Smluvní strany
*KUMSX02ZWWVZ*
KUMSX02ZWWVZ
Agendové číslo: 02749/2024/INF Veřejná zakázka 125/2023
Smlouva o dílo a servisní smlouva systému pro správu privilegovaného přístupu
ČÁST A SPOLEČNÁ USTANOVENÍ
I.
Smluvní strany
1. Moravskoslezský kraj
se sídlem: 28. října 117, 702 18 Ostrava
zastoupen: Xxx. Xxxxx Xxxxxx, MBA
IČO: 70890692
DIČ: CZ70890692
bankovní spojení: Česká spořitelna, a.s.
číslo účtu: 200184-1650676349/0800
(dále jen „objednatel“)
a
2. DATASYS s.r.o.
se sídlem: Xxxxxxxxx 0000/00, 000 00 Xxxxx 0 zastoupena: Xx. Xxxxxx Xxxxx, jednatel společnosti IČO: 61249157
DIČ: CZ61249157
bankovní spojení: Komerční banka a. s. číslo účtu: 27-9647490267/0100
Zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 28862
(dále jen „zhotovitel“)
II.
Základní ustanovení
1. Tato smlouva je uzavřena dle § 1746 odst. 2 s přiměřeným užitím § 2586 a násl. zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „občanský zákoník“); přičemž práva a povinnosti stran touto smlouvou neupravená se řídí příslušnými ustanoveními občanského zákoníku.
2. Smluvní strany prohlašují, že údaje uvedené v čl. I této smlouvy jsou v souladu se skutečností v době uzavření smlouvy. Smluvní strany se zavazují, že změny dotčených údajů oznámí bez prodlení písemně druhé smluvní straně. Při změně identifikačních údajů smluvních stran včetně změny kontaktních osob a bankovního účtu není nutné uzavírat ke smlouvě dodatek.
3. Je-li zhotovitel plátcem DPH, prohlašuje, že bankovní účet uvedený v čl. I odst. 2 této smlouvy je bankovním účtem zveřejněným ve smyslu zákona č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů (dále jen „zákon o DPH“). V případě změny účtu zhotovitele je zhotovitel povinen doložit vlastnictví k novému účtu, a to kopií příslušné smlouvy nebo potvrzením peněžního ústavu; je-li zhotovitel plátcem DPH, musí být nový účet zveřejněným účtem ve smyslu předchozí věty.
4. Smluvní strany prohlašují, že osoby podepisující tuto smlouvu jsou k tomuto jednání oprávněny.
5. Zhotovitel prohlašuje, že není obchodní společností, ve které veřejný funkcionář uvedený v § 2 odst. 1 písm. c) zákona č. 159/2006 Sb., o střetu zájmů, ve znění pozdějších předpisů (člen vlády nebo vedoucí jiného ústředního správního úřadu, v jehož čele není člen vlády), nebo jím ovládaná osoba vlastní podíl představující alespoň 25% účast společníka v obchodní společnosti. Xxxxxxxxxx bere na vědomí, že pokud je uvedené prohlášení nepravdivé, bude smlouva považována za neplatnou.
6. Zhotovitel bere na vědomí, že předmět plnění je nebo může být financován z evropských finančních zdrojů prostřednictvím Národního plánu obnovy (dále jen „NPO“) v rámci projektu
„Realizace bezpečnostních opatření podle zákona o kybernetické bezpečnosti II“. O přidělení
dotace informuje zhotovitele objednatel (viz čl. XVI).
7. Zhotovitel dále prohlašuje, že jím poskytované plnění odpovídá všem požadavkům vyplývajícím z platných právních předpisů, které se na plnění vztahují.
8. Xxxxxxxxxx bere na vědomí, že objednatel, byl v souladu se zákonem č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících předpisů, ve znění pozdějších předpisů (dále jen „ZKB“), určen jako správce významných informačních systémů, proto se zhotovitel uzavřením smlouvy stane jeho významným dodavatelem dle § 2 písm. n) vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška
o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „VKB“). Objednatel je tudíž povinen dle VKB provádět pravidelnou analýzu rizik, identifikovat rizika a identifikovaná rizika řídit. Zhotovitel je při poskytování plnění rovněž povinen zohlednit analýzu bezpečnostních rizik ve smyslu ZKB.
9. Xxxxxxxxxx dále bere na vědomí, že objednatel v rámci řízení změn v systému řízení kybernetické bezpečnosti bude přezkoumávat možné dopady změn a určovat významné změny dle VKB.
III.
Účel a předmět smlouvy
1. Účelem této smlouvy je zvýšit zabezpečení informačních systémů provozovaných v technologickém centru Krajského úřadu Moravskoslezského kraje (dále jen „KÚ MSK“) prostřednictvím systému pro řízení a správu privilegovaných účtů a přístupů, který zajistí jednotou centrální správu privilegovaných účtů, řízení přístupů k aktivům technologické infrastruktury KÚ MSK a monitorování operací prováděných privilegovanými osobami.
2. Předmětem této smlouvy je závazek zhotovitele:
a) dodat a uvést do provozu Systém pro řízení a správu privilegovaných účtů a přístupů, tzv. Privileged Identity Management a Privileged Access Management (dále jen
„PIM/PAM“),
b) poskytovat servisní a technickou podporu na dobu určitou.
ČÁST B
SMLOUVA O DÍLO
IV.
Předmět smlouvy v části B
1. Xxxxxxxxxx se zavazuje provést pro objednatele dílo na svůj náklad a nebezpečí. Dílo se skládá z
následujících částí:
a) Zpracování implementační studie, která upřesní řešení požadované funkcionality systému PIM/PAM a popíše způsob a postup jeho implementace v prostředí objednatele, včetně harmonogramu implementace a způsobů řízení realizačního týmu; součástí bude také návrh exit plánu při přechodu k novému poskytovateli služeb (dále jen „implementační studie“).
b) Dodávka a implementace systému PIM/PAM v prostředí objednatele (dále jen
„implementace“).
c) Testovací provoz implementovaného systému s cílem ověření jeho správné funkčnosti, a to provedením zátěžových, akceptačních a bezpečnostních testů (dále jen „testovací provoz“). Testovací provoz bude zhotovitelem navržen a popsán v implementační studii a následně schválen objednatelem.
d) Zhotovení a dodání veškeré dokumentace k dílu v českém jazyce, v elektronické podobě a její předání objednateli ve formátu pro texty *.doc (*.rtf), pro tabulky *.xls, pro skenované dokumenty *.pdf, a zároveň *.pdf.
e) Seznámení se systémem pro správce implementovaného systému, v českém nebo slovenském jazyce, v prostorách objednatele, v rozsahu 24 hodin, tak, aby účastníci školení byli schopni spravovat a využívat systém (např. integrace aplikací, zálohování, aktualizace, reinstalace, základní analýza problémů s funkcionalitou a jejich řešení) (dále jen
„seznámení správců“).
Bližší specifikace díla a jeho částí je uvedena v příloze č. 1 této smlouvy.
2. Smluvní strany se dohodly na I., nevyšší jakosti dodávaného plnění, tj. veškerá zařízení (dále také jen „HW“) budou v rámci díla dodána nová a nepoužitá, originální (tj. zhotovená výrobcem dané technologie nebo výrobcem pro danou technologii schválena), určená pro český trh a licencovaná pro objednatele.
3. Předmětem této smlouvy je dále závazek objednatele řádně zhotovené dílo převzít a zaplatit za ně zhotoviteli cenu podle čl. VI této smlouvy.
4. Objednatel se touto smlouvou zavazuje poskytnout zhotoviteli při provádění díla nezbytnou
součinnost.
V.
Místo předání a doba plnění
1. Zhotovitel je povinen předat objednateli dílo v místě předání, kterým je budova KÚ MSK, se sídlem 28. října 117, 702 18 Ostrava.
2. Xxxxxxxxxx je povinen dílo provést bez vad v těchto termínech:
a. Zpracování implementační studie (dle čl. IV odst. 1 písm. a) této smlouvy a v rozsahu
dle přílohy č. 1 této smlouvy) do 1 měsíce od nabytí účinnosti této smlouvy.
b. Implementace díla, která zahrnuje zejm. kompletní dodávku SW a licencí, HW, implementaci funkcionality a zprovoznění díla (dle čl. IV odst. 1 písm. b) této smlouvy a v rozsahu dle přílohy č. 1 této smlouvy), do 4 měsíců od zpracování a schválení implementační studie. Implementace díla končí úspěšným předáním díla zhotovitelem objednateli do testovacího provozu. Výsledek této fáze bude také součástí akceptačního protokolu k dílu dle čl. VIII odst. 1 této smlouvy.
c. Testovací provoz (dle čl. IV odst. 1 písm. c) této smlouvy) bude probíhat po dobu minimálně 1 měsíce od schválení implementace díla. O termínu ukončení testovacího provozu bude zhotovitel písemně informován. Testovací provoz provádí objednatel ve spolupráci se zhotovitelem (zhotovitel bude zejm. poskytovat součinnost při testování). Po ukončení testovacího provozu může objednatel do 5 pracovních dnů předat v písemné podobě zhotoviteli vůči fungování díla své výhrady. Zhotovitel neprodleně, nejpozději však do 2 týdnů od doručení výhrad, nedohodnou-li se smluvní strany písemně jinak, napraví objednatelem uvedené nedostatky a testovací provoz ve zkrácené době trvání 5 pracovních dní. Proces testování a následných oprav lze opakovat, dokud zhotovitel nesplní veškerá kritéria pro schválení této části díla.
d. Vypracování dokumentace (dle čl. IV odst. 1 písm. d) této smlouvy a v rozsahu dle přílohy č. 1 této smlouvy) do 2 týdnů od ukončení (schválení) implementace díla.
e. Seznámení správců z řad pracovníků objednatele (dle čl. IV odst. 1 písm. e) této smlouvy a v rozsahu dle přílohy č. 1 této smlouvy) bude probíhat v sídle objednatele a proběhne nejpozději do 1 měsíce od ukončení (schválení) implementace díla. V případě souhlasu objednatele lze školení uskutečnit videokonferenčním způsobem. Školení lze po vzájemné dohodě objednatele a zhotovitele rozdělit a realizovat po částech, přičemž každá část bude v rozsahu min. 2 hodiny.
