SMLOUVA O POSKYTOVÁNÍ SLUŽEB
SMLOUVA O POSKYTOVÁNÍ SLUŽEB
uzavřená ve smyslu ustanovení § 1724 a následujících Zákona č. 89/2012 Sb., Občanského zákoníku, v platném znění
Smluvní strany
1.1. Poskytovatel
SEFIRA spol. s r.o.
Antala Xxxxxx 2027/77, 140 00 Praha 4
IČ: 62907760
DIČ: CZ62907760
Bankovní spojení: Komerční banka, a.s. Číslo účtu: 107-8809470257/0100
Zapsaný v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 34572. Zastoupený: Xxx. Xxxxxx Xxxxx, jednatel
Xxx. Xxxx Xxxxxxx, jednatel
1.2. Objednatel
Státní veterinární správa České republiky
Slezská 100/7, 120 00 Praha 2
IČ: 00018562
DIČ: není plátcem
Právní forma: Organizační složka státu, kód 325
Zastoupený: XXXx. Xxxxxx Xxxxxxx, ústřední ředitel SVS ČR
Předmět smlouvy
2.1. Poskytovatel se touto smlouvou zavazuje
A. dodat produktovou podporu HW a SW dle Přílohy č. 1 – Specifikace předmětu smlouvy;
B. poskytovat služby k zajištění správy a provozu kvalifikovaných prostředků pro vytváření elektronických podpisů a pečetí (QSCD), které jsou ve vlastnictví Objednatele
dle Přílohy č. 1 – Specifikace předmětu smlouvy;
C. poskytovat servisní podporu nad rámec produktové podpory dle Přílohy č. 1 –
Specifikace předmětu smlouvy (dále jen Předmět smlouvy).
2.2. Objednatel se touto smlouvou zavazuje akceptovat Podmínky pro zajištění správy a provozu
kvalifikovaných prostředků pro vytváření elektronických podpisů a pečetí (QSCD), jejichž znění
je uvedeno v příloze 2 této smlouvy.
Cena a platební podmínky
3.1. Cena za předmět smlouvy činí
A. za dodávku produktové podpory HW a SW dle odst. 2.1. A. celkem 441 920,00 Kč bez DPH, 534 723,20 Kč včetně 21 % DPH;
B. za poskytnutí služeb QSCD dle odst. 2.1. B. celkem 105 600 Kč bez DPH, 127 776 Kč včetně 21 % DPH;
C. za servisní podporu dle odst. 2.1. C. celkem 226 800 Kč bez DPH, 274 428 Kč včetně 21 %
DPH.
3.2. Sjednanou cenu Objednatel uhradí na základě faktur vystavovaných Poskytovatelem,
A. dle odstavce 3.1. A. za dodávku produktové podpory HW a SW jednorázově po nabytí účinnosti této smlouvy;
B. dle odstavce 3.1. B. za poskytnutí služeb QSCD jednorázově ke konci kalendářního měsíce, ve kterém tato smlouva nabyde účinnosti ve výši 38 400 Kč bez DPH a dále pak měsíčně za uplynulý kalendářní měsíc, a to v částce 9 600 Kč bez DPH za měsíc, 11 616 Kč včetně 21 % DPH za měsíc;
C. dle odstavce 3.1. C. za servisní podporu dle odst. 2.1. C. ke konci kalendářního měsíce, ve kterém tato smlouva nabyde účinnosti jednorázově ve výši 50 400 Kč bez DPH a dále pak měsíčně za uplynulý kalendářní měsíc, a to v částce 25 200 Kč bez DPH za měsíc, 30 492 Kč včetně 21 % DPH za měsíc.
3.3. Splatnost faktur je patnáct (15) dnů ode dne doručení. Faktura musí být doručena nejpozději patnáctý (15) den po uskutečnění zdanitelného plnění, přičemž se strany dohodly, že dnem zdanitelného plnění je poslední den kalendářního měsíce, za který jsou služby účtovány.
