Kupní smlouva
Kupní smlouva
(dále jen „smlouva“)
dle § 2079 a násl. zákona č. 89/2012 Sb., občanského zákoníku, ve znění pozdějších předpisů (dále jen „občanský zákoník“)
1. Smluvní strany
1.1. Kupující: Město Nymburk
se sídlem: Xxxxxxx Xxxxxxxxxxx 000, 000 00 Xxxxxxx
zastoupen: Ing. Xxxxxxx Xxxxxx, Ph.D., starostou
Identifikační číslo: 00239500
DIČ: CZ00239500
(dále jen jako „kupující“)
1.2. Prodávající: K-net Technical International Group, s.r.o.
se sídlem: Xxxxxxxxxx 00, 000 00 Xxxx
zastoupen: Ing. Xxxxxxx Xxxxxxxxx, jednatelem
zástupce ve věcech technických: Xxx. Xxxxxxxx Xxxxxx, x000 000 000 000, xxxxxxxx.xxxxxx@x-xxx.xx
IČ: 47916745
Bankovní spojení: Československá obchodní banka, a. s., č.ú. 000000000/0300
Telefon: x000 000 000 000
(dále jen jako „prodávající“)
Obě smluvní strany po vzájemném projednání a shodě uzavírají tuto smlouvu:
2. Předmět smlouvy
2.1. Účelem této smlouvy je dodávka zařízení včetně jeho implementace a napojení na ostatní infrastrukturu kupujícího (včetně současně budované infrastruktury) a následné předání funkčního kompletu kupujícímu, zaškolení administrátorů, uživatelů, rozvoje a podpory. Zařízení je určené pro kupujícího (město Nymburk) a pro jeho organizace.
2.2. Podkladem pro uzavření této smlouvy je nabídka prodávajícího, podaná v zadávacím řízení nazvaném
„VZ_NBK_040_2024_01 – V 00706A – Zajištění kybernetické bezpečnosti informačního systému – nové vyhlášení HW“ (dále jen „Veřejná zakázka“), zadávaném přiměřeně dle Metodického pokynu pro oblast zadávání zakázek pro programové období 2021 – 2027 vydaného Ministerstvem pro místní rozvoj (dále jen „Pravidla“) a dle § 56 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, v platném znění.
2.3. Touto smlouvou se prodávající zavazuje dodat za podmínek v ní sjednaných kupujícímu zboží, uvedené
v článku 3. této smlouvy a převést na něj vlastnické právo k tomuto zboží.
2.4. Kupující se zavazuje zboží převzít a zaplatit za něj sjednanou kupní cenu způsobem a v termínu stanoveném touto smlouvou.
2.5. Předmět plnění bude spolufinancován z dotačního projektu „Zajištění kybernetické bezpečnosti informačního systému“, reg. č. CZ.06.01.01/00/22_004/0000158, financovaného z IROP – dále jen
„Projekt“).
3. Předmět koupě
3.1. Předmětem smlouvy je dodávka HW včetně souvisejícího infrastrukturního SW, jehož specifikace včetně technických parametrů je uvedena v příloze č. 1 této smlouvy (dále jen „zboží“).
3.2. Součástí předmětu koupě jsou i veškeré doklady požadované právními předpisy k používání předmětu koupě - zboží. Prodávající prohlašuje, že předmět koupě splňuje veškeré podmínky stanovené právními předpisy k jeho používání, a že kupujícímu předá veškeré doklady potřebné k provozování předmětu koupě, za což kupujícímu ručí.
3.3. Předmětem koupě dle této smlouvy je dále:
• doprava do místa plnění,
• implementace, tj. veškeré nezbytné práce jejichž smyslem je zprovoznění včetně zapojení do stávajícího prostředí kupujícího tak, aby je kupující mohl užívat obvyklým způsobem (dále jen „implementace“),
• předání průvodní dokumentace,
• zaškolení kupujícího
• součinnost při penetračních testech a odstranění chyb bránící užívání dle účelu smlouvy zjištěných při
testech
• nezbytná technická podpora po dobu udržitelnosti Projektu, která činí 5 let od data předání do provozu. Technická podpora zahrnuje zejména aktualizace SW firewallu, maintenance, legislativní upgrade a update (dále jen „technická podpora“).
4. Kupní cena a platební podmínky
4.1. Celková kupní cena činí: 6 611 557,00 Kč bez DPH 1 388 426,97 Kč DPH
7 999 983,97 Kč vč. DPH
4.2. Cena bez DPH podle čl. 4.1. této smlouvy je stanovena dle technické specifikace (Příloha č. 1 této smlouvy) jako cena nejvýše přípustná a konečná a zahrnuje celý předmět plnění dle této smlouvy (s výjimkou ceny za poskytování technické podpory, která je upravena v čl. 4.5. níže).
4.3. Sjednaná cena celkem může být změněna pouze v případě změny zákona č. 235/2004 Sb., o DPH, týkající
se sazby DPH a v souvislosti s ustanoveními § 222 zákona č. 134/2016 Sb., o zadávání veřejných zakázek.
4.4. Kupující se zavazuje zaplatit kupní cenu na základě faktur, vystavených prodávajícím a doručených kupujícímu dle níže uvedeného mechanismu:
• 1. faktura ve výši 35 % z celkové kupní ceny dle čl. 4.1. výše bude vystavena po dodání zboží.
• 2. faktura ve výši 35 % z celkové kupní ceny dle čl. 4.1. výše bude vystavena po zahájení penetračního testování.
• 3. faktura ve výši 30 % z celkové kupní ceny dle čl. 4.1. výše bude vystavena po oboustranném podpisu
předávacího protokolu (tj. po předání a převzetí zboží do plného provozu).
4.5. Cena za technickou podporu po předání zboží do provozu je stanovena dohodnou smluvních strany na:
14 700,00 Kč bez DPH za 1 měsíc
3 087,00 Kč DPH
17 787,00 Kč vč. DPH za 1 měsíc
4.6. Úhrada ceny za technickou podporu bude probíhat na základě měsíčně vystavované faktury. Datum
uskutečnitelného zdanitelného plnění je sjednáno na poslední kalendářní den v měsíci.
4.7. Každá faktura musí splňovat náležitosti daňového dokladu podle § 28 zákona č. 235/2004 Sb., o DPH, bude obsahovat číslo a název dotačního projektu (konkrétně bude uveden text ve znění: Projekt „Zajištění kybernetické bezpečnosti informačního systému“, reg. č. CZ.06.01.01/00/22_004/0000158, je spolufinancován z Integrovaného regionálního operačního programu“) a bude zaslána prodávajícím na adresu kupujícího. Splatnost faktury činí 30 kalendářních dní.
4.8. Kupující bude oprávněn před uplynutím lhůty splatnosti vrátit prodávajícímu bez zaplacení fakturu, která nebude obsahovat některou náležitost uvedenou v této smlouvě, případně bude mít jiné závady v obsahu nebo bude uvedeno bankovní spojení a číslo účtu prodávajícího v rozporu s touto smlouvou anebo tyto náležitosti budou uvedeny chybně. U vrácené faktury musí kupující vyznačit důvod vrácení. Prodávající je povinen podle povahy nesprávnosti fakturu opravit nebo nově vyhotovit. Kupujícímu vrácením faktury přestává běžet původní lhůta splatnosti. Celá lhůta splatnosti běží znovu ode dne doručení opravené nebo nově vyhotovené faktury kupujícímu.
4.9. Platby budou zásadně probíhat bezhotovostní formou na bankovní účet prodávajícího uvedený ve smlouvě. Změnu bankovního spojení a čísla účtu prodávajícího bude možno provést pouze písemným dodatkem k této smlouvě nebo písemným sdělením prokazatelně doručeným kupujícímu, nejpozději spolu s příslušnou fakturou.
4.10. Faktura se považuje za včas uhrazenou, pokud je fakturovaná částka odepsána z účtu kupujícího.
5. Místo a doba plnění a dodací podmínky
5.1. Místem plnění je sídlo kupujícího.
5.2. Prodávající je povinen dodat zboží nejpozději do 150 dní od účinnosti této smlouvy.
5.3. Dodávka se považuje podle této smlouvy za dodanou, pokud bylo:
• zboží řádně dodáno včetně příslušné dokumentace (k instalaci, nastavení, zabezpečení jednotlivých
komponent a včetně návrhu plánu obnovy).
