SMLOUVA O PROVEDENÍ PENETRAČNÍCH TESTŮ APLIKACÍ SIS
SMLOUVA O PROVEDENÍ PENETRAČNÍCH TESTŮ APLIKACÍ SIS
evid. č. ČSÚ: 152-2020-S
Níže uvedeného dne, měsíce a roku uzavřely smluvní strany:
Česká republika – Český statistický úřad
se sídlem Na padesátém 3268/81, Praha 10, PSČ 100 82 IČO: 000 25 593
zastoupena: Ing. Xxxxxxxxx Xxxxxxxx, ředitelem odboru bezpečnosti a krizového řízení bankovní spojení: xxxxxxxxxxxxxxxxxxx
(dále jen „objednatel“ nebo „ČSÚ“) na straně jedné a
MENZO, a.s.
se sídlem Xxxxxxxxx 000/00, Xxxxxx, 000 00 Xxxxx 8 IČO: 28203526 DIČ CZ28203526
zastoupena: Ing. Xxxxxx Xxxxxxxxxxx, členem představenstva
zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, spisová zn.: B13021 bankovní spojení: xxxxxxxxxxxxxxxxxxx
(dále jen „dodavatel“) na straně druhé
(objednatel a dodavatel společně dále také jen „smluvní strany“) tuto
smlouvu o provedení penetračních testů aplikací SIS
v souladu s ust. § 1746 odst. 2) zákona č. 89/2012 Sb., občanský zákoník, v platném znění (dále jen „občanský zákoník“) a s příslušnými ustanoveními zákona č. 134/2016 Sb., o zadávání veřejných zakázek, v platném znění
(dále jen „smlouva“):
Preambule
Smluvní strany uzavírají tuto smlouvu na základě výsledku výběrového řízení na veřejnou zakázku malého rozsahu s názvem „Bezpečnostní a penetrační testování aplikací SIS“, zadávanou objednatelem jako veřejným zadavatelem ve smyslu ust. § 4 zákona č. 134/2016 Sb., o zadávání veřejných zakázek (dále jen „zákon o veřejných zakázkách“), a to v souladu s ust.
§ 31 zákona o veřejných zakázkách mimo režim zadávacího řízení podle zákona o veřejných zakázkách pod interním číslem VZ 021/2020 (dále jen „veřejná zakázka“), v němž byla nabídka dodavatele vybrána jako nejvýhodnější.
Článek I
Účel smlouvy, úvodní ustanovení
1. Účelem této smlouvy je provedení penetračního testování aplikací Statistického informačního systému (dále jen „SIS“) dostupných z internetu a webové prezentace ČSÚ a vymezení vzájemných práv a povinností smluvních stran při plnění předmětu smlouvy.
2. Pro plnění předmětu této smlouvy jsou závazné rovněž všechny dokumenty vztahující se k veřejné zakázce, a to výzva a zadávací podmínky včetně všech příloh vztahujících se k předmětu této smlouvy (dále jen „zadávací dokumentace“) a nabídka dodavatele.
3. Dodavatel výslovně prohlašuje, že se seznámil se zadávací dokumentací veřejné zakázky, přičemž mu nejsou známy žádné nejasnosti či pochybnosti, které by znemožňovaly řádné plnění jeho závazků podle této smlouvy. Dodavatel se zavazuje, že plnění na základě této smlouvy bude poskytovat v souladu se zadávacími podmínkami veřejné zakázky a v souladu se svou nabídkou.
4. Dodavatel prohlašuje, že se detailně seznámil s rozsahem a povahou předmětu plnění této smlouvy, že jsou mu známy podmínky nezbytné pro její realizaci, a že disponuje takovými kapacitami a odbornými znalostmi, včetně technického a personálního zázemí, které jsou nezbytné pro realizaci této smlouvy za dohodnutou maximální smluvní cenu uvedenou ve smlouvě, a to rovněž ve vazbě na jím prokázanou kvalifikaci pro plnění veřejné zakázky.
5. Dodavatel se zavazuje plnit své závazky plynoucí z této smlouvy v souladu s platnými právními předpisy a s veškerými zadávacími podmínkami veřejné zakázky. Dodavatel prohlašuje, že jím poskytované plnění je prosto práv třetích osob (nevyplývá-li z dalšího textu smlouvy něco jiného) a že plněním této smlouvy neporušuje autorská nebo průmyslová práva třetích osob nebo jiná obdobná práva třetích osob. Pokud by toto prohlášení dodavatele neodpovídalo skutečnosti, je objednatel oprávněn požadovat po dodavateli a dodavatel je povinen objednateli uhradit náhradu škody, která objednateli vznikla porušením práv třetích osob a uplatňováním jejich nároků s tím spojených, v plné výši.
Článek II Předmět smlouvy
1. Dodavatel se touto smlouvou zavazuje pro objednatele:
a) provést penetrační testy aplikací SIS dostupných z internetu a webové prezentace ČSÚ, a to konkrétně:
• vnější penetrační test webové aplikace xxxxxxxxx-xxxxxx.xxxx.xx
• vnější penetrační test webové aplikace xxxxxxxx.xxxx.xx
• vnější penetrační test webové aplikace xxx.xxxx.xx
• penetrační test webové aplikace xxxx-xxxxx-xxxx.xxxx.xx (včetně testu API)
• vnější penetrační test webové prezentace ČSÚ xxxx.xx
a to v rozsahu a za podmínek stanovených v příloze č. 1 této smlouvy (dále také jen
„penetrační testy“), a dále
b) vypracovat závěrečné zhodnocení bezpečnosti testovaných aplikací a webové prezentace, a to v rozsahu stanoveném v příloze č. 1 této smlouvy (dále také jen „závěrečné zhodnocení“).
