Smlouva o dílo
Smlouva o dílo
uzavřená na základě dohody smluvních stran, nikoliv na úkor kterékoliv ze smluvních stran podle ustanovení § 2586 a násl. zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů
I. Smluvní strany
Kraj Vysočina
se sídlem: Jihlava, Žižkova 1882/57,
statutární zástupce: Xxx. Xxxxxxxxx Xxxxxx, MBA, hejtman kraje k podpisu smlouvy pověřen: Xxx. Xxx Xxxxxx, radní kraje
IČO: 70890749
(dále jen „objednatel“) a
Sun Drive Communications, s.r.o.
se sídlem: Mendlovo nám. 907/1a, 603 00 Brno, Česká Republika jednající/zastoupený: Ing. Xxxxx Xxxxxx, jednatelem
IČO: 26941007
DIČ a údaj o povinnosti k platbě DPH: CZ26941007
zapsaný v obchodním rejstříku vedeném u Krajského soudu v Brně C 46980 bankovní spojení: Československá obchodní banka, a. s.
číslo účtu: 192281037/0300
(dále jen „zhotovitel“ v příloze č. 1 též „dodavatel“)
II. Předmět a účel smlouvy
1. Smlouva je uzavřena na základě uskutečněného zadávacího řízení v rámci veřejné zakázky malého rozsahu s názvem „Administrace systému slev a výhod – Rodinné pasy a Senior pasy Kraje Vysočina 2023 - 2024“.
2. Předmětem této smlouvy je vymezení a úprava vzájemných práv a povinností smluvních stran, které vzniknou při plnění účelu této smlouvy. Jedná se o práva a povinnosti specifikující závazek zhotovitele dodat objednateli předmět plnění uvedený v čl. II. odst. 4. této smlouvy a závazek objednatele zaplatit zhotoviteli za předmět plnění cenu dle čl. IV. této smlouvy.
3. Účelem této smlouvy je zajištění provozování systému Rodinných pasů a Senior pasů v Kraji Vysočina (dále též „Projekt“).
4. Předmět plnění, který se zhotovitel dle této smlouvy zavazuje dodat objednateli, spočívá v navázání na dosavadní fungování systému Rodinných pasů a Senior pasů Kraje Vysočina a to pro období roku 2023 a 2024. Obsahem závazku zhotovitele je zabezpečit aktivity uvedené v příloze č. 1 této smlouvy. Zhotovitel je povinen zajistit, že uživatelé Rodinných pasů a Senior pasů Kraje Vysočina budou oprávněni Rodinné pasy a Senior pasy užívat na území celé České republiky, tedy zejména že budou oprávněni čerpat veškeré benefity slevového systému (slevy, volné vstupy, atd.) po celé České republice.
5. Tato smlouva je současně smlouvou o zpracování osobních údajů dle Nařízení Evropského parlamentu a rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických
osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále též „nařízení GDPR), popř. zákona č. 110/2019 Sb., o zpracování osobních údajů. Podrobnosti upravuje článek XI. této smlouvy.
III. Doba a místo plnění
1. Smluvní strany se dohodly, že zhotovitel bude poskytovat plnění, které je předmětem této smlouvy, od data účinnosti této smlouvy do 31. 12. 2024. Xxxxxxxxxx se touto smlouvou zavazuje při poskytování předmětu plnění pro objednatele postupovat v souladu s pokyny objednatele.
2. Podrobný harmonogram prací dohodne objednatel se zhotovitelem.
3. Jednotlivá dílčí plnění dle této smlouvy budou předávána na Krajském úřadě Kraje Vysočina, Žižkova 57, Jihlava, případně na jiném místě na území Kraje Vysočina nebo v sídle zhotovitele, pokud bude odsouhlasené objednatelem.
IV. Cena a platební podmínky
1. Objednatel se za podmínek uvedených ve smlouvě zavazuje zaplatit za celé období realizace smlouvy zhotoviteli cenu v celkové výši 1 622 000 Kč bez DPH (slovy jeden milion šest set dvacet dva tisíc korun českých) a 1 962 620 Kč s DPH (slovy jeden milion devět set šedesát dva tisíc šest set dvacet korun českých). Celkovou a pro účely fakturace rozhodnou cenou se rozumí cena včetně DPH. Xxxx sestává ze součtu aktivit uvedených v příloze č. 2. této smlouvy.
2. Xxxx je sjednána jako nejvýše přípustná, platná po celé období realizace smlouvy. Smluvní strany se dohodly, že veškeré náklady zhotovitele vynaložené v souvislosti s výkonem činností dle této smlouvy jsou již zahrnuty v ceně dle čl. IV. odst. 1 této smlouvy. Cena je konečná a je ji možné překročit pouze v případě změny sazby DPH, a to tak, že zhotovitel připočítá ke sjednané ceně bez DPH daň z přidané hodnoty v procentní sazbě odpovídající zákonné úpravě účinné k datu uskutečnění zdanitelného plnění.
3. Zhotovitel je oprávněn objednateli průběžně fakturovat částky odpovídající dílčímu plnění. Fakturovaná částka bude uhrazena formou bezhotovostního převodu na účet zhotovitele. Splatnost faktur je dohodou smluvních stran stanovena na 30 dnů ode dne jejich prokazatelného doručení objednateli. Povinnost zaplatit je splněna odepsáním vyúčtované částky z účtu objednatele.
4. Faktura musí obsahovat náležitosti účetního a daňového dokladu dle zákona č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů (dále jen „zákon o účetnictví“) a zákona č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů (dále jen „zákon o DPH“).
5. Objednatel si vyhrazuje právo před uplynutím lhůty splatnosti vrátit fakturu, pokud neobsahuje požadované náležitosti nebo obsahuje nesprávné údaje. Oprávněným vrácením faktury přestává běžet původní lhůta splatnosti. Opravená nebo přepracovaná faktura bude opatřena novou lhůtou splatnosti.
6. Úhrada za plnění z této smlouvy bude realizována bezhotovostním převodem na účet zhotovitele, který je správcem daně (finančním úřadem) zveřejněn způsobem umožňujícím dálkový přístup ve smyslu ustanovení § 98 zákona o DPH.
7. Pokud se po dobu účinnosti této smlouvy zhotovitel stane nespolehlivým plátcem ve smyslu ustanovení § 106a zákona o DPH, smluvní strany se dohodly, že objednatel
uhradí DPH za zdanitelné plnění přímo příslušnému správci daně. Objednatelem takto provedená úhrada je považována za uhrazení příslušné části smluvní ceny rovnající se výši DPH fakturované zhotovitelem.
V. Práva a povinnosti smluvních stran
1. Smluvní strany se zavazují si navzájem poskytovat veškerou součinnost potřebnou k realizaci předmětu této smlouvy.
2. Obě smluvní strany jsou povinny se vzájemně informovat o skutečnostech, které mohou mít vliv na plnění dle této smlouvy. Zhotovitel je povinen v průběhu plnění smlouvy průběžně konzultovat s objednatelem jakékoliv nejasnosti.
