SMLOUVA LICENČNÍ
SMLOUVA LICENČNÍ
dle ust. § 2358 a násl. a § 2371 a násl. zákona č. 89/2012 Sb., občanský zákoník (dále jen „OZ“)
Vysoká škola chemicko-technologická v Praze
Sídlo:
IČO:
DIČ:
Zastoupený: Bankovní spojení: Číslo účtu:
Technická 1905/5, Praha 6 – Dejvice, PSČ 160 00
604 61 373
CZ60461373
xxxxx, rektor
xxxxx xxxxx
(dále jen „Nabyvatel licence“) a
XXXXX.XX s.r.o.
Sídlo: Xxxxxxxxxx 0000/0x, 000 00 Xxxxx 0
IČO: 03641074
DIČ: CZ03641074
společnost zapsaná v obchodním rejstříku vedeném u Městkého soudu v Praze, oddíl C, vložka
235262,
Zastoupená: xxxxx, jednatelem
Bankovní spojení: xxxxx
Číslo účtu vedeného u správce daně: xxxxx
(dále jen „Poskytovatel licence“)
(Nabyvatel licence a Poskytovatel licence společně dále označováni také jako „Smluvní strany" nebo
každý z nich samostatně jako „Smluvní strana"),
uzavírají níže uvedeného dne, měsíce a roku tuto licenční smlouvu (dále jen „Smlouva“):
I. ZÁKLADNÍ USTANOVENÍ
1. U Nabyvatele licence v rámci výkonu jeho činnosti vyvstala potřeba zajištění softwarového vybavení, jehož funkce a parametry byly vymezeny v rámci výběrového řízení vyhlášeného Nabyvatelem licence na veřejnou zakázku malého rozsahu s názvem „VŠCHT – aplikace managementu zranitelnosti_OPAKOVÁNÍ“ zadávanou mimo režim zákona č. 134/2016 Sb.,
o zadávání veřejných zakázek, ve znění pozdější předpisů (dále jen „Výběrové řízení“), a k dodání
potřebného softwarového vybavení byl v rámci Výběrového řízení vybrán Poskytovatel licence.
2. Za účelem umožnit řádné a ničím nerušené užívání Poskytovatelem licence dodaného softwarového vybavení, počítačového programu Rapid7 InsightVM, coby autorského díla (dále jen
„software“) je nezbytné, aby Poskytovatel licence udělil Nabyvateli licence oprávnění k užití dodaného softwaru formou licence v této Smlouvě dále specifikovanou.
3. Poskytovatel licence bere na vědomí, že Nabyvatel licence považuje účast Poskytovatele licence ve Výběrovém řízení a navazující veřejné zakázce při splnění kvalifikačních předpokladů za potvrzení skutečnosti, že Poskytovatel licence je ve smyslu ust. § 5 odst. 1 OZ schopen při plnění této Smlouvy jednat se znalostí a pečlivostí, která je s jeho povoláním nebo stavem spojena, s tím, že případné jeho jednání bez této odborné péče půjde k jeho tíži. Poskytovatel licence nesmí svou kvalitu odborníka ani své hospodářské postavení zneužít k vytváření nebo k využití závislosti slabší strany a k dosažení zřejmé a nedůvodné nerovnováhy ve vzájemných právech a povinnostech smluvních stran.
4. Poskytovatel licence bere na vědomí, že se svou účastí ve Výběrovém řízení a navazující veřejné zakázce hlásí jako příslušník určitého stavu nebo povolání k odbornému výkonu nebo jinak vystupuje jako odborník a dle ust. § 2950 OZ tak nahradí škodu, způsobí-li ji neúplnou nebo nesprávnou informací nebo škodlivou radou danou za odměnu v záležitosti svého vědění nebo dovednosti.
5. Poskytovatel licence bere na vědomí, že Nabyvatel licence není ve vztahu k předmětu této Smlouvy podnikatelem, a ani se předmět této Smlouvy netýká jeho podnikatelské činnosti.
6. Poskytovatel licence prohlašuje, že splňuje veškeré podmínky a požadavky v této Smlouvě stanovené a je oprávněn tuto Smlouvu uzavřít a řádně plnit závazky v ní obsažené, a dále prohlašuje, že je oprávněn udělit Nabyvateli licence licenci k softwaru v rozsahu dle této Smlouvy a že tím neporušuje práva třetích osob.
II. Předmět smlouvy
1. Poskytovatel licence touto Smlouvou poskytuje Nabyvateli licence oprávnění k výkonu práva užít Poskytovatelem licence dodané softwary coby autorská díla za podmínek dále v této Smlouvě stanovených (dále jen „licence“). Softwarem se pro účely této Smlouvy rozumí počítačový program Rapid7 InsightVM.
2. Poskytovatel licence se zavazuje poskytovat Nabyvateli licence služby spočívající v zajištění uživatelské podpory k softwaru po dobu 60 měsíců, tj. po celou dobu platnosti licence, tzv. helpdesku, a umožnovat po tuto dobu update software pro Nabyvatele licence za podmínek dále v této Smlouvě stanovených (dále jen „služby“).
