Smlouva
Evidenční číslo smlouvy S-177-330/2018
č.j. 14/2018-330-SML/2
výtisk č. 3
Smlouva
o poskytování služby vytváření kvalifikovaných elektronických pečetí na dálku X.XX RemoteSeal
uzavřená podle ustanovení § 1746 odst. 2 zák. č. 89/2012 Sb., občanského zákoníku (dále jen „Občanský zákoník“)
První certifikační autorita, a.s.
Se sídlem: Praha 9, Podvinný mlýn 2178/6, PSČ 190 00
Zastoupená: Ing. Xxxxxx Xxxxxxx, Ph.D., předsedou představenstva
Ing. Xxxxxxx Xxxxxxx, členem představenstva
IČO: 264 39 395
DIČ: CZ26439395
Bankovní spojení:
Číslo účtu:
zapsaná v obchodním rejstříku, vedeném Městským soudem v Praze, spisová značka B, vložka 7136.
(dále též „X.XX“) a
Česká republika – Ministerstvo dopravy
Se sídlem: Praha 1, nábřeží Xxxxxxx Xxxxxxx 1222/12, PSČ 110 15 Zastoupená: Mgr. Xxxxxxx Xxxxxxxx, náměstkem ministra
IČO: 66003008
DIČ: CZ66003008
Bankovní spojení:
Číslo účtu:
(dále též „objednatel“)
(dále jednotlivě také jako „Smluvní strana“ a společně také jako „Smluvní strany“)
uzavírají níže uvedeného dne, měsíce a roku tuto Smlouvu o poskytování služby vytváření kvalifikovaných elektronických pečetí na dálku X.XX RemoteSeal (dále jen „Smlouva“).
Preambule
1. X.XX prohlašuje, že je kvalifikovaným poskytovatelem služeb vytvářejících důvěru podle Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na
vnitřním trhu a o zrušení směrnice 1999/93/ES (dále jen „nařízení eIDAS“) a zákona č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, pro oblast vydávání kvalifikovaných certifikátů pro elektronické podpisy, kvalifikovaných elektronických časových razítek, kvalifikovaných certifikátů pro elektronické pečetě, kvalifikovaných certifikátů pro autentizaci internetových stránek a kvalifikované služby ověřování platnosti kvalifikovaných elektronických podpisů a pečetí. Služba X.XX RemoteSeal, vzhledem k tomu, že není přímo v nařízení eIDAS definována, nemůže být auditována jako kvalifikovaná služba. Nicméně byla posouzena orgánem dohledu, Ministerstvem vnitra, a zařazena na seznam služeb poskytovaných kvalifikovanými poskytovateli služeb vytvářejících důvěru.
Smlouva má dvě části:
o Část první – poskytování služby vytváření kvalifikovaných elektronických pečetí na dálku X.XX RemoteSeal
o Část druhá – poskytování kvalifikovaných elektronických časových razítek v rámci služby X.XX RemoteSeal.
Část první
Poskytování služby vytváření kvalifikovaných elektronických pečetí na dálku X.XX
RemoteSeal
Článek I. Předmět Smlouvy
1. Předmětem plnění této Smlouvy je zajištění provozu služby vytváření kvalifikovaných elektronických pečetí na dálku v souladu s platnou Politikou služby vytváření kvalifikovaných elektronických pečetí na dálku (ve verzi 1.00, ke dni podpisu smlouvy). Obchodní označení služby je X.XX RemoteSeal.
Článek II.
Povinnosti objednatele
1. X.XX poskytuje službu vytváření kvalifikovaných elektronických pečetí na dálku v souladu se závazným prohlášením uvedeným v Preambuli této Smlouvy. Objednatel se zavazuje zabezpečit dodržování platné Politiky služby vytváření kvalifikovaných elektronických pečetí na dálku („Politika“). Veškeré změny této Politiky jsou vůči objednateli účinné po uveřejnění uzavřeného dodatku k této Smlouvě v registru smluv.
2. Škody vzniklé v souvislosti s nedodržením čl. II. odst. 1 Smlouvy jdou k tíži objednatele.
3. Objednatel se zavazuje neposkytovat plnění poskytnuté X.XX dalším osobám bez souhlasu X.XX a nezneužívat poskytování služeb X.XX.
Článek III. Povinnosti X.XX
1. X.XX poskytuje objednateli službu vytváření kvalifikovaných elektronických pečetí na dálku (dále též „X.XX RemoteSeal“) v souladu s bodem 52 recitálu, články 29 a 39, Přílohou II body 3 a 4 a Přílohou III nařízení eIDAS. Popis služby je uveden v příloze č. 1 této Smlouvy.
2. X.XX se zavazuje poskytovat službu X.XX RemoteSeal v režimu 24/7, tedy 24 hodin denně, 7 dní v týdnu, s SLA 99,5 % a kapacitou až 30 vytvořených pečetí za minutu.
3. X.XX se zavazuje poskytovat:
a) technickou podporu při provozu služby, řešení nestandardních situací a poradenství související s předmětem této Smlouvy prostřednictvím e-mailové adresy
b) Hotline v rozsahu Po – Pá 8:00 – 17:00 hod. na výše uvedených kontaktech a provozní pohotovost služby v režimu 24/7 na telefonním čísle
c) právní a technickou aktuálnost komponenty pro zajištění komunikace s X.XX, jakož i celou službu X.XX RemoteSeal, s relevantními právními a technickými předpisy a normami v návaznosti na nařízení eIDAS.
d) za účelem otestování nových verzí služby X.XX RemoteSeal před nasazením do ostrého provozu službu X.XX TRemoteSeal v testovacím prostředí s funkcionalitou obdobnou službě X.XX RemoteSeal v ostrém prostředí, pro testovací prostředí platí SLA 95% a kapacita 10 vytvořených pečetí za minutu.