3.5. Nebude-li faktura obsahovat stanovené náležitosti nebo v něm budou uvedeny nesprávné údaje, je Objednatel oprávněn ji vrátit ve lhůtě pěti (5) dnů od jeho obdržení zpět Poskytovateli s uvedením, resp. vytčením chybějících náležitostí nebo nesprávných údajů.
3.6. Poskytovatel je povinen podle povahy závad fakturu opravit nebo nově vyhotovit. Oprávněným vrácením faktury přestává běžet původní lhůta splatnosti. Nová lhůta splatnosti běží znovu ode dne doručení opravené nebo nově vyhotovené faktury.
3.7. Okamžik zaplacení faktury je dán dnem, kdy byla částka připsána na účet Poskytovatele.
Doba a místo plnění
4.1. Poskytovatel se zavazuje dodat předmět plnění nejpozději do 20-ti dnů od zveřejnění smlouvy
v registru smluv.
4.2. Smlouva se sjednává na dobu určitou, a to do 30. 11. 2021.
4.3. Místem plnění je pracoviště Objednatele na adrese IC Liberec, Xxxxxxxxxx 000, 000 00, Xxxxxxx 11. Objednatel umožní Poskytovateli poskytovat služby prostřednictvím vzdáleného přístupu.
Kontaktní osoby
5.1. Kontaktní osoby oprávněné jednat v rámci této smlouvy jsou
A. za Objednatele:
ve věcech smluvních: XXXx. Xxxxxxxx Xxxxxxxx, ředitel sekce ekonomicko-správní, x.xxxxxxxx@xxxxx.xx, x000 000 000 000;
ve věcech technických: Xxx. Xxxxxx Xxxxxxx, ředitel odboru informatiky SVS,
x.xxxxxxx@xxxxx.xx, x000 000 000 000;
B. za Poskytovatele:
ve věcech smluvních: Xxx. Xxxxxx Xxxxx, Account Manager, xxxxx@xxxxxx.xx,
x000 000 000 000
ve věcech technických: Xxx. Xxxxx Xxxxxx, ředitel realizace, xxxxxx@xxxxxx.xx,
x000 000 000 000
Důvěrné informace a ochrana dat
6.1. Smluvní strany se vzájemně zavazují zachovávat mlčenlivost o všech podstatných skutečnostech získaných při své činnosti vyplývající ze Smlouvy, a to zejména o skutečnostech, které tvoří jejich obchodní tajemství a důvěrné informace.
6.2. Za důvěrné informace smluvní strany považují ty skutečnosti provozní či obchodní povahy, které se kterákoli smluvní strana dozví v souvislosti s činností dle této Smlouvy, které nejsou veřejně dostupné a jsou jako důvěrné smluvní stranou označeny.
6.3. Za porušení důvěrných informací je kvalifikováno jednání, jímž jedna smluvní strana jiné osobě neoprávněně sdělí, zpřístupní, pro sebe nebo pro jiného využije důvěrné informace získané při své činnosti od druhé smluvní strany, pokud je to v rozporu se zájmy druhé smluvní strany, a učiní tak bez jejího souhlasu.
6.4. Touto povinností mlčenlivosti jsou smluvní strany vázány po dobu trvání skutečností zakládajících tuto povinnost mlčenlivosti, pokud nebudou mlčenlivosti zproštěny nebo se nestanou dané informace veřejně dostupnými.
6.5. Poskytovatel se v rámci plnění této Smlouvy zavazuje zajistit, aby ze strany Poskytovatele:
a. nedošlo ke ztrátě dat,
b. nedošlo ke zneužití dat,
c. nedošlo k jakémukoli neoprávněnému přístupu k datům.
Podstatné porušení smlouvy a smluvní pokuty
7.1. Za podstatné porušení smlouvy se považuje
a. Opakované porušení nedodržení reakční doby definované v příloze č. 1 Specifikace
předmětu plnění;
b. Prodlení s platbou delší než třicet (30) kalendářních dnů od data splatnosti;
c. Porušení Podmínek pro zajištění správy a provozu kvalifikovaných prostředků
pro vytváření elektronických podpisů a pečetí (QSCD).
