prováděcí smlouva stanoví. Podpisu akceptačního protokolu může předcházet akceptační řízení, tak jak je definováno v přílohách Dohody.
5.3. Dodavatel je povinen při předání předmětu plnění Objednateli předat veškerou dokumentaci související s předmětem plnění, a to zejména technickou dokumentaci, včetně detailního popisu dodaného řešení a popisu adaptérů pro komunikaci, návody na obsluhu a údržbu, záruční listy, uživatelský manuál, a to v českém jazyce.
5.4. Termín plnění:
- Plnění A Dodavatel dodá do 16 týdnů od účinnosti příslušné Prováděcí smlouvy.
Technická podpora bude zahájena od závěrečné akceptace, a to na období 1 roku.
- Plnění B a Plnění C mohou být čerpána po dobu účinnosti Dohody, Objednatel však není povinen tato plnění čerpat.
- Dodavatel zahájí Plnění B od data účinnosti příslušné Prováděcí smlouvy, na období 1 roku.
- Plnění C Dodavatel zahájí do 5 pracovních dní od objednání, nebude-li Smluvními stranami dohodnuto jinak.
6. ZÁRUČNÍ PODMÍNKY A ODPOVĚDNOST ZA VADY
6.1. Dodavatel zaručuje a odpovídá za to, že předané plnění:
a) odpovídá sjednané specifikaci;
b) je bez faktických vad;
c) je bez právních vad.
6.2. Dodavatel poskytuje Objednateli záruku na předmět plnění na dobu a za podmínek, tak jak specifikováno v příloze č. 1 s tím, že na dodané prvky má Dodavatel povinnost zajistit dostupnost náhradních dílů minimálně 7 let od dodání, na poskytnuté služby záruku 6 měsíců. Zárukou přejímá Dodavatel závazek, že dodané plnění bude po tuto dobu způsobilé pro použití ke smluvenému, jinak k obvyklému účelu, a že si zachová smluvené, jinak obvyklé vlastnosti. Objednatel je povinen záruční vady oznámit Dodavateli neprodleně od jejich zjištění. Záruční doba neběží po dobu, po kterou trvá vada, za kterou odpovídá Dodavatel, a to od doby oznámení vady Objednatelem až do jejího úplného odstranění Dodavatelem. Dodavatel je povinen odstranit vadu dle podmínek specifikovaných v jednotlivých Prováděcích smlouvách.
Záruka na HW na prvních 12 měsíců je součástí Plnění A, záruka na další období je součástí plnění B.
6.3. Dodavatel odpovídá za to, že plněním této Dohody nebude zasaženo do práv třetích osob, a to včetně práv k předmětům duševního vlastnictví.
6.4. Záruka za plnění se nevztahuje na případy a situace, které potenciálně nastanou v důsledku legislativních nebo provozně-technických změn nezávislých na vůli Smluvních stran oproti podmínkám sjednaným touto Dohodou.
6.5. Dodavatel neodpovídá za vady plnění způsobené vyšší mocí, neoprávněným zásahem či opomenutím Objednatele nebo třetí osoby na straně Objednatele v rozporu s dokumentací, písemně prokazatelně předanými doporučeními výrobce nebo Dodavatele.
6.6. Plnění má vady, jestliže nebylo dodáno v souladu s touto Dohodou. Za vady se považují i
vady v návodech k použití, dokladech a dokumentech.
6.7. Objednatel uplatní požadavek na odstranění vady na helpdesk Dodavatele, pokud se
Smluvní strany nedomluví jinak.
6.8. Uplatněním nároku z odpovědnosti za vady není dotčen nárok Objednatele na náhradu újmy.
6.9. Veškeré činnosti související s odstraněním vady činí Dodavatel sám na své náklady (včetně nákladů na dopravu) v součinnosti s Objednatelem tak, aby svými činnostmi neohrozil nebo neomezil činnost Objednatele.
6.10. V případě opravy zařízení, které obsahuje paměťové médium, které bylo součástí předmětu plnění, tak jednotlivá paměťová média zůstávají po dobu opravy zařízení ve vlastnictví a v držbě Objednatele. V případě závady na paměťovém médiu se Dodavatel zavazuje nahradit nefunkční zařízení novým paměťovým médiem s tím, že vadné paměťové médium zůstává ve vlastnictví a v držbě Objednatele.
7. SANKCE
7.1. V případě prodlení Dodavatele s poskytnutím plnění dle této Dohody vzniká Objednateli nárok na smluvní pokutu ve výši 0,15 % z celkové ceny nedodaného plnění s DPH dle příslušné Prováděcí smlouvy, a to za každý den prodlení, pokud není v Příloze č. 1 uvedeno jinak.
7.2. V případě prodlení Objednatele s úhradou řádně vystavených a doručených faktur, je Dodavatel oprávněn požadovat zákonný úrok z prodlení.
7.3. Smluvní strany se dohodly, že závazek zaplatit smluvní pokutu nevylučuje právo na náhradu újmy, a to v rozsahu, který přesahuje částku smluvní pokuty. Dodavatel odpovídá za způsobenou újmu maximálně do výše 50 000 000 Kč (padesát milionů korun českých).
Není-li stanoveno jinak, zaplacení jakékoliv sjednané smluvní pokuty nebo slevy z ceny nezbavuje povinnou Smluvní stranu povinnosti splnit své závazky.
7.4. Úrok z prodlení a Smluvní pokuta je splatná ve lhůtě 30 dnů od dne doručení písemné výzvy oprávněné Smluvní strany k její úhradě povinnou Smluvní stranou, není-li ve výzvě uvedena lhůta delší.
8. PODDODAVATELÉ
8.1. Poskytovatel je oprávněn poskytovat plnění dle této Dohody prostřednictvím poddodavatele pouze v rozsahu, v jakém si toto právo vyhradil v rámci podání nabídky v zadávacím řízení na Veřejnou zakázku, a pouze prostřednictvím tam uvedených poddodavatelů. Ve všech ostatních případech je Dodavatel oprávněn poskytovat plnění prostřednictvím poddodavatele pouze s předchozím písemným souhlasem Objednatele.
8.2. Za plnění poddodavatelů Dodavatel odpovídá jako za své plnění, včetně odpovědnosti za důsledky vzniklé.
9. MLČENLIVOST A DŮVĚRNÉ INFORMACE
9.1. Smluvní strany se zavazují, že nezpřístupní třetí osobě důvěrné informace, okolnosti a údaje, které se dozvěděly nebo získaly v souvislosti s realizaci předmětu plnění této Dohody, ani je neposkytnou jiným osobám bez předchozího výslovného souhlasu druhé Smluvní strany.
9.2. Za důvěrnou informaci se rovněž považuje obchodní tajemství ve smyslu občanského zákoníku.
9.3. Informace poskytnuté Dodavatelem Objednateli v souvislosti s realizaci předmětu plnění této Dohody se považují za důvěrné, pouze pokud na jejich důvěrnost Dodavatel Objednatele předem písemně upozornil a Objednatel Dodavateli písemně potvrdil svůj závazek zachovávat důvěrnost těchto informací. Pokud jsou důvěrné informace Dodavatele poskytovány v písemné podobě anebo ve formě textových souborů na elektronických nosičích dat (médiích), je Dodavatel povinen upozornit Objednatele na důvěrnost takového materiálu též jejím vyznačením alespoň na titulní stránce nebo přední straně média.
9.4. Smluvní strany se v této souvislosti zavazují poučit veškeré osoby, které se na jejich straně budou podílet na plnění této Dohody, o výše uvedených povinnostech mlčenlivosti a ochrany důvěrných informací a dále se zavazují vhodným způsobem zajistit dodržování těchto povinností všemi osobami podílejícími se na plnění této Dohody.