4. X.XX garantuje a nese odpovědnost za vytvoření kvalifikované elektronické pečetě pouze za předpokladu, že data nutná k vytvoření pečetě (odesílaná do prostředí X.XX), generovaná komponentou dodanou X.XX, nebyla jakkoliv pozměněna a nebylo s nimi nijak manipulováno.
Článek IV. Smluvní cenové podmínky
1. Cena za poskytování služby X.XX RemoteSeal, tj. za vytvoření kvalifikované elektronické pečetě, bude stanovena podle počtu vytvořených kvalifikovaných elektronických pečetí v daném kalendářním měsíci podle příslušného objemového pásma, a to jako součin
„Ceny za 1 ks pečetění Kč bez DPH“ a počtu skutečně vytvořených kvalifikovaných elektronických pečetí v příslušném pásmu dle přiloženého rozpisu za kalendářní měsíc. K této ceně bude připočten paušální poplatek ve výši pro dané množstevní pásmo. K celkové ceně bude připočteno DPH podle aktuálně platných předpisů. Celková nepřekročitelná cena této smlouvy (za obě části) činí 500.000,- Kč bez DPH.
počet pečetění od - do za měsíc | paušální poplatek v Kč bez DPH/měsíc | Cena za 1 ks pečetění v Kč bez DPH |
1 - 100 | 1 000 | 4,00 |
101 - 300 | 2 000 | 3,50 |
301 - 500 | 3 000 | 3,00 |
501 - 1.000 | 5 000 | 2,50 |
1.001 - 3.000 | 7 000 | 2,10 |
3.001 - 5.000 | 9 000 | 1,70 |
5.001 - 10.000 | 11 000 | 1,40 |
10.001 - 30.000 | 14 000 | 1,10 |
30.001 - 50.000 | 17 000 | 0,80 |
50.001 - 100.000 | 21 000 | 0,50 |
100.001 - 300.000 | 24 000 | 0,30 |
300.001 - 500.000 | 29 000 | 0,20 |
500.001 - 1.000.000 | 35 000 | 0,16 |
1.000.001 - 5.000.000 | 42 000 | 0,12 |
5.000.001 - 10.000.000 | 49 000 | 0,08 |
2. Ceny uvedené v odst. 1. tohoto článku jsou cenami neměnnými, nejvýše přípustnými a zahrnují veškeré náklady X.XX související s poskytováním služby X.XX RemoteSeal. Ceny mohou být změněny pouze v souvislosti se změnou daňových předpisů týkající se DPH, a to nejvýše o částku odpovídající této legislativní změně.
3. Úhrada poskytování služby X.XX RemoteSeal bude prováděna vždy jednou měsíčně zpětně za uplynulý kalendářní měsíc, v němž X.XX vytvořila kvalifikované elektronické pečetě, a to podle počtu skutečně provedených a poskytnutých vytvořených pečetí. Daňový doklad bude obsahovat počet skutečně vytvořených pečetí; cena bude stanovena jako součin „Ceny za 1 pečetění Kč bez DPH“ a počtu skutečně vytvořených pečetí v příslušném pásmu za kalendářní měsíc dle rozpisu uvedeného v odst. 1. tohoto článku
+ paušální poplatek v příslušném pásmu. DPH bude vyjádřeno dle aktuálně platné
legislativy.
4. X.XX je povinna vystavit řádný daňový doklad do 15. dne kalendářního měsíce následujícího po kalendářním měsíci, za který je účtována cena za poskytování služby X.XX RemoteSeal.
5. Objednatel je povinen uhradit daňové doklady převodem na účet X.XX do 30 dnů ode dne doručení daňového dokladu, vystaveného X.XX a doručeného na adresu sídla objednatele podle údajů v této Smlouvě.
6. Daňový doklad musí mít náležitosti daňových a účetních dokladů stanovených platnými a účinnými právními předpisy. Objednatel je oprávněn daňový doklad, který nebude splňovat náležitosti podle platných a účinných právních předpisů nebo bude obsahovat nesprávné údaje, vrátit X.XX. X.XX je povinna nedostatky daňového dokladu odstranit a vystavit nový daňový doklad. Na základě vadně vystaveného daňového dokladu ve smyslu tohoto odstavce se objednatel neocitá v prodlení. Lhůta splatnosti počíná běžet znovu ode dne doručení náležitě doplněného či opraveného daňového dokladu.
7. Dnem platby se rozumí den odeslání fakturované částky z účtu objednatele na účet X.XX uvedený na daňovém dokladu, který musí odpovídat číslu účtu uvedenému v záhlaví Smlouvy nebo číslu účtu uvedenému v registru plátců DPH. Případnou změnu čísla účtu je X.XX povinna objednateli písemně oznámit a na zpětný dotaz objednatele opětovně písemně potvrdit, jinak je objednatel oprávněn vrátit fakturu X.XX podle odst. 6 tohoto článku.
Článek V.
Sankční ustanovení, odstoupení od Smlouvy
1. V případě zaviněného nedodržení parametru SLA dostupnosti služby X.XX RemoteSeal uvedeného v článku III. odstavci 2. této Smlouvy, tj. pokud dostupnost služby klesne pod 99,5 % za kalendářní den, je X.XX povinna uhradit objednateli Smluvní pokutu ve výši 1.000,- Kč bez DPH za každých započatých 0,1%, o kterých klesne dostupnost poskytované služby pod požadovanou hodnotu. Měsíční výše Smluvní pokuty však nepřesáhne výši měsíční ceny za poskytování služby.
