SERVISNÍ SMLOUVA
Veřejná zakázka: „Nové webové stránky Kraje Vysočina“
Příloha č. 4 b - Výzvy k podání nabídek – Závazné obchodní a smluvní podmínky – servisní smlouva
uzavřená podle ustanovení § 1746 odst. 2 zákona č. 89/2012 Sb., občanského zákoníku (dále jen „občanský zákoník“) (dále též jen „smlouva“)
Kraj Vysočina,
se sídlem Žižkova 57, Jihlava, PSČ: 587 33,
IČO: 70890749,
DIČ: CZ70890749
jehož jménem jedná XXXx. Xxxx Xxxxxxxx, hejtman kraje
(dále jen „objednatel“)
a
[bude doplněno dle krycího listu],
se sídlem [bude doplněno dle krycího listu],
IČO: [bude doplněno dle krycího listu]
DIČ: [bude doplněno dle krycího listu]
zapsaná v obchodním rejstříku vedeném Krajským soudem v [bude doplněno dle OR], oddíl [bude doplněno dle OR], vložka [bude doplněno dle OR]
číslo účtu: [bude doplněno dle krycího listu]
(dále jen „poskytovatel“)
(objednatel a poskytovatel dále společně též jako „smluvní strany“ a každý z nich jednotlivě jako „smluvní strana“)
Vzhledem k tomu, že:
Smluvní strany uzavírají tuto smlouvu jako výsledek výběrového řízení veřejné zakázky „Nové webové stránky Kraje Vysočina“ (dále jen „zadávací řízení“), a to dle nabídky poskytovatele;
Mezi poskytovatelem a objednatelem byla dle výsledku zadávacího řízení rovněž uzavřena smlouva o dílo, na jejímž základě implementoval poskytovatel webové stránky (dále také „dílo“ nebo „IS“);
S ohledem na to, že dílo je implementováno jako součást ICT prostředí objednatele (Kraje Vysočina) v rámci „Technologického centra Kraje Vysočina“, uzavřely smluvní strany tuto smlouvu;
Poskytovatel prohlašuje, že je způsobilý k řádnému a včasnému poskytování servisních služeb dle této smlouvy, a že disponuje takovými kapacitami a odbornými znalostmi, které jsou třeba k řádnému a včasnému poskytování servisních služeb;
Smluvní strany mají zájem vzájemně spolupracovat za podmínek stanovených touto smlouvou;
bylo dohodnuto následující:
Předmět smlouvy
Poskytovatel bere na vědomí, že:
Objednatel je povinnou osobou dle zákona č. 181/2014 Sb., o kybernetické bezpečnosti,
Dílo je dle vyhlášky č. 317/2014 Sb., o o významných informačních systémech a jejich určujících kritériích kategorizováno jako významný informační sytém dle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a souvisejících právních předpisů, a že
Poskytovatel se stává významným dodavatelem objednatele.
Poskytovatel se zavazuje poskytovat na svůj náklad a nebezpečí řádně a včas dále specifikované servisní služby a Objednatel se zavazuje zaplatit za řádně a včasně poskytnuté servisní služby sjednanou cenu.
Poskytovatel se zavazuje za podmínek uvedených v této smlouvě poskytovat Objednateli servisní služby vztahující se k dílu provedenému dle smlouvy o dílo (dále také jako „IS“). Servisní služby jsou dále specifikovány v příloze č. 1 této smlouvy. Kategorizace a úroveň servisních služeb dle této servisní smlouvy ve vztahu k dílu je uvedena v příloze č. 1 této smlouvy. Veškeré servisní služby poskytované na základě této smlouvy jsou dále označovány také jen jako „servisní služby“.
Servisní služby budou prováděny v následujících kategoriích:
Maintenance;
Technická podpora;
Řešení incidentů.
Specifikace jednotlivých kategorií incidentů a na ně navázaný úroveň servisních služeb jsou uvedeny v příloze č. 1 této smlouvy.
Odstraňování záručních vad se také řídí kategoriemi incidentů a na ně vázanými úrovněmi servisních služeb dle přílohy č. 1 této smlouvy.
Poskytovatel je povinen poskytovat servisní služby dle této smlouvy tak, aby dostupnost díla dle smlouvy o dílo, byla alespoň 98% v každém kalendářním měsíci po celou dobu účinnosti této smlouvy. Výpočet skutečně dosažené dostupnosti se řídí metodikou uvedenou v příloze č. 1 této smlouvy.
Servisní služby mohou být prováděny vzdálenou správou nebo přímo příjezdem pracovníka poskytovatele na místo plnění. Servisní služby se vážou na ty části díla, které jsou specifikované v příloze č. 1 této smlouvy.
V rámci poskytování servisních služeb v kategorii řešení incidentů je poskytovatel povinen řešit incidenty týkající se díla (dále jen „incidenty“) a v kategorii technická podpora je poskytovatel povinen realizovat požadavky Objednatele týkající se díla (dále jen „požadavky“ nebo „REQ“) za podmínek sjednaných touto smlouvou a její přílohou č. 1.
Poskytovatel je povinen po celou dobu účinnosti této smlouvy v případě poruchy IS provádět obnovu provozu IS včetně načtení dat ze zálohy provedené objednatelem potřebných pro řádný chod IS.
Poskytovatel je povinen udržovat servisní pohotovost v režimu požadované úrovně servisních služeb tak, že poskytovatel bude disponovat potřebným množstvím pracovníků s odpovídající kvalifikací tak, aby byl schopný garantovat časové lhůty stanovené v příloze č. 1 této smlouvy.
Poskytovatel je povinen při poskytování servisních služeb dodržovat reakční dobu (dále jen „reakční doba“ nebo „reakce“) a dobu vyřešení incidentu nebo požadavku (dále jen „doba vyřešení“). Specifikace reakční doby a doby vyřešení je uvedena v příloze č. 1 této smlouvy.
