Příloha č. 1
Smlouva o zajištění podpory a rozvoje Personálního systému SZIF
Příloha č. 1
POPIS STÁVAJÍCÍHO STAVU
1 Úvod
Stávající Personální systém, založený na platformě OKbase společnosti OKsystem s.r.o., je součástí IS SZIF, který je definován jako významný ISVS dle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů, a vyhlášky č. 82/2018 Sb. o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), ve znění pozdějších předpisů.
Komplexní bezpečnostní politika je řešena dodavatelskou dokumentací „Bezpečnostní politika IS OKbase“, „Analýzou rizik v IS OKbase“ a v neposlední řadě „Bezpečnostní politikou SZIF“ (interní směrnice č. 1/ 2019).
Jelikož stávající „Personální systém“ zpracovává zvláštní osobní údaje dle GDPR, je toto aktivum ohodnoceno jako kritické z pohledu důvěrnosti, z hlediska integrity mají úroveň hodnocení vysoké a z hlediska dostupnosti má úroveň hodnocení střední.
2 Architektura Personálního systému Objednatele
Stávající řešení personální agendy SZIF je zajištěno prostřednictvím Personálního systému SZIF dodavatele OKsystem s.r.o. Současný systém má integrační vazby na interní rozhraní IS SAP, LDAP SZIF, externí rozhraní ISOSS a webové služby ČSSZ.
2.1 Aplikační architektura
Obr. č. 1 Model aplikační architektury – pohled komunikace aplikací
Je vyžadováno zachování stávajících integračních vazeb na IS SAP, LDAP SZIF, ČSSZ systémy a ISoSS s možností dalšího možného rozšíření nově na IDM SZIF (Identity Management), který je aktuálně implementován do prostředí Objednatele.
Stávající systém je implementován a provozován ve vícevrstvé architektuře, přičemž každá vrstva běží na samostatném HW.
- Databázový server – databáze pro informační systém, standardní SW, kde je instalována databáze pro Personální systém SZIF
- Aplikační server – web server, aplikace, zajišťuje spuštění klientů a zprostředkovává následně komunikaci
- Klient – prezentační vrstva informačního systému, kde na jedné straně komunikuje s uživatelem a na druhé straně posílá požadavky na aplikační server. Klienti jsou následující:
o Web klient – zobrazuje se ve standardním internetovém prohlížeči
o Bohatý klient – spouští se rovněž z internetového prohlížeče, ale v rámci spuštění se na klienta stáhnou potřebné soubory z aplikačního serveru a představují plnohodnotnou aplikaci
o Docházkové terminály – slouží pro snímání jednotlivých přerušení
pracovní doby zaměstnanců Objednatele
Komunikace mezi jednotlivými vrstvami architektury při provozu na samostatném HW jsou následující požadavky na komunikaci:
- Klient – Aplikační server Protokol TCP 80/443, kapacita linky 512kb/s
- Aplikační – Databázový server Protokol TCP 1433, kapacita linky 10MB/s
Současný Personální systém SZIF je provozován na serverech umístěných v serverovně SZIF, pracující v prostředí MS Windows Server 2016 a databázi MS SQL Server SE 2017, aplikační server používá Tomcat 9.0. Zálohování systému zajišťuje Objednatel. SW zajišťuje jak webové rozhraní, tak těžkého klienta, přičemž některé funkce (HR, mzdy, správa karet) jsou dostupné jen z Bohatého klienta.
Systém používá pro autentizaci uživatele LDAP účty.
SZIF provozuje 10 docházkových terminálů typu UTC-510 10.1 – 12V se čtečkou bezkontaktních čipových karet, sloužících pro snímání jednotlivých přerušení pracovní doby zaměstnanců Objednatele (příchod/ odchod/ lékař/ oběd/ služební cesta atd.) K identifikaci uživatele se využívají bezkontaktní čipové karty.
2.2 Technologické architektura
Obr. č. 2 Model technologické architektury – pohled struktury IT technologické architektury
Součástí poptávané služby není provoz a správa HW infrastruktury, kterou
zabezpečuje a spravuje Objednatel.