3. Nabyvatel licence se zavazuje zaplatit Poskytovateli licence za licenci k softwaru udělenou a za služby poskytované dle této Smlouvy cenu podle článku V. této Smlouvy.
III. Podmínky licence
1. Poskytovatel licence poskytuje Nabyvateli licence nevýhradní licenci k užití softwaru:
• v původní nebo zpracované či jinak změněné podobě tohoto autorského díla, pro všechny části tohoto autorského díla jako celek nebo jeho část, samostatně nebo v souboru, anebo ve spojení s jiným dílem nebo prvky či zařazením do díla souborného;
• a to ke všem způsobům užití tohoto autorského díla nezbytným k provozování a řádnému a ničím nerušenému užívání tohoto autorského díla Nabyvatelem licence po celou dobu trvání licence a k naplnění dalších účelů sledovaných Výběrovým řízením;
• pro územní rozsah užití tohoto autorského díla nezbytný k provozování a řádnému a ničím nerušenému užívání tohoto autorského díla Nabyvatelem licence po celou dobu trvání licence a k naplnění dalších účelů sledovaných Výběrovým řízením, nejméně však pro území České republiky;
• časově omezenou licenci tohoto autorského díla pro 128 assetů.
2. V rámci licence udělené dle této Smlouvy je Nabyvatel licence oprávněn zasahovat do a upravovat software formou zákaznického nastavení, pokud je to v prostředí softwaru uživatelům umožněno.
3. Nabyvatel licence není oprávněn udělit sublicenci, tedy poskytnout oprávnění tvořící součást licence dle této Smlouvy žádné třetí osobě. Nabyvatel licence je oprávněn licenci dle této Smlouvy postoupit třetí osobě zcela nebo zčásti jen se souhlasem Poskytovatele licence.
4. Nabyvatel licence není povinen licenci dle této Smlouvy využít.
IV. Zajištění uživatelské podpory
1. Poskytovatel licence je povinen zahájit zajištění uživatelské podpory podle čl. II odst. 2.2 této
Smlouvy bez zbytečného odkladu po účinnosti této Smlouvy.
2. Poskytovatel licence je povinen zajišťovat uživatelskou podporu prostřednictvím aplikační podpory výrobce software, kdy Poskytovatel licence odpovídá za takové třetí osoby a za provedené služby, jako kdyby plnil sám. Poskytovatel licence je povinen smluvně zavázat takové třetí osoby ke všem jeho povinnostem vyplývajícím z této Smlouvy.
3. Zajištění uživatelské podpory podle čl. 2.3 této Smlouvy v sobě zahrnuje:
• poskytnutí technické podpory Nabyvateli licence za účelem zabezpečení řádného a bezvadného provozu a funkčnosti softwaru, včetně technické podpory při existenci závad(y) softwaru. Závadou se rozumí jakýkoli chybový stav softwaru, kdy není možné řádně používat všechny jeho dostupné funkce;
• poskytnutí e-mailové a telefonické technické podpory Nabyvateli licence při řešení běžných problémů spojených s užíváním softwaru.
4. Poskytovatel licence je povinen přijímat požadavky na poskytnutí uživatelské podpory dle tohoto článku Smlouvy v pracovních dnech mezi 8:00 až 17:00 SEČ na e-mailové adrese xxxxx@xxxxx nebo na telefonním čísle xxxxx. Při jakékoli změně kontaktních údajů dle předchozí věty Poskytovatel licence tuto změnu bezodkladně oznámí Nabyvateli licence.
5. Je-li Poskytovatel licence v prodlení s plněním povinností definovaných výše, je Nabyvatel licence oprávněn požadovat a Poskytovatel licence se zavazuje uhradit 0,1 % z ceny licence dle čl. V této Smlouvy za každý i započatý den prodlení s řešením požadavku v rámci uživatelské podpory.
V. Cena a splatnost, fakturace
1. Nabyvatel licence se zavazuje zaplatit Poskytovateli licence za licenci udělenou dle této Smlouvy a za podmínek dále stanovených cenu ve výši 911 955 Kč (slovy: devět set jedenáct tisíc devět set padesát pět korun českých) bez DPH.
2. Cena dle odst. 1 článku V této Smlouvy zahrnuje veškeré náklady Poskytovatele licence nutné k řádnému splnění všech závazků dle této Smlouvy, včetně veškerých nákladů. Poskytovatel licence není oprávněn účtovat žádné další částky v souvislosti s plněním této Smlouvy. Cena je nezávislá na vývoji cen a kursových změnách.
3. Cena bude uhrazena jednorázově a to na základě cenové nabídky Poskytovatele licence.
4. Poskytovatel licence je oprávněn fakturovat na základě daňového dokladu (faktury) vystaveného do 30 dnů ode dne nabytí účinnosti této Smlouvy, na základě podepsaného předávacího protokolu, který bude tvořit přílohu faktury.