Kategorizace incidentů, reakční doby na jednotlivé kategorie incidentů a doby vyřešení jednotlivých kategorií incidentů a reakční doby a doby vyřešení požadavků jsou uvedeny v příloze č. 1 této smlouvy a jsou pro poskytovatele závazné.
Objednatel nahlásí incident nebo požadavek poskytovateli prostřednictvím informačního systému poskytovatele, který je pro objednatele přístupný non-stop (dále jen „Service desk“). Service desk je dostupný na webových stránkách na adrese: [bude doplněno URL dle krycího listu]. Objednatel stanoví kategorii incidentu a úroveň požadovaných servisních služeb dle přílohy č. 1 této smlouvy. Ve výjimečných případech mohou být incidenty nahlašovány telefonicky (tzv. hotline - dostupnost dle požadované úrovně servisních služeb) na tel. čísle [bude doplněno dle krycího listu], musí však být dodatečně potvrzeny emailem na adresu [bude doplněno dle krycího listu]
Poskytovatel má právo si na základě nahlášení incidentu nebo požadavku vyžádat po objednateli bližší specifikaci incidentu nebo požadavku. Tato činnost je již považována za zahájení činnosti poskytovatele ve smyslu přílohy č. 1 této smlouvy.
Po ukončení činnosti na vyřešení incidentu nebo realizaci předmětného požadavku objednatele uvede poskytovatel stav předmětného incidentu nebo požadavku v Service desk do stavu „Vyřešeno“ (či do stavu obdobného významu) a uvědomí o tom e-mailem objednatele. Za vyřešení incidentu se považuje i jeho přeřazení do nižší kategorie dle přílohy č. 1 této smlouvy. Pokud se objednatel ve lhůtě 24hod od doručení emailu objednateli k předmětnému incidentu či požadavku nevyjádří nebo pokud v této lhůtě vyjádří e-mailem souhlas s vyřešením incidentu či požadavku, má se za to, že vyřešení incidentu nebo realizaci požadavku objednatel odsouhlasil a poskytovateli vzniká nárok na uvedení incidentu či požadavku v Service desk do stavu „Uzavřeno“ (či do stavu obdobného významu). V případě, že objednatel informuje e-mailem poskytovatele ve výše uvedené lhůtě 24hod, že s vyřešením incidentu nebo požadavku nesouhlasí, je poskytovatel povinen pokračovat v řešení požadavku nebo incidentu v jeho původní kategorii a je povinen dodržet dobu vyřešení dle přílohy č. 1 této smlouvy. Do doby vyřešení dle přílohy č. 1 této smlouvy není počítána doba od okamžiku doručení e-mailu objednateli o vyřešení incidentu či požadavku do okamžiku doručení e-mailu obsahujícího informaci o souhlasu či nesouhlasu objednatele s vyřešením incidentu nebo požadavku poskytovateli.
Spolupráce smluvních stran
Smluvní strany jsou si vědomy toho, že pouze jejich vzájemná spolupráce a řádné a úplné plnění jejich smluvních povinností umožní řádné a včasné poskytování služeb na základě této smlouvy.
Za účelem běžného kontaktu mezi smluvními stranami při poskytování služeb jmenovaly smluvní strany své kontaktní osoby.
Kontaktními osobami poskytovatele jsou:
[bude doplněno dle krycího listu]
Kontaktní osobou objednatele je:
Xxxxxxxxx Xxxxx, email: xxxxx.x@xx-xxxxxxxx.xx, tel.: 000 000 000
Smluvní strany se zavazují při vzájemné spolupráci na základě této smlouvy zejména komunikovat prostřednictvím svých kontaktních osob uvedených v odstavci 3.2 této smlouvy. Každá ze smluvních stran je povinna informovat písemně druhou smluvní stranu o změně kontaktní osoby na své straně písemným oznámením. Změna kontaktní osoby je účinná doručením písemného oznámení příslušné smluvní strany druhé smluvní straně.
V případě, že provedením dalších služeb na základě objednávky objednatele dojde ke změně předmětu licence, jak vyplývá ze smlouvy o dílo uzavřené mezi smluvními stranami je objednatel povinen uzavřít s poskytovatelem tomu odpovídající dodatek smlouvy o dílo nebo licenční smlouvu, a to nejpozději do čtrnácti (14) kalendářních dnů ode dne doručení výzvy poskytovatele.
Ostatní podmínky plnění předmětu smlouvy
Poskytovatel odpovídá za kvalitu, všeobecnou a odbornou správnost poskytovaných servisních služeb. Poskytovatel je povinen při poskytování servisních služeb dle této smlouvy postupovat s odbornou péčí podle svých nejlepších znalostí a schopností, přičemž při své činnosti je povinen chránit zájmy a dobré jméno objednatele.
Poskytovatel je povinen zajistit řádné a včasné poskytování servisních služeb podle této smlouvy tak, aby objednatel mohl řádným způsobem dílo užívat.
Poskytovatel je povinen při poskytování servisních služeb postupovat v souladu s platnými právními předpisy ČR a EU.
Poskytovatel je oprávněn zajistit provádění částí servisních služeb poddodavateli. Poskytovatel je povinen na žádost objednatele sdělit identifikační údaje poddodavatelů dle předchozí věty. Seznam poddodavatelů, kterými poskytovatel prokázal část kvalifikace v zadávacím řízení, tvoří přílohu této smlouvy a je možné je měnit pouze se souhlasem objednatele, přičemž poskytovatel je povinen před provedením změny takového poddodavatele prokázat splnění kvalifikačních předpokladů v odpovídajícím rozsahu rovněž u osoby nového poddodavatele.
Poskytovatel je povinen dodržovat platnou legislativu ČR i EU, která se týká bezpečnosti informací.