2.3 Rozhraní a výměna dat
Následně je uveden popis pro komunikaci se systémy třetích stran – rozhraní.
2.3.1 Personální systém SZIF - SAP (interní)
Primárním zdrojem osobních dat zaměstnanců Objednatele a jejich identit je Personální systém SZIF, který replikuje tato data včetně organizační struktury do IS SAP (modul SAP REP, PSRM) a rovněž do LDAP SZIF.
Interní rozhraní mezi Personálním systémem SZIF a IS SAP je v současné době realizováno formou webových služeb, kdy technologie SAP PI (XI) zaručuje synchronní přenos v průběhu aktualizace s uzamčením záznamů v jeho průběhu.
Uvedené rozhraní zajištuje přenosy dat zaměstnanců a pravidelnou aktualizaci
organizační struktury SZIF do dalších částí, subsystémů IS SZIF.
Pro přenos účasti na vzdělávání ze SAP do Personálního systému SZIF je na straně Personálního systému SZIF vytvořena webová služba. Autentizace k webové službě probíhá pomocí certifikátu v rámci vynucené autentizace při vytváření HTTPS spojení.
Přenos bankovních příkazů – soubor s bankovními příkazy (výplaty) je odesílán přímo webové službě SAP, na základě akce oprávněného uživatele. V souborovém systému je umístěn pouze certifikát používaný pro autentizaci k webové službě SAP.
Komunikace se spisovou službou je realizována klientem Personálního systému SZIF, který volá webovou službu SAP. Jsou zde uvedeny informace o adrese WS SAP a certifikátu, který je používán k autentizaci. Spisová služba je volána pouze pro přidělení čísla jednacího pro spis/ dokument, který se dále zpracovává pouze v „Personálním systému SZIF“.
Datová schránka je přístupná přes podatelnu IS SAP. Všechny služby jsou spouštěny na základě role a kompetence.
2.3.2 Personální systém SZIF - Docházkové terminály (interní)
Aplikace terminálu a její spuštění se provede prostřednictvím aplikace Java Web
Star.
2.3.3 Personální systém SZIF - ISoSS (externí)
Externí rozhraní ISOSS je řešeno samostatným WSDL souborem. V souboru je rovněž odkaz na certifikát používaný pro autentizaci k web službě ISOSS. Přesný popis je dán „Technickým manuálem“ MV ČR.
2.3.4 Personální systém SZIF - další externí rozhraní (ČSSZ, ZP, FÚ)
Další rozhraní (ČSSZ, ZP, FÚ) jsou přístupny přes webové portály prostřednictvím
VREP, které danou službu poskytují.
3 Licence a moduly
Objednatel disponuje následujícími licencemi pro počty zaměstnanců s přístupem do „Personálního systému SZIF“. Počet těchto licencí je možné rozšiřovat na základě samostatných objednávek u dodavatele licencí vždy o potřebný počet.
Do aktivních licencí jsou započteni i pracovníci na MD, kteří i v tomto období konzumují licenci. Z pohledu licencí vyžaduje „Personální systém SZIF“ Objednatele uživatelskou licenci pro každého zaměstnance – fyzickou osobu, přičemž nerozlišuje služební, pracovní poměr nebo dohodu o pracovní činnosti. Zaměstnanec i s více pracovními poměry vždy konzumuje pouze jednu licenci.
V současné době je celkový počet licencí následující (počet licencí se může
v průběhu plnění veřejné zakázky měnit):
3.1 Počty licencí
Licence | Počty |
Licence celkem | 1 550 |
Aktivně využívané licence | 1 471 |
3.2 Moduly OKbase
Jedná se o modulární personální informační systém, který obsahuje volitelné moduly. Všechny moduly pracují nad jednotnou databázovou základnou.
Verze programového vybavení Personálního systému SZIF je aktualizována dle českých legislativních změn a je vždy k dispozici Objednateli na uživatelských stránkách Dodavatele volně ke stažení po celou dobu trvání Smlouvy. Legislativní změny podle českých právních předpisů jsou vždy zohledněny neprodleně, nejpozději však tak, aby byl Objednatel schopen korektně zpracovat aktuální výplatní období.