2. V případě nesplnění povinností uvedených v článku III. odstavci 3. písm. a) a b) této Smlouvy je X.XX povinna uhradit objednateli Smluvní pokutu ve výši 1.000,- Kč bez DPH za každé takové porušení.
3. V případě nesplnění povinností uvedených v článku III. odstavci 3. písm. c) této Smlouvy je X.XX povinna uhradit objednateli Smluvní pokutu ve výši 10.000,- Kč bez DPH za každé takové porušení.
4. Každá ze Smluvních stran má právo odstoupit od této Smlouvy v případě, poruší-li jedna ze Smluvních stran své závazky a povinnosti stanovené touto Smlouvou, a to podstatným nebo opakovaným způsobem. Odstoupení musí mít písemnou formu s uvedením důvodů odstoupení a musí být doručeno druhé Smluvní straně, jinak je odstoupení neplatné. Odstoupení od Smlouvy má právní účinky dnem doručení. Od toho dne je Smluvní strana, které takto bylo odstoupení doručeno, oprávněna ukončit plnění předmětu Smlouvy vyjma případů, kdy by nečinností mohla vzniknout škoda druhé Smluvní straně. V takovém případě má Smluvní strana povinnost pokračovat v plnění Smlouvy a zabezpečit plnění předmětu Smlouvy do doby, kdy pomine nebezpečí shora uvedené škody.
Část druhá
Poskytování kvalifikovaných elektronických časových razítek v rámci služby X.XX
RemoteSeal.
Článek VI.
Předmět Smlouvy
1. Předmětem plnění této Smlouvy je vydávání kvalifikovaných elektronických časových razítek X.XX (dále jen „časových razítek“) pro potřeby objednatele v souladu s platnou Politikou vydávání kvalifikovaných elektronických časových razítek X.XX (ve verzi 2.00, ke dni podpisu smlouvy).
2. Časová razítka, vydávaná podle této Xxxxxxx, budou vydávána pouze oprávněnému žadateli. Oprávněným žadatelem se pro účely této Smlouvy rozumí fyzická nebo právnická osoba, která se prokazuje (autentizuje) v elektronické komunikaci platným certifikátem X.XX, jménem a heslem nebo IP adresou.
3. Seznam oprávněných žadatelů podle této Smlouvy v době jejího podpisu a způsob autentizace ke službě časových razítek je uveden v příloze č. 2 této Smlouvy. Seznam může být v době platnosti této Smlouvy v případě potřeby na straně objednatele změněn/rozšířen v dohodě X.XX s objednatelem, příslušná dohoda musí být učiněna transparentním způsobem a nevyžaduje změnu přílohy této Smlouvy.
Článek VII. Povinnosti objednatele
1. Objednatel se zavazuje ve svých Projektech, využívajících časová razítka, vydaná na základě této Smlouvy, zabezpečit dodržování platné Politiky vydávání (kvalifikovaných) elektronických časových razítek X.XX (dále jen „PQTSA X.XX“). Veškeré změny této Politiky jsou vůči objednateli účinné po uveřejnění uzavřeného dodatku k této Smlouvě v registru smluv.
2. Škody vzniklé v souvislosti s nedodržením čl. VII. odst. 1 Smlouvy jdou k tíži objednatele.
3. Objednatel se zavazuje neposkytovat plnění poskytnuté X.XX dalším osobám bez
souhlasu X.XX a nezneužívat poskytování služeb X.XX.
Článek VIII. Povinnosti X.XX
1. X.XX se zavazuje objednateli jako oprávněnému žadateli o služby časové autority poskytovat danou komplexní službu vydávání časových razítek pro jím realizovaná řešení v souladu s platnou PQTSA X.XX a veškerými relevantními právními předpisy, a to bez omezení počtu vydaných časových razítek po celou dobu platnosti Smlouvy.
2. X.XX se zavazuje poskytovat objednateli podporu zaručenou platnou PQTSA X.XX.
3. X.XX se zavazuje poskytovat službu vydávání časových razítek s dostupností 98% za běžný kalendářní rok v nepřetržitém režimu 24 hodin denně 7 dní v týdnu (365 x 24) po celou dobu platnosti Smlouvy.
4. X.XX prohlašuje, že vydávání časových razítek odpovídá všem požadavkům vyplývajícím
z právních předpisů, které se na plnění vztahují.
5. X.XX se zavazuje poskytovat službu vydávání časových razítek s propustností 2 ks časových razítek za sekundu.
Článek IX. Cenové podmínky
1. Cena za vydání časových razítek bude stanovena podle skutečného odběru v daném kalendářním měsíci podle příslušného objemového pásma, a to jako součin „Ceny Kč za 1 ks razítka“ a počtu skutečně odebraných razítek za kalendářní měsíc dle přiloženého rozpisu. K ceně bude připočteno DPH podle aktuálně platných předpisů.
eGov Standard Services® - dostupnost 98%; propustnost 2 ks razítek/1s
Objemové pásmo množství razítek ks/měsíc | Cena v Kč bez DPH za 1 ks razítka |
Do 100 | 1,20 |
Do 200 | 1,10 |
Do 500 | 1,00 |
Do 1.000 | 0,90 |
Do 2.000 | 0,75 |
Do 5.000 | 0,60 |
Do 7.500 | 0,55 |
Do 10.000 | 0,50 |
Do 20.000 | 0,45 |
Do 30.000 | 0,40 |
Do 50.000 | 0,35 |
Do 100.000 | 0,30 |
Do 200.000 | 0,28 |
Do 300.000 | 0,26 |
Do 400.000 | 0,24 |
Do 500.000 | 0,22 |
Do 1.000.000 | 0,20 |
2. Ceny uvedené v odst. 1 tohoto článku Smlouvy jsou cenami neměnnými, nejvýše přípustnými a zahrnují veškeré náklady X.XX související s plněním předmětu této Smlouvy. Ceny mohou být změněny pouze v souvislosti se změnou daňových předpisů týkajících se DPH, a to nejvýše o částku odpovídající této legislativní změně.