Poskytovatel se zavazuje dodržovat požadavky a opatření pro zajištění bezpečnosti informací a informačních aktiv Kraje Vysočina uvedené v příloze č. 3 této smlouvy.
Poskytovatel je povinen zajistit plnění bezpečnostních opatření a požadavků stanovených touto smlouvou ve stejné míře u všech případných poddodavatelů či jiných osob, které mají přístup k informačním aktivům Kraje Vysočina prostřednictvím poskytovatele.
Poskytovatel je povinen zachovávat mlčenlivost o všech skutečnostech a informacích, které mu byly v souvislosti s touto smlouvou nebo jejím plněním jakkoliv zpřístupněny, předány či sděleny, nebo o nichž se jakkoliv dozvěděl, vyjma těch, které jsou v okamžiku, kdy se s nimi poskytovatel seznámil, prokazatelně veřejně přístupné nebo těch, které se bez zavinění poskytovatele veřejně přístupnými stanou (dále jen „důvěrné informace“). Poskytovatel nesmí důvěrné informace použít v rozporu s jejich účelem, nesmí je použít ve prospěch svůj nebo třetích osob a nesmí je použít ani v neprospěch objednatele. Povinnosti dle tohoto odstavce je poskytovatel povinen zachovávat i po zániku této smlouvy, vyjma případů, kdy se důvěrné informace stanou prokazatelně veřejně přístupné bez zavinění poskytovatele. Povinnosti dle tohoto odstavce se nevztahují na případy, kdy je poskytovatel povinen zveřejnit důvěrnou informaci na základě povinnosti uložené poskytovateli právním předpisem nebo rozhodnutím orgánu veřejné moci.
Poskytovatel je povinen při poskytování servisních služeb respektovat a dodržovat pokyny objednatele. V případě nevhodných pokynů objednatele je Poskytovatel povinen na nevhodnost těchto pokynů objednatele písemně upozornit, v opačném případě nese poskytovatel zejména odpovědnost za škodu a nemajetkovou újmu, která v důsledku nevhodných pokynů objednateli nebo třetím osobám vznikla.
Objednatel je povinen spolupracovat s poskytovatelem a poskytovat mu veškerou nutnou součinnost potřebnou pro řádné poskytování servisních služeb podle této smlouvy. Objednatel je povinen informovat poskytovatele o veškerých skutečnostech, které jsou nebo mohou být důležité pro poskytování servisních služeb dle této smlouvy.
Pokud objednatel neposkytne součinnost dle tohoto článku, má poskytovatel právo požadovat od objednatele posunutí stanovených termínů o dobu, po kterou nemohl poskytovatel poskytovat servisní služby dle této smlouvy z důvodu neposkytnutí součinnosti. Objednatel je povinen takovému požadavku vyhovět.
Objednatel je povinen poskytnout poskytovateli součinnost k zajištění vzdáleného přístupu poskytovateli k serverům IS výhradně pro účely poskytování servisních služeb podle této smlouvy.
Písemné oznámení o změnách výše uvedených kontaktních údajů poskytovatele nebo webové adresy Service desk předá poskytovatel objednateli alespoň pět dní před očekávanou změnou.
Jedenkrát za 6 měsíců trvání této smlouvy objednatel vyvolá jednání objednatele a poskytovatele k poskytovanému plnění dle této smlouvy. Objednatel pozve poskytovatele na společné jednání alespoň 3 pracovní dny předem. Objednatel v pozvánce uvede zejména datum, místo, čas a program jednání. Za Poskytovatele jsou povinny se účastnit jednání osoby s příslušnou odborností ve vztahu k programu jednání. Pravidelným předmětem jednání bude zejména:
Přehled o aktuálním stavu provozu systémů
Přehled plnění úkolů, řešení incidentů a chyb
Pravidelné informování o vývojovém plánu SW (díla)
Projednání případných požadavků na změny IS a servisních služeb
Cena servisních služeb, fakturace a platební podmínky
Objednatel se zavazuje zaplatit poskytovateli za poskytování servisních služeb dle této smlouvy smluvní cenu dle čl. 5.4 smlouvy.
Cena servisních služeb zahrnuje veškeré náklady, jež mohou poskytovateli v souvislosti s poskytováním služeb vzniknout, zejm. cestovní výdaje a náklady na softwarové a hardwarové vybavení. Za poskytování služeb tak poskytovatel kromě shora uvedené ceny nemá nárok na žádné další finanční plnění.
K ceně plnění bude připočtena DPH v příslušné výši dle platných právních předpisů účinných v okamžiku poskytování servisních služeb.
Cenu za poskytování servisních služeb se objednatel zavazuje platit na základě faktur (dále jen „faktura“) vystavených poskytovatelem po uplynutí kalendářního čtvrtletí. Fakturou bude vyúčtována vždy následujícím způsobem:
cena servisních služeb v kategorii „technické podpory“ poskytnutých poskytovatelem, a to dle hodinové sazby servisu [bude doplněno Kč bez DPH dle položkového rozpočtu z nabídky] a času skutečně, prokazatelně a účelně stráveného poskytovatelem při poskytování těchto služeb v příslušném kalendářním čtvrtletí,
paušální čtvrtletní odměna (čtvrtletní paušál servisu) ve výši [bude doplněno Kč bez DPH dle položkového rozpočtu z nabídky] zahrnující:
servisní pohotovost dle čl. 2.4 této smlouvy,
servisní služby v kategorii „řešení incidentů“ poskytnuté poskytovatelem v příslušném čtvrtletí,
servisní služby v kategorii „maintenance“ poskytnuté poskytovatelem v příslušném čtvrtletí.
O poskytování servisních služeb v jednotlivých kalendářních měsících je poskytovatel povinen objednateli zasílat výkazy k potvrzení. Přílohou každé faktury musí být objednatelem odsouhlasené a potvrzené měsíční výkazy poskytnutých servisních služeb pokrývající účtované kalendářní čtvrtletí.
