Příloha č. 1 Smlouvy – Technická specifikace předmětu plnění


Příloha č. 1 Smlouvy – Technická specifikace předmětu plnění



Objednatel ponechává na volbě Dodavatele, jakým způsobem zajistí předmět plnění, zda výlučně formou služby bez jakýchkoliv dodávek Objednateli (dále jen „Službové řešení“), či kombinací služeb a dodávek. Kombinací služeb a dodávek se rozumí řešení spočívající v kombinaci služeb s dodávkami HW, SW či jiných věcí (dále jen „zařízení“) do vlastnictví Objednatele (dále jen „Kombinované řešení“). V případě jakéhokoliv zvoleného řešení musí být všechny požadované platby zahrnuty do některé z položek kalkulace ceny dle přílohy č. 4 Smlouvy, není přípustná jakákoliv jiná úhrada nad rámec položek přílohy č. 4 Xxxxxxx.

Není-li uvedeno jinak, platí níže uvedené požadavky pro Kombinované řešení i Službové řešení. Je-li dále v této příloze požadována „dodávka“ určitého zařízení, přičemž Dodavatel zvolil realizaci předmětu plnění formou Službového řešení, pak takové zařízení není povinen Objednateli dodat do vlastnictví, ale zajistit jej na své straně při poskytování služeb.



  1. Technická specifikace

    1. Hardware Security module (HSM)

Objednatel požaduje dodávku 2 ks síťového HSM pro bezpečné generování a uchovávání kryptografických klíčů vyhovujících požadavkům pro vytváření kvalifikovaných elektronických pečetí a podpisů dle nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (dále jen „Nařízení elDAS“).



Certifikace HW

  • Zařízení pro správu a uložení klíčů musí být certifikováno dle standardu EN 419 221-5: eIDAS Protection Profile vydaného akreditovaným orgánem dle Nařízení eIDAS a dle FIPS 140-2 Level 3.



Podmínky provozu a garance

  • Kvalifikovaný prostředek pro vytváření podpisů a pečetí (QSignCD a QSealCD) musí být pod správou kvalifikovaného poskytovatele služeb vytvářejících důvěru ve smyslu Nařízení eIDAS.

  • Garance podpory poptávaných technologií na dobu minimálně 5 let od akceptace Vytvoření a nasazení řešení.



Požadavky na dodávku HSM

HSM musí splňovat následující technické požadavky:

  • Implementace kryptografických algoritmů RSA pro elektronický podpis s délkou klíčů 2048 a 4096 bitů.

  • Výkon podepisování s 2048 bit RSA klíčem na úrovni 3000 tps. Min 1500

  • Zajištění přístupu k HSM pro platformy MS Windows a Linux.

  • Zpřístupnění více různých klíčů nezávisle na sobě – možnost separace správy klíčů pro jednotlivé organizační celky nebo aplikace.

  • Podpora aktivace kryptografických klíčů v režimu „více očí“ (nutnost přítomnosti více než jednoho správce).

  • Podpora generování žádostí o kvalifikované certifikáty v režimu kvalifikovaného prostředku.

  • Nástroje pro zálohování a přenos konfigurace a klíčů na nové (např. náhradní) zařízení.

Pro Kombinované řešení musí dále platit následující tech. požadavky:

  • Podpora montáže zařízení do standardního rozvaděče o velikosti 19“.

  • Podpora zapojení do 2 nezávislých síťových segmentů.

  • Vyměnitelný duální zdroj napájení.

  • Podpora monitoringu pomocí SNMP.



Požadavky na integrační rozhraní HSM

Nabízené řešení musí poskytovat minimálně následující integrační rozhraní:

  • PKCS#11

  • Java (JCE)

  • Microsoft CAPI a CNG

Objednatel dále požaduje dodávku softwaru, který prostřednictvím rozhraní webových služeb zpřístupní službu vytváření kvalifikovaných elektronických pečetí okolním informačním systémům (především informačnímu systému spisové služby Objednatele). Tento software musí být schopen využívat kryptografické klíče uložené v HSM.



    1. Software pro vytváření kvalifikovaných pečetí

Certifikace SW

  • Nařízení eIDAS

  • Zákon č. 297/2016 Sb., Zákon o službách vytvářejících důvěru pro el. transakce

Certifikát/atest je vydaný osobou akreditovanou Českým institutem pro akreditaci, o. p. s.1



Xxxxxx s dalšími normami

  • ETSI EN 319 102 – Procedures for Creation and Validation of AdES Digital Signatures; Part 1: Creation and Validation

  • ETSI EN 319 122 – CAdES digital signatures

  • ETSI EN 319 132 – XAdES digital signatures

  • ETSI EN 319 142 – PAdES digital signatures

  • ETSI EN 319 172 – Signature Policies

  • ETSI EN 319 312 – Cryptographic Suites


Požadavky na integrační rozhraní

Forma rozhraní

  • Webové služby standardu OASIS DSS.