Smluvní strany berou na vědomí, že zhotovitel nebude v prodlení s realizací díla, nebude-li možné plnit v důsledku prodlení objednatele. Smluvní strany v takovém případě o této skutečnosti sepíší protokol, ve kterém popíší cokoliv, co budou považovat za nutné či podstatné; v takovém případě není nutné uzavírat ke smlouvě dodatek.
3. Jednotlivé části díla se považují za řádně provedené, jestliže nevykazují žádné vady či nedodělky, tedy že budou plně v souladu s touto smlouvou či právními předpisy. Smluvní strany se dohodly, že objednatel není povinen příslušnou část díla schválit, pokud bude vykazovat vady či nedodělky.
4. Dílo se pokládá za řádně dokončené, jestliže je kompletní, nebude při protokolárním převzetí vykazovat žádné vady (nefunkčnosti a nedodělky) a budou schváleny všechny jeho části dle předchozího odstavce.
5. Pokud zhotovitel během plnění této smlouvy zjistí okolnosti, které brání včasné realizaci díla, musí bez zbytečného odkladu písemně uvědomit objednatele o předpokládaném zpoždění, jeho pravděpodobném trvání a příčině.
6. Část poskytovaného plnění, jehož rozsah bude předem písemně odsouhlasen objednatelem s odkazem na jeho bezpečnostní politiku, může být poskytován dálkovou formou z prostor zhotovitele.
1. Celková cena za dílo činí:
VI.
Xxxx za dílo
bez DPH 2 186 440,00 Kč (slovy: dva miliony jedno sto osmdesát šest tisíc čtyři sta čtyřicet korun českých)
DPH ve výši 21 % 459 152,40 Kč
včetně DPH 2 645 592,40 Kč (slovy: dva miliony šest set čtyřicet pět tisíc pět
set devadesát dva korun českých čtyřicet haléřů)
Podrobný rozpis ceny za dílo je uveden v příloze č. 2 této smlouvy.
2. Xxxx za dílo podle odst. 1 tohoto článku smlouvy zahrnuje veškeré náklady zhotovitele spojené se splněním jeho závazku z této smlouvy, tj. cenu díla včetně dopravného, odměny za poskytnutí
licencí, realizační, instalační a implementační práce apod. Cena za dílo je stanovena jako nejvýše přípustná a není ji možno překročit.
3. Je-li zhotovitel plátcem DPH, odpovídá za to, že sazba daně z přidané hodnoty bude stanovena v souladu s platnými právními předpisy; v případě, že dojde ke změně zákonné sazby DPH, je zhotovitel k ceně díla bez DPH povinen účtovat DPH v platné výši. Smluvní strany se dohodly, že v případě změny ceny díla v důsledku změny sazby DPH není nutno ke smlouvě uzavírat dodatek. V případě, že zhotovitel stanoví sazbu DPH či DPH v rozporu s platnými právními předpisy, je povinen uhradit objednateli veškerou škodu, která mu v souvislosti s tím vznikla.
VII.
Práva a povinnosti smluvních stran
1. Zhotovitel je zejména povinen:
a) Provést dílo řádně a včas za použití postupů odpovídajících právním předpisům a technickým normám ČR v době předání díla. Smluvní strany se dohodly na I. jakosti díla. Výsledné dílo (tj. dílo předávané zhotovitelem objednateli) musí ke dni předání odpovídat příslušným právním předpisům, normám nebo jiné dokumentaci vztahující se k provedení díla a umožňovat bezproblémové užívání, k němuž bylo určeno a zhotoveno.
b) Realizovat dílo tak, aby bylo v souladu s vnitřními předpisy objednatele a s bezpečnostní politikou objednatele, se kterými objednatel zhotovitele s dostatečným časovým předstihem prokazatelně seznámil.
c) Řídit se při provádění díla pokyny objednatele.
d) Informovat oprávněnou osobu objednatele ve věci této smlouvy o termínu zahájení instalace.
e) Umožnit objednateli kontrolu provádění díla. Pokud objednatel zjistí, že zhotovitel neprovádí dílo řádně či jinak porušuje svou povinnost, poskytne zhotoviteli lhůtu k nápravě; neučiní-li tak zhotovitel ve stanovené lhůtě, je objednatel oprávněn od smlouvy odstoupit.
f) Upozorňovat objednatele včas na všechny hrozící výpadky či překážky svého plnění
a poskytovat objednateli veškeré informace, které jsou pro plnění smlouvy nezbytné.
g) Neprodleně oznámit písemnou formou objednateli překážky, které mu brání v plnění předmětu smlouvy a výkonu dalších činností souvisejících s plněním předmětu smlouvy.
h) Odstranit zjištěné vady a nedodělky na své náklady.
i) Dbát při provádění díla dle této smlouvy na ochranu životního prostředí a dodržovat platné technické, bezpečnostní, zdravotní, hygienické a jiné předpisy, včetně předpisů týkajících se ochrany životního prostředí.
j) Chránit osobní údaje, data a duševní vlastnictví objednatele a třetích osob.
k) Postupovat při provádění díla s odbornou péčí.
l) Alokovat na realizaci této smlouvy pracovní kapacitu osob realizačního týmu uvedeného v nabídce zhotovitele podané ve veřejné zakázce a k plnění této smlouvy využít výhradně osob, kterými byla prokazována kvalifikace v zadávacím řízení na veřejnou zakázku. Jakákoliv dodatečná změna osoby realizačního týmu musí být předem písemně schválena objednatelem. Zhotovitel se v takovém případě zavazuje nahradit osobu realizačního týmu takovou osobou, která disponuje alespoň požadovanými minimálními znalostmi a odbornou kvalifikací dle požadavků objednatele uvedených v zadávací dokumentaci veřejné zakázky. Zhotovitel i osoby podílející se na realizaci této smlouvy musí po celou dobu trvání této smlouvy splňovat kvalifikační kritéria stanovená v zadávací dokumentaci veřejné zakázky. Při porušení této podmínky má objednatel právo odstoupit od smlouvy.
m) Xxxxxxxxxx před uzavřením této smlouvy poskytl seznam poddodavatelů a je povinen tyto smluvně zavázat tak, aby plnili veškeré povinnosti zhotovitele uvedené v této smlouvě, ve stejném rozsahu jako je zavázán sám zhotovitel. Xxxxxxxxxx je povinen kdykoliv na vyžádání objednatele předložit smlouvu uzavřenou mezi ním a poddodavatelem, ze které vyplývá tento
díla vykazovat jakékoli vady či nedodělky, nebude objednatelem schválena, tyto vady či nedodělky budou uvedeny ve akceptačním protokolu spolu se lhůtou k jejich odstranění. Po odstranění vad bude zhotovitelem opětovně sepsán akceptační protokol ve smyslu tohoto článku smlouvy. Implementační projekt podléhá vlastní akceptační proceduře popsané v čl. 4 přílohy č.
1 této smlouvy, přičemž doba, po kterou bude objednatel posuzovat a připomínkovat implementační projekt se nezapočítává do doby plnění dle odst. V.2. písm. a) této smlouvy, tj. implementační projekt musí být v této lhůtě předán k připomínkám a schválení.
2. Akceptační protokol musí obsahovat minimálně tyto náležitosti:
a) označení příslušné části díla,
b) označení objednatele a zhotovitele (název, sídlo, IČO a DIČ),
c) číslo smlouvy o dílo a datum jejího uzavření, datum nabytí účinnosti smlouvy, včetně čísel a dat uzavření jejích případných dodatků,
d) název projektu: „Realizace bezpečnostních opatření podle zákona o kybernetické bezpečnosti II“, reg. č. dle požadavku objednatele,
e) datum zahájení a dokončení prací na příslušné části díla,
f) prohlášení objednatele, že provedení části díla schvaluje, pokud plnění nebude objednatelem schváleno, bude protokol obsahovat specifikaci vad plnění,
g) datum schválení části díla,
h) jméno, vlastnoruční podpis, kontaktní telefon a e-mail zástupců objednatele a zástupců
zhotovitele.
3. Objednatel se zavazuje dílo převzít pouze v případě, že bude předáno bez vad a nedodělků v souladu s čl. V odst. 3 a 4 této smlouvy. Předání a převzetí díla bude provedeno jednorázově. O předání a převzetí díla zhotovitel sepíše bezodkladně předávací protokol, ve kterém objednatel prohlásí, zda dílo přejímá či nikoli (dále jen "předávací protokol"). Dílo se bez ohledu na shora uvedené považuje za řádně převzaté objednatelem rovněž dnem uvedení díla na straně objednatele do rutinního provozu.
4. Předávací protokol musí obsahovat minimálně tyto náležitosti:
i) označení předmětu díla, vč. soupisu dodaných jednotlivých položek a provedených prací na díle v souladu s členěním dle čl. V.; vč. finančního vyjádření ceny za jednotlivé položky (cena bez DPH, výše DPH, cena s DPH) dle přílohy č. 2 této smlouvy,
j) označení objednatele a zhotovitele (název, sídlo, IČO a DIČ),
k) číslo smlouvy o dílo, datum jejího uzavření, datum nabytí účinnosti smlouvy, včetně čísel a dat uzavření jejích případných dodatků,
l) Název projektu: „Realizace bezpečnostních opatření podle zákona o kybernetické bezpečnosti II“, reg. č. dle požadavku objednatele,
m) datum zahájení a dokončení prací na díle,
n) prohlášení objednatele, že dílo přejímá, pokud plnění nebude objednatelem převzato, bude protokol obsahovat specifikaci vad plnění,
o) datum a místo předání a převzetí díla,
p) jméno, podpis, kontaktní telefon a e-mail zástupců objednatele a zástupců zhotovitele.
5. Zhotovitel a objednatel jsou oprávněni uvést v zápisech cokoliv, co budou považovat za nutné či podstatné.
6. Vlastnické právo k dílu (vyjma autorských děl a software vytvořených či poskytnutých v souvislosti s vytvořením díla) včetně věcí, které jsou součástí díla, přechází na objednatele dnem převzetí díla objednatelem; převzetím díla objednatelem na něj přechází též nebezpečí škody na díle včetně věcí, které jsou součástí díla.
