Smlouva č. 1800724/4100053405 o dodání IPS zařízení uzavřená dle ustanovení § 1746 odst. 2 a § 2358 a násl. zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů, a v souladu se zákonem č. 121/2000 Sb., o právu autorském, o právech...
Smlouva č. 1800724/4100053405 o dodání IPS zařízení
uzavřená dle ustanovení § 1746 odst. 2 a § 2358 a násl. zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů, a v souladu se zákonem č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů
ID VZ: 1800724
(dále jen „Smlouva“)
Smluvní strany:
Všeobecná zdravotní pojišťovna České republiky
se sídlem: Xxxxxxx 0000/0, 000 00 Xxxxx 0
kterou zastupuje: Ing. Xxxxxx Xxxxxxx, ředitel VZP ČR
IČO: 411 97 518
DIČ: CZ41197518
Bankovní spojení: xxxxxx
Číslo účtu: xxxxxx
Zřízena zákonem č. 551/1991 Sb., o Všeobecné zdravotní pojišťovně České republiky, ve znění pozdějších předpisů
(dále jen „Objednatel“ nebo též „VZP ČR“)
a
ALEF NULA, a.s.
se sídlem: Xxxxxxxxx 000/00, Xxxxxx, 000 00 Xxxxx 0
kterou zastupuje/jí: Ing. Xxxxx Xxxxx, předseda představenstva
IČO: 61858579
DIČ: CZ61858579
Bankovní spojení: xxxxxx
Číslo účtu: xxxxxx
Zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B vložka 2727
(dále jen „Dodavatel“)
(společně též „Smluvní strany“ nebo jednotlivě „Smluvní strana“)
Preambule
Tato Smlouva upravuje vztah mezi Objednatelem a Dodavatelem, který vzešel z výsledku otevřeného řízení na nadlimitní veřejnou zakázku s názvem „Výměna IPS“ (Intrusion Prevention systém – dále jen „IPS“), evidovanou VZP ČR pod ID VZ: 1800724, která byla zahájena odesláním „Oznámení o zahájení zadávacího řízení“ do Věstníku veřejných zakázek a Úředního věstníku Evropské unie dne (doplní VZP ČR), (dále jen „veřejná zakázka“), přičemž nabídka Dodavatele byla VZP ČR vyhodnocena, v souladu s § 122 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů (dále jen „ZZVZ“), jako ekonomicky nejvýhodnější.
Tato Smlouva stanovuje základní obsah právního vztahu na dodání požadovaného předmětu plnění mezi Smluvními stranami. Ustanovení této Smlouvy je třeba vykládat v souladu se zadávacími podmínkami výše uvedené veřejné zakázky a účelem této Smlouvy.
Dodavatel tímto prohlašuje, že se náležitě seznámil se všemi podklady, které byly součástí zadávací dokumentace veřejné zakázky, že jsou mu známy veškeré technické, kvalitativní a jiné, zejména právní podmínky plnění, a že disponuje takovými kapacitami a odbornými znalostmi, které jsou nezbytné pro poskytnutí plnění za ceny uvedené v této Smlouvě, a že je způsobilý a oprávněný ke splnění všech svých závazků podle této Smlouvy.
Účel a předmět Xxxxxxx
Tato Smlouva je uzavírána za účelem komplexního zajištění vysokého stupně zabezpečení sítí v rámci informačního systému VZP ČR (dále též jen „IS VZP ČR“) a zefektivnění plnění bezpečnostní politiky VZP ČR.
Předmětem této Smlouvy je zajištění dodávky a následné podpory zařízení systému preventivní ochrany s jednotnou správou, tj. IPS sond a systému pro vyhodnocování zpráv z IPS sond jako náhrada stávající morálně i fyzicky zastaralé technologie pořízené v roce 2009.
Předmětem této Smlouvy je na straně jedné závazek Dodavatele poskytovat Objednateli plnění specifikované v této Smlouvě zejm. v čl. III. této Smlouvy a v Příloze č. 1 Smlouvy „Technická specifikace“ (dále též jen „Příloha č. 1“), a to za podmínek dále v této Smlouvě uvedených.
Předmětem této Smlouvy je na straně druhé závazek Objednatele řádně poskytnutá plnění Dodavatele dle této Smlouvy přijmout a zaplatit za ně cenu ve výši a za podmínek stanovených touto Smlouvou.
Článek III.
Předmět plnění
Dodavatel se zavazuje:
dodat Objednateli 4 kusy IPS zařízení za účelem ochrany LAN sítí datových center včetně příslušného softwarového vybavení, převést na Objednatele vlastnické právo k dodaným zařízením a poskytnout/zajistit Objednateli časově neomezenou, nepřevoditelnou a nevýhradní licenci k dodanému softwarovému vybavení (dále též jen „SW“) na dobu trvání majetkových autorských práv;
dodat Objednateli příslušný hardware a software k rozšíření 2 kusů firewallů ASA 5525-X a 4 kusů firewallů ASA 5545-X Objednatele o funkcionalitu IPS za účelem ochrany perimetru, převést na Objednatele vlastnické právo k dodanému hardware (dále též jen „HW“) a poskytnout/zajistit Objednateli časově neomezenou, nepřevoditelnou a nevýhradní licenci k dodanému softwarovému vybavení (dále též jen „SW“) na dobu trvání majetkových autorských práv;
dodat Objednateli 2 kusy Centralizovaného management systému pro správu celého řešení včetně příslušného softwarového vybavení, převést na Objednatele vlastnické právo k dodaným zařízením a poskytnout/zajistit Objednateli časově neomezenou, nepřevoditelnou a nevýhradní licenci k příslušnému SW na dobu trvání majetkových autorských práv;
poskytovat Objednateli k dodaným zařízením záruční podporu ve zvýšených parametrech v délce trvání 60 měsíců od podpisu předávacího protokolu oběma Smluvními stranami (dále též jen „Záruční podpora ve zvýšených parametrech“ nebo „Záruční podpora“).
Dodavatel se zavazuje uskutečnit výrobcem certifikované školení k administraci a konfiguraci dodaného IPS, a to v minimálním rozsahu (trvání) pěti (5) dnů k seznámení třech (3) pracovníků Objednatele s novou technologií, a to včetně poskytnutí základní školící dokumentace v ceně školení.
Dodavatel je povinen zajistit a odpovídá za to, že dodaná zařízení mají zejména následující vlastnosti:
splňují všechny požadavky uvedené v této Smlouvě a v Příloze č. 1;
jsou nová, nepoužitá, nerepasovaná a vhodná pro evropský trh, což Dodavatel potvrdil předložením potvrzení výrobce o určení dodávaného HW pro evropský trh v rámci své nabídky;
jsou určena VZP ČR jak koncovému zákazníkovi, VZP ČR musí být vedena v databázi výrobce jako první uživatel zařízení;
odpovídají závazným technickým normám;
jsou bez materiálových, konstrukčních, výrobních a vzhledových vad;
jsou bez právních vad;
jsou způsobilá pro použití k určenému účelu;
všechna dodaná zařízení umožňují co nejjednodušší a nejefektivnější správu s automatizovanými prvky v nejvyšší možné míře;
zařízení umožňují vzdálenou správu s kompletní funkcionalitou a plnou podporou prostřednictvím jednotného managementu SW;
provedení je montovatelné do standardního sálového racku.
Dodavatel prohlašuje, že je výlučným vlastníkem všech dodávaných zařízení (dále též jen „Zařízení“ nebo jednotlivě „dodaná zařízení“) a není v nakládání s tímto Zařízením právně omezen. Pro účely této Smlouvy se Zařízením rozumí veškerá dle této Smlouvy dodávaná zařízení uvedená v odst. 1. tohoto článku, a to včetně jejich softwarového vybavení. Dodavatel se zavazuje dodat Objednateli Zařízení řádně a včas bez faktických a právních vad, a to do určeného místa plnění na své náklady a nebezpečí. Dodavatel nese odpovědnost za to, že Zařízení je ke dni dodání plně funkční, splňuje minimální požadavky uvedené v této Smlouvě a v Příloze č. 1, jakož i veškeré další požadavky stanovené Objednatelem v zadávacích podmínkách pro tuto veřejnou zakázku.
Dodavatel prohlašuje, že je oprávněn veškeré ve Smlouvě sjednané plnění Objednateli poskytovat, zejména že je oprávněn umožnit Objednateli nabýt vlastnické právo k dodanému Zařízení a že plnění, které je předmětem jakéhokoliv práva duševního vlastnictví, je oprávněn distribuovat a poskytovat Objednateli a není v nakládání s tímto plněním právně omezen.
Dodavatel se zavazuje dodat Objednateli nejpozději současně se Zařízením, tj. před podpisem Předávacího protokolu, veškeré doklady nutné k převzetí, jakož i k provozování a užívání Zařízení, tj. zejména příslušné dodací listy a záruční listy, návody k použití a veškeré další doklady, nezbytné k řádnému užívání Zařízení a oficiální prohlášení výrobce Zařízení (tj. všech jednotlivých dodaných zařízení) nebo jeho obchodního zastoupení v České republice, že Zařízení je určeno koncovému zákazníkovi VZP ČR, a to na úrovni sériových čísel a licenčních klíčů (to vše dále též jen „Doklady k Zařízení“). Veškeré Doklady k Zařízení musí být v českém nebo slovenském nebo anglickém jazyce. Technická dokumentace výrobce může být dodána též jen v českém nebo slovenském případně anglickém jazyce, a to i formou odkazu na příslušné webové stránky, kde je dokument k dispozici. Objednatel si však vyhrazuje právo požádat, zejm. v případě nejasností, o překlad této dokumentace do českého jazyka. Dodavatel se zavazuje doručit takový překlad Objednateli do deseti (10) pracovních dnů od obdržení výzvy Objednatele.
Řádné dodání Zařízení (za cenu zahrnutou v ceně Zařízení) též zahrnuje:
zabalení Zařízení, jeho přepravu do místa plnění a předání Zařízení Objednateli,
poskytování souvisejících služeb a součinnosti nezbytné k řádnému dodání Zařízení a jeho předání Objednateli.
Součástí dodávky nejsou práce spojené s implementací a konfigurací Zařízení.
Podrobná specifikace předmětu plnění je uvedena v Příloze č. 1. Dodavatel se zavazuje poskytovat Objednateli plnění plně v souladu s ustanoveními Smlouvy a její Přílohy č. 1 a v souladu se všemi požadavky Objednatele uvedenými v Příloze č. 1.
Článek IV.
Doba, místo a podmínky plnění
Dodavatel se zavazuje realizovat předmět plnění řádně a včas, a to v následujících termínech:
plnění uvedené v čl. III. odst. 1. písm. a) až c) bude realizováno nejpozději do 30 kalendářních dnů ode dne účinnosti této Smlouvy. O řádně poskytnutém plnění bude vyhotoven předávací protokol, podepsaný pověřenými zástupci obou Smluvních stran uvedenými v čl. XVII. odst. 4. Smlouvy (dále jen „Předávací protokol“ a „Pověřené osoby“);
plnění uvedené v čl. III. odst. 1. písm. e) bude realizováno nejpozději do 90 dnů ode dne účinnosti této Smlouvy;
řádné uskutečnění školení bude potvrzeno v příslušném dokumentu o realizaci školení (dále jen „Protokol o uskutečnění školení“) podepsaném k tomu Pověřenou osobou VZP ČR.