Operace rozhraní

  • Předání dokumentu k pečetění formou:

    • celého dokumentu k pečetění,

    • hashe dokumentu k pečetění.

  • Výběr kryptografického klíče, kterým se má pečetění provést.

Zabezpečení rozhraní

  • Rozhraní dostupné po šifrovaném protokolu HTTPS.

  • Autentizace volání webových služeb pomocí certifikátu na úrovni HTTP/BASIC.



Další požadované vlastnosti softwaru

  • Podpora vytváření pečetí ve formátech:

    • PAdES

      • podporované profily: -BES, -T,

      • podpora neviditelné i viditelné podoby pečeti,

      • viditelné pečeti musí být možné tvořit jak v podobě čistě textové, grafické, nebo jejich kombinací,

      • možnost specifikace pozice, kde má být grafická podoba pečeti v dokumentu umístěna,

      • podpora PDF / A,

    • XAdES

      • podporované profily: -BES, -T,

      • schémata podpisů: Enveloped, Enveloping, Detached.

    • CAdES

      • Podporované profily: -BES, -T,

    • S/MIME

  • Podpora vložení kvalifikovaného elektronického časového razítka od externích kvalifikovaných poskytovatelů služeb vytvářejících důvěru.

  • Kontrola platnosti certifikátů zaregistrovaných pro použití k vytváření elektronických pečetí.

  • Možnost využití několika různých klíčů / certifikátů pro pečetění.

  • Možnost auditu vykonávaných operací a změn konfigurace.

  • Integrace aplikací pomocí webových služeb dle standardu OASIS DSS.



    1. Software pro kvalifikované elektronické podepisování formou vzdáleného podpisu

Certifikace SW

Certifikace QSCD pro potřeby podepisování podle článku 30 nařízení eIDAS.2



Licence

Jsou poptávány SW licence pro implementaci řešení poskytujícího služby vzdáleného elektronického podpisu pro 500 osob.



Požadované funkce a vlastnosti řešení

Nabídnuté řešení musí splňovat následující vlastnosti:

  • Klíče uživatelů budou spravovány a zabezpečeny centrálně v rámci kvalifikovaných prostředků dodaných v rámci první fáze projektu.

  • Služby vzdáleného podpisu budou poskytovány na základě více faktorové autentizace uživatele v souladu s principem služby vzdáleného podepisování tak, jak ho definuje nařízení eIDAS.

  • Systém musí být schopen federovat a spolupracovat s různými zdroji identit, obecně prostřednictvím plug-inů a standardních protokolů.

  • Řešení musí umožňovat definování a správu více typů elektronických identit s přiřazenými autentizačními metodami, přinejmenším musí ve výchozím nastavení podporovat: uživatelské jméno a heslo, OTP e-mail, digitální certifikát a aplikaci principů dvou-faktorové autentizace.

  • Řešení musí nabízet všechny své služby prostřednictvím webového rozhraní.

  • Řešení musí nabízet podporu definování nezávislých privilegovaných rolí (separace práv) - minimálně v rozsahu bezpečnostní správce, technický správce a auditor.

  • Řešení musí podporovat správu z jednotné grafické konzole a musí podporovat využití certifikátů pro zajištění bezpečnosti vzdálené správy.

  • Řešení musí podporovat počáteční bezpečnostní inicializaci systému, která zaručí bezpečnost ukládaných informací a konfigurace systému.

  • Řešení musí zaznamenávat detailní audit vykonávaných činností a všech poskytovaných služeb.

  • Řešení musí umožňovat horizontální škálovatelnost a musí podporovat integraci s externími databázemi (audit).

  • Řešení musí umožnit uživatelům samostatnou správu jejich podpisových certifikátů.



    1. Software pro ověřování elektronických podpisů a pečetí

Certifikace SW

  • Nařízení eIDAS



Xxxxxx s dalšími normami

  • ETSI EN 319 102 - Procedures for Creation and Validation of AdES Digital Signatures; Part 1: Creation and Validation



Požadavky na integrační rozhraní

Forma rozhraní

  • Webové služby.

Operace rozhraní

  • Ověření elektronických podpisů, pečetí a časových razítek v elektronickém dokumentu.