9.5. Za důvěrné informace Objednatele se dále bezpodmínečně považují veškerá data, která obsahuje systém Objednatele, která do něj mají být, byla nebo budou Dodavatelem, Objednatelem či třetími osobami vložena i data, která z něj byla získána. Bez ohledu na ostatní ustanovení této Dohody jsou za důvěrné informace Objednatele považovány též zdrojové kódy systému Objednatele, jejichž poskytnutí třetí osobě by mohlo ohrozit bezpečnost dat Objednatele v tomto systému.
9.6. Bez ohledu na výše uvedená ustanovení se za důvěrné nepovažují informace, které:
a) se staly veřejně známými, aniž by jejich zveřejněním došlo k porušení závazků
Smluvní strany či právních předpisů;
b) měla přijímající Smluvní strana prokazatelně legálně k dispozici před uzavřením této Dohody, pokud takové informace nebyly předmětem jiné, dříve mezi Smluvními stranami uzavřené smlouvy o ochraně informací;
c) jsou výsledkem postupu, při kterém k nim přijímající Smluvní strana dospěje nezávisle a je to schopna doložit svými záznamy nebo důvěrnými informacemi třetí strany;
d) po podpisu této Dohody poskytne přijímající Smluvní straně třetí osoba, jež není
omezena v takovém nakládání s informacemi.
9.7. Právo užívat, poskytovat a zpřístupnit důvěrné informace mají Smluvní strany pouze v rozsahu a za podmínek nezbytných pro řádné plnění práv a povinností vyplývajících z této Dohody.
9.8. Ujednání této Dohody upravující ochranu důvěrných informací se nevztahují na skutečnosti, které je nutno zveřejnit, poskytnout nebo sdělit dle platných právních předpisů včetně práva EU nebo závazného rozhodnutí oprávněného orgánu. Dodavatel výslovně souhlasí se zveřejněním celého textu Dohody, včetně všech Příloh.
9.9. Ukončení účinnosti této Dohody z jakéhokoliv důvodu se nedotkne ustanovení tohoto článku Dohody a účinnost včetně ustanovení o sankcích přetrvá bez omezení i po ukončení účinnosti této Dohody.
9.10. V případě porušení povinností dle tohoto článku č. 9 Dohody je Xxxxxxxxx povinen
zaplatit Objednateli smluvní pokutu ve výši 500 000,- Kč za každé porušení.
10. ÚČINNOST DOHODY A ODSTOUPENÍ
10.1. Rámcová dohoda se uzavírá na dobu určitou, a to na pět (5) let od účinnosti Dohody, nebo do vyčerpání celkové ceny plnění ve výši 40 866 000 Kč bez DPH (tj. součet jednotlivých smluvních cen dle uzavřených Prováděcích smluv) dle toho, která skutečnost nastane dříve. Skončení účinnosti této Dohody nemá vliv na účinnosti jednotlivých, již uzavřených Prováděcích smluv.
10.2. Ukončením účinnosti této Dohody nejsou dotčena ustanovení Dohody týkající se převodu vlastnického práva a užívacích práv, nároků z odpovědnosti za vady, nároků z odpovědnosti za újmu a nároků ze smluvních pokut, ustanovení o ochraně informací, ani další ustanovení a nároky, z jejichž povahy vyplývá, že mají trvat i po zániku účinnosti této Dohody.
10.3. Rámcovou dohodu resp. Prováděcí smlouvu lze dále ukončit následujícími způsoby:
a) písemnou dohodou Smluvních stran, jejíž součástí bude i vypořádání vzájemných závazků a pohledávek;
b) písemným odstoupením jedné Smluvní strany doručeným druhé Smluvní straně
v souladu s touto Dohodou.
10.4. Každá ze smluvních stran může od této Dohody resp. Prováděcí smlouvy odstoupit v případech stanovených touto Dohodou nebo zákonem, zejména pak dle ust. § 1977 a násl. a ust. § 2002 a násl. občanského zákoníku. Účinky odstoupení od Dohody Prováděcí smlouvy nastávají dnem doručení oznámení o odstoupení příslušné Smluvní straně.
10.5. Smluvní strany jsou oprávněné odstoupit od této Dohody resp. Prováděcí smlouvy i pro nepodstatné porušení smlouvy dle příslušných ustanovení občanského zákoníku. V případě nepodstatného porušení smluvní povinnosti, může druhá Smluvní strana od Dohody odstoupit poté, co strana, která se dopustila nepodstatného porušení smluvní povinnosti, svoji povinnost nesplní ani v dodatečné přiměřené lhůtě, kterou jí druhá Smluvní strana poskytla.
10.6. Objednatel je dále oprávněn odstoupit od Dohody resp. Prováděcí smlouvy, jestliže bylo vydáno rozhodnutí o úpadku Dodavatele v insolvenčním řízení nebo Dodavatel sám podá dlužnický návrh na zahájení insolvenčního řízení; Xxxxxxxxx vstoupí do likvidace nebo
dojde k jinému byť jen faktickému podstatnému omezení rozsahu jeho činnosti, který by
mohl mít negativní dopad na jeho způsobilost plnit závazky podle této Dohody.
10.7. Objednatel má právo odstoupit od Dohody resp. Prováděcí smlouvy také tehdy, pokud Dodavatel přestane splňovat podmínky základní a profesní způsobilosti nebo technické kvalifikace stanovených v zadávacích podmínkách na realizaci této Veřejné zakázky.
11. KOMUNIKACE SMLUVNÍCH STRAN, OPRÁVNĚNÉ OSOBY
11.1. Veškerá komunikace mezi Smluvními stranami bude probíhat prostřednictvím oprávněných osob stanovených zákonem, touto Dohodou resp. Prováděcí smlouvou nebo jimi pověřených zástupců. Osoby oprávněné podepsat příslušné akceptační protokoly budou určeny v konkrétní Prováděcí smlouvě.
11.2. Kromě zákonných zástupců Smluvních stran, další kontaktní osoby oprávněné jednat ve
věcech plnění poskytovaného dle této Dohody: za Dodavatele:
za Objednatele:
11.3. V případě, že dojde ke změně oprávněných osob nebo kontaktních údajů u nich uvedených, jako je e-mail, tel., apod., povinná strana doručí písemné oznámení o této změně druhé Smluvní straně bez zbytečného odkladu.
12. LICENCE
12.1. V případě, že předmětem plnění dle Xxxxxxx je i plnění, které naplňuje znaky autorského díla dle zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (dále jen „autorský zákon“), a jedná se o tzv. standardní software, řídí se poskytovaná licence standardními licenčními podmínkami dodaného softwarového produktu s tím, že Objednatel má nevýhradní, přenosné, časově a územně neomezené právo užít autorské dílo ke všem způsobům užití v souladu s účelem Smlouvy, pokud není ve Smlouvě stanoveno jinak.
13. OBECNÁ USTANOVENÍ
13.1. Dodavatel je povinen postupovat s odbornou péčí, podle nejlepších znalostí a schopností, sledovat a chránit oprávněné zájmy Objednatele a postupovat v souladu s jeho pokyny nebo s pokyny jím pověřených osob. Dodavatel je povinen upozorňovat Objednatele v odůvodněných případech na případnou nevhodnost pokynů Objednatele.
13.2. Smluvní strany se výslovně dohodly, že Dodavatel odpovídá Objednateli za újmu majetkovou i za újmu nemajetkovou.
13.3. Dodavatel se zavazuje upozornit Objednatele na všechny okolnosti, které by mohly vést při plnění smlouvy k omezení činností nebo ohrožení chodu Objednatele, zejména pak ve vztahu k jím používaným produktům, zařízení, programovému vybavení a prostředí.
13.4. Dodavatel je povinen upozornit Objednatele na potenciální rizika vzniku škod a včas a řádně dle svých možností provést taková opatření, která riziko vzniku škod zcela vyloučí nebo (pokud je nelze zcela vyloučit) v maximální možné míře sníží. Jde-li o zamezení vzniku škod nezapříčiněných Dodavatelem, má Dodavatel právo na úhradu nezbytných a účelně vynaložených nákladů odsouhlasených předem Objednatelem.