5. Smluvní strany se dohodly na tom, že závazek zaplatit cenu je splněn dnem odepsání příslušné částky z účtu Objednatele licence ve prospěch účtu Poskytovatele licence uvedeného v záhlaví této Smlouvy.
6. Lhůta splatnosti faktury je třicet (30) dnů od data jejího doručení Nabyvateli licence. Daňové doklady (faktury) vystavené Poskytovatelem licence podle této Smlouvy budou v souladu s příslušnými právními předpisy České republiky obsahovat zejména tyto údaje:
a) obchodní firmu/název a sídlo Objednatele licence;
b) daňové identifikační číslo Objednatele licence;
c) obchodní firmu/název a sídlo Poskytovatele licence;
d) daňové identifikační číslo Poskytovatele licence;
e) evidenční číslo daňového dokladu;
f) rozsah a Předmět plnění;
g) datum vystavení daňového dokladu;
h) datum uskutečnění zdanitelného plnění nebo datum přijetí úplaty, a to den, který nastane dříve, pokud se liší od data vystavení daňového dokladu;
i) cena plnění;
j) a dále musejí být v souladu s dohodami o zamezení dvojího zdanění, budou-li se na
konkrétní případ vztahovat.
7. Pokud daňový doklad (faktura) nebude vystaven v souladu s platebními podmínkami stanovenými Smlouvou nebo nebude splňovat požadované zákonné náležitosti, je Objednatel licence oprávněn daňový doklad (fakturu) Poskytovateli licence vrátit jako neúplný, resp. nesprávně vystavený, k doplnění, resp. novému vystavení ve lhůtě pěti (5) pracovních dnů od data jejího doručení Objednateli licence. V takovém případě Objednatel licence není v prodlení s úhradou Částky nebo její části a Poskytovatel licence vystaví opravenou fakturu s novou lhůtou splatnosti, která začne běžet dnem doručení opraveného nebo nově vyhotoveného daňového dokladu (faktury) Objednateli licence.
8. Fakturační údaje Objednatele licence jsou uvedeny v záhlaví této Smlouvy.
9. Poskytovatel licence prohlašuje, že v záhlaví této Smlouvy uvedl svůj bankovní účet, který je uveřejněn v Registru plátců. Toto ustanovení se nevztahuje na osoby, které nemají povinnost podat přihlášku k registraci podle zákona o DPH.
VI. Další povinnosti smluvních stran
1. Poskytovatel licence se zavazuje, že v rámci licence udělené dle této Smlouvy poskytne Nabyvateli licence bezúplatně k dispozici každou aktualizaci softwaru, kterou vydá či zveřejní během trvání této Smlouvy.
2. Poskytovatel licence bere na vědomí, že Nabyvatel licence je povinen dodržet požadavky na publicitu ve vztahu k Zadávacímu řízení a navazující veřejné zakázce, a také skutečnost, že Nabyvatel licence jako veřejná instituce je povinen poskytovat informace dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů, a pokud postupuje dle citovaného zákona, je oprávněn poskytovat informace o této Smlouvě, jakož i o jiných údajích z tohoto závazkového vztahu vyplývajících.
3. Aniž by byl dotčen předchozí článek VI. odst. 2 Smlouvy, Poskytovatel licence se zavazuje zachovat mlčenlivost o všech skutečnostech týkajících se Nabyvatele licence a předmětu plnění dle této Smlouvy, se kterými se seznámí v průběhu realizace Smlouvy, vyjma skutečností, které se staly přístupnými veřejnosti oprávněným způsobem. Poskytovatel licence je povinen zajistit dodržení povinnosti mlčenlivosti v rozsahu dle předchozí věty všemi svými zaměstnanci a každou třetí osobou, která se z jeho pověření podílí na provádění předmětu plnění dle této Smlouvy.
VII. Odpovědnost za vady, záruka
1. Poskytovatel licence výslovně odpovídá za to, že software má funkce, parametry a vlastnosti popsané v Příloze č. 1 této Smlouvy. Ukáže-li se později, že software nemá některou z funkcí, parametrů nebo vlastností vymezených Příloze č. 1 Smlouvy, je Poskytovatel licence odpovědný za takovou vadu a Nabyvateli licence náleží práva z vadného plnění.
2. Poskytovatel licence se zavazuje, že software si zachová funkce, parametry a vlastnosti vymezené
v Příloze č. 1 Smlouvy minimálně po dobu trvání příslušné licence.
VIII. Doba trvání Smlouvy a ukončení Smlouvy
1. Smlouva se uzavírá na dobu určitou v délce 60 měsíců po nabytí účinnosti této smlouvy.
2. Tato Smlouva může být předčasně ukončena před splněním veškerých závazků smluvních stran písemnou dohodou smluvních stran. Dohoda o ukončení Smlouvy musí obsahovat způsob úplného vypořádání vzájemných práv a závazků.