Cena za poskytování servisních služeb je splatná do 30 kalendářních dnů od doručení faktury objednateli.
Veškeré vystavené faktury musí splňovat náležitosti daňového dokladu dle § 29 zákona č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů (dále jen „zákon o DPH“), náležitosti stanovené § 435 občanského zákoníku a náležitosti stanovené touto smlouvou vč. dohodnutých příloh a nedílných součástí.
Nebude-li faktura obsahovat některou povinnou nebo dohodnutou náležitost vč. dohodnutých příloh nebo nedílných součástí, nebo bude-li chybně stanovena cena, DPH nebo jiná náležitost faktury, je objednatel oprávněn tuto fakturu vrátit poskytovateli k provedení opravy s vyznačením důvodu vrácení. Poskytovatel provede opravu vystavením nové faktury. Od doby odeslání vadné faktury zpět poskytovateli přestává běžet původní lhůta splatnosti. Celá nová lhůta splatnosti běží opět ode dne doručení nově vyhotovené faktury objednateli.
Daňový doklad (faktura) bude uhrazen mezibankovním převodem z účtu objednatele na účet zhotovitele, který je správcem daně (finančním úřadem) zveřejněn způsobem umožňujícím dálkový přístup ve smyslu ustanovení § 109 odst. 2 písm. c) zákona č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů
Pokud se po dobu účinnosti této smlouvy poskytovatel stane nespolehlivým plátcem ve smyslu ustanovení § 109 odst. 3 zákona o DPH, smluvní strany se dohodly, že objednatel uhradí DPH za zdanitelné plnění přímo příslušnému správci daně. Objednatelem takto provedená úhrada je považována za uhrazení příslušné části smluvní ceny rovnající se výši DPH fakturované poskytovatelem.
Účastníci sjednávají možnost jednostranného zvýšení ceny ze strany poskytovatele v průběhu poskytování služeb, a to v případě zvýšení zákonné sazby DPH. Navýšení sjednané ceny musí odpovídat zvýšení hodnoty DPH v závislosti na zvýšení zákonné sazby DPH. Účastníci sjednávají možnost jednostranného snížení ceny ze strany poskytovatele v průběhu poskytování služeb, a to v případě snížení zákonné sazby DPH. Snížení sjednané ceny musí odpovídat snížení hodnoty DPH v závislosti na snížení zákonné sazby DPH. Smluvní strany se dohodly, že v případě zákonné změny sazby DPH nebudou uzavírat dodatek k této smlouvě, ale bude fakturovaná cena včetně zákonné sazby DPH.
Bezpečnost informací
Poskytovatel je povinen dodržovat platnou legislativu ČR i EU, která se týká bezpečnosti informací.
Poskytovatel se zavazuje dodržovat požadavky a opatření pro zajištění bezpečnosti informací a informačních aktiv objednatele uvedené v příloze č. 2 této smlouvy.
Poskytovatel je povinen zajistit plnění bezpečnostních opatření a požadavků stanovených touto smlouvou ve stejné míře u všech případných poddodavatelů či jiných osob, které mají přístup k informačním aktivům objednatele prostřednictvím zhotovitele.
Poskytovatel je povinen zachovávat mlčenlivost o všech skutečnostech a informacích, které mu byly v souvislosti s touto smlouvou nebo jejím plněním jakkoliv zpřístupněny, předány či sděleny, nebo o nichž se jakkoliv dozvěděl, vyjma těch, které jsou v okamžiku, kdy se s nimi Poskytovatel seznámil, prokazatelně veřejně přístupné nebo těch, které se bez zavinění Poskytovatele veřejně přístupnými stanou (dále jen „důvěrné informace“). Poskytovatel nesmí důvěrné informace použít v rozporu s jejich účelem, nesmí je použít ve prospěch svůj nebo třetích osob a nesmí je použít ani v neprospěch objednatele. Povinnosti dle tohoto odstavce je Poskytovatel povinen zachovávat i po zániku této smlouvy, vyjma případů, kdy se důvěrné informace stanou prokazatelně veřejně přístupné bez zavinění Poskytovatele. Povinnosti dle tohoto odstavce se nevztahují na případy, kdy je Poskytovatel povinen zveřejnit důvěrnou informaci na základě povinnosti uložené zhotoviteli právním předpisem nebo rozhodnutím orgánu veřejné moci.
Za nesplnění kterékoliv povinnosti obsažené v tomto článku, je objednatel oprávněn účtovat Poskytovateli smluvní pokutu ve výši 50 000 Kč, a to za každé jednotlivé porušení povinností obsažených v tomto článku.
Poskytovateli na základě této smlouvy nevzniká žádné právo na užití dat zpracovávaných prostřednictvím díla.
Objednatel si vyhrazuje právo na provedení kontroly či auditu plnění vybraných požadavků/ustanovení u Poskytovatele. Za vybrané požadavky/ustanovení jsou považována tato:
Kontrola/audit plnění požadavků specifikovaných v příloze č. 2 - Požadavky a opatření pro zajištění bezpečnosti informací a informačních aktiv objednatele
Kontrola/audit plnění požadavků specifikovaných v příloze č. 2 smlouvy o dílo - Požadavky na bezpečnost webového portálu Kraje Vysočina v kapitole č. 5 Vývoj.
V rámci kontroly či auditu u Poskytovatele se zhotovitel zavazuje poskytnout důkaz o plnění objednatelem vybraného požadavku a to buď fyzicky přímo v provozovně Poskytovatele, nebo vzdáleně pomocí elektronických prostředků.