VI. Práva a povinnosti objednatele
1. Objednatel se zavazuje umožnit zhotoviteli řádné plnění smlouvy, zejména je povinen poskytnout včas zhotoviteli všechny informace a podklady, jež bude zhotovitel při realizaci předmětu plnění používat a které budou mít význam z hlediska řádného a včasného plnění a dosažení účelu této smlouvy.
2. Objednatel si vyhrazuje právo průběžně kontrolovat řádné plnění smlouvy v místě skutečné realizace předmětu plnění. Zástupci objednatele jsou po předchozím písemném upozornění oprávněni vstupovat na místo realizace předmětu plnění, provádět monitorovací návštěvy a kontroly realizace a vyžadovat nápravu zjištěných nedostatků.
3. Objednatel si vyhrazuje právo na získávání pravidelných (alespoň 1x / za 3 měsíce) záloh softwarových prostředků pro zajištění plnění účelu této smlouvy, zejména databází, a to ve formě strojově čitelných dat. Po uplynutí 30 dnů od data podpisu smlouvy si zadavatel vyhrazuje právo na testování přenosu dat.
VII. Práva a povinnosti zhotovitele
1. Zhotovitel je povinen vykonávat činnost dle této smlouvy řádně a včas v souladu s platnými předpisy, s potřebnou odbornou péčí a na odpovídající odborné úrovni a chránit zájmy objednatele.
2. Xxxxxxxxxx je povinen vést účetnictví v souladu se zákonem o účetnictví. Účetní doklady související s předmětem plnění musí být vystaveny v souladu se zákonem o účetnictví a musí obsahovat všechny požadované náležitosti. Poskytovatel je povinen vést oddělenou analytickou účetní evidenci všech účetních případů vztahujících se k předmětu plnění a poskytovat z ní údaje všem kontrolním orgánům.
3. Zhotovitel je povinen nahlásit písemně objednateli jakoukoliv změnu, která by mohla mít vliv na plnění předmětu smlouvy, a to nejpozději do 7 kalendářních dnů od jejího vzniku.
4. Zhotovitel je povinen zajistit souhlas žadatelů o rodinný pas nebo senior pas se zpracováním osobních údajů, pokud to vyžaduje zvláštní předpis.
5. Xxxxxxxxxx se zavazuje plnit smlouvu osobně, vlastním jménem, na své náklady a vlastní odpovědnost. Zhotovitel je oprávněn pověřit zpracováním části plnění třetí osobu. V tomto případě však zhotovitel odpovídá za správnost výstupů subzhotovitele tak, jako by tyto činnosti realizoval sám.
6. Zhotovitel se zavazuje v rámci plnění této smlouvy nevyužívat v rozsahu vyšším než 10 % ceny poddodavatele, který je:
a. fyzickou či právnickou osobou nebo subjektem či orgánem se sídlem v Rusku,
b. právnickou osobou, subjektem nebo orgánem, který je z více než 50 % přímo či nepřímo vlastněn některým ze subjektů uvedených v písmeni a) tohoto odstavce, nebo
c. fyzickou nebo právnickou osobou, subjektem nebo orgánem, který jedná jménem nebo na pokyn některého ze subjektů uvedených v písmeni a) nebo b) tohoto odstavce.
7. Zhotovitel se zavazuje, že bude při realizaci této smlouvy minimalizovat obalový materiál a bude předcházet jeho zbytečnému vzniku. Dále se zhotovitel zavazuje, že bude upřednostňovat řešení, které umožní plnění smlouvy šetrnější k životnímu prostředí, zejména které povede k omezení spotřeby energií, vody, surovin, produkce znečišťujících látek uvolňovaných do ovzduší, vody, půdy, omezení uhlíkové stopy apod.
VIII. Bezpečnost informací
1. Zhotovitel je povinen dodržovat platnou legislativu ČR i EU, která se týká bezpečnosti informací.
2. Zhotovitel se zavazuje dodržovat požadavky a opatření pro zajištění bezpečnosti informací a informačních aktiv uvedené v příloze č. 3 této smlouvy.
3. Zhotovitel je povinen zajistit plnění bezpečnostních opatření a požadavků stanovených touto smlouvou ve stejné míře u všech případných subzhotovitelů či jiných osob, které mají přístup k informačním aktivům objednatele prostřednictvím zhotovitele či k jiným systémům v rámci plnění této smlouvy.
4. Zhotovitel je povinen zachovávat mlčenlivost o všech skutečnostech a informacích, které mu byly v souvislosti s touto smlouvou nebo jejím plněním jakkoliv zpřístupněny, předány či sděleny, nebo o nichž se jakkoliv dozvěděl, vyjma těch, které jsou v okamžiku, kdy se s nimi zhotovitel seznámil, prokazatelně veřejně přístupné nebo těch, které se bez zavinění zhotovitele veřejně přístupnými stanou (dále jen „důvěrné informace“). Zhotovitel nesmí důvěrné informace použít v rozporu s jejich účelem, nesmí je použít ve prospěch svůj nebo třetích osob a nesmí je použít ani v neprospěch objednatele. Povinnosti dle tohoto odstavce je zhotovitel povinen zachovávat i po zániku této smlouvy, vyjma případů, kdy se důvěrné informace stanou prokazatelně veřejně přístupné bez zavinění zhotovitele. Povinnosti dle tohoto odstavce se nevztahují na případy, kdy je zhotovitel povinen zveřejnit důvěrnou informaci na základě povinnosti uložené zhotoviteli právním předpisem nebo rozhodnutím orgánu veřejné moci.
5. Za nesplnění kterékoliv povinnosti obsažené v tomto článku a povinnosti týkající se bezpečnosti informací, která vyplývá z příloh této smlouvy, je objednatel oprávněn účtovat zhotoviteli smluvní pokutu ve výši 100 000 Kč, a to za každé jednotlivé porušení povinností obsažených v tomto článku.
IX. Závěrečná zpráva
1. Smluvní strany se dohodly, že po ukončení realizace této smlouvy vypracuje zhotovitel závěrečnou zprávu o realizaci této smlouvy. Závěrečnou zprávu je povinen zhotovitel předložit objednateli do 20 kalendářních dnů od ukončení smlouvy.
2. Vedle výše uvedené závěrečné zprávy si může v případě potřeby objednatel vyžádat podání zprávy o aktuálním stavu realizace předmětu plnění i v jiném období; tuto zprávu je zhotovitel povinen v objednatelem stanovené přeměřené lhůtě poskytnout.
X. Autorská práva a ochrana nehmotných statků
1. Tento článek smlouvy se uplatní tehdy, jestliže součástí plnění bude nehmotný statek, jenž je předmětem úpravy zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon).