Penetrační testy a závěrečné zhodnocení jsou v této smlouvě souhrnně označeny také jen jako „předmět plnění“.
2. Objednatel se touto smlouvou zavazuje zaplatit dodavateli za řádně provedený předmět plnění podle odst. 1. tohoto článku smlouvy cenu ve výši a za podmínek uvedených v článcích IV a V této smlouvy.
Článek III
Místo a termín plnění
1. Místem plnění podle této smlouvy je sídlo ČSÚ na adrese uvedené v úvodu smlouvy s tím, že podle charakteru plnění může dodavatel předmět plnění poskytovat i vzdáleným přístupem.
2. Dodavatel se zavazuje řádně poskytnout předmět plnění, tj. řádně provést penetrační testy specifikované v článku II odst. 1 písm. a) této smlouvy, vypracovat závěrečné hodnocení specifikované v článku II odst. 1 písm. b) této smlouvy a předat řádně vypracované závěrečné hodnocení objednateli k akceptaci nejpozději do 23 (slovy: dvaceti tří) dní od okamžiku, kdy tato smlouva nabude účinnosti.
Článek IV
Cena předmětu plnění
1. Celková cena za předmět plnění uvedený v článku II odst. 1. této smlouvy, tj. za provedení penetračních testů a za zpracování závěrečného zhodnocení (dále také jen „cena za předmět plnění“) činí 109.000,- Kč (slovy: jednostodevěttisíc korun českých) bez DPH.
2. K ceně za předmět plnění podle předchozího odstavce bude připočtena DPH v sazbě podle právních předpisů platných ke dni uskutečnění zdanitelného plnění.
3. Cena za předmět plnění je sjednána jako cena nejvýše přípustná a nepřekročitelná a zahrnuje veškeré náklady na předmět plnění podle této smlouvy, včetně licenčních poplatků, správních poplatků a nákladů na daně a pojištění, jakož i ceny za služby a dodávky, které nejsou výslovně uvedeny v zadávací dokumentaci k veřejné zakázce nebo v této smlouvě, ale dodavatel jako odborník o nich ví nebo má vědět, že jsou nezbytné pro řádné poskytnutí předmětu plnění podle této smlouvy.
4. Dodavatel ve smyslu ust. § 1765 odst. 2 občanského zákoníku přebírá nebezpečí změny okolností po uzavření této smlouvy.
Článek V
Platební podmínky
1. Dodavatel je oprávněn vyúčtovat objednateli cenu za předmět plnění po akceptaci předmětu plnění bez výhrad podle článku VI odst. 4. písm. a) této smlouvy.
2. Vyúčtování ceny provede dodavatel daňovým dokladem – fakturou, která musí obsahovat veškeré podstatné náležitosti podle zvláštních právních předpisů, zejména podle zákona č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů a zákona č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů. Kromě těchto podstatných náležitostí musí daňový doklad – faktura dodavatele obsahovat evidenční číslo objednatele této smlouvy, číslo účtu dodavatele a všechny údaje uvedené v ust. § 435 odst. 1 občanského zákoníku.
3. Lhůta splatnosti ceny činí 21 (slovy: dvacet jedna) dnů a (z důvodu interních účetních předpisů objednatele) v případě faktury vystavené v prosinci nebo lednu kalendářního roku
60 (slovy: šedesát) dnů ode dne doručení faktury se sjednanými náležitostmi objednateli do datové schránky, doporučenou listovní zásilkou nebo osobně do podatelny v sídle ČSÚ. Není-li ve smlouvě výslovně stanoveno jinak, totožnou lhůtu splatnosti sjednávají smluvní strany i pro placení jiných plateb podle této smlouvy (úroky z prodlení, náhrada škody apod.).
4. Objednatel je oprávněn před uplynutím lhůty splatnosti vrátit dodavateli fakturu, která neobsahuje požadované náležitosti, která obsahuje cenu vyúčtovanou v rozporu s touto smlouvou nebo chybně vyúčtovanou DPH. Lhůta splatnosti začíná v takovém případě znovu běžet ode dne doručení opravené faktury objednateli způsobem uvedeným v předchozím odstavci.
5. Cena za předmět plnění podle této smlouvy se pokládá za uhrazenou okamžikem odepsání příslušné částky z účtu objednatele ve prospěch účtu dodavatele.
Článek VI Akceptace
1. Předmět plnění se považuje za řádně splněný jeho akceptací bez výhrad (podle odst. 4. písm. a) tohoto článku smlouvy) objednatelem v akceptačním protokolu (dále jen „akceptační protokol“), a to za předpokladu, že předmět plnění byl dodavatelem objednateli poskytnut řádně a v termínu sjednaném v článku III odst. 2. této smlouvy.
2. Dodavatel je povinen předložit objednateli akceptační protokol spolu se závěrečným hodnocením v termínu sjednaném v článku III odst. 2. této smlouvy.
3. Objednatel je povinen do 5 (slovy: pěti) dnů od předložení dokumentů uvedených v článku VI odst. 2. této smlouvy prověřit akceptační protokol a závěrečné hodnocení a informovat dodavatele s nejméně dvoudenním předstihem o termínu případného jednání k projednání akceptace v případě, že předmět plnění neakceptuje bez výhrad podle odst. 4. písm. a) tohoto článku smlouvy ihned.