Podrobný obsah školení a jeho časový průběh bude upřesněn nejpozději do 15 kalendářních dnů před sjednaným termínem konání školení.
Místem plnění pro plnění dle čl. III. odst. 1. písm. a) až d) této Smlouvy je Ústředí VZP ČR na adrese: Xxxxxxx 0000/0, 000 00 Xxxxx 0. Konkrétní místo plnění (pouze v České republice) dle čl. III. odst. 1. písm. e) (certifikované školení) určí Dodavatel.
Článek V.
Způsob dodání zařízení
Dodavatel je povinen o přesném datu a času dodání plnění uvedeného v čl. III. odst. 1. písm. a) až c) informovat Objednatele nejméně 3 pracovní dny předem.
Ve lhůtě určené dle předchozího odstavce Dodavatel dodá Zařízení uvedené v čl. III. odst. 1. písm. a) až c) (včetně všech příslušných Dokladů k Zařízení) do místa plnění, kde Objednatel bez odkladu provede jeho vybalení a fyzickou inventarizaci. Dodané Zařízení bude Objednatel kontrolovat zejména z hlediska druhu, typu a počtu jednotlivých kusů, zjevných vad, jakož i kompletnosti nezbytných dokladů.
V případě, že dodané Zařízení bude plně odpovídat Smlouvě, Objednatel Zařízení převezme. V případě zjištění vad či jiných nedostatků dodaného Zařízení (dále též jen „vada plnění“) Objednatel celou dodávku Zařízení nepřevezme. V takovém případě nebude plnění Dodavatele považováno za provedené.
O předání a převzetí plnění uvedeného v čl. III., odst. 1. písm. a) až c) Smlouvy bude vyhotoven Předávací protokol, podepsaný Pověřenými osobami obou Smluvních stran.
V Předávacím protokolu musí být uvedeno označení a číslo této Smlouvy, specifikace předávaného plnění, jeho množství, výrobní čísla, datum, jména a podpisy Pověřených osob obou Smluvních stran.
V Předávacím protokolu bude též uvedeno, že Objednatel nabývá spolu s vlastnictvím k dodanému Zařízení licenci k dodanému SW v rozsahu a za podmínek stanovených v čl. VII. Smlouvy. Dodavatel předá Objednateli též veškeré Doklady k Zařízení.
Okamžikem podpisu Předávacího protokolu přechází nebezpečí škody na Zařízení a vlastnické právo k dodanému Zařízení z Dodavatele na Objednatele.
Článek VI.
Aktualizace software v rámci Záruční podpory
Dodavatel se zavazuje poskytovat Objednateli po celou dobu trvání Záruční podpory (viz čl. XI. této Smlouvy) aktualizace dodaného SW, zahrnující zejména poskytování aktualizací (upgrade) firmware, update a bezpečnostních opravných balíků (Patche), včetně všech relevantních Releases a verzí SW a včetně všech potřebných licencí tak, aby dodaná zařízení fungovala bez závad.
Dodavatel zajistí Objednateli možnost stahovat si nové firmware, ovladače a příslušný SW přímo z internetových stránek výrobce: xxxxx://xxx.xxxxx.xxx/x/xx/xx/xxxxxxx/xxxxx.xxxx?xxxXX00XXX0XXX0XXXXXXX0000000000000
Pro případ, kdy nebude možné stahovat firmware, ovladače a příslušný SW výše popsaným způsobem, zajistí Dodavatel náhradní způsob jeho předávání Objednateli (dále jen „náhradní předávání“), a to následovně: xxxxxxxxxxx@xxxx.xxx
Objednateli musí být zároveň umožněno aplikování těchto aktuálních verzí do všech komponent, které jsou předmětem Záruční podpory.
Dodavatel zajistí Objednateli přístup k technické dokumentaci výrobce a znalostní bázi, kterou výrobce v rámci své podpory poskytuje, a to na internetových stránkách xxxx://xxx.xxxxx.xxx/x/xx/xx/xxxxx/xxxxxxxx-xxxxxx/xxxxxxxx-xxxxxxxx/xxxxxx-xxxxxxxxxxx-xxxxxxxxx/xxx-xxxxxxx.xxxx
Dodavatel se zavazuje informovat Objednatele o veškerých nových SW verzích a funkčnostech, které mohou rozšiřovat dodané řešení.
Záruční podpora u SW je spojena s právem na nové verze a s možností eskalovat problém k technické podpoře výrobce.
Objednatel musí mít možnost se sám zaregistrovat na stránkách výrobce xxxxx://xxxxx.xxxxx.xxx/xxxxxxxx/xxxxxx/xxxxxxxxxxxXxxxxxx.x
k odběru automatických e-mailových zpráv týkajících se poptávaných zařízení a upozorňujících na:
bezpečnostní incidenty, které vyžadují od Objednatele povýšení operačního systému, firmware či aplikování změny konfigurace či záplaty,
konec prodeje či podpory,
nové verze operačního systému/firmware,
známé chyby operačního systému/firmware.
Dodavatel prohlašuje a odpovídá za to, že veškeré aktualizace a přechody na novější verze SW vztahující se k dodanému Zařízení budou respektovat oficiální doporučení výrobce Zařízení a rovněž budou pocházet ze zdrojů určených výrobcem.
Článek VII.
Licenční ujednání
Dodavatel touto Smlouvou poskytuje Objednateli jako součást plnění a za odměnu zahrnutou v ceně plnění licence k užití dodaného software, a to včetně licencí k užití všech aktualizací SW získaných v rámci Záruční podpory (viz čl. VI. odst. 1. Smlouvy).
Licence se touto Smlouvou poskytují jako nevýhradní, nepřevoditelné, k užití v rámci VZP ČR podle jejích potřeb a na dobu trvání autorských majetkových práv.
Smluvní strany se dohodly, že licence poskytnuté dle této Smlouvy nelze vypovědět, a tedy že pro licenční ujednání podle této Smlouvy se nepoužije ani ustanovení § 2370 občanského zákoníku.
Dodavatel se zavazuje předat Objednateli tzv. Autorizační kód / Autorizační kódy, na základě kterého lze příslušný SW aktivovat. Autorizačním kódem se rozumí jakýkoli klíč, autorizační číslo, aktivační kód, přihlašovací údaje, token, uživatelské jméno a heslo k účtu nebo jiný mechanismus, který umožní Objednateli SW ve sjednaném rozsahu užívat.
Autorizační kód / Autorizační kódy musí být předány Objednateli nejpozději současně s dodáním Zařízení. Autorizační kódy lze Objednateli předat před dodáním Zařízení prostřednictvím e-mailu zaslaného na e-mailovou adresu Pověřené osoby Objednatele nebo zároveň s dodáním Zařízení, a to v listinné podobě nebo v elektronické podobě na CD/DVD nosiči.
Předání Autorizačního kódu / Autorizačních kódů bude potvrzeno v Předávacím protokolu (viz čl. V. odst. 4. této Smlouvy).
Cena plnění
Celková cena za poskytnuté plnění dle této Smlouvy je stanovena v souladu se zákonem č. 526/1990 Sb., o cenách, ve znění pozdějších předpisů, a to na základě nabídkové ceny obsažené v příslušné nabídce Dodavatele v rámci předmětné veřejné zakázky.
Celková cena za plnění dle této Smlouvy činí 52 264 052,00 Kč slovy: padesát dva miliony dvě stě šedesát čtyři tisíc padesát dva korun českých bez daně z přidané hodnoty (dále jen „DPH“). Podrobný rozpis ceny je uveden v Příloze č. 2 Smlouvy „Cena plnění“, která tvoří její nedílnou součást (dále jen „Příloha č. 2“).
Celková cena za plnění bez DPH je konečná a nepřekročitelná a zahrnuje úhradu za veškeré plnění dle této Smlouvy, tj. zahrnuje i odpovídající odměnu za veškeré poskytnuté licence a úhradu za poskytování Záruční podpory po dobu 60 měsíců. Celková cena plnění zahrnuje i veškeré náklady Dodavatele spojené s poskytováním plnění dle této Smlouvy, které nejsou ve Smlouvě výslovně uvedeny, ale Dodavatel jakožto odborník o nich ví nebo má vědět, že jsou nezbytné pro řádně poskytnutí plnění.
K ceně plnění, uvedené v tomto článku a podrobně rozepsané v Příloze č. 2 této Smlouvy bude Dodavatelem účtována daň z přidané hodnoty v zákonem stanovené výši, platné ke dni uskutečnění zdanitelného plnění. Za správnost stanovení sazby DPH a vyčíslení výše DPH odpovídá Dodavatel.
VZP ČR neposkytuje Dodavateli na předmět plnění dle této Smlouvy jakékoliv zálohy.
Článek IX.
Fakturační a platební podmínky
Smluvní strany se dohodly, že úhrada ceny plnění bude provedena na základě 2 (dvou) daňových dokladů – faktur (dále jen „faktura“) Dodavatele, a to způsobem dále uvedeným.
Dodavatel je oprávněn vystavit první fakturu až po řádném dodání veškerého Zařízení, tj. po podpisu Předávacího protokolu, kterým bude poskytnutí tohoto plnění stvrzeno.
Dodavatel je oprávněn vystavit druhou fakturu až po řádném provedení školení, tj. po podpisu Protokolu o uskutečněném školení, kterým bude poskytnutí tohoto plnění stvrzeno.
Jednotlivé faktury bude Dodavatel doručovat jedním z následujících způsobů:
v listinné podobě na adresu sídla VZP ČR uvedenou v záhlaví této Smlouvy nebo
v elektronické podobě do datové schránky VZP ČR.
Obě faktury musí obsahovat náležitosti stanovené zákonem č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů, zákonem č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů (dále jen „zákon o DPH“) a občanským zákoníkem. Na fakturách musí být uvedena čísla z interního ekonomického systému VZP ČR, tj. čísla: 4100053405 a pro fakturaci plnění dle čl. III., odst. 1e) navíc i číslo 4100053406.
Nedílnou součástí první faktury bude kopie Předávacího protokolu, nedílnou součástí druhé faktury bude kopie Protokolu o uskutečnění školení v listinné nebo elektronické podobě.
Smluvní strany se dohodly, že splatnost každé faktury je 30 kalendářních dnů ode dne jejího doručení Objednateli.
VZP ČR je oprávněna před uplynutím lhůty splatnosti vrátit bez zaplacení fakturu, která neobsahuje výše uvedené náležitosti, anebo má jiné vady v obsahu podle této Smlouvy. Ve vrácené faktuře musí VZP ČR vyznačit důvod vrácení. Dodavatel je povinen podle povahy nesprávnosti fakturu opravit nebo nově vyhotovit. Oprávněným vrácením faktury přestává běžet původní lhůta splatnosti. Celá 30 denní lhůta běží znovu ode dne doručení opravené nebo nově vyhotovené faktury.
VZP ČR bude hradit řádně doručené faktury na bankovní účet Dodavatele uvedený v záhlaví této Smlouvy. Cena se považuje za zaplacenou okamžikem odepsání příslušné částky z účtu VZP ČR ve prospěch účtu Dodavatele.