7. Nebezpečí škody na díle nese od počátku zhotovitel, a to až do dne předání a převzetí kompletního díla bez jakýchkoli vad a nedodělků mezi zhotovitelem a objednatelem.
8. Pokud činností zhotovitele dojde ke způsobení škody objednateli nebo třetím osobám z titulu opomenutí, nedbalosti nebo neplněním podmínek vyplývajících z obecně závazných právních předpisů, technických nebo jiných norem nebo vyplývajících z této smlouvy, je zhotovitel povinen bez zbytečného odkladu tuto škodu odstranit a není-li to možné, tak finančně uhradit. Veškeré náklady s touto škodou spojené nese zhotovitel. Smluvní strany se dohodly, že odpovědnost zhotovitele za škodu dle tohoto odstavce je limitována do částky odpovídající ceně za dílo bez DPH dle čl. VI odst. 1 této smlouvy.
9. Žádná ze smluvních stran není povinna nahradit škodu, která vznikla v důsledku věcně nesprávného nebo jinak chybného zadání, které obdržela od druhé smluvní strany. V případě, že objednatel poskytl zhotoviteli chybné zadání a zhotovitel s ohledem na svou povinnost provést dílo s odbornou péčí mohl a měl chybnost takového zadání zjistit, smí se ustanovení předchozí věty dovolávat pouze v případě, že na chybné zadání objednatele písemně upozornil a objednatel trval na původním zadání.
IX.
Licenční ujednání
1. Zhotovitel poskytuje touto smlouvou objednateli a objednatel touto smlouvou přijímá nevýhradní oprávnění k užití software dodávaného jako součást díla (dále jen „licence“), a to všemi způsoby uvedenými v § 12 odst. 4 zákona č. 121/2000 Sb., o právu autorském o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů, tak, aby byla zajištěna bezvadná funkčnost a provozuschopnost systému PIM/PAM dle podmínek stanovených touto smlouvou. Licencí se rozumí oprávnění objednatele k výkonu práva duševního vlastnictví k software a užití software pro potřeby objednatele. Odměna za poskytnutí licence je součástí ceny díle dle čl. VI této smlouvy. Zhotovitel poskytuje touto smlouvou objednateli též nevýhradní licenci k užití případného autorského díla, které zhotovitel při plnění této smlouvy vytvoří.
2. Zhotovitel výslovně prohlašuje, že je oprávněn disponovat právy k duševnímu vlastnictví, včetně práv autorských v rozsahu nezbytném k řádnému plnění předmětu této smlouvy, a zavazuje se za tímto účelem zajistit řádné a nerušené užívání provedeného díla. Odpovědnost za neoprávněný zásah do autorských i jiných práv třetích osob nese výlučně zhotovitel.
3. Územní rozsah a časový rozsah licencí udělených na základě této smlouvy je neomezený.
4. Zhotovitel se zavazuje, že prováděním plnění dle této smlouvy nezasáhne neoprávněně do autorských práv třetí osoby. S nositeli chráněných práv duševního vlastnictví vzniklých v souvislosti s poskytováním díla dle této smlouvy je zhotovitel povinen vždy smluvně zajistit možnost volného nakládání s těmito právy objednatelem.
X.
Platební a fakturační podmínky
1. Úhrada ceny za dílo bude provedena jednorázově po převzetí díla (všech částí díla) bez vad a nedodělků dle čl. V odst. 4 této smlouvy na základě vystavené faktury. Smluvní strany se dohodly, že objednatel nebude zhotoviteli poskytovat zálohy.
2. Je-li zhotovitel plátcem DPH, bude podkladem pro úhradu ceny za dílo faktura, která bude mít náležitosti daňového dokladu dle zákona o DPH a náležitosti stanovené dalšími obecně závaznými právními předpisy. Není-li- zhotovitel plátcem DPH, bude podkladem pro úhradu ceny za dílo faktura, která bude mít náležitosti účetního dokladu dle zákona č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů a náležitosti stanovené dalšími obecně závaznými právními předpisy. Faktura musí dále obsahovat:
a) číslo smlouvy objednatele, číslo veřejné zakázky (tj. 125/2023), IČO objednatele,
b) předmět plnění a jeho přesnou specifikaci ve slovním vyjádření, tj. text v souladu s čl. IV této
smlouvy,
c) Název projektu, registrační číslo projektu,
d) označení banky a číslo účtu, na který musí být zaplaceno (pokud je číslo účtu odlišné od čísla uvedeného v čl. I odst. 2, je zhotovitel povinen o této skutečnosti v souladu s čl. II odst. 2 a 3 této smlouvy informovat objednatele),
e) lhůtu splatnosti faktury,
f) označení osoby, která fakturu vyhotovila, včetně jejího kontaktního telefonu a e-mailu,
g) označení útvaru objednatele, který případ likviduje (odbor evropských projektů po dobu realizace projektu, poté odbor informatiky), v případě, kdy dojde ke změně útvaru na straně objednatele, který případ likviduje, je objednatel povinen o této změně neprodleně informovat zhotovitele; smluvní strany se dohodly, že při takové změně není nutné uzavírat k této smlouvě dodatek,
h) informaci o zápisu o předání a převzetí díla a datum jeho podpisu. Zápis o předání a převzetí díla bude přílohou faktury,
i) Přílohou faktury bude zhotovitelem vypracovaný podrobný rozpis ceny předmětu plnění za účelem evidence majetku a jeho odepisování dle zákona č. 586/1992 sb., o daních z příjmu, ve znění pozdějších předpisů, zákona č. 563/1991 sb. o účetnictví, ve znění pozdějších předpisů a dle Pokynu Generálního finančního ředitelství č. D-22 k jednotnému postupu při uplatňování některých ustanovení zákona č. 586/1992 Sb., o daních z příjmů, ve znění pozdějších předpisů. U dlouhodobého hmotného a nehmotného majetku bude uveden klasifikační kód CZ—CPA za účelem odepisování dlouhodobého hmotného a nehmotného majetku. Podrobný rozpis ceny předmětu plnění i s klasifikačním kódem dle položkového rozpočtu bude objednateli předán zhotovitelem.
3. Povinnost objednatele zaplatit cenu za dílo je splněna dnem odepsání příslušné částky z účtu
objednatele.
4. Lhůta splatnosti faktury činí 30 kalendářních dnů ode dne jejího doručení objednateli. Doručení faktury se provede osobně na podatelně KÚ MSK, doručenkou prostřednictvím provozovatele poštovních služeb nebo elektronicky do datové schránky, příp. e-mailem na adresu podatelny xxxxx@xxx.xx. Objednatel preferuje elektronické doručení faktury.
5. Nebude-li faktura obsahovat některou povinnou nebo dohodnutou náležitost nebo bude-li chybně vyúčtována cena nebo DPH, je objednatel oprávněn fakturu před uplynutím lhůty splatnosti vrátit druhé smluvní straně k provedení opravy s vyznačením důvodu vrácení. Xxxxxxxxxx provede opravu faktury a znovu ji doručí objednateli. Odesláním vadné faktury zpět zhotoviteli přestává běžet původní lhůta splatnosti. Nová lhůta splatnosti běží ode dne doručení opravené faktury objednateli.
6. Objednatel prohlašuje, že dílo, které je předmětem smlouvy, nepoužije pro svou ekonomickou činnost, ale výlučně pro účely související s jeho činností při výkonu veřejné správy, při níž se nepovažuje za osobu povinnou k dani (viz § 5 odst. 3 zákona o DPH). Z uvedeného důvodu se na plnění, podléhá-li režimu přenesení daňové povinnosti dle příslušných ustanovení uvedeného zákona, tento daňový režim nevztahuje a zhotovitelem, je-li plátcem DPH, bude vystavena faktura za zdanitelné plnění včetně daně z přidané hodnoty.
7. Je-li zhotovitel plátcem DPH, uplatní objednatel institut zvláštního způsobu zajištění daně dle § 109a zákona o DPH a hodnotu plnění odpovídající dani z přidané hodnoty uhradí v termínu splatnosti faktury stanoveném dle smlouvy přímo na osobní depozitní účet zhotovitele vedený u místně příslušného správce daně v případě, že:
a) zhotovitel bude ke dni poskytnutí úplaty nebo ke dni uskutečnění zdanitelného plnění zveřejněn v aplikaci „Registr DPH“ jako nespolehlivý plátce, nebo
b) zhotovitel bude ke dni poskytnutí úplaty nebo ke dni uskutečnění zdanitelného plnění
v insolvenčním řízení, nebo
c) bankovní účet zhotovitele určený k úhradě plnění uvedený na faktuře nebude správcem daně zveřejněn v aplikaci „Registr DPH“.
Tato úhrada bude považována za splnění části závazku odpovídající příslušné výši DPH sjednané jako součást smluvní ceny za předmětné plnění. Objednatel nenese odpovědnost za případné penále a jiné postihy vyměřené či stanovené správcem daně zhotoviteli v souvislosti s potenciálně pozdní úhradou DPH, tj. po datu splatnosti této daně.
ČÁST C SERVISNÍ SMLOUVA
XI.
Předmět servisní smlouvy
1. Předmětem této části smlouvy je závazek zhotovitele poskytovat pro objednatele servisní a technickou podporu díla (dále také „servisní a technická podpora“) a odborné podpory dle odst. 6 a násl. tohoto článku.
2. Servisní a technickou podporou se rozumí:
• řešení technických problémů, nefunkčností, nestabilního chování, poruch či chyb díla, včetně záruky u HW,
• řešení a odstraňování bezpečnostních zranitelností díla,
• průběžné provádění inovace díla. Výsledkem inovace díla budou nové verze díla, vzniklé jako:
- update a upgrade, v důsledku samostatné inovační činnosti zhotovitele, nevynucené změnou právních předpisů nebo požadavky objednatele, nebo
- legislativní update a upgrade, vynucené změnou právních předpisů, nebo
- technologický update a upgrade, zahrnující provádění obecných změn díla v důsledku vývoje HW a software (dále jen „SW“) prostředků, např. z důvodu aktualizace operačního systému, SW platformy, SW/HW komponent, popřípadě změnou technologických postupů objednatele, které mají vliv na funkčnost díla.