2. Zhotovitel udílí touto smlouvou objednateli licenci ke všem nehmotným statkům vzniklým
v průběhu realizace smlouvy. Zejména poskytuje zhotovitel objednateli licenci k užití databáze rodin a seniorů (držitelů Rodinných pasů a držitelů Senior pasů Kraje Vysočina) a k vytěžování této databáze, k užití databáze poskytovatelů slev a k vytěžování této databáze, k užití zhotovitelem vytvořených webových stránek, k užití loga a názvu Senior pasů a Rodinných pasů, k užití mobilní aplikace pro vyhledávání poskytovatelů slev a ke všem dalším vzniklým nehmotným statkům (autorskoprávním dílům).
3. V případě zhotovení části díla třetí osobou zajistí zhotovitel pro objednatele licenci ke všem nehmotným statkům (autorskoprávním dílům) takto vzniklým.
4. Licence dle tohoto článku je poskytována jako výhradní s výjimkou licence k vytvořeným webovým stránkám, užívání loga a názvu Senior pasu a Rodinných pasů a aplikace pro vyhledávání poskytovatelů slev, která je poskytována jako nevýhradní. Licence dle tohoto článku je poskytována ke všem známým způsobům užití, bez územního a množstevního omezení, v případě výhradní licence na dobu trvání majetkových práv k nehmotnému statku, v případě nevýhradní licence po dobu do 31. 12. 2024.
5. Objednatel není povinen uvedená práva využít. Objednatel je oprávněn poskytnout v rámci výhradní licence práva získaná touto smlouvou (udělovat podlicence) zcela nebo zčásti třetím osobám, a to i opakovaně. Oprávnění k výkonu těchto práv platí pro třetí osoby ve stejném rozsahu jako pro objednatele.
6. Objednatel je oprávněn dílo dále zpracovávat a upravovat, spojit dílo s jiným dílem, jakož i zařadit jej do díla souborného.
7. Xxxxxxxxxx není oprávněn dílo, na které se vztahuje výhradní licence, ani jakoukoliv jeho část poskytnout bez souhlasu objednatele třetí osobě. Zhotovitel je oprávněn dílo, na které se vztahuje výhradní licence, sám využívat jen v rozsahu nezbytném k plnění dle této smlouvy.
8. Smluvní strany konstatují, že odměna za poskytnutí výše uvedených licencí je zahrnuta do výše ceny dle čl. IV. této smlouvy.
XI. Ochrana osobních údajů
1. Smluvní strany se v souvislosti s touto smlouvou zavazují postupovat v souladu s Obecným nařízením Evropského parlamentu a Rady (EU) 2016/679, ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, zákonem č. 110/2019 Sb., o zpracování osobních údajů a také v souladu s dalšími evropskými i národními předpisy na úseku ochrany osobních údajů.
2. Xxxxxxxxxx bere na vědomí, že se ve smyslu nařízení GDPR považuje za zpracovatele osobních údajů, se všemi pro něj vyplývajícími důsledky a povinnostmi. Objednatel je považován za správce osobních údajů, se všemi pro něj vyplývajícími důsledky a povinnostmi.
3. Zhotovitel je oprávněn zpracovávat osobní údaje pouze za účelem plnění této smlouvy a pouze na základě pokynů objednatele. Zhotovitel je povinen zpracovávat osobní údaje v rozsahu nezbytně nutném pro plnění této smlouvy.
4. Přístup ke zpracovávaným osobním údajům umožní zhotovitel pouze objednateli, zaměstnancům zhotovitele, zodpovědným osobám za realizaci této smlouvy zhotovitele a orgánům oprávněným provádět kontrolu, pokud není dále upraveno jinak.
5. Mezi kategorie osobních údajů, které budou zhotovitelem zpracovány se jedná:
a. označení držitele Senior pasu – jméno, příjmení, ulice a číslo popisné, město, PSČ, kontaktní email, rok narození a telefonní číslo,
b. označení držitele rodinného pasu – označení rodiny nebo jméno a příjmení rodiče, ulice a číslo popisné, město, PSČ a kraj kde rodina nebo rodič bydlí, kontaktní e-mail a telefonní číslo rodiny nebo rodiče a jméno a rok narození dítěte nebo dětí.
6. Zhotovitel se zavazuje, že zavede vhodná technická a organizační opatření tak, aby dané zpracování splňovalo požadavky nařízení GDPR, aby byla zajištěna ochrana práv subjektu údajů.
7. Objednatel povoluje zhotoviteli umožnit dalšímu zpracovateli nakládat s osobními údaji zpracovávanými v souvislosti s touto smlouvou. Pokud zhotovitel hodlá zapojit dalšího zpracovatele, musí být tomuto dalšímu zpracovateli uloženy na základě smlouvy stejné povinnosti na ochranu osobních údajů, jaké jsou uvedeny v této smlouvě.
8. Zhotovitel se zavazuje zachovávat mlčenlivost o všech osobních údajích poskytnutých na základě této smlouvy. Smluvní strany jsou si vzájemně rovněž povinny na žádost druhé smluvní strany prokázat způsob jakým je dodržování povinností stanovených zákonem zajištěno. Zhotovitel se zavazuje zároveň doložitelným způsobem zajistit mlčenlivost všech svých zaměstnanců či jiných osob, jež budou přicházet do styku s osobními údaji.
9. Zhotovitel se dále zavazuje:
a. přijmout všechna opatření požadovaná podle článku 32 nařízení GDPR; jedná se zejména o:
• schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;
• schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;
• proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.
b. zohlednit povahu zpracování a poskytnout nezbytnou součinnost prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění objednatelovi povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených nařízením GDPR;
c. poskytnout objednateli nezbytnou součinnost při zajišťování souladu s povinnostmi podle článků 32 až 36 nařízení GDPR, a to při zohlednění povahy zpracování a informací, jež má zhotovitel k dispozici;
d. po ukončení nakládání s osobními údaji dle této smlouvy (tj. případ splnění předmětu smlouvy, ukončení realizace smlouvy uplynutím doby, na kterou je tato smlouva uzavírána nebo dojde-li k odstoupení od této smlouvy či její výpovědi) se zhotovitel zavazuje vymazat existující kopie osobních údajů, pokud právo EU nebo ČR nepožaduje uložení daných osobních údajů u zpracovatele;
e. poskytnout objednateli veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v nařízení GDPR.
f. informovat neprodleně objednatele v případě, že jeho pokyn porušuje GDPR nebo jiný právní předpis.
10. V případě, že zhotovitel poruší ustanovení této smlouvy, je objednatel oprávněn požadovat po zhotoviteli smluvní pokutu ve výši 30 000 Kč (slovy: třicet tisíc korun českých) za každé jednotlivé porušení smlouvy ze strany zhotovitele. Zhotovitel je povinen k úhradě
takovéto pokuty. Smluvní pokuta je splatná do 14 dnů od doručení oznámení o uplatnění smluvní pokuty.