13.5. Dodavatel je povinen upozorňovat Objednatele včas na všechny hrozící vady či výpadky svého plnění, jakož i poskytovat Objednateli veškeré informace, které jsou pro plnění Dohody nezbytné a neprodleně oznámit písemnou formou Objednateli překážky, které mu brání v plnění předmětu Dohody a výkonu dalších činností souvisejících s plněním předmětu Dohody.
13.6. Objednatel i Dodavatel se dále zavazují sdělit či poskytnout bez zbytečného odkladu druhé Straně veškeré nezbytné přístupy k věcným i technickým informacím, kterých je nezbytně zapotřebí k provedení řádného plnění ze strany Dodavatele.
13.7. Dodavatel je povinen po celou dobu plnění dle této Dohody mít v platnosti veškerá oprávnění, licence a certifikáty ke všem činnostem dle této Dohody.
13.8. Dodavatel při plnění této Dohody nebude mít přístup k reálným datům. Veškeré ladící a testovací práce musí být provedeny na testovacích datech, která Objednatel poskytne Dodavateli nebo si je Dodavatel zajistí a odsouhlasí jejich validitu pro účely testování s Objednatelem.
13.9. Dodavatel není oprávněn připojovat jakákoli vlastní zařízení nebo zprostředkovávat jakýkoli logický přístup do ICT infrastruktury Objednatele, pracující s reálnými daty. V případě stavu, kdy Objednatel a Dodavatel společně odstraňují závadu v předmětu díla nebo v datech, je možný přístup k reálným datům jen pod dohledem odpovědného pracovníka Objednatele a jen za účelem odstranění závady.
14. ZÁVĚREČNÁ USTANOVENÍ
14.1. Tato Xxxxxx nabývá účinnosti dnem uveřejnění v registru smluv dle zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv).
14.2. Tato Xxxxxx nesmí být postoupena bez předchozího písemného souhlasu druhé Smluvní strany, nebo být součástí projektu přeměny dle Zákona č. 125/2008 Sb., o přeměnách obchodních společností a družstev, bez předchozího písemného souhlasu druhé Smluvní strany.
14.3. Smluvní strany nemají zájem, aby nad rámec výslovných ustanovení této Dohoda byla jakákoliv práva a povinnosti dovozovány z dosavadní či budoucí praxe zavedené mezi stranami či zvyklostí zachovávaných obecně či v odvětví týkajícím se předmětu plnění dle těchto smluv, ledaže je stanoveno jinak. Vedle shora uvedeného si Smluvní strany potvrzují, že si nejsou vědomy žádných dosud mezi nimi zavedených obchodních zvyklostí či praxe.
14.4. Smluvní strany vylučují aplikaci ustanovení § 557 občanského zákoníku na tuto Dohoda.
14.5. Práva Objednatele vyplývající z této Dohoda či jejího porušení se promlčují ve lhůtě 10 let ode dne, kdy právo mohlo být uplatněno poprvé.
14.6. Dodavatel přebírá podle § 1765 občanského zákoníku nebezpečí změny okolností, zejména v souvislosti s cenou za poskytnuté plnění, požadavky na poskytované plnění a licenčními podmínkami výrobce.
14.7. Ukáže-li se některé z ustanovení této Dohoda zdánlivým (nicotným), posoudí se vliv této
vady na ostatní ustanovení Dohody obdobně podle ust. § 576 občanského zákoníku.
14.8. Všechny spory vyplývající z právního vztahu založeného touto Dohodou a v souvislosti s ním, budou řešeny podle obecně závazných právních předpisů České republiky a soudy České republiky.
14.9. Tato Dohoda může být měněna pouze formou číslovaných písemných dodatků. Za písemnou formu nebude pro tento účel považována výměna e-mailových či jiných elektronických zpráv.
14.10. Zadávací podmínky zadané Veřejné zakázky a smluvní podmínky sjednané touto Dohodou jsou bezvýhradně závazné pro Prováděcí smlouvy. Při zadávaní zakázek formou Prováděcích smluv na základě této Dohody, Smluvní strany nesmí provádět podstatné změny v podmínkách stanovených v této Dohodě.
14.11. Tato Xxxxxxx je vyhotovena tak, že je podepsána oběma Smluvními stranami
elektronickým podpisem.
14.12. Nedílnou součástí této Dohody jsou následující Přílohy: Příloha č. 1 – „Specifikace Předmětu plnění“
Příloha č. 2 – „Specifikace ceny za předmět plnění“ Příloha č. 3 – „Vzor prováděcí smlouvy“
V Praze dne …………. V ……………. dne …………….
Objednatel: Dodavatel:
Mgr. Xxxxx
…O…sv…a…ld………..
Digitálně podepsal Xxx. Xxxxx Xxxxxx Datum: 2021.11.22
11:28:49 +01'00'
Ministerstvo vnitra – Česká republika TAKTIK, s.r.o.
Zástupce: plk. Mgr. Pavel Osvald
Funkce: ředitel Ředitelství pro podporu Funkce: jednatel
výkonu služby Policejního prezidia České republiky
Příloha č. 1 – Specifikace předmětu plnění
Plnění A:
Předmětem dodávky plnění A (tedy plnění A1 a A2) Rámcové dohody je: Plnění A.1:
• Dodání 4 ks NG Firewallů (2 HA instalace do 2 lokalit), tak aby byly splněny požadavky uvedené v následující tabulce. Je požadováno dodání nových zařízení, která nebyla dříve dodána jinému koncovému uživateli.
Plnění A.2.:
• Dodání potřebného 1 ks SW pro správu Firewallů, tak aby byly splněny požadavky uvedené
v následujících tabulkách.
Společné pro plnění A.1 a A.2:
• Implementace, jejímž výstupem je analýza nasazení a oživení a nastavení zařízení a SW pro jeho správu dle této analýzy tak, aby plnilo požadované funkce v infrastruktuře Zadavatele (minimálně převzetí funkcí dosavadních zařízení a iniciačních nastavení nově požadovaných funkcí). Zadavatel předpokládá využití poptávaných NG Firewallů na úrovni ochrany zabezpečení perimetru datových center, v rámci nichž jsou provozovány pro Zadavatele kritické systémy a systémy KII (kritická informační infrastruktura dle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (dále jen „ZKB“)).
• Technická podpora pro NG Firewally a SW pro správu na období 12 měsíců definovaná viz Plnění B.
