SMLOUVA O POSKYTOVÁNÍ SLUŽEB
SMLOUVA O POSKYTOVÁNÍ SLUŽEB
(dále jen "Smlouva")
uzavřená níže uvedeného dne, měsíce a roku mezi těmito smluvnimi stranami:
1. Podpůrný a garanční rolnický a lesnický fond, a.s.
se sídlem; Xxxxxxxxxx 000/00, 000 00 Xxxxx 0 - Xxxxxx
zastoupený: Mgr. Dipl. - Ing. sc. agr. Xxxxxxxxxx Xxxxx, předsedou představenstva IČO; 49241494
DIČ: CZ42196451
zapsaný v obchodním rejstříku vedeném Krajským soudem v Hradci Kinlové, oddil AXII, vložka 540 (dále jen .^Objednatel'")
2. XXXXX,a.s.
se sídlem: Klapková 546
zastoupená: Xxxxxx Xxxxxxxxx, statutární ředitel IČO: 27571505
DIČ; CZ27571505
zapsaná v obchodním rejstříku vedeném městským soudem v Praze oddíl B vložka 10882 bankovní spojení:
(dále jen ''Poskytovatel'')
Článek 1 Předmět Smlouvy
1.1 Předmětem této smlouvy je „Analýza bezpečnostních rizik infonnačních aktiv a vypracování návrhu bezpečnostních opatření pro jejich snižení“, kteiý je v souladu se souvisejícími standardy (nonny ISO/IEC 27001 a ISO/IEC 27002). Projekt bude respektovat veškeré požadavky zákazníka, příslušných norem a platných zákonů. Smlouvy je třeba ^'ykládat v souladu s nabídkou Poskytovatele ze dne 19. 6. 2019 na elektronickém tržišti Gemin.
1.2 Poskytovatel výslovně prohlašuje, že se náležitě seznámil se všemi podklady, že jsou mu známé veškeré technické, kvalitativní a jiné podmínky plnění, že disponuje kapacitami a odbornými znalostmi potřebnými k řádnému plnění jeho závazků podle této Smlouvy a že ke splnění všech svých závazků podle této Smlouvy je způsobilý.
1.3 Poskytovatel výslovně prohlašuje, je oprávněn poskytovat/zajistit poskytování plnění dle této Smlouvy, že k tomu disponuje potřebnými znalostmi, právy autorskými a jinými a má plné oprávnění poskytovat plnění i v České republice.
1.4 Stejně jako u ostatních zakázek tohoto typu je i na procesy analýzy bezpečnostních rizik informačních aktiv a havarijních plánů aplikován model PDCA.
1.5 V následující části uvádíme stručný popis činností nutných ke splnění specifikace předmětu této veřejné zakázky.
Článek!
Specifikací činností
2.1. Detailní specifikace dílčích činností zajišťovaných Poskytovatelem:
2.1.1. Analýza rizik stávajícího systému dle ISO/IEC 27001 a ISO/IEC 27002:
proces porovnávání odhadovaných rizik proti přínosu a/nebo ceně možných bezpečnostních opatření, kteiý se skládá z následujících částí:
a. Návrh a schválení metodiky pro provedení analýzy rizik
Hodnocení a řízení rizik je zcela individuální pro každou organizaci. Konzultanti do 60 dní od podpisu smlouvy fomiálně evidovaným projektovým dokumentem doporučí a pomohou v^'brat vhodnou metodiku pro identifikaci a ocenění rizik a definovat kritéria, na základě, kteiých se bude rozhodovat o tom kdy je dané riziko pro organizaci akceptovatelné a kdy nikoli. Definici vhodné metody, včetně volby metrik pro ocenění rizik je vhodné popsat ve směrnici, která vznikne nejdéle do konce projektu (povinný dokumentovaný postup - viz čl. 4.2.1. c nonny ISO/IEC 27001).