7.2. Smluvní pokuta je v případě prodlení s placením peněžitého závazku stanovena ve výši 0,5 % dlužné částky za každý den tohoto prodlení.
7.3. Smluvní pokuta za porušení závazků dle čl. 6.5 se sjednává ve výši 100 000 Kč za každý jednotlivý případ.
7.4. Smluvní pokuty jsou splatné na vyžádání.
Závěrečná ustanovení
8.1. Tato smlouva nabývá platnosti dnem jejího podpisu oběma smluvními stranami a účinnosti dnem zveřejnění v registru smluv.
8.2. Tato smlouva je uzavřena v elektronické podobě s připojenými elektronickými podpisy smluvních stran. Každá ze smluvních stran prohlašuje, že tuto smlouvu podepsala osoba, která jedná jejím jménem a která má právo připojit uznávaný elektronický podpis.
8.3. Smlouvu je možné měnit pouze písemnou dohodou smluvních stran ve formě vzestupně číslovaných dodatků smlouvy, podepsaných oprávněnými zástupci obou smluvních stran. Písemnou formou není pro účely změny smlouvy výměna e-mailových či jiných elektronických zpráv.
8.4. Tato smlouva se řídí právem České republiky a otázky v ní neupravené podléhají obecné právní úpravě, zejména Občanskému zákoníku.
8.5. Smluvní strany prohlašují, že si smlouvu před jejím podpisem řádně přečetly, a že byla sepsána po vzájemném projednání podle jejich pravé a svobodné vůle, nikoliv v tísni a za nápadně nevýhodných podmínek, což stvrzují svými podpisy.
8.6. Nedílnou součást této Smlouvy jsou následující přílohy: Příloha č. 1 Specifikace předmětu smlouvy;
Příloha č. 2 Podmínky pro zajištění správy a provozu kvalifikovaných prostředků pro vytváření elektronických podpisů a pečetí:
• Příloha A k podmínkám pro zajištění správy a provozu kvalifikovaných prostředků pro vytváření elektronických podpisů a pečetí (QSCD)
• Příloha B k podmínkám pro zajištění správy a provozu kvalifikovaných prostředků pro
vytváření elektronických podpisů a pečetí (QSCD)
V Praze dne dle podpisové doložky V Praze dne dle podpisové doložky
Za Objednatele Za Poskytovatele
Ing. Xxxx
…………………………………………… …………………………………………… XXXx. Xxxxxx Xxxxxxx, ústřední ředitel SVS Xxx. Xxxxxx Xxxxx, jednatel Státní veterinární správa České republiky SEFIRA spol. s r.o.
Digitálně podepsal Xxx. Xxxx Xxxxxxx
Xxxxxxx
Datum: 2021.04.08
08:21:31 +02'00'
…………………………………………..
Xxx. Xxxx Xxxxxxx, jednatel
SEFIRA spol. s r.o.
n Xxxxx
Xxxxx
Digitálně podepsal Xxxxxx Xxxxx
Datum: 2021.04.08
09:44:26 +02'00'
Příloha č. 1
Specifikace předmětu smlouvy
A. Produktová podpora HW a SW
Poskytovatel se zavazuje dodat objednateli níže uvedenou produktovou podporu výrobce
k hardware:
Název hardware | Období podpory | Úroveň podpory | Výrobce |
Hardware Security Module nShield Connect 500+ včetně 1 ks dodatečné klientské licence | do 30.11.2021 | PREMIUM Support | Entrust |
Kontakt pro produktovou podporu HSM je xxxxxxx@xxxxxxx.xxx.