Specifikace NG Firewallu (Plnění A.1):
Požadovaná funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti (požadavek se vztahuje k 1 zařízení) | Doplní Účastník dle nabízeného zařízení |
Typ zařízení | Bezpečnostní zařízení typu Next-generation firewall (dále jen „NGFW“) musí být jako celek složen z komponent jednoho výrobce, včetně všech poskytovaných funkcionalit typu IPS, AV, Anti-Spyware, databází pro URL kategorizaci, sandbox definic apod. |
Požadovaná funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti (požadavek se vztahuje k 1 zařízení) | Doplní Účastník dle nabízeného zařízení |
Počet zařízení | Počet odpovídající zajištění HA řešení vždy v rámci jedné lokality a v rámci dvou lokalit (celkem pro 2 lokality), min. 4 zařízení | |
Formát zařízení | HW appliance do racku, rozměrově kompatibilní s 19“ rozvaděčem, max. 3U | |
HW appliance musí obsahovat 2 nezávislé redundantní zdroje AC 230V s podporou hotswap | ANO | Ano |
Počet 10GbE SFP+ portů pro data | Min. 16, včetně osazení 10GE SFP+ moduly | |
Počet 40GbE/100GbE QSFP28 portů pro data | Min. 4, včetně osazení moduly 2x40GE LR4 QSFP+ 10 km a 2x100GE LR4 QSFP28 10 km | |
Počet portů pro management min 1GbE | Min. 1 | |
Dedikovaný port pro správu pomocí konzole pro přístup k CLI | ANO | Ano |
Počet portů pro zapojení HA | Min. 2 | |
Modul pro zpracování dat musí být v architektuře firewallu hardwarově oddělen od dalších podpůrných modulů (správa zařízení a řídící modul pro podpůrné síťové činnosti), aby nemohlo dojít k jejich vzájemnému ovlivnění | ANO | Ano |
Všechny parametry propustnosti musí dodavatel uvádět pro multiprotokolový datový provoz (Mix různých aplikací a protokolů) | ANO | Ano |
Propustnost | Min. 35 Gbps | |
Propustnost při plné aplikační kontrole a zapnutí všech dostupných signatur IPS, AV a logování | Min. 22 Gbps | |
Maximální počet souběžných spojení | Min. 8 000 000 | |
Počet nových spojení za sekundu | Min. 380 000 | |
Funkce režimu HA v módu Active-Active složeného alespoň ze dvou zařízení | ANO | Ano |
Funkce režimu HA v módu Active-Pasive složeného alespoň ze dvou zařízení | ANO | Ano |
V obou typech HA musejí být veškeré informace o probíhajícím provozu synchronizovány tak, aby při výpadku jednoho z boxů nedošlo ke ztrátě informací NAT a k přerušení aktivních spojení provozu typu TCP i UDP procházejícího přes NGFW | ANO | Ano |
Funkce režimu HA clusteringu, využitelného pro případné dodatečné zvýšení propustnosti i v geograficky oddělených lokalitách | ANO | Ano |
Funkce provedení HA failover na základě stavu interface (up/down), nedostupnosti druhého FW v HA, nedostupnosti specifikované IP adresy | ANO | Ano |
Požadovaná funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti (požadavek se vztahuje k 1 zařízení) | Doplní Účastník dle nabízeného zařízení |
Součástí dodávky musí být potřebná kabeláž pro konfiguraci HA v maximálním podporovaném režimu (metalické propojení min. CAT6 nebo optické propojení včetně modulů v maximální dostupné rychlosti) | ANO | Ano |
Plná podpora IPv4 i IPv6 | ANO | Ano |
Požadována možnost zapojení v režimech L2 (s virtuálním L3 rozhraním), L3, transparent a TAP | ANO | Ano |
Funkce překladů adres typu Static NAT, Dynamic NAT, PAT, NAT64, NPTv6 | ANO | Ano |
Funkce směrování typu Static route, RIP, OSPFv2, OSPFv3, BGP, PIM, IGMP a PBR (Policy Based Routing) | ANO | Ano |
PBR (Policy Based Routing) musí být možno nakonfigurovat na základě všech dostupných metrik typu interface, zóna, IP adresa, uživatel. | ANO | Ano |
Funkce sloučení více fyzických rozhraní do jednoho logického s rozkladem zátěže a podporou pomocí protokolu 802.3ad (LACP) | ANO | Ano |
Funkce VLAN (802.1Q) | ANO, min. 4094 VLAN | Ano, 4094 VLAN |
Podpora virtuálních kontextů | Min. 25 (Pokud se licencuje na počet, min. 25 musí být součástí nabídky). | |
Funkce VPN typu site-to-site pomocí protokolu IPSec a Remote Access VPN pomocí protokolu IPSec nebo SSL (TLS, DTLS) bez licenčního omezení počtů tunelů nebo současně připojených uživatelů | ANO | Ano |
Propustnost VPN | Min. 16 Gbps | |
Jednotlivé HW appliance musí obsahovat plnohodnotné grafické rozhraní (GUI) pro správu a čtení logových záznamů bez nutnosti používání centrálního management serveru. Připojení ke GUI musí podporovat šifrování | ANO | Ano |
GUI musí obsahovat offline kontextovou nápovědu. | ANO | Ano |
Jednotlivé HW appliance musí obsahovat plnohodnotné textové rozhraní (CLI) pro správu a čtení logových záznamů bez nutnosti používání centrálního management serveru. Vzdálené připojení k CLI musí podporovat šifrování | ANO | Ano |
Jednotlivé HW appliance musí obsahovat plnohodnotné API rozhraní pro čtení a konfiguraci všech nastavení, týkajících se bezpečnostních a dalších pravidel i rozhraní a směrování | ANO | Ano |
Požadovaná funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti (požadavek se vztahuje k 1 zařízení) | Doplní Účastník dle nabízeného zařízení |
Jednotlivé HW appliance musí umožňovat použití šablon pro bootstraping nových FW použitím USB flash disku | ANO | Ano |
Funkce autentizace a autorizace administrátorů pomocí protokolů LDAP, Radius, TACACS+, Kerberos a osobním certifikátem | ANO | Ano |
NGFW musí obsahovat nativní nástroje pro debugging problémových situací v úrovni L2 – L7 ISO/OSI modelu | ANO | Ano |
NGWF musí podporovat nativní nástroj pro odchycení provozu | ANO | Ano |
Podpora správy NGFW z administrátorských stanic s OS Windows a macOS | ANO | Ano |
Management NGFW musí podporovat práci více administrátorů ve stejném čase, včetně aplikace politik a nastavení vytvořených pouze konkrétním administrátorem | ANO | Ano |
Součástí dodávky musí být nástroj, určený pro analýzu a zjednodušení převodu L3/L4 pravidel na pravidla L7. Tento nástroj nemusí být součástí NGFW | ANO | Ano |
NGFW musí podporovat aplikační detekci a kontrolu jako svou nativní funkcionalitu | ANO | Ano |
Přiřazení povolené či zakázané aplikace musí být nativní součástí vytváření standardního bezpečnostního pravidla | ANO | Ano |
Definovaná aplikace musí představovat "match kritérium" při policy lookup | ANO | Ano |
Funkce identifikace aplikací napříč všemi porty/protokoly | ANO | Ano |
Funkce identifikace aplikací na nestandardních portech | ANO | Ano |
Identifikace aplikace musí probíhat přímo ve NGFW | ANO | Ano |
Funkce detekce a zabránění aplikaci měnit porty, tzv. port-hopping | ANO | Ano |
Funkce řízení neznámého provozu | ANO | Ano |
Funkce tvorby uživatelsky definovaných aplikací bez nutnosti využití externího nástroje nebo zásahu výrobce/dodavatele | ANO | Ano |
Funkce vytváření bezpečnostních pravidel na základě uživatelských identit | ANO | Ano |
Volba uživatelské identity musí být nativní součástí vytváření standardního bezpečnostního pravidla | ANO | Ano |
Uživatelská identita musí představovat "match kritérium" při policy lookup | ANO | Ano |
Možnost automatického přesunu uživatele do jiné skupiny na základě bezpečnostního incidentu vztahujícímu se k danému uživateli, bez nutnosti manuální intervence | ANO | Ano |
Funkce získávání vazby IP adresa-uživatelské jméno, bez nutnosti instalace klienta na koncové zařízení | ANO | Ano |