11. Zároveň se zhotovitel zavazuje k úhradě škody (např. správní či jiné sankce, náhrady škody za neoprávněné nakládání s osobními údaji), která vznikla objednateli v důsledku porušení povinností zhotovitele stanovených právními předpisy či touto smlouvou či v důsledku neposkytnutí příslušné součinnosti.
XII. Záruka za dílo
1. Zhotovitel poskytuje objednateli záruku za věcnou, formální a technickou správnost plnění vzniklého díla v délce trvání dvou let od řádného ukončení a předání díla objednateli.
2. Objednatel je oprávněn v záruční době reklamovat u zhotovitele zjištěné vady díla. Za včasné oznámení vad díla se považuje jejich oznámení kdykoli v záruční době.
XIII. Sankční ustanovení
1. Nesplní-lil zhotovitel svůj závazek řádně a včas, je objednatel oprávněn požadovat po zhotoviteli smluvní pokutu ve výši 0,05 % z ceny příslušné aktivity plnění za každý započatý den prodlení.
2. Nezaplatí-li objednatel včas za řádně provedenou a předanou část plnění dohodnutou odměnu, je zhotovitel oprávněn požadovat po objednateli úrok z prodlení ve výši 0,05 % z dlužné částky za každý započatý den prodlení.
3. Neodstraní-li zhotovitel řádně a včas vady, uplatněné v reklamační lhůtě, je objednatel oprávněn požadovat po zhotoviteli smluvní pokutu ve výši 0,05 % z ceny příslušné části plnění za každý den prodlení, a to až do úplného a řádného odstranění vady
4. Za nedodržení povinnosti vytvořit a provozovat webové stránky a zajistit provoz infolinky Rodinných a Senior pasů, upravené v Příloze č. 1 této smlouvy, je zhotovitel povinen zaplatit objednateli smluvní pokutu ve výši 50 000 Kč za každé jednotlivé nedodržení povinnosti. Celková výše smluvní pokuty stanovené dle tohoto odstavce však v součtu nemůže přesáhnout celkovou výši odměny dle čl. IV. odst. 1. této smlouvy.
5. Zaplacením smluvní pokuty ani úroku z prodlení není dotčeno právo na náhradu škody, která smluvní straně vznikne v souvislosti s porušením smluvních povinností ze strany druhé smluvní strany.
6. Smluvní pokuta je splatná do 15 dnů ode dne doručení jejího vyúčtování zhotoviteli.
XIV. Ukončení smlouvy, odstoupení od smlouvy
1. Tato smlouva je uzavřena na dobu určitou, a to od data účinnosti této smlouvy do doby splnění všech práv a závazků z nich plynoucích.
2. Smluvní strany se dohodly, že mimo uplynutí doby lze smlouvu ukončit také na základě písemné výpovědi objednatele v případě, že zhotovitel přestane poskytovat plnění dle této smlouvy a/nebo nedodržel smluvní podmínky nebo pokud se pro něj další plnění předmětu smlouvy stalo bezpředmětné. V tomto případě činí výpovědní lhůta 2 měsíce ode dne prokazatelného doručení výpovědi zhotoviteli.
3. Objednatel může odstoupit od smlouvy v případě, že zhotovitel podstatným způsobem nebo opakovaným méně závažným způsobem poruší své smluvní povinnosti. Za podstatné porušení smlouvy ze strany zhotovitele se zejména považuje: neplnění povinnosti komunikace s držiteli karet, nedodržení termínu vyhotovení, předání a distribuce tištěných materiálů, nefunkčnost webových stránek a nezahájení nebo nedodržení provozu
kontaktního centra. Objednatel může od smlouvy odstoupit také v případě zahájení insolvenčního řízení vůči zhotoviteli. Zhotovitel může odstoupit od smlouvy v případě, že objednatel nezaplatí včas dohodnutou cenu, a to ani po písemném upozornění v přiměřené náhradní lhůtě, která mu k tomu bude zhotovitelem poskytnuta.
4. Zhotovitel ke dni ukončení smlouvy předá objednateli data ze softwarových prostředků pro zajištění plnění účelu této smlouvy, zejména databází, a to ve formě strojově čitelných dat.
5. Objednatel je oprávněn od smlouvy odstoupit v případě, kdy zhotovitel nesplní povinnost uvedenou v čl. VII. odst. 6 této smlouvy.
XV. Závěrečná ustanovení
1. Není-li v této smlouvě výslovně uvedeno jinak, řídí se právní vztahy mezi objednatelem a zhotovitelem příslušnými ustanoveními občanského zákoníku, jakož i dalšími obecně platnými právními předpisy ČR a přímo použitelnými předpisy EU.
2. Tato smlouva může být změněna pouze písemně, a to vzestupně číslovanými dodatky.
3. Výběr zhotovitele byl proveden v souladu s „Pravidly Rady Kraje Vysočina pro zadávání veřejných zakázek“ č. 05/21.
4. Zhotovitel prohlašuje, že se před uzavřením smlouvy nedopustil v souvislosti se zadávacím řízením sám nebo prostřednictvím jiné osoby žádného jednání, jež by odporovalo zákonu nebo dobrým mravům nebo by zákon obcházelo, zejména že nenabízel žádné výhody osobám podílejícím se na zadání veřejné zakázky, na kterou s ním objednatel uzavřel smlouvu, a že se zejména ve vztahu k ostatním uchazečům nedopustil žádného jednání narušujícího hospodářskou soutěž.
5. Zhotovitel se zavazuje, že žádným způsobem nezneužije informace, které získá v souvislosti s realizací činností dle této smlouvy, a že bude chránit dobré jméno objednatele.
6. Smluvní strany prohlašují, že souhlasí s obsahem smlouvy, dále že byla sepsána dle jejich pravé a svobodné vůle, nikoliv v tísni a za nápadně nevýhodných podmínek a na důkaz toho připojují podpisy svých oprávněných zástupců.
7. Nedílnou součástí této smlouvy jsou následující přílohy:
Příloha č. 1 – Vymezení předmětu plnění Příloha č. 2 – Rozpis ceny
Příloha č. 3 - Požadavky a opatření pro zajištění bezpečnosti informací a informačních aktiv
8. Tato smlouva se vyhotovuje elektronicky, přičemž každá smluvní strana obdrží originální vyhotovení smlouvy podepsané kvalifikovanými či zaručenými elektronickými podpisy osob oprávněných za ně jednat, založenými na kvalifikovaném certifikátu pro elektronický podpis dle zák. č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, ve znění pozdějších předpisů.
9. Tato smlouva nabývá platnosti dnem podpisu a účinnosti dnem uveřejnění v informačním systému veřejné správy - Registru smluv.