Výstup: Metodika analýzy a hodnocení rizik
b. Identifikace kontextu a hranic pro analýzu rizik
c. Identifikace a ocenění infonnačních aktiv v rámci hranic analýzy (bezpečnostního perimetru)
V rámci tohoto kroku budou identifikována veškerá infonnační aktiva důležitá z pohledu informační bezpečnosti. Tato aktiva budou vkládána do vhodné tabulky, nebo vhodného IS, dále jen Registru aktiv, který může být v rámci projektu zapůjčen a následně jim bude přiřazena hodnota dle interní klasifikaění stupnice.
d. Identifikace hrozeb a zranitelností
V tomto kroku budou na základě diskuze s jednotli\^aTii vlastníky aktiv vybrány z katalogu hrozeb všechny hrozby, která se vztahují k daným aktivům. Totéž bude provedeno v případě zranitelností.
e. Odhad pravděpodobnosti realizace hrozeb/vyiižití zranitelných míst
Výše uvedený seznam hrozeb a zranitelností bude v tomto kroku doplněn o odhad pravděpodobnosti výskytu jednotlivých hrozeb.
f. Provedení vlastní analýzy rizik dle ISO/IEC 31000 a ISO/IEC 27005
Analýza rizik bude prováděna formou brainstomiingu za účasti odborníků objednatele i zadavatele a zkušeného moderátora, přičemž se použije metoda „WHAT - IF“. (Postup při provádění analýzy rizik bude popsán v povinném dokumentovaném postupu, kteiý bude vytvořen v rámci plnění předmětu zakázky.
Analýza rizik se bude provádět podle předem sestaveného harmonogramu, kteiý bude sestaven nejdéle do 60 dní po podepsání smlouvy tak, aby Analýza rizik pokiyla celou organizaci, všechny klíčové procesy a hlavní provozní operace organizace ve vazbě na ICT.
Výstupem z analýzy rizik bude podrobná zpráva s popisem jednotlivých rizik a jejich ohrožení. Tato zpráva bude prezentována vedení.
Výstup: Dokument Analýza rizik. Předání dokumentu bude součástí akceptace díla.
2.1.2. Návrh opatření ke zvýšení úrovně bezpečnosti informací, dat a IS
V této etapě bude vypracován plán řízení rizik s využitím knihovny opatření dle ISO/IEC 27001 a ISO/IEC 27002. Na základě výsledků analýzy rizik odborný tým vybere bezpečnostní opatření, na která vypracuje programy (postupy/projekty) pro odstranění nebo snížení rizik.
Při navrhování bezpečnostních opatření pro odstranění nebo minimalizaci rizik je vhodné počítat i s dalšími možnostmi řízení rizik, jako např.:
• vědomé přijetí rizik, je-li to v souladu s bezpečnostní politikou a systémem řízení rizik (akceptovatelná rizika),
• vyhnutí se rizikům,
• přenesení nebo rozložení xxxx xxxxxx na další strany (například dodavatele, pojišťovny)
Při výběru bezpečnostních opatření se bude vycházet především z následujících priorit;
• splnění požadavků platných právních předpisů, aplikovaných norem a dalších předpisů a požadavků
• plánovaný rozvoj aktivit organizace a jejího ISMS
• uplatnění „best practices“
Velký důraz je kladen na přesné strukturování existujících problémů a nedostatků tak, aby připravený program řízení rizik obsahoval klíčové podklady pro kvalifikovaná rozhodnutí managementu Organizace
Výstupem je dlouhodobý bezpečnostní program - Plán bezpečnosti, který je složen z několika relativně samostatných projektů s přesně definovanými cíli.
Výstup; Plán zvládání rizik. Cíle ISMS. Předání dokumentů bude součástí akceptace díla.
Článek 3
Práva a povinnosti stran
3.1 Při vykonávání své činnosti je Poskytovatel oprávněn jednat se všemi kompetentními zaměstnanci Objednatele zúčastněnými na projektu.
3.2 Poskytovatel je oprávněn požadovat od Objednatele, prostřednictvím kontaktní osoby uvedené v odst. 7.1 této smlouvy, součinnost potřebnou pro vykonávání činnosti. Objednatel poskytne zejména
informace, materiály a stanoviska, které přímo souvisí s projektem, zejména pak zmapování činností souvisejících s tvorbou registru aktiv.
3.3 Při vykonávání své činnosti je Poskytovatel oprávněn;
navrhovat změny za účelem zlepšení procesů jednotlivých částí ICT aktiv provozovaných ICT Objednatele;
doporučovat úpravy v aktuálně nastavených parametrech předmětných aktiv;
upozomovat průběžně na problematická místa ve vztahu k aktivům a řízení rizik v oblasti ICT Objednatele a navrhovat jejich řešení.