Objednatel si vyhrazuje právo na informace o:
významné změně ovládání Poskytovatele podle zákona o obchodních korporacích,
změně vlastnictví zásadních aktiv Poskytovatele, které souvisejí s plněním této smlouvy,
změně oprávnění nakládat s těmito aktivy.
Poskytovatel se zavazuje plnit úkony definované v sestaveném a odsouhlaseném disaster recovery plánu, který je součástí provozní dokumentace dodané v rámci díla.
Smluvní sankce
Poskytovatel odpovídá za veškeré škody a nemajetkové újmy, které vzniknou objednateli v důsledku porušení této smlouvy poskytovatelem. Poskytovatel je povinen nahradit takto vzniklou škodu a nemajetkovou újmu v plném rozsahu, včetně případných sankcí udělených objednateli orgány veřejné moci, jejichž příčinou bylo porušení povinností poskytovatele dle této smlouvy.
Dostane-li se objednatel do prodlení s placením úhrady za servisní služby poskytované dle této smlouvy, je povinen zaplatit poskytovateli úrok z prodlení ve výši 0,05 % z dlužné částky za každý den prodlení.
Jestliže dostupnost IS klesne pod hodnotu dle čl. 1.6 této smlouvy, je Poskytovatel povinen uhradit Objednateli smluvní pokutu ve výši:
2.000,- Kč za každý kalendářní měsíc, ve kterém dostupnost díla nedosáhne hodnoty dle čl. III odst. 5 této smlouvy, ale dosáhne hodnoty alespoň 96,5 %;
5.000,- Kč za každý kalendářní měsíc, ve kterém dostupnost díla nedosáhne hodnoty 96,5 %, ale dosáhne hodnoty alespoň 96,0 %;
10.000,- Kč za každý kalendářní měsíc, ve kterém dostupnost díla nedosáhne hodnoty 96,0 %, ale dosáhne hodnoty alespoň 95 %;
20.000,- Kč za každý kalendářní měsíc, ve kterém dostupnost díla nedosáhne hodnoty 95 %, ale dosáhne hodnoty alespoň 94 %;
30.000,- Kč za každý kalendářní měsíc, ve kterém dostupnost díla nedosáhne hodnoty 94 %.
Dostane-li se poskytovatel do prodlení s reakční dobou na incident kategorie A nebo B při poskytování servisních služeb kategorie řešení incidentů úrovně 2 nebo 3 dle přílohy č. 1 této smlouvy, je poskytovatel povinen uhradit objednateli smluvní pokutu ve výši 500 Kč za každou započatou hodinu prodlení.
Dostane-li se poskytovatel do prodlení s reakční dobou:
na incident kategorie A, B nebo C při poskytování servisních služeb kategorie řešení incidentů úrovně 1 nebo Záruka dle přílohy č. 1 této smlouvy, nebo
na incident kategorie C při poskytování servisních služeb kategorie řešení incidentů úrovně 2 nebo 3 dle přílohy č. 1 této smlouvy,
je poskytovatel povinen uhradit objednateli smluvní pokutu ve výši 500 Kč za každý započatý den prodlení.
Poruší-li poskytovatel povinnost v době vyřešení dle přílohy č. 1 této smlouvy vyřešit incident:
kategorie A, B nebo C při poskytování servisních služeb kategorie řešení incidentů úrovně 1 nebo Záruka dle přílohy č. 1 této smlouvy, nebo
kategorie B nebo C při poskytování servisních služeb kategorie řešení incidentů úrovně 2 dle přílohy č. 1 této smlouvy, nebo
kategorie C při poskytování servisních služeb úrovně 3 dle přílohy č. 1 této smlouvy,
je poskytovatel povinen uhradit objednateli smluvní pokutu ve výši 500 Kč za každý započatý den prodlení.
Poruší-li poskytovatel povinnost v době vyřešení dle přílohy č. 1 této smlouvy vyřešit incident:
kategorie A při poskytování servisních služeb kategorie řešení incidentů úrovně 2 dle přílohy č. 1 této smlouvy, nebo
kategorie A nebo B při poskytování servisních služeb kategorie řešení incidentů úrovně 3 dle přílohy č. 1 této smlouvy,
je poskytovatel povinen uhradit objednateli smluvní pokutu ve výši 500 Kč za každou započatou hodinu prodlení.
Dostane-li se poskytovatel do prodlení s reakční dobou na požadavek při poskytování servisních služeb kategorie technická podpora a vývoj dle přílohy č. 1 této smlouvy, je poskytovatel povinen uhradit objednateli smluvní pokutu ve výši 500 Kč za každou započatou hodinu prodlení.
Poruší-li poskytovatel povinnost v době vyřešení dle přílohy č. 1 této smlouvy vyřešit požadavek při poskytování servisních služeb kategorie technická podpora a vývoj dle přílohy č. 1 této smlouvy, je poskytovatel povinen uhradit objednateli smluvní pokutu ve výši 500 Kč za každý započatý den prodlení. Smluvní pokutu dle tohoto odstavce je Poskytovatel povinen platit pouze v případě, že byl požadavek objednatele technologicky proveditelný.
Ustanovením o smluvních pokutách není dotčeno právo objednatele na náhradu škody či nemajetkové újmy. Smluvní strany se výslovně dohodly, že objednatel je vedle smluvních pokut oprávněn požadovat po poskytovateli též v plném rozsahu náhradu škody a nemajetkové újmy způsobené porušením povinnosti, na kterou se vztahuje smluvní pokuta.
V případě, že objednateli vznikne nárok na smluvní pokutu dle této smlouvy vůči poskytovateli, je objednatel oprávněn započíst pohledávku z titulu smluvní pokuty oproti nároku poskytovatele na úhradu jím vystavené faktury. Součet všech uplatněných smluvních sankcí v daném měsíci nesmí přesáhnout měsíční cenu servisních služeb.