3. Poskytovatel licence je oprávněn od Smlouvy odstoupit v případě, že Nabyvatel licence bez závažných důvodů neuhradí cenu za licenci nebo za služby řádně a včas Nabyvateli licence poskytnuté dle Smlouvy a řádně Poskytovatelem licence fakturovanou dle Smlouvy ani v dodatečné lhůtě 30-ti dnů od data splatnosti příslušné faktury a po Poskytovateli licence nelze pokračování v plnění závazků ze Smlouvy spravedlivě požadovat.
4. Nabyvatel licence může od Smlouvy odstoupit v případě podstatného porušení Smlouvy Poskytovatelem licence. Za podstatné porušení Smlouvy se považuje zejména situace, kdy Poskytovatel licence neplní povinnosti a závazky z této Smlouvy plynoucí, ač byl na tuto skutečnost Nabyvatelem licence písemně upozorněn, nebo když se Poskytovatel licence dopustí jednání, které může mít za následek vznik škody.
5. Odstoupením od této Smlouvy kteroukoli ze stran smlouva zaniká, a to okamžikem, kdy je písemný projev vůle smluvní strany odstoupit od Xxxxxxx doručen druhé smluvní straně. Smluvní strany vypořádají svá vzájemná práva a povinnosti ze Smlouvy, přičemž Nabyvatel licence uhradí Poskytovateli licence cenu za licenci a služby dle této Smlouvy poskytnuté řádně, včas a v požadované kvalitě, která do dne ukončení Smlouvy nebyla zaplacena. Tuto úhradu je Nabyvatel licence oprávněn ponížit formou započtení o veškeré případné pohledávky vůči Poskytovateli licence plynoucí z této Smlouvy.
IX. Zástupci, oznamování
1. Poskytovatel licence jmenoval tyto odpovědné zástupce pro komunikaci s Objednatelem licence v souvislosti s Předmětem plnění dle této Smlouvy:
Ve věcech technických: xxxxx
e-mail: xxxxx
tel.: xxxxx
Ve věcech smluvních: xxxxx
e-mail: xxxxx
tel.: xxxxx
2. Objednatel licence jmenoval tyto zástupce odpovědné za komunikaci s Poskytovatelem licence v souvislosti s Předmětem plnění dle této Smlouvy:
Ve věcech technických: xxxxx
e-mail: xxxxx
tel.: xxxxx
Ve věcech smluvních: xxxxx
e-mail: xxxxx
tel.: xxxxx
3. Není-li v této Smlouvě ujednáno jinak, veškerá oznámení, která mají nebo mohou být učiněna mezi Smluvními stranami podle této Smlouvy, musí být vyhotovena písemně a doručena druhé Smluvní straně oprávněnou zasilatelskou službou, osobně (s písemným potvrzením o převzetí) nebo doporučenou zásilkou prostřednictvím provozovatele poštovních služeb. Má se za to, že takové oznámení došlo třetí (3.) pracovní den po odeslání, bylo-li však odesláno na adresu v jiném státu, pak patnáctý (15.) pracovní den po odeslání. V případě reklamace lze písemné oznámení zaslat také prostřednictvím e-mailu.
X. Závěrečná a jiná ujednání
1. Smlouva včetně příloh, představuje úplnou a ucelenou dohodu mezi Objednatelem a
Poskytovatelem.
2. Smluvní strany se dohodly, že Poskytovatel není oprávněn započíst svou pohledávku, ani pohledávku svého poddlužníka, za Objednatelem proti pohledávce Objednatele za Poskytovatelem.
3. Poskytovatel není oprávněn postoupit pohledávku, která mu vznikne na základě této Smlouvy nebo v souvislosti s ní na třetí osobu. Poskytovatel není oprávněn postoupit práva a povinnosti z této Smlouvy ani z její části třetí osobě.
4. Objednatel je povinným subjektem dle zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a registru smluv, v platném znění (dále jen „zákon
o registru smluv“). Poskytovatel bere na vědomí a výslovně souhlasí s tím, aby Xxxxxxx byla uveřejněna v souladu se zákonem o registru smluv. Smluvní strany se dohodly, že uveřejnění Smlouvy prostřednictvím registru smluv v souladu se zákonem o registru smluv zajistí Objednatel.
5. Poskytovatel se zavazuje mít po celou dobu platnosti této Smlouvy sjednáno pojištění odpovědnosti za škodu způsobenou v souvislosti s výkonem podnikatelské činnosti, a to s limitem pojistného plnění minimálně ve výši 2.000.000,00 Kč. Poskytovatel je povinen na vyžádání Objednatele předložit doklad prokazující, že toto pojištění je sjednáno a trvá.