Článek X.
Platební podmínky
1. Úhrada vydaných časových razítek podle této Xxxxxxx bude prováděna vždy jednou měsíčně zpětně za uplynulý kalendářní měsíc, v němž X.XX časová razítka vydala, a to podle počtu objednatelem skutečně odebraných časových razítek. Daňový doklad bude obsahovat počet skutečně odebraných časových razítek; cena bude stanovena jako součin „Ceny Kč za 1 ks razítka“ a počtu skutečně odebraných razítek za kalendářní měsíc dle rozpisu uvedeného v odst. 1 článku IX. této Smlouvy. DPH bude vyjádřeno dle účinných právních předpisů.
2. X.XX je povinna vystavit řádný daňový doklad do 15. dne následujícího kalendářního měsíce po kalendářním měsíci, za který je účtována cena za vydaná časová razítka.
3. Objednatel je povinen uhradit daňové doklady převodem na účet X.XX do 30 dnů ode dne doručení daňového dokladu, vystaveného X.XX, na adresu sídla objednatele a doručeného písemně na adresu sídla objednatele podle údajů v této Smlouvě.
4. Daňový doklad musí mít náležitosti daňových a účetních dokladů stanovených platnými právními předpisy. Objednatel je oprávněn daňový doklad, který nebude splňovat náležitosti podle platných a účinných právních předpisů nebo bude obsahovat nesprávné údaje, vrátit X.XX. X.XX je povinna nedostatky daňového dokladu odstranit a vystavit nový daňový doklad. Na základě vadně vystaveného daňového dokladu ve smyslu tohoto odstavce se objednatel neocitá v prodlení se splatností. Lhůta splatnosti počíná běžet znovu ode dne doručení náležitě doplněného či opraveného daňového dokladu.
5. Dnem platby se rozumí den odeslání fakturované částky z účtu objednatele na účet X.XX uvedený na daňovém dokladu, který musí odpovídat číslu účtu uvedenému v záhlaví Smlouvy nebo číslu účtu uvedenému v registru plátců DPH. Případnou změnu čísla účtu je X.XX povinna objednateli písemně oznámit a na zpětný dotaz objednatele opětovně písemně potvrdit, jinak je objednatel oprávněn vrátit fakturu X.XX podle odst. 4 tohoto článku.
XI.
Technická podpora
X.XX poskytuje službu technické podpory uživatelů, řešení nestandardních situací a poradenství související s předmětem této Smlouvy prostřednictvím e-mailové adresy
a telefonní linky
XII.
Smluvní sankce, odstoupení od Xxxxxxx
1. V případě prodlení objednatele s uhrazením daňového dokladu vystaveného X.XX, je X.XX oprávněna účtovat objednateli nejvýše zákonný úrok z prodlení.
2. Při nezaplacení ceny za vydaná časová razítka ve lhůtě tvořené součtem doby splatnosti příslušného daňového dokladu a časového období 30 dnů, tj. ve lhůtě 60 dnů, vyhrazuje si X.XX právo nepřijímat od objednatele další žádosti na vydávání časových razítek podle této Smlouvy, a to do doby vyrovnání všech finančních závazků ze strany objednatele.
3. Každá ze Smluvních stran má právo odstoupit od této Smlouvy v případě, poruší-li jedna ze Smluvních stran své závazky a povinnosti stanovené touto Smlouvou, a to podstatným nebo opakovaným způsobem. Odstoupení musí mít písemnou formu s uvedením důvodů odstoupení a musí být doručeno druhé Smluvní straně, jinak je odstoupení neplatné. Odstoupení od Smlouvy má právní účinky dnem doručení. Od toho dne je Smluvní strana, které takto bylo odstoupení doručeno, oprávněna ukončit plnění předmětu Smlouvy vyjma případů, kdy by nečinností mohla vzniknout škoda druhé Smluvní straně. V takovém případě má Smluvní strana povinnost pokračovat v plnění Smlouvy a zabezpečit plnění předmětu Smlouvy do doby, kdy pomine nebezpečí shora uvedené škody.
Článek XIII.
Zvláštní a společná ujednání
1. Dodržování předpisů
X.XX se zavazuje, že jí pověření zaměstnanci při plnění této Smlouvy v objektech objednatele budou dodržovat veškeré obecně závazné předpisy, vztahující se k vykonávané činnosti, zejména předpisy o bezpečnosti práce a o požární bezpečnosti, interní předpisy objednatele, předpisy o vstupu do objektů objednatele, o ochraně osobních údajů a o bezpečnosti systémů, a budou se řídit organizačními pokyny zaměstnance, pověřeného objednatelem.
2. Ochrana osobních údajů
V případě, že se při plnění předmětu této Smlouvy dostanou zaměstnanci X.XX do styku s interními aplikacemi či informačními systémy objednatele, zavazuje se X.XX v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Pokud jde o personální opatření, zavazuje se X.XX u fyzických osob – svých kmenových zaměstnanců, případně jiných fyzických osob, pokud by vykonávaly některé činnosti v rámci předmětu příslušné Smlouvy pro X.XX, že tyto činnosti budou vykonávat pouze osoby bezúhonné a zavázané povinností mlčenlivosti.