Dodavatel prohlašuje, že účet uvedený v záhlaví Smlouvy je účtem zveřejněným správcem daně způsobem umožňujícím dálkový přístup ve smyslu § 96 odst. 2 zákona o DPH. V případě, že Dodavatel nebude mít v době uskutečnění zdanitelného plnění bankovní účet uvedený v záhlaví Smlouvy tímto způsobem zveřejněn, uhradí VZP ČR Dodavateli v dohodnutém termínu splatnosti příslušné faktury pouze částku představující dohodnutou cenu plnění bez DPH. Částku rovnající se výši DPH z Dodavatelem fakturované ceny plnění uhradí VZP ČR, v souladu s § 109a zákona o DPH, finančnímu úřadu místně příslušnému Dodavateli. Dodavatel výslovně prohlašuje, že celkovou cenu plnění / příslušnou dílčí cenu plnění bude považovat tímto za zaplacenou.
Pokud v době uskutečnění zdanitelného plnění bude Dodavatel uveden v aplikaci „Registr plátců DPH“ jako Nespolehlivý plátce ve smyslu příslušných ustanovení zákona o DPH, dohodly se Smluvní strany, že VZP ČR bude postupovat při úhradě ceny plnění/dílčí ceny plnění způsobem uvedeným v odst. 10. tohoto článku.
Objednatel neposkytuje Dodavateli na předmět plnění dle této Smlouvy jakékoliv zálohy.
Článek X.
Sankční ujednání
Při nedodržení termínu splnění předmětu plnění dle článku IV. odst. 1. písm. a) této Smlouvy je VZP ČR oprávněna vyúčtovat Dodavateli smluvní pokutu ve výši 10 000,- Kč (slovy: deset tisíc korun českých), a to za každý i jen započatý kalendářní den prodlení. Dodavatel je povinen vyúčtovanou smluvní pokutu uhradit.
V případě prodlení s uskutečněním certifikovaného školení v termínech dohodnutých dle čl. IV. odst. 1. písm. d) a v souladu s písm. b) citovaného odstavce a článku Smlouvy je VZP ČR oprávněna vyúčtovat Dodavateli smluvní pokutu ve výši 1000,- Kč za každý kalendářní den prodlení a Dodavatel je povinen vyúčtovanou smluvní pokutu zaplatit.
Při nedodržení závazku dle čl. III. odst. 2. Smlouvy (vlastnosti Zařízení), je VZP ČR oprávněna vyúčtovat Dodavateli smluvní pokutu ve výši 100% z ceny plnění v každém jednotlivém případě, tj. u každého jednotlivého kusu dodaného zařízení, které nebude mít vlastnosti požadované v čl. III. odst. 2. Smlouvy. Práva Objednatele z vadného plnění, tj. zejména právo požadovat dodání nového bezvadného zařízení, nejsou zaplacením uvedené smluvní pokuty dotčena.
V případě nedodržení termínu odstranění vad Zařízení (viz bod 4. Přílohy č. 1 této Smlouvy) je VZP ČR oprávněna vyúčtovat Dodavateli smluvní pokutu ve výši 500 Kč (slovy: pět set korun českých) za každou i jen započatou hodinu prodlení v době od 8:00 do 16:00 hod. v pracovní dny (mimo toto časové rozmezí je plynutí prodlení pozastaveno). Dodavatel je povinen ji uhradit.
V případě prodlení VZP ČR s úhradou oprávněně vystavené a řádně doručené faktury je Dodavatel oprávněn vyúčtovat VZP ČR úrok z prodlení ve výši 0,02 % z nezaplacené částky předmětné faktury za každý kalendářní den prodlení a VZP ČR je povinna tuto sankci uhradit.
Sjednáním smluvní pokuty ani jejím zaplacením není dotčeno právo oprávněné Smluvní strany na náhradu škody vzniklé v důsledku porušení povinnosti, ke kterému se smluvní pokuta vztahuje. Zaplacením smluvní pokuty není dotčena povinnost příslušné Smluvní strany splnit své závazky dle této Smlouvy.
Výši smluvní pokuty a výši případně vzniklé škody nelze před porušením smluvní povinnosti, z něhož může nárok na smluvní pokutu, či náhradu škody vzniknout, dohodou Smluvních stran omezit pod hranici sjednanou v této Smlouvě (viz odst. 8. tohoto článku Smlouvy a odst. 3. článku XII. této Smlouvy).
Smluvní strany se dohodly, že maximální celková výše smluvních pokut je pro obě Smluvní strany limitována částkou 10.000.000,- Kč (slovy: deset milionů korun českých).
Článek XI.
Odpovědnost za vady, záruka za jakost a poskytování podpory
Dodavatel se zavazuje realizovat předmět plnění této Smlouvy v souladu s příslušnými právními předpisy a s maximální péčí a v kvalitě odpovídající jeho odborným znalostem a zkušenostem, kterou lze od něj vzhledem k jeho profesnímu zaměření právem očekávat.
Dodavatel odpovídá za veškeré právní vady i faktické vady (společně též jen „vady“) Zařízení, které bude mít Zařízení v době převzetí Objednatelem nebo které budou zjištěny v záruční době.
Dodavatel odpovídá za to, že Zařízení (jeho dílčí části) v době jeho převzetí Objednatelem a po celou záruční dobu:
nebude mít žádné právní vady (zjevné či skryté), zejména pak že nebude zatíženo právy třetích osob, ze kterých by pro Objednatele vyplynuly jakékoli další finanční nebo jiné povinnosti ve prospěch třetích stran;
nebude mít žádné faktické vady (zjevné či skryté), zejména pak, že bude splňovat veškeré funkční, technické a jiné vlastnosti a specifikace dohodnuté v této Smlouvě a vlastnosti obvyklé, a dále že bude splňovat veškeré požadavky stanovené příslušnými právními předpisy a technickými normami.
Dodavatel poskytuje Objednateli na dodané Zařízení záruku za jakost v délce 60 měsíců. Záruční doba začne běžet ode dne podpisu Předávacího protokolu oběma Smluvními stranami.
Zárukou za jakost se Dodavatel zavazuje, že Zařízení bude po celou záruční dobu způsobilé pro použití ke smluvenému, popř. obvyklému účelu a že si zachová smluvené, popř. obvyklé vlastnosti.
Objednatel bude hlásit Dodavateli každou vadu plnění zjištěnou v záruční době bez zbytečného odkladu poté, co ji zjistí. Ustanovení § 2112 občanského zákoníku, stanovící důsledky neoznámení vad Zařízení bez zbytečného odkladu, se pro účely této Smlouvy nepoužije; záruka se vztahuje na veškeré vady Zařízení, které VZP ČR uplatní v záruční době.
Dodavatel se zavazuje poskytovat Objednateli za cenu uvedenou v Příloze č. 2 této Smlouvy po celou záruční dobu, tj. 60 měsíců od podpisu Předávacího protokolu oběma Smluvními stranami Záruční podporu ve zvýšených parametrech k veškerému dodanému Zařízení (viz čl. III. odst. 1. písm. d) Xxxxxxx).
Místem poskytování Záruční podpory je Ústředí VZP ČR na adrese Xxxxxxx 0000/0, 000 00 Xxxxx 0. Xxxxx zařízení bude předáno Dodavateli na Ústředí, kde bude následně opravené zařízení převzato Objednatelem.
Bližší specifikace poskytování Záruční podpory je upravena v Příloze č. 1 – „Technická specifikace“ Smlouvy.
Článek XII.
Odpovědnost za škodu
Odpovědnost za škodu se řídí ustanovením § 2894 a násl. Občanského zákoníku, zejména pak ustanovením § 2913 občanského zákoníku.
Smluvní strany se zavazují k vyvinutí maximálního úsilí k předcházení škodám a k minimalizaci vzniklých škod. Smluvní strana, která poruší svoji povinnost z této Smlouvy, je povinna nahradit škodu tím způsobenou druhé Smluvní straně, a to v plném rozsahu. Povinnosti k náhradě škody se zprostí, prokáže-li, že jí ve splnění povinnosti z této Smlouvy dočasně nebo trvale zabránila mimořádná nepředvídatelná a nepřekonatelná překážka vzniklá nezávisle na její vůli. Škoda, způsobená zaměstnanci příslušné Smluvní strany nebo třetími osobami, které příslušná Smluvní strana pověří plněním svých závazků dle Smlouvy, bude vždy posuzována jako škoda způsobená příslušnou Smluvní stranou.
Smluvní strany se dohodly, že maximální výše náhrady škody je pro obě Smluvní strany limitována částkou 10.000.000,- Kč (slovy: deset milionů korun českých).
Článek XIII.
Ochrana informací, údajů a dat
Smluvní strany se zavazují uchovat v tajnosti veškeré skutečnosti, informace a údaje týkající se druhé Smluvní strany, předmětu Smlouvy nebo s předmětem plnění související, které naplňují všechny znaky obchodního tajemství uvedené v § 504 občanského zákoníku a příslušná Smluvní strana je výslovně označí jako „obchodní tajemství“. Veškeré takové skutečnosti jsou pak podle cit. Ustanovení považovány za zákonem chráněné obchodní tajemství.
S odkazem na § 24a zákona č. 551/1991 Sb., o Všeobecné zdravotní pojišťovně České republiky, ve znění pozdějších předpisů, zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, a na Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), a dále na zákon č. 181/2014 Sb. o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů, se Dodavatel zavazuje učinit taková opatření, aby veškeré osoby, které se podílejí na realizaci jeho závazků z této Smlouvy, zachovávaly mlčenlivost o veškerých osobních údajích, jakož i o technicko–organizačních opatřeních k jejich ochraně, o nichž se při plnění závazků dozvěděly, včetně těch, které VZP ČR eviduje pomocí výpočetní techniky, či jinak. Toto ujednání platí i v případě nahrazení uvedených právních předpisů předpisy jinými.
Dodavatel se dále zavazuje zajistit, aby veškeré osoby, které se podílejí na realizaci jeho závazků z této Smlouvy, zachovávaly mlčenlivost o veškerých dalších skutečnostech, údajích a datech, o nichž se při plnění těchto závazků dozvěděly, a které nejsou veřejně známé nebo veřejně dostupné.
Za porušení závazků uvedených v odst. 2. a 3. tohoto článku se považuje i využití těchto skutečností, údajů a dat, jakož i dalších vědomostí pro vlastní prospěch Xxxxxxxxxx, prospěch třetí osoby nebo pro jiné důvody.
Poskytnutí informací na základě povinností stanovených Smluvním stranám obecně závaznými právními předpisy České republiky včetně přímo použitelných předpisů Evropské unie není považováno za porušení povinností Smluvních stran sjednaných v tomto článku.
Za porušení závazku uvedeného v odstavci 2. tohoto článku je Dodavatel povinen zaplatit VZP ČR v každém jednotlivém případě smluvní pokutu ve výši 1 000 000 Kč (slovy: jeden milion korun českých). Ujednáním o smluvní pokutě ani zaplacením smluvní pokuty není dotčeno právo VZP ČR na náhradu škody vzniklé z porušení povinnosti, ke kterému se smluvní pokuta vztahuje.
Za porušení závazku uvedeného v odstavci 3. tohoto článku je Dodavatel povinen zaplatit VZP ČR v každém jednotlivém případě smluvní pokutu ve výši 1 000 000 Kč (slovy: jeden milion korun českých). Ujednáním o smluvní pokutě ani zaplacením smluvní pokuty není dotčeno právo VZP ČR na náhradu škody vzniklé z porušení povinnosti, ke kterému se smluvní pokuta vztahuje.
Závazky Smluvních stran uvedené v tomto článku trvají i po skončení tohoto smluvního vztahu.
Článek XIV.
