Městská část Praha20 Číslo smlouvy: xxxxxxxx Příloha č. 2 Nefunkční požadavky
Městská
část Praha20
Číslo smlouvy: xxxxxxxx
Příloha č. 2 Nefunkční požadavky
Personální, mzdový a docházkový systém => PIS
Personální systém => PS
mzdový systém => MS
docházkový systém => DS
1.0 Technická infrastrktura
SW bude instalován na HW zadavatele. Aplikace (systém) na Windows server 2019 a vyšší, databáze na MSSQL a klientská aplikace na Windows 10 a vyšší. Všechny ostatní aplikace nebo software potřebný pro bezproblémový a bezporuchový chod aplikace zajistí zhotovitel a to včetně časově neomezených licencí.
2.0 Role v PIS
Zadavatel požaduje z hlediska přístupu k PIS tři uživatelské role:
Klíčový uživatel – pracovník personálních odborů nebo zpracovávající mzdovou agendu
Aktivní uživatel – vedoucí zaměstnanec, zadávají do systému požadavky, využívající přehledy a reporting, mající aktivní roli ve schvalovacím workflow
Pasivní uživatel – řadový zaměstnanec (ne vedoucí zaměstnanec), který bude ve velmi omezeném rozsahu do PIS zadávat data – žádosti
3.0 Bezpečnost
Obecné požadavky na bezpečnost
Dodavatel se musí adekvátně řídit principy bezpečnostní politiky Ministerstva dopravy, konkrétně pak přílohou č. 6a Smlouvy – Pravidla pro provozovatele IS, včetně pozdějších změn.
Nabízený systém musí naplnit požadavky vyplývající ze zákona č. 181/2014 Sb. o kybernetické bezpečnosti pro významné informační systémy (VIS). Systém řízení bezpečnosti musí být navržen a implementován v souladu s normami řady ISO/IEC 270xx (včetně rozšiřující normy ISO 27552), ISO 29151, ISO 29100:2011, a systém řízení provozu a správy PIS musí být navržen a implementován v souladu s normou ČSN ISO/IEC 20000.
Pokud bude systém podporovat klienta nebo jiné rozhraní pro uživatele typu řadový / vedoucí zaměstnanec na mobilních platformách bez zabezpečení VPN, musí být způsob zabezpečení dat na těchto platformách v souladu s interními předpisy správce a provozovatele systému a platnou legislativou (např. splnění podmínek bezpečnostní dokumentace)
Součástí údajů vedených v PIS budou údaje klasifikované dle GDPR jako:
osobní údaje
zvláštní kategorie osobních údajů (citlivé údaje)
Systém nebude obsahovat údaje klasifikované dle zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti a nebude obsahovat žádné údaje charakterizované jako obchodní tajemství.
Systém musí naplnit všechny požadavky vyplývající ze zákonů a dalších právních předpisů v souvislosti s kvalifikací systému a obsažených údajů.
PIS musí být odolný proti známým bezpečnostním hrozbám a útokům z vnějších i vnitřních sítí.
PIS a jeho dokumentace musí vyhovovat požadavkům legislativy GDPR (v rámci PIS budou zpracovávány osobní údaje a také tzv. citlivé údaje), eIDAS, ZoKB (včetně příslušných vyhlášek).
4.0 Logování
Dodavatel navrhne systém logování aplikací a SW produktů dle bezpečnostních a provozních
5.0 Autentizace a autorizace
Každý uživatel systému musí být pro přístup do systému řádně autentizován.
V případech, kdy nelze uplatnit tzv. Single-Sign-On (SSO) autentizaci (např. komunikace s externími systémy), je požadována autentizace vícefaktorová – tj. systém zvládá, nebo je schopen integrovat vícefaktorovou autentizaci pomocí elektronického certifikátu nahraného např. na token zaměsnance.
Ve výjimečných případech (nouzové / dočasné řešení apod.) je možné použít základní autentizaci uživatelským jménem a heslem za předpokladu dodržení následujících pravidel:
komunikace musí probíhat pomocí zabezpečeného kanálu (min. HTTPS protokol),
je požadováno ověřování proti záznamům v active directory (AD) přes LDAP (ne vlastní správa hesel uživatelů v systému),
nebo
musí být umožněno nastavení a vynucení politiky hesel na odpovídající úrovni.