3. Obchodní tajemství
Pokud X.XX získá (bez ohledu na způsob) od objednatele informace, které mají povahu obchodního tajemství (dále též „chráněné informace“ nebo „obchodní tajemství“), bude s těmito chráněnými informacemi nakládat jako s vlastním obchodním tajemstvím, aniž by bylo nutné takové informace jako „chráněné informace“ vždy jednotlivě označovat, což nevylučuje možnost v jednotlivých případech při zvýšeném zájmu toto nebo jiné označení (např. “diskrétní“) pro jednotlivé informace, resp. jejich nosiče, výslovně použít. X.XX se zavazuje, že nepoužije chráněné informace k jinému účelu, než k jakému mu byly poskytnuty a že kmenové zaměstnance, kteří přijdou s chráněnými informacemi do styku, případně Smluvní partnery, kterým se svolením druhé Smluvní strany chráněné informace
zpřístupní, o povinnosti uchovávat takové informace v tajnosti dostatečně poučí a odpovídajícím způsobem Smluvně zajistí jejich utajení.
Ustanovení této Smlouvy, která se týkají ochrany obchodního tajemství, budou v plném rozsahu platná a účinná po neomezenou dobu od ukončení smluvního vztahu založeného touto Smlouvou.
4. Poskytování informací
X.XX se zavazuje, že informace ani jakékoliv technické nebo jiné podklady, získané při plnění této Smlouvy nepoužije pro jiné než touto Smlouvou stanovené účely, ani je neposkytne nebo k nim neumožní přístup třetím osobám bez předchozího písemného souhlasu objednatele. Tento závazek se vztahuje na všechny zaměstnance společnosti X.XX a další zaměstnance, kteří se budou případně podílet na plnění předmětu této Smlouvy a seznámí se s těmito informacemi nebo budou držiteli těchto podkladů. Tento závazek bude trvat po neomezenou dobu od ukončení platnosti Smlouvy.
5. Žádná ze Smluvních stran není oprávněna postoupit či jinak převést jakákoli svá práva či povinnosti vyplývající z této Smlouvy bez předchozího písemného souhlasu druhé Smluvní strany.
6. V případě porušení povinností X.XX uvedených v tomto článku je X.XX povinna zaplatit objednateli Smluvní pokutu ve výši 10.000,- Kč za každý jednotlivý případ.
7. Smluvní pokuty a úroky z prodlení uvedené ve Smlouvě jsou splatné do 30 kalendářních dnů ode dne doručení jejich vyúčtování druhé Smluvní straně. Zaplacením Smluvní pokuty není dotčen nárok objednatele na náhradu škody ani povinnost X.XX řádně poskytovat plnění předmětu Smlouvy, popř. odstranit jeho vady.
Článek XIV.
Závěrečná ustanovení
1. Tato Smlouva a vztahy z ní vyplývající se řídí českým právním řádem. Veškeré spory vyplývající z této Smlouvy se Smluvní strany budou snažit řešit smírnou cestou. Teprve nepovede-li takové smírčí jednání k vyřešení sporu, bude soudní spor veden u příslušného obecného soudu ČR.
2. Pokud jakýkoli závazek dle Smlouvy nebo kterékoli ustanovení Smlouvy je nebo se stane neplatným či nevymahatelným, nebude to mít vliv na platnost a vymahatelnost ostatních závazků a ustanovení dle Smlouvy a Smluvní strany se zavazují takovýto neplatný nebo nevymahatelný závazek či ustanovení nahradit novým, platným a vymahatelným závazkem, nebo ustanovením, jehož předmět bude nejlépe odpovídat předmětu a ekonomickému účelu původního závazku či ustanovení
3. V případě, že by se některá ustanovení Smlouvy stala neplatnými v důsledku legislativních změn, nestává se neplatnou celá Smlouva. V takovém případě sjednají Smluvní strany nové znění dotčených ustanovení tak, aby vystihovalo co nejpřesněji podstatu původního ujednání a aby co nejlépe odpovídalo duchu Smlouvy.
4. Objednatel je povinným subjektem dle zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru
smluv), ve znění pozdějších předpisů (dále jen „zákon č. 340/2015 Sb.). Smluvní strany se dohodly, že povinnosti dle tohoto zákona v souvislosti s uveřejněním Smlouvy zajistí objednatel.
5. Smluvní strany souhlasí s uveřejněním Smlouvy, včetně všech jejích příloh a dodatků,
v registru smluv dle zákona č. 340/2015 Sb.
6. Smluvní strany souhlasí s tím, že v registru smluv bude zveřejněn celý rozsah Xxxxxxx,
včetně osobních údajů, a to na dobu neurčitou.
7. Tato Xxxxxxx nabývá platnosti dnem jejího podpisu oběma Smluvními stranami a účinnosti jejím uveřejněním v registru smluv.
8. Tato Xxxxxxx se uzavírá na dobu dvou let od data podpisu Smlouvy nebo do doby
vyčerpání celkové částky Smlouvy dle čl. IV odst. 1.