3.4 Poskytovatel je povinen vykonávat činnost dle této Smlouvy řádně, včas a s odbornou péčí, s přihlédnutím ke svým znalostem v IT oblasti. Při vykonávání činnosti dle této Smlouvy Poskytovatel spolupracuje a pravidelně infonnuje odborného garanta z odboru informačních a komunikačních technologií, kteiý je kompetentní v oblasti ICT rizik v rámci organizace Objednatele a je též kontaktní osobou za Objednatele, a řídí se jeho pokyny.
Článek 4
Cena za služby, platební a fakturační podmínky
4.1 Poskytovateli vzniká právo na zaplacení Ceny, ve výši 719.000,- Kč bez DPH, představující konečnou cenu díla, a vystavení Faktuiy dle článku 6. 1 této smlouvy poté, co dílo dokončí a předá bez vad Objednateli. O předání díla se sepíše předávací protokol. Úhrada bude provedena ve měně česká koruna.
4.2 . K faktuře vždy musí Poskytovatel přiložit Předávací protokol a musí uvést číslo této smlouvy.
4.3 Bude-li ke dni uskutečnění zdanitelného plnění poskytovatel plátcem DPH, k ceně bude připočtena DPH ve výši dle platných právních předpisů. Hodinovou sazbu včetně DPH je možno změnit pouze v případě, že v průběhu plnění služby dojde ke změnám sazeb DPH nebo ke změnám jiných legislativních předpisů, které mají vliv na cenu. Za stanovení výše DPH odpovídá Poskytovatel.
4.4 Poskytovatel nemá nárok na náhradu žádných dalších nákladů spojených s vykonáváním činnosti dle této Smlouvy. Smluvní strany výslovně stanoví, že veškeré náklady Poskytovatele spojené s vykonáváním činnosti dle této Smlouvy jsou pokiyty cenou za služby dle odst. 4. 1. tohoto článku.
4.5 V případě, že faktura nebude obsahovat některou ze zákonných nebo v této Smlouvě sjednaných náležitostí, nebo nebude obsahovat věcně správné údaje, má Objednatel právo vrátit ji zpět k opravě. Oprávněným vrácením faktury se ruší původní lhůta její splatnosti a doručením opravené faktury Objednateli začíná běžet nová lhůta splatnosti.
4.6 Splatnost faktuiy je 30 dnů ode dne doručení Objednateli na adresu xxxxxxx@xxx0x.xx. Faktura je zaplacena odepsáním účtované částky z účtu Objednatele ve prospěch účtu Poskytovatele.
4.7 Poskytovatel prohlašuje, že účet uvedený v záhlaví Smlouvy je účtem zveřejněným správcem daně způsobem umožňujícím dálkový přístup ve smyslu § 96 odst. 2 zákona o DPH. V případě, že Poskytovatel nebude mít v době uskutečnění zdanitelného plnění bankovní účet uvedený v záhlaví Smlouvy tímto způsobem zveřejněn, uhradí Objednatel Poskytovateli v dohodnutém tennínu splatnosti příslušné faktury pouze částku představující dohodnutou cenu plnění bez DPH. Částku rovnající se výši DPH z Poskytovatelem fakturované ceny plnění uhradí Objednatel, v souladu s § 109a zákona o DPH, fmaněnímu úřadu místně příslušnému Poskytovateli. Poskytovatel výslovně prohlašuje, že fakturovanou cenu plnění bude považovat tímto za zaplacenou.
4.8 Pokud v době uskutečnění zdanitelného plnění bude Poskytovatel uveden v aplikaci „Registr DPH“ jako Nespolehlivý plátce ve smyslu příslušných ustanovení zákona o DPH, dohodly se Smluvní strany, že Objednatel bude postupovat při úhradě ceny plnění/dílčí ceny plnění způsobem uvedeným v odst. 7. tohoto článku.
Článek 5
Další ujednání, včetně ujednání o smluvních pokutách a sankcích
5.1 Poskytovatel je povinen zachovávat mlčenlivost o všech skutečnostech, se kterými piúšel do styku nebo o kterých se dověděl při vykonávání činnosti dle této Smlouvy. Tato povinnost spočívá zejména v zákazu poskytovat nebo předávat informace a data, se kterými přišel do styku, která získal nebo o kterých se dověděl v souvislosti s vykonávanou činností dle této Smlouvy, třetím osobám, s výjimkou kompetentních zaměstnanců Objednatele. Povinnost mlčenlivosti dle tohoto odstavce tr-vá i po skončení účinnosti této Smlouvy.