Zhotovitel bere na vědomí, že všechny nové verze díla (včetně veškerých nově zakomponovaných funkcionalit), které vznikly v důsledku průběžných inovací díla dle tohoto odstavce smlouvy jsou updatem či upgradem díla. Cena za tyto nové verze díla je zahrnuta v ceně servisní a technické podpory dle čl. XIII této smlouvy,
• distribuce inovovaného díla za účelem legislativního update nebo upgrade bude provedena před termínem účinnosti změn příslušných právních předpisů.
3. Ke každé inovované verzi díla, včetně update a upgrade, je zhotovitel povinen dodat seznam změn a úprav v elektronické formě, které byly provedeny v inovované verzi. Budou-li inovované verze obsahovat modifikovanou funkčnost oproti předchozí verzi, potom budou tyto verze zhotovitelem distribuovány spolu s náležitou dokumentací a aktualizovanou provozně technickou dokumentací v elektronické podobě a současně zhotovitel provede zaškolení/seznámení pracovníků objednatele s novou funkcionalitou.
4. Objednatel je v rámci provozu díla oprávněn provádět změny HW a SW, nastavení a konfigurace
HW a SW, a to tak, aby byl zabezpečen chod díla a související infrastruktury.
5. V rámci provádění servisní a technické podpory je zhotovitel povinen písemně oznámit objednateli požadovaný termín a rozsah odstávky díla a též požadované termíny výluky provádění servisní a technické podpory za účelem plánované údržby díla, alespoň 5 pracovních dnů předem. Tyto plánované zásahy se zhotovitel zavazuje provádět, pokud je to možné, mimo frekventované časy, tj. o víkendech a ve dnech pracovního volna v době od půlnoci do 12:00 h, případně v pracovní dny v době od 22:00 h do 05:00 h.
6. Součástí plnění servisní smlouvy je také odborná podpora zajišťující rozvoj díla (dále jen
„odborná podpora“). Předmětem odborné podpory jsou práce, které slouží k rozvoji díla umožňující jeho úpravu, konfiguraci a rozšiřování funkcionalit díla a také školení, prováděná zhotovitelem v sídle objednatele (pokud se smluvní strany nedohodnou jinak) jejichž obsah bude smluvními stranami předem dohodnut. Pro odstranění veškerých pochybností smluvní strany prohlašují, že předmětem odborné podpory není servisní a technická podpora ani související práce spojené s odstraňováním vad a průběžnými inovacemi díla.
7. Odbornou podporu realizuje zhotovitel pouze na základě samostatné objednávky objednatele (dále jen „objednávka“), která bude zaslána osobou oprávněnou jednat za objednatele prostřednictvím e-mailu osobě oprávněné jednat ve věci smlouvy za zhotovitele, která objednávku do 2 pracovních dní potvrdí a toto potvrzení zašle prostřednictvím e-mailu zpět odesílateli objednávky; bez tohoto potvrzení a zaslání zpět k objednateli není možné odbornou podporu poskytnout. Seznam oprávněných osob k jednání za smluvní strany ve věci této smlouvy tvoří přílohu č. 3 této smlouvy.
8. Předmětem objednávky musí být vždy specifikace odborné podpory, maximální časový rozsah odborné podpory v hodinách a termín poskytnutí odborné podpory a jakékoliv další případné upřesňující podmínky. Odbornou podporu realizuje zhotovitel vždy jen v rozsahu stanoveném v objednávce. V případě, že objednatelem stanovený maximální časový rozsah poskytované odborné podpory nebude odpovídat skutečnému časovému rozsahu, který zhotovitel potřebuje pro poskytnutí odborné podpory, je zhotovitel povinen neprodleně o této skutečnosti informovat objednatele, aby spolu dohodli další postup.
9. Ke každé poskytnuté odborné podpoře bude zhotovitelem zpracovaný písemný záznam, který bude obsahovat min. datum a časový rozsah provedené odborné podpory a stručný popis předmětu poskytnutí odborné podpory. Tento záznam zhotovitel zašle zpět na e-mailovou adresu objednatele, ze které byla zaslána objednávka odborné podpory, do 5 dnů ode dne, kdy byla odborná podpora poskytnuta. Přijetí záznamu o provedení odborné podpory potvrdí objednatel prostřednictvím e-mailu.
10. Maximální rozsah poskytnuté odborné podpory je sjednán na 96 hodin (člověkohodin) za jeden kalendářní rok, přičemž poskytování odborné podpory bude probíhat nejdříve v roce 2024; poskytovatel bere na vědomí, že objednatel není povinen vyčerpat celý sjednaný rozsah dle této věty.
11. Na práva a povinnosti smluvních stran se přiměřeně použijí ustanovení čl. VII této smlouvy.
XII.
Místo a doba plnění
1. Místem plnění služeb je sídlo objednatele, kterým je budova KÚ MSK, se sídlem 28. října 117,
702 18 Ostrava.
2. Část služeb, u kterých nebude vyžadována forma osobní účasti zhotovitele a jejichž rozsah bude odsouhlasen objednatelem, je zhotovitel oprávněn poskytovat dálkovou formou z prostor zhotovitele (dále jen "vzdálený přístup"), a to v souladu s čl. XVI této smlouvy. Vzdálený přístup bude zhotoviteli objednatelem zajištěn zabezpečeně v souladu s bezpečnostní politikou objednatele. V konkrétních případech se mohou smluvní strany dohodnout jinak.
3. Zhotovitel se zavazuje, že vzdálený přístup na základě této smlouvy bude využívat jen za účelem poskytování služeb servisní a technické podpory uvedených v této smlouvě. Porušení této povinnosti bude považováno za podstatné porušení smlouvy.
4. V případě změny v seznamu oprávněných osob obsaženém v příloze č. 3 této smlouvy jsou smluvní strany povinny se navzájem o těchto změnách informovat; v případě takových změn není nutné k této smlouvě uzavírat dodatek. Změna je účinná od jejího oznámení druhé smluvní straně.
5. Servisní a technická podpora bude zhotovitelem poskytována ode dne, kdy bude dílo řádně předáno objednateli a následně po dobu 60 měsíců.
objednateli potvrdí přijetí požadavku. Příjem požadavků je zhotovitel povinen zajistit v režimu
7x24.
13. Garantovanou dobou odstranění vady se rozumí časový úsek od okamžiku, kdy objednatel zadá požadavek s nahlášením vady do Service Desku objednatele (případně telefonicky či e-mailem) do doby, kdy zhotovitel vadu odstraní a umožní objednateli provoz bez vady.
14. Za dílčí vyřešení požadavku se považuje i takový zásah, který způsobí změnu kategorie vady na nižší. Pokud zhotovitel provede takový zásah, je oprávněn snížit kategorii požadavku.
15. Zhotovitel nenese odpovědnost za přerušení provozu systému pro správu zranitelností zaviněné třetími osobami či zásahem vyšší moci (požár, zemětřesení apod.), případně poruchou na zařízeních třetích osob (např. výpadek elektřiny, výpadek jiných serverů provozovaných objednatelem apod.), pokud prokazatelně nebyl schopen těmto skutečnostem zabránit nebo předejít. Zhotovitel neodpovídá za případné škody či ušlý zisk objednatele v souvislosti s přerušením provozu systému pro správu zranitelností z důvodů uvedených v tomto odstavci.
16. Plánované zásahy zhotovitele na díle (tzv. servisní okna) musí být nahlášeny objednateli s alespoň 7denním předstihem a je nutné je provádět, pokud možno mimo frekventované časy, tj. o víkendech a ve dnech pracovního volna v době od půlnoci do 12:00 hod., případně v pracovní dny v době od 22:00 do 5:00 hod.
17. Všechny významné změny díla musí zhotovitel před jejich nasazením přezkoumat a posoudit z hlediska dopadů těchto změn, včetně dopadů na bezpečnost informací a je-li to možné, před nasazením do produkčního prostředí budou změny zhotovitelem otestovány. Zhotovitel o výsledcích přezkoumání a testování informuje objednatele před nasazením významné změny s alespoň 7denním předstihem. Významnou změnou je takový typ změny, který podstatným způsobem ovlivňuje konfiguraci díla, zásadně mění vazby na ostatní systémy provozované objednatelem, zásadně mění výstupy procesů, funkčnost části či celého díla, má dopad na obsah dat, případně mění datový model nebo nutnost změny je dána změnou legislativy, smluvních nebo regulatorních požadavků nebo změnu vyvolá bezpečnostní incident a jeho řešení anebo bylo identifikováno neakceptovatelné riziko, které se musí řídit. Významnou změnou je také změna, která má nebo může mít vliv na kybernetickou bezpečnost.
18. Před nasazením každé významné změny do produkčního prostředí díla vypracuje zhotovitel nouzové postupy pro přerušení nasazovaných změn a obnovení po neúspěšných změnách a nepředvídaných událostech.
19. O navržené změně a o jejím schválení či neschválení objednatelem je proveden písemný záznam.
20. K poskytnuté servisní a technické podpoře bude za každé fakturační období zhotovitelem zpracovaný písemný záznam, který bude obsahovat výkaz činností provedených v rámci zajištění servisní a technické podpory. Tento záznam zhotovitel zašle na e-mailovou adresu osob objednatele oprávněných jednat ve věcech technických a smluvních, do 5 dnů od konce daného fakturačního období poskytování servisní a technické podpory. Přijetí záznamu o provedení servisní a technické podpory potvrdí objednatel prostřednictvím e-mailu. Záznam o provedení servisní a technické podpory je nedílnou součástí faktury vystavené zhotovitelem k uhrazení ceny za servisní a technické podpory dle čl. XIV této smlouvy.
21. Servisní zásahy na díle, které vyžadují přerušení fungování díla (činnosti systému pro správu zranitelností), budou přednostně a po dohodě s objednatelem prováděny mimo uvedenou pracovní dobu.
22. Služby budou poskytovány v českém jazyce.
XIII.
Cena za poskytování servisní a technické podpory a odborné podpory
1. Cena za poskytování služeb dle této smlouvy je uvedena v příloze č. 2.
2. Cena za servisní a technickou podporu za jeden rok dle XIII.1 této smlouvy je stanovena jako
maximální a bude uhrazena ročně po provedení těchto prací.