Zveřejnění Smlouvy
Smluvní strany jsou si plně vědomy zákonné povinnosti Smluvních stran uveřejnit dle zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv) tuto Smlouvu včetně všech případných dodatků, kterými se tato Smlouva doplňuje, mění, nahrazuje nebo ruší, prostřednictvím registru smluv.
Uveřejněním Smlouvy dle odst. 1. tohoto článku se rozumí uveřejnění elektronického obrazu textového obsahu Smlouvy v otevřeném a strojově čitelném formátu a rovněž metadat, podle § 5 odst. 1 zákona o registru smluv, prostřednictvím registru smluv.
Smluvní strany se dohodly, že tuto Xxxxxxx zašle správci registru smluv k uveřejnění prostřednictvím registru smluv Objednatel. Dodavatel je povinen zkontrolovat, že Smlouva včetně všech příloh a metadat byla řádně v registru smluv uveřejněna. V případě, že Xxxxxxxxx zjistí jakékoliv nepřesnosti či nedostatky, je povinen bez zbytečného odkladu o nich Objednatele informovat.
Postup uvedený v odst. 3. tohoto článku se Smluvní strany zavazují dodržovat i v případě uzavření dodatků k této Smlouvě, jakož i v případě jakýchkoli dalších dohod, kterými se tato Smlouva bude případně doplňovat, měnit, nahrazovat nebo rušit.
Dodavatel bere na vědomí a souhlasí s tím, že Objednatel rovněž uveřejní tuto Smlouvu (tj. celé znění včetně všech příloh) včetně všech jejích případných dodatků, na svém profilu zadavatele.
Dodavatel výslovně souhlasí s tím, že s výjimkou ustanovení znečitelněných v souladu se zákonem o registru smluv bude uveřejněno úplné znění Smlouvy.
VZP ČR výslovně souhlasí s tím, že s výjimkou ustanovení znečitelněných v souladu se zákonem o registru smluv bude uveřejněno úplné znění Smlouvy.
Článek XV.
Pojištění
Dodavatel se zavazuje být po celou dobu trvání Smlouvy pojištěn pro případ vzniku odpovědnosti za škodu.
Pojištění dle odst. 1. tohoto článku musí být sjednáno pro případ odpovědnosti Dodavatele za škodu, která může vzniknout Objednateli nebo třetí osobě při plnění závazků Dodavatele dle této Smlouvy nebo v souvislosti s plněním těchto závazků. Pojištění musí být sjednáno jako pojištění odpovědnosti za škody s pojistnou částkou ne nižší než 10 000 000 Kč (slovy: deset milionů korun českých).
Dodavatel je povinen na výzvu Pověřené osoby Objednatele doložit, že je pojištěn pro případ odpovědnosti za škodu v požadovaném rozsahu, a to vždy nejpozději do 10 pracovních dnů od doručení výzvy Objednatele. Dodavatel k prokázání splnění tohoto požadavku předloží Objednateli dokumenty, ze kterých bude splnění požadavku na pojištění vyplývat, tj. buď pojistnou smlouvu nebo pojistku a doklad o zaplacení pojistného na příslušné období nebo pojistný certifikát, či obdobný doklad vydaný příslušnou pojišťovnou.
V případě nesplnění povinnosti Dodavatele stanovené v odst. 1. a 2. tohoto článku je VZP ČR oprávněna vyúčtovat Dodavateli smluvní pokutu ve výši 5 000 Kč (slovy: pět tisíc korun českých), a to za každý i jen započatý kalendářní den, kdy porušení této povinnosti trvá a Dodavatel je povinen tuto částku uhradit.
V případě nesplnění povinnosti Dodavatele stanovené v odst. 3. tohoto článku je VZP ČR oprávněna vyúčtovat Dodavateli smluvní pokutu ve výši 5 000 Kč (slovy: pět tisíc korun českých) za každý i jen započatý den prodlení a Dodavatel je povinen tuto částku uhradit. Tuto smluvní pokutu je možno uložit i opakovaně.
Ostatní ujednání
Smluvní strany se zavazují vzájemně spolupracovat a poskytovat si veškeré informace potřebné pro řádné plnění svých závazků. Smluvní strany jsou povinny informovat druhou Smluvní stranu o veškerých skutečnostech, které jsou nebo mohou být důležité pro řádné plnění této Smlouvy.
Smluvní strany se zavazují zajistit pro řádné plnění svých závazků účast kvalifikovaných pracovníků, kteří se bezodkladně a s vyvinutím nejvyššího úsilí budou podílet na optimálním řešení vedoucím k odstranění překážek v plnění dle této Smlouvy.
Objednatel je povinen poskytovat Xxxxxxxxxx součinnost nezbytnou ke splnění jeho závazků vyplývajících z této Smlouvy; ustanovení § 2591 občanského zákoníku se pro účely této Smlouvy nepoužije.
Smluvní strany se zavazují bezodkladně se navzájem písemně informovat o změně Pověřených osob, uvedených v čl. XVII. odst. 4. Smlouvy nebo jejich kontaktních údajů (blíže viz čl. XVII. odst. 6. a 7. Smlouvy).
Tato Smlouva může být ukončena písemnou dohodou Smluvních stran, podepsanou oprávněnými zástupci obou Smluvních stran.
Každá ze Smluvních stran může od této Smlouvy odstoupit v případech stanovených touto Smlouvou nebo zákonem, zejména pak dle ustanovení § 1977 a násl. a § 2001 a násl. občanského zákoníku. Účinky odstoupení od této Smlouvy nastávají dnem doručení oznámení o odstoupení příslušné Smluvní straně.
Pro účely této Smlouvy se za podstatné porušení smluvních povinností považuje zejména:
prodlení Dodavatele s dodáním Zařízení ve lhůtě dle článku IV. odst. 1. písm. a) Smlouvy o více než 14 kalendářních dní;
opakované (tj. alespoň trojí) prodlení Xxxxxxxxxx s odstraňováním vad při poskytování Záruční podpory ve zvýšených parametrech dle Smlouvy;
porušení kteréhokoli ze závazků Dodavatele uvedeného v článku III. odst. 2. Smlouvy;
porušení povinnosti Dodavatele dle článku XV. odst. 1. a 2. Smlouvy.
Předčasným ukončením této Smlouvy není dotčena platnost ustanovení, z jejichž povahy vyplývá, že mají být pro Smluvní strany závazná i po skončení Smlouvy (tj. zejména ustanovení týkající se záruky a Záruční podpory, odpovědnosti za vady, odpovědnosti za škodu, povinnosti mlčenlivosti, řešení sporů apod.).
Závěrečná ustanovení
Tato Xxxxxxx nabývá platnosti dnem jejího podpisu poslední Smluvní stranou a účinnosti dnem zveřejnění Xxxxxxx prostřednictvím registru smluv v souladu se zákonem o registru smluv.
Dodavatel není oprávněn bez předchozího písemného souhlasu VZP ČR postoupit či převést jakákoli práva či povinnosti vyplývající z této Smlouvy na jakoukoli třetí osobu.
Tato Smlouva může být měněna a doplňována pouze v souladu se ZZVZ, a to formou písemných, vzestupně číslovaných smluvních dodatků, podepsaných oprávněnými zástupci obou Smluvních stran. Uzavření písemného smluvního dodatku není třeba pouze v případě změn Pověřených osob a jejich kontaktních údajů uvedených v odst. 4. tohoto článku.
Pověřenými osobami, tj. osobami pověřenými k jednání ve věcech plnění závazků Smluvních stran dle této Smlouvy, včetně podpisu Předávacího protokolu, jsou:
Za Objednatele:
-
Jméno a příjmení:
xxxxxx
E-mail:
xxxxxx
Telefon:
xxxxxx
nebo
-
Jméno a příjmení:
xxxxxx
E-mail:
xxxxxx
Telefon:
xxxxxx
Za Dodavatele:
-
Jméno a příjmení:
xxxxxx
Funkce:
xxxxxx
E-mail:
xxxxxx
Mobilní telefon:
xxxxxx
Je-li Pověřených osob určeno více, může každá z nich jednat samostatně, nestanoví-li tato Smlouva v konkrétním případě, příp. v odst. 4. tohoto článku, jinak.
Změnu Pověřených osob nebo jejich kontaktních údajů je každá Smluvní strana povinna bez zbytečného odkladu písemně oznámit druhé Smluvní straně, a to:
e-mailem zaslaným Pověřenou osobou jedné Smluvní strany Pověřené osobě druhé Smluvní strany, ve kterém bude změna oznámena nebo
oznámením zaslaným druhé Smluvní straně do její datové schránky.
Změna Pověřené osoby či jejích kontaktních údajů je účinná okamžikem, kdy je oznámení o změně druhé Smluvní straně řádně doručeno. Do té doby je druhá Smluvní strana v dobré víře, že Pověřené osoby jí naposledy oznámené jsou Pověřenými osobami ve smyslu odst. 4. tohoto článku; uzavření písemného smluvního dodatku v případě změn uvedených v tomto odstavci není třeba.
Smluvní strany se zavazují vyvinout maximální úsilí k odstranění vzájemných sporů vzniklých na základě této Smlouvy nebo v souvislosti s touto Smlouvou, včetně sporů o její výklad či platnost a usilovat o jejich vyřešení především smírnou cestou. Nedojde-li k dohodě Smluvních stran smírnou cestou, budou na návrh kterékoliv Smluvní strany dány tyto spory k rozhodnutí věcně a místně příslušnému soudu v České republice.
Tato Smlouva a vztahy z ní vyplývající, se řídí právním řádem České republiky, zejména příslušnými ustanoveními zákona č. 89/2012 Sb., občanského zákoníku, ve znění pozdějších předpisů, a zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů.
Tato Xxxxxxx se uzavírá písemně v elektronické podobě. Dodavatel podepisuje Xxxxxxx uznávaným elektronickým podpisem ve smyslu § 6 odst. 2. zákona č. 297/2016 Sb. o službách vytvářejících důvěru pro elektronické transakce, ve znění pozdějších předpisů (dále jen „ZSVD“); Objednatel Smlouvu podepisuje v souladu s § 5 ZSVD kvalifikovaným elektronickým podpisem.
Nedílnou součástí této Smlouvy jsou následující přílohy:
Příloha č. 1 – Technická specifikace
Příloha č. 2 – Cena plnění
Pro případ kontradikce se jako závazná použijí prioritně příslušná ustanovení této Smlouvy a následně příslušná ustanovení jednotlivých příloh, a to ve výše uvedeném pořadí.
Smluvní strany si před podpisem tuto Smlouvu včetně jejích příloh řádně přečetly a s jejím obsahem souhlasí, což stvrzují svými podpisy.
Všeobecná zdravotní pojišťovna ALEF NULA, a.s.
České republiky
28. 5. 2019 13. 5. 2019
Ing. Xxxxxx Xxxxxxx Ing. Xxxxx Xxxxx
ředitel předseda představenstva
Příloha č. 1 – Technická specifikace
Obecné požadavky na plnění Dodavatele a požadavky na dodávaný hardware včetně příslušného softwarového vybavení (dále jen „HW“ nebo „zařízení“)
Objednatel požaduje, aby dodaná zařízení byla plně kompatibilní se stávajícím technologickým prostředím Objednatele (viz bod 5. této Přílohy č. 1 – Popis současného stavu), nezpůsobila žádné nároky na dodatečné investice či náklady spojené se zařazením do stávající infrastruktury (jako náklady/investice na monitoring, náklady/investice na úpravy datových center, náklady na úpravy provozovaných aplikací aj. a jejich implementace byla provázána na stávající technologie tak, aby mohla být využita co nejefektivněji stávající technologie (viz bod 5. – Popis současného stavu).