Systém musí umožnit omezení horizontálního přístupu k datům (viditelnost / modifikace záznamů) na úrovni konkrétního uživatele, minimálně na základě těchto kritérií:
zajištění unikátnosti uživatele minimálně na úrovni odboru,
osobní číslo – vlastní data pro uživatele typu zaměstnanec,
organizační struktura – data podřízených pro uživatele typu vedoucí na každém stupni,
přiřazení pracovníka k uživateli / skupině uživatelů dle organizační struktury – na úrovni standardního uživatele,
Systém musí umožnit dočasné zastupování zaměstnanců v případě dovolené či nemoci. Při dočasném přidělení uživatelských oprávnění uživatel nesmí přijít o svá běžná uživatelská oprávnění.
6.0 Auditovatelnost a nepopiratelnost
Všechny úspěšné i neúspěšné přístupy k systému musí být logovány. Záznamy o neúspěšných přístupech musí být monitorovány a v případě zvýšeného počtu neúspěšných pokusů se požaduje vyvolání odpovídající akce. Veškeré změny dat v systému musí být logovány tak, aby bylo možné zjistit kdo, kdy, jak, proč a která data v systému modifikoval:
u nově založených záznamů (operace INSERT) musí být možno dohledat informace kdo, kdy a v jakém stavu (obsahu dat) záznam založil;
u změněného záznamu (při každé operaci UPDATE) musí být umožněno zjištění kdo, kdy a jakým způsobem data změnil;
u smazaného záznamu nesmí dojít k trvalému odstranění dat („nepodporovat operaci DELETE“), ale pouze k logickému zneplatnění záznamu (provést operaci UPDATE) a musí být zaznamenáno kdo, kdy a v jakém stavu dat záznam logicky zneplatnil.
Všechny záznamy o činnosti v PIS musí být zabezpečeny proti:
neoprávněnému přístupu k datům (zachování důvěrnosti);
neoprávněné manipulaci (zachování integrity a prokazatelnosti, resp. principu nepopiratelnosti);
ztrátě uložených informací v požadované době dostupnosti záznamů (zálohování a archivace).
Systém musí umožnit požadované výstupy podepisovat zaručeným podpisem prostřednictvím automatického volání prostředku zajišťujícího přiložení zaručeného elektronického podpisu v externím systému (bit4id – tokeny od České pošty).
7.0 Rozhraní systému
Jsou požadovány formáty výstupních sestav, které budou snadno uchopitelné v prostředí zúčastněných organizací. Zejména se jedná o přenositelné a otevřené formáty (ODF, PDF a další) a formáty Microsoft Office (XLSX, DOCX a další). Je požadována možnost exportu dat z výstupních sestav nebo přímá tvorba datového výstupu namísto sestavy, a to do některého z otevřených standardních datových formátů (CSV, XML, TXT apod.). Veškeré výstupy dat z PIS budou chráněny přístupovými právy.
Nový PIS by měl umožnit uživatelskou tvorbu výstupních sestav (generátor sestav). Je požadována uživatelská přívětivost a nízká náročnost tvorby sestav, která nebude vyžadovat žádné specifické programátorské schopnosti a znalosti. Generátor sestav by měl umožňovat vytvářet jak textové, tak i grafické objekty (grafy, tabulky, diagramy) a uživatelskou definici grafické podoby sestavy (layout).
Nový PIS musí umožnit realizovat všechny potřebné vazby na okolní systémy (viz příloha č. 7 smlouvy). V praxi se jedná jak o kompletní náhradu všech existujících vazeb stávajících PIS na okolní systémy, tak i o požadavky na realizaci vazeb nových.
8.0 Školení
Dodavatel zajistí uživatelská a administrátorská školení Klíčových uživatelů na základě dílčích objednávek, konkrétně pro:
Mzdová účetní
Personalistka
Informatik
Pro funkcionality pokrývající činnosti Aktivního uživatele a Pasivního uživatele bude k dispozici příslušná dokumentace a video nápověda přístupná z prezentační vrstvy systému (portálu).