Zabezpečení rozhraní

  • Rozhraní dostupné po šifrovaném protokolu HTTPS.

  • Autentizace volání webových služeb pomocí certifikátu.



Další požadované funkce a vlastnosti řešení

  • Validace elektronických podpisů, pečetí a časových razítek vytvořená na základě kvalifikovaných certifikátů, vydaných v kterékoli členské zemi EU, dle platných seznamů důvěryhodných služeb TSL.

  • Možnost přidat vlastní důvěryhodné certifikační autority mimo evropské seznamy TSL.

  • Ověřování platnosti elektronických podpisů, pečetí a časových razítek je prováděno dle principů stanovených v technické normě ETSI EN 319 102-1.

  • Ověřování platnosti musí být schopné rozlišit úroveň elektronického podpisu a elektronické pečetě dle ustanovení zákona č. 297/2016 Sb.

  • Výstupem validace je validační report v lidsky čitelné podobě (ve formátu PDF). Webová služba navíc vrací i strojově čitelné validační reporty ve formátu XML.

  • Součástí validačních reportů je minimálně:

    • informace o validitě jednotlivých elektronických podpisů, pečetí, časových razítek ve validovaném dokumentu, včetně dodatkových informací a doplňujících výsledky validace o případná varování,

    • informace o počtu zjištěných elektronických podpisů v dokumentu a v nich validních podpisů,

    • rozlišení úrovně jednotlivých elektronických podpisů, pečetí, časových razítek dle ustanovení zákona č. 297/2016 Sb.,

    • rozlišení technického formátu (včetně úrovně) elektronického podpisu, pečeti,

    • informace o autorovi elektronického podpisu, pečetě,

    • informace o přítomnosti časového razítka včetně informací o původu, platnosti a důvěryhodném čase obsaženém v časovém razítku,

    • informace o platnosti jednotlivých certifikátů,

    • soubory jednotlivých certifikátů, informacích o revokacích (v podobě CRL nebo OCSP odpovědí) a TSL logicky se vztahujících k ověřovanému podpisu, pečeti, časovému razítku,

    • další detailní informace o jednotlivých provedených validačních krocích dle ETSI EN 319 102-1.

  • Validační software musí být schopen provádět validace zpětně k důvěryhodnému času buď dle časového razítka, nebo specifikovaného v rámci validace.

  • Chování validačního softwaru lze konfigurovat a parametrizovat definicí validačních politik.



    1. Implementační služby (Vytvoření a nasazení řešení)

Dodavatel zajistí v rámci Vytvoření a nasazení řešení implementaci řešení do vlastní infrastruktury pro provoz

  • produkčního prostředí v režimu HA active/passive (v případě Kombinovaného řešení),

  • testovacího prostředí funkčně ekvivalentního s produkčním prostředím.

Objednatel požaduje dodávku a konfiguraci dodávaných HSM zařízení do HA režimu pro zajištění rozložení zátěže na obě zařízení a zajištění funkčnosti řešení pečetění i v případě výpadku/selhání jednoho HSM (v případě Kombinovaného řešení).

V rámci základní implementace HSM modulů a softwaru (Vytvoření a nasazení řešení) Objednatel požaduje poskytnutí následujících služeb:

  • vstupní analýza upřesňující nastavení cílového řešení a požadavky na infrastrukturu (analýza existujících typů dokumentů – podpis, pečeť, časové razítko; definice rozhraní na spisovou službu Objednatele, harmonogram implementace),

  • nasazení/instalace řešení do testovacího a produkčního prostředí,

  • ověření funkčnosti řešení,

  • školení administrátorů,

  • vytvoření a předání provozní dokumentace.



      1. Administrátorské školení

V rámci Vytvoření a nasazení řešení Dodavatel provede administrátorské školení pro zaměstnance Objednatele v minimálním rozsahu 4 hodin. Školení administrátorů bude provedeno před zahájením ostrého provozu Služeb řešení. Školení bude provedeno v prezenční formě v sídle Objednatele. Nebude-li prezenční školení možné nebo vhodné z důvodu hodných zvláštního opatření (např. opatření proti šíření pandemie), může Dodavatel se souhlasem Objednatele provést toto školení distančním způsobem, vždy však za přímé účasti školitele v reálném čase (není dostatečný např. e-learning či pouhé poskytnutí vzdělávacích materiálů).