Dokumentace
Dodavatel je povinen dodat všechna zařízení dle čl. III. Smlouvy včetně dokumentace nezbytné k jejich řádnému provozování a užívání, tj. zejména příslušné dodací listy a záruční listy, návody k použití a veškeré další doklady, nezbytné k řádnému užívání Zařízení a oficiální prohlášení výrobce Zařízení (tj. všech jednotlivých dodaných zařízení) nebo jeho obchodního zastoupení v České republice, že Zařízení je určeno koncovému zákazníkovi VZP ČR, a to na úrovni sériových čísel a licenčních klíčů. Veškeré Doklady k Zařízení musí být v českém nebo slovenském nebo anglickém jazyce. Technická dokumentace výrobce může být dodána v českém nebo slovenském nebo anglickém jazyce, a to i formou odkazu na příslušné webové stránky, kde je dokument k dispozici. Objednatel si však vyhrazuje právo požádat, zejm. v případě nejasností, o překlad této dokumentace do českého jazyka. Dodavatel se zavazuje doručit takový překlad Objednateli do deseti (10) pracovních dnů od obdržení výzvy Objednatele.
Technická podpora ve zvýšených parametrech k dodaným zařízením (dále jen „Záruční podpora ve zvýšených parametrech“ nebo „Záruční podpora“ nebo jen „Podpora“)
Po celou dobu poskytování Záruční podpory ve zvýšených parametrech k dodaným zařízením musí být Dodavatelem zajištěno:
Poskytování Podpory ve zvýšených parametrech v délce trvání 60 měsíců ode dne podpisu Předávacího protokolu oběma Smluvními stranami, a to za podmínek uvedených v:
tomto bodu 3. Technická podpora ve zvýšených parametrech k dodaným zařízením“;
bodu 4 této Přílohy č. 1 „Úroveň poskytovaných služeb (SLA)“.
Záruční podpora musí pokrývat veškeré opravy na dodaných zařízeních včetně ceny náhradních dílů, nákladů dopravy a práce techniků.
Náhradní díly pro použití v dodaných zařízeních musí být originální (tj. vyrobené výrobcem příslušného zařízení, pro které jsou náhradní díly určeny, resp. výrobcem příslušného dílu originálního zařízení).
Dodavatel je odpovědný za případné otevření dalších sekundárních servisních požadavků potřebných ke zprovoznění zařízení.
Objednatel musí mít možnost otevřít servisní požadavek u výrobce, i když si není jistý, že se jedná o závadu, a to i bez nutnosti její předchozí diagnostiky.
Záruky/garance požadované doby opravy (Fix Time) po uplatnění servisního požadavku dle bodu 3. 2. této Přílohy č. 1
Dodavatel zajistí, aby servisní požadavky Objednatele na odstraňování závad resp. neshod (dále vše jen „vady“) byly vyřizovány postupem dle bodu 3. 2. této Přílohy č. 1 a v souladu s parametry SLA uvedenými v jejím bodu 4., tzn., aby reklamované zařízení bylo vždy znovu uvedeno do provozu v termínu uvedeném v bodu 4. této Přílohy č. 1.
Odstranění vady je považováno za dokončené tím, že Dodavatel její odstranění ověří k tomu nejvhodnějším a nejprokazatelnějším způsobem a metodou, o čemž neprodleně informuje Objednatele cestou Service Desku Objednatele. Následně pošle e-mail o vyřešení Servisního požadavku, kde uvede datum a čas odstranění závady, a to v souladu se zněním bodu 3.2. „Hlášení servisních požadavků pomocí služby Service Desk“ této Přílohy č. 1.
Ověření může být dosaženo například provedením autodiagnostického testu, samostatného diagnostického testu nebo vizuálním ověřením řádného provozu. Dodavatel podle svého vlastního uvážení určí míru testování nezbytného k ověření, že zařízení bylo opraveno.
Dodavatel může podle svého vlastního uvážení dočasně nebo trvale nahradit zařízení za účelem splnění závazku opravy. Náhradní produkty musí být nové a/nebo ekvivalentní anebo lepší, co do stáří, výkonu a spolehlivosti. Nahrazená HW zařízení se stanou vlastnictvím Dodavatele.
Hlášení servisních požadavků pomocí služby Service Desk
Standardní komunikace mezi Objednatelem a Dodavatelem bude probíhat prostřednictvím Service Desku Objednatele, a to výhradně na bázi elektronické komunikace strukturovaným e-mailem v českém nebo slovenském jazyce.
Tento kanál musí být použit pro nahlášení vady (Objednatel kromě jiného popíše, jak se vada projevuje), sledování průběhu odstraňování vady a zprovoznění reklamovaného zařízení včetně informace Dodavatele o termínu úspěšného vyřízení reklamace.
Použití telefonní linky je možné pouze v případě, kdy nelze využít e-mailové komunikace.
Objednatel bude hlásit servisní požadavek (dále též jen „SP“) prostřednictvím Service Desku VZP ČR (SD)(tel: 000 000 000, e-mail: xxxxxxxxxxx@xxx.xx) na kontaktní místo Dodavatele: telefon: xxxxxxxxxxx@xxxx.xxx e-mail: x000 000 000 000.
Komunikace mezi Objednatelem a Dodavatelem bude obsahovat zpravidla tyto kroky:
Zadání SP (tj. nahlášení vady) ze strany Objednatele – (zaslání e-mailu Dodavateli).
Zaslání automatické zprávy (e-mailu) Dodavatele Objednateli potvrzující doručení SP Objednatele na e-mail Dodavatele.
Potvrzení přijetí SP Dodavatelem (zaslání e-mailu Objednateli) – do 4 hodin od doručení SP Dodavateli (blíže viz bod 4. 2 této Přílohy č. 1).
Odpověď Dodavatele nestrukturovaným e-mailem (zaslání e-mailu Objednateli). V odpovědi je Xxxxxxxxx povinen uvést:
Podrobný popis návrhu řešení SP;
Požadavky na nezbytnou součinnost VZP ČR při realizaci SP;
Termín realizace plnění SP.
V případě odmítnutí SP Dodavatelem (zaslání e-mailu Objednateli) musí být součástí odmítnutí jeho řádné odůvodnění.
Vyřešení SP Dodavatelem – (zaslání e-mailu Objednateli), ve kterém je Xxxxxxxxx povinen uvést:
Stručný popis vady a její odstranění.
Datum a čas vyřešení SP.
Případný nesouhlas Objednatele s řešením Dodavatele – (zaslání e-mailu Dodavateli).
Potvrzení o vyřešení SP – (zaslání e-mailu Dodavateli).
Vyřešením SP se rozumí datum a čas uvedený v e-mailu „Vyřešení SP Dodavatelem“, který bude poslán Objednateli při vyřešení SP.
Pokud se ukáže, že řešení není správné a SP je vrácen Dodavateli, doby řešení se sčítají.
Objednatel si vyhrazuje možnost dotazu (e-mailem) na stav nevyřešeného SP, na nějž Dodavatel odpoví nestrukturovaným e-mailem.
Komunikace se servisním střediskem Dodavatele musí probíhat v českém nebo slovenském jazyce.
Dodavatel se zavazuje poskytovat služby Záruční podpory v SLA parametrech stanovených v tomto bodě 4. Předmětem SLA je závazek Dodavatele zajistit pro Objednatele garanci kvalitativních parametrů služeb při poskytování Záruční podpory.
Časové vymezení poskytování služeb Podpory:
Poskytovatel se zavazuje Objednateli poskytovat služby Podpory v pracovních dnech v době od 8:00 do 16:00 hod.
Cílové parametry služby (SLA)
Jedná se o následující požadovanou službu v minimálně níže uvedených požadovaných anebo lepších než požadovaných SLA parametrech. Lepšími parametry se rozumí stejná anebo lepší hodnota parametru pro všechny specifikované a požadované parametry.
Parametr |
Hodnota |
Dostupnost Podpory |
5x8 (pracovní hodiny v pracovní dny v době od 8:00 do 16:00 hod.) |
Reakční doba |
4 hodiny od nahlášení SP službou Service Desk (čas běží pouze v době dostupnosti Podpory – mimo tento interval dochází k jeho „zastavení“ – viz popis služby) |
Maximální doba pro odstranění vady |
v režimu 5x8 (v pracovní dny v době od 8:00 – 16:00 hod.) / NBD (následující pracovní den). |
Popis služby:
Reakční doba (Response Time) bude maximálně 4 hodiny od nahlášení vady službou Service Desk.
Pracovník Dodavatele se dostaví na místo plnění v pracovní den v době 8:00 – 16:00 a poskytne pracovní sílu, náhradní díly a materiály, které jsou potřebné k tomu, aby HW zařízení bylo uvedeno opět do normálního funkčního stavu.
Dodavatel identifikuje a opraví špatné funkce a vady reklamovaného zařízení.
Objednatel zajistí a bude zajišťovat od okamžiku nahlášení vady fyzický přístup pracovníka Dodavatele k reklamovanému zařízení.
Poznámka:
V rámci součinnostních požadavků Dodavatele je Objednatel připraven umožnit Dodavateli:
nasadit monitorovací agenty (sondy) a
umístit vlastní odpovídající hardware pro účel monitoringu, prostřednictvím kterého bude monitoring Dodavatelem zajišťován.
Monitoring nesmí omezit dostupnost a nesmí být významně snížena anebo omezena výkonnost síťové infrastruktury.
Popis současného stavu
VZP ČR provozuje centralizovaný informační systém ve dvou geograficky oddělených datových centrech:
DC1 na adrese Xxxxxxx 0/0000, 000 00 Xxxxx 0,
DC2 na adrese ČD Telematika a.s., Pod Xxxxxxx 000/0x, 000 00 Xxxxx 0.
Tato dvě datová centra zajišťují provoz aplikací důležitých pro obchodní činnosti VZP ČR.
Každé z těchto datových center se skládá s následujících bloků:
Blok LAN DC zajišťující vlastní síť datového centra.
Blok perimetr zajišťující připojení do Internetu a bezpečné poskytování služeb VZP ČR prostřednictvím Internetu.
Blok WAN zajišťující komunikaci s pobočkami VZP ČR.
Blok DWDM zajišťující komunikaci mezi oběma datovými centry.
Blok externí komunikace zajišťující připojení k externím poskytovatelům služeb, např. SÚKL, jednotná telefonní sít, sít GSM, připojení do agendy státních registrů apod.
Blok loadbalancingu zajišťující rozklad zátěže pro interní i externí služby VZP ČR.
V rámci plnění Dodavatele dle této Smlouvy požaduje VZP ČR zajistit ochranu bloku LAN DC a bloku perimetru. Tyto dva bloky jsou proto podrobněji popsány níže.
LAN DC
Každé z datových center VZP ČR je vytvořeno dle architektury Spine and Leave a je možné zařadit ho mezi tzv. aplikačně řízené infrastruktury (Application Centric Infrastructure – dále také DMZACI), které umožňují integrovat do řízení síťového provozu datového centra vlastní logiku jednotlivých aplikací z pohledu jejich požadavků na síťovou konektivitu, bezpečnost a L4-L7 služby (load balancing, firewalling atd.). VZP ČR používá Cisco technologii ACI na bázi přepínačů Nexus 93180YC – EX, 93108TC – EX, 9336pq, 7706 a kontrolérů APIC server M2.