Dále se poskytovatel se zavazuje dodat objednateli produktovou podporu výrobce k níže uvedenému
software:
Název software | Období podpory | Úroveň podpory | Výrobce |
TrustedX eIDAS Platform + eSignature Pro 600 uživatelů | do 30.11.2021 | Silver Support | Entrust |
Desktop VC Module for TrustedX Pro 600 uživatelů | do 30.11.2021 | Silver Support | Entrust |
OBELISK Signer | do 30.11.2021 | Standard support | SEFIRA |
OBELISK Connector for HSM | do 30.11.2021 | Standard support | SEFIRA |
OBELISK Registration portal for TX eIDAS | do 30.11.2021 | Standard support | SEFIRA |
Kontakty pro produktovou podporu k software jsou:
• Entrust: xxxxxxx@xxxxxxx.xxx
• SEFIRA: xx-xxxxxxx@xxxxxx.xx
B. Zajištění správy a provozu kvalifikovaných prostředků pro vytváření elektronických podpisů a pečetí (QSCD)
Poskytovatel poskytne služby k zajištění správy a provozu následujících kvalifikovaných prostředků pro vytváření elektronických podpisů a pečetí:
• nShield Connect 500+, SN: 36-NC7495.
Obsahem poskytovaných služeb zajištění správy a provozu QSCD je:
• smluvní zajištění správy s kvalifikovaným poskytovatelem důvěryhodných služeb (QTSP);
• registrace QSCD a administrativní zajištění správy zařízení;
• servisní služby spojené se zajištěním správy QSCD v rozsahu max. 4 MD za rok, v případě servisních služeb u objednatele (tedy nikoliv prostřednictvím vzdáleného zásahu) se do servisních služeb počítá též cesta na místo;
• dopravné v rámci Hlavního města Prahy.
Servisní služby spojené se zajištěním správy a provozu QSCD zahrnují:
• vytvoření a změny konfigurace TrustedX eIDAS Platform
• konfigurace úložišť a zdrojů (databáze, LDAP, HSM, …)
• konfigurace důvěryhodných entit (CA, VA, TSA)
• konfigurace politik a oprávnění
• připojení nové nebo změna nastavení podepisující aplikace
• výměna servisního klíče
• výměna systémových certifikátů (SSL, autentizační certifikát pro TSA, …)
• vytvoření úvodní konfigurace HSM;
• vytvoření základní konfigurace HSM modulů v režimu QSealCD (včetně vytvoření ACS
setu);
• vytvoření pomocného OCS setu pro autorizaci požadavků na vytváření OCS setů a softkaret a operace s nimi pro jiné účely než kvalifikovanou pečeť z důvodů provozu ve striktním FIPS módu;
• zařazení nového HSM do HSM infrastruktury v QSealCD režimu;
• vytvoření nového OCS setu pro potřeby kvalifikované pečeti;
• vygenerování klíčů pro kvalifikovanou pečeť, žádosti o příslušný kvalifikovaný certifikát
a jeho import;
• obnovu OCS setu pro kvalifikovanou pečeť na nové čipové karty;
• zničení/smazání klíčů a OCS setů pro kvalifikovanou pečeť, které již nejsou nadále potřebné;
• aktualizaci firmware;
• reset HSM a jeho inicializaci do HSM infrastruktury v QSealCD režimu (např. na přání
objednatele nebo v případě pokusu o fyzické vniknutí do HSM);
• protokolární dokumentaci provedených operací.
Reakční doba pro poskytování služeb je 2 pracovní dny od nahlášení požadavku na servisní podporu na email xxxxxxx@xxxxxx.xx.
C. Servisní podpora nad rámec produktové podpory
Poskytovatel se zavazuje poskytovat servisní podporu nad rámec produktové podpory k systému Centrálního řešení vzdáleného elektronického podpisu a pečetě podle nařízení eIDAS, dodaného poskytovatelem dne 25.11.2019, dále jen Systém.
Rozsah servisní podpory činí 8 hodin za měsíc. Další servisní služby může Objednatel od Poskytovatele objednat v ceně 2 000 Kč za hodinu bez DPH.
Servisní podpora zahrnuje zejména a nejen
• řešení incidentů, které nebyly způsobeny a nejsou vadami podporovaných produktů a které následně způsobí nefunkčnost dodaného Systému;
• konzultace spojené s provozem a údržbou Systému;
• služby provádění změn konfigurace a revize nastavení všech částí Systému i Systému jako celku
prostřednictvím vzdáleného připojení.