4. Akceptační řízení je zahájeno dnem předložení akceptačního protokolu spolu se závěrečným hodnocením objednateli a jeho výsledkem může být:
a) Akceptace bez výhrad: Neshledá-li objednatel v předmětu plnění žádné vady ani nedodělky (vady anebo nedodělky společně dále jen „vady“), uvede do akceptačního protokolu, že předmět plnění akceptuje bez výhrad a akceptační protokol potvrdí oprávnění zástupci obou smluvních stran svými podpisy;
b) Neakceptace: Shledá-li objednatel v předmětu plnění vady, stanoví po konzultaci s objednatelem závazný termín jejich odstranění. Objednatel do akceptačního protokolu uvede, že předmět plnění neakceptuje, uvede seznam vad a termín pro odstranění vad a oprávnění zástupci obou smluvních stran potvrdí akceptační protokol svými podpisy. Po odstranění všech vytčených vad provedou smluvní strany nové akceptační řízení za stejných podmínek. Pro vyloučení pochybností smluvní strany sjednávají, že v případě neakceptace předmětu plnění objednatelem je dodavatel v prodlení ode dne sjednaného termínu pro řádné poskytnutí předmětu plnění do odstranění všech vad, tj. do okamžiku předání předmětu plnění v takovém stavu, že byl akceptován objednatelem bez výhrad podle písm. a) tohoto odstavce.
5. Nezúčastní-li se dodavatel jednání s objednatelem k projednání akceptace anebo odmítne- li podepsat akceptační protokol, má se za to, že se skutečnostmi v něm uvedenými souhlasí.
6. Akceptace předmětu plnění bez výhrad je podmínkou oprávněnosti fakturace ceny předmětu plnění.
Článek VII
Další práva a povinnosti smluvních stran
1. Dodavatel se zavazuje:
a) poskytnout objednateli předmět plnění řádně a včas, v souladu s podmínkami této smlouvy a s platnými právními předpisy, podle svých nejlepších znalostí a schopností a s potřebnou odbornou péčí;
b) dodržovat pokyny a interní předpisy objednatele ve vztahu k bezpečnosti a provozu informačního systému objednatele;
c) udržovat v platnosti po celou dobu trvání této smlouvy pojištění odpovědnosti za škodu způsobenou dodavatelem třetí osobě s limitem pojistného plnění ve výši minimálně
2.000.000 Kč (slovy: dva miliony korun českých) na jednu škodní událost; na vyžádání je dodavatel povinen tuto pojistnou smlouvu objednateli doložit kdykoli v průběhu trvání této smlouvy;
d) na žádost objednatele spolupracovat a poskytnout potřebnou součinnost třetím osobám určeným objednatelem;
e) předávat objednateli případnou dokumentaci vytvořenou anebo aktualizovanou při poskytování předmětu plnění podle této smlouvy;
f) poskytovat předmět plnění podle této smlouvy tak, aby nebyl v nadbytečném rozsahu omezen provoz v místě plnění;
g) i bez pokynů objednatele provést neodkladné úkony související s předmětem této smlouvy, které jsou nezbytné pro zamezení vzniku škody ve smyslu ust. § 2908 občanského zákoníku;
h) zajistit, aby všechny osoby, které se na jeho straně podílí na předmětu plnění a které budou přítomny v prostorách místa plnění, dodržovaly všechny bezpečnostní a provozní předpisy, s nimiž jej objednatel seznámí;
i) zachovávat mlčenlivost ohledně skutečností, které jsou obsahem této smlouvy, které se v souvislosti s plněním předmětu této smlouvy dozvěděl anebo které objednatel označil za důvěrné a dále zajistit, aby jeho zaměstnanci a další osoby podílející se na jeho straně na plnění předmětu této smlouvy byli v souladu s platnými právními předpisy poučeni
o povinnosti mlčenlivosti a o možných následcích pro případ porušení této povinnosti. Povinnost mlčenlivosti se nevztahuje na informace, které se staly obecně známými za předpokladu, že se tak nestalo porušením některé z povinností vyplývajících ze smlouvy anebo o kterých tak stanoví zákon, zpřístupnění je však možné vždy jen v nezbytném rozsahu;
j) pro případ, že se v průběhu plnění předmětu této smlouvy dostane do kontaktu s osobními údaji, že je bude ochraňovat a nakládat s nimi plně v souladu s touto smlouvou a s příslušnými právními předpisy, zejména s Nařízením Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, a v souladu s článkem XII této smlouvy;
k) po celou dobu trvání této smlouvy zachovat kvalifikaci, kvalitu, specializaci a počet členů svého realizačního týmu v souladu se svou nabídkou k veřejné zakázce a změnit počet členů, personální složení realizačního týmu anebo specializaci jednotlivých členů realizačního týmu pouze na základě předchozího písemného souhlasu objednatele. Objednatel je povinen se k navržené změně vyjádřit nejpozději do 5 (slovy: pěti) pracovních dnů od doručení návrhu s tím, že nevyjádří-li se v uvedené lhůtě, má se za to, že se změnou souhlasí.
2. Objednatel se zavazuje:
a) poskytovat po celou dobu trvání této smlouvy dodavateli veškerou nezbytnou součinnost potřebnou k naplnění účelu smlouvy;
b) převzít od dodavatele bez zbytečného odkladu řádně splněný předmět plnění ve smyslu této smlouvy.
3. Dodavatel se zavazuje poskytnout objednateli předmět plnění osobně a není oprávněn poskytnout předmět plnění ani jeho část prostřednictvím poddodavatele.