9. Místem plnění Smlouvy je sídlo objednatele.
10. Smlouvu je možné ukončit:
a) písemnou dohodou Smluvních stran;
b) písemnou výpovědí některé ze Smluvních stran, zaslanou druhé Smluvní straně, a to buď výpovědí s důvodem, kterým je podstatné porušení ustanovení této Smlouvy druhou Smluvní stranou, nebo výpovědí bez uvedení důvodu. V obou případech se uplatní výpovědní doba v délce 30 kalendářních dnů počínající běžet prvním dnem následujícím po dni, kdy bylo písemné vyhotovení výpovědi prokazatelně doručeno druhé Smluvní straně.
11. Písemnou dohodou Smluvních stran je Smlouva ukončena ke dni v této dohodě uvedené a není-li v dohodě takový den uveden, pak ke dni podpisu dohody oběma Smluvními stranami.
12. Ukončením Smlouvy nejsou Smluvní strany zbaveny povinnosti vyrovnat veškeré závazky vzniklé v důsledku platnosti a účinnosti této Smlouvy a učinit veškeré úkony, které nesnesou odkladu a které jsou nutné k zabránění vzniku škody na straně jedné ze Smluvních stran.
13. Smluvní strany se dohodly, že se ve vztazích mezi X.XX a objednatelem vyplývajících z této
Smlouvy neuplatní §§ 1895 – 1900 Občanského zákoníku.
14. Tato Smlouva může být změněna dohodou obou Smluvních stran. Dohoda o změně Smlouvy nebo o jejím zrušení musí mít písemnou formu označenou jako vzestupně číslované dodatky a musí být podepsána oprávněnými zástupci obou Smluvních stran.
15. Smluvní strany mohou zveřejnit ve svých informačních materiálech, že X.XX je poskytovatelem služby X.XX RemoteSeal pro objednatele.
16. Tato Smlouva je vyhotovena ve čtyřech vyhotoveních, z nichž objednatelobdrží třivyhotovení a poskytovatel jedno vyhotovení.
17. Seznam příloh, které tvoří nedílnou součást této Smlouvy:
a) Příloha č. 1 – Popis služby X.XX RemoteSeal
b) Příloha č. 2 – Způsob autentizace ke službě časových razítek.
V Praze dne 30. července 2018 V Praze dne 7. srpna 2018
Za X.XX: Za objednatele:
Xxx. Xxxx Xxxxx, Ph.D. Xxx. Xxxxx Xxxxxxx
předseda představenstva náměstek ministra
Xxx. Xxxxx Xxxxxx člen představenstva
Příloha č. 1
Služba vytváření kvalifikovaných elektronických pečetí na dálku
X.XX RemoteSeal
Východisko služby
Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (dále jen „nařízení eIDAS“), konkrétně bod 52 recitálu, články 29 a 39, body 3 a 4 Přílohy II a Příloha III.
Právní základ
Povinnost používat kvalifikované elektronické pečetě orgány veřejné moci počínaje 20.9.2018 je dána
§ 8 zákona č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce:
„Nestanoví-li jiný právní předpis jako náležitost právního jednání obsaženého v dokumentu podpis nebo tato náležitost nevyplývá z povahy právního jednání, veřejnoprávní podepisující a jiná právnická osoba, jedná-li při výkonu své působnosti, zapečetí dokument v elektronické podobě kvalifikovanou elektronickou pečetí.“
Kvalifikovaná elektronická pečeť dle bodu 27) článku 3 nařízení eIDAS:
„Zaručená elektronická pečeť, která je vytvořena pomocí kvalifikovaného prostředku pro vytváření elektronických pečetí a která je založena na kvalifikovaném certifikátu pro elektronickou pečeť.“
Požadavky na kvalifikované prostředky pro vytváření elektronických pečetí (QSealCD):
• prostřednictvím „mutatis mutandis“ stanoveny v Příloze II. nařízení eIDAS
• jedná se o stejné požadavky jako na kvalifikované prostředky pro vytváření elektronických
podpisů
• stejné funkční požadavky jako pro SSCD prostředky dle směrnice 1999/93/ES pro ty prostředky, které jsou v držení osoby
• v případě prostředků pro vytváření kvalifikovaných elektronických pečetí na dálku dodatečné požadavky na kvalifikované poskytovatele (odst. 3 a 4 Přílohy II. nařízení eIDAS).
Existují dva typy QSealCD:
1. QSealCD v držení pečetící osoby (pokud jsou data pro vytváření elektronických pečetí uchovávána v prostředí spravovaném zcela, nikoli však nutně výhradně uživatelem).
2. QSealCD na dálku (pokud data pro vytváření elektronických pečetí spravuje kvalifikovaný poskytovatel služeb vytvářejících důvěru jménem pečetící osoby).
Služba X.XX RemoteSeal představuje variantu 2 s tím, že certifikace na základě alternativního procesu
– musí používat srovnatelnou úroveň bezpečnosti a zároveň certifikační orgán daný postup oznámil Komisi. Alternativní postup může být použit pouze v případě, že příslušné normy neexistují.
Seznam EU pro QSealCD
„Compilation of Member States notification on SSCDs and QSCDs“
xxxxx://xx.xxxxxx.xx/xxxxxxxx/xx/xxxxxxx/xxxxxxxxxxx-xxxxxx-xxxxxx-xxxxxxxxxxxx-xxxxx-xxx-xxxxx
• Seznam je spravován Komisí.
• Komise pouze v roli editora seznamu.
• Mohou přispívat pouze ty členské státy, které měly nebo mají nahlášeny certifikační orgány.
• Je na zodpovědnosti členských států nahlašovat prostředky Komisi a případné změny jejich
certifikace.
• Seznam nemá konstitutivní hodnotu, jedná se pouze o informativní seznam.