6. Pokud se jakékoliv ustanovení této Smlouvy později ukáže nebo bude určeno jako neplatné, neúčinné, zdánlivé nebo nevynutitelné, pak taková neplatnost, neúčinnost, zdánlivost nebo nevynutitelnost nezpůsobuje neplatnost, neúčinnost, zdánlivost nebo nevynutitelnost Smlouvy jako celku. V takovém případě se Strany zavazují bez zbytečného prodlení dodatečně takové vadné ustanovení vyjasnit ve smyslu ustanovení § 553 odst. 2 OZ nebo jej nahradit po vzájemné dohodě novým ustanovením, jež nejblíže, v rozsahu povoleném právními předpisy České republiky, odpovídá úmyslu Smluvních stran v době uzavření této Smlouvy.
7. Tato Xxxxxxx nabývá platnosti dnem připojení podpisu poslední Smluvní strany a účinnosti dnem jejího uveřejnění v Registru smluv dle zákona o registru smluv.
8. Tuto Smlouvu lze doplnit nebo měnit výlučně formou písemných očíslovaných dodatků, opatřených časovým a místním určením a podepsaných oprávněnými zástupci Smluvních stran. Smluvní strany ve smyslu ustanovení § 564 OZ výslovně vylučují provedení změn Smlouvy v jiné formě.
9. Poruší-li Smluvní strana povinnost z této Smlouvy či může-li a má-li o takovém porušení vědět, oznámí to bez zbytečného odkladu druhé Smluvní straně, které z toho může vzniknout újma, a upozorní ji na možné následky; v takovém případě nemá poškozená Smluvní strana právo na náhradu té újmy, které mohla po oznámení zabránit.
10. Ve smyslu § 2 písm. e) a § 13 zákona č. 320/2001 Sb., o finanční kontrole ve veřejné správě a o změně některých zákonů (zákon o finanční kontrole), ve znění pozdějších předpisů, je Poskytovatel osobou povinnou spolupůsobit při výkonu finanční kontroly, tj. poskytnout kontrolnímu orgánu doklady o dodávkách stavebních prací, zboží a služeb hrazených z veřejných výdajů nebo z veřejné finanční podpory v rozsahu nezbytném pro ověření příslušené operace. Tutéž povinnost bude Poskytovatel požadovat po svých dodavatelích.
11. Tato Smlouva je sepsána v českém jazyce. Nedílnou součástí Smlouvy jsou tyto přílohy: Příloha č. 1: Nabídka Poskytovatele licence
12. Na důkaz pravé vůle převzít povinnosti stanovené výše v této Smlouvě, připojují Smluvní strany či jejich oprávnění zástupci níže své podpisy. Smluvní strany tímto potvrzují, že obdržely příslušná vyhotovení této Smlouvy.
V Praze dne 30.12.2021 V Praze dne 29.12.2021
Za VŠCHT Praha Za: XXXXX.XX s.r.o.
Jméno: xxxxx
Funkce: rektor
Jméno: xxxxx
Funkce: jednatel
Příloha 1 - Technická specifikace předmětu plnění
Požadovaná funkcionalita/vlastnost
1. Obecné požadavky
l.l
Řešení musí být realizované produkty s integrovaným uživatelským rozhraním včetně dostupnosti výsledků testování, systémově a administrativně snadno ovladatelným aplikačním prostředím.
1.2
Řešení musí být možno provozovat centrální správu a databázi pro důvěrná data on-premise, vlastní funkcionalita sběru a vyhodnocení zranitelností musí probíhat čistě v rámci on-premise architektury. Architektura musí obsahovat možnost oddělit komponenty konzole a vlastního skeneru. Licenční politika musí umožnit instalaci neomezeného počtu skenerů.
1.3 Řešení musí bÝt funkční v bezagentním řežimu, ti. bez nutnosti instalace SW kódu na infrastrukturu ICT.
1.4
Řešení podporuje agent based skenování, zejména pro počítače mimo LAN a či pravidelně od sítě odpojované.
I
1.5
Řešení musí umožňovat periodické automatické aktualizace databáze zranitelností a testovací aplikace (scanning engine) na všech skenovacích zařízení (interních i externích v internetu) garantovaná
I
I
I dodavatelem s 24hod reakcí na nově popsané zranitelnosti například na stránkách výrobců SW, nebo online databází zranitelností - xxx.xxxxx.xxx apod.
1.6
Řešení musí být onpremise s možností využití cloud rozšíření ve smyslu výrobcem připravených dashboards a dalších funkcionalit rozšiřující základní funkcionalitu managementu zranitelností.
Řešení musí umožňovat přenášení dat mezi jednotlivými komponenty řešení, především mezi centrálním
1.7 managementem a skenery např. o zjištěných zranitelnostech a informace o testovaných zařízeních, pouze s ooužitím silného šifrování a nouze v rámci LAN zadavatele(včetně ooboček).
2. Požadavky na vlastnosti skenování
Řešení musí umožňovat detekci zranitelností na vzdáleném ICT zařízení s podporou minimálně následujících operačních systémů: Windows desktop 7+ a Windows Server 2008+, RHEL, GNU/Linux distribuce; databází: Oracle, MS SQL Server, PostgreSQL; routerů a switchů s podporou pro IOS, NX-
2.l OS, Comware 5 a 7 výrobců HP, Cisco; aplikačních web serverů: Apache, WebSphere, MS IJS; a virtualizační platformy VMware. Dále pak pro Simple Network Management Protocol (SNMP), Secure Shell (SSH), Secure Shell (SSH) Public Key, Telnet, Web Site Fonn Authentication, Web Site HTTP Authentication, Web Site Session Authentication.