V tabulce je uveden aktuální seznam modulů, které jsou implementovány u
Objednatele.
3.2.1 Seznam modulů
Název modulu/ submodulu | Popis modulu |
Mzdy a platy | Komplexní zpracování mzdové agendy v souladu s platnými právními předpisy – mzdové a platové složky, tvorba výplatních lístků, potvrzení při ukončení PPV, hromadné oznámení o změnách na zdravotní pojišťovny, evidenční důchodové listy. e-Podání (VREP) pro elektronické zasílání tiskopisů na ČSSZ umožňující elektronický přenos XML souborů s daty pro ČSSZ. |
Mzdové složky přes WEB | Slouží pro publikování výplatních lístků pro každého zaměstnance na WEB, s možností historického náhledu. |
Elektronické výplatní lístky | Modul umožňuje zaměstnancům bezpečně zobrazit a vytisknout elektronické výplatní lístky prostřednictvím webové samoobsluhy. Zobrazené výplatní lístky lze vytisknout nebo uložit do PDF souboru. Zaměstnanec má přístup ke všem historickým výplatním lístkům. |
Plánování mzdových nákladů | Odměňování prostřednictvím webové samoobsluhy, k navrhování konkrétní mzdové složky částkou, procentem, včetně odůvodnění. Plán může podléhat dalšímu schvalování. |
Docházka | Evidence pracovní doby, plánování a schvalování docházky včetně dovolených, včetně upozornění na porušení nastavených pravidel, uzavírání docházky. Pořízení docházkového záznamu zaměstnance, automatické vyhodnocování docházky, upozornění na případné chyby a jejich oprava, uzavření docházky nadřízeným, schválení uzavřené docházky a předání dat pro výpočet mzdy. |
Plánování | Schvalovací procesy pro jednotlivé schvalování plánu docházky a nepřítomnosti zaměstnance. |
Personalistika | Eviduje a spravuje personální údaje o zaměstnancích, pracovních pozicích a organizační struktuře. U zaměstnanců eviduje kvalifikační předpoklady, pracovní zařazení, zdravotní prohlídky, řídí hodnocení a vzdělávání zaměstnanců. |
Hodnocení a odměňování | Slouží k provádění hodnocení přímo ve webové samoobsluze, nastavují se jednotlivá hodnotící kritéria s možností nastavení váhy a pořadí kritérií, možnost definování periody opakování s přiřazením hodnotitele a schvalovacího procesu. |
Rejstřík státních zaměstnanců | Promítání změn reálného stavu do rejstříku ISOSS. |
Vzdělávání | Řeší evidenci požadavků na absolvování vzdělávání, definuje konkrétní plán vzdělávání na vybrané období, eviduje absolvované vzdělávání. |
Nábor | Slouží pro komplexní náborový proces od vypsání nové pracovní pozice až po uzavření pracovní smlouvy. |
Systemizace, OSYS | Umožňuje vytváření pracovních míst, jejich popis a šablon, přiřazení zaměstnance na pracovní místo, sledování obsazenosti pracovních míst, definice řízení, oprávnění a zastupování, s možností náhledu ve webové samoobsluze. |
Cestovní příkazy | Kompletní správa pracovních cest, schvalování návrhů, zpráv a vyúčtování. Náhrady jsou vždy generovány v souladu s platnou legislativou. |
Správa systému | Umožňuje konfiguraci administrací a auditu celého Personálního systému SZIF, správu společných číselníků, evidencí uživatelů, jejich rolí a přístupových oprávnění. Zahrnuje tvorbu a použití uživatelských tiskových sestav. |
Systém – uživatelské sestavy | Modul umožňující v prostředí bohatého klienta vytváření uživatelských sestav podle potřeb SZIF. Mimo tiskových výstupů může uživatel vytvořit sestavy ve formátu PDF, XLS a DOC. |
BI – manažerské informace | Slouží pro potřeby rychlého zpracování komplexnějších informací z Personálního systému SZIF. Obsahuje rovněž sadu základních grafických reportů. |
4 Seznam sestav a reportů (dokumentů)
Objednatel v rámci stávajícího „Personálního systému SZIF“ zpracovává následující sestavy a reporty, které v současné době tiskne, ukládá a dále archivuje po dobu 50 let.