Každé z obou datových center se skládá z následujících logických celků:
DMZ (demilitarized zone) datového centra (DMZ DC),
Produkční prostředí (Prod),
Testovací prostředí 1 (TVS1).
DC2 má navíc testovací prostředí 2 až 6 (TVS2 – TVS6).
Oddělení jednotlivých celků zajišťují dva firewallové clustery, každý je složený ze dvou firewallů Cisco ASA 5585. Jeden firewallový cluster slouží pro stávající informační systém a druhý je připraven pro nově budovaný informační systém. Cluster je rozprostřen přes obě datová centra. Fyzicky je v každém datovém centru umístěna dvojice firewallů. FW Cluster je virtualizován a pro logické celky jsou vytvořeny následující virtuální FW:
Prod pro DMZ datového centra a produkční prostředí,
TVS1 – 6 pro jednotlivá testovací prostředí.
Z důvodu zajištění bezpečnosti, monitoringu a troubleshootingu je nutné provoz datového centra rozdělit do jednotlivých funkčních modulů neboli vrstev, z pohledu toku dat směrem od uživatele k vlastním datům. Rozhodujícím hlediskem pro sledování toku dat je „kdo inicializuje komunikaci“.
Z hlediska charakteru komunikace můžeme datové centrum rozdělit do následujících vrstev:
Databázová vrstva;
Aplikační vrstva;
Prezentační vrstva;
Vrstva správy a administrace;
Vrstva infrastrukturních serverů.
Schematicky jsou jednotlivé vrstvy zachyceny na následujícím obrázku.
Perimetr je zabezpečená oblast podnikové sítě mezí Internetem a vnitřní sítí VZP ČR, konkrétně blokem LAN DC.
Sítě v perimetru DC jsou oddělené pomocí bezpečnostních bran (firewallů) do dvou oddělených bezpečnostních zón:
vnější perimetr – bezpečnostní oddělení externích sítí (Internetu) od sítě VZP
vnitřní perimetr – bezpečnostní oddělení veřejně vystavených služeb VZP od vnitřní (uživatelské) sítě VZP
Součástí řešení je i VPN přístup do VZP ČR. VPN slouží pro vzdálený přístup zaměstnanců a externích kontraktorů do sítě VZP ČR z Internetu.
Vnější perimetr je určen pro bezpečnostní oddělení externích sítí (Internetu) od DMZ ve VZP ČR. Jsou zde umístěny služby VZP ČR, které je třeba zpřístupnit pro vnější uživatele. Vnější perimetr je vymezen dvěma vrstvami firewallů, mezi kterými je několik oddělených segmentů DMZ zón. Jednu zónu tvoří externí služby DNS a SMTP, další vrstvou je zóna aplikačních serverů pro poskytování služeb B2B kanálu. Každá bezpečnostní zóna je chráněna accesslisty proti útoku z Internetu včetně aplikační logiky. V DMZ je umístěn také VPN koncentrátor a loadbalancery pro poskytnutí vysoce dostupných B2B služeb.
Oddělení Internetu od DMZ VZP ČR je realizováno za pomoci FW F5 po jednom kuse v každém centrálním uzlu.
Vnitřní perimetr slouží k bezpečnostnímu oddělení DMZ od vnitřní (uživatelské) sítě VZP ČR. K tomu slouží dvě dvojice firewalů Cisco ASA 5545-X tvořící dva clustery. Každý cluster je umístěn v jednom datovém centru. Každá dvojice firewallů tvořící cluster pracuje v režimu Active-Active. Účelem je oddělení DMZ od vnitřní sítě, slouží tedy jako druhá bezpečnostní brána. Správa prvku se provádí pomocí CSM (Cisco Secure Manager). V případě nedostupnosti CSM je dále k dispozici terminálové připojení pomocí SSH nebo konzolová síť.
VPN (Virtual Private Network) je privátní sít, kde privátnost je vytvořena nějakou metodou virtualizace. VPN brána je tvořena zařízením Cisco ASA 5525 po jednom kusu v každém DC, čímž je zajištěna vysoká dostupnost této služby.
Security Information and Event Management (dále také SIEM)
V roce 2018 nakoupila VZP ČR systém Qradar, výrobcem je firma IBM. Poptávaný IPS systém musí být integrovatelný se systémem Qradar minimálně na úrovni zasílání syslog zpráv.
Stávající systém IPS
VZP ČR v roce 2009 v rámci tvorby svých datových center vytvořila i systém preventivní ochrany informačního systému na bázi IPS, který se skládal z následujících komponent:
2 ks samostatných IPS senzorů Cisco IPS 4270 pro ochranu LAN datových center;
2 ks samostatných IPS senzorů Cisco IPS 4240 pro ochranu perimetru a B2B kanálu;
4 ks modulů do firewallů Cisco ASA SSM-20 pro ochranu perimetru a B2B kanálu;
Systém korelace událostí Cisco Monitroring, Analysis and Response Systém (MARS).
Systém MARS pro vyhodnocování událostí již není výrobcem podporován a nejsou pro něj vydávány aktualizované vzorky bezpečnostních hrozeb.
Moduly IPS do firewallů ASA SSM-20 byly odstraněny bez náhrady v rámci výměny firewallů v září roku 2016.
Objednatel požaduje stávající dosluhující a morálně i fyzicky zastaralý systém IPS nahradit novým systémem, který bude plně v souladu s kybernetickým zákonem, včetně systému pro management celého řešení a systému pro vyhodnocování zpráv ze sond IPS.
Popis poptávaných systémů
Obecné požadavky
Na doposud používané IPS sensory Objednatele již není podpora výrobce. Objednatel požaduje náhradu těchto IPS sensorů a zároveň požaduje licenčně rozšířit existující FW (2x ASA5525 a 4x ASA 5545) o IPS funkcionalitu. Objednatel požaduje IPS s rozšířenou funkčností (Next-Generation Firewall, Next-Generation Intrusion Prevention System, aplikační visibilita, URL fitrace, pokročilá ochrana před malwarem) a výkonem při zachování používaných a rozšířených možnostech správy.
Ve spojení s centralizovaným managementem tyto bezpečnostní služby musí mít funkce „Next-Generation“ IPS a FW (dále také NGIPS, NGFW) a disponovat tak možnostmi detekce a potlačení pokročilých a cílených typů útoků. Tyto a další mechanismy jsou explicitně vyžadované ve specifikacích vyhlášky zákona 181/2014 Sb. o kybernetické bezpečnosti a nový systém IPS musí tyto požadavky splňovat:
§ 17 Nástroj pro ochranu integrity komunikačních sítí
§ 20 Nástroj pro ochranu před škodlivým kódem
§ 22 Nástroj pro detekci kybernetických bezpečnostních událostí
§ 23 Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí
§ 24 Aplikační bezpečnost
§ 26 Nástroje pro zajištění vysoké úrovně dostupnosti
Minimální Objednatelem požadované parametry dodávaného zařízení
V níže uvedených tabulkách jsou uvedeny Objednatelem požadované minimální parametry jednotlivých zařízení.
Dodavatel slovem „ANO“ v příslušných sloupcích výslovně potvrzuje, že nabízená zařízení splňují všechny minimální požadavky uvedené v níže uvedených tabulkách.
Objednatel požaduje, aby stávající FW ASA 5525-X a ASA 5545-X byly o tuto obecnou funkcionalitu rozšířeny a nové NGIPS, NGFW zařízení měla shodnou funkcionalitu, jejíž minimální parametry jsou uvedeny v tabulce č. 1.
Tabulka č. 1 – Požadované vlastnosti všech poptávaných zařízení NGFW a NGIPS:
Popis parametru – požadavek na funkcionalitu |
Splňuje ANO |
Obecné požadavky |
|
IPS nebo IDS detekční a ochranný systém se schopností automatického ladění souboru IPS/IDS signatur podle sledování prostředí a automatickým vyhodnocením stupně nebezpečnostní útoků v relevanci s metodou útoku a zranitelností cílového systému. |
ANO |
Aplikační firewall se schopností detekce několika tisíců̊ aplikací a mikroaplikací. |
ANO |
Firewall pracující s identitou uživatele nebo obecně̌ s jeho bezpečnostní rolí. |
ANO |
Automatické potlačení útoku (Remediation) na základě korelace událostí s nastavenými pravidly pro odpovídající typy reakce (např. signalizace požadavku směrem do jiných síťových zařízení pro odpojení stanice, nastavení přístupového filtru, přesměrování apod.). |
ANO |
Interní korelace událostí (typ útoku, komunikace v botnet síti, přenos malware, apod.) pro automatickou detekci kompromitovaných stanic. |
ANO |
Kontinuální analýza síťového prostředí s automatickou reakcí na porušení pravidel (compliancy) – např. detekce nepovoleného OS v určitém segmentu sítě, vybočení ze „standardního“ obrazu komunikace apod. |
ANO |
Detekce přenosu malware, včetně zero-day typů souborů, s možností retrospektivního monitorování (trajektorie přenosu souborů sítí: první stanice, která soubor získala, protokoly a metody přenosu v rámci sítě, reakce senzorů nebo agentů na koncových stanicích na daný malware, apod.) . |
ANO |
Aplikační firewall s možností definice vlastních aplikací (podpora OpenAppID aplikačních signatur). |
ANO |
URL filtrace podle web kategorií, reputace, konkrétních URL. |
ANO |
Integrace Security Intelligence blacklistů – DNS, URL, známé adresy botnet sítě, problematické stroje v Internet. |
ANO |
Antimalware ochrana – analýza přenášených souborů s možností dynamické analýzy a sandboxing se záznamem přenosu všech souborů sítí pro následnou retrospektivní analýzu. |
ANO |
Provoz, který je pravidlem FW propuštěn může být dále kontrolován detekčními systémy IPS/IDS, systém umožňuje dále analyzovat přenášené soubory pomocí služby pokročilé ochrany před malwarem, sledovat zdraví, monitorovat prostředí, atd. |
ANO |
Veškeré dashboardy lze modifikovat. |
ANO |
Na základě korelace bezpečnostních incidentů jsou pro všechny stanice v síti poskytovány tzv. indikátory kompromitace (IoC). |
ANO |
NGFW disponuje funkcí učení se prostředí pomocí strojového učení (machine learning) a korelací se znalostní databází dodavatele) poskytuje rychlý a názorný pohled na trendy, typy komunikací, stanic, událostí atd. v síti. |
ANO |
NGFW API dovoluje integraci se systémy SIEM, minimálně se systémem Qradar od firmy IBM, log servery apod. |
ANO |
Centralizovaný management integruje i reportovací systém. K dispozici jsou hotové šablony, přičemž lze definovat i vlastní obsah reportů (grafické dashboardy, tabulky, grafy apod.) . |
ANO |
Pro kompletní komunikaci administrátorů s centralizovaným managementem (analýza komunikace, bezpečnostních událostí, kontextová viditelnost atd.) je k dispozici plně webové GUI. Není potřeba žádný klientský SW. Jednotné webové GUI slouží jako centrální bod pro administraci NGIPS,NGFW služeb jak pro ASA zařízení s NGIPS,NGFW rozšířením, tak pro nové NGIPS,NGFW zařízení. |
ANO |