Smluvní pokuta bude poskytovatelem uhrazena do 30 dnů od prokazatelného doručení výzvy k úhradě smluvní pokuty ze strany objednatele.
Trvání a ukončení smlouvy
Tato smlouva je uzavřena na dobu od převzetí díla Krajem Vysočina (objednatelem) dle smlouvy o dílo na dobu neurčitou.
Objednatel je oprávněn (kromě případů uvedených v § 2001 NOZ) od této smlouvy písemně odstoupit:
byl-li pravomocně zjištěn úpadek Poskytovatele a rozhodnuto o způsobu řešení úpadku konkursem, nebo byl-li insolvenční návrh pravomocně zamítnut pro nedostatek majetku Poskytovatele;
jestliže Poskytovatel nevyřeší incident Objednatele, který brání Objednateli řádnému užívání díla, a to ani v Objednatelem dodatečně stanovené lhůtě poté, co na tento incident Poskytovatele nejméně dvakrát upozornil;
dojde k významné změně ovládání Poskytovatele podle zákona o obchodních korporacích;
dojde ke změně vlastnictví zásadních aktiv Poskytovatele, které souvisejí s plněním této smlouvy,
nebo dojde ke změně oprávnění Poskytovatele nakládat s těmito aktivy
Odstoupení od smlouvy se mimo jiné nedotýká ujednání o odpovědnosti poskytovatele a o sankcích, které zavazují smluvní strany i po odstoupení od této smlouvy.
Jestliže objednatel (Kraj Vysočina) nebo poskytovatel odstoupí od smlouvy o dílo nebo smlouva o dílo bude jinak ukončena, aniž by bylo provedeno dílo, tato servisní smlouva zaniká v den účinnosti odstoupení od smlouvy o dílo.
Ustanovení odst. 3 tohoto článku zavazuje smluvní strany dle jejich výslovné vůle i po odstoupení od této smlouvy.
Smlouvu lze vypovědět i bez udání důvodu. Výpovědní doba činí 6 kalendářních měsíců a začíná běžet prvním dnem kalendářního měsíce následujícího po měsíci, kdy byla výpověď doručena druhé smluvní straně.
Závěrečná ustanovení
Tato smlouva se řídí právním řádem České republiky, zejména příslušnými ustanoveními občanského zákoníku.
Tato smlouva představuje úplnou dohodu smluvních stran ohledně předmětu této smlouvy.
Tato smlouva může být měněna nebo doplňována pouze na základě písemných dodatků podepsaných oběma smluvními stranami.
Veškeré přílohy této smlouvy jsou její neoddělitelnou součástí.
V případě, že se kterékoli ustanovení této smlouvy stane neplatným, neúčinným, nebo nevynutitelným, zůstávají ostatní ustanovení této smlouvy platná, účinná, resp. vynutitelná, pokud z povahy této smlouvy nebo z jejího obsahu anebo z okolností, za nichž byla uzavřena, nevyplývá, že takové neplatné, neúčinné, resp. nevynutitelné ustanovení nelze oddělit od ostatního obsahu této smlouvy.
Smluvní strany se dohodly, že poskytovatel není oprávněn postoupit nebo zastavit pohledávku za objednatelem z této smlouvy bez předchozího písemného souhlasu objednatele. Poskytovatel není oprávněn svou pohledávku za objednatelem z této smlouvy nebo pohledávku na zaplacení smluvní pokuty vzniklé na základě této smlouvy použít k jednostrannému započtení na pohledávku objednatele za poskytovatelem.
Poskytovatel na sebe bere nebezpečí změny okolností ve smyslu § 1765 odst. 2 občanského zákoníku.
Poskytovatel prohlašuje, že se před uzavřením této smlouvy nedopustil v souvislosti se zadávacím řízením veřejné zakázky sám nebo prostřednictvím jiné osoby žádného jednání, jež by odporovalo zákonu nebo dobrým mravům nebo by zákon obcházelo, zejména že nenabízel žádné výhody osobám podílejícím se na zadání veřejné zakázky, a že se zejména ve vztahu k ostatním uchazečům nedopustil žádného jednání narušujícího hospodářskou soutěž.
Tato smlouva nabývá platnosti dnem jejího podpisu oběma smluvními stranami a účinnosti dnem zveřejnění této smlouvy v Registru smluv. Zveřejnění smlouvy v Registru smluv zajistí objednatel a informuje o tom poskytovatele. Poskytovatel souhlasí se zveřejněním celého textu této smlouvy včetně podpisů v Registru smluv. Současně bere poskytovatel na vědomí, že v případě nesplnění zákonné povinnosti je smlouva do tří měsíců od jejího podpisu bez dalšího zrušena od samého počátku.
Tato smlouva je vyhotovena ve dvou stejnopisech. Každá ze smluvních stran obdrží po jednom řádně podepsaném stejnopisu.
Nedílnou součástí této smlouvy je
příloha č. 1 – Specifikace poskytovaných služeb,
příloha č. 2– Požadavky a opatření pro zajištění bezpečnosti informací a informačních aktiv Kraje Vysočina,
V ……………….. dne …………….. V Jihlavě dne ……………..
Poskytovatel Objednatel
.........…........................... ………………………………….