5.2 S odkazem na zákon č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů, a též na Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), a dále na zákon č. 181/2014 Sb. o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů, se Poskytovatel zavazuje učinit taková opatření, aby veškeré osoby, kter'é se podílejí na realizaci jeho závazků z této Smlouvy, zachovávaly mlčenlivost o veškerých skutečnostech, údajích a datech (osobních či jiných), o nichž se dozvěděly při výkonu své práce, včetně těch, které Objednatel eviduje pomocí výpočetní techniky, či jinak. Za porušení tohoto závazku se považuje i využití těchto skutečností, údajů a dat, jakož i dalších vědomostí pro vlastní prospěch Poskytovatele, prospěch třetí osoby nebo pro jiné důvody. Toto ujednání platí i v případě nahrazení uvedených právních předpisů předpisy jinými.
5.3 Poskytnutí infonnací na základě povinností stanovených Smluvním stranám obecně závaznými právními předpisy není považováno za porušení povinností Smluvních stran sjednaných v tomto článku.
5.4 Pokud Poskytovatel prokazatelně poruší povinnosti uvedené v předchozím odstavci tohoto článku, je povinen zaplatit Objednateli smluvní pokutu ve výši 100.000,- Kč, a to za každý jednotlivý případ prokazatelného porušení povinnosti. Smluvní pokuta je splatná do 14 kalendářních dnů od doručení písemné výzvy k zaplacení.
5.5 Poskytovatel je povinen předat Objednateli na požádání, nejpozději však ke dni ukončení trvání této Smlouvy, všechny materiály a podklady, které mu Objednatel poskytl pro vykonávání činnosti dle této Smlouvy, které pro Objednatele v rámci plnění této Smlouvy převzal od třetích osob nebo které pro Objednatele v rámci plnění této Smlouv}' vytvořil.
5.6 Smluvní strany prohlašují, že skutečnosti uvedené v této Smlouvě nepovažují za obchodní tajemství ve smyslu § 504 zák. č. 89/2012 Sb., občanského zákoníku, a udělují svolení k jejich užití a zveřejnění bez stanovení jakýchkoliv dalších podmínek.
5.7 Žádná ze smluvních stran nezodpovídá za jakékoli zpoždění nebo nesplnění závazků vyplý-vajících z této Smlouvy, pokud je toto zpoždění nebo nesplnění způsobené okolnostmi vylučujícími odpovědnost, přičemž za okolnosti vylučující odpovědnost se považuje překážka, jež nastala nezávisle na vůli povinné strany a brání jí ve splnění její povinnosti, jestliže nelze rozumně předpokládat, že by povinná strana tuto překážku nebo její následky odvrátila nebo překonala, a dále, že by v době vzniku závazku tuto překážku předpovídala.
5.8 Zpoždění v důsledku vyšší moci by smluvní strana, která se na tuto vyšší moc odvolává, měla druhé smluvní straně bezodkladně oznámit (písemně nebo elektronicky).
5.9 V případě nedodržení písemně dohodnutých termínů, které by mohly ovlivnit další plnění služeb, může Objednatel požadovat po Poskytovateli smluvní pokutu ve výši 2.000,- Kč za každý den prodlení.
5.10 Při opakovaném neplnění povinností (nejméně 3 případy neposkytnutí služby řádně a včas) je Objednatel oprávněn odstoupit od této Smlouvy. Poskytovatel má však za povinnost upozornit Objednatele na opatření, která jsou potřebná učinit, aby se zabránilo vzniku škody.
5.11 V případě nedodržení termínu splatnosti faktuiy je Poskytovatel oprávněn účtovat Objednateli úrok z prodlení ve výši 0,05 % z fakturované částky za každý den prodlení.
Článek 6
Trvání a ukončení Smlouvy, rozsah a místo plnění
6.1 Tato Smlouva se uzavírá na dobu určitou. Účinnosti nabývá datem uveřejnění podepsané smlouvy v registru smluv (zajistí Objednatel) a končí předáním díla a dokumentace s projektem související, a to za podmínky podepsání předávacího protokolu obou zúčastněných stran. Nejpozději končí dnem 31. 12. 2019.
6.2 Pro případné předčasné ukončení této Smlouvy využijí smluvní strany přednostně dohody, ve které budou uvedeny důvody a podmínky, za kterých bude Smlouva ukončena.