10. Zhotovitel výslovně souhlasí se zveřejněním celého textu této smlouvy včetně podpisů v informačním systému veřejné správy - Registru smluv.
Za objednatele Za zhotovitele:
V Jihlavě dne dle data el. podpisu V Brně dne dle data el. podpisu
Mgr. Xxx Xxxxxxxxx podepsal
Digitálně podepsal Xxxx
Xxxxxx
Xxx. Xxx Xxxxxx Datum: 2023.05.31
14:00:51 +02'00'
Carda
Datum: 2023.05.30
10:43:00 +02'00'
Xxxx Xxxxx
Xxx. Xxx Xxxxxx Xxx. Xxxx Xxxxx
radní kraje jednatel
Příloha č. 1 Smlouvy o dílo
1. Vymezení předmětu plnění veřejné zakázky
Základním cílem veřejné zakázky je zajištění realizace systému Rodinných pasů Kraje Vysočina a Senior pasů Kraje Vysočina v roce 2023 a 2024 (dále též „Projekt“ nebo
„Systém“). Systémy jsou zaměřené na poskytování a rozšiřování slev pro rodiny a seniory. Jedná se o Systémy poskytování slev a dalších výhod rodinám s alespoň jedním dítětem do
18 let věku a osobám ve věku od 55 let („seniory“). Cílem veřejné zakázky je zajištění provozu těchto Systémů a rozvoj sítě poskytovatelů slev pro rodiny s dětmi a seniory, zapojení dalších rodin a seniorů do Systému, které mohou čerpat výhody slevového systému, vydávání a distribuce katalogu slev, komunikace s účastníky Systému a také tvorba a distribuce drobných dárkových předmětů.
Pro účastníky je zapojení do systému Rodinných a Senior pasů Kraje Vysočina bezplatné a po celou dobu realizace bude bezplatné. Za účastníky Projektu jsou považovány jednak rodiny s dětmi a osoby ve věku 55 let a výše, a dále pak i poskytovatelé slev.
Rozsah předmětu plnění veřejné zakázky je:
A. Provoz kontaktního centra Rodinných a Senior pasů pro Kraj Vysočina, která spočívá v zajištění těchto aktivit:
a. Provozování webových stránek Rodinných pasů a Senior pasů,
b. Administrace databáze rodin zapojených do systému Rodinných pasů Kraje Vysočina a administrace databáze seniorů zapojených do systému Senior pasů Kraje Vysočina
c. Administrace databáze poskytovatelů zapojených do systému Rodinných pasů Kraje Vysočina a administrace databáze poskytovatelů zapojených do systému Senior pasů Kraje Vysočina
d. Komunikace s držiteli Xxxxxxxxx a Senior pasů Kraje Vysočina
e. Návrh a výroba tištěných registračních formulářů pro zapojení do systému Rodinných, a Senior pasů Kraje Vysočina
B. Vydávání členských karet Rodinných pasů a Senior pasů
C. Rozšiřování databáze obchodníků a slevové kuponové akce
D. Zajištění aplikace Rodinných pasů
E. Zajištění aplikace Senior pasů
Zadavatel požaduje od vybraného dodavatele zajištění následujících aktivit:
Realizace systému Rodinných a Senior pasů Kraje Vysočina v roce 2023 a 2024 musí kontinuálně navazovat na dosavadní realizaci projektu.
A) Provoz kontaktního centra Rodinných a Senior pasů pro Kraj Vysočina
Jedná se o zajištění provozu kontaktního centra na období plnění předmětu zakázky, které bude vykonávat následující činnosti:
a. výroba, provoz, údržba a průběžná aktualizace webových stránek informujících o projektu Rodinných a Senior pasů v Kraji Vysočina, zejména o možnostech a podmínkách účasti, poskytovatelích slev, odpovědích na nejčastější dotazy týkající se systému Rodinných a Senior pasů Kraje Vysočina a aktualitách; obsah je tvořen ve spolupráci se Zadavatelem,
b. zřízení a administrace elektronické databáze rodin, seniorů a poskytovatelů slev zapojených do systému Rodinných a Senior pasů na území Kraje Vysočina, komunikace s cílovou skupinou (registrace rodin a seniorů). Autorská práva k databázím se řídí podmínkami uvedenými v Návrhu smlouvy. Zadavatel bude mít práva administrátora pro vstup do těchto databází,
c. zřízení a provoz infolinky (informační podpora zájemců o účast v systému Rodinných nebo Senior pasů (poskytovatelů slev a držitelů karet) – zajištění služeb
telemarketingu a mailingu. Poskytování těchto služeb bude nejméně 8 hodin denně (v pracovní dny) a to v časovém rozmezí od 8:00 do 19:00 hodin,
d. zajištění komunikace s držiteli karet pomocí elektronické pošty, e-magazínu minimálně 1 x měsíčně: informace o Systému, pozvánky, novinky, upoutávky na jednorázové akce, informace o rodinné a seniorské politice v Kraji Vysočina atd., a zasílání elektronických zpráv vždy dle potřeby a požadavku Zadavatele,
e. výroba max. 3 000 ks skládaných informačních letáků A4 (o systému Rodinných a Senior pasů Kraje Vysočina), které budou sloužit zároveň jako registrační formuláře,
f. vyhledávání akcí vhodných pro držitele Rodinných a Senior pasů Kraje Vysočina v rámci ostatních krajů zapojených do projektu rodinných a senior pasů a informování o těchto akcích dle odst. d.
Zajišťování bezpečnosti hardwarových a softwarových prostředků Systému
Dodavatel je povinen zajišťovat bezpečnost hardwarových a softwarových prostředků systému, a to zejména tak, že bude zmíněné prostředky aktualizovat a opravovat ve smyslu technických zranitelností.
Dodavatel se zavazuje v rámci plnění opravovat nalezené či známé bezpečnostní aplikační, či jiné technické zranitelnosti dle níže uvedené tabulky.
Kategorie bezpečnostních zranitelností a jejich řešení:
Kategorie | Popis |
Kritická | Zranitelnost dosáhne základního skóre 7.0 – 10.0 bodů dle obecného systému hodnocení zranitelností (otevřený standard CVSSv3 base score). Vyřešení do 2 pracovních dnů od nahlášení dodavateli. |
Střední | Zranitelnost dosáhne základního skóre 4.0-6.9 bodů dle obecného systému hodnocení zranitelností (CVSSv3 base score) Vyřešení do 10 pracovních dnů od nahlášení dodavateli. |
Nízká | Zranitelnost dosáhne základního skóre 0.0-3.9 bodů dle obecného systému hodnocení zranitelností (CVSSv3 base score) Vyřešení do 20 pracovních dnů od nahlášení dodavateli. |
Dodavatel se zavazuje provozovat webové stránky prostřednictvím zabezpečeného aplikačního protokolu (HTTP over TLS).