Požadovaná funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti (požadavek se vztahuje k 1 zařízení) | Doplní Účastník dle nabízeného zařízení |
Funkce získávání vazby IP adresa-uživatelské jméno, bez nutnosti instalace klienta na doménový kontrolér | ANO | Ano |
Funkce získávání vazby IP adresa-uživatelské jméno, bez nutnosti instalace dalších komponent mimo samotné HW appliance | ANO | Ano |
Funkce získávání vazby IP adresa-uživatelské jméno z Active Directory za pomoci doménového účtu s co nejnižšími možnými právy pro čtení Security logů, bez nutnosti disponovat rizikovými úrovněmi oprávnění (např. Domain Admins) | ANO | Ano |
Funkce získávání vazby IP adresa-uživatelské jméno z terminálových serverů MS (možné za pomoci nainstalovaného agenta) | ANO | Ano |
Funkce získávání vazby IP adresa-uživatelské jméno přes webový formulář – Captive Portal | ANO | Ano |
Funkce získávání vazby IP adresa-uživatelské jméno z VPN agenta | ANO | Ano |
Funkce získávání vazby IP adresa-uživatelské jméno z NAC zařízení (přes XML nebo API) | ANO | Ano |
Funkce získávání vazby IP adresa-uživatelské jméno z X-Forwarded-For (XFF) hlaviček | ANO | Ano |
Funkce kontroly klientských stanic v pravidelných intervalech přes Windows Management Instrumentation (WMI) nebo NetBIOS aby zjistil, jestli je vazba IP adresa- uživatelské jméno pořád platná | ANO | Ano |
Funkce dešifrování odchozího SSL/TLS provozu, za pomoci podvržení serverového certifikátu klientům | ANO | Ano |
Funkce dešifrování příchozího SSL/TLS provozu, za pomoci naimportovaného privátního klíče interního serveru | ANO | Ano |
Funkce dešifrování Secure Shell (SSH proxy) a kontroly tunelované aplikace | ANO | Ano |
Dešifrovaný provoz musí být možno definovat na základě URL kategorií, i všech dalších typických parametrů, jako jsou zdrojová a cílová IP adresa, port, uživatelská identita | ANO | Ano |
Funkce dešifrování za pomocí ECC (Elliptical Curve Cryptography), včetně DHE a ECDHE pro příchozí i odchozí provoz | ANO | Ano |
Funkce dešifrování protokolu TLS verze 1.3 | ANO | Ano |
Funkce přeposílání dešifrovaného provozu na jiné skenovací zařízení třetích stran např. DLP, analýza provozu a souborů apod. Zařízení 3 strany následně přepošle čistě přefiltrovaná data zpět do NGFW (tzv. decryption broker) | ANO | Ano |
Funkce přeposílání dešifrovaného provozu na specifický port pro potřeby archivace provozu | ANO | Ano |
Funkce umožňující odeslat do sandboxu k inspekci neznámé vzorky procházející protokolem HTTP, HTTPS, SMTP, SMTPS, IMAP, IMAPS, FTP a SMB | ANO | Ano |
Požadovaná funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti (požadavek se vztahuje k 1 zařízení) | Doplní Účastník dle nabízeného zařízení |
Sandbox systém musí být od stejného výrobce jako je NGFW, ale nemusí být HW součástí NGFW | ANO | Ano |
Sandbox systém musí být schopen okamžitě automaticky vytvořit IPS/AV signatury pro NGFW, v případě, kdy je testovaný vzorek vyhodnocen jako škodlivý | ANO | Ano |
Sandbox musí být schopen automaticky upravit kategorie používané URL databáze, pokud zjistí, že testovaný vzorek je škodlivý a komunikuje na konkrétní URL | ANO | Ano |
Sandbox musí poskytovat aktualizace signatur pro AV, Webfiltering, DNS, C&C | ANO | Ano |
Sandbox musí podporovat analýzu vzorku na operačním systému instalovaném přímo na hardwaru, tzn. ne ve virtuálním prostředí | ANO | Ano |
Sandbox musí podporovat operační systémy Windows, Linux, MacOS a Android | ANO | Ano |
Report z analýzy odeslaného vzorku do sandboxu musí být přístupný přímo z rozhraní FW | ANO | Ano |
Aktualizace zero-day signatur musí být instalována do FW v reálnem čase čili s nulovou prodlevou | ANO | Ano |
Funkce detekce a zablokování stažení neznámého škodlivého souboru v reálném čase, bez toho, aby byl doručen na koncový bod | ANO | Ano |
Funkce detekce neznámých vzorků přímo na firewallu bez nutnosti napojení na externí zařízení nebo službu | ANO | Ano |
Funkce zavedení tzv. pozitivního bezpečnostního modelu – povolení pouze vybraných aplikací a zákaz všech ostatních aplikací, včetně neznámého provozu | ANO | Ano |
NGFW musí obsahovat integrovaný systém ochrany proti zranitelnostem (virtual patching) a síťovým útokům (IPS). Databáze IPS signatur musí být uložena přímo ve FW. Aplikace IPS profilu musí být granulární, na úrovni bezpečnostního pravidla | ANO | Ano |
Funkce tvorby uživatelsky definovaných IPS signatur bez nutnosti využití externího nástroje nebo zásahu výrobce/dodavatele | ANO | Ano |
NGFW musí obsahovat integrovaný systém ochrany proti přítomnosti virů a škodlivého kódu. Databáze AV signatur musí být uložena přímo ve FW. Aplikace AV profilu musí být granulární, na úrovni bezpečnostního pravidla | ANO | Ano |
Antivirus musí být schopen kontrolovat provoz v minimálně těchto aplikacích – SMTP, POP3, IMAP, HTTP, HTTPS, HTTP/2, FTP a SMB | ANO | Ano |
Funkce tvorby uživatelsky definovaných spyware signatur bez nutnosti využití externího nástroje nebo zásahu výrobce/dodavatele | ANO | Ano |
Požadovaná funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti (požadavek se vztahuje k 1 zařízení) | Doplní Účastník dle nabízeného zařízení |
Funkce umožňující zablokování útoku využívajícího známá C&C centra i v případě, že je provoz šifrován a není možné provádět SSL dekrypci | ANO | Ano |
NGFW musí v bezpečnostních pravidlech podporovat použití externích dynamických seznamů; NGFW musí poskytovat možnost ověřit na základě certifikátů pravost těchto dynamických seznamů | ANO | Ano |
Funkce importu SNORT signatur | ANO | Ano |
NGFW musí pro přístup ke kritickým aplikacím, poskytovat možnost vynutit vícefaktorové ověření prostřednictvím webového portálu, bez ohledu na to, jestli cílová aplikace podporuje vícefaktorovou autentizaci; tato vlastnost musí být konfigurovatelná na úrovní bezpečnostního pravidla | ANO | Ano |
Funkce umožňující zabránit odeslání doménových uživatelských přihlašovacích údajů do jiných než povolených URL kategorií, pro zabránění phishingu | ANO | Ano |
Funkce ochrany proti tzv. drive-by downloadům; způsob ochrany musí být pro uživatele interaktivní s možností volby akceptace rizika a stažení souboru | ANO | Ano |
Funkce analýzy DNS dotazu tzv. Sinkhole metoda, která na dotaz malware DNS URL vrátí podvrženou IP adresu pro detailnější analýzu a zároveň se stanice na původní malware stránku nedostane | ANO | Ano |
NGFW musí poskytovat možnost rozšíření o funkcionalitu pokročilé analýzy DNS dotazů proti technikám používajícím DGA (domain generation algorithm) v reálném čase | ANO | Ano |
NGFW musí obsahovat nativní službu pro ochranu proti útoku typu DoS pomocí limitace počtu spojení na úrovni zdrojová a cílová IP adresa a uživatelská identita | ANO | Ano |
Funkce umožňující prioritizaci provozu a omezení využívané šířky pásma na základě zdrojové a cílové IP adresy, portu, uživatelské identity, aplikace a času (od – do, den v týdnu + čas apod.) | ANO | Ano |
Funkce prioritizace provozu na základě DSCP | ANO | Ano |
Funkce prioritizace provozu na základě Identifikované aplikace | ANO | Ano |
NGFW musí obsahovat nativní podporu pro využívání databáze URL | ANO | Ano |
URL databáze musí být od stejného výrobce jako je NGFW | ANO | Ano |
Funkce umožňující použití URL kategorii v definici bezpečnostního pravidla | ANO | Ano |