Řešení musí umožňovat pravidelné automatické, kontinuální (nepřetržité) i ad-hoc ruční spouštění testování zranitelností ICT zařízení v prostředí síťové infrastruktury, s možností výběru IP rozsahu nebo
2.2 předdefinovaných skupin zařízení a s výběrem/úpravou profilu a zátěže testování - minimální požadovaná periodicita 1 x denně přes celý IP rozsah v rámci dodávky. Řešení musí umožnit vizualizaci těchto rozvrhů v kalendáři v rámci GUI.
2.3
Řešení musí umožňovat autentizované skenovaní pro přesnější zjištění běžících služeb a automatizované inteligentní ověřování skutečných síťowch služeb běžících na nalezených TCP/UDP portech (nikoliv
pouze dle banneru a čísla portu).
Řešení musí umožňovat volbu intenzity testování (např. kolik TP adres a TCP/UDP portů testovat
2.4 paralelně), iychlosti testování (např. po1t mapping speed, packet delay time) s minimalizací zátěže testovaných zařízení a síťové ínfrastrukturv.
Řešení musí umožňovat nastavení minimalizace rizika výpadku testovaného zařízení nebo síťové služby,
2.5 minimálně zákazem provádění invazivních testt'.1, zákazem aplikace exp!oitu, Dos i DDoS útoků a password brute forcingu.
Řešení musí umožňovat automatické predikce nových zranitelností dle relevantních atributl!: verze OS,
2.6 verze síťových protokolf1 a verze aplikací na dříve testovaných systémech bez potřeby jejich nového otestování oo zveřeinění nowch tvou zranitelností.
Řešení musí umožňovat v ceně licence automatizované testování zranitelností webových aplikací s
2.7 podporou minimálně následujících technik a typů zranitelností; XSS, SQL injection, a další ze seznamu aktuální verze OWASP TOP- I O
2.8
Řešení musí umožňovat provádět automatizované testy zranitelností zařízení, systémů i aplikací anonymně (bez přihlášení uživatele) a autentizovaně (pod účtem vvbraného uživatele aplikace).
2.9
'Řešení musí umožňovat testování dynamicky přidělovaných IP adres přes DHCP službu a sledování její historie a reoortování oomocí „DNS name" nebo „Host name".
2.10 Řešení musí umožňovat testování překrývajících se IP adres a jejich individuálního sledování a reportování dle různých lokalit.
2.11
Řešení musí paralelně pracovat s 1Pv4 i IPv6,jedná se především o schopnost detekovat IPv6 systémy při skenování pomocí 1Pv4.
2.12 Řešení musí detekovat zranitelnosti v celém „IT stacku". Například po objeveni defaultního hesla, toto heslo vvužít oro další hlubší sk.env a detekci souviseiících zranitelnosti.
Řešení musí podporovat automatické zjišťování aktiv (asset management), přičemž musí minimálně zvažovat následující parametry lP adresy, MAC adresy a hostname, tak aby bylo zamezeno duplicitám. Systém musí umožt'íovat načítání logů z DHCP serveru·a dynamicky upravovat údaje o strojích, tj. řešení musí umožňovat discovery scan, tedy zrychlené pravidelné automatické, kontinuální (nepřetržité) i ad-
2.13 hoc ruční spouštění mapování síťové infrastruktury s identifikací i OS, TCP a UDP portť1 a služeb a vyznačením nových, potvrzených a nepotvrzených zařízení. Minimální požadovaná periodicita lx denně přes celý lP rozsah v rámci dodávky. Assset manager musí umět čerpat i informace s McAfee ePo a McAfee Rogue senzorů. VM při autentifikovaném skenu dokáže vytvořit i seznam běžících služeb, dle něj se dá pak eroupovat, vyhledávat anod (např verze OS, firmware, běžící službv, databáze ai)
3. Požadavky na scorine:. značkování a filtrace
3.1
Řešení mus[ umožňovat automatickou aktualizaci tagů v Asset databázi dle těchto dynamických tagovacích pravidel.
3.2
Řešení musí umožňovat automatickou centralizaci všech nalezených aktivních systémů aj�jich atributu: verze OS, verze aplikací, otevřené TCP a UDP porty a síťové protokoly do jednotné Asset databáze s možností definovat statické a dynamické hierarchické tagy (nálepky) a dle těchto tagíi provádět filtrování aktiv, jeiich testování i reoortování vvsledkú.
Řešení musí podporovat tzv Real Risk skóre, zahrnující do prioritizace akcí a kritičnosti zranitelnosti i
3.3 informace o existenci exploitu a informaci již o použití daného exploitu (nebo jiného zneužití zranitelnosti) včetně zahrnutí informace o obtížnosti zneužití (dokáže i začátečník nebo ien zkušený
profesionál apod).