[bude doplněno jméno a příjmení [bude doplněno jméno a příjmení
funkce oprávněné osoby/osob] funkce oprávněné osoby/osob]
Příloha č. 1
Specifikace servisních služeb
Seznam zkratek
Pro potřeby dalšího textu budou používány následující pojmy:
Pojem |
Význam |
Incident |
Indikovaný problém díla, případně části díla, který není v souladu s technickým stavem díla dle smlouvy o dílo. Kategorizace incidentů je uvedena dále v textu. |
Okamžik nahlášení |
Okamžik nahlášení incidentu nebo požadavku prostřednictvím Service desk |
Reakční doba (Reakce) |
Doba od Okamžiku nahlášení incidentu nebo požadavku prostřednictvím Service desk do okamžiku zahájení činnosti Poskytovatele na identifikaci a odstranění incidentu nebo zahájení realizace požadavku Objednatele |
Doba vyřešení (Vyřešení) |
Doba od Okamžiku nahlášení incidentu nebo požadavku do okamžiku odsouhlasení vyřešení incidentu nebo požadavku Objednatelem. |
SLA |
Konkrétní smluvní parametry pro poskytování služeb v daných úrovních servisních služeb. |
NBD |
Následující pracovní den od doby nahlášení incidentu nebo požadavku. |
HW |
Hardware |
IS |
Informační systém – dodávané a servisované dílo |
SW |
Software |
Tabulka 1: Seznam zkratek a pojmů
Maintenance (pravidelná údržba) dle této smlouvy je realizována Poskytovatelem v pravidelném intervalu 1 x čtvrtletně (dále jen „Maintenance“). Maintenance bude prováděna dle pokynu Objednatele pomocí vzdáleného přístupu a na pracovištích objednatele nebo na místě určeném Objednatelem.
Maintenance bude Poskytovatel provádět tak, aby co možná nejvíce zamezil vzniku jakýchkoli incidentů, které by znemožňovaly řádné užívání díla objednateli a aby byla splněna dostupnost díla dle čl. 1.6 této smlouvy po celou dobu účinnosti této smlouvy.
Přesný termín Maintenance bude Objednateli Poskytovatelem oznámen minimálně 3 dny před plánovanou návštěvou technika Poskytovatele a Objednatelem následně do 24 hodin potvrzen. Pokud nebude termín Objednatelem potvrzen, považuje se automaticky za schválený.
Služby poskytované v rámci Maintenance:
přístup k opravným balíčkům;
pravidelná profylaxe IS;
úprava IS dle legislativních změn;
kontrola funkcí díla;
aktualizace a upgrade SW;
optimalizace, identifikace výkonnostních problémů apod.;
další preventivní činnosti;
provoz hotline.
aktualizace dodané provozní dokumentace
V rámci servisních služeb kategorie Technická podpora dle této smlouvy jsou poskytovány následující služby:
realizace požadavků na novou funkcionalitu systému nad rámec poptávaného řešení (REQ).
školení nad rámec úvodního školení administrátorů
Kategorie incidentů:
Kategorie |
Popis |
A |
Situace, kdy dílo nebo část díla je zcela nefunkční, neumožňuje práci uživatelů s dílem nebo IS obsahuje bezpečnostní zranitelnost s kritickou mírou závažnosti nebo v případě aktivace disaster recovery plánu (úplný výpadek IS) |
B |
Situace, kdy dílo nebo část díla je částečně funkční, umožňuje částečné poskytování služeb, po přechodnou dobu se sníženým komfortem uživatelů, případně provizorním způsobem z důvodů na straně díla nebo jeho části, na niž je Poskytovatel povinen poskytovat servisní služby nebo IS obsahuje bezpečnostní zranitelnost se střední mírou závažnosti |
C |
Nedostatky a vady drobného rozsahu, které nebrání užívání díla nebo jeho části, nicméně nejsou v souladu s technickým stavem díla dle smlouvy o dílo nebo IS obsahuje bezpečnostní zranitelnost s nízkou mírou závažnosti |
Kategorie bezpečnostních zranitelností:
Kategorie |
Popis |
Kritická |
Zranitelnost dosáhne základního skóre 8.0 – 10.0 bodů dle obecného systému hodnocení zranitelností (otevřený standard CVSSv3 base score) |
Střední |
Zranitelnost dosáhne základního skóre 4.0-7.9 bodů dle obecného systému hodnocení zranitelností (CVSSv3 base score) |
Nízká |
Zranitelnost dosáhne základního skóre 0.0-3.9 bodů dle obecného systému hodnocení zranitelností (CVSSv3 base score) |
V následující tabulce jsou pak pro jednotlivé úrovně servisních služeb definovány reakční doba a doba vyřešení dle jednotlivých kategorií incidentů.
Úroveň servisních služeb:
Úroveň |
A |
B |
C |
|||
Reakce |
Vyřešení |
Reakce |
Vyřešení |
Reakce |
Vyřešení |
|
1 |
5 hod |
24 hod |
24 hodiny |
5 pracovní dny |
4 pracovní dny |
10 pracovních |
Požadovaná úroveň služeb pro dodávaný IS
Popis IS (část veřejné zakázky) |
Úroveň servisních služeb |
Webové stránky kraje |
1 |
Metodika výpočtu dostupnosti díla
Pro potřeby výpočtu dosažené dostupnosti díla (požadovaná úroveň SLA 97 %) bude využita měsíční suma výpadků díla v kategorii incidentu A na základě údajů monitoringu Objednatele.
Pro výpočet skutečně dosažené dostupnosti díla se pak použije následující vzorec:
(TS — TN)
dostupnost díla = —————— x 100 %
TS
TS značí celkový počet hodin, po které má být v daném kalendářním měsíci IS provozováno, s výjimkou doby oprávněného omezení provozu IS.
TN značí celkový počet hodin, po které bylo dílo nedostupné nebo neplnilo svoji funkci (viz. kategorie A incidentu) , s výjimkou doby oprávněného omezení provozu IS.
Do měsíční nedostupnosti IS nebudou započítány výpadky ani přerušení nebo vady IS vyplývající zejména z níže uvedených příčin:
Objednatel požaduje od Poskytovatele otestování funkcí IS, ačkoliv nebyla ohlášena ani detekována žádná porucha.
IS je změněn nebo upraven na pokyn Objednatele a s jeho vědomím takovým způsobem, že parametry definované dostupnosti nemohou být splněny.
V případě zásahu vyšší moci.