4. V případě, že výsledkem činnosti dodavatele podle této smlouvy je dílo, které naplňuje znaky autorského díla ve smyslu zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (dále jen „autorské dílo“), poskytuje dodavatel objednateli ve smyslu ust. § 2371 občanského zákoníku licenci, tj. oprávnění k výkonu práva autorské dílo užít, a to v rozsahu nezbytném pro jeho řádné užívání a po celou dobu trvání příslušných práv, k účelu, ke kterému bylo autorské dílo dodavatelem vytvořeno. Licence je udělena jako neodvolatelná, neomezená množstevním rozsahem, neomezená způsobem nebo rozsahem užití a teritoriálně neomezená. Dále je licence udělena na dobu určitou (po dobu trvání majetkových práv k autorskému dílu). Objednatel není povinen licenci využít a je oprávněn poskytnout třetím osobám sublicenci. Objednatel je oprávněn zpřístupnit užívání autorského díla svým zástupcům, právním nástupcům a dodavatelům (včetně dodavatelů outsourcingu), a to k účelu, ke kterému bylo autorské dílo dodavatelem vytvořeno. Licenční odměny za veškerá oprávnění poskytnutá objednateli podle tohoto odstavce smlouvy jsou zahrnuty v ceně za předmět plnění podle této smlouvy.
Článek VIII
Smluvní pokuty, úroky z prodlení
1. V případě prodlení s řádným poskytnutím předmětu plnění dle článku III odst. 2. této smlouvy je objednatel oprávněn požadovat a dodavatel povinen objednateli zaplatit smluvní pokutu ve výši 1.500 Kč (slovy: jeden tisíc pět set korun českých) za každý započatý den prodlení.
2. V případě porušení kterékoli z povinností dodavatele stanovených v článku VII odst. 1. písm. c), i), j) anebo k) smlouvy nebo v případě porušení povinnosti dodavatele stanovené v článku VII odst. 3. této smlouvy je objednatel oprávněn požadovat a dodavatel povinen objednateli zaplatit smluvní pokutu ve výši 50.000 Kč (slovy: padesát tisíc korun českých) za každý jednotlivý případ porušení smluvní povinnosti, resp. za každý započatý měsíc, v němž nemá dodavatel sjednánu platnou a účinnou pojistnou smlouvu s požadovanými parametry.
3. Za porušení kterékoli jiné smluvní povinnosti, pokud takovou povinnost dodavatel nesplní ani v dodatečné přiměřené lhůtě poskytnuté objednatelem (nevylučuje-li to charakter porušené povinnosti s tím, že v pochybnostech se má za to, že dodatečná lhůta pro splnění povinnosti je přiměřená, pokud činí alespoň pět kalendářních dnů), je objednatel oprávněn požadovat a dodavatel povinen objednateli zaplatit smluvní pokutu ve výši 10.000 Kč (slovy: deset tisíc korun českých) za každý jednotlivý případ, resp. za každý započatý den prodlení se splněním smluvní povinnosti.
4. Smluvní pokuty jsou splatné dnem porušení příslušné smluvní povinnosti a dodavatel je povinen je objednateli zaplatit ve lhůtě uvedené ve výzvě objednatele k zaplacení smluvní pokuty. Objednatel je oprávněn jednostranně započíst svou pohledávku za dodavatelem z titulu smluvní pokuty proti jakékoli splatné pohledávce dodavatele za objednatelem. Dodavatel výslovně prohlašuje, že výše smluvních pokut podle tohoto článku smlouvy je přiměřená a odpovídá charakteru zajišťovaných povinností.
5. Vedle smluvní pokuty má objednatel vůči dodavateli nárok na náhradu škody případně vzniklé porušením smluvní povinnosti, a to v plné výši.
6. V případě prodlení objednatele s uhrazením ceny nebo její části je dodavatel oprávněn požadovat a objednatel povinen dodavateli zaplatit úroky z prodlení v sazbě podle platných právních předpisů k prvému dni prodlení.
Článek IX Ukončení smlouvy
1. Tato smlouva může být kdykoli ukončena na základě písemné dohody obou smluvních stran.
2. Smluvní strany jsou oprávněny od této smlouvy jednostranně odstoupit v případě jejího podstatného porušení druhou smluvní stranou s tím, že za podstatné porušení smlouvy se pro účely tohoto ujednání pokládá zejména:
• prodlení dodavatele s řádným poskytnutím předmětu plnění delší než 10 (slovy: deset) dní;
• porušení kterékoli z povinností dodavatele podle článku VII odst. 1. písm. c), i), j) nebo k) této smlouvy;
• prodlení dodavatele se splněním kterékoli jiné smluvní povinnosti, nesplní-li dodavatel takovou povinnost ani v přiměřené dodatečné lhůtě poskytnuté mu objednatelem (pro vyloučení pochybností smluvní strany sjednávají, že za přiměřenou se pro účely tohoto ujednání pokládá lhůta pěti dnů);
• prodlení objednatele s úhradou ceny nebo části ceny za předmět plnění delší než 30 (slovy: třicet) dnů.
3. Odstoupení od smlouvy se nedotýká práva na zaplacení smluvních pokut, úroků z prodlení, práva na náhradu škody vzniklé z porušení smluvní povinnosti ani ujednání, které má vzhledem ke své povaze zavazovat smluvní strany i po odstoupení od smlouvy.
4. V případě předčasného ukončení smlouvy se smluvní strany zavazují poskytnout si vzájemně veškerou potřebnou součinnost k zamezení vzniku škody.
Článek X Vyšší moc
1. Jestliže některá ze smluvních stran není schopna dostát svým závazkům podle této smlouvy anebo je v prodlení v důsledku okolností, které nemůže ovlivnit ani předvídat v okamžiku jejich uzavření, nebude tato smluvní strana považována za smluvní stranu, která je v prodlení anebo která jiným způsobem porušila své smluvní závazky a nebude po dobu trvání působení vyšší moci povinna k plnění těchto závazků ani nebude povinna hradit smluvní sankce za porušení smluvní povinnosti.
2. Působení vyšší moci je dotčená smluvní strana povinna bez zbytečného odkladu po vzniku překážky vyšší moci písemně oznámit druhé smluvní straně.