6.3 Každá ze smluvních stran může tuto Smlouvu písemně vypovědět i bez udání důvodů. Výpovědní lhůta činí jeden měsíce a začíná běžet od prvního dne kalendářního měsíce následujícího po měsíci, ve kterém byla výpověď doručena druhé smluvní straně. Výpovědní lhůta končí uplynutím posledního dne posledního kalendářního měsíce výpovědní lhůty.
6.4 Místem plnění je Praha, sídlo Objednatele uvedené v záhlaví této Smlouvy.
Článek 7 Kontakty
7.1 Kontaktní osoba za Objednatele:
7.2 Kontaktní osoba za Poskytovatele:
7.3 Jednotné kontaktní místo Poskytovatele pro účely poskytování technické podpoiy:
Helpdesk
E-mail: xxxxxxxx@xxxxx.xx, telefon: 000 000 000
Článek 8
Prevence a detekce trestněprávních či neetických jednání, reakce na taková jednání
8.1 Smluvní strany níže svým podpisem stvrzují, že v průběhu vyjednávání o této smlouvě vždy jednaly a postupovaly čestně a transparentně a současně se zavazují, že takto budou jednat i při plnění této smlouv>' a veškeiých činnostech s ní souvisejících.
8.2 Smluvní strany se dále zavazují vždy jednat tak a přijmout taková opatření, aby nedošlo ke vzniku důvodného podezření na spáchání trestného činu či k samotnému jeho spáchání (včetně foímy účastenství), tj. jednat tak aby kterékoli ze smluvních stran nemohla být přičtena odpovědnost podle zákona č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim, nebo nevznikla trestní odpovědnost fyzických osob (včetně zaměstnanců) podle trestního zákoníku, případně aby nebylo zahájeno trestní stíhání proti jakékoliv ze smluvních stran včetně jejích zaměstnanců podle platných právních předpisů.
8.3 Smluvní strany se dále zavazují navzájem si neprodleně oznámit důvodné podezření ohledně možného naplnění skutkové podstaty jakéhokoli z trestných činů, zejména trestného činu korupční povahy, a to bez ohledu a nad rámec případné zákonné oznamovací povinnosti; obdobné platí ve vztahu k jednání, které je v rozporu se zásadami vyjádřenými v tomto článku.
Článek 9.
Závěrečná ustanovení
9.1 Tato Smlouva a všechny vztahy z ní vyplývající se řídí příslušnými ustanoveními zák. č. 89/2012 Sb., občanského zákoníku, v platném znění.
9.2 Poskytovatel bere na vědomí, že Objednatel, kromě uveřejnění smlouvy v registru smluv, uveřejní na svém profilu zadavatele údaje a dokumenty, týkající se této smlouvy a řízení o veřejné zakázce. Poskytovatel souhlasí s uveřejněním Smlouvy a výše skutečně uhrazené ceny na základě Smlouvy. Dále Poskytovatel bere na vědomí povinnosti stanovené dle zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti někteiých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv). V Registru smluv uveřejní Smlouvu Objednatel, Poskytovatel má právo kontroly.
9.3 Jakoukoliv pohledávku poskytovatele za Objednatelem, vzniklou na základě této Smlouvy lze postoupit pouze po písemném souhlasu Objednatele s postoupením.
9.4 Tuto Smlouvu lze měnit a doplňovat jen po dohodě obou smluvních stran, fonnou písemných dodatků podepsaných oběma smluvními stranami, s výjimkou čl. 7, kdy kontaktní údaje lze měnit pouhým oznámením emailem.
9.5 Tato Smlouva nabývá platnosti dnem jejího podpisu oběma smluvními stranami. Účinnosti nabývá nejdříve dnem uveřejnění v Registru smluv.
9.6 Smlouvaje podepsána elektronicky.
V Praze dne V Praze dne
Objednatel
Ing. Xxxx
• Digitálně
Xxxxxxx
podepsal Xxx. Xxxx Xxxxxxx
Xxxx
Poskytovatel
Digitálně podepsal Xxxx
Datum: 2019.07.01
12:53:52 +02'00'
Podpůrný a garanční rolnický a lesnický fond, a.s.
Xxx. Xxxx Xxxxxxx Místopředseda představenstva
Chmelík
h m PI ík Datum: 2019.07.01
^10:18:47 +02'00'
' SONPO, a.s.
Xxxx Xxxxxxx statutární ředitel
Ředitel ICT