Dodavatel se zavazuje po celou dobu plnění smlouvy zajišťovat správnou a bezpečnou konfiguraci kryptografických prostředků (zejména TLS protokolu) a bezpečnostních hlaviček a to tak, aby pomocí online testů Qualys SSL Labs (xxxxx://xxx.xxxxxxx.xxx/xxxxxxx/xxxxx.xxxx) a Security Headers (xxxxx://xxxxxxxxxxxxxxx.xxx/) webové stránky získaly známku minimálně A.
B) Vydávání členských karet
Jedná se o aktivity vedoucí k zajištění výroby obdoby plastikové věrnostní nebo slevové karty bez elektronického pásku a její distribuce. Registrující se rodiny do projektu rodinného pasu si v rámci registrace vyberou, zda chtějí zaslat kartičku fyzicky poštou nebo budou mít její elektronickou verzi v aplikaci. Rodině, která si vybere elektronickou verzi karty se žádná plastová karta již nezasílá, ale obdrží číslo karty do e-mailu, který vyplní při registraci. Číslo karty následně zadá do aplikace a bude se prokazovat výhradně prostřednictvím aplikace.
Osobě, která se zaregistruje do systému Senior pasů, bude automaticky zaslána fyzická kartička.
Grafika fyzické karty bude vytvořena v souladu s jednotným grafickým vizuálním stylem Rodinných pasů nebo Senior pasů a pokyny Zadavatele. Registrovaná rodina v případě zájmu fyzické registrační karty do systému Rodinných pasů Kraje Vysočina obdrží vždy 2 ks této plastové karty (v případě, že se jedná o rodiče samoživitele, obdrží žadatel pouze 1 ks plastové karty), a osoba registrovaná v systému Senior pasů Kraje Vysočina obdrží vždy 1 ks plastové karty, vždy však nejpozději ve lhůtě do 30 dnů od registrace. Plastová karta bude vždy celobarevná a bude sloužit jako průkaz opravňující jeho držitele čerpat výhody slevového systému. Karta bude vystavena všem rodinám (rodinou rozumíme i neúplné rodiny, samoživitele, osoby mající dítě v péči apod.), které se zaregistrují v systému rodinných pasů nebo občanovi staršímu 55 let registrovanému v systému Senior pasů. Minimálně jedna osoba registrující se rodiny musí mít trvalé bydliště v Kraji Vysočina. Registrující se senior musí mít trvalé bydliště v Kraji Vysočina.
Počet vydaných karet se odvozuje od počtu zájemců nově zaregistrovaných a zájemců, jejichž platnost registrace v průběhu realizace veřejné zakázky končí a zájemce požádá o přeregistraci a vydání nové karty, přičemž Zadavatel předpokládá za dobu trvání veřejné zakázky vydání max. 3 000 ks plastových karet celkem.
Členská karta bude obsahovat minimálně označení Rodinný pas nebo Senior pas a logo Kraje Vysočina. Karta bude dále obsahovat jméno rodiny nebo seniora a údaj o době platnosti karty. Na kartě bude vyznačen v případě Xxxxxxxxx pasů údaj o dětech, tedy počet dětí v rodině a koncové dvojčíslí jejich roku narození. Karta je vždy nepřenosná. Na zadní straně každé karty bude vyhrazen prostor pro podpisovou část držitele karty. Grafika rodinného pasu a senior pasu bude odsouhlasena Zadavatelem.
Registrovaná rodina nebo senior obdrží slevovou kartu zdarma na adresu uvedenou při registraci, společně s průvodním dopisem obsahujícím návod k užívání karty a odkazy na důležité informace (databáze sítě poskytovatelů, kontakty atd.). Vše, tj. výrobu a tisk a distribuci, zajišťuje rovněž dodavatel. Obsah průvodního dopisu bude odsouhlasen Zadavatelem.
C) Rozšiřování databáze poskytovatelů slev a slevové kuponové akce
Jedná se o aktivity směřující k náboru a oslovení nových poskytovatelů slev na území Kraje Vysočina, především z oblasti volnočasových aktivit pro rodiny s dětmi a seniory, a také z oblasti služeb a zboží.
Celkem bude po celou dobu trvání projektu zapojeno vždy minimálně 250 obchodníků poskytující slevy v rámci systému rodinných pasů a minimálně 250 obchodníků poskytující slevy v rámci systému senior pasů. Uvedené počty je dodavatel povinen splnit do 2 měsíce od nabytí účinnosti smlouvy a následně pak po celou dobu trvání projektu. Dodavatel předloží zadavateli seznamy poskytovatelů ke schválení. Bez schválení zadavatele se poskytovatelé slev nezapočítávají do stanoveného počtu poskytovatelů.
Poskytované slevy budou zejména v následujících oblastech:
▪ volnočasové aktivity,
▪ sportovní aktivity,
▪ lázeňství a wellness,
▪ stravování a ubytování,
▪ cestování,
▪ doprava,
▪ knihkupectví,
▪ muzea a galerie,
▪ zdravotnictví,
▪ spotřební nákupy bez ohledu na odvětví,
▪ a jiné.
V rámci využívání slev budou k dispozici pravidelné statistické výstupy o využívání karet a výše slevy ve sledovacím období jak u rodin, tak u seniorů.
V návaznosti na statistické výstupy budou navrhovány kuponové akce, které budou odpovídat potřebám cílových skupin. Celkem bude realizováno minimálně 8 kuponových balíčků, každý bude obsahovat několik slev u významných partnerů.
Slevové kupony budou graficky zpracované, budou obsahovat název partnera, který slevu poskytuje, zřetelná bude výše slevy a období, kdy bude slevu možno využít. Dále bude obsahovat logo projektu a logo Kraje Vysočina.
O vydání slevových kuponů budou držitelé karet informováni elektronicky rozesílkou newsletteru, dále také budou kupony vyvěšeny na webových stránkách projektů a šířeny telefonní kontaktní linkou.
Před vydáním kuponových slev budou poskytovatelé těchto slev schváleni zadavatelem.
D) Zajištění aplikace Rodinných pasů
Dodavatel je pro držitele Rodinných pasů z Kraje Vysočina povinen zajistit do 1 měsíce od nabytí účinnosti smlouvy a následně pak po celou dobu trvání projektu aplikaci pro mobilní zařízení s operačním systémem Android a iOS (dále jen „aplikace“). Aplikace musí umožňovat, registraci rodiny do systému Rodinných pasů, využívání elektronické virtuální karty Rodinných pasů, vyhledávání v seznamu poskytovatelů slev na zboží a služby dle různých parametrů minimálně ve stejném rozsahu jako vyhledávání umožňuje webová stránka, včetně zajištění aktualizace poskytovatelů slev. Funkce virtuální karty je shodná s funkcemi karty plastové a plně ji nahrazuje.