3. Cena za čerpání odborné podpory za jeden rok se stanoví jako součin pracnosti v člověkohodinách a hodinové sazby zhotovitele dle přílohy č. 2 této smlouvy. Odborná podpora tak bude hrazena dle skutečně vyčerpaných a odsouhlasených hodin.
4. Podrobný rozpis ceny za poskytování servisní a technické podpory a odbornou podporu je uveden v tabulce č. 2 v příloze č. 2 této smlouvy.
5. Xxxx za poskytování služeb podle odst. 1 tohoto článku smlouvy zahrnuje veškeré náklady zhotovitele spojené se splněním jeho závazku z této smlouvy, tj. cenu za poskytování služeb včetně dopravného, odměny za poskytnutí licence, práce technika apod. Cena za poskytování služeb je stanovena jako nejvýše přípustná a není ji možno překročit.
6. Zhotovitel odpovídá za to, že sazba daně z přidané hodnoty bude stanovena v souladu s platnými právními předpisy; v případě, že dojde ke změně zákonné sazby DPH, je zhotovitel k ceně díla bez DPH povinen účtovat DPH v platné výši. Smluvní strany se dohodly, že v případě změny ceny díla v důsledku změny sazby DPH není nutno ke smlouvě uzavírat dodatek. V případě, že zhotovitel stanoví sazbu DPH či DPH v rozporu s platnými právními předpisy, je povinen uhradit objednateli veškerou škodu, která mu v souvislosti s tím vznikla.
XIV.
Platební a fakturační podmínky
1. Cena za poskytování služeb servisní a technické podpory bude splatná zpětně za každý rok, ve kterém byly služby technické podpory poskytnuty, a to po dodání všech dokladů, které se k jejich poskytnutí vztahují, a na základě její fakturace zhotovitelem. Nárok na vyúčtování a úhradu ceny servisní a technické podpory vzniká prvním dnem následujícím po roce, ve kterém byly služby servisní a technické podpory poskytnuty. Podkladem pro úhradu ceny za poskytování služeb servisní a technické podpory bude faktura, která bude mít náležitosti stanovené obecně závaznými právními předpisy a touto smlouvou (dále jen „faktura").
2. Cena za odbornou podporu dle čl. XI odst. 6 této smlouvy bude hrazena vždy po jejím poskytnutí, které potvrdí objednatel v souladu s postupem dle čl. XI odst. 9 této smlouvy, a to vždy ve výši, která odpovídá skutečně poskytnutému rozsahu (tj. počtu hodin).
3. Pro další platební a fakturační podmínky se přiměřeně použije čl. X této smlouvy.
XV.
Práva z vadného plnění, záruka za jakost
1. Dílo má vadu, jestliže neodpovídá svou kvalitou a rozsahem požadavkům uvedeným v této smlouvě nebo požadavkům platných právních předpisů a norem nebo dílo není způsobilé k užívání k účelu vyplývajícím z této smlouvy.
2. Objednatel má právo z vadného plnění z vad, které má dílo při převzetí objednatelem, byť se vada projeví až později. Objednatel má právo z vadného plnění také z vad vzniklých po převzetí díla objednatelem, pokud je zhotovitel způsobil porušením své povinnosti. Projeví-li se vada v průběhu 6 měsíců od převzetí díla objednatelem, má se za to, že dílo bylo vadné již při převzetí, neprokáže-li zhotovitel opak.
3. Vady díla dle odst. 2 tohoto článku smlouvy a vady, které se projeví během záruční doby, budou zhotovitelem odstraněny bezplatně.
4. Veškeré vady díla je objednatel povinen uplatnit u zhotovitele bez zbytečného odkladu, a to
způsobem popsaným čl. XII odst. 6 a 7 této smlouvy.
5. Xxxxxxxxxx je povinen odstranit vadu díla ve lhůtách uvedených v čl. XII odst. 11 této smlouvy.
6. Objednatel má právo na odstranění vady opravou; je-li vadné plnění podstatným porušením smlouvy, má také právo od smlouvy odstoupit.
7. Pokud zhotovitel neodstraní vadu díla ve lhůtách uvedených v čl. XII odst. 11 této smlouvy, vyzve jej objednatel opětovně k jejímu odstranění. Pokud zhotovitel neodstraní vadu díla ani v náhradní lhůtě stanovené v opakované výzvě, je objednatel oprávněn nechat vadu díla odstranit
prostřednictvím třetího subjektu, a to na náklady zhotovitele. Při výběru tohoto třetího subjektu bude objednatel postupovat přiměřeně s péčí řádného hospodáře a takovým způsobem, který je pro odstranění vady díla obvyklý a běžný.
8. Zhotovitel je povinen uhradit objednateli škodu, která mu vznikla vadným plněním, a to v plné výši. Zhotovitel rovněž objednateli uhradí náklady vzniklé při uplatňování práv z vadného plnění.
Záruka za jakost
9. Zhotovitel poskytuje objednateli na HW záruku za jakost (dále jen „záruka“) ve smyslu § 2619 a § 2113 a násl. občanského zákoníku, a to v délce 24 měsíců (dále též „záruční doba“). Záruční doba začíná běžet dnem převzetí díla objednatelem. Záruční doba se staví po dobu, po kterou nemůže objednatel dílo řádně užívat pro vady, za které nese odpovědnost zhotovitel. Pro nahlašování a odstraňování vad HW v rámci záruky platí podmínky uvedené v odst. 3 a násl. tohoto článku smlouvy, pokud není níže stanoveno jinak.
10. Odstranění vady u HW musí být provedeno v souladu s SLA dle odst. XII.11 této smlouvy, pokud se smluvní strany v konkrétním případě nedohodnou písemně jinak. Pokud zhotovitel vadu u HW neodstraní ve stanovené lhůtě, je povinen objednateli poskytnout zdarma náhradní HW o stejných nebo vyšších technických parametrech, a to až do doby předání opraveného HW objednateli.
ČÁST D
OCHRANA INFORMACÍ, BEZPEČNOST
XVI.
Úprava vztahů související s bezpečností
1. Není-li stanoveno touto smlouvou výslovně jinak, je touto částí smlouvy mezi smluvními stranami upravena zejména bezpečnost informací, ochrana osobních údajů a bezpečnostní procesy a postupy objednatele, které souvisejí s plněním této smlouvy, zejména Směrnicí informační a kybernetické bezpečnosti KÚ MSK. Objednatel umožní zhotoviteli seznámit se s povinnostmi vyplývající pro externí dodavatele Moravskoslezského kraje ze Směrnice informační a kybernetické bezpečnosti KÚ MSK bezodkladně po nabytí účinnosti této smlouvy.
2. Zhotovitel je zejména povinen:
a) Zajistit seznámení všech pracovníků (vlastních zaměstnanců i poddodavatelů), kteří se budou podílet na plnění díla nebo servisní a technické podpoře (ať už osobně v místě plnění nebo vzdáleným přístupem) s pravidly a postupy bezpečnosti informací KÚ MSK a s pravidly pro vzdálený přístup, s nimiž bude zhotovitel seznámen objednatelem bezprostředně po nabytí účinnosti této smlouvy.
b) Řídit se při provádění díla pokyny objednatele a aktuálními interními pravidly objednatele, definovanými zejména ve Směrnici informační a kybernetické bezpečnosti KÚ MSK a v oblasti bezpečnosti práce a ochrany zdraví a požární ochrany, k nimž bude zhotovitel proškolen objednatelem bezprostředně po nabytí účinnosti této smlouvy.
c) Zajistit, aby jeho pracovníci (včetně poddodavatelů), kteří budou přítomni v prostorách objednatele, dodržovali všechny bezpečnostní předpisy tak, jak s nimi byli seznámeni objednatelem, zejména co se týče fyzických přístupů do zabezpečených prostor KÚ MSK.
3. Xxxxxxxxxx dále bere na vědomí, že na základě plnění této smlouvy může získat přístup k osobním údajům koncových uživatelů díla. Zhotovitel se zavazuje zpracovávat osobní údaje koncových uživatelů díla v souladu s touto smlouvou a relevantními právními předpisy.
4. Zhotovitel objednateli odpovídá za to, že dokumenty a soubory dat, které mu v rámci plnění předmětu smlouvy předal:
a) jsou kopiemi originálů příslušných dokumentů a souborů dat zhotovitele,
b) neobsahují žádné infiltrační prostředky,
c) že k nim má práva na jejich šíření, instalaci, konfiguraci a správu, která mu umožňují
s nimi nakládat a dále je poskytovat tak, jak je sjednáno v této smlouvě.
5. Xxxxxxxxxx bere na vědomí, že jeho aktivity prováděné na zařízeních objednatele prostřednictvím vzdáleného přístupu, budou monitorovány a uchovávány.
6. Všechny významné změny díla musí zhotovitel před jejich nasazením přezkoumat a posoudit z hlediska dopadů těchto změn, včetně dopadů na bezpečnost informací a je-li to možné, před nasazením do ostrého provozu tyto změny otestovat. Zhotovitel o výsledcích přezkoumání a testování informuje objednatele před nasazením významné změny s alespoň 7denním předstihem. Významnou změnou je takový typ změny, který podstatným způsobem ovlivňuje konfiguraci díla, zásadně mění vazby na ostatní systémy provozované na KÚ MSK, zásadně mění výstupy procesů, funkčnost díla, má dopad na obsah dat, případně mění datový model nebo nutnost změny je dána změnou legislativy, smluvních nebo regulatorních požadavků nebo změnu vyvolá bezpečnostní incident a jeho řešení anebo bylo identifikováno neakceptovatelné riziko, které se musí řídit. Významnou změnou je také změna, která má nebo může mít vliv na kybernetickou bezpečnost.
7. Před nasazením každé významné změny do produkčního prostředí díla vypracuje zhotovitel nouzové postupy pro přerušení nasazovaných změn a obnovení po neúspěšných změnách a nepředvídaných událostech.
8. O navržené změně a o jejím schválení či neschválení objednatelem je proveden písemný záznam.
9. Zhotovitel je povinen uchovávat veškerou dokumentaci související s realizací projektu včetně účetních dokladů minimálně po do 31. 12. 2035. Pokud je v českých právních předpisech stanovena lhůta delší, musí ji zhotovitel použít.