9.0 Implementace a migrace dat
Dodavatel v rámci předimplementační analýzy navrhne rozhraní a postupy pro migrace veškerých dat ze stávajícího systému a popíše nezbytnou organizační a technickou součinnost. Data zahrnují jak podklady pro číselníky nutné pro provoz nového systému, tak historická data.
Veškeré migrace dat budou realizovány pouze v rámci testovací a provozní infrastruktury Zadavatele.
10.0 Podpora, provoz a rozvoj PIS
Provoz PIS spočívá zejména v konzultacích a v řešení konkrétních požadavků Zadavatele souvisejících se zabezpečením provozu PIS, jde například o analýzu/řešení výkonnostních problémů, optimalizace aplikace z hlediska kvality dat, uživatelského prostředí a správy aplikace (PIS), zajištění nápravy při zjištění chyb aplikace, jednorázové individuální nebo dávkové opravy dat, úpravy datového modelu, úpravy on-line částí aplikace, úpravy programů/scriptů pro dávková zpracování, konzultace k migracím a zajištění migrace a provozu na nové verzi technologií, operativní řešení problémů s funkčností PIS, zajištění podpory provozního zpracování, pomoc při zjišťování příčin chybových stavů, implementaci opatření plynoucích ze zajištění kybernetické bezpečnosti a zajištění souladu s GDPR.
Úprava a rozvoj spočívá především v modifikaci PIS nebo tvorbě nových částí (modulů), nebo v realizaci napojení na další externí systémy spočívající zejména v promítání potřebných změn vyplývajících z vývoje tuzemské i evropské legislativy vztahující se k personálnímu systému, přizpůsobování obecnému vývoji v oblasti informačních technologií a požadavkům na nové funkcionality vyplývajících z potřeb zadavatele, posílení bezpečnosti.
Po celou dobu provozu PIS je požadována realizace nových uživatelských a technických rozvojových požadavků (technický rozvoj systému), které budou rozšiřovat nebo měnit funkčnost systému nad rámec funkčních a nefunkčních požadavků vymezených v zadávací dokumentaci.
MAINTENANCE PIS - Služby aplikační podpory:
10.1 Služba 01
Popis služby |
Služba bude zajišťovat činnosti týkající se provozu, běžné údržby aplikačního prostředí a podpory uživatelů PIS. |
|
|
Tato služba bude obsahovat zejména následující činnosti: |
|
· Podpora aplikace |
|
o Plánování a řízení aktualizace aplikace včetně nasazení nových verzí (Dodavatel aplikace je zodpovědný za aktualizaci aplikace |
|
|
|
· Podpora provozu |
|
o Zajištění dostupnosti aplikace |
|
o Řešení incidentů |
|
o Konzultace související s řešením incidentů a problémů |
|
|
|
|
|
· Zálohování a obnova |
|
o Nastavení a aktualizace parametrů zálohování |
|
o Definování požadavků na obnovu |
|
|
|
|
|
· Součinnost se 3. stranami v záležitostech zajištění provozu, oprav, aktualizace systému a řešení problémů |
|
o Služba Helpdesk |
|
|
|
· Zajištění podpory 2. úrovně (centrální kontaktní místo a plnění role 1. úrovně podpory zabezpečuje dodavatel INFRA) |
|
· Zajištění služby spočívá v závazku Dodavatele technicky, organizačně a personálně zajistit možnost efektivní komunikace Zadavatele s odbornými pracovníky Dodavatele prostřednictvím telefonického spojení, emailu, případně webového portálu, a to o všech záležitostech provozní podpory systému a zahrnuje: |
|
o Příjem, evidenci, potvrzování a vyřizování hlášení o vadách PIS. |
|
o Konzultační podporu používání implementovaných procesů PIS. |
|
o Zajištění odborné pomoci uživateli při zpracování komplikovaných případů |
|
o Konzultace k legislativním a systémovým aktualizacím PIS. |
|
o Příjem, evidenci, potvrzování požadavků na konzultace k věcným a technickým záležitostem provozu a rozvoje informačního systému. |
|
o Příjem zadání na vyžádaný další rozvoj poskytovaného informačního systému. |
|
o Vyhodnocení zaznamenaných dotazů, zpracování odpovědí na nejčastější dotazy a jejich zveřejnění pro uživatele a návrh na zefektivnění aplikačního programového vybavení |