• provedena instalace, implementace (případné podrobné specifické podmínky implementace jsou uvedeny u jednotlivých zařízení v příloze č. 1 smlouvy) a úspěšně vyzkoušena funkčnost,
⮚ činnost u níž se nepředpokládá žádný výpadek služeb lze provádět v pracovní době MÚ,
⮚ činnost u které se obě strany shodnou že předpokládaný výpadek bude kratší než 10 min lze
provádět mimo úřední hodiny,
⮚ činnosti s výpadkem delší se mohou provádět pouze mimo pracovní dobu MÚ. Termín odstávky musí být znám alespoň týden předem,
⮚ termín školení uživatelů min. měsíc předem,
⮚ školení OIT může probíhat v průběhu instalace.
• součástí instalace bude následný testovací provoz provedený bez zbytečného odkladu v délce nutné pro ověření funkčnosti dodaného HW a SW. Náplň testovacího provozu bude následující:
⮚ zahoření a ověření funkčnosti HW zařízení
⮚ ověření vzájemné spolupráce jednotlivých HW zařízení
⮚ ověření napojení na LAN síť kupujícího
⮚ provedení zátěžových testů
⮚ ověření chování systému při výpadku některého ze zařízení (ověření vysoké dostupnosti)
⮚ ověření chování systému při výpadku el. energie
5.4. Po dodání zboží bude zahájena implementace plnění části 2 a 3 původní veřejné zakázky
„VZ_NBK_040_2024_01 – V 00706A – Zajištění kybernetické bezpečnosti informačního systému“ (dále
jen „Původní veřejná zakázka“) v předpokládané délce trvání cca 3 měsíce. Po dokončení implementace
těchto částí Původní veřejné zakázky bude následovat fáze penetračního testování.
5.5. V rámci penetračního testování dojde k prověření funkčnost technických opatření a celkové bezpečnosti dodávky pomocí penetračního testu. Penetrační testování provede 3. osoba zvolená kupujícím, a to nejpozději do 14 dní od dokončení implementace plnění části 2 a 3 Původní veřejné zakázky, přičemž toto penetrační testování bude trvat maximálně 30 dní. V návaznosti na dokončení penetračního testování prodávající napraví nalezené chyby bránící užívání dle účelu smlouvy, a to nejpozději do 14 dní od okamžiku, kdy obdrží výsledek penetračního testování.
5.6. Po splnění dodávky zboží, tj. po prodávající napraví chyby bránící užívání dle účelu smlouvy nalezené v rámci penetračního testování, bude vyhotoven zápis o předání a převzetí zboží, který bude obsahovat níže uvedené náležitosti:
• název a sídlo prodávajícího a kupujícího,
• označení dodaného zboží včetně výrobního čísla,
• datum dodání,
• číslo a název dotačního projektu (konkrétně bude uveden text ve znění: Projekt „Zajištění kybernetické bezpečnosti informačního systému“, reg. č. CZ.06.01.01/00/22_004/0000158, je spolufinancován z Integrovaného regionálního operačního programu“).
5.7. Zápis o předání a převzetí zboží podepíší oprávnění zástupci obou smluvních stran, přičemž podpisem zápisu o předání a převzetí dochází k převzetí a předání zboží a ke splnění předmětu koupě.
6. Odpovědnost za vady, záruka za jakost, servis
6.1. Prodávající nese odpovědnost za to, že zboží dodané a předané podle této smlouvy je ke dni dodání plně funkční a splňuje technické parametry uvedené této smlouvě. Prodávající přejímá níže uvedenou záruku za jakost zboží dodaného podle této smlouvy. Záruční doba počíná běžet dnem oboustranného podpisu zápisu o předání a převzetí zboží. Záruční doba pro jednotlivé položky v souladu s přílohou č. 1 této smlouvy činí 60 měsíců ode dne předání a převzetí zboží.
6.2. Záruka se nevztahuje na spotřební materiál a na vady způsobené zaviněným jednáním kupujícího anebo způsobené vyšší mocí.
6.3. Kupující se zavazuje respektovat pokyny prodávajícího v oblasti údržby a používání správných pracovních postupů.
6.4. Technická podpora a servis budou poskytovány minimálně po celou dobu udržitelnosti projektu (tj. min.
60 měsíců ode dne předání do provozu).
6.5. Technická podpora a servis budou realizovány v sídle kupujícího. Výjimku tvoří činnosti realizovatelné vzdáleným připojením.
6.6. V případě nahlášení závady prodávajícímu bude oprava provedena vzdáleně či na místě nejpozději následující pracovní den od jejího nahlášení. V případě nemožnosti opravy následující pracovní den nabídne prodávající kupujícímu alternativu (tj. náhradní řešení) na dobu trvání opravy. V případě záruční opravy (tj. pokud se nejedná o vadu způsobenou zaviněným jednáním kupujícího anebo způsobenou vyšší mocí), není kupující povinen hradit náklady na cestovné servisních techniků ke kupujícímu a zpět, tyto náklady nese prodávající.
6.7. Nahlášení závady bude provedeno prostřednictvím e-mailu zaslaného na e-mailovou adresu info@k- xxx.xx, telefonicky na tel. číslo x000 000 000 000, prostřednictvím elektronické oznamovací služby (tzv. HelpDesku) nebo prostřednictvím vzdáleného připojení na PC uživatele / server.
6.8. Telefonická, e-mailová podpora a podpora prostřednictvím vzdáleného připojení bude k dispozici minimálně v pracovních dnech od 8 do 16 hod.
6.9. Služba HelpDesk umožní příjem požadavku na servisní zásah v českém jazyce prostřednictvím webového rozhraní v režimu 7x24 hod (s výjimkou předem nahlášených servisních zásahů při správě systému HelpDesk).
6.10. Prodávající se v záruční době zavazuje zajistit dostupnost náhradních dílů a spotřebního materiálu.
6.11. Po dobu běhu záruční doby bude zajištěna udržitelnost HW a SW včetně třetích stran.
6.12. Technická podpora a servis zařízení HW a SW budou realizovány přímo prodávajícím, případně prostřednictvím autorizovaného servisního kanálu výrobce.
7. Smluvní pokuta a úrok z prodlení
7.1. Smluvními stranami bylo ujednáno, že pokud bude kupující v prodlení s úhradou ceny plnění ujednané podle této smlouvy, je kupující povinen zaplatit úrok z prodlení ve výši 0,05 % z dlužné částky za každý, byť i započatý kalendářní den prodlení.
7.2. Ocitne-li se prodávající v prodlení s plněním podle této smlouvy dle čl. 5.2, je povinen zaplatit kupujícímu smluvní pokutu ve výši 0,05 % z kupní ceny bez DPH, a to za každý, byť i započatý kalendářní den prodlení se splněním dodávky.
7.3. Ocitne-li se prodávající v prodlení s plněním podle této smlouvy dle čl. 5.5 (tj. pokud nenapraví nalezené chyby bránící užívání dle účelu smlouvy zjištěné v rámci penetračního testování ve stanovené lhůtě), je povinen zaplatit kupujícímu smluvní pokutu ve výši 0,05 % z kupní ceny bez DPH, a to za každý, byť i započatý kalendářní den prodlení se splněním dodávky.
7.4. Ocitne-li se prodávající v prodlení s plněním dle čl. 6.6. této smlouvy, je povinen zaplatit kupujícímu
smluvní pokutu ve výši 500,- Kč za každý započatý den prodlení s dokončením servisní opravy dle čl. 6.6.
7.5. Uplatněním nároku na smluvní pokutu dle této smlouvy není dotčen nárok na náhradu škody.
7.6. Smluvní pokuta je splatná ve lhůtě 30 dnů od doručení jejího vyúčtování povinné smluvní straně z této smluvní pokuty.
8. Doba trvání smlouvy, ukončení smlouvy
8.1. Tato smlouva se uzavírá na dobu určitou, nejdéle do doby splnění závazku dle této smlouvy (tj. do okamžiku ukončení poskytování nezbytné technické podpory, resp. do doby uplynutí 5 let od data předání zboží do provozu).
8.2. Od této smlouvy může smluvní strana dotčená porušením povinnosti jednostranně odstoupit pro podstatné porušení této smlouvy, přičemž za podstatné porušení této smlouvy se zejména považuje:
a) na straně kupujícího – nezaplacení kupní ceny podle této smlouvy ve lhůtě delší 14 dní po dni splatnosti příslušné faktury,
b) na straně prodávajícího – prodlení s dodáním zboží o více než 14 dní po termínu dodání dle čl. 5.2. či dodání nefunkčního zboží, nesplňujícího požadavky čl. 3 této smlouvy, marné uplynutí sjednané lhůty pro vyřízení záruční opravy dle čl. 6.6.