Výběr QSealCD pro službu X.XX RemoteSeal
• ARX (Algorithmic Research) CoSign v8.2
• Společnost ARX koupena v roce 2015 společností DocuSign
• Produkt nadále prodáván pod názvem DocuSign Signature Appliance v8.2
Architektura služby
• RSeC – RemoteSeal Client – klientská komponenta určená pro integraci do volající aplikace, typicky do spisové služby.
• RSeS – RemoteSeal Server – základní aplikační server provozovaný X.XX, který realizuje první vrstvu autentizace volající aplikace a udržuje evidenci provedených transakcí (opečetění).
• DSA Primary - DocuSign Signature Appliance Primary - primární HSM modul, který drží privátní klíče uživatelů a podepisuje
• DSA Alternate - DocuSign Signature Appliance Alternate - záložní HSM modul, který udržuje repliku databáze privátních klíčů a v případě výpadku primárního HSM zastoupí primární HSM pro podepisování
• RSeActivationUtil – Aktivační utilita sloužící k aktivaci RSeC pomocí tzv. aktivační karty.
• RemoteSeal Client
• Klientská komponenta sloužící k zadávání transakcí (požadavků na opečetění dat) do systému RemoteSeal.
• Nativní C++ jádro
• Distribuováno ve formě:
• JAR pro Java
• .NET assembly pro .NET
• V případě zájmu možno volat přímo nativní jádro.
Zřízení služby
Zřízení služby bude probíhat na vybraných pobočkách RA následujícím způsobem:
• Klient navštíví pobočku RA.
• Operátor RA vydá klientovi prvotní autentizační komerční certifikát (FAC - First Authentication Certificate) na aktivační kartu/token (viz názvosloví). FAC je nutné zavést do AUTHu jako autentizační certifkát pro RemoteSeal pro daného uživatele (budou provádět ručně obchodníci na základě SN certifikátu, které jim zašle klient).
• Operátor RA připraví žádost o pečetící certifikát pro uživatele.
• Operátor RA vygeneruje párová data pro pečetící certifikát (z pohledu operátora atomická operace) což obnáší:
o ICARA pomocí RSeS (RemoteSealServer) založí pro klienta uživatele na DSA včetně prvotního hesla FP (First Password).
o ICARA náhodně vygeneruje nové heslo PP (Production Password) (drženo
pouze v RAM)
o ICARA náhodně vygeneruje 256b AES šifrovací klíč SK (Secret Key)
o XXXXX zašifruje pomocí AES-KW (kde K je SK a PP je W) do výsledku CPP
(Ciphered Production Password)
o ICARA zašifruje pomocí RSAES_PKCS#1 v1.5 klíč SK veřejným klíčem FAC
do výsledku CSKFAC (Ciphered Secret Key)
o ICARA následně uloží do RSeS kryptogramy CSKFAC a CPP
o ICARA provede aktivaci uživatelského účtu v DSA pomocí FP (a tudíž i změnu
hesla na PP).
o ICARA provede pod účtem uživatele (s heslem PP) generování párových dat pro vydání prvotního pečetícího certifikátu.
• Operátor RA pomocí XXXXX podepíše žádost o vydání pečetícího certifikátu privátním klíče párových dat na DSA (zde můžeme teoreticky zapojit uživatele aby zadal PIN na pinpadové čtečce (pro rozšifrování CPP pomocí privátního klíče FAC)
• Na základě žádosti proběhne na CA vydání pečetícího certifikátu.
• Pečetící certifikát:
o CA pošle na mailovou adresu uživatele.
o ICARA uloží na čipovou kartu uživatele.
o ICARA uloží na DSA (díky přihlášení jako uživatel)
• Klient odchází z RA s aktivační(m) kartou/tokenem.
• Pro aktivaci RSeC spustí uživatel (např.: oprávněná osoba úřadu) dodávanou GUI utilitu RSeActivationUtil (dále jen utilita)
• Utilita vyzve uživatele k vložení aktivační karty (potažmo aktivačního tokenu), načež
utilita:
o Naváže spojení s RSeS pomocí oboustranně autentizovaného HTTPS za
pomoci FAC (uživatel bude vyzván k zadání PINu)
o Automaticky vytvoří žádost o vydání následného certifikátu SACi (Secondary Authentication Certificate číslo i), která bude podepsána FAC a privátní klíč k SACi se bude generovat v SW (nikoliv na kartě)
o Žádost se odešle ke zpracování na CA, kde se obratem vydá následný certitifikát SACi a ten se stáhne zpět do utility
o Utilita si z RSeS stáhne CSKFAC (drží se pouze v RAM)
o Pomocí privátního klíče FAC na aktivační kartě dešifruje CSKFAC na SK (drží
se pouze v RAM)
o Zašifruje pomocí RSAES_PKCS#1 v1.5 klíč SK veřejným klíčem SACi do
výsledku CSKSACi
o Utilita následně uloží do RSeS kryptogram CSKSACi
• Utilita může případně uživatele vyzvat k dalším nastavením RSeC, pokud nějaká budou (např.: přidávání TS, viditelný podpis, reason, location pokud se tyto nebudou nastavovat pomocí RSeCAPI)
• Následně utilita vytvoří aktivační soubor, kde bude uložen certifikát SACi včetně privátního klíče.
• Uživatel tento aktivační soubor následně načte do spisové služby (obecně do aplikace volající RSeC), která jej bude pro použití RemoteSeal předávat do RSeC.
Technické parametry RSeActivationUtil
• Jednoduchá Windows GUI utilita.
• Nemusí být spouštěna na stejném PC, na kterém je provozován RSeC.