3. V případě, že působení vyšší moci trvá déle než 30 (slovy: třicet) kalendářních dní, je smluvní strana, u které není dáno působení vyšší moci, oprávněna ukončit tuto smlouvu písemným odstoupením od smlouvy.
Článek XI Kontaktní a oprávněné osoby
1. Smluvní strany tímto prohlašují, že jména kontaktních osob ve věcech administrativních a technických a jména oprávněných osob ve věcech smluvních a akceptace, které budou odpovědné za řádnou koordinaci činností souvisejících s poskytnutím předmětu plnění podle této smlouvy, a to včetně e-mailového a telefonického spojení na tyto osoby jsou obsaženy v příloze č. 2 této smlouvy.
2. Jakoukoli změnu v kontaktních a oprávněných osobách je každá ze smluvních stran povinna oznámit druhé smluvní straně písemnou formou bez zbytečného odkladu.
Článek XII Nakládání s osobními údaji
1. Smluvní strany se zavazují zajistit povinnost mlčenlivosti všech svých pracovníků či jiných osob, jež budou přicházet do styku s osobními údaji, a to v tomto rozsahu:
a) zachovávat mlčenlivosti o poskytnutých osobních údajích i o způsobu jejich zabezpečení;
b) nezneužít osobní údaje ve prospěch svůj ani třetích osob;
c) nevystavit osobní údaje přístupu neoprávněných osob ani nebezpečí jejich ztráty;
d) zajistit povinnosti mlčenlivosti ohledně osobních údajů i po skončení plnění podle této smlouvy.
2. Smluvní strany berou na vědomí, že
a) každá ze smluvních stran je správcem osobních údajů (dále také jen „správce“) získaných od pracovníků smluvních stran v souvislosti s uzavřením této smlouvy;
b) subjektem údajů se pro účely této smlouvy rozumí pracovník ČSÚ a pracovník dodavatele, jehož osobní údaje si smluvní strany poskytují v souvislosti s uzavřením této smlouvy;
c) osobní údaje získané v souvislosti s uzavřením této smlouvy budou zpracovány v souladu s Nařízením Evropského parlamentu a rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále také jen „GDPR“) a souvisejícími právními předpisy, výhradně za účelem realizace závazků z této smlouvy;
d) osobní údaje získané v souvislosti s uzavřením této smlouvy nebudou poskytovány třetím osobám (příjemcem osobních údajů jsou výlučně smluvní strany navzájem a nebudou předávány třetím osobám ani příjemci ve třetí zemi nebo mezinárodní organizaci);
e) osobní údaje získané v souvislosti s uzavřením této smlouvy budou správcem uloženy po dobu nezbytně nutnou pro realizaci závazků z této smlouvy a pro splnění povinností správce plynoucích v souvislosti s uzavřením této smlouvy z platných právních předpisů.
3. Smluvní strany prohlašují a nesou odpovědnost za to, že jejich pracovníci stanovení smluvními stranami jako kontaktní osoby podle článku XI této smlouvy a členové realizačního týmu dodavatele, byli poučeni:
a) o tom, že smluvní strany si vzájemně předávají jejich osobní údaje v rozsahu: titul, příp. vědecká hodnost, jméno, příjmení, adresa elektronické pošty a telefonní číslo, v rámci plnění této smlouvy, a to za účelem realizace závazků z této smlouvy;
b) o veškerých právech subjektu údajů, která mohou uplatnit vůči druhé smluvní straně, zejména právo na přístup k osobním údajům, které jsou o nich zpracovávány, právo na jejich opravu nebo výmaz nebo omezení zpracování, vznést námitku proti zpracování, jakož i uplatňovat další práva v mezích GDPR a právo podat stížnost k Úřadu pro ochranu osobních údajů.
Článek XIII Závěrečná ustanovení
1. Neplatnost nebo neúčinnost některého ustanovení této smlouvy nezpůsobuje neplatnost celé smlouvy. V případě, že některé ustanovení této smlouvy bude neplatné nebo neúčinné, zavazují se smluvní strany nahradit takové neplatné nebo neúčinné ustanovení platným a účinným ustanovením, které bude co do obsahu a významu neplatnému nebo neúčinnému ustanovení co nejblíže.
2. Veškerá oznámení podle této smlouvy musí být učiněna písemně a zaslána všem kontaktním osobám druhé smluvní strany prostřednictvím datové schránky, elektronické pošty nebo doporučenou listovní zásilkou, případně předána osobně do podatelny v sídle ČSÚ, není-li ve smlouvě výslovně uvedeno jinak.
3. Smluvní strany se dohodly, že veškeré sporné záležitosti, které se vyskytnou a budou se týkat závazků vyplývajících z této smlouvy, budou přednostně řešeny dohodou. Případnému soudnímu sporu z této smlouvy bude vždy předcházet snaha smluvních stran o řešení sporu smírem.
4. Jakékoli změny či doplnění této smlouvy je možné činit výhradně formou písemných, vzestupně číslovaných dodatků podepsaných oprávněnými zástupci obou smluvních stran, s výjimkou změny v kontaktních a oprávněných osobách.
5. Dodavatel je povinen bez zbytečného odkladu písemně oznámit objednateli veškeré skutečnosti, které mohou mít vliv na povahu nebo na podmínky plnění této smlouvy, zejména je povinen oznámit objednateli změny svého majetkoprávního postavení jako je např. přeměna společnosti, vstup do likvidace, úpadek, prohlášení konkursu apod.
6. Jednacím jazykem mezi dodavatelem a objednatelem bude pro veškerá plnění vyplývající z této smlouvy výhradně jazyk český, a to včetně veškeré dokumentace vztahující se k předmětu této smlouvy a veřejné zakázce.