8.3. Smluvní strana porušením povinnosti dotčená je povinna odstoupení od smlouvy písemně oznámit druhé smluvní straně.
9. Ostatní ujednání
9.1. Smluvní strany se dohodly, že vlastnické právo k dodanému předmětu smlouvy nabývá kupující okamžikem převzetí zboží od prodávajícího.
9.2. Nebezpečí škody na zboží přechází z prodávajícího na kupujícího okamžikem převzetí zboží
od prodávajícího či okamžikem, kdy kupujícímu bylo umožněno zboží převzít a ten jej nepřevzal.
9.3. Smluvní strany se zavazují vzájemně spolupracovat a poskytovat si veškeré informace potřebné pro řádné plnění svých vzájemných závazků. Smluvní strany jsou povinny informovat druhou smluvní stranu o veškerých skutečnostech, které jsou nebo mohou být důležité pro řádné plnění této smlouvy.
9.4. Smluvními stranami bylo ujednáno, že veškeré informace, jež si navzájem poskytnou, jsou označeny jako důvěrné a žádná ze smluvních stran není oprávněna je poskytnout třetí osobě ani použít v rozporu s jejich účelem pro své potřeby.
9.5. Prodávající nesmí bez předchozího souhlasu kupujícího postoupit svá práva a povinnosti plynoucí ze smlouvy třetí osobě.
9.6. Kupující se zavazuje umožnit přístup určeným pracovníkům prodávajícího do prostoru svého objektu za účelem splnění této smlouvy (předání a převzetí zboží, servis a technická podpora).
9.7. Právní vztahy touto smlouvou neupravené, jakož i právní poměry z ní vznikající a vyplývající, se řídí příslušnými ustanoveními zákona č. 89/2012 Sb., občanského zákoníku a dalšími právními předpisy České republiky.
9.8. Ujednává se, že případné spory vzniklé z této smlouvy budou účastníci řešit především vzájemnou dohodou. Pro řízení o případných sporných nárocích se ujednává příslušnost soudů. Rozhodným právem je právo České republiky.
9.9. Za písemnou formu výzvy nebo oznámení se pro účely této smlouvy pokládají oznámení učiněná elektronickou poštou na dohodnuté elektronické adresy.
9.10. Prodávající je povinen zajistit, že veškeré vlastnosti předmětu smlouvy, včetně jeho update, legislativních update, upgrade a legislativních upgrade budou po celou dobu účinnosti této smlouvy odpovídat obecně platným právním předpisům ČR.
9.11. Prodávající prohlašuje, že bude mít po celou dobu plnění předmětu smlouvy uzavřenu pojistnou smlouvu kryjící odpovědnost za škodu způsobenou provozní činností s limitem pojistného plnění minimální výši kupní ceny zboží dle čl. 4.1., kterou se zavazuje kdykoliv na vyžádání předložit k nahlédnutí kupujícímu.
10. Závěrečná ustanovení
10.1. Prodávající se zavazuje umožnit osobám oprávněným k výkonu kontroly projektu, z něhož je Xxxxxxx zakázka hrazena, provést kontrolu dokladů souvisejících s plněním zakázky, a to po dobu nejméně 10 let od ukončení financování díla způsobem, který je v souladu s platnými právními předpisy České republiky a Evropských společenství.
10.2. Prodávající je povinen uvádět povinné prvky publicity podle podmínek strukturálních fondů EU na všech tištěných dokumentech vytvořených v souvislosti s předmětem koupě (nevztahuje se na interní účetní dokumentaci apod.). Tyto povinné prvky publicity sdělí a poskytne prodávajícímu na vyžádání kupující.
10.3. Prodávající je povinen při kontrole poskytnout na vyžádání kontrolnímu orgánu daňovou evidenci v plném rozsahu. Prodávající je podle ustanovení § 2 písm. e) zákona č. 320/2001 Sb., o finanční kontrole ve veřejné správě a o změně některých zákonů (zákon o finanční kontrole), ve znění pozdějších předpisů, osobou povinou spolupůsobit při výkonu finanční kontroly.
10.4. Prodávající se zavazuje umožnit osobám oprávněným k výkonu kontroly projektu, z něhož je veřejná
zakázka hrazena, provést kontrolu dokladů souvisejících s plněním zakázky, a to po dobu nejméně 10 let od ukončení financování díla způsobem, který je v souladu s platnými právními předpisy České republiky a Evropských společenství.
10.5. Prodávající je povinen minimálně do konce roku 2035 poskytovat požadované informace a dokumentaci související s realizací projektu, z něhož je Veřejná zakázka hrazena, zaměstnancům nebo zmocněncům pověřených orgánů (CRR, MMR ČR, MF ČR, Evropské komise, Evropského účetního dvora, Nejvyššího kontrolního úřadu, příslušného orgánu finanční správy a dalších oprávněných orgánů státní správy) a je povinen vytvořit výše uvedeným osobám podmínky k provedení kontroly vztahující se k realizaci projektu a poskytnout jim při provádění kontroly součinnost.
10.6. Prodávající bere na vědomí, že úhrada ceny za předmět plnění bude provedena s využitím dotačních prostředků, získaných kupujícím a podléhajících kontrole z hlediska vykazování účelnosti jejich čerpání. Prodávající se zavazuje, že kupujícímu nahradí veškeré škody a náklady, které mu vzniknou nebo budou
muset být vynaloženy, pokud z důvodu porušení této smlouvy prodávajícím vznikne kupujícímu závazek vrátit dotaci nebo její část, poskytnutou na úhradu ceny za předmět plnění, jejímu poskytovateli, a to i včetně penále případně vyměřeného jako důsledek porušení pravidel nakládání s veřejnými prostředky. To platí obdobně, pokud prodávající znemožní řádný výkon kontroly orgánům, oprávněným ke kontrole účelnosti vynaložení dotačních prostředků, resp. nepředloží jimi požadované doklady.
10.7. Prodávající se zavazuje k dodržování mezinárodních sankcí Evropské unie, přijatých v souvislosti s ruskou agresí na území Ukrajiny vůči Rusku a Bělorusku, zejména nařízení Rady EU č. 2022/576, nařízení Rady (EU) č. 269/2014 ve spojení s prováděcím nařízením Rady (EU) č. 2022/581, nařízení Rady (EU) č. 208/2014 a nařízení Rady (ES) č. 765/2006 nebo v jejich prospěch (dále jen „mezinárodní sankce EU“).
10.8. Prodávající se zavazuje během plnění smlouvy i po jejím ukončení smlouvy zachovávat mlčenlivost o všech skutečnostech, o kterých se dozví od kupujícího v souvislosti s plněním smlouvy
10.9. Tuto smlouvu lze měnit nebo doplnit pouze dohodou smluvních stran, a to formou písemného číslovaného dodatku.
10.10. Smluvní strany prohlašují, že si tuto smlouvu přečetly, a že byla ujednána po vzájemném projednání podle jejich svobodné vůle, určitě, vážně a srozumitelně.
10.11. Smlouva je, v souladu s podmínkami zákona č. 134/2016 Sb., podepsána elektronicky.
10.12. Rada města Nymburk souhlasila s uzavřením této smlouvy na svém jednání dne 12. 6. 2024 usnesením č. 305.
10.13. Smlouva nabývá platnosti dnem podpisu a účinnosti dnem jejího uveřejnění v registru smluv. Uveřejnění
smlouvy v registru smluv provede kupující.
10.14. Nedílnou součástí této smlouvy jsou následující přílohy:
Příloha č. 1 – Technická specifikace
Prodávající: Kupující:
V Brně dne dle data el. podpisu V Nymburce dne dle data el. podpisu
Digitálně
Digitálně podepsal Xxx. Xxxxx Xxxxxxx Datum: 2024.07.04
10:57:58 +02'00'
podepsal Xxxxx Xxxx 08.07.2024
08:41
……………………………........................…… ……………………………........................
Xxx. Xxxxx Xxxxxxx, jednatel Xxx. Xxxxx Xxxx, Ph.D., starosta
K-net Technical International Group, s.r.o. Město Nymburk
Příloha č. 1 – Technická specifikace1
Cílový stav
<.. image(Obsah obrázku text, diagram, snímek obrazovky, Paralelní Popis byl vytvořen automaticky) removed ..>
Infrastruktura bude rozdělená do dvou serveroven, v každé bude jeden server s úložištěm. Mezi oběma servery bude probíhat datová replikace po optickém vlákně. V každé serverovně budou dále 2 Core switche v redundantním zapojení, které budou zvládat rychlost minimálně 10Gbit. Core switche budou dále propojené na klientské switche, které zabezpečí přístup uživatelů. Management všech prvků bude přístupný přes 1 management switch.