10. Každá faktura musí být označena registračním číslem projektu.
11. Zhotovitel je povinen minimálně do 31. 12. 2035 poskytovat požadované informace a dokumentaci související s realizací projektu zaměstnancům nebo zmocněncům pověřených orgánů (Centra, MMR, MF, Evropské komise, Evropského účetního dvora (dále také „EÚD“), Nejvyššího kontrolního úřadu (dále také „NKÚ“), příslušného orgánu finanční správy a dalších oprávněných orgánů státní správy) a je povinen vytvořit výše uvedeným osobám podmínky k provedení kontroly vztahující se k realizaci projektu a poskytnout jim při provádění kontroly součinnost.
XVII.
Klasifikace a ochrana informací, ochrana osobních údajů
1. Pro zajištění dostatečné ochrany informačních aktiv, kterými objednatel disponuje, klasifikuje objednatel data do klasifikačních skupin:
• veřejné, které jsou označeny písmenem "W",
• neveřejné, které jsou označeny písmenem "N",
• chráněné, které jsou označeny písmenem "CH".
2. Veškeré skutečnosti obchodní, ekonomické a technické povahy související se smluvními stranami, které nejsou běžně dostupné v obchodních kruzích a se kterými se smluvní strany seznámí při realizaci předmětu smlouvy nebo v souvislosti s touto smlouvou, jsou klasifikovány jako neveřejné. V případě, že budou zhotoviteli zpřístupněny osobní údaje, jsou pro účely této smlouvy považovány za neveřejné či chráněné informace.
3. Zhotovitel se zavazuje, že neveřejné či chráněné informace jiným subjektům nesdělí, nezpřístupní, nezkopíruje a neumožní jejich zkopírování ani nevyužije pro sebe nebo pro jinou osobu. Zavazuje se zachovat je v přísné tajnosti a sdělit je výlučně těm svým zaměstnancům nebo poddodavatelům, kteří jsou pověřeni plněním smlouvy a za tímto účelem jsou oprávněni se s těmito informacemi v nezbytném rozsahu seznámit. Zhotovitel se zavazuje zabezpečit, aby i tyto osoby považovaly uvedené informace za důvěrné a zachovávaly o nich mlčenlivost.
Zhotovitel bere na vědomí, že v průběhu plnění bude nakládat s neveřejnými informacemi a bude povinen zajistit ochranu nejen z hlediska důvěrnosti, ale také z hlediska integrity.
4. Zhotovitel se zavazuje, že dílo bude splňovat veškeré požadavky, které jsou na něj kladeny právními předpisy v oblasti ochrany osobních údajů a kybernetické bezpečnosti, zejména Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
5. Povinnost plnit ustanovení tohoto článku smlouvy ohledně neveřejných či chráněných informací
se nevztahuje na informace, které:
a) mohou být zveřejněny bez porušení této smlouvy,
b) byly písemným souhlasem obou smluvních stran zproštěny těchto omezení,
c) jsou známé nebo byly zveřejněny jinak než následkem porušení povinnosti jedné
ze smluvních stran,
d) příjemce je zná dříve, než je sdělí smluvní strana,
e) jsou vyžádány soudem, státním zastupitelstvím nebo příslušným správním orgánem
na základě zákona, popřípadě, jejichž uveřejnění je stanoveno zákonem,
f) smluvní strana sdělí osobě vázané zákonnou povinností mlčenlivosti (např. advokátovi nebo daňovému poradci) za účelem uplatňování svých práv.
6. Zhotovitel je povinen zlikvidovat veškeré neveřejné či chráněné informace, které se dověděl v průběhu plnění této smlouvy poté, co bude plnění z této smlouvy ukončeno, ať už splněním anebo jiným způsobem zániku této smlouvy.
7. Zhotovitel je povinen veškeré neveřejné nebo chráněné informace získané v průběhu plnění této smlouvy přenášet přes veřejné přenosové linky zabezpečené šifrováním, přičemž musí být použitý silný šifrovací algoritmus (šifrování AES-256, xxxxx xxx. 17 znaků a kombinace znaků ze všech kategorií – velká písmena, malá písmena, číslice a speciální znaky).
8. Zhotovitel je povinen přijmout veškerá potřebná opatření, která jsou nutná k zajištění plnění předmětu této smlouvy a která vyplývají z této smlouvy anebo z interních předpisů a postupů objednatele, se kterými bude zhotovitel seznámen.
9. Zhotovitel je povinen v souladu s touto smlouvou písemně (např. e-mailem) informovat kontaktní
osobu objednatele o kybernetických bezpečnostních incidentech dle zákona č. 181/2014 Sb.,
o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů, souvisejících s plněním této smlouvy, a to neprodleně, nejpozději do konce dne, kdy byl kybernetický bezpečnostní incident zjištěn. O kybernetický bezpečnostní incident se jedná zejména, dojde-li k nefunkčnosti aplikace, která souvisí s dílem či poskytováním servisní a technické podpory, ztrátě dat nebo neoprávněnému přístupu do takové aplikace nebo k datům. Zhotovitel je zároveň povinen ve lhůtě do 48 hodin od zjištění kybernetického bezpečnostního incidentu písemně (např. e-mailem) informovat o způsobu nápravy takovéto incidentu, a není-li možné v dané lhůtě nápravu zajistit, informovat rovněž o nejbližším možném termínu nápravy, který musí být objednatelem odsouhlasen. Stejnou informační povinnost dle tohoto odstavce smlouvy má zhotovitel v případě, kdy dojde při plnění této smlouvy k situaci, která může mít pro objednatele významné dopady, které by mohly být srovnatelné s kybernetickým bezpečnostním incidentem.
10. Povinnost ochrany neveřejných a chráněných informací trvá bez ohledu na ukončení účinnosti této smlouvy. Neveřejné a chráněné informace jsou považovány za důvěrné údaje ve smyslu
§ 1730 odst. 2 občanského zákoníku.
ČÁST E OSTATNÍ UJEDNÁNÍ
XVIII.
Sankční ujednání
1. V případě, že zhotovitel neprovede příslušnou část díla včas, je povinen zaplatit objednateli smluvní pokutu ve výši 0,1 % z ceny za dílo bez DPH dle čl. VI odst. 1 této smlouvy, a to za každý započatý den prodlení.
2. Pokud zhotovitel neodstraní vadu díla ve lhůtách uvedených v čl. XII odst. 11 této smlouvy, případně u vady HW ve lhůtě dle čl. XV odst. 10 této smlouvy (kdy neposkytne ani náhradní HW dle tohoto odstavce), je povinen zaplatit objednateli smluvní pokutu ve výši 0,05 % z ceny za dílo bez DPH dle čl. VI odst. 1 této smlouvy, a to za každý započatý den prodlení.
3. V případě porušení některé z povinností zhotovitele uvedených v čl. VII, XVI a XVII této smlouvy, je zhotovitel povinen zaplatit objednateli smluvní pokutu ve výši 10.000 Kč, a to za každý zjištěný případ porušení těchto povinností, není-li v této smlouvě uvedeno jinak.
4. Pro případ prodlení se zaplacením ceny za dílo nebo ceny za poskytování servisní a technické podpory sjednávají smluvní strany úrok z prodlení ve výši 0,1 % z dlužné částky za každý i započatý den prodlení.
5. Smluvní pokuty se nezapočítávají na náhradu případně vzniklé škody, kterou lze vymáhat samostatně vedle smluvní pokuty, a to v souladu dle čl. VIII odst. 8 této smlouvy.
čl. XIX
Sankce vůči Rusku a Bělorusku
1. Zhotovitel odpovídá za to, že platby poskytované objednatelem dle této smlouvy nebudou přímo nebo nepřímo ani jen zčásti zpřístupněny osobám, vůči kterým platí tzv. individuální finanční sankce ve smyslu čl. 2 odst. 2 Nařízení Rady (EU) č. 208/2014 ze dne 5. 3. 2014 o omezujících opatřeních vůči některým osobám, subjektům a orgánům vzhledem k situaci na Ukrajině a Nařízení Rady (ES) č. 765/2006 ze dne 18. 5. 2006 o omezujících opatřeních vůči prezidentu Xxxxxxxxxxx a některým představitelům Běloruska a které jsou uvedeny na tzv. sankčních seznamech (dle příloh č. 1 obou nařízení).
2. Bude-li kterékoliv z nařízení v budoucnu doplněno či nahrazeno jinou legislativou obdobného významu, uvedená povinnost se uplatní obdobně.
3. Zhotovitel odpovídá za to, že po dobu trvání smlouvy nejsou naplněny podmínky uvedené v nařízení Rady (EU) 2022/576 ze dne 8. dubna 2022, kterým se mění nařízení (EU) č. 833/2014 o omezujících opatřeních vzhledem k činnostem Ruska destabilizujícím situaci na Ukrajině, tedy zejména, že zhotovitel není:
• ruským státním příslušníkem, fyzickou nebo právnickou osobou se sídlem v Rusku,
• právnickou osobou, která je z více než 50 % přímo či nepřímo vlastněna některou z osob dle předešlé odrážky, nebo
• fyzickou nebo právnickou osobou, která jedná jménem nebo na pokyn některé z osob uvedených v předešlých odrážkách.
Zhotovitel odpovídá za to, že po dobu trvání smlouvy žádná z výše uvedených podmínek není naplněna ani u jeho poddodavatele (nebo jiné osoby prokazující za zhotovitele kvalifikaci), který se bude na plnění této smlouvy podílet z více jak 10 % hodnoty plnění.
4. Zhotovitel je povinen objednatele bezodkladně informovat o jakýchkoliv skutečnostech, které mohou mít vliv na odpovědnost zhotovitele dle odst. 1 nebo 3 tohoto článku smlouvy. Zhotovitel
je současně povinen kdykoliv poskytnout objednateli bezodkladnou součinnost pro případné ověření pravdivosti těchto informací.
5. Dojde-li k porušení pravidel dle odst. 1 nebo 3 tohoto článku smlouvy, je objednatel oprávněn odstoupit od této smlouvy; odstoupení se však nedotýká povinností zhotovitele vyplývajících ze záruky za jakost, odpovědnosti za vady, povinnosti zaplatit smluvní pokutu, povinnosti nahradit škodu a povinnosti zachovat důvěrnost informací souvisejících s plněním dle této smlouvy.