Seznam sestav a reportů je uveden v tabulce, kdy se jedná o standardní sestavy Personálního systému SZIF tak rovněž uživatelsky definované sestavy.
Druh dokumentu – definované SZIF |
Adaptační program |
Dohoda o srážkách z platu (stravenky) |
Dohoda o srážkách z platu (Edenred) |
Dohoda o srážkách z platu (Multisport) |
Dohoda o provedení práce |
Dohoda o provedení pracovní činnosti |
Dohoda o výkonu služby z jiného místa |
Dohoda o výkonu služby z jiného místa – Dodatek |
Doklad o výši čtvrtletního příjmu |
Doklad o výši měsíčního příjmu |
Doklad o výši ročního příjmu |
Charakteristika služebních/pracovních míst |
Oznámení o platu |
Platový výměr |
Potvrzení o službě |
Potvrzení o vyplacení odstupného pro úřad práce |
Potvrzení o zaměstnání |
Potvrzení o zdanitelných příjmech a o dani srážkou |
Potvrzení o zdanitelných příjmech (MFin 5460) |
Potvrzení pro účely výplaty vyrovnávacího příspěvku |
Potvrzení pro uplatnění nároku na daňové zvýhodnění (MFin 5556) |
Potvrzení pro uplatnění nároku na daňové zvýhodnění (MFin 5558) |
Potvrzení pro Úřad práce |
Potvrzení pro úvěry a půjčky |
Potvrzení pro žádost o důchod |
Potvrzení zaměstnavatele o výdělku a příjmech pro soud |
Pracovní smlouva |
Pracovnělékařský posudek |
Prohlášení poplatníka daně z příjmu |
Příloha o výkazu péče o dítě z důvodu uzavření výchovného řízení |
Rozhodnutí o odměnách |
Rozhodnutí o zařazení na služební/ pracovní místo |
Rozhodnutí o změně trvání SP pro ÚZ |
Služební hodnocení |
Vyúčtování daně vybírané srážkou a příloha |
Vyúčtování daně z příjmů ze závislé činnosti a přílohy |
Záznam o složení služebního slibu |
Žádost o roční vyúčtování záloh (MFin 5457/B) |
Žádost o provedení pracovnělékařské prohlídky |
Žádost o souhlas s výkonem služby z jiného místa |
Druh dokumentu – standardní OKbase |
Přehled přiřazených identifikačních karet |
Přehled přiřazených bez identifikačních karet |
Přehled snímání docházky |
Přehled dovolených |
Přehled směn |
Přehled docházky – lékař |
Přehled docházky – pracovní cesty |
Přehled docházky – souhrn |
Přehled docházky – kumulativní data |
Přehled chyb docházky |
Přehled docházky |
Neuzavřená docházka |
Neschválená docházka |
Přehled docházky za vybrané období |
Přehled docházky pro export |
Přehled docházky pro export - vzor CSV |
Přehled docházky – nemocenské dávky |
Přehled přesčasů |
Přehled docházky – podklad pro stravenky |
Plán dovolené za vybrané období |
Neodpracovaná povinná pracovní doba |
Nárok na stravné |
Přehled směn denní |
Zaměstnanci přítomní na pracovišti |
Export docházky |
Přehled docházky – práce v pohotovosti |
Roční docházková karta – nepřítomnosti |
Přehled docházky – práce v časových pásmech |
Souhrnný přehled směn |
Nárok na stravné |
Docházkový list |
Potvrzení o úhrnu vyměřovacích základů na sociální pojištění |
Potvrzení o úhrnu vyměřovacích základů na zdravotní pojištění |
Potvrzení o sražených zálohách na pojistné na důchodové spoření |
Výplatní lístek |
Výplatní lístek (A4) |
Rekapitulace mezd |
Rekapitulace mezd – distribuce |
Zdravotní pojištění – organizace |
Zdravotní pojištění – zaměstnanci |
Zdravotní pojištění – přehled vym. základů a hrubých mezd |