Jakékoliv přerušení přímo vyplývající z poruch nebo nedostatků díla nebo zařízení způsobených Objednatelem např. výpadek napájení.
Poruchy způsobené výpadky vybavení nebo systémů zajištěných Objednatelem nebo jakoukoliv třetí stranou, která není řízena nebo kontrolována Poskytovatelem.
Doba vzniklá čekáním na prověření funkčnosti díla Objednatelem delší než 30 minut.
Příloha č. 2 - Požadavky a opatření pro zajištění bezpečnosti informací a informačních aktiv objednatele
Bezpečnost přístupových oprávnění
Poskytovatel je povinen chránit veškeré přístupové údaje k informačním aktivům objednatele včetně přístupů k informačním aktivům poskytovatele, které umožňují přístup k informačním aktivům objednatele či umožnují jejich správu.
Poskytovatel je povinen dodržovat tuto bezpečnostní politiku hesel pro výše uvedené přístupové údaje:
min. délka hesla 17 znaků
složitost hesla musí splňovat minimálně 3 ze 4 kategorií
malá písmena
velká písmena
číslice
speciální znaky
hesla musí být uchovávána v tajnosti, nesmí být ukládána v nezašifrované podobě (dle bodu kryptografie)
hesla nesmí obsahovat žádné informace z přihlašovacího jména (login)
platnost hesla musí být maximálně 1,5 roku.
Poskytovatel je povinen používat personifikované účty, které jsou nepřenosné na jiné osoby, než kterým byly údaje přiděleny.
Přístupová oprávnění lze využívat pouze pro ten účel, pro který byla zřízena.
Pokud by Poskytovatel zřizoval přístupová oprávnění třetí straně, je Poskytovatel povinen o této skutečnosti informovat objednatele. Objednatel má v tomto případě právo zřízení přístupu zamítnout.
Řízení změn
Poskytovatel se zavazuje zaznamenávat všechny změny, které v informačním aktivu provedl.
Poskytovatel se zavazuje vynucovat zaznamenávání změn i u případných subposkytovatelů.
Záznam změny musí obsahovat minimálně tyto informace:
Datum a čas změny
Xxxxx osoby, která změnu provedla
Název, popis a účel změny
Objednatel si vyhrazuje právo na pravidelné informace o záznamech všech změn provedených dodavatelem i případnými subdodavateli/subposkytovateli.
Poskytovatel se zavazuje všechny změny jím provedené změny i změny případných subposkytovatelů poskytnou dodavateli formou provozního deníku vedeného v SW objednatele/pravidelného čtvrtletního reportu.
Řízení rizik
Objednatel si vyhrazuje právo na informace o tom, jakým způsobem dodavatel řídí rizika v souvislosti s plněním této smlouvy, tedy o tom, jakou metodiku pro řízení rizik používá, jakým způsobem jsou rizika hodnocena a klasifikována, jakým způsobem jsou rizika ošetřována a kdo je za řízení rizik za dodavatele zodpovědný.
Řízení kybernetických bezpečnostních incidentů:
Poskytovatel je povinen na KrÚ hlásit veškeré kybernetické bezpečnostní incidenty, které se týkají informačních aktiv objednatele nebo informačních aktiv poskytovatele, pokud se kybernetický bezpečnostní incident týká informací či informačních aktiv poskytovatele.
Dodavatel je dále povinen poskytnout adekvátní součinnost při řešení kybernetických bezpečnostních incidentů a při forenzní analýze incidentů souvisejících s informačními aktivy Kraje Vysočina.
Kryptografie:
Pro šifrování, elektronické podepisování a provádění otisků dat (hashování) nesmí být použity proprietární/uzavřené algoritmy, ale ty, které jsou považovány za standardy, jejich funkcionalita je všeobecně známá a popsaná.
pro ukládání hesel uživatelů mohou být použity pouze tyto tzv. pomalé hashovací funkce:
Argon2i
bcrypt
scrypt
PBKDF2
při hashování hesla musí být použit pseudonáhodně vygenerovaný kryptografický salt
pro ukládání hesel nesmí být použity tzv. rychlé hashovací funkce typu MD-X, SHA-X, apod.
Elektronické podepisování e-mailů a dokumentů
SHA-2 a vyšší
délka otisku 256 bitů a vyšší
SHA-2 a vyšší
délka otisku 224 bitů a vyšší
Asymetrická kryptografie
verze protokolu minimálně TLSv1.2 a vyšší
konfigurace
cipher suite musí být vybrána na základě serverem preferovaného pořadí
web server musí být nakonfigurován tak, aby s klienty komunikoval pomocí těchto ciphersuites (pořadí určuje prioritu):
TLS1.3:
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_CCM_SHA256
TLS1.2:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256Certifikáty dodá zadavatel
Šifrování, podepisování a autentizace
týká se různých technologií PKI, PGP, S/MIME, SSH, apod.
minimální délka klíče
algoritmus DSA – 2048 bitů (postupně přecházet na 3072 bitů, tam kde to bude možné)
algoritmus RSA - 2048 bitů (postupně přecházet na 3072 bitů, tam kde to bude možné)
algoritmus ECDSA - 256 bitů
Ověřování (např. SSH klíče)
délka klíče minimálně 2048 bitů u RSA a DSA algoritmů (postupně přecházet na 3072 bitů, tam kde to bude možné)
délka klíče minimálně 256 bitů u algoritmů používajících eliptické křivky
Symetrická kryptografie
nesmí být použity tyto šifry:
DES, 3DES, RC4, Blowfish, Kasumi
minimální délka šifrovacího klíče - 128 bitů
pro šifru Chacha20 minimálně 256 bitů a se zatížením klíče menším než 256 GB
nesmí být použity tyto módy pro ochranu integrity:
HMAC-SHA1, CBC-MAC-X9.19
Stránka 1 z 15