Aplikace musí umožňovat vyhledání poskytovatelů slev dle vzdálenosti od místa, kde se uživatel aplikace nachází, resp. aplikace bude ukazovat nejbližší poskytovatele slev. Vzdálenost bude uváděna v délkových jednotkách a bude měřena nikoliv jako nejkratší přímá vzdálenost, ale jako vzdálenost naměřená při využití pozemních komunikací a to ve variantě auto, kolo, pěšky.
Aplikace musí být plně funkční a dostupná ke stažení na serveru Google Play a Apple Store nejpozději do 1 měsíce od uzavření smlouvy.
Zajišťování bezpečnosti aplikace Rodinných pasů
Dodavatel je povinen zajišťovat bezpečnost aplikace, a to zejména tak, že bude tuto aplikaci aktualizovat a opravovat ve smyslu technických zranitelností.
Dodavatel se zavazuje v rámci plnění opravovat nalezené či známé bezpečnostní aplikační, či jiné technické zranitelnosti dle níže uvedené tabulky. Tyto opravy se týkají i knihoven či jiných částí programového kódu třetích stran použitých v aplikaci, pakliže je tato oprava od výrobce dostupná.
Kategorie bezpečnostních zranitelností a jejich řešení:
Kategorie | Popis |
Kritická | Zranitelnost dosáhne základního skóre 7.0 – 10.0 bodů dle obecného systému hodnocení zranitelností (otevřený standard CVSSv3 base score). Vyřešení do 10 pracovních dnů od nahlášení dodavateli či zjištění. |
Střední | Zranitelnost dosáhne základního skóre 4.0-6.9 bodů dle obecného systému hodnocení zranitelností (CVSSv3 base score) Vyřešení do 20 pracovních dnů od nahlášení dodavateli či zjištění. |
Nízká | Zranitelnost dosáhne základního skóre 0.0-3.9 bodů dle obecného systému hodnocení zranitelností (CVSSv3 base score) Vyřešení do 30 pracovních dnů od nahlášení dodavateli či zjištění. |
Dodavatel se zavazuje zajistit provozovat aplikaci tak, aby při přenosu dat byly použity kryptograficky zabezpečené přenosové protokoly.
Aplikace musí být navržena tak, aby požadovala minimální množství oprávnění k přístupu ke zdrojům zařízení a to pouze těch nezbytných k fungování aplikace.
E) Zajištění aplikace Senior pasů
Dodavatel je pro držitele Senior pasů z Kraje Vysočina povinen zajistit po celou dobu plnění smlouvy aplikaci pro mobilní zařízení s operačním systémem Android a iOS (dále jen
„aplikace“). Aplikace musí umožňovat vyhledávání v seznamu poskytovatelů slev na zboží a služby dle různých parametrů minimálně ve stejném rozsahu jako vyhledávání umožňuje webová stránka, včetně zajištění aktualizace poskytovatelů slev. Dále aplikace bude umožňovat registraci do systému Senior pasů.
Aplikace musí umožňovat vyhledání poskytovatelů slev dle vzdálenosti od místa, kde se uživatel aplikace nachází, resp. aplikace bude ukazovat nejbližší poskytovatele slev. Vzdálenost bude uváděna v délkových jednotkách a bude měřena nikoliv jako nejkratší přímá vzdálenost, ale jako vzdálenost naměřená při využití pozemních komunikací a to ve variantě auto, kolo, pěšky.
Aplikace musí být plně funkční a dostupná ke stažení na serveru Google Play a Apple Store nejpozději do 1 měsíce od uzavření smlouvy.
Zajišťování bezpečnosti aplikace Senior pasů
Dodavatel je povinen zajišťovat bezpečnost aplikace, a to zejména tak, že bude tuto aplikaci aktualizovat a opravovat ve smyslu technických zranitelností.
Dodavatel se zavazuje v rámci plnění opravovat nalezené či známé bezpečnostní aplikační, či jiné technické zranitelnosti dle níže uvedené tabulky. Tyto opravy se týkají i knihoven či jiných částí programového kódu třetích stran použitých v aplikaci, pakliže je tato oprava od výrobce dostupná.
Kategorie bezpečnostních zranitelností a jejich řešení:
Kategorie | Popis |
Kritická | Zranitelnost dosáhne základního skóre 7.0 – 10.0 bodů dle obecného systému hodnocení zranitelností (otevřený standard CVSSv3 base score). Vyřešení do 10 pracovních dnů od nahlášení dodavateli či zjištění. |
Střední | Zranitelnost dosáhne základního skóre 4.0-6.9 bodů dle obecného systému hodnocení zranitelností (CVSSv3 base score) Vyřešení do 20 pracovních dnů od nahlášení dodavateli či zjištění. |
Nízká | Zranitelnost dosáhne základního skóre 0.0-3.9 bodů dle obecného systému hodnocení zranitelností (CVSSv3 base score) Vyřešení do 30 pracovních dnů od nahlášení dodavateli či zjištění. |
Dodavatel se zavazuje zajistit provozovat aplikaci tak, aby při přenosu dat byly použity kryptograficky zabezpečené přenosové protokoly.
Aplikace musí být navržena tak, aby požadovala minimální množství oprávnění k přístupu ke zdrojům zařízení a to pouze těch nezbytných k fungování aplikace.
Rozpočet předmětu plnění veřejné zakázky
Příloha č. 2 Smlouvy o dílo
Název aktivity | Jednotka | Počet poptávaných jednotek | DPH | Nabídková cena uchazeče za jednotku bez DPH (Kč) | Xxxxxxx nabídková cena uchazeče bez DPH (Kč) | Nabídková cena uchazeče za jednotku s DPH (Kč) | Xxxxxxx nabídková cena uchazeče včetně DPH (Kč) |
Provoz kontaktního centra Rodinných a Senior pasů pro Kraj Vysočina včetně veškerého plnění dle bodu A Předmětu plnění | ks | 1,00 | 21% | 504 000,00 Kč | 504 000,00 Kč | 609 840,00 Kč | 609 840,00 Kč |
Vydávání členských karet Rodinných pasů Kraje Vysočina nebo Senior pasů Kraje Vysočina dle bodu B Předmětu plnění | ks | 3 000,00 | 21% | 89,00 Kč | 267 000,00 Kč | 107,69 Kč | 323 070,00 Kč |
Rozšiřování databáze obchodníků a slevové kuponové akce dle bodu C | ks | 1,00 | 21% | 651 000,00 Kč | 651 000,00 Kč | 787 710,00 Kč | 787 710,00 Kč |
Aplikace dle bodu D Předmětu plnění | aplikace | 1,00 | 21% | 100 000,00 Kč | 100 000,00 Kč | 121 000,00 Kč | 121 000,00 Kč |
Aplikace dle bodu E Předmětu plnění | aplikace | 1,00 | 21% | 100 000,00 Kč | 100 000,00 Kč | 121 000,00 Kč | 121 000,00 Kč |
Celkem | 1 622 000,00 Kč | 1 962 620,00 Kč | |||||
Příloha č. 3 Požadavky a opatření pro zajištění bezpečnosti informací a informačních aktiv
Ustanovení této přílohy se týká informací a informačních aktiv (pokud je to v rámci smlouvy relevantní):
- Kraje Vysočina
- Zhotovitele, jejichž pomocí lze přistupovat k informačním aktivům Kraje Vysočina
- Zhotovitele, která jsou provozována v rámci plnění této smlouvy
• Bezpečnost přístupových oprávnění
o Zhotovitel je povinen chránit veškeré přístupové údaje k informačním ak informačním aktivům.