Servisní podporu bude poskytovatel provádět v souladu s parametry definovanými níže. Incidentem se rozumí okolnosti bránící plynulému provozu Systému.
Klasifikace incidentů
Úroveň hlášení | Popis | |
Vysoká | „Incident A“ | Standardní firemní procesy jsou vážně ovlivněny a nezbytné úlohy nemohou být plněny. Některé nebo všechny vlastnosti a funkce provozovaného IS podporujícího hlavní firemní procesy selhaly a jsou zcela nefunkční nebo je jejich funkčnost omezena tak, že je kritickým způsobem ovlivněna činnosti SVS |
Střední | „Incident B“ | Jsou dotčeny firemní procesy v míře způsobující ztížení a zpomalení výkonu konkrétní činnosti SVS. Podporované činnosti jsou výrazně ovlivněny z důvodu selhání nebo omezení některé z funkcí podporovaného IS podporujícího důležité procesy. |
Nízká | „Incident C“ | Stav, kdy nejsou ohroženy hlavní funkce podporovaného IS a všechny jím podporované firemní procesy mohou běžet, a jen po dobu incidentu (výpadku) lze nefunkční část provozovaného IS dočasně nahradit nebo obejít náhradním řešením. |
Oznámení incidentu
Za čas oznámení se považuje čas zanesení požadavku Objednatelem do servisního systému
Poskytovatele.
Garantovaná úroveň podpory
Úroveň hlášení | Odezva (reakční doba) * | Doba vyřešení požadavku** | |
Vysoká | „Incident A“ | 4 hodiny | Následující pracovní den (NPD) +2 |
Střední | „Incident B“ | 4 hodiny | NPD + 5 |
Nízká | „Incident C“ | 4 hodiny | NPD + 10 |
* Reakční doby se počítají v pracovních dnech v čase od 8 do 17 hodin od času oznámení incidentu.
** Do Doby vyřešení incidentu se počítají pracovní dny od doby reakce Poskytovatele na nahlášený
incident Objednatele.
Kontaktní údaje na pověřenou osobu Objednatele pro servisní podporu:
Kontaktní email pro servisní podporu Poskytovatele:
Příloha č. 2
Podmínky pro zajištění správy a provozu kvalifikovaných prostředků pro vytváření elektronických podpisů a pečetí (QSCD)
1. Předmět poskytované služby
1.1 Poskytovatel se zavazuje k zajištění správy a provozu kvalifikovaných prostředků pro vytváření elektronických podpisů a pečetí (dále jen „QSCD“), které jsou ve vlastnictví Objednatele za podmínek uvedených níže.
2. Povinnosti Objednatele
2.1 Objednatel se zavazuje:
2.1.1 Seznámit se s certifikační politikou pro kvalifikované certifikáty pro elektronickou pečeť, která je dostupná na webových stránkách příslušné certifikační autority (QTSP), a při žádosti o uvedený certifikát postupovat v souladu s touto certifikační politikou.
2.1.2 Zajistit, aby kvalifikovaný prostředek pro vytváření elektronických pečetí (dále jen „prostředek“), který bude použit pro uložení soukromého klíče k certifikátu, byl uvedený na oficiálním seznamu EU kvalifikovaných prostředků, který se nachází na webové adrese: xxxxx://xx.xxxxxx.xx/xxxxxxxx/xx/xxxxxxx/xxxxxxxxxxx-xxxxxx-xxxxxx-xxxxxxxxxxxx-xxxxx-xxx-xxxxx.
2.1.3 Umožnit Poskytovateli správu a provoz prostředku. Prostředek bude provozován a spravován v
souladu s technickými podmínkami uvedenými v příloze č. 2 těchto Podmínek.