• Vyžaduje: .NET 4.0
• Proces opečetění dokumentu inicializuje spisová služba (obecně volající aplikace), která má integrovanou knihovnu RSeC.
• Spisová služba předá do RSeC dokument k opečetění spolu s nastavením pečetění (viditelný/neviditelný podpis, formát, přidání TS, atp.) + aktivační soubor vzniklý při aktivaci RSeC
• RSeC připraví dokument k podpisu a sestaví žádost o opečetění (obsahující číslo jednací dokumentu (obecně jednoznačný textový identifikátor), parametry podpisu, hash původního dokumentu a hash který bude vstupem pro výpočet kryptogramu)
• Tato žádost bude podepsána pomocí SACi
• Následně RSeC naváže oboustraně autentizovaný TLS kanál pro komunikaci s RSeS pomocí SACi
• Navázaným kanálem předá podepsanou žádost o opečetění na RSeS
• RSeS obratem vrátí do RSeC kryptogramy CSKSACi a CPP, které budou v RSeC drženy pouze v RAM
• RSeC pomocí SACi rozšifruje CSKSACi na SK a pomocí něj rozšifruje CPP na PP
(vše pouze v RAM, po dešifrování PP možno ostatní z RAM uvolnit)
• RSeC následně naváže anonymní HTTPS na DSA s aplikováním certificate pinningu na ověření autenticity DSA
• Následně tímto kanálem po autentizaci pomocí PP vytvoří na DSA kryptogram pomocí privátního klíče pečetícího certifikátu
• Po vytvoření kryptogramu se z RAM odstraní PP
• RSeC využije kryptogram pro kompletaci podepsaného dokumentu
• Pokud je vyžadován podpis s časovým razítkem, je TS do dokumentu přidáno nyní, přičemž RSeC se vůči TSA autentizuje pomocí SACi
• Hotový opečetěný dokument je vrácen spisové službě
Automatické prodloužení služby
• Součástí RSeC bude funkcionalita automatické obnovy SACi (obdobné řešení jako v
QVerify)
• Nejprve se z RSeS stáhne CSKSACi
• Pomocí nově vygenerované veřejného klíče se vygeneruje CSKSACj a spolu s
veřejným klíčem se nahraje na RSeS.
• Následně je možné provést standardní obnovu a nahrát nově vydaný certifikát SACj
na RSeS
• V rámci automatického prodloužení služby (zakotveného ve Smlově) bude také probíhat automatická obnova pečetícího certifikátu
• RSeC s určitým předstihem před vypršením certifikátu vygerenuje na DSA nový pár klíčů a vytvoří žádost o vydání následného certifikátu, kterou opečetí původním certifikátem
• Žádost o následný certifikát se zpracuje na CA standardní cestou
• RSeC následně uloží do DSA následný certifikát a od toho okamžiku jej začne pro pečetění využívat
Podporované formáty podpisu:
• CAdES-B-B, CAdES-B-T
– Dle normy EN 319 122, ve variantách:
– Interní
– Externí
• PAdES-B-B, PAdES-B-T
– Dle normy EN 319 142, ve variantách:
– Neviditelný
– Viditelný – Text/Obrázek/Text+Obrázek + volitelně obrázek na pozadí
• Podepisovaná data (business obsah) nikdy neopouští volající systém (komponentu RSeC)!
Bezpečnostní požadavky a jejich splnění:
Důvěrnost:
• Ověřovaná data nejsou v systému ukládána
• Důvěrnost dat je řešena:
– Při přenosu dat: prostřednictvím SSL protokolu.
– Při zpracování požadavku na ověření na serveru: s ověřovanými daty se pracuje pouze v paměti a nejsou v žádném kroku fyzicky uložena do souboru (ani dočasného) nebo databáze. Po procesu ověření jsou data z paměti vymazána.
– Celý proces ověření je logován.
Integrita:
• Ověřovaná data nejsou v systému ukládána. Integrita vstupních dat při přenosu je řešena na úrovni datové struktury webové služby (vstupem je hash ověřovaných dat a hash z podpisu) a jejich kontrolou na serveru.
Dostupnost:
• Služba je poskytována v režimu 24/7 s SLA 99,5 % a kapacitou až 30 ověření za minutu.
Příloha č. 2
Seznam oprávněných žadatelů
Česká republika – Ministerstvo dopravy
IČO: 66003008
Způsob autentizace ke službě časových razítek
• Autentizace komerčním certifikátem X.XX:
o Politika časové autority - 1.3.6.1.4.1.23624.10.1.50.2.0
o Server časové autority - xxxxx://xxx.xxx.xx/xxx-xxx/xxxxxxx0.xxx
o Hash algoritmus - SHA-256, 512
• Autentizace jménem a heslem https:
o Politika časové autority - 1.3.6.1.4.1.23624.10.1.50.2.0
o Server časové autority - xxxxx://xxxxxxx.xxx.xx/xxx-xxx/xxxxxxx_xxxx0.xxx
o Hash algoritmus - SHA-256, 512
• Autentizace jménem a heslem http:
o Politika časové autority - 1.3.6.1.4.1.23624.10.1.50.2.0
o Server časové autority - xxxx://xxxxxxx.xxx.xx/xxx-xxx/xxxxxxx_xxxx0.xxx
o Hash algoritmus - SHA-256, 512
• Autentizaci statickou IP adresou:
o Politika časové autority - 1.3.6.1.4.1.23624.10.1.50.2.0
o Server časové autority - xxxx://xxxxxxx.xxx.xx/xxx-xxx/xxxxxxx_xx0.xxx
o Hash algoritmus - SHA-256, 512