      1. Provozní dokumentace

Dodavatel ve lhůtě pro Vytvoření a nasazení předá Objednateli provozní dokumentaci řešení minimálně v tomto rozsahu:

  • Provozně-technická dokumentace popisující rozsah implementace a základní administrátorské úkony vyžadované při správě nabízeného řešení,

  • Plán zálohování a obnovy včetně doporučení pravidel pro pravidelné ověřování jednotlivých postupů.



    1. Technická podpora

Dodavatel bude poskytovat technickou podporu, a to od okamžiku zahájení poskytování Služeb řešení po celou dobu účinnosti Smlouvy. Technická podpora zahrnuje

  1. produktovou podporu

  2. servisní podporu

  3. zajištění provozu kvalifikovaných prostředků v režimu QSCD.



    1. Produktová podpora

Požadovaný rozsah produktové podpory kvalifikovaných prostředků a softwaru

  • Telefonická a e-mailová podpora v pracovních dnech;

  • Nepřetržitý přístup k on-line kontaktnímu formuláři;

  • Garanci odpovědi e-mailové podpory do čtyř pracovních hodin;

  • Přístup k novým verzím software, firmware a k dokumentaci (v případě Kombinovaného řešení);

    1. Výměnu vadného hardware s garancí odeslání náhradního modulu za vadný modul v rámci jednoho pracovního dne od nahlášení poruchy (v případě Kombinovaného řešení).



    1. Servisní podpora

Požadovaná úroveň servisních služeb

Úroveň hlášení

Garantovaná reakční doba

Doba vyřešení požadavku od nahlášení

V – vysoká

„Kritická chyba“

1 hodina

NBD

S – střední

„Závažná chyba“

4 hodiny

NBD+1

N – nízká

„Chyba“

NBD

NBD+5



Klasifikace vad

Kritická chyba – vada, která znemožňuje práci v systému

Závažná chyba – systém je funkční, ale vada znesnadňuje jeho využití

Chyba – vada, která nemá zásadní vliv chod aplikace

Definice pojmů

BD (Business Day) – pracovní den dle českého kalendáře v čase mezi 9:00 až 17:00

NBD (Next Business Day) – následující pracovní den

NBD+x (Next Business Day + x BD) – x-tý pracovní den po NBD

Podmínky poskytování servisních služeb

  • Pracovní dobou se rozumí doba od 9:00 do 17:00 v pracovních dnech.

  • Lhůty běží jen v pracovní době.

  • Vyřešením požadavku se rozumí odstranění závady nebo stanovení způsobu náhradního řešení umožňujícího užívání aplikace bez významných omezení a současná dohoda o termínu finálního odstranění závady.



    1. Zajištění provozu kvalifikovaných prostředků v režimu QSCD

Dodavatel bude poskytovat Objednateli služby pro zajištění správy a provozu kvalifikovaných prostředků modulů v režimu kvalifikovaného prostředku pro vytváření elektronických pečetí a podpisů.

Požadovaný rozsah služeb podpory provozu pro Kombinované řešení

  • Registrace QSCD a administrativní zajištění správy zařízení;

  • Služby spojené se zajištěním správy HSM modulů jako QSCD;

  • Protokolární dokumentace provedených operací;

Požadovaný rozsah služeb podpory provozu pro obě možná řešení

  • Konzultační služby.





    1. Konzultační služby

Dodavatel bude Objednateli poskytovat po celou dobu účinnosti Smlouvy konzultační služby související se Službami řešení.



    1. Služby Rozvoje

Dodavatel bude Objednateli poskytovat po celou dobu účinnosti Smlouvy Služby rozvoje související se Službami řešení.



    1. Součinnost

Objednatel se zavazuje poskytnout Dodavateli součinnost minimálně v následujícím rozsahu:

  • napojení na dohledový systém Objednatele (pro sběr auditních logů – LOGMANAGER – např. prostřednictvím SYSLOG)

  • zajištění virtualizační platformy pro provoz software, případně virtualizovaného HW (v případě Kombinovaného řešení),

  • spolupráci při nasazení a konfiguraci řešení.



1 Není-li certifikát/atest pro tuto část plnění vydáván, lze jej nahradit souhlasem s poskytováním služby vytváření kvalifikovaných pečetí na dálku vydaným Ministerstvem vnitra v roli orgánu dohledu nad kvalifikovanými poskytovateli služeb vytvářejících důvěru.

2 Není-li certifikát pro tuto část plnění vydáván, lze jej nahradit souhlasem s poskytováním služby vytváření kvalifikovaných podpisů na dálku vydaným Ministerstvem vnitra v roli orgánu dohledu nad kvalifikovanými poskytovateli služeb vytvářejících důvěru.

9


Document Metadata

Filed: January 6th, 2021