Podpora kontroly paketů TCP provozu s ochranou před útoky, jejichž cílem je obejít bezpečnostní prvky nestandardním rozkladem dat do paketů, fragmentací apod. |
ANO |
Podpora inspekce Ipv6 provozu |
ANO |
Možnost filtrace komunikace Botnet sítě s využitím databází o důvěryhodnosti adres v Internetu |
ANO |
Funkce IPS |
|
Možnost definovat typ provozu předávaný k inspekci do IPS |
ANO |
Podpora také IDS režimu – pasivního monitorování (TAP režim) |
ANO |
Možnost definovat režim provozu při zahlcení nebo nedostupnosti IPS funkcí (fail open, fail close) |
ANO |
Možnost obejití IPS funkcí při zahlcení nebo nedostupnosti |
ANO |
Podpora 802.1Q tagovaných rámců |
ANO |
Inspekce pro Ipv4 i Ipv6 |
ANO |
Podpora funkce Adaptivní konfigurace filtrů, která upozorní, případně vypne filtr, který může způsobit zahlcení systému |
ANO |
IPS musí obsahovat filtry/signatury popisující exploity, zranitelnosti, krádeže identity, spyware, viry, průzkumné aktivity, ochranu síťové infrastruktury, IM aplikace, P2P sítě a nástroje na kontrolu toku multimédií |
ANO |
Podpora automatické aktualizace filtrů/signatur, geolokační databáze, databáze zranitelností a databáze systémů na internetu s poškozenou reputací |
ANO |
Podpora aplikace pro psaní zákaznických filtrů |
ANO |
Podpora importu komunitních filtrů/signatur Snort |
ANO |
IPS musí umět detekovat a blokovat útoky průzkumných aktivit |
ANO |
IPS musí podporovat adaptivní ochranu filtrů proti přetížení či DoS útoku na IPS |
ANO |
IPS musí umět detekovat a blokovat útoky na základě IP adresy, nebo DNS jména „known bad host“ jako je spyware, phishing nebo Botnet |
ANO |
IPS musí umět detekovat a blokovat útoky proti síťové infrastruktuře firmy, jako jsou přepínače, routery, firewall, bezdrátové přepínače a podobně. Dále musí poskytovat i ochranu pro protokoly využívané v IP telefonii |
ANO |
Odkaz na Common Vulnerabilities and Exposures (CVE) a dokumentaci ke známým bezpečnostním incidentům přímo hyperlinkovým odkazem z dané bezpečnostní události |
ANO |
Možnost vyhledávání typu signatury v centrální databázi dodavatele podle typu a závažnosti útoku |
ANO |
Podpora vrstev IPS politik s možností volit předdefinované politiky v základní vrstvě orientované na bezpečnost nebo naopak minimalizace false-positive |
ANO |
Možnost aplikace vrstvy doporučených politik, kterou generuje přímo IPS podle pasivního sledování lokálního prostředí |
ANO |
Možnost definice uživatelské vrstvy politik |
ANO |
Předefinování pravidel přes vrstvy IPS politik = platí relevantní pravidla v nejvyšší vrstvě IPS politik |
ANO |
Různé politiky lze sdílet a aplikovat na různé senzory |
ANO |
Podpora aktivní inline ochrany před malware s detekcí známých nebo podezřelých malware nezávislé na aktuálních databázích AV dodavatelů |
ANO |
Ochrana před malware typu „zero day attack“ které nelze detekovat tradičními antiviry |
ANO |
Retrospektivní ochrana prostředí – pokud SW kód je později detekován jako malware, je na to IPS schopna reagovat |
ANO |
Zobrazení trajektorie malware – pohyb, mutace, přenosy v síti mezi stanicemi přímo v GUI centralizované konzole |
ANO |
Možnost ochrany před malware až do úrovně koncových stanic s centralizovanou správou bezpečnostních politik, blacklistů pro aplikace, řízení spouštění aplikací, přesun malware do karantény, blacklistů pro síťovou komunikaci apod. |
ANO |
Retrospektivní ochrana koncových stanic (chytré telefony), stanice s Windows, Mac OS – pokud je později SW kód rozpoznán v operačním centru doddavatele jako malware je na koncových stanicích okamžitě přesunut do karantény |
ANO |
Informace o trajektorii malware mezi stanicemi, karanténě, síťových komunikacích získávané a centralizované pro jednotlivé koncové stanice |
ANO |
IPS musí být plně transparentní k existujícímu síťovému prostředí a jeho nasazení nesmí být podmíněno rekonfigurací stávajících aktivních prvků |
ANO |
Možnost definovat pravidla chování sítě a komponentů, pro automatickou detekci tzv. „compliance violation“ |
ANO |
Možnost automatické i manuální klasifikace stanice jako “kritické” se zohledněním v pravidlech, reportech apod. |
ANO |
Podpora „remediation“ modulů pomocí nichž lze ovládat další prvky infrastruktury a aplikovat filtry, směrování apod. |
ANO |
Otevřené rozhraní pro uživatelsky vytvářené „remediation“ moduly |
ANO |
Podpora databází reputací adres v Internetu (Security Intelligence) |
ANO |
Funkce Next-Gen FW |
|
Podpora L2 (transparentního) módu s podporou NAT a PAT |
ANO |
Podpora L3 (routovaného) módu s podporou NAT a PAT |
ANO |
Podpora současně L2 a L3 v různých virtuálních FW |
ANO |
Podpora stateful failover FW / NGFW – Active-Active / Active-Standby |
ANO |
Podpora zvyšování výkonu pomocí clusterování firewallů – sloučení firewallů do jednoho logického clusteru |
ANO |
Cluster firewallů se musí vzhledem k další infrastruktuře tvářit jako jeden prvek s podporou LACP |
ANO |
Cluster podporuje stavovou inspekci nesymetrického provozu vstupující do různých firewallů clusteru |
ANO |
Možnost sloučení až osmi fyzických rozhraní do jednoho logického s rozkladem zátěže a podporou LACP |
ANO |
Podpora virtuálních bezpečnostních kontextů (virtuálních firewallů) |
ANO |
Dynamické směrování – podpora alespoň RIP, OSPF, BGP |
ANO |
Podpora Ipv6 dynamického směrování – alespoň OSPFv3 |
ANO |
Podpora Policy based Routing |
ANO |
Podpora samostatných směrovacích instancí na úrovni virtuálních kontextů |
ANO |
Podpora filtrace Ipv4, Ipv6 |
ANO |
Podpora filtrace podle identity uživatele nebo jeho skupiny definované v AD |
ANO |
Podpora filtrace podle bezpečnostních skupinových rolí přiřazených na přístupových přepínačích |
ANO |
Stateful inspekce minimálně těchto aplikačních protokolů: HTTP, FTP, Instant Messenger, File Sharing, SIP, H.323, SCCP, SMTP, ESMPT, DNS, RPC, CIFS, MSRPC, NETBIOS |
ANO |
Podpora multimediálních/VoIP přenosů: H.323 v1-4, H.323 Gatekeeper Cluster GUP message support, SIP, GTP v0 a v1, MGCP v0.1 a v1.0, RTSP, TAPI a JTAPI, T.38 Fax over IP, GKRCS |
ANO |
Podpora NAT64 a DNS64 |
ANO |
Funkce QoS až na úrovni jednotlivých toků (flow) s podporou LLQ |
ANO |
Zohlednění kontextových informací o koncovém zařízení (typ, stav, spod.) a využití ve filtrech |
ANO |
API rozhraní pro sdílení kontextových informací s dalšími systémy |
ANO |
Možnost začlenit do SDN řešení Cisco Application Centric Infrastructure (ACI) |
ANO |
Možnost definovat typ provozu předávaný k inspekci do Next-Gen FW |
ANO |
Podpora pasivního monitorování (TAP režim) |
ANO |
Možnost definovat režim provozu při zahlcení nebo nedostupnosti Next-Gen FW funkcí (fail open, fail close) |
ANO |
Možnost obejití Next-Gen FW funkcí při zahlcení nebo nedostupnosti |
ANO |
Podpora 802.1Q tagovaných rámců |
ANO |
Podpora virtuálních FW kontextů v Nex-Gen FW politikách |
ANO |
Podporovaných aplikací – min. 2800 |
ANO |
Kategorie aplikací (nebezpečné, důležité, apod.) |
ANO |
URL kategorií – min. 70 |
ANO |
Kategorizovaných světových URL – min. 270milionů |
ANO |
Řízení přístupu k WWW – Web Usage Control (WCU) |
ANO |
Filtrace podle typů aplikací webových i ne-webových |
ANO |
Filtrace podle reputace serverů |
ANO |
SSL inspekce (dekrypce/enkrypce) |
ANO |
Security Inteligence database – známé uzly botnet sítí C&C |
ANO |
Security Inteligence database – známé adresy anonymních proxy, otevřených mail relay, apod. |
ANO |
Možnost integrovat vlastní reputační databáze |
ANO |
Podpora komunitních, otevřených standardů popisu aplikací (OpenAppID) |
ANO |
Podpora rozhraní pro sběr informací o síťové komunikaci z prvků infrastruktury – přepínače, směrovače (např. netflow) |
ANO |
Využití informací z prvků infrastruktury (např. netflow) pro monitorování a detekci chování sítě (Network Behavior Analysis – NBA) |
ANO |
Přehled o síťových spojení má poskytovat minimálně tyto informace: Čas startu a konce flow, Akce (allow, deny,..) Důvod případného blokování, Zdroj. A cíl. Adresa, Vstupní a výstupní zóna, Vstupní a výstupní rozhraní, Zdroj. A cíl. Port Aplikační protokol, IPS událost, pokud vznikne, Riziková úroveň IPS události, Použitá síťová aplikace, Rizikovost aplikace, „Business impact“ aplikace, Množství přenesených dat |
ANO |
Doplnění stávajících firewallů ASA 5525-X (2 ks.) o IPS funkcionalitu
Objednatel požaduje doplnění 2 ks stávajících firewallů ASA 5525-X o NGIPS funkcionalitu, která musí splňovat minimální požadavky stanovené v kapitole 7.1.
Tabulka č. 2 – specifikace zařízení:
Základní údaje |
Nabízená hodnota |
Výrobce zařízení |
CISCO SYSTEMS, Inc. |
Produktové číslo (typ) nabízeného zařízení (v případě, že je zařízené popsáno více produktovými čísly, uvede Dodavatel hlavní produktové číslo nabízeného zařízení) |
ASA5525-FP-UPG |
Odkaz na www stránky výrobce zařízení, kde je k dispozici detailní technická specifikace (DataSheet) v českém nebo anglickém jazyce |
Doplnění stávajících firewallů ASA 5545-X (4 ks.) o IPS funkcionalitu
Objednatel požaduje doplnění 4ks stávajících firewallů ASA 5545-X o NGIPS funkcionalitu, která musí splňovat minimální požadavky stanovené v kapitole 7.1.
Tabulka č. 3 – specifikace zařízení:
Základní údaje |
Nabízená hodnota |
Výrobce zařízení |
CISCO SYSTEMS, Inc. |
Produktové číslo (typ) nabízeného zařízení (v případě, že je zařízené popsáno více produktovými čísly, uvede Dodavatel hlavní produktové číslo nabízeného zařízení) |
ASA5545-FP-UPG |
Odkaz na www stránky výrobce zařízení, kde je k dispozici detailní technická specifikace (DataSheet) v českém nebo anglickém jazyce |
Dodání IPS zařízení za účelem ochrany LAN sítí datových center
Objednatel požaduje dodat 4ks (2 HA dvojice) nových NGIPS zařízení, která musí splňovat minimální požadavky stanovené v kapitole 7.1. a zároveň minimální požadavky stanovené v tabulce č. 5.