Funkce vytváření uživatelsky definovaných URL kategorií, bez nutnosti využít externí | ANO | Ano |
Požadovaná funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti (požadavek se vztahuje k 1 zařízení) | Doplní Účastník dle nabízeného zařízení |
nástroj a bez nutnosti zásahu výrobce/dodavatele | ||
URL databáze musí být dynamicky aktualizovaná na základě nově zjištěných URL, vedoucích na škodlivý obsah nebo C&C centra | ANO | Ano |
URL databáze musí podporovat možnost zařazení do alespoň dvou kategorií najednou pro jedinou URL | ANO | Ano |
Možnost požádat o rekategorizaci nevhodně zařazených URL přímo v grafickém rozhraní NGFW bez nutnosti kontaktování technické podpory | ANO | Ano |
NGFW musí mít možnost rozšíření o funkcionalitu SD-WAN – detekce kvality WAN připojení s automatickou volbou nejlepšího WAN připojení pro vybrané aplikace | ANO | Ano |
NGFW musí obsahovat lokální úložiště logů o velikosti minimálně 2 TB (RAID1) | ANO | |
NGFW musí obsahovat nástroj pro analýzu logů bez nutnosti využití dalšího systému mimo GUI | ANO | Ano |
Funkce agregovaného zobrazení logů na základě jednoho filtrovacího pravidla, napříč jednotlivými typy logů, jako jsou provozní logy, logy bezpečnostních incidentů a logy přístupů na URL | ANO | Ano |
Funkce přeposílání logů na zařízení třetích stran | ANO | Ano |
Funkce umožňující výběr přeposílaných logů na úrovni bezpečnostního pravidla | ANO | Ano |
Přeposílané logy z NGFW musejí být automaticky rozpoznány nejčastěji používanými typy SIEM např. Microfocus ArcSight, který zadavatel používá. | ANO | Ano |
Funkce umožňující vytváření vlastních reportů přímo z grafického rozhraní FW | ANO | Ano |
NGFW musí podporovat licenční model nezávislý na počtu ochraňovaných koncových systémů | ANO | Ano |
Specifikace SW pro správu NG Firewallů (Plnění A.2):
Požadovaná funkcionalita/vlastnost | Způsob splnění požadované funkcionality/vlastnosti (požadavek se vztahuje k 1 zařízení) | Doplní Účastník dle nabízeného zařízení |
Řešení musí obsahovat virtuální platformu pro centrální správu všech dodaných firewallů do VMware ESXi prostředí | ANO | Ano |
Součástí dodávky musí být licence pro centrální správu, tak aby bylo možné centrálně spravovat všechny dodané HW appliance včetně všech virtuálních kontextů | ANO | Ano |
Centrální management musí podporovat sběr logových záznamů, analýzu logových záznamů, správu veškerých bezpečnostních a síťových konfigurací, korelaci logových záznamů, analýzu hrozeb a korelaci hrozeb v jediné instanci | ANO | Ano |
Centrální management musí podporovat sběr 20 000 logových záznamů za vteřinu | ANO | Ano |
Administrátor musí mít možnost úpravy veškeré síťové a bezpečnostní konfigurace přímo na grafickém rozhraní FW a zároveň přes grafické rozhraní centrálního managementu | ANO | Ano |
Administrátor musí mít možnost importovat FW konfiguraci do centrálního managementu | ANO | Ano |
Grafické rozhraní a způsob konfigurace na centrálním managementu se musí shodovat s grafickým rozhraním a způsobem konfigurace NGFW kvůli konzistenci a jednoduchosti přechodu mezi platformami | ANO | Ano |
Součástí plnění A je:
Implementační projekt:
Implementační projekt musí obsahovat minimálně tyto činnosti související s iniciální implementací a integrací do stávající infrastruktury Zadavatele (rozsah a detailní zadání bude upřesněno před samotnou implementací):
• Analýza a návrh zapojení, konfigurace a integrace do stávající síťové infrastruktury Zadavatele na úroveň zabezpečení perimetru datových center (detailní zadání bude upřesněno před samotnou implementací).
• Fyzická instalace a základní zprovoznění NG Firewallů a instalace a zprovoznění SW pro jejich správu.
• Konfigurace řešení vysoké dostupnosti NG Firewallů v rámci lokality i napříč lokalitami datových center.
• Konfigurace a zprovoznění funkcionality IPS (detailní zadání bude upřesněno před samotnou
implementací).
• V rámci před implementační fáze Účastník navrhne a vypracuje harmonogram migračních prací, tak aby mohl zadavatel naplánovat případné, ale pouze nezbytně nutné výpadky provozu systémů, jichž se migrace pravidel ze stávajících Firewallů zadavatele týká, a to pouze na nezbytně nutnou dobu.
• Konfigurace a přenos pravidel ze stávajících Firewallů (zejména firewallové moduly pro CISCO 6500 a HP A-F1000-A-EI, počet pravidel v řádu stovek). Návrh a realizace migrace pravidel ze stávajících Firewallů zadavatele za provozu s minimálním (minimální = na nezbytně nutnou dobu) výpadkem provozu. Zadavatel využívá současné Firewally i pro zabezpečení kritických systémů a systémů KII (kritická informační infrastruktura státu), které jsou provozovány v dostupnosti 99,99%.
• Začlenění do dohledových nástrojů s využitím SNMP (pouze nastavení na úrovni zařízení).
• Účastník navrhne testovací scénáře pro otestování plné funkcionality v infrastruktuře
Zadavatele. Po odsouhlasení testů ze strany Zadavatele bude provedení těchto testů
podmínkou akceptace a protokol o provedení a výsledcích testů bude součástí akceptačního
protokolu.
• Proškolení administrátorů, seznámení se správou a konfigurací dodaných zařízení minimálně
v rozsahu:
o seznámení se zařízením a způsoby obsluhy a konfigurace,
o vysvětlení všech použitých nastavení v rámci konfigurace a integrace
do infrastruktury Z adavatele,
o způsob spuštění nouzových režimů obnovy,
o možné režimy uživatelského a administrativního přístupu a seznámení se základními funkcemi,
o způsob upgrade firmware.
Předpokládá se účast maximálně 12 pracovníků Zadavatele.
Dodávka je ukončena implementací dodaných prvků (realizací implementačního projektu) a provedením akceptačních testů funkčnosti. Následuje zkušební provoz, v délce 14 kalendářních dnů. Pokud 14 dnů nepřetržitě a bez rekonfigurace zařízení vykazuje požadované funkcionality, je to důvod k podepsání akceptačního protokolu. Po úspěšném ukončení zkušebního provozu podepíše oprávněná osoba Zadavatele akceptační protokol, na jehož základě je Dodavatel oprávněn vystavit fakturu.
V případě identifikace průkazného nesouladu s požadavky definovanými v zadání bude zkušební provoz ukončen a znovu zahájen v plné délce po odstranění nedostatků.
Dokumentace:
Dokumentace musí zahrnovat alespoň:
• Technický popis prvků a jeho konfigurace – Dokumentace musí být zpracována v míře detailu, při které i seznámená odborná osoba (úvodní seznámení se správou a konfigurací dodaných zařízení) může v krátké době rozumět důvodům pro danou konfiguraci a její funkčnosti v daném prostředí.
• Dokumentace skutečného provedení.
• Informaci o znalostní bázi prvku (může být vedena výrobcem/dodavatelem externě).
• Nouzový plán obnovy – Detailní plán obnovy v úrovni dostatečné pro osobu seznámenou se správou a konfigurací dodaných zařízení.
• Dokumentace bude vytvořena na základě standardizované šablony Zadavatele (bude-li ji mít Zadavatel v době realizace k dispozici), kterou Zadavatel upřesní před samotnou implementací. Dokumentace bude obsahovat zejména technický popis, popis konfigurace, popis upgrade firmware, popis uvedení do nouzového režimu, popis zálohy a obnovy konfigurace, schéma zapojení, a to v rozsahu potřebném pro konfiguraci a správu prostředí třetí osobou.