Serverová infrastruktura bude založená na 2 fyzických výkonných HW serverech, které budou umístěny ve dvou fyzicky oddělených serverovnách. V každé serverovně bude také nově implementována nová UPS a na serverech bude instalován nový virtualizační SW.
Stávající řešení zálohování bude modernizováno včetně možnosti zálohovat komplexně celou infrastrukturu virtuálních serveru včetně dat a databází. Důležitá je i možnost pořizovat zálohy přímo z SDS úložiště. Důvodem je zajistit minimální zátěž produkčních serverů a sítě. Data budou zálohována také přes SAN síť.
Zálohovací server musí mít rychlé systémové disky pro zajištění jeho výkonu a pomalé disky s velkou kapacitou pro ukládání záloh. Pro komunikaci s SDS úložištěm a hypervisory jsou nutné minimálně 10GBit síťové karty. Pro
1 Níže v textu je kupující označen rovněž jako „zadavatel“ a prodávající jako „dodavatel“.
vytváření archivů záloh budou využity současné páskové knihovny, proto je nutné server doplnit FC kartou a SAS kartou pro jejich připojení.
Sonda bude sbírat data v síťové infrastruktuře a následně je bude zpracovávat a vyhodnocovat. Sonda bude propojená i na následnou službu dohledu. Hardwarová appliance se zapojí do síťové infrastruktury a její monitorovací port se připojí do hraničního prvku a do centrálního switche. Na centrálním switchi bude nutné nastavit zrcadlení portu, do kterého je připojen monitorovací port sondy, tak aby došlo k zrcadlení datového toku na switchi na sondu. Sonda bude sloužit primárně k detekci anomálií v síti.
Virtuální patchung poskytne komplexní zabezpečení fyzických i virtuálních serverů prostřednictvím automatické správy politik zabezpečení napříč různými prostředími. Systém bude chránit servery před malwarem nultého dne, včetně ransomwaru, útoků na těžbu kryptoměn a síťových útoků při minimalizaci provozního dopadu zdrojů neefektivity a nouzové opravy.
WAF zajistí ochranu webových portálů, které budou přístupné pro uživatele mimo síť úřadu. Řešení musí být kompatibilní se systémem dvoufaktorové autentizace, tak aby na definovaných portálech mohla být tato autentizace v budoucích řešeních nasazena.
Součástí návrhu cílového stavu je pracoviště dohledu. To musí zabezpečit předání informace o stavu a zajistit tak včasné řešení a předcházení havarijním situacím.
Nástroj pro ochranu integrity komunikačních sítí
Core Switch – 4 ks
Z důvodu zvýšení celkové datové propustnosti, bezpečnosti a výkonosti síťové infrastruktury požadujeme dodávku identických centrálních LAN přepínačů.
Parametr | Minimální požadavek | Účastníkem (prodávajícím) nabízený parametr2 |
Výrobce a model | Netgear M4300-12X12F managed switch | |
Provedení | • montáž do racku, včetně příslušenství pro montáž, výška 1U, stohovatelný • redundantní interní hot-swap napájecí zdroje | Ano |
Porty: | • Minimálně 12 Ports Copper 100M / 1G / 10G • Minimálně 12 Ports SFP+ 1G / 10G | Ano |
Management: | • 1Gb RJ-45 management ethernet port • RJ-45 RS232 konzolový management port • USB nebo Mini USB konzolový port • Management prostřednictvím | Ano |
2 Pozn. Účastník vyplní splnění závazných požadavků zadavatele - ANO/NE nebo (kde je to možné) doplní číselné hodnoty jednotlivých parametrů. Účastník musí splňovat veškeré minimální technické požadavky zadavatele.
minimálně WEBGUI a SSH | ||
Vlastnosti a funkce: | • Minimálně 480 Gps Switching Fabric • Propustnost minimálně 350Mpps • Packet buffer minimálně 32Mb • Podpora: o SNMP, o RSPAN, o Radius, Stacking, o Syslog, o vLAN, o Spanning tree, o multicast filtering, o static routing, o dynamic routing. | Ano |
Kabeláž a optické moduly | • 1x 1 m 100Gb QSFP28 DA kabel • kabely a moduly budou dodány originální od výrobce switchů (použití OEM se nepovoluje) | Ano |
Záruka | • min. 5 let na kompletní HW, max. odezva NBD on-site po nahlášení problému • jediné kontaktní místo pro nahlášení poruch pro všechny komponenty dodávaného systému • servis je poskytován přímo výrobcem zařízení nebo certifikovaným servisním partnerem • servisní zásahy budou prováděny vždy v místě instalace zařízení. Nabízené zařízení musí být pokryto oficiální podporou výrobce tak, aby v případě závady, kterou není Uchazeč schopen odstranit, mohl Zadavatel tuto závadu eskalovat přímo k technické podpoře výrobce zařízení • zadavatel musí mít možnost si sám legálně stahovat bezpečnostní záplaty i nové verze Software/Firmware pro nabízené zařízení přímo ze stránek výrobce zařízení | Ano |
Certifikace dodavatele, původ zboží | • Jsou splněny „Požadavky na certifikaci dodavatele HW a původ zboží“ | Ano |
Klientské přepínače – 6 ks
Z důvodu zvýšení celkové datové propustnosti, bezpečnosti a výkonosti serverové a síťové infrastruktury požadujeme dodávku identických LAN přepínačů.
Parametr | Minimální požadavek | Účastníkem (prodávajícím) nabízený parametr3 |
Výrobce a model | Netgear M4300-52G managed switch | |
Provedení | • montáž do racku, včetně příslušenství pro montáž, výška 1U, stohovatelný • redundantní interní hot-swap napájecí zdroje | Ano |
Porty: | • Minimálně 48 10/100/1000 BASE-T RJ45 porty • Minimálně 2 100/1000/10G BASE-T RJ45 porty • Minimálně 2 1000/10G BASE-X SFP+ porty | Ano |
Management: | • 1Gb RJ-45 management ethernet port • RJ-45 RS232 konzolový management port • USB nebo mini USB konzolový port • Management prostřednictvím minimálně WEBGUI a SSH | Ano |
Vlastnosti: | • Minimálně 170 Gps Switching Fabric • Propustnost minimálně 350Mpps • Packet buffer minimálně 16Mb • Dual firmware image and configuration file - Podpora bezvýpadkové aktualizace • Podpora: o SNMP, o RSPAN, o Radius, Stacking, o Syslog, o vLAN, o Spanning tree, o multicast filtering, o static routing, o dynamic routing. | Ano |
Kabeláž a optické moduly | • 1x 0,5m 100Gb QSFP28 DA kabel • 2x 5m QSFP28 - 4x QSFP28 DA splitter kabel • 4x 1Gb SFP/RJ45 transceiver • kabely a moduly budou dodány originální od výrobce switchů (použití OEM se nepovoluje) | Ano |
Záruka | • min. 5 let na kompletní HW, max. odezva NBD on-site po nahlášení problému • jediné kontaktní místo pro nahlášení poruch pro všechny komponenty dodávaného systému • servis je poskytován přímo výrobcem zařízení nebo certifikovaným servisním partnerem • servisní zásahy budou prováděny vždy v místě instalace zařízení. Nabízené zařízení musí být pokryto oficiální podporou výrobce tak, aby v případě závady, kterou není Uchazeč schopen odstranit, mohl Zadavatel tuto závadu eskalovat přímo k technické podpoře výrobce zařízení • zadavatel musí mít možnost si sám legálně stahovat bezpečnostní záplaty i nové verze Software/Firmware pro nabízené zařízení přímo ze stránek výrobce zařízení. | |
Certifikace dodavatele, původ zboží | • Jsou splněny „Požadavky na certifikaci dodavatele HW a původ zboží“ | Ano |
Management switch – 1 ks
Z důvodu zvýšení celkové bezpečnosti a výkonosti síťové infrastruktury, segmentace sítě a odděleného managementu požadujeme dodávku managment LAN přepínače.