7. Dodavatel není oprávněn postoupit ani převést jakákoli práva či povinnosti vyplývající z této smlouvy na třetí osobu či osoby bez předchozího výslovného písemného souhlasu objednatele.
8. Dodavatel uděluje bezvýhradný souhlas s uveřejněním plného znění této smlouvy podle zákona o veřejných zakázkách, zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (dále jen „zákon o registru smluv“), zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů a dalších právních předpisů.
9. Dodavatel souhlasí s tím, aby subjekty oprávněné podle zákona č. 320/2001 Sb., o finanční kontrole ve veřejné správě a o změně některých zákonů, ve znění pozdějších předpisů, provedly finanční kontrolu závazkového vztahu vyplývajícího z této smlouvy s tím, že se
dodavatel podrobí této kontrole a bude působit jako osoba povinná ve smyslu ust. § 2 písm.
e) uvedeného zákona.
10. Smluvní strany se dohodly, že uveřejnění této smlouvy v registru smluv podle zákona
o registru smluv zajistí objednatel.
11. Tato smlouva nabývá platnosti dnem jejího podpisu oprávněnými zástupci obou smluvních stran a účinnosti dnem uveřejnění této smlouvy v registru smluv.
12. Smluvní strany prohlašují, že si tuto smlouvu přečetly a že byla uzavřena po vzájemném projednání všech smluvních podmínek. Autentičnost této smlouvy potvrzují svými podpisy.
13. Tato smlouva byla vyhotovena ve třech stejnopisech, z nichž dva obdrží objednatel a jeden dodavatel. Nedílnou součástí této smlouvy jsou tyto přílohy:
• Příloha č. 1 – Podrobná specifikace předmětu plnění
• Příloha č. 2 – Kontaktní a oprávněné osoby
14. Smluvní strany prohlašují, že tato smlouva byla uzavřena podle jejich pravé a svobodné vůle, vážně, určitě a srozumitelně, že si ji přečetly a s jejím obsahem souhlasí.
V Praze dne 11. 9. 2020 V Praze dne 1. 9. 2020
…………………………………………………. ……………………………………….. Česká republika – Český statistický úřad MENZO, a.s.
Xxx. Xxxxxxx Xxxxxxx Xxx. Xxxxx Xxxxxxxxxx ředitel odboru bezpečnosti a krizového řízení člen představenstva
Příloha č. 1
Smlouvy o provedení penetračních testů aplikací SIS
Podrobná specifikace předmětu plnění
Předmětem plnění je:
1) penetrační test webové aplikace xxxxxxxxx-xxxxxx.xxxx.xx
2) penetrační test webové aplikace xxxxxxxx.xxxx.xx
3) penetrační test webové aplikace xxx.xxxx.xx
4) penetrační test webové aplikace xxxx-xxxxx-xxxx.xxxx.xx (včetně testu API)
5) penetrační test webové prezentace ČSÚ xxxx.xx
Penetrační testy webových aplikací budou zaměřeny na identifikaci bezpečnostních slabin minimálně v rozsahu metodiky OWASP Testing Guide v.4 (ASVS Level 2). Součástí testování bude prověření bezpečnosti aplikací jak z pohledu anonymního uživatele, tak se znalostí autentizačních údajů.
Penetrační test webové prezentace xxxx.xx bude zaměřen na identifikaci bezpečnostních slabin webové prezentace potenciálně zneužitelných útočníkem z vnějšku minimálně v rozsahu metodiky OWASP Testing Guide v.4 (ASVS Level 2).
Veškeré testy budou provedeny bez destruktivních zásahů, tj. nebudou se provádět žádné změny, které by poškodily testovaný systém.
Výstupem bude závěrečné zhodnocení bezpečnosti testovaných aplikací a webové prezentace, které bude obsahovat podrobné popisy jednotlivých provedených testů (použité nástroje a popis jejich konfigurace/použitých parametrů), manažerské shrnutí průběhu testování, popis rizika vyplývajícího z jednotlivých nalezených zranitelností, konkrétní návrhy na odstranění těchto zranitelností a nedostatků, případně návrhy na zvýšení bezpečnosti testovaných částí.
Každá nalezená zranitelnost bude kategorizována z pohledu její závažnosti, pravděpodobnosti zneužití a náročnosti odstranění. Hodnocení nalezených zranitelností bude provedeno podle metodiky Common Vulnerability Scoring System (CVSS) verze 3.0. Ke každému z nálezů bude přiložen důkaz jeho existence (např. screenshot) a postup jeho vyvolání (např. informace o použitém nástroji a spouštěných parametrech, které vedly k danému nálezu).
Popis aplikací
Požadavky-výkazy
Aplikace Požadavky-výkazy je součástí Statistického informačního systému (SIS) ČSÚ. Je určena pro zadávání požadavků externími uživateli systému. Umožňuje zadávání požadavků, přenos zadaných požadavků do interního systému Požadavky SIS ČSÚ a jejich sledování. Ukládání dat do aplikace se provádí průběžně v rámci celého roku, tedy bez časového omezení.
Přístup do aplikace je chráněn pomocí autentizace jménem a heslem. Účty jsou vygenerovány pouze definované skupině uživatelů vedených v aplikaci Registr uživatelů.
Aplikace se skládá ze 4 základních funkcionalit:
- Prohlížení seznamu požadavků
Uživatel má možnost volbou v menu Moje žádosti prohlížet, filtrovat a vyhledávat v seznamu požadavků jím zadaných. Též má možnost seznam požadavků setřídit podle zvoleného údaje klikáním na titulek sloupce údaje a to střídavě vzestupně nebo sestupně. Styl třídění je zobrazen v nadpisu sloupce malou šipkou, směrem nahoru pro vzestupné setřídění a směrem dolů pro sestupné setřídění. Zobrazení detailu požadavku
Obrázek 1 Výsledek vyhledávání v seznamu požadavků
- Zobrazení detailu požadavku
Uživatel může zobrazit detail vybraného požadavku.