|
o Zpracování návrhů na dodatečná odborná školení uživatelů |
|
o Řízený přístup pověřených pracovníků Zadavatele k evidenci výše uvedených hlášení a požadavků |
|
|
|
· Komunikace se Zadavatelem |
|
o Průběžná informovanost Zadavatele o stavu vyřizování jimi hlášených incidentů, problémů a požadavků |
|
o Informování Zadavatele a jeho uživatelů o plánovaných odstávkách systémů, o připravovaných změnách a dopadu těchto změn a odstávek a dalších podstatných událostech |
|
Akceptace služby |
Služby budou poskytovány průběžně a předávány na základě akceptační procedury. Akceptační procedura je řešena monitorováním a reportováním sjednaných parametrů (SLA). |
Sledované období |
kalendářní měsíc |
|
|
|
|
SLA parametry
Služba |
Dostupnost služby měsíční (v %) |
Max. doba jednoho výpadku služby (v minutách) |
Rozsah zaručeného provozu služby |
Dostupnost PIS v produkčním prostředí |
98 |
120 |
Po - Pá 7:00-20:00 |
Dostupnost podpory |
98 |
120 |
Po - Pá 8:00-17:00 |
Dostupnost služby znamená, že všichni uživatelé dané služby ji mohou v plném rozsahu využívat, a to s dobou odezvy obvyklou v místě a čase, s přihlédnutím k otevřeným incidentům. V opačném případě je služba nedostupná. Dostupnost se vypočítává pouze z období stanoveného sloupcem „Rozsah zaručeného provozu služby“. Do nedostupnosti se rovněž započítávají plánované odstávky, pokud se uskutečnily v období zaručeného provozu služby.
Do neplnění dostupnosti služby se nezapočítává doba, po kterou byla služba nedostupná z prokazatelných důvodů mimo působnost dodavatele služby (včetně zdrojů Zadavatele).
Za každé jednotlivé překročení stanoveného parametru dostupnosti služby bude uplatněna ze strany Zadavatele sankce stanovená Smlouvou.
10.2 Služba 02
Popis služby |
Služba bude zajišťovat činnosti týkající se provozu, běžné údržby aplikačního prostředí a podpory uživatelů PIS. |
|
|
Tato služba bude obsahovat zejména následující činnosti: |
|
· Sledování legislativních, metodických a technických změn vč. jejich důsledků do PIS Zadavatele (dále též „legislativní změny“) |
|
o práva EU, práva ČR, usnesení vlády ČR, sdělení a metodických pokynů MF zveřejněných na webových stránkách MF nebo ve Finančním zpravodaji a to zejména v oblasti státního rozpočtu, daní, finanční kontroly, platebního styku, účetnictví, výkaznictví, statistiky |
|
|
|
· Realizace legislativních změn (update) do PIS (dále též "legislativní údržba") |
|
o na základě zajištění legislativních změn nebo legislativních změn oznámených Zadavatelem navrhnout řešení |
|
o realizace legislativních změn a jejich včasná implementace do řešení PIS |
|
|
|
· Maintenance customizací |
|
o údržba realizovaných specifických úprav řešení |
|
|
|
· Odstraňování vad aplikace |
|
o Oprava vad |
|
o nasazení opravných verzí |
|
|
|
· Konzultace související s řešením legislativní údržby, údržbou realizovaných úprav specifického řešení a opravou vad |
|
|
|
· Aktualizace standardní dokumentace po provedení změn |
|
Akceptace služby |
Služby budou předávány na základě akceptačního protokolu mezi Zadavatelem a Dodavatelem stanovenou vzájemně odsouhlasenou formou a úrovní dokumentace. Podkladem pro akceptaci budou dílčí protokoly o provedených jednotlivých úkonech služeb, které budou vždy přílohou Akceptačního protokolu. |
Sledované období |
kalendářní měsíc |
SLA parametry – Incident management
Kategorie vady/chyby |
Reakční doba |
Doba pro opatření nebo dočasné řešení |
Doba odstranění vady |
Kategorie A (Kritická chyba) |
2 hodiny |
5 hodin |
Následující pracovní den |
Kategorie B (Závažná chyba) |
6 hodin |
20 hodin |
50 hodin |
Kategorie C (Drobná chyba) |
10 hodin |
x |
200 hodin |
Reakční doba – nejpozději do této doby musí Dodavatel Zadavateli potvrdit přijetí požadavku s nahlášenou vadou/chybou.