o Zhotovitel je povinen dodržovat tuto bezpečnostní politiku hesel pro výše uvedené přístupové údaje:
▪ min. délka hesla 17 znaků
▪ složitost hesla musí splňovat minimálně 3 ze 4 kategorií
− malá písmena
− velká písmena
− číslice
− speciální znaky
▪ hesla musí být uchovávána v tajnosti, nesmí být ukládána v nezašifrované podobě (dle bodu kryptografie)
▪ hesla nesmí obsahovat žádné informace z přihlašovacího jména (login)
▪ platnost hesla musí být maximálně 1 rok.
o Zhotovitel je povinen používat personifikované účty, které jsou nepřenosné na jiné osoby, než kterým byly údaje přiděleny.
o Přístupová oprávnění lze využívat pouze pro ten účel, pro který byla zřízena.
o Pokud by zhotovitel zřizoval přístupová oprávnění třetí straně, je zhotovitel povinen o této skutečnosti informovat Kraj Vysočina. Kraj Vysočina má v tomto případě právo zřízení přístupu zamítnout.
• Řízení kybernetických bezpečnostních incidentů:
o Zhotovitel je povinen na Kraj Vysočina hlásit veškeré kybernetické bezpečnostní incidenty, které se týkají informačních aktiv
o Zhotovitel je dále povinen poskytnout adekvátní součinnost při řešení kybernetických bezpečnostních incidentů a při forenzní analýze incidentů souvisejících s informačními aktivy.
• Kryptografie:
Obecně
Pro šifrování, elektronické podepisování a provádění otisků dat (hashování) nesmí být použity proprietární/uzavřené algoritmy, ale ty, které jsou považovány za standardy, jejich funkcionalita je všeobecně známá
Hashovací funkce
Ukládání otisků hesel
• pro ukládání hesel uživatelů mohou být použity pouze tyto tzv. pomalé hashovací funkce:
• Argon2 s parametry alespoň t=1, m=221, p=4 a funkcí Argon2id
• scrypt s parametry alespoň N=32768 (215), r=8, a p=1
• PBKDF2 s počtem iterací alespoň 100 000 a schválenou hašovací funkcí SHA-2 (viz níže)
• při hashování hesla musí být použit pseudonáhodně vygenerovaný kryptografický salt
• pro ukládání hesel nesmí být použity tzv. rychlé hashovací funkce typu MD-X, SHA- X, apod.
Elektronické podepisování e-mailů a dokumentů
• SHA-2 (SHA-256, SHA-384, SHA-512, SHA-512/256) a SHA-3 (SHA3-256, SHA3- 384, SHA3-512, SHAKE128, SHAKE256)
• délka otisku 384 bitů a vyšší
Ověřování integrity souborů
• SHA-2 (SHA-256, SHA-384, SHA-512, SHA-512/256) a SHA-3 (SHA3-256, SHA3- 384, SHA3-512, SHAKE128, SHAKE256)
• délka otisku 384 bitů a vyšší
Asymetrická kryptografie
SSL/TLS
- verze protokolu minimálně TLSv1.2 a vyšší
- konfigurace
• cipher suite musí být vybrána na základě serverem preferovaného pořadí
• vyšší priority musí mít cipher suites, které obsahují varianty asymetrických algoritmů s eliptickými křivkami, např.:
o ECDHE musí mít vyšší prioritu než DHE
o ECDSA musí mít vyšší prioritu než DSA
• všechny EXPORT cipher suites musí být zakázány
• algoritmy a funkce pro výměnu klíčů
o algoritmus pro výměnu klíčů musí podporovat Perfect forward secrecy
• tzn., že šifrovací klíč je vyměněn mezi klientem a serverem tak, aby jej nebylo možné získat se znalostí privátního klíče serveru, např. musí být použit Diffie-Hellman (DH nebo ECDH) algoritmus
• a navíc se musí jednat o tzv. ephemeral Diffie-Hellman (DHE, ECDHE), tzn. že pro každou session je generován nový set Diffie-Hellman klíčů
o délky klíčů:
• pro Diffie-Hellman (DH) - 3072 bitů
• pro Elliptic Curve Diffie-Hellman (ECDH) – 256 bitů a více
o nesmí být použita anonymní výměna klíčů
• algoritmy a funkce pro autentizaci
o minimální délky klíčů:
• RSA - 3072 bitů
• DSA – 3072 bitů
• ECDSA - 256 bitů
• algoritmy a funkce pro symetrické šifrování
o nesmí být použita hodnota NULL v cipher suites
o nesmí být použity tyto šifry:
• DES, 3DES, RC4
o minimální délka šifrovacího klíče - 128 bitů
o cipher suites s šiframi s větší délkou klíče musí mít větší prioritu v seznamu ciphersuites než s menší délkou klíče
• MAC (Message Authentication Code)
o použití SHA funkce s minimální délkou hashe 256 bitů
o vyšší délky otisků musí mít vyšší prioritu v cipher suites
- Certifikáty
• minimální délka privátního klíče
o RSA 3072 bitů
o DSA 3072 bitů
o ECDSA - 256 bitů
• hash funkce pro podpis
o SHA-2 s minimální délkou 256 bitů
TLS cipher suites
- Doporučené cipher suites (v doporučeném pořadí), které naplňují výše zmíněné požadavky
- TLS1.3: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 TLS_AES_128_CCM_SHA256
- TLS1.2: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256
Šifrování, podepisování a autentizace
• týká se různých technologií PKI, PGP, S/MIME, SSH, apod.
• minimální délka klíče
• algoritmus DSA –3072 bitů
• algoritmus RSA - 3072 bitů
• algoritmus ECDSA - 256 bitů
• Ověřování (např. SSH klíče)
• délka klíče minimálně 3072 bitů u RSA a DSA algoritmů
• délka klíče minimálně 256 bitů u algoritmů používajících eliptické křivky
Symetrická kryptografie
• nesmí být použity tyto šifry:
• DES, 3DES, RC4, Blowfish, Kasumi
• minimální délka šifrovacího klíče - 128 bitů
• pro šifru Chacha20 minimálně 256 bitů a se zatížením klíče menším než 256 GB
• nesmí být použity tyto módy pro ochranu integrity:
• HMAC-SHA1, CBC-MAC-X9.19