V pohledu na seznam požadavků uživatel vyhledá požadavek, jehož detail chce zobrazit. Kliknutím na ID požadavku systém zobrazí detail požadavku, který obsahuje záhlaví se základními údaji a dále následující záložky dle typu požadavku:
o Popis a důvod – pro všechny typy požadavků
o Vyhláška – pouze pro typy požadavků nové zjišťování, změna zjišťování
o Správa požadavku – pro všechny typy požadavků
o Stanovisko – pro všechny typy požadavků
Obrázek 2 - Zobrazení detailu požadavku
- Založení nového požadavku
Založení nového požadavku provádí uživatel v několika krocích pomocí průvodce zadáváním údajů.
Posun na následující krok se provádí vždy pomocí tlačítka „Následující“. Posun zpět na předchozí krok se provádí tlačítkem „Předchozí“. Zrušení akce zakládání nového požadavku může uživatel provést pomocí tlačítka „Storno“, které je dostupné na každé obrazovce průvodce.
Obrázek 3 - Obrazovka pro vložení základních údajů požadavku Nové zjišťování
- Založení požadavku z kopie
Uživatel v navigačním panelu klikne na rozbalovací tlačítko „Založit požadavek“ a z nabídky vybere jednu z následujících funkcí, podle toho, jaký typ požadavku chce založit:
o Nové zjišťování – vytvořit z kopie
o Změna zjišťování – vytvořit z kopie
o Zrušení zjišťování – vytvořit z kopie
o Zjišťování beze změny – vytvořit z kopie
Systém zobrazí seznam „Výběr vzorového požadavku“, ve kterém jsou obsaženy existující požadavky zvoleného typu. Seznam je stránkovaný a je možné v něm nastavit velikost stránky. Seznam je možné seřadit podle libovolného sloupce. Pod seznamem je dostupné tlačítko Zrušit, kterým může uživatel zavřít seznam a zrušit akci zakládání nového požadavku z kopie.
Obrázek 4 - Seznam pro výběr vzorového požadavku
VDB
Veřejná databáze (VDB) je budována jako součást nového statistického informačního systému ČSÚ a je určená k prezentaci agregovaných statistických údajů pro veřejnost, je tedy součástí funkčních bloků zajišťujících diseminaci statistických údajů.
Prezentace údajů VDB je zajištěna prezentační aplikací. Teprve v okamžiku výběru předdefinovaných výstupních objektů (PVO) se dotahují potřebné statistické údaje z primární databáze. Zobrazované statistické údaje v HTML formátu lze exportovat (PDF, XLS, XML). VDB umožňuje i přímý přístup k agregovaným datům s možností vytváření a ukládání vlastních (uživatelských) dotazů (statistických tabulek). Vedle prezentace PVO poskytuje i možnost zobrazovat speciální stránky (profily území), vytvářet uživatelské tabulky, prohlížet seznamy statistických proměnných a vyhledávat k nim PVO, podporuje i fulltextové vyhledávání, pro každý statistický údaj načtený z primární databáze je možno zobrazit sérii metainformací (identifikačních i doplňkových). Přístupy k aplikaci jsou
monitorovány několika systémy (monitoring diseminace ČSÚ, Google Analytics, vlastní měření přístupů k PVO)
Prezentace pro externí uživatele umožňuje nabízet pouze PVO schválené pro externí použití (existuje také část pro interní uživatele, která je dostupná pouze z vnitřní sítě ČSÚ). Během synchronizace statistických údajů mezi interní a externí databází se důvěrná data skrývají, uživatelům se místo konkrétních údajů zobrazuje náhradní text. Prezentační aplikace neumožní prezentovat údaje mimo interval zveřejnění.
Uživatel se může do aplikace zaregistrovat, jako přihlášený externí uživatel pak může využívat některé nadstandardní služby, např. zasílání aktualit nebo notifikací změn oblíbených PVO na e-mailovou adresu nebo ukládání vlastních dotazů pro příští použití.
Prezentace pro interní i externí uživatele tvoří základní součást prezentačního systému ČSÚ. To vyžaduje eliminaci výpadků na minimální dobu. Pro rozložení zátěže je využíván cluster několika serverů a load-balancer, a to jak pro interní, tak externí prostředí.
Obrázek 5 - ukázka aplikace VDB
DanteWeb
DanteWeb je aplikace, která umožňuje zpravodajským jednotkám vyplnit výkazy přímo na internetu. Pro práci v aplikaci je potřeba provést registraci, přihlašovací údaje potřebné pro registraci jsou součástí Oznámení o zpravodajské povinnosti.
Aplikace Dante Web umožňuje respondentům vyplňovat statistické formuláře, ke kterým má příslušná zpravodajská jednotka přístup. Aplikace kontroluje některá pořízená data online (během pořizování) a některá při ukládaní formuláře. Aplikace poskytuje respondentům přístup do již vyplněných a uložených formulářů za minulá období i průběžné vyplňování formuláře, kde formulář je možné uložit rozpracovaný a následně se k němu vrátit později.