Parametr | Minimální požadavek | Účastníkem (prodávajícím) nabízený xxxxxxxx0 |
Výrobce a model | Netgear M4300-28G managed switch | |
Provedení | • montáž do racku, včetně příslušenství pro montáž, výška 1U | Ano |
Porty: | • Minimálně 24 10/100/1000 BASE-T RJ45 porty • Minimálně 2 100/1000/10G BASE-T RJ45 porty • Minimálně 2 1000/10G BASE-X SFP+ porty | Ano |
Management: | • Management Minimálně Ethernet: Out- of-band 1G port, Console: RJ45 RS232, Mini-USB | Ano |
Vlastnosti a funkce: | • Minimálně 120 Gps Switching Fabric • Propustnost minimálně 350Mpps • Packet buffer minimálně 16Mb • Podpora: o SNMP, o RSPAN, o Radius, Stacking, o Syslog, o vLAN, o Spanning tree, o multicast filtering, o static routing, o dynamic routing. | |
Záruka | • min. 5 LET, max. odezva NBD on-site po nahlášení problému • servis je poskytován certifikovaným servisním partnerem případně přímo výrobcem • podpora musí zahrnovat jak HW, tak SW a musí být poskytována v českém jazyce • servisní zásahy budou prováděny vždy v místě instalace zařízení. Nabízené zařízení musí být pokryto oficiální podporou výrobce tak, aby v případě závady, kterou není Dodavatel schopen odstranit, mohl Zadavatel tuto závadu eskalovat přímo k technické podpoře výrobce zařízení • zadavatel musí mít možnost si sám legálně stahovat bezpečnostní záplaty i nové verze Software/Firmware pro nabízené zařízení přímo ze stránek výrobce zařízení | Ano |
Certifikace dodavatele, původ zboží | • Jsou splněny „Požadavky na certifikaci dodavatele HW a původ zboží“ | Ano |
Webový aplikační firewall (WAF) – 1x
Pro zabezpečení interních webových aplikací požadujeme dodat webový aplikační firewall, který ochrání webové aplikace a internetový provoz před útoky a ztrátou dat.
Parametr | Minimální požadavek | Účastníkem (prodávajícím) nabízený parametr5 |
Výrobce a model | Barracuda Web Application Firewall Appliance 460 Barracuda Web Application Firewall Appliance 460 Energize Updates Barracuda Web Application Firewall Appliance 460 Instant Replacement | |
Základní vlastnosti | • HW appliance maximálně v provedení 2U s trvalou licencí • Minimální počet HTTP transakcí za sekundu - 1500 • Minimální počet HTTP spojení za sekundu - 3000 • Minimální počet HTTPS transakcí za sekundu - 4000 • Minimální počet současných spojení - 150000 • Minimální propustnost - 50Mbps • Minimálně jeden management port 10/100/1000 • Minimálně 2 x GbE w/bypass CU • Ochrana proti útokům OWASP a zero- day útokům • Ochrana rozhraní API • Podpora maskování serveru • Podpora šifrování adresy URL • Podpora Geo-IP a kontrola reputace IP • Ochrana proti malware a antivirové ochraně • Podpora více protokolů • Ochrana před DDoS útokům • Podpora zabezpečení JSON • XML firewall • Aktivní analýza hrozeb • Monitoring vytíženosti webových aplikací a loadbalancing • Podpora využití cache, komprese a optimalizace provozu • Ochrana před únikem informací odchozích dat • Podpora SAML a jednotného přihlašování • Ověřování klienta na základě certifikátů • Integrace služby ADFS, protokolů LDAP, kerberos a Radius • Podpora dodávané dvoufaktorové autentizace • Podpora vytváření podrobných sestav • Komplexní protokolování • Podpora integrace SIEM • Podpora clusterování a podpora vysoké dostupnosti • Podrobné řízení přístupu na základě rolí • Automatizace a škálování pomocí REST API • Předem připravené šablony zabezpečení | Ano |
• Centralizovaná správa certifikátů • Centralizovaná oznámení a výstrahy • Integrace virtuálních oprav a skeneru zranitelností • Modul automatické konfigurace | ||
Záruka, servis | • Bezplatný nárok na nejnovější firmware a aktualizace požadovaných funkcionalit, pokud jsou zpoplatněny, min. 60 měsíců • Technický support výrobce v režimu 24x7, min. 60 měsíců • HW záruka na 5 let včetně náhradní jednotky s odesláním nejpozději následující pracovní den od nahlášení závady | Ano |
Certifikace dodavatele, původ zboží | • Jsou splněny „Požadavky na certifikaci dodavatele HW a původ zboží“ | Ano |
Nástroj pro ochranu před škodlivým kódem
Virtuální patching
Požadavek | Minimální plnění | Účastníkem (prodávajícím) nabízený parametr6 |
Výrobce a licenční program | Trend Micro Deep Security - Enterprise Perpetual Trend Micro Deep Security Sandbox Trend Micro Vision One XDR | |
Licence | • Trvalá licence | Ano |
Základní vlastnosti | • Detekce a blokace síťového zneužití známých zranitelnosti v aplikacích a operačních systémech pomocí pravidel IPS. • Ochrana kritických serverů a aplikací pomocí pokročilé bezpečnostní kontroly, včetně systému prevence narušení (IPS), integrity monitoringu, strojového učení, řízení aplikací, … • Detekce a blokace hrozeb v reálném čase s minimálním dopadem na výkon. • Detekce a blokace neoprávněného spuštění softwaru pomocí více platforem řízení aplikací. • Štít známých a neznámých zranitelností | Ano |
6 Pozn. Účastník vyplní splnění závazných požadavků zadavatele - ANO/NE nebo (kde je to možné) doplní číselné hodnoty jednotlivých parametrů. Účastník musí splňovat veškeré minimální technické požadavky zadavatele.
webových aplikací, win32 aplikací a operačních systémů prostřednictvím IPS. • Pokročilá detekce hrozeb a náprava podezřelých objektů prostřednictvím sandboxové analýzy. • Zasílání výstrah a aktivace proaktivní prevenci při detekci podezřelých nebo škodlivých aktivit. • Zabezpečení systémů, které jsou na konci podpory virtuálními opravami dodávanými prostřednictvím IPS, který zajišťují, že starší systémy zůstanou chráněny před stávajícími i budoucími hrozbami. • Sledování důvěryhodnosti webových stránek a ochrana před infikovanými stránkami pomocí informace o hrozbách z globální databáze hrozeb. • Identifikace a blokace botnetů a cílených útoků C&C komunikace • Podpora reakce na incidenty pomocí detekce koncového bodu serveru a schopnosti odezvy (EDR), včetně monitorování indikátorů útoku a blokování podezřelých aplikací a procesů. • Detekce a blokace zneužití známých zranitelnosti v aplikacích a operačních systémech pomocí pravidel IPS. • Vyhledávání známých chyb zabezpečení v síti, v operačních systémech a aplikacích. • Blokuje všechny spustitelné soubory a skripty, které nejsou označeny jako známé funkční aplikace nebo knihovny DLL z instalace/spuštění. • Identifikace a reporting neplánovaných změn, vniknutí nebo pokročilých malwarove útoků; včetně ransomwaru. • Blokace chybných URL adres a webů. • Analýza neznámých souborů a hrozeb nultého dne. Automatické algoritmy k určení, zda je soubor škodlivý. | ||
Záruka | • Podpora výrobce minimálně 5 let | Ano |
Nástroj pro zaznamenávání činnosti informačního nebo komunikačního systému, jeho uživatelů a administrátorů
Správa privilegovaných účtů
Požadavek | Minimální plnění | Účastníkem (prodávajícím) nabízený parametr7 |
Výrobce a licenční program | Wallix Bastion - perpetuální licence Bastion core, Session Manager, Password Manager, Access Manager | |
Licence | • Trvalá licence | Ano |
Základní vlastnosti | • Licence pro technologii určenou pro správu přístupů ke kritické infrastruktuře • Nástroj je dodáván jako fully packaged software (obsahuje i OS) s podporou pro virtuální prostředí jako Hyper- V/VMWARE či možností instalace do cloudové infrastruktury (Amazon Web Services, Microsoft Azure). Možnost instalace do cloudové infrastruktury (Amazon Web Services, Microsoft Azure) • Podpora instalace v režimu vysoké dostupnosti. • Systém dokáže fungovat jako jednotný přístupový bod pro několik instancí v necentralizované infrastruktuře. • Nástroj funguje jako přístupová proxy. • Nástroj podporuje protokoly SSH a RDP protokoly pro primární spojení, tedy mezi privilegovaným účtem a proxy. • Nástroj podporuje protokoly SSH, RDP, VNC, RLOGIN a TELNET pro sekundární spojení, tedy mezi proxy a monitorovaným systémem. • Nástroj u nepodporovaných protokolů umožňuje spuštění klientské aplikace na Jump serveru tak, aby uživateli byla přístupná pouze daná klientská aplikace. • Nástroj podporuje integraci s externími uživatelskými databázemi v minimálním rozsahu LDAP/LDAPS/Microsoft Active Directory/RADIUS/KERBEROS/TACACS+ • Nástroj podporuje integraci se SIEM/SYSLOG. • Nástroj nevyžaduje žádné instalace | Ano |
7 Pozn. Účastník vyplní splnění závazných požadavků zadavatele - ANO/NE nebo (kde je to možné) doplní číselné hodnoty jednotlivých parametrů. Účastník musí splňovat veškeré minimální technické požadavky zadavatele.