Potvrzení o vyplacení odstupného pro úřad práce |
Výplatní listina s výčetkou platidel |
Sociální pojištění – organizace |
Sociální pojištění – zaměstnanci |
Sociální pojištění – přehled vym. základů a hrubých mezd |
Přehled srážek |
Příloha k žádosti o nemocenské, ošetřovné, peněžitou pomoc v mateřství |
Přehled srážek k příloze k žádosti o nemocenské, ošetřovné a PPM |
Příloha k žádosti o peněžitou pomoc v mateřství a vyrovnávací příspěvek |
Kontrolní seznam plateb k úhradě |
Hromadný příkaz k úhradě |
Přehled náhrad za dobu DPN |
Mzdový list |
Potvrzení o zdanitelných příjmech DPP (MFin 5460/A) |
Doklad o výši čtvrtletního příjmu |
Doklad o výši ročního příjmu |
Doklad o výši měsíčních příjmů |
Potvrzení pro úvěry a půjčky |
Souhrnný přehled mzdových složek |
Potvrzení zaměstnavatele o výdělku a příjmech pro soud |
Náklady dle zdrojů financování |
Náklady dle zdrojů financování – náhrady za pracovní neschopnost |
Náklady dle zdrojů financování – složky |
Náklady dle zdrojů financování – evidenční stavy |
Náklady dle zdrojů financování – střediska |
Výpočet daně a daňového zvýhodnění |
Oznámení o plnění povinného podílu OZP |
Vyúčtování daně vybírané srážkou a příloha |
Vyúčtování daně z příjmů ze závislé činnosti a přílohy |
Hlášení k záloze na pojistné na důchodové spoření |
Vyúčtování pojistného na důchodové spoření |
Přehled zůstatků dovolené |
Rezerva na nevyčerpanou dovolenou |
Potvrzení pro účely výplaty vyrovnávacího příspěvku |
Potvrzení pro uplatnění nároku na daňové zvýhodnění |
Přehled čerpání a zůstatků dovolené |
Oznámení o nástupu do zaměstnání |
Potvrzení pro úřad práce |
Potvrzení o zaměstnání |
Roční přehled čerpání dovolené |
Hlášení plátce daně o dani vybírané srážkou (MFin 5478) |
Seznam nástupů |
Platnost lékařských prohlídek |
Přehled znalostí zaměstnanců |
Zaměstnanci bez lékařské prohlídky |
Zaměstnanci bez evidovaných znalostí |
Seznam výstupů |
Dosažená vzdělání |
Nesplněné požadavky na lékařské prohlídky |
Nesplněné požadavky na vzdělávání |
Pracovněprávní vztahy |
Evidenční stavy |
Seznam narozenin |
Organizační schéma |
Prezenční listina vzdělávací akce |
Seznam zaměstnanců |
List zaměstnance |
Průkazy |
Požadavky na znalosti zaměstnanců |
Požadavky na lékařské prohlídky |
Požadavky na vzdělávání |
Přehled pracovních pomůcek |
Nároky na pracovní pomůcky |
Požadavky na hodnocení |
Odchod do starobního důchodu |
Pracovní jubilea |
Účast na vzdělávání |
Přehled vzdělávacích akcí |
Rozpočet vzdělávání |
Plány vzdělávání |
Evidence pracovních míst |
List pracovního místa |
Zápočet praxe |
Přehled platových postupů |
Popis pracovního místa |
Náplň práce |
Přehled čerpání a zůstatků dovolené |
Přehled organizačních jednotek |
Porovnání systemizace a skutečného stavu zaměstnanců |
Požadavky na znalosti pracovních míst |
Typové pozice |
Vedoucí zaměstnanci |
Volná pracovní místa |
Oznámení o nástupu do zaměstnání |
Potvrzení pro úřad práce |
Potvrzení o zaměstnání |
Evidenční údaje zaměstnanců |
Cestovní příkaz |
Cestovní příkaz – zahraniční pracovní cesta |
Popis typové pozice |
5 Provoz Personálního systému Objednatele
5.1 Lokalita
Datové centrum (Serverovna) je umístěna v sídle Objednatele.