Doba pro opatření nebo dočasné řešení – nejpozději do této doby musí být vada/chyba odstraněna alespoň náhradním řešením, které bude co nejvíce eliminovat případnou škodu Zadavatele a zároveň nebude Zadavateli způsobovat výrazně zvýšenou pracnost při zpracování.
Doba pro odstranění vady – nejpozději do této doby musí být vada zcela odstraněna.
„Reakční doba“, „Doba pro opatření nebo dočasné řešení“ a „Doba pro odstranění vady“ jsou počítány jen v rámci trvání provozní doby a počínají běžet okamžikem nahlášení vady.
Pokud tento okamžik nastane mimo provozní dobu, počínají tyto doby běžet od nejbližšího budoucího počátku provozní doby.
Dohodou mezi Zadavatelem a Dodavatelem může být tato lhůta prodloužena v případě, kdy Dodavatel prokáže objektivní důvody, které mu brání v odstranění vady.
Kategorizace vady/chyby je totožná s kategorizací vad při předání a převzetí díla při akceptačním řízení a je uvedena ve Smlouvě.
SLA parametry – Realizace legislativních změn
Parametr |
Popis |
Priorita |
Doba |
Termín vydání |
Xxxxxxx se dodržení dohodnutého termínu mezi Dodavatelem a Zadavatelem na vydání nové verze PIS do produkce v souvislosti s legislativními změnami |
N/A |
N/A |
SLA parametry – Aktualizace dokumentace
Parametr |
Popis |
Priorita |
Doba |
Doba vyřešení |
Xxxxx vyřešení se myslí čas, který uplyne od vydání nové verze PIS do produkce do schválení aktualizované dokumentace a konfigurační databáze |
N/A |
15 pracovních dní |
Za každé jednotlivé překročení stanovené doby vyřešení nebo plnění bude uplatněna ze strany Zadavatele sankce stanovená Smlouvou
10.3 Služba 03
Popis služby |
Služba bude zajišťovat rozvoj a úpravy specifického PIS podle požadavků Zadavatele (customizace), které nejsou předmětem uvedeném v Služba 1 a Služba 2. |
|
|
Tato služba bude obsahovat zejména následující činnosti: |
|
· Služby rozvoje aplikace |
|
o Podpora uživatelů při definicí požadavků na změny a rozvoj aplikace |
|
o Zpracování návrhu řešení požadovaných změn nebo rozšíření aplikace |
|
o Realizace úprav a změn – analytické, programátorské, testovací, implementační a další práce, zpracování dokumentace. |
|
|
|
|
|
Dodavatel předloží Zadavateli na základě požadavků Zadavatele nabídku, na jejímž základě Zadavatel vystaví dílčí písemnou objednávku. V dílčí písemné objednávce bude stanoven též termín realizace, SLA, cena a akceptační kritéria. Na základě objednávek předaných Zadavatelem Dodavateli připraví Dodavatel kapacitu odborných konzultantů (programátorů) a poskytne zákazníkovi příslušnou podporu v podobě vybraných a odpovídajících služeb při definování a vytváření požadavků na úpravy aplikačního SW vybavení včetně programování nových funkcionalit. |
|
Akceptace služby |
Služby budou předávány na základě akceptačního protokolu mezi Zadavatelem a Dodavatelem stanovenou vzájemně odsouhlasenou formou a úrovní dokumentace. Podkladem pro akceptaci budou dílčí protokoly o provedených jednotlivých úkonech služeb, které budou vždy přílohou Akceptačního protokolu. |
Předpokládaný rozsah služby |
Předpokládaný rozsah poskytování sluýby za období 12 měsíců bude 10 člověkodní |
Sledované období |
kalendářní měsíc |
SLA parametry – Release management
Parametr |
Popis |
Priorita |
Doba |
Termín vydání |
Xxxxxxx se dodržení dohodnutého termínu mezi Zadavatelem a Dodavatelem na vydání nové vrze PIS do produkce |
N/A |
N/A |
Za každé jednotlivé překročení stanoveného plnění parametru bude uplatněna ze strany Zadavatele sankce stanovená Smlouvou.