software agentů na monitorovaný systém. • Nástroj podporuje integraci s externími uživatelskými databázemi v minimálním rozsahu LDAP/LDAPS/Microsoft Active Directory/RADIUS/KERBEROS/TACACS+ • Nástroj umožňuje uživatelskou autentizaci pomocí jména / hesla, X.509 certifikátu či SSH klíče. • Integrace nástroje s LDAP či Active Directory nezávisí na periodických synchronizacích. Systém mapuje schémata uživatelských skupin z LDAP/AD do lokálních PAM skupin. • Nástroj umožňuje tvorbu účtů s rozdílnými rolemi – minimálně správce, uživatel a auditor. • Nástroj umožňuje definici uživatelů, spravovaných zařízení a jejich skupin, u kterých bude jednotlivým auditorským účtům uděleno oprávnění prohlížet záznamy. • Nástroj umožňuje konfigurace uživatelských profilů se zahrnutím možnosti filtrovat příchozí připojení na základě zdrojové IP adresy, síťové adresy a masky sítě či FQDN. • Nástroj umožňuje definování cílových systémů zadáním IP adresy, DNS nebo zadáním IP adresy a masky. • Nástroj umožňuje definování přístupových politik přiřazováním uživatelských účtů či skupin k cílovým systémům či jejich skupinám. • Nástroj podporuje integraci se SIEM/SYSLOG. • Nástroj podporuje integraci s ICAP pro kontrolu průchozích souborů prostřednictvím antiviru či DLP s možností blokace nežádoucích přenosů. • Nástroj umožňuje zaznamenávání všech zprostředkovaných relací formou videozáznamu s doplňujícími metadaty. • Nástroj umožňuje aktivaci / deaktivaci zaznamenání relací dle jednotlivých uživatelských skupin. • Nástroj umožňuje shlédnutí záznamů relací prostřednictvím webového rozhraní. • Nástroj umožňuje následný export videozáznamu do běžně podporovaného typu souboru (.mp4 či .flv) • Nastroj umožňuje ukládání |
zaznamenaných relací lokálně či na externí úložiště CIFS/NFS. • Nástroj zaznamenává a uchovává všechny uživatelem zadané příkazy v průběhu SSH a RDP relací. • Nástroj zaznamenává a uchovává názvy všech oken a procesů otevřených v průběhu RDP relace. • Nástroj umožňuje sběr metadata v průběhu RDP relace alespoň v rozsahu: o Změna aktivního okna. o Operace s tlačítkem v okně. o Volba na radio buttonu či check boxu v okně. o Změna obsahu textového pole v okně. o Změna rozložení kláves. o Začátky a ukončení procesů. o Manipulace se soubory prostřednictvím clipboardu. o Manipulace se soubory prostřednictvím přesměrovaných lokálních diskových jednotek. • Nástroj umožňuje blokace všech či vybraných TCP spojení zahájených z monitorovaného RDP serveru za účelem navázání neautorizovaných spojení. • Nástroj umožňuje blokování vybraných procesů na systémech Windows Server. • Nástroj u relací SSH a RDP umožňuje definovat vzory regulárních výrazů pro prováděné příkazy, a pokud je takový vzor detekován, umožní nastavit jednu z akcí: ukončení relace nebo odeslání oznámení o detekci vzoru. • Nástroj umožňuje přiřazení definovaných vzorů k monitoringu / ukončování relací k vybraným skupinám uživatelů či systémů. • Nástroj poskytuje ochranu hesel zadávaných v průběhu RDP relace prostřednictvím detekce vstupu kurzoru do pole pro vyplnění hesla či UAC (User Account Control) okna. • Nástroj umožňuje schvalování přístupu privilegovaného uživatele k určitým monitorovaným systémům. Schvalování přístupu musí fungovat minimálně v následujícím rozsahu: o Privilegovaný uživatel požádá o přístup o Definovaní uživatelé obdrží |
žádost o schválení přístupu. o Minimální definovaný počet uživatelů schválí žádost. o Privilegovaný uživatel po schvalovacím procesu automaticky získá přístup k monitorovanému systému. • Nástroj umožňuje vyžadování výše uvedených schvalování v určitých časových rámcích- např. Pondělí-pátek, 9:00-16:00 bez potřeby schválení, v jiných časech pouze po schválení. • Správce nástroje/auditor má možnost pozorovat probíhající relace v reálném čase, včetně možnosti pozorovanou relaci ukončit. • Při auditu či kontrole proběhlé relace má nástroj možnost zobrazit metadata a videozáznam relace na jedné stránce s časovou osou propojující metadata s vizuální reprezentací. • Nástroj dokáže pracovat se sdílenými účty s možností určení, kdo v daný moment tento účet využíval. • Nástroj poskytuje různé metody autentizace privilegovaných uživatelů na monitorovaných systémech, minimálně: o Autentizace privilegovaného uživatele na monitorovaném systému pomocí stejných přihlašovacích údajů, které byly využity pro autentizaci na proxy. o Autentizace privilegovaného uživatele na monitorovaném systému pomocí statických a bezpečně uložených přihlašovacích údajů. (např. root, admin, privilegovaný lokální účet). o Vyzváním uživatele k opětovnému zadání přihlašovacích údajů k monitorovanému systému, bez jejich zaznamenání. • Nástroj umožňuje vyhledávání systémů a privilegovaných účtů formou scanování RDP + SSH portů a importů z AD. • Nástroj disponuje mechanismem pro plnou či částečnou automatizaci onboardingu nově nalezených zařízení / účtů. |
• Nástroj lze rozšířit o modul umožňující centralizaci přístupu k několika odděleným instancím prostřednictvím jednotného webového HTML5 rozhraní s integrovaným RDP a SSH klientem pro primární spojení. • Modul pro centralizaci přístupů podporuje prohlížeče Internet Explorer, Microsoft Edge, Google Chrome a Mozilla Firefox bez potřeby instalace pluginů (java, flash) • Modul pro centralizaci přístupů je dodán jako aplikace běžící na jednom z těchto OS: Microsoft Windows Server 2012 R2, Microsoft Windows Server 2016 (x64), Red Hat Enterprise Linux, CentOS 6.6, Red Hat Entreprise Linux, CentOS 7.1, Debian 8 (amd64). • Modul pro centralizaci přístupů umožňuje auditorským účtům globální vyhledávání napříč metadaty ze všech realizovaných relací všech instancí nástroje. • Technologie umožňuje automatické rotace hesel a SSH klíčů. • Technologie umožňuje vytvářet různé plány automatické změny hesel a SSH klíčů na cílových systémech. • Technologie podporuje přístup pomocí jednorázových hesel s omezenou platností pro RDP a SSH relace • Technologie podporuje vlastní zásady/požadavky na změnu hesla: o Požadovaný minimální počet znaků, o Vyloučení znaků určených správcem, o Povinná velká a malá písmena, o Požadované speciální znaky • Nástroj nativně podporuje změny hesel u těchto systémů: AIX, F5 BIG IP, SAP IQ, AWS IAM, Checkpoint, ESX, Fortinet Fortigate, HP iLO, MS SQL Server, ORACLE, Stormshield, Teradata, Unix, Micorsoft Windows, Cisco, Dell iDRAC, IBM 3270, Juniper SRX, LDAP, MySQL, Palo Alto PA-500, Grafana. |
Nástroj pro zajišťování úrovně dostupnosti informací
Servery pro zvýšení dostupnosti infrastruktury úřadu – 2 ks
Pro provoz aplikační architektury je v rámci návrhu řešení požadována dodávka serverů, které zajistí dostupnost aplikací a dat úřadu.