3.4
Řešení musí umožňovat definici pravidel pro automatické a dynamické tagování aktivnfch systému dle nalezenvch atributů oo každém testu zranitelností, minimáh1ě pro:
3.5 verzi operačního systému
3.6 verzi instalovaných aplikací
3.7 otevřené TCP a UDP porty
3.8 verzi síťových protokoh'.'1
3.9 verzi nalezených zranitelností.
3.10
Řešení musí umožňovat centralizované úpravy v databází zranitelností, a to tak aby pro celý rozsah implementace bylo možné měnit hodnotu rizikovosti zranitelnosti, popis hrozeb, popis negativního dopadu a odstranění zranitelností nebo bylo možné vyjmout určité zranitelnosti z testování, a dále editovat CVSS Scoring (Common Vulnerability Scoring System).
3.11
VM pro každou zjištěnou zranitelnost uvádět popis relevantních hrozeb, možného negativn[ho dopadu na systém, odkazy na online zdroje nebo databáze zranitelnosti popisující danou zranitelnost (napf. webovou stránku výrobce SW, xxx.xxxxx.xxx apod.) a popis odstranění zranitelnosti s uvedením http linku na vatch vvrobce nebo oostuo změnv konfigurace svstému.
Řešení musí umožňovat automatizovanou identifikaci všech zjištěných zranitelností ve výsledclch
3.12 testování, včetně míry jejich rizikovosti, popisu příslušných TCP/UDP portů, protokolů, síťových služeb a aplikací n🞋 kte1ých byly detekovány.
4. Požadavky na vizualizaci
Řešení musí umožňovat filtrování výsledku mapováni síťové infrastruktury dle platformy OS, otevřených
4.1 TCP-IP portů, potvrzených/nepotvrzených zařízení, automatizované srovnávání historických map s wznačením rozdílů.
4.2
Řešení musí umožňovat automatické filtrování a reportování relevantních aktiv dotčených novou zranitelností s vyznačením pravděpodobnosti s vvužitím skóre reálného rizika.
5. Požadavky na shodu nastavení
Configuration control. Řešení musí umoži'tovat definice a tvorbu i vlastních template bezpečnostní
5.1 kontroly konfigurací operačních systémů Windows, Linux na základě vybraných parametru uložených v ree:istrech a souborových svstémech a možnost kontrolovat integritu vybraných konfiguračních souboru.
Řešení musí umožňovat automatické provádění bezpečnostního auditu konfigurace minimálně následt\jicích operačních systémů: Windows desktop 7+ a Windows Server 2008+, RHEL, GNU/Linux
5.2 distribuce; databází: Omele 10+, MS SQL Server, Postgres, MySQL; routerů a switchi.'.t s podporou pro IOS, NX-OS, Comware S a 7 výrobců HP, Cisco; aplikačních web serverů: Apache, WebSphere, MS US; a virtualizační platformy VMware· vi'lči šablonám technických bezpečnostních opatření.
6. Požadavky na autentizaci, autorizaci a uživatelskou seeregaci
6.1 .
Řešení musí umožňovat seskupování testovaných systémů do skupin s přiřazením vlastníků a hodnoty aktiv.
6.2 Řešení musí umožňovat katalogizaci rozsahu testovaných webových aplikaci pod účtem uživatele a porovnání přístupowch práv uvnitř webové aolikace mezi iednotlivÝmi uživateli.
6.3
Řešení musí umožňovat provádět testování zranitelností bez n🞋bo volitelně se vzdálenou autentizací na testovaná zařízení na úroveň operačních svstémit a databází.
6.4
Řešení musí podporovat autentizaci uživatelů do centrální řídící aplikace a centrální databáze výsledků testování, pomocí externího LDAP, orimámě AD s Kerberos.
Řešení musí umožňovat centralizované a vysoce zabezpečené šifrované úložiště všech výsledku
6.5 mapování sítě a testování zranitelností systémů s řízením přístupových oprávnění na základě definovaných rolí a odpovědností k yýsledkům a soouštění testováni a audití1, dle orinciou need-to-know.
6.6
Řešení musí wnožňovat 7měnu závažnosti zranitelnosti a modifikace testovaných skupin a typů testovaných zranitelností.
7. Požadavky na reportin2
7.1
Řešení musí umožňovat centralizované, agregované ukládání všech výsledků testování zranitelností a auditů konfigurace všech systémů a webových aplikací do jednotné normalizované databáze s centrálním monitori1igém stavu zranitelností (formou Dashboardu) á centťaliz:ovanyin i'eportingem nad agregovanými yýsledkv všech realizovaných testi1 a auditů ze všech lokalit v rámci dodávkv.
7.2
Řešení musí umožňovat automatické filtrování a reportování relevantních aktiv dotčených zvolenou
,,Zero-Dav" zranitelností nebo hrozbou s vvznačením oravděoodobnosti úsněšného útoku.