Uživatelská příručka s detailním popisem aplikace je veřejně dostupná na webu ČSÚ. Na adrese: xxxxx://xxx.xxxx.xx/xxxxxxxxx/00000/00000000/xxxxxxxx_xxxxxxxxxxx_xxxxxxxx.xxx/x 60c752f-cc37-4287-984a-7fd081c4ccde?version=1.1
Webová aplikace xxxx-xxxxx-xxxx.xxxx.xx
Jedná se o testovací prostředí aplikace určené pro tazatele cenové statistiky. Tazatelé do ni přistupují prostřednictvím aplikace ISC, kterou používají na tabletech s OS Android. Aplikace je primárně určena pro zaznamenávání cen vybraných produktů pro statistické účely a poskytuje tazateli potřebné podpůrné funkce (např. archivace, obnova dat ze zálohy, synchronizace dat z/na server, distribuce nových verzí aplikace, zasílání krátkých textových zpráv ze serverové aplikace, apod.). Autentizace k aplikaci (webové i na tabletu) je zajištěna prostřednictvím zadání uživatelského jména a hesla. U aplikace na tabletu probíhá i ověření na úrovni zařízení. V rámci bezpečnostního testování bude zajištěn testovací účet včetně zajištění ověření určeného zařízení dodavatele i distribuce aktuální aplikace pro OS Android.
Přístup do webové aplikace (serverové části) je určen pro pracovníky provádějící verifikaci dat a správce/administrátory aplikace.
Webová prezentace xxxx.xx
Webové stránky ČSÚ slouží vedle snadného vyhledávání základních informací o úřadu především k prezentaci aktuálních statistik a jako takové jsou tedy nesmírně důležitým informačním zdrojem nejen pro širokou veřejnost, ale i pro ostatní orgány veřejné správy. Z povahy věci vyplývá, že požadavky na dostupnost a integritu prezentovaných údajů jsou velmi vysoké, neboť je s nimi přímo spojena kredibilita jejich původce – ČSÚ.
Webové stránky jsou dostupné na adrese: xxx.xxxx.xx
Součástí prezentace je redakční systém dostupný z vnitřního prostředí ČSÚ po autentizaci pouze pro autorizované správce.
Součástí poptávaných testů nejsou testy webových aplikací dostupných z webové prezentace ČSÚ (mimo těch přímo specifikovaných v tomto dokumentu).
,
Obrázek 6 – Úvodní stránka webové prezentace xxxx.xx
Technické informace o aplikacích
Aplikace Statistického informačního systému jsou realizovány jako třívrstvá aplikační architektura složená z prezentační, aplikační a databázové vrstvy.
- prezentační
Jako aplikační rámec pro běh aplikací bude použitý systém JBoss Application Server. Aplikace provozované na tomto serveru jsou vyvinuté na platformě založené na technologiích definovaných standardem J2EE.
Aplikace VDB je psána technologii IceFaces, konkrétní implementací podle specifikace JSF (Java Server Faces).
Webová prezentace a redakční systém je postaven na technologii Liferay Community Portal a Java portletech.
- aplikační
Aplikační vrstvu tvoří aplikační server, který zabezpečuje byznys logiku, řízení transakcí, provedení workflow, administrátorské, ověřovací a bezpečnostní služby.
Jednotlivé části byznys logiky jsou poskytované prezentačnímu systému ve formě webových služeb. Klientské aplikace komunikují s aplikačním serverem pomocí protokolu HTTP případně HTTPS.
Aplikační vrstva je koncipovaná jako skupina J2EE web aplikací a webových služeb postavená na platformě JBoss Application Server.
Aplikace VDB běží na Oracle WebLogic server.
Aplikační serverová část aplikace xxxx-xxxxx-xxxx.xxxx.xx, včetně API, je napsána v PHP. Protokol API je proprietární.
- datová
Datová vrstva zajišťuje uložení dat, pro něž využívá databázový systém Oracle. U mobilní aplikace ISC na OS Android je použita databáze SQLite.
Aplikace jsou chráněny systémem IPS, jsou za FireWallem operujícím na 3 vrstvě ISO/OSI a z důvodu zajištění rozložení zátěže a vysoké dostupnosti jsou v prostředí využívány load- balancery.
Příloha č. 2
Smlouvy o provedení penetračních testů aplikací SIS
Kontaktní a oprávněné osoby
Za účelem řádné realizace této smlouvy jmenují smluvní strany kontaktní a oprávněné osoby, a to:
ČSÚ:
jméno | telefon | ||
kontaktní osoba ve věcech administrativních | xxxxxxxxxxxxxxxxxxx | xxxxxxxxxxxxxxxxxxx | xxxxxxxxxxxxxxxxxxx |
kontaktní osoba ve věcech technických | xxxxxxxxxxxxxxxxxxx | xxxxxxxxxxxxxxxxxxx | xxxxxxxxxxxxxxxxxxx |
oprávněná osoba ve věcech akceptace | xxxxxxxxxxxxxxxxxxx | xxxxxxxxxxxxxxxxxxx | xxxxxxxxxxxxxxxxxxx |
oprávněná osoba ve věcech smluvních | xxxxxxxxxxxxxxxxxxx | xxxxxxxxxxxxxxxxxxx | xxxxxxxxxxxxxxxxxxx |
XXXXX, a.s.:
jméno | telefon | ||
kontaktní osoba ve věcech administrativních | xxxxxxxxxxxxxxxxxxx | xxxxxxxxxxxxxxxxxxx | xxxxxxxxxxxxxxxxxxx |
kontaktní osoba ve věcech technických | xxxxxxxxxxxxxxxxxxx | xxxxxxxxxxxxxxxxxxx | xxxxxxxxxxxxxxxxxxx |
oprávněná osoba ve věcech akceptace | xxxxxxxxxxxxxxxxxxx | xxxxxxxxxxxxxxxxxxx | xxxxxxxxxxxxxxxxxxx |
oprávněná osoba ve věcech smluvních | xxxxxxxxxxxxxxxxxxx | xxxxxxxxxxxxxxxxxxx | xxxxxxxxxxxxxxxxxxx |