1. Dojde-li k porušení pravidel dle odst. 1 nebo 3 tohoto článku smlouvy, je zhotovitel povinen zaplatit objednateli smluvní pokutu ve výši 250.000 Kč, a to za každý jednotlivý případ porušení. Smluvní pokuty se nezapočítávají na náhradu případně vzniklé škody, kterou lze vymáhat samostatně vedle smluvní pokuty, a to v plné výši.
XX.
Zánik smlouvy
1. Smluvní strany se dohodly, že smlouva zaniká:
a) dohodou smluvních stran.
b) jednostranným odstoupením od smlouvy pro její podstatné porušení druhou smluvní stranou, přičemž podstatným porušením smlouvy se rozumí zejména:
• neprovedení části díla v době plnění dle čl. V odst. 2 smlouvy, přičemž prodlení činí alespoň 14 dní,
• opakované (nejméně 2x) nedodržení pokynů objednatele, právních předpisů nebo technických norem, které se týkají provádění díla,
• opakované (nejméně 2x) nedodržení smluvních ujednání o záruce za jakost nebo o právech z vadného plnění,
• neuhrazení ceny za dílo objednatelem po druhé výzvě zhotovitele k uhrazení dlužné částky, přičemž druhá výzva nesmí následovat dříve než 30 dnů po doručení první výzvy.
2. Objednatel je dále oprávněn od této smlouvy odstoupit v těchto případech:
a) bylo-li příslušným soudem rozhodnuto o tom, že zhotovitel je v úpadku ve smyslu zákona č. 182/2006 Sb., o úpadku a způsobech jeho řešení (insolvenční zákon), ve znění pozdějších předpisů (a to bez ohledu na právní moc tohoto rozhodnutí);
b) podá-li zhotovitel sám na sebe insolvenční návrh;
c) dojde k významné změně kontroly nad dodavatelem nebo změně kontroly nad zásadními aktivy využívanými zhotovitelem k plnění dle této smlouvy ve smyslu písm. n) přílohy č. 7 VKB.
3. Pro účely této smlouvy se pod pojmem „bez zbytečného odkladu“ dle § 2002 občanského zákoníku rozumí „nejpozději do 3 týdnů“.
4. Objednatel je oprávněn ukončit poskytování servisní a technické smlouvy dle části C této smlouvy písemnou výpovědí zaslanou osobou oprávněnou jednat za objednatele uvedenou v čl. I odst. 1 této smlouvy na e-mailovou adresu osoby oprávněné jednat za zhotovitele uvedenou v čl. I odst. 2 této smlouvy. Servisní a technická podpora bude ukončena ve výpovědní době v délce 3 měsíců, která začne běžet prvního dne v měsíci následujícím po měsíci, ve kterém byla písemná výpověď doručena druhé smluvní straně.
5. V případě předčasného ukončení této smlouvy se smluvní strany zavazují jednat o uzavření dohody upravující jejich vzájemné nároky, vzešlé z předčasného ukončení této smlouvy.
6. V případě ukončení smlouvy (řádného i předčasného) má objednatel právo s pomocí provozně- technické a uživatelské dokumentace (definované objednatelem) doložené v editovatelné podobě (např. ve formátu .doc, .xlsx, Visio, Archi) pokračovat v provozu díla, a to buď samostatně, nebo s jiným zhotovitelem. Zhotovitel se zavazuje v takovém případě splnit tyto povinnosti:
a) poskytnout požadovanou součinnost v souvislosti s předáním podpory a provozu díla novému zhotoviteli nebo objednateli, včetně potřebných licencí, a to v souladu s exit plánem vytvořeným v rámci implementační studie,
b) poskytnout informace nezbytné k převzetí systému novým zhotovitelem nebo objednatelem,
c) poskytnout veškeré relevantní dokumentace k podpoře provozu díla, jeho rozvoji a ke všem datovým strukturám (modely, nastavení a další) v aktuálním stavu, které byly převzaty a vytvořeny v rámci plnění.
XXI.
Závěrečná ustanovení
1. Tato smlouva nabývá platnosti dnem jejího podpisu oběma smluvními stranami a účinnosti dnem, kdy vyjádření souhlasu s obsahem návrhu smlouvy dojde druhé smluvní straně, nejdříve však dnem jejího uveřejnění v registru smluv dle zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv), ve znění pozdějších předpisů (dále jen „zákon o registru smluv“).
2. Smluvní strany se dohodly, že uveřejnění této smlouvy v registru smluv v souladu se zákonem o
registru smluv zajistí objednatel.
3. Doplňování nebo změnu této smlouvy lze provádět jen se souhlasem obou smluvních stran, a to
pouze formou písemných, vzestupně číslovaných a takto označených dodatků.
4. Je-li nebo stane-li se některé ustanovení této smlouvy neplatné či neúčinné, zůstávají ostatní ustanovení smlouvy platná a účinná. Namísto neplatného či neúčinného ustanovení se použijí ustanovení obecně závazných právních předpisů upravujících otázku vzájemného vztahu smluvních stran. Smluvní strany se pak zavazují upravit svůj vztah přijetím jiného ustanovení, které by svým obsahem nejlépe odpovídalo záměru ustanovení neplatného či neúčinného.
5. Práva a povinnosti vzniklé z této smlouvy nesmí být postoupeny bez předchozího písemného souhlasu druhé smluvní strany.
6. Tato smlouva obsahuje úplné ujednání o předmětu smlouvy a všech náležitostech, které smluvní strany měly a chtěly ve smlouvě ujednat, a které považují za důležité pro závaznost této smlouvy, a nahrazuje veškerá předešlá ujednání mezi smluvními stranami ve stejné věci, a to ústní i písemná.
7. Žádný projev smluvních stran učiněný při jednání o této smlouvě ani projev učiněný po uzavření této smlouvy nesmí být vykládán v rozporu s výslovnými ustanoveními této smlouvy a nezakládá žádný závazek žádné ze smluvních stran.
8. Smluvní strany si nepřejí, aby nad rámec výslovných ustanovení této smlouvy byla jakákoliv práva a povinnosti dovozovány z dosavadní či budoucí praxe zavedené mezi smluvními stranami či zvyklostí zachovávaných obecně či v odvětví týkajícím se předmětu plnění této smlouvy, ledaže je ve smlouvě výslovně sjednáno jinak.
9. Smluvní strany si sdělily všechny skutkové a právní okolnosti, o nichž kterákoliv z nich k datu uzavření této smlouvy věděla nebo vědět musela, a které jsou relevantní ve vztahu k uzavření této smlouvy. Kromě ujištění, která si smluvní strany poskytly v této smlouvě, nebude mít žádná ze smluvních stran žádná další práva a povinnosti v souvislosti s jakýmikoliv skutečnostmi, které vyjdou najevo a o kterých neposkytla druhá smluvní strana informace při jednání o této smlouvě. Výjimkou budou případy, kdy daná smluvní strana úmyslně uvedla druhou smluvní stranu ve skutkový omyl ohledně předmětu této smlouvy.
10. Pro vyloučení pochybností smluvní strany výslovně potvrzují, že na závazky z této smlouvy
vzniklé se nepoužijí tato ustanovení občanského zákoníku:
a) neúměrné zkrácení - § 1793 až § 1795;
b) změna okolností - § 1765;
c) zákaz ultra duplum - § 1805 odst. 2;
d) § 2004 odst. 1 a odst. 2 druhá věta.
11. Smluvní strany tímto prohlašují, že podpisem této smlouvy na sebe berou nebezpečí změny okolností a žádná ze smluvních stran tedy není oprávněna domáhat se po druhé smluvní straně a/nebo soudně obnovení jednání o této smlouvě nebo jejího zrušení z důvodu podstatné změny okolností zakládající hrubý nepoměr v právech a povinnostech smluvních stran.
12. Tato smlouva je uzavírána elektronicky, obě strany obdrží její elektronický originál opatřený uznávanými elektronickými podpisy.
13. Smluvní strany shodně prohlašují, že si tuto smlouvu před jejím podpisem přečetly a že byla uzavřena po vzájemném projednání podle jejich pravé a svobodné vůle, určitě, vážně a srozumitelně, a že se dohodly o celém jejím obsahu, což stvrzují svými podpisy.
14. Osobní údaje obsažené v této smlouvě budou objednatelem zpracovávány pouze pro účely plnění práv a povinností vyplývajících z této smlouvy; k jiným účelům nebudou tyto osobní údaje objednatelem použity. Objednatel při zpracovávání osobních údajů dodržuje platné právní předpisy. Podrobné informace o ochraně osobních údajů jsou uvedeny na oficiálních webových stránkách Moravskoslezského kraje xxx.xxx.xx.
15. Nedílnou součástí této smlouvy jsou následující přílohy:
Příloha č. 1: Technická specifikace díla – Minimální technická specifikace Příloha č. 2: Rozpis ceny díla a ceny za servisní a technickou podporu Příloha č. 3: Seznam oprávněných osob k jednání za smluvní strany Příloha č. 4: Technický popis nabízeného řešení (nabídka zhotovitele) Příloha č. 5: Pravidla auditu
Doložka platnosti právního jednání dle § 23 zákona č. 129/2000 Sb., o krajích (krajské zřízení),
ve znění pozdějších předpisů:
K uzavření této smlouvy má objednatel souhlas rady kraje udělený usnesením č. 97/7017 ze dne 20. 5. 2024
V Ostravě dne V Praze dne
Elektronický podpis: 15.7.2024 Certifikát autora podpisu: Jméno: Xxx. Xxxxx Xxxxxx, MBA Vydal: PostSignum Qualified CA 4 Platnost do: 23.4.2027 16:51 +02:00
Xx. Xxxxxx Xxxxx Digitální podpis: 26.06.2024 21:45:10
za objednatele
Xxx. Xxxxx Xxxxxx, MBA
hejtman kraje
za zhotovitele
Xx. Xxxxxx Xxxxx
Generální ředitel, jednatel společnosti
Příloha č. 1: Technická specifikace díla – Minimální technická specifikace
1. Požadovaná architektura pro řešení správy privilegovaného přístupu
systémem PIM/PAM
Zadavatel objednává v rámci veřejné zakázky pořízení nástroje pro řízení a správu privilegovaných účtů a přístupů, tzv. Privileged Identity Management a Privileged Access Management (dále jen
„PIM/PAM“), který zajistí jednotou centrální správu privilegovaných účtů, řízení přístupů k aktivům technologické (hardware/software) infrastruktury KÚ MSK včetně monitorování operací prováděných privilegovanými osobami.