Parametr | Minimální požadavek | Účastníkem (prodávajícím) nabízený parametr |
Výrobce a model | Lenovo ThinkSystem SR655 V3 | |
Provedení, příslušenství | • Provedení rack max. 2U do standardního 19" rozvaděče | Ano |
CPU | • Minimální počet fyzických jader 16 • Celkový výkon minimálně 42 000 bodů • Minimální takt 2,9 GHz | 1 x AMD EPYC 9124 16C 200W 3.0GHz 43 743 bodů dle cpubenchmark |
Vlastnosti | • Podpora minimálně 3TB RAM • Osazená paměť RAM minimálně 768 GB • Rozhraní minimálně VGA connector, 3x USB 3.2 Gen1, Minimálně 1x interní USB minimálně generace 3.1 s možností bootu OS • Minimálně 2x 10/25GbE SFP28 4-Port OCP nebo PCI Ethernet Adapter • Možnost redundantního plně dedikovaného 1Gb RJ-45 management portu • Vzdálené správa s dedikovaným vlastním portem RJ-45 a možností převzít plně vzdálené ovládání serveru • Řadič na minimálně 16 disků, 8GB cache, PCI slot, s podporou pro navrhované disky a diskovou kapacitu • Minimálně 8x HDD 2.4TB 10K SAS 12Gb Hot Swap 512e HDD v2 • Minimálně 3x 3.84TB Read Intensive NVMe PCIe 4.0 SSD • Minimálně 2x M.2 960GB Read Intensive NVMe PCIe 4.0 SSD v RAID 1 • Minimálně 2 x plně redundantní za chodu měnitelné napájecí zdroje, minimální certifikace použitého zdroje: Platinum • TPM 2.0 chip a podpora SED disků, Podpora Advanced Encryption Standard (AES) • Licence na hromadnou správu serverů, inverntarizace a alerting • Možnost hromadného sledováni | Ano |
a upgrade úrovní FW jednotlivých komponent serverů • Call Home funkce | ||
Management | • Možnost nahrávání záznamu bootu serveru a pádu serveru, • Možnost vzdáleného mountu ISO a IMG image souborů (minimálně pomocí protokolů: HTTPS, SFTP, CIFS, a NFS), • Možnost sdílet jednu virtuální konzoli až šesti uživateli, • Podpora standardních Webových prohlížečů a HTML5, • Možnost blokovat konkrétní IP adresy | Ano |
Záruka, servis | • Podpora na 5 let, servisní zásah následující pracovní den • Oprava v místě instalace serveru, • Servis je poskytován výrobcem serveru • Jediné kontaktní místo pro nahlášení poruch pro všechny komponenty dodávaného systému • Možnost stažení ovladačů a management software na webových stránkách • Zdarma aktualizace firmware min. po dobu platné podpory • Možnost automatického generování servisního incidentu přímo u výrobce hardware | Ano |
Certifikace dodavatele, původ zboží | • Jsou splněny „Požadavky na certifikaci dodavatele HW a původ zboží“ | Ano |
Kompatibilita | • Všechny servery budou od jednoho výrobce z důvodu zajištění maximální kompatibility a jednotného servisního místa a managementu | Ano |
Zajištění podkladových licencí serverových operačních systémů produkčních serverů
– 2 ks
Parametr | Minimální požadavek | Účastníkem (prodávajícím) nabízený parametr8 |
Výrobce, název, verze a licenční | 2 x Microsoft Windows Server 2022 Datacenter 16 Core 170 x Microsoft Windows Server 2022 User CAL | |
8 Pozn. Účastník vyplní splnění závazných požadavků zadavatele - ANO/NE nebo (kde je to možné) doplní číselné hodnoty jednotlivých parametrů. Účastník musí splňovat veškeré minimální technické požadavky zadavatele.
program serverového OS | ||
Verze | Serverový operační systém v nejnovější verzi s podporou virtualizace | Ano |
Typ licence | • Trvalá licence | Ano |
Počet serverových licencí | • neomezený počet serverů v serverovém virtuálním prostředí • licence pro min. 2x osazené CPU v každém serveru • licence dle počtu procesorových jader | |
Vlastnosti OS | • adresářové služby kompatibilní s X. 509 • adresářová služba umožňuje obsahovat objekty typu uživatel, skupina, počítač a další • autentizace protokoly Kerberos V5, NTLMv2, NTLM • centrálně řízené politiky uživatelů a počítačů • možnost funkcí DNS, DHCP, WINS • možnost sdílení souborů a nastavování práv na objekty adresářové služby • sdílení souborů pomocí protokolu CIFS • distribuovaný souborový systém a delta replikace • možnost sdílení tiskáren a nastavování práv na objekty adresářové služby • možnost grafického uživatelského rozhraní v češtině • možnost downgrade na nižší verzi • 100% kompatibilita se stávajícími operačními systémy Microsoft Windows Server | Ano |
Technické a licenční požadavky na uživatelské licence | • kompatibilita s nabízeným serverovým OS • kompatibilita s používanou správou uživatelů (Active directory) • kompatibilita s OS na koncových stanicích uživatelů | Ano |
Počet uživatelských licencí | • dodání licencí minimálně pro přístup 170 uživatelů k nabízenému serverovému OS, jsou-li dle licenčních podmínek výrobce nabízeného serverového OS nutné | Ano |
Správa systému | • pro správu operačního systému požadujeme grafické nástroje s jednoduchou obsluhou | Ano |
Dokumentace | • požadujeme podrobnou technickou dokumentaci v elektronické podobě | Ano |
Licence virtualizace
Parametr | Minimální požadavek | Účastníkem (prodávajícím) nabízený parametr9 |
Výrobce, název, verze a licenční program | 32 x VMware vSphere Standard 8 (5 years commitment) | |
Rozsah licence | • Na dobu udržitelnosti (5let) včetně doby implementace a penetračních testů | Ano |
Parametry | • Funkcionalita, která automaticky nastartuje virtuální stroje při výpadku fyzického serveru na jiném produkčním serveru ze společného diskového pole nebo opětovně restartuje dotčený virtuální stroj např. při pádu OS • Funkcionalita, která bude provádět diskovou zálohu a jednoduchou obnovu na úrovni image virtuálních strojů nebo jednotlivých souborů • Rozhraní umožňující zálohovacímu SW třetí strany provádět konzistentní plné, rozdílové a přírůstkové zálohy virtuálních strojů bez zbytečného zvyšování režie a zátěže hostitelského serveru i virtuálních strojů • Funkcionalita, která bude umožňovat automatizaci patch managementu pro host servery a vybrané Microsoft a Linux virtuální servery • Komplexní správa virtuální infrastruktury z jedné konzole a umožňující integraci s produkty třetích stran • Software pro virtualizaci serverů včetně management konzole musí licenčně pokrývat použití pro 2 fyzické servery plně kompatibilní se stávající infrastrukturou (VMWARE) • Support na hypervisor musí být poskytován samotným výrobcem hypervisoru • Hypervisor nainstalovaný přímo na hardware, umožňující plnou | Ano |
9 Pozn. Účastník vyplní splnění závazných požadavků zadavatele - ANO/NE nebo (kde je to možné) doplní číselné hodnoty jednotlivých parametrů. Účastník musí splňovat veškeré minimální technické požadavky zadavatele.
virtualizaci x86 stroje • Virtualizace a agregace x86 strojů a k nim připojených síťových a datových úložišť do unifikovaných souborů zdrojů • Symetrický multiprocesing zlepšující výkonnost virtuálního stroje a umožňující, aby jediný virtuální stroj využíval až 64 virtuálních procesorů současně • Podpora operačních systémů Windows 2000 a novější, Linux, FreeBSD jako OS ve virtuálních strojích • Podpora PV, BT, HW (paravirtualization, binary translation, hardware-assist) virtualizace • Funkcionalita, která umožňuje přidělovat virtuálním strojům více diskového prostoru než je skutečná disková kapacita • Bezvýpadková migrace virtuálních strojů za provozu zajišťující tak plynulou správu a údržbu IT • Replikace pouze změněných bloků dat • Funkcionalita umožňující přesměrování zpracování antivirové a antimalware kontroly jednotlivých virtuálních strojů přes zabezpečenou virtuální instanci třetí strany. • Centrální řízení a sledování výkonu pro všechny virtuální stroje a hostitele s vestavěnými fyzickými a virtuálními (P2V) stroji konverze a rychlé poskytování, pomocí šablon virtuálních strojů. • Business Continuity pro plánované i neplánované výpadky pomocí funkcionalit bezvýpadkového přesunu virtuálního stoje na jiný HW a High Availability (automatické nastartování VM na jiném HW v rámci minut po výpadku) • Bezagentová antivirová a antimalware ochrana pro VM. • replikace VM pro obnovu provozu po havárii • Podpora VM pro přístup ke sdíleným úložištím minimálně (Fibre Channel, iSCSI, etc.) • Možnost za chodu navýšit RAM či diskovou kapacitu • Možnost dynamického alokování sdílené kapacity úložiště. |
Licence databázového serveru
Z důvodu zvýšení výkonu a bezpečnosti interních aplikací požaduje dodání nejnovější verze standardního databázového systému plně kompatibilního se stávajícím provozovaným databázovým serverem.
Požadovaná serverová licence relačního databázového systému (RDBMS) bude využita pro provoz databází provozovaných v dodaném serverovém virtuálním prostředí zadavatele.