Řešení musí umožňovat konfigurovatelný reporting a filtrování výsledků testování, zpracování trendů za
7.3 libovolné časové období nad historií testování, porovnávání stavu zranitelnost! za zvolené časové období a oblast sítě a srovnávání výsledků vvbranvch historickvch testů.
Řešení musí umožňovat reporting výsledku mapování a testování zranitelností přes celou infrastrukturu v
7.4 rámci dodávky, nezávislý reporting nad konkrétními realizovanými testy, repo11ing s automatickou korelací uosled,ní známé informace a stavu zranitelnostj nad zvoleným rozsahem reportu.
7.5
Řešení musí umožifovat generování reportu nalezených zranitelností dle optimální logiky instalace patchťt od neinovějších oo neistarší patche a s vvřazením nahrazených patchů nověišími.
7.6
Řešení musí umožňovat podrobný technický reporting všech zjištěných zranitelností, informací a detailů o reoortovanvch svstémech s možnosti filtrování zvolené úrovně a tvou detailu.
7.7
Řešení musí umožňovat vytvořit sumární přehledový manažerský reporting o celkovém stavu a počtu zranitelností, trendem a vvolývaiici míře rizika nad zvoleným rozsahem renortu.
Řešení musí umožňovat konfigurovatelný reporting a filtrování výsledku testování webových aplikací s
7.8 možností třídění a filtrování výsledkú testování dle všech kategorií zranitelností aktuální verze OWASP TOP-10 a filtrování yýsledků testování dle zvolené tooologie (logických větví) webových anlikací.
formátech XML, csv' HTM, Por.
7.9 Řešení musí umožňovat archivaci výsledktt testu min. 12 měsíců s možností exportu minimálně ve Řešení musí umožňovat automatickou centrální archivaci a korelaci všech výsledků historických testú
7.10 zranitelností ze všech testovaných zařízení a oddělení reportingu od jednotlivých výsledků jednotlivých
testů.
7.11
Řešení musí konsolidovat zranitelnosti odstranitelné stejným postupem a toto prezentovat formou remediačních olánú v rámci reportu.
7.12
Řešeni musí identifikovat zranitelnosti pro které existuje exploit, případně asociované s konkrétním ma!ware kitem. Řešení musí identifikovat známé typy malware a expoit kity související se zjištěnými zranitelnostmi a tyto skutečnosti zahmou� do rizikovosti zranitelnosti. Součástí popisu zranitelnosti musí být informace, zda je daná zranitelnost vvužívána útočníky
8. Další požadavkv
Hodnocení rizik musí vyjma parametru CVSS zahrnovat typ aktiva, jeho důležitost, dostupnost expoiltů,
8.1 zneužitelnost dané hrozby útočníkem, technická náročnost zneužití hrozby a další parametry. Výsledkem všech parametrů ie ohodnocení dané zranitelnosti z hlediska její kritičnosti
8.2
Řešení musí navrhovat kroky k odstranění hrozby a poskytovat nástroje pro optimalizace počtu kroku opatření s cílem udržet skóre rizikovosti na stanovené úrovni
8.3 Řešení musí podporovat integrací se SlEM produkty Qradar
8.4
Řešení musí podporovat integraci s penetračními testovacími platformami, aby bylo možné potvrdit, že zranitelnosti lze vvužít, například integraci s Metasploít
8.5 Řešení muselo být hodnoceno v ramci Forrester Wave 2018 jako Leader nebo Strong performer
8.6 Řešení musíbýt I icencováno na základě počtu aktiv / assetů, kdy jeden asset muže mít více IP adres.
8.7
Řešení musí obsahovat mechanismus pro nastavení minimálních politik pro jednotlivá aktiva a reportovat neshodu s politikami
8.8
Řešeni by mělo obsahovat automatický mechanizmus k označování strojů {např. dle parametn'.I) a na základě označení provádět další akce. Systém musí obsahovat také ruční značení stroiů
Řešeni musí být schopno automaticky kategorizovat prostředky na základě více atributu (například
8.9 nainstalovaný operační systém, IP rozsah) a stroje objevené při skenování automaticky třídit do dané skuoinv
.
Řešeni musí umožňovat také autentizované skenování. A systém musí pro atentizaci podporovat minimálně tyto systémy: Concurrent Versioning System (CVS) DB2; J7ile Transfer Protocol {FTP); IBM AS/400; Lotus
8.10
Notes/Domino Microsoft SQL Server
Sybase SQL Server Microsoft Windows/Samba (SMB/CJFS); Microsoft
Windows/Samba LM/NTLM Hash (SMB/CIFS) MySQL Server; Oracle Post Office Protocol (POP); PostgreSQL Remote Execution; Simple Network Management Protocol (SNMP) Secure Shell (SSH); Secure She\l (SSH) Public Kev Svbase SQL Server; Telnet; Web Site Fonn Authenticati.on