SLA parametry – Aktualizace dokumentace
Parametr |
Popis |
Priorita |
Doba |
Doba vyřešení |
Xxxxx vyřešrení se myslí čas, který uplyne od vydání nové verze PIS do produkce do schválení aktualizované dokumentace. |
N/A |
15 pracovních dní |
Za každé jednotlivé překročení stanoveného plnění parametru bude uplatněna ze strany Zadavatele sankce stanovená Smlouvou.
10.4 Služba 04
Popis služby |
Služba bude zajišťovat konzultační činnosti (mimo konzultace související s řešením incidentů a problémů dle KL001 a konzultace související s řešením legislativní údržby, údržbou realizovaných úprav specifického řešení PIS Zadavatele a opravou vad dle KL002) zejména v následujících oblastech: |
|
|
|
|
|
|
o podpora nových uživatelů při využívání aplikace a jednotlivých modulů |
|
o Podpora při práci s daty, při jejich výběru, třídění a filtrování |
|
o Podpora reportingu, dolování a analýz dat z aplikace |
|
o Další konzultační činnosti dle požadavků Zadavatele (speicální postupy, podpora analytika aplikace atd.) |
|
|
|
Dodavatel předloží Zadavateli na základě požadavků Zadavatele nabídku, na jejímž základě Zadavatel vystaví dílčí písemnou objednávku. V dílčí písemné objednávce bude stanoven též termín realizace, SLA, cena a akceptační kritéria. Na základě objednávek předaných Zadavatelem Dodavateli připraví Dodavatel kapacitu odborných konzultantů a poskytne Zadavateli v dohodnutých termínech příslušnou podporu v podobě vybraných a odpovídajících služeb. |
|
Akceptace služby |
Služby budou předávány na základě akceptačního protokolu mezi Zadavatelem a Dodavatelem stanovenou vzájemně odsouhlasenou formou a úrovní dokumentace. Podkladem pro akceptaci budou dílčí protokoly o provedených jednotlivých úkonech služeb, které budou vždy přílohou Akceptačního protokolu. |
Předpokládaný rozsah služby |
Předpokládaný rozsah poskytování služby za období 12 měsíců bude 7,5 člověkodní. |
Sledované období |
kalendářní měsíc |
10.5 Služba 05
Popis služby |
Služba bude zajišťovat školící činnosti zejména v následujících oblastech: |
|
|
|
|
o Školení pro administrátory a uživatele aplikace |
|
o Školení nových funkčností pro uživatele (legislativní změny, upgrade aplikace) |
|
o Školení pro analytiky dat, dolování a analýzy dat, reporting atd. |
|
o Tvorba školící dokumentace v tištěné a elektronické podobě |
|
o Příprava školících databází včetně pomoci s přípravou anonymizace dat |
|
|
|
Na základě objednávek předaných Zadavatelem Dodavateli připraví Dodavatel kapacitu odborných lektorů a poskytne Zadavateli v dohodnutých termínech příslušná školení. Zadavatel zajistí školící místnost v prostorách budovy Ministerstva dopravy nebo v prostorách OSS vybavenou výpočetní technikou a příslušnými přístupy do školících systémů. V případě nedostatečné kapacity školící místnosti Zadavatele se předpokládá i využití školících prostor Dodavatele. |
|
Akceptace služby |
Služby budou předávány na základě akceptačního protokolu mezi Zadavatelem a Dodavatelem stanovenou vzájemně odsouhlasenou formou a úrovní dokumentace. Podkladem pro akceptaci budou dílčí protokoly o provedených jednotlivých úkonech služeb, které budou vždy přílohou Akceptačního protokolu. |
Předpokládaný rozsah služby |
Předpokládaný rozsah poskytování služby za období 12 měsíců bude 3 člověkodny. |
Sledované období |
kalendářní měsíc |
11