• Administrátorskou provozní dokumentaci vytvořenou na základě standardizované šablony
Zadavatele.
Upřesnění k projektovým aspektům implementačního projektu:
Součástí implementačního projektu je analýza stávajícího stavu, návrh řešení včetně definice přesných kroků vedoucích k úspěšné implementaci zařízení do infrastruktury Zadavatele a po akceptaci návrhu řešení jeho řízená realizace.
Pro všechna jednání, která se uskuteční v rámci implementačních projektů mezi Zadavatelem a
Dodavatelem (příp. i dalšími stranami), platí:
o Jednání se konají v prostorách zadavatele ve vzájemně dohodnutém čase (Zadavatel zajistí patřičné prostory a případné vybavení – dataprojektor, flipchart ad.).
o Jednání formálně svolává Zadavatel (po předchozí domluvě ohledně místa, času a účastníků) vytvořením schůzky v kalendáři Outlook a jejím rozesláním určeným osobám;
o Dodavatel pořizuje Zápis z jednání:
o draft zápisu z jednání zašle Dodavatel k připomínkám Zadavateli, a to do 2 pracovních dnů od konání daného jednání;
o zápis z jednání je vytvořen ve vzoru/šabloně Zadavatele.
Ostatní požadavky:
V případě, že dokončení registrace prvku u výrobce vyžaduje součinnost Zadavatele, bude toto provedeno v rámci implementačního projektu v součinnosti s pracovníky určenými Zadavatelem. Tímto budou pracovníci Zadavatele seznámeni s fungováním a způsoby zadávání požadavků na podporu přímo u výrobce. Bude stažena a aplikována poslední aktuální verze firmware pro dané zařízení. V případě, že licenční klíče jsou generovány výrobcem přes portál zákazníka, budou vygenerovány a staženy příslušné licence.
Dodavatel předá příslušné licenční klíče (pokud dodávané zařízení takové obsahuje) jak v tištěné podobě, tak v elektronické podobě na médiu archivační kvality.
Pokud některá požadovaná funkcionalita nebo vlastnost zařízení vyžaduje licenční nebo obdobné poplatky nebo je zajištěna formou subskripce, uvede tuto skutečnost Účastník v rámci specifikace nabízeného zařízení a zahrne veškeré tyto poplatky v celkové hodnotě technické podpory daného zařízení ve specifikaci Plnění B (jež je po dobu 12 měsíců i součástí Plnění A).
Zadavatel požaduje, aby byly veškeré požadované funkcionality a vlastnosti zařízení dostupné a plně funkční i za předpokladu, že nebude při pořízení technické podpory zajištěna kontinuita. Tj. v případě funkcionalit a vlastností podléhajících subskripci (nebo obdobné platbě) se nesmí jednat o termínované licence, kdy při dosažení data konce podpory / subskripce dojde k ukončení nebo omezení těchto funkcionalit nebo vlastností.
Účastník se zavazuje k dodávce HW, u kterého bude podle sériových čísel (či jiných produktově unikátních značení) schopen v případě žádosti prokázat, že nebyl ze strany jejich výrobce již dodán v minulosti směrem k žádnému jinému koncovému spotřebiteli.
Zadavatel je provozovatelem kritických a významných informačních systémů ve smyslu ZKB. Jako takový je povinen v souladu se ZKB provádět bezpečnostní opatření v rozsahu nezbytném pro zajištění kybernetické bezpečnosti těchto systémů a vést o tom bezpečnostní dokumentaci. Zařízení a služby požadovaná touto smlouvou budou součástí základu datových center a sloužit pro realizaci zabezpečení perimetru datové sítě Zadavatele, potažmo datových center, která jsou primárně určena pro provoz těchto systémů KII a VIS.
Dle § 5 vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatření, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (dále jen „VKB“) je Zadavatel povinen provádět pravidelnou analýzu rizik, identifikovat rizika a identifikovaná rizika řídit. Dne 17.12.2018 Národní úřad pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“) vydal VAROVÁNÍ před používáním softwaru i hardwaru společností Huawei Technologies Co., Ltd., a ZTE Corporation včetně jejich dceřiných společností. V souvislosti s uvedenou povinností zadavatele provádět řízení rizik je zadavatel podle § 5 odst. 1 písm. h) bod 3 VKB povinen zohlednit mimo jiné i opatření podle § 11 ZKB, tedy i výše uvedené varování vydané NÚKIB podle § 12 ZKB.
Na základě vydaného varování tedy musí Zadavatel v rámci řízení rizik provést analýzu rizik, ve které zohlední hrozbu, a následně na riziko reagovat přijetím bezpečnostních opatření, která musí být v souladu s nastavenými metrikami pro akceptovatelnost rizika a hodnotou daného rizika. Zadavatel je současně povinen podle § 8 VKB stanovit pravidla pro Dodavatele, která zohledňují požadavky systému řízení bezpečnosti informací (jehož nedílnou součástí je i vyhodnocení rizik), seznamovat s nimi tyto Dodavatele a vyžadovat po Dodavatelích plnění těchto pravidel.
Na základě shora uvedeného Zadavatel k zajištění kybernetické bezpečnosti významného informačního systému provozovaného Zadavatelem stanoví, že hodnota rizika každého Dodavatelem nabízeného hardware nebo software nesmí být vyšší než 18. Tato hodnota odpovídá vysoké úrovni dopadu, střední úrovni hrozby a střední úrovni zranitelnosti zjištěných postupem dle VKB, resp. příloh č. 1, 2 a 3 VKB. Pro tyto účely je dodavatel povinen učinit součástí nabídky vlastní hodnocení rizik postupem dle VKB, resp. příloh č. 1, 2 a 3 VKB.
P
Hodnocení rizik Dodavateli nabízeného software a hardware bude Zadavatel provádět v rámci posouzení splnění podmínek účasti v souladu s ZKB a VKB, přičemž bude ověřovat, zda Dodavatelem provedené hodnocení rizik dle předchozího odstavce odpovídá skutečnosti. Pro splnění podmínek účasti v zadávacím řízení je rozhodné hodnocení rizik provedené Zadavatelem. Zadavatel vyloučí z účasti v zadávacím řízení účastníka, který bude nabízet byť jen jediný hardware nebo software, který překračuje shora uvedenou hranici hodnoty rizika.
Katalogové č. | Popis nabízeného zařízení | Počet kusů | Úroveň rizika HW & SW celkem / Dopad x Hrozba x Zranitelnost | Dopad | Hrozba | Zranitelnost |
4 | 12 | 3 | 2 | 2 | ||
1 | 12 | 3 | 2 | 2 |
Plnění B:
Předmětem dodávky Plnění B veřejné zakázky je technická podpora pro zařízení a licence definované
v předmětu Plnění A (tj. Plnění A.1 a A.2):
Součástí technické podpory musí být minimálně:
• Hlášení incidentů a závad, tak i veškeré činnosti spojené s jejich vyřízením, bude realizováno prostřednictvím ServiceDeskového nástroje Dodavatele, ze kterého bude Zadavateli poskytován na měsíční bázi export dat týkajících se zařízení Zadavatele (zejména popis zařízení, konfigurace zařízení, činnosti prováděny se zařízením).
• Přijímání incidentů a závad musí být umožněno v režimu 24x7.
• Odstranění závady nejdéle do 4 hodin od nahlášení incidentu nebo závady. V případě neodstranění závady do 4 hodin, bude účtována sankce ve výši 2 000,00 Kč za každou započatou hodinu, resp. 10 000 Kč za každou započatou hodinu v případě, že není vždy alespoň jeden NG Firewall v rámci lokality plně funkční. V případě neodstranění závady do 24 hodin, bude účtována sankce ve výši 5 000,00 Kč za každý započatý den, resp. 100 000 Kč za každý započatý den v případě, že není vždy alespoň jeden NG Firewall v rámci lokality plně funkční. V případě nedostupnosti ServiceDeskového nástroje (resp. nemožnosti nahlášení závady ani náhradním předem dohodnutým způsobem) pro nahlášení závady bude účtována sankce ve výši 3 000,00 Kč za každou započatou hodinu.