Tabulka č. 4 – specifikace zařízení:
Základní údaje |
Nabízená hodnota |
Výrobce zařízení |
CISCO SYSTEMS, Inc. |
Produktové číslo (typ) nabízeného zařízení (v případě, že je zařízené popsáno více produktovými čísly, uvede Dodavatel hlavní produktové číslo nabízeného zařízení) |
FPR4150-FTD-HA-BUN – Firepower 4150 Threat Defense High Availability Bundle |
Odkaz na www stránky výrobce zařízení, kde je k dispozici detailní technická specifikace (DataSheet) v českém nebo anglickém jazyce |
xxxxx://xxx.xxxxx.xxx/x/xx/xx/xxxxxxxx/xxxxxxxxxx/xxxxxxxx/xxxxxxxxx-xxxx/xxxx_xxxxx-x00-000000.xxxx |
Tabulka č. 5 – Požadované vlastnosti nových NGIPS, NGFW zařízení:
Popis parametru – požadavek na funkcionalitu |
Splňuje ANO |
Formát zařízení – maximálně 1RU |
ANO |
Minimální počet 1Gb 10/100/1000 BaseT Ethernet pro management, standardně osazených – 1ks |
ANO |
Minimální počet 10Gb SFP+ rozhraní portů pro data, standardně osazených – 8ks |
ANO |
Možnost rozšíření o 2ks modulů rozhraní |
ANO |
Možnost rozšíření o další 8ks 10Gb SFP+ rozhraní |
ANO |
Možnost rozšíření o další 4ks 40Gb SFP+ rozhraní |
ANO |
Redundantní zdroje (Hot-Swappable) |
ANO |
Podporovaný počet současně otevřených spojení přes FW/NGFW – 35mil / 30mil |
ANO |
Rychlost vytváření nových spojení za sekundu přes FW/NGFW – 800 000 / 200 000 |
ANO |
Propustnost FW - 74 Gbps |
ANO |
Propustnost FW (multiprotocol) – 50 Gbps |
ANO |
Propustnost aplikačního FW (next-gen FW) – 30 Gbps |
ANO |
Propustnost aplikačního FW + IPS (next-gen FW, IPS) – 23 Gbps |
ANO |
Počet současných šifrovaných spojení – 15 000 |
ANO |
Vysoká dostupnost FW/NGFW – Active-Active / Active-Standby |
ANO |
Clustering až pro 16 zařízení |
ANO |
Počet podporovaných VLAN – minimálně 1024 |
ANO |
Zařízení musí být možné rozšířit o funkcionalitu Anti-DdoS ochrany formou volitelné licence |
ANO |
Zařízení musí být schopno v budoucnu zcela ekvivalentně nahradit stávající stavový firewall typu ASA 5585-X včetně integrace do jednotné centrální správy |
ANO |
Podpora kontroly autenticity operačního systému zařízení, podpora kontroly integrity operačního systému zařízení při bootování kontrolou digitálního podpisu. Nutné pro ověření, že operační systém zařízení nikdo před či při bootování nemodifikoval. |
ANO |
Ochrana proti nahrání modifikovaného software do zařízení prostřednictvím image signing a funkce secure boot, která ověřuje autentičnost a integritu jak bootloaderu, tak i samotného operačního systému zařízení prostřednictvím interních HW prostředků – tzv. trusted modulů |
ANO |
Centrální správa pro NGIPS, NGFW – detailní technické specifikace
Objednatel požaduje 2 ks (1 HA dvojice) zařízení pro centrální správu NGIPS a NGFW.
V níže uvedené tabulce č.7 jsou uvedeny Objednatelem požadované minimální parametry zařízení pro centrální správu NGIPS a NGFW.
Tabulka č. 6 – specifikace zařízení:
Základní údaje |
Nabízená hodnota |
Výrobce zařízení |
CISCO SYSTEMS, Inc. |
Produktové číslo (typ) nabízeného zařízení (v případě, že je zařízené popsáno více produktovými čísly, uvede Dodavatel hlavní produktové číslo nabízeného zařízení) |
FMC4500-K9 – Firepower Management Center 4500 |
Odkaz na www stránky výrobce zařízení, kde je k dispozici detailní technická specifikace (DataSheet) v českém nebo anglickém jazyce |
Tabulka č. 7 – Požadované minimální vlastnosti zařízení pro centrální správu NGIPS, NGFW:
Popis parametru – požadavek na funkcionalitu |
Splňuje ANO |
Typ zařízení – maximálně 1RU |
ANO |
Síťové rozhraní - 2x 1Gbps, 2x 10Gbps SFP+ |
ANO |
Procesor – 2x 10-core Xeon |
ANO |
Operační paměť – 128GB |
ANO |
Úložný prostor- 3,2 TB SSD |
ANO |
Podpora SSD RAID 6 |
ANO |
Podpora vysoké dostupnosti |
ANO |
Redundantní napájení |
ANO |
Musí umět zpracovat až 20 000 datových toků za vteřinu |
ANO |
Musí být schopen zpracovat až 300 mil IPS událostí |
ANO |
Vzdálené správa konfigurace přes grafické rozhraní bez nutnosti instalace zvláštního SW |
ANO |
Možnost správy přes příkazový řádek z lokální konzole a vzdáleným přístupem protokolem ssh |
ANO |
Možnost přístupu přes Ipv6: SSHv2, Telnet, HTTP/HTTPS a ICMP |
ANO |
Možnost centrální správy při nasazení více firewallů |
ANO |
Při centrální správě: možnost sdílených bezpečnostních politik |
ANO |
Při použití clusteru se spravuje pouze jeden logický prvek |
ANO |
Distribuce a správa SW firewallu, dalších modulů (např. pro VPN), konfigurací, licencí z grafického rozhraní managementu |
ANO |
Zobrazení logů a událostí v grafickém rozhraní správy s mapováním na konfiguraci bezpečnostních politik |
ANO |
Možnost zaslání informace o TCP nebo UDP toku procházejícím firewallem (start a konec spojení, identifikovaný uživatel, přenesený objem dat, typ služby, délka trvání spojení) na TACACS nebo RADIUS server. |
ANO |
Nástroje pro troubleshooting, testování průchodu paketu firewallem, zachytávání provozu pro pozdější vyhodnocování |
ANO |
Podpora SNMPv3, privátní MIB, Syslog, SNMP Trap |
ANO |
Funkce IPS a Next-Gen FW vyžadující dlouhodobější ukládání dat, korelace, reporty, apod. musí být spravovatelé z centrálního monitorovacího a konfiguračního sytému (centrální dohledové konzole) |
ANO |
Centrální dohledová konzole musí být schopna dohledovat a spravovat více IPS senzorů a Next-Gen FW funkcí pro možnost korelace, sdílení politik, centrální sledování zdraví boxů apod. |
ANO |
Centrální dohledová konzole musí být schopna poskytovat aktualizaci a distribuci filtrů/signatur automaticky, manuálně a podle časového harmonogramu |
ANO |
Trendy, historické přehledy a statistiky z pohledu aplikací, stanic, komunikace, bezpečnostních incidentů jsou graficky a tabulkově zobrazeny v GUI dohledové konzole |
ANO |
Přehledy a statistiky na dohledové konzoli lze efektivně filtrovat podle času, typů incidentů, aplikací, koncových stanic |
ANO |
Centrální dohledová konzole musí být schopna vytvářet reporty manuálně a podle časového harmonogramu |
ANO |
Pro reporty lze definovat template definující formát a obsah reportu |
ANO |
Pro template reportů lze definovat proměnné, které se promítnou v aktuálním reportu |
ANO |
V grafickém rozhraní dohledové konzole lze definovat uživatelské dashboardy typu top-N |
ANO |
Dashboardy použité v GUI dohledové konzole lze rovnou zahrnout i do reportů |
ANO |
Centrální dohledová konzole musí být schopna exportovat reporty do formátů, jako jsou PDF, HTML, CSV, apod. |
ANO |
Centrální dohledová konzole musí být schopna integrace s Microsoft AD pro vytváření bezpečnostních politik podle uživatele a skupiny uživatelů. |
ANO |
Podpora korelace událostí na centralizované dohledové konzoli s definicí odpovídajících akcí, např. zaslání korelované události na SIEM, generování mailu, lokální události apod. |
ANO |
Podpora posílání událostí formou syslog, email, SNMP na externí platformy |
ANO |
Podpora Event Streamer API (eStreamer) pro sdílení informací se externími systémy. Minimálně pro SIEM Qradar firmy IBM |
ANO |
Pro zprávy odesílané emailem je podpora také autentizovaného SMTP pro komunikaci s mail relay |
ANO |
Podpora JDBC API pro přístup z externích systémů k databázím centralizovaného managementu |
ANO |
Podpora řízeného přístupu podle rolí administrátorů |
ANO |
Definice dostupných funkcí v GUI centralizované dohledové konzole podle role administrátora |
ANO |
Možnost založit pro daný incident „ticket“ přímo v prostředí GUI managementu |
ANO |
Workflow pro předávání „ticketů“ mezi administrátory |
ANO |
Konkrétní bezpečnostní incident až na úrovni paketu lze přiložit k danému „tiketu“ pro další analýzu |
ANO |
Tato centrální správa musí umět spravovat jak rozšířenou NGIPS funkcionalitu na stávajících ASA zařízeních, tak na nových NGIPS zařízeních |
ANO |
Možnost definice politik pro sledování odpovídajících parametrů „zdraví“ na senzorech a centralizované konzoli (zařízení CPU, obsazení paměti, komunikace s cloudovými službami apod.) |
ANO |
Zákaznicky definovatelné limity a akce spojené s jejich překročením při vyhodnocení sledovaných parametrů „zdraví“ |
ANO |
Různé politiky pro sledování „zdraví“ lze aplikovat na různé senzory nebo centralizovanou konzoli |
ANO |
Příloha č. 2 – Cena plnění
A |
B |
C |
D |
E |
F |
|
Pořad. číslo položky |
Název položky |
Měrná jednotka |
Celkový počet měrných jednotek |
Cena
za měrnou jednotku vč. záruční podpory ve zvýšených
parametrech v délce trvání 60 měsíců |
Cena
celkem za celkový počet měrných jednotek |
|
1 |
IPS zařízení pro ochranu LAN sítí DC |
ks |
4 |
10 876 000,00 |
43 504 000,00 |
|
2 |
Rozšíření firewallů ASA 5525 X o funkcionalitu IPS za účelem ochrany perimetru |
ks |
2 |
378 342,00 |
756 684,00 |
|
3 |
Rozšíření firewallů ASA 5545 X o funkcionalitu IPS za účelem ochrany perimetru |
ks |
4 |
673 342,00 |
2 693 368,00 |
|
4 |
Centralizovaný management pro správu celkového řešení |
ks |
2 |
2 590 000,00 |
5 180 000,00 |
|
5 |
Certifikované školení pro 3 administrátory v min. délce 5 dnů |
ks |
1 |
130 000,00 |
130 000,00 |
|
CELKOVÁ CENA PLNĚNÍ v Kč bez DPH |
52 264 052,00 |
31