5.2 Prostředí a SLA
Prostředí
1 x Aplikační server OKbase Produkční (PROD) 1 x Aplikační server OKbase Testovací (TEST) 1 x SQL HA Group, SQL server
Garantovaná provozní doba 5x10 pro všechna provozní prostředí.
5.3 Provoz aplikace
Provoz a správu „Personálního systému SZIF“ zajišťují zaměstnanci Objednatele.
Administrátorská oprávnění, provozní dokumentace, návody a pracovní postupy má Objednatel plně k dispozici.
6 Seznam rolí
Různé pracovní funkce mají přiřazenou podmnožinu práv. Role jsou uspořádány do hierarchické vazby nadřízených a podřízených rolí a vytvářejí tak komplexní a strukturované množiny práv.
Jsou definovány standardní role uživatelů „Personálního systému SZIF“ s vazbou
na funkční místo a s tím související standardní přístupová práva.
Název role | Popis role |
Zaměstnanec | Role vykonávající činnosti, které vykonávají všichni zaměstnanci SZIF (např. záznam a plánování docházky, žádosti o dovolenou či studijní volno) |
Vedoucí | Vedoucí organizační jednotky, vykonává řídící a schvalovací funkce (např. schvalování žádostí, docházky, uzávěrka docházky, hodnocení podřízených apod.) |
Sekretářka | Podporuje vedoucího a ten na ní může delegovat některé úkony, které má v pravomoci |
Mzdová účetní | Vykonává mzdovou agendu |
Personalista – správce systematizace | Spravuje pracovní náplně, spravuje změny v systematizaci, předává data do ISoSS, OSYS |
Personalista – XXX | Xxxxxxxxx personální agendu (zadávání nástupů, výstupů, změn PPV, osobních údajů atd.) |
Personalista náborář | Zajišťuje nábor zaměstnanců |
Personalista vzdělávání | Plánování a evidence vzdělávání |
Personalista – správce Personálního systému SZIF | Spravuje oprávnění uživatelů, číselníky, nastavení systému |
Pracovník IT | Spravuje přístupové karty, docházkové terminály |
Pracovník ICT | Zajišťuje provoz a správu Personálního systému SZIF s rolí administrátora aplikace/ DB |
7 Bezpečnostní požadavky
Komplexní bezpečnostní politika je řešena dodavatelskou dokumentací
„Bezpečnostní politika IS OKbase“, „Analýzou rizik v IS OKbase“ a v neposlední
řadě „Bezpečnostní politikou SZIF“ (interní směrnice č. 1/ 2019).
Jelikož stávající „Personální systém SZIF“ zpracovává zvláštní osobní údaje dle GDPR, je toto aktivum ohodnoceno jako kritické z pohledu důvěrnosti, z hlediska integrity má úroveň hodnocení vysoké a z hlediska dostupnosti má úroveň hodnocení střední.
Bezpečnostní prvek | Riziko | Zmírnění rizika | |||
OKbase | Riziko chyby v OKbase | Smluvně parametry služby | nastaveny Dodavatelské | ||
OKbase | Narušení dostupnosti | Smluvně parametry služby | nastaveny Dodavatelské | ||
Data | Narušení databáze | Dodržování zásad politiky bezpečnosti dle ISO 27 000 | |||
Data | Neoprávněný přístup | Autentizace uživatele certifikátem, jménem a heslem, šifrovaná komunikace s webovým klientem – HTTPS | |||
Docházkový terminál | Zničení, porucha | zcizení | nebo | Zajištěna fyzická bezpečnost, smluvně zajištěna oprava/ výměna | |
8 Standardní dokumentace k Personálnímu systému SZIF
• Release notes k jednotlivým verzím
• Postup povýšení verzí
• Podmínky, instalace a správa OKbase
• OKbase Správa systému