2.1.4 Umožnit Poskytovateli přístup k prostředku ve svých prostorách za účelem jeho správy a provozu.
3. Povinnosti Poskytovatele
3.1 Poskytovatel se zavazuje:
3.1.1 Jednat vůči Objednateli poctivě a v dobré víře.
3.1.2 Sdělovat Objednateli informace potřebné k řádnému plnění těchto Podmínek.
3.1.3 Zajistit provoz a správu prostředku Objednatele.
3.1.4 Zajistit, že soukromý klíč k certifikátu bude vygenerovaný přímo v prostředku a nebude ho možné z prostředku vyexportovat a ani ho do prostředku naimportovat (prostředek musí mít zapnutý mód FIPS 140-2 Level 3 nebo specializovaný mód dle Common Criteria, pokud jím disponuje).
3.1.5 Přijmout taková technická a bezpečnostní opatření, aby nemohlo dojít k narušení bezpečnosti a důvěrnosti uloženého soukromého klíče v prostředku.
3.1.6 Zajistit, že soukromý klíč vygenerovaný v prostředku se může vyskytnout prakticky pouze jednou. Kopírování soukromého klíče je povoleno pouze za účelem jeho zálohy, přičemž bezpečnost zkopírovaných souborů dat je na stejné úrovni jako u původních souborů dat a počet zkopírovaných souborů dat nepřesáhne minimum potřebné pro zajištění kontinuity služby.
3.1.7 Vyhotovit z každého generování soukromého klíče Protokol o vygenerování soukromého klíče (dále jen „protokol“), viz vzor v příloze č. 1 těchto Podmínek. Tento protokol musí být ve formátu PDF elektronicky podepsaný osobním kvalifikovaným nebo komerčním certifikátem pracovníka poskytovatele. Protokol bude nedílnou součástí e-mailové žádosti o vydání certifikátu spolu s PKCS#10 žádostí.
4. Cena
4.1 Vydání kvalifikovaného certifikátu pro elektronickou pečeť je zpoplatněno dle aktuálního ceníku zvolené certifikační autority.
5. Sankční ustanovení
5.1 V případě porušení povinností Objednatele uvedených v těchto Podmínkách, které bude mít za následek udělení pokuty Poskytovateli orgánem dohledu dle zák. č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce je Poskytovatel oprávněn požadovat po Objednateli zaplacení vyměřené pokuty v plném rozsahu.
6. Závěrečná ujednání
6.1 Podmínky jsou nedílnou součástí Smlouvy o poskytování služeb, uzavřené mezi objednatelem a poskytovatelem. Podpisem smlouvy smluvní strany vyjadřují souhlas a seznámení se s obsahem těchto podmínek.
6.2 Součástí těchto Podmínek je vzor Protokolu o vygenerování soukromého klíče a podmínky správy
a provozu HSM.
7. Podpisy smluvních stran
V Praze dne dle podpisové doložky smlouvy V Praze dne dle podpisové doložky smlouvy
Příloha A k podmínkám pro zajištění správy a provozu kvalifikovaných prostředků pro vytváření elektronických podpisů a pečetí (QSCD)
Protokol o vygenerování soukromého klíče v kvalifikovaném prostředku pro vytváření elektronických pečetí
Údaje o objednateli
Název objednatele: |
IČO: |
Č. smlouvy o poskytování certifikačních služeb: |
Údaje o kvalifikovaném prostředku pro vytváření elektronických pečetí
Název výrobce: |
Typ: |
Sériové číslo: |
Verze firmware: |
Údaje o soukromém klíči
Datum a čas generování: |
ID soukromého klíče: |
Modulus: |
Údaje o PKCS#10 žádosti o kvalifikovaný certifikát pro elektronickou pečeť
Datum a čas generování: |
SHA256 otisk: |
Stvrzuji svým podpisem, že soukromý klíč, který bude používaný pro vytváření kvalifikovaných elektronických pečetí na základě vydaného kvalifikovaného certifikátu pro elektronickou pečeť, byl vygenerován výhradně v kvalifikovaném prostředku pro vytváření elektronických pečetí, není ho možné z tohoto prostředku vyexportovat a vyskytuje se prakticky pouze jednou.