• Technická podpora musí být zajištěna přímo od výrobce zařízení dle Plnění A.
• Technická podpora musí obsahovat právo instalovat nejnovější verze obsažených SW produktů (např. firmware) a právo instalovat nejnovější aktualizace pro zajištění funkcionalit (např. definic pro IPS, antivir, antimalware, atd) i právo zakládat servisní tikety u výrobce zařízení.
• Technická podpora musí být na veškerý dodaný HW a s tím související SW licence dle Plnění A. Minimální objednatelná jednotka je 12 měsíců.
Plnění C:
Předmětem dodávky Plnění C (nenárokové plnění) jsou volitelně objednatelné práce (formou MD): Specifikace volitelných prací:
• Implementační a konfigurační práce.
• Tvorba návrhů architektury, konfigurací a způsobů zapojení zařízení definovaných v předmětu Plnění A (tj. Plnění A1 a A2) a s tím související síťové infrastruktury; způsobů integrace zařízení definovaných v předmětu Plnění A do infrastruktury Zadavatele;
• Tvorba a aktualizace dokumentací.
• Diagnostika, profylaxe, upgrade firmware zařízení definovaných v předmětu Plnění A.
• Podpora provozu zařízení definovaných v předmětu Plnění A neobsažená v Plnění B.
• Konzultační a školící práce související se zařízeními definovanými v předmětu Plnění A, a současně konzultační práce související s architekturou a provozem komunikační infrastruktury; zajištění certifikovaného proškolení pracovníků Zadavatele na zařízení dle Plnění A.
Zadavatel je oprávněn objednat libovolný rozsah činností v maximálním kumulovaném objemu 150 MD (tj. člověkodnů) po dobu 60 měsíců od účinnosti Rámcové dohody. Minimální jednotka k objednání je 1/2 člověkohodina, tj. 1/16 člověkodne.
Dodavatel je povinen poskytnout požadované služby ve lhůtě do 5 pracovních dnů ode dne
objednávky, pokud nebude v objednávce dohodnuta lhůta delší.
Nabídnutá cena musí obsahovat všechny náklady Dodavatele, včetně cestovného do místa instalace dodaných zařízení (Praha). V případě, že jsou objednány práce v prostorách Zadavatele v rozsahu kratším než 4h, je Dodavatel oprávněn zahrnout čas cesty v maximálním rozsahu 2x1 hodina do hodin vykázaných k fakturaci.
Příloha č. 2 rámcové dohody č.j. PPR-17787-13/ČJ-2021-990656
Příloha č. 2 - Specifikace ceny
Požadované plnění | Obchodní označení produktu | Jednotka | Jednotková cena bez DPH | Cena za ks s DPH |
Plnění A.1 - Firewally včetně implementace a jednoleté technické podpory | ks | 4 058 000,00 Kč | 4 910 180,00 Kč | |
Plnění A.2 - SW pro správu Firewallů včetně implementace a jednoleté technické podpory | ks | 264 000,00 Kč | 319 440,00 Kč | |
Plnění B - Technická podpora | rok | 5 755 000,00 Kč | 6 963 550,00 Kč | |
Plnění C - Práce na objednávku | Cena práce za jeden člověkoden (MD) | MD | 9 000,00 Kč | 10 890,00 Kč |
Příloha č. 3
Vzor návrhu na uzavření Prováděcí smlouvy o poskytnutí plnění dle Rámcové dohody (lze
upravit dle konkrétních podmínek)
Prováděcí smlouva č. ……… č.j…………..…..
k Rámcové dohodě č.j.………………………
Smluvní strany:
Česká republika – Ministerstvo vnitra
Sídlo: Nad Štolou 936/3, PSČ 170 34, Praha
IČ: 00007064
DIČ: CZ00007064
Zastoupená: ,
Bankovní spojení: Česká národní banka, Praha 1
č.ú. 5504881/0710
Korespondenční adresa: Policejní prezidium ČR, Ředitelství pro podporu výkonu služby,
poštovní schránka 62/ ŘPVS, 170 89 Praha 7
(dále jen „Objednatel“)
a
……………………………..
……………………………..
……………………………..
(dále jen „Dodavatel“)
(společně dále také jen „Smluvní strany“, nebo jednotlivě „Smluvní strana“)
uzavřely tuto Prováděcí smlouvu (dále jen „Prováděcí smlouva“) k Rámcové dohodě
………………….., ze dne………… (dále jen „Rámcová dohoda“) v souladu s ustanoveními zákona č. 89/2012 Sb., občanský zákoník, (dále jen „občanský zákoník“) a zákona č. 134/2016 Sb., o zadávání veřejných zakázek (dále jen „ZZVZ) k veřejné zakázce s názvem ……………….
č.j……………..
1. PŘEDMĚT SMLOUVY
1.1. Předmětem této Prováděcí smlouvy je závazek Dodavatele poskytnout Objednateli plnění
v souladu se specifikací uvedenou v Příloze č. 1 této Prováděcí smlouvy (dále též jen
„Plnění“).
1.2. Objednatel se zavazuje řádně dodané Plnění převzít a zaplatit za něj dohodnutou cenu, a to
způsobem definovaným v této Prováděcí smlouvě a v Rámcové dohodě.
2. CENA
2.1. Celková cena za Plnění dle této Prováděcí smlouvy činí ,- Kč bez DPH. Cena
za jednotlivé položky Plnění je uvedena v Příloze č. 2 této Prováděcí smlouvy.
3. TERMÍN PLNĚNÍ A MÍSTO PLNĚNÍ
3.1. Dodavatel je povinen dodat předmět plnění do ………….. od účinnosti smlouvy, pokud
v Příloze č. 1 není stanoveno jinak.
3.2. Místem plnění je………..
3.3. Adresa Objednatele pro doručení daňového dokladu je:……………………..
4. OSTATNÍ UJEDNÁNÍ
4.1. Veškerá ujednání této Prováděcí smlouvy navazují na Rámcovou dohodu a podmínkami uvedenými v Rámcové dohodě se řídí, tj. práva a povinnosti či skutečnosti neupravené v této Prováděcí smlouvě se řídí ustanoveními Rámcové dohody. V případě, že ujednání obsažené v této Prováděcí smlouvě se bude odchylovat od ustanovení obsaženého v Rámcové dohodě, má ujednání obsažené v této Prováděcí smlouvě přednost před ustanovením obsaženým v Rámcové smlouvě, ovšem pouze ohledně plnění sjednaného v této Prováděcí smlouvě.
4.2. Tato Prováděcí smlouva nabývá účinnosti dnem uveřejnění v registru smluv dle zákona č.340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv).
4.3. Tato Smlouva je vyhotovena tak, že je podepsána oběma Smluvními stranami elektronickým podpisem s tím, že zároveň Objednatel obdrží 1 (jeden) stejnopis s platnosti originálu podepsány oběma Smluvními stranami vlastnoručně a Dodavatel obdrží 1 (jeden) stejnopis s platnosti originálu podepsány oběma Smluvními stranami vlastnoručně tj. ne elektronicky.
4.4. Nedílnou součástí této Smlouvy jsou následující přílohy: Příloha č. 1 – „Specifikace předmětu plnění“
Příloha č. 2 – „Rozpočet ceny“ (další přílohy )
V ……….. dne …………. V ………… dne …………….
Objednatel: Dodavatel:
………………….. …………………..
Ministerstvo vnitra – Česká republika …………………………
Zástupce: …………….. Zástupce: ………………..