Vzhledem k zajištění bezproblémové integrace do stávajícího systému zadavatele, je nutné dodržet kompatibilitu s databázovými technologiemi používanými pro provoz a dalších aplikací, které používají databázový server MS SQL server. Při volbě databázové licence je nutné také brát v úvahu používaný systém správy sítě a uživatelů (MS Active Directory, MS Group Policy) pro bezproblémovou autentizaci a správu uživatelů.
Parametr | Minimální požadavek | Účastníkem (prodávajícím) nabízený parametr10 |
Výrobce, název, verze a licenční program serverového OS | Microsoft SQL Server 2022 Standard Core | |
Typ licence | • serverová • licence na procesorová jádra s možností provozu ve virtualizovaném prostředí (min. 8 CPU jader zalicencováno) • trvalá licence | Ano |
Kompatibilita | • kompatibilita s nabízeným serverovým OS • plná zpětná kompatibilita se systémem RDBMS používaným zadavatelem – jedná se o Oracle ver. 12.2.0.1 • plná kompatibilita s používanou správou uživatelů (MS Active directory) – jedná se Microsoft Windows server 2019 Standard • plná kompatibilita s dotazovacím jazykem SQL. • kompatibilita se serverovou virtualizací MS Hyper-V používanou zadavatelem | Ano |
Technické parametry | • využití RAM: alespoň 128 GB • max. velikost jedné databáze: alespoň 500 PB | Ano |
• max. počet jader CPU: alespoň 32 |
Záložní zdroje UPS – 2 ks
Požadujeme UPS s dostatečným výstupním výkonem minimálně 5000VA, včetně síťové řídící karty.
Parametr | Minimální požadavek | Účastníkem (prodávajícím) nabízený parametr11 |
Výrobce a model | Xxxxx 9PX 5000i RT3U Netpack | |
Provedení | • rackmount provedení | Ano |
Technologie | • On-line s dvojitou konverzí | Ano |
Pro rozsah napětí na vstupu: | • jednofázové 220 - 240 V | Ano |
Kapacita / výkon | • Min. konfigurovatelný: 4 kW / 5 kVA | Ano |
Vlastnosti | • Připojení výstupu: o Minimálně 2x IEC 320 C19 (pro použití záložní provozu na baterie) o Minimálně 6x IEC 320 C13 (pro použití záložní stanice na baterie) • Nastavitelné body přenosu napětí • Automatický autotest • Automatická regulace napětí Boost a Trim (AVR) • Baterie vyměnitelné za provozu • Síťový management • Správa UPS prostřednictvím sériového nebo jiného portu • Teplotně kompenzované nabíjení akumulátoru • Dba přenosu minimálně 2 ms | Ano |
Záruka, servis | • min. 5 LET, max. odezva NBD on-site po nahlášení problému • servis je poskytován certifikovaným servisním partnerem případně přímo výrobcem • jediné kontaktní místo pro nahlášení poruch pro všechny komponenty dodávaného systému • servisní zásahy budou prováděny vždy v místě instalace zařízení. Nabízené zařízení musí být pokryto oficiální podporou výrobce tak, aby v případě závady, kterou není Uchazeč | Ano |
schopen odstranit, mohl Zadavatel tuto závadu eskalovat přímo k technické podpoře výrobce zařízení • zadavatel musí mít možnost si sám legálně stahovat bezpečnostní záplaty i nové verze Software/Firmware pro nabízené zařízení přímo ze stránek výrobce zařízení | ||
Certifikace dodavatele, původ zboží | • Jsou splněny „Požadavky na certifikaci dodavatele HW a původ zboží“ | Ano |
SW pro replikaci datových úložišť
Parametr | Minimální požadavek | Účastníkem (prodávajícím) nabízený parametr12 |
Výrobce, název, verze a licenční program | DataCore SANsymphony EN Edition 5-Year | |
Požadované vlastnosti | • Auto-tiering - umožňuje ukládat a následně číst data na úložném médiu s nejlepším přizpůsobením na základě předdefinovaných pravidel nebo zásad • Podpora minimálně 8 TBs cache na NOD • Nepřetržitá ochrana dat. V případě poškození dat v důsledku logických chyb, uživatelských chyb nebo malwaru se lze vrátit zpět do konkrétního bodu v čase před nepožadovanou aktualizací. • Podpora deduplikace dat • Podpora komprese dat • Podpora šifrování dat • Podpora Storage Load Balancing • Podpora QoS pro I/O performance • Zrychlení úloh náhodného zápisu prostřednictvím sekvenční optimalizace • Podpora asynchronní replikace • Podpora snapshotů • Podpora storage a Disk Pooling - sjednocení a optimalizace heterogenních úložných zařízení | Ano |
• Podpora sychronního zrcadlení - zero downtime, zero touch failover • Podpora Thin Provisioning | ||
Podpora | • platnost licence min. 60 měsíců, včetně nároku na opravné a nové verze software, vč. technické podpory výrobce. | Ano |
Licence zálohování
Parametr | Minimální požadavek | Účastníkem (prodávajícím) nabízený parametr13 |
Výrobce, název, verze a licenční program | Veeam Data Platform Essentials Universal Perpetual License | |
Požadované vlastnosti | • Licence pro zálohování celé fyzické i virtuální infrastruktury • Licence perpetual s možností zálohovat minimálně 20 virtuálních serverů • Podpora virtualizace minimálně VMware, Hyper‑V, Nutanix and RedHat • Podpora fyzického prostředí minimálně Windows, Linux, MacOS and Unix • Integrace se storage minimálně Object Storage, DAS, NAS, SAN, Tape & Dedupe • Real‑time Monitoring, Analytics & Alarms • Intelligent Diagnostics & Remediation Actions • Capacity planning and chargeback • DR failover orchestration • Automated Testing • Compliance monitoring for RTO & RPO • Možnost rozšíření do budoucna o komplexní zálohování virtuální infrastruktury a O365 | Ano |
Implementace
Součástí implementace je zapojení do služby dohledu pomocí dodávky a instalace monitorovacího nástroje včetně distribuce potřebných klientů a skriptů. Pomocí nastavení tohoto nástroje bude následně poskytována podpora v provozu.
Implementace služeb dohledu
• Instalace a konfigurace sondy a agentů pro dohled nad celý prostředím
• Instalace a konfigurace systému pro sběr dat a vyhodnocení
• Konfigurace monitorovacích politik na základě doporučení dané technologie a schválené projektové
dokumentace
• Ověření monitorovacích pravidel, testovací provoz
• Integrace celého prostředí, napojení na dohledovou službu a případné externí tiketovací systémy Implementace serverového HW
• Fyzická instalace serverového HW, aktualizace firmware, zahoření, provedení HW testů
• Konfigurace konzole pro vzdálenou správu a management
• Nasazení a konfigurace virtualizace
• Nasazení a konfigurace SW pro replikaci datového úložiště
• Instalace a konfigurace UPS
• Instalace Microsoft prostředí a virtuálních systémů
• Migrace stávajícího prostředí virtuálních serverů na nový HW Implementace síťových prvků
• Instalace a fyzické rozmístění switchů v definovaných lokalitách
• Konfigurace sítě a jednotlivých segmentů
• Fyzické propojení síťových prvků včetně přepojení celé sítě a klientských zařízení so nové sítě
Implementace WAF
• Instalace a konfigurace WAF
• Nasazení bezpečnostních přístupových pravidel k interním systémům
• Provedení bezpečnostních testů a ověření funkcionality
Implementace zálohování a replikace
• Instalace a konfigurace zálohovacího serveru
• Konfigurace zálohovacích politik pro zálohování serverové infrastruktury
• Ověření zálohovacích pravidel
Implementace správy privilegovaných účtů
• Instalace a konfigurace SW pro správu privilegovaných účtů
• Nasazení systému na sgraně uživatelů
• Ověření funkcionality
Implementace virtuálního patchingu
• Instalace a konfigurace SW pro virtuální patching
• Konfigurace jednotlivých pravidel
• Ověření funkcionality
Provedení závěrečných akceptačních testů, zpracování dokumentace a zaškolení
• Provedení testu výpadku jednoho fyzického nodu
• Provedení testu výpadku napájení
• Provedení testu výpadku libovolného síťového prvku
• Provedení testu obnovy libovolného serveru či dat ze zálohy
• Zpracování komplexní dokumentace popisující konfiguraci celého prostředí
• Zpracování komplexní bezpečnostní dokumentace dle požadavků bezpečnostních norem
• Zpracování komplexní dokumentace pro správu a údržbu celé infrastruktury včetně plánu pro DR
• Zaškolení interní obsluhy správy sítě, zaškolení obsluhy dohledového centra podpory pro vyhodnocení bezpečnostních událostí.