Datum a čas vyhotovení protokolu: |
Viditelný elektronický podpis pracovníka poskytovatele: |
Příloha B k podmínkám pro zajištění správy a provozu kvalifikovaných prostředků pro vytváření elektronických podpisů a pečetí (QSCD)
Nastavení HSM pro potřeby QSealCD
Nastavení HSM jako QSealCD obnáší především následující:
• provoz HSM s předepsaným certifikovaným firmwarem (v současnosti verze 12.50.7 pro řadu
Connect XC a verze 2.55.1 pro Connect+)
• v případě použití řady Connect XC: vytvoření konfigurace v souladu s dokumentem výrobce
„nShield Solo XC Common Criteria Evaluated Configuration Guide“, provoz HSM modulu v režimu Common-criteria-cmts
• v případě použití řady Connect+: vytvoření konfigurace v souladu s dokumentem výrobce
„ASEC1382 nShield® HSM family v11.72.02 – Common Criteria Evaluated Configuration Guide“,
provoz HSM modulu v režimu FIPS 140-2 Level 3
• vytvoření administrátorského setu čipových karet (ACS set), přičemž celý ACS set bude v držení provozovatele HSM (společnost SEFIRA jako QTSP dle nařízení eIDAS)
• vytvoření operátorského setu čipových karet (OCS set) nebo Softcard pro kontrolu a použití kryptografických klíčů, přičemž v případě OCS setu bude celý set v držení poskytovatele
o vytvořený OCS set nebo Softcard musí sloužit k ochraně právě jednoho páru klíčů
ke kvalifikovanému certifikátu pro elektronickou pečeť
o Objednateli – vlastníkovi HSM bude v případě využití OCS setu zapůjčena část setu nezbytná pro aktivaci soukromého klíče kvalifikovaného certifikátu pro elektronickou pečeť
• v případě použití HSM řady Connect+: vytvoření samostatného OCS setu, který slouží pouze k načtení FIPS autorizace. Tento set nechrání žádné klíče a umožňuje Objednateli využívat HSM pro účely mimo kvalifikovanou pečeť.
Způsob provozu HSM a řešení výjimečných situací
Při běžném provozu HSM modulů v eIDAS compliant konfiguraci pod správou QTSP mohou nastat tyto
situace:
1. Rutinní operace:
• Aktivace a používání soukromého klíče ke kvalifikovanému certifikátu pro elektronickou pečeť
v aplikacích
• Zálohování konfigurace HSM
• Kontrola logů HSM infrastruktury, SNMP dohled
2. Provozní operace
• Správa OCS setu nebo Softcard (vytvoření nového, obnova původního a smazání) chránícího pár klíčů ke kvalifikovanému certifikátu pro elektronickou pečeť
• Vygenerování páru klíčů a import kvalifikovaného certifikátu pro elektronickou pečeť
• Smazání páru klíčů ke kvalifikovanému certifikátu pro elektronickou pečeť
3. Výjimečné provozní operace vyžadující přítomnost úplného kvora karet ACS setu
• Vybrané povolené administrátorské operace
• Reset HSM a jeho nová inicializace do HSM infrastruktury
• Logické zařazení nového HSM do konfigurace HSM infrastruktury (např. pro situace přidání nového modulu nebo jeho výměny za jiný v rámci standardní technické podpory výrobce)
• Vyjmutí HSM z QSCD konfigurace
• Aktualizace firmware
Veškeré operace uvedené v bodech 2. – 3. je povinen provádět pouze poskytovatel. Ze všech operací uvedených v bodech 2. a 3. vznikne protokol, který bude potvrzen poskytovatelem a objednatelem – vlastníkem HSM.
Operace uvedené v bodě 1. je oprávněn provádět objednatel – vlastník HSM. Objednatel – vlastník HSM je taktéž oprávněn provádět správu vlastních OCS setů nebo Softcard včetně manipulace s klíči, které tyto OCS sety budou chránit.