Dodávka a implementace požadovaného systému PIM/PAM může být realizována:
• jako samostatný systém v prostředí KÚ MSK, nebo
• jako rozšíření stávajícího systému IBM Security Verify Priviledge Vault, který je určen pro správu privilegovaných účtů nemocnic a je provozován v prostředí Technologického centra Moravskoslezského kraje,
přičemž tato technická specifikace platí jak pro dodávku samostatného systému, tak pro rozšíření stávajícího systému.
2. Cíle veřejné zakázky
Cílem zadavatele je pořízení systému pro řízení a správu privilegovaných účtů (dále jen PIM/PAM), který zajistí jednotnou správu přístupu k privilegovaným účtům a monitorování operací prováděných pod těmito účty s vazbou na konkrétního administrátora, který v danou chvíli účet používá, včetně dvou faktorové autentizace a poskytnutí podrobného seznámení se správou dodaného systému pro IT pracovníky zadavatele.
Jednotlivé informační systémy, které zadavatel provozuje, jsou spravovány privilegovanými účty, které jsou využívány pro správu aplikací nebo systémových služeb a jako takové představují významné bezpečnostní riziko pro každou organizaci.
Z hlediska bezpečnosti umožňují téměř neomezený přístup a manipulaci s informačními aktivy organizace, v případě kompromitace privilegovaného účtu je organizace vystavena velkému riziku zneužití nebo vyzrazení informací nebo jejich zneužití.
Požadavek řídit privilegované účty je hlavním požadavkem zákona o kybernetické bezpečnosti (ZKB) a standardů kybernetické bezpečnost, týká se zajištění bezpečnosti informačních systémů, nejen, které jsou určeny jako významné informační systémy (VIS) nebo informační systémy kritické informační infrastruktury (IS KII). Nenaplnění těchto požadavků může vést k uvalení sankcí ze strany Národního bezpečnostního úřadu, který provádí cílené audity zaměřené na posouzení souladu se ZKB a VKB.
Krajský úřad v současnosti není správcem žádného informačního systému kritické informační infrastruktury, vystupuje ale jako správce významných informačních systémů. V současnosti jsou v rámci KÚ identifikovány následující významné informační systémy:
• Firemní poštovní server,
• IS GINIS/úřední deska (IS GINIS EKO, IS GINIS SSL),
• Webový portál (doména xxx.xx),
Cílem řešení je tedy kompletní přehled o tom, jak se privilegovaní uživatele v rámci infrastruktury zadavatele chovají a jestli tito uživatelé neporušují korporátní bezpečnostní politiku. Současně s nepřetržitou kontrolou nad aktivitami administrátorů na serverech a na koncových zařízeních, a to s možností zpětného auditu. Dále poskytuje také přístupovou vrstvu pro autentizaci administrátorů, tak aby bylo možné spárovat každý administrační zásah s konkrétní osobou pro tyto oblasti.
Rozsah dodávky poptávaného systému
• Dodávka software (dále také „SW“), perpetuálních licencí a maintenance s podporou SW
výrobce na období 5 let
• Dodávka HW a maintenance s podporou výrobce na 5 let
• Implementace dle bodu „Implementačního projekt a rozsah implementace)“ .
• Seznámení s obsluhou v rozsahu 3 MD.
• Dokumentace (Provozní, bezpečnostní).
• Odborná servisní podpora dodavatele na období 5 let v rozsahu 1 MD/měsíc (doplňková služba).
3. Popis poptávaného řešení (Požadované funkcionality řešení)
Cílem poptávaného řešení je vytvořit prostředí, kde pomocí dodaného systému bude zadavatel řídí management privilegovaných účtů, s přístupem k jednotlivým definovaným aktivům (autentizace, autorizace) včetně záznamu jejich činností jednotlivých privilegovaných uživatelů.
Požadované funkcionality poptávaného řešení
Dodané řešení bude zajišťovat níže uvedené minimální funkcionality:
a) Detekce
- Automatická identifikace a bezpečné ukládání privilegovaných účtů (jako jsou např. účty administrátorů (interní zaměstnanci i externí dodavatelé), servisní (systémové) účty, aplikační účty.
- Snadné rozpoznání všech privilegovaných účtů a ukládání hesel v zabezpečené části systému
- Detekce nastavených bezpečnostních politik
b) Správa a audit
- Audit, analýza a správa privilegovaných aktivit uživatelů a účtů.
- Vytvoření reportů prokazujících shodu a jejich sdílení s auditory a vedoucími pracovníky.
- Automatická rotace hesla.
- Upozornění týmu na zneužití oprávnění.
- Usnadnění dodržování standardů shody v rámci celého spektra uživatelů.
- Záznam relací indexované video záznam a textový přepis
c) Monitoring a správa
- Sběr, zaznamenávání, sledování a spravování privilegované aktivity účtu jednotlivých relací.
- Získání přehledu, jak jsou využívány privilegované účty s možností zabránění jejich zneužití.
- Umožnění získání kompletního přehledu pro SOC pomocí integrace se SIEM systémy, které jsou provozovány ve spolupráci se SOC.
- Řešení má sloužit jako auditní nástroj (Audit uživatele a přístup k privilegovaným účtům).
d) Ochrana a bezpečnost
- Ochrana privilegovaných účtů a administrátorských uživatelů od hackerů a interních
hrozeb
- Zavedení dedikovaných administrátorských účtů za účelem snižování rizika bez ovlivnění
produktivity
e) Procesy
-- Sjednotit procesy pro privilegované uživatelé ve všech dotčených organizacích
implementace
- Přidělení jednorázových hesel k jejich užívání
- Zprostředkuje bezpečný privilegovaný přístup jak pro interní privilegované uživatele, tak pro externí správce/dodavatele
- Zaznamená prováděné operace uskutečněné v privilegovaném přístupu
Základní požadavky řešení
Systém bude dodán jako celek a bude provozován ve dvou serverovnách zadavatele v režimu minimálně ACTIVE – PASIVE a 24x7x365.
Požadavkem zadavatele je, aby v jedné serverovně byl provozován a dodán dedikovaný HW prvek pro provoz a ukládání potřebných citlivých údajů řešení a v druhé serverovně bude systém provozován na platformě VMware zadavatele; v případě, že bude využit (rozšiřován) provozovaný systém, bude provozován v prostředí VMware, dle popisu uvedeného v příloze ZD (příloha č. 3 – Základní popis provozovaného řešení PAM na TCK).
Součástí dodávky je také dodání všech potřebných SW produktů a licenci pro bezproblémový provoz navrhovaného řešení dle požadavků uvedených v kapitole „Detailní specifikace zadání“.
Pro realizaci řešení lze využít CAL licence a OS Windows zadavatele. V případě nutnosti použití jiných licencí a OS , ty musí být součástí dodávaného řešení. Instalace dalších komponentů PIM/PAM nesmí vyžadovat dodatečné licence výrobce řešení.
Dodaný systém bude provozován s vlastní databází (včetně potřebných licencí), která zajištuje zašifrování dat spojených s privilegovanými účty (ID, heslo, práva, odkazy do integrovaných systémů). Nabízené řešení provádí pravidelnou automatickou synchronizaci se systémem LDAP/AD zadavatele v definované frekvenci, minimálně zpravidla 1x denně, a minimálně se synchronizuje stav účtu (otevřený, zavřený, blokovaný).
Systém, umožňuje připojit se ke koncovému zařízení z centrálně dostupné konzole, kde jsou spravovány politiky přístupu, bude realizován s využitím více faktorové autentizace poskytnuté
systémem, v závislosti na úspěšnosti výsledku autentizace povolí pokračovat v přihlašování uživatele k systému.
Práva k integrovanému systému je možno definovat v závislosti udělení povolení se přihlašovat k integrovanému systému a roli uživatele v daném systému. Správa se provádí centrálně a tuto správu provádí oprávněná role. Správa systému je realizována pomocí webového rozhraní. Pro komunikaci mezi klientem a PIM/PAM serverem je nutno vyžadovat certifikáty SSL. Pro nabízené řešení autentizace a autorizace bude nastaven proces a budou stanoveny jednotlivé role v tomto procesu správy autentizace a autorizace.
V nabízeném řešení je možné automatizovat procesy spojené s managementem privilegovaných účtů a reportingem. Logování aktivit prováděné správy a parametrizace nabízeného řešení systému. Logy jsou systémem vytvářeny na úrovni centrálního logu, kde jsou strukturovaně zaznamenány veškeré aktivity správců i uživatelů systému, logy budou zpracovávány v systému SIEM zadavatele.
Požadavkem je, aby nabízené řešení mělo reportingový nástroj, který pravidelně generuje auditní reporty ve standardních formátech MS Office (min. excel, word, csv a další).
V případě session recordingu jsou ukládány video soubory. Videa jsou systémem udržována
v definované historické velikosti (3 měsíce). Logy jsou dostupné a ukládané do doby potvrzení převzetí logu správcem do úložiště. Po této době lze nastavit automatizované smazání systémem.
Pro vybrané politiky, lze stanovit nahrávání relací. V rámci nastavené role bude moci správce/auditor prováděný zásah sledovat, zastavit případně ukončit.
Požadavky na licencování
Z pohledu licenční politiky jsou požadovány perpetuální licence s příslušnou maintenance v licenčním modelu, který je také označován, jako „model plovoucí licence“.
Privilegovaným uživatelem je ten, který potřebuje účet a pověření s oprávněním ke správě/ administraci privilegovaným oprávněním. Aby tak měl možnost vykonávat administraci v jednom nebo více systémech (například hesla databázového serveru, hesla bezpečnostních appliancí, popř. jiné pověření týkající se infrastruktury IT).
Níže uvedené informace popisují základní informace pro zvolení vhodného řešení a licenčního
modelu
• Min. počty systému pro správu hesel
o Win – 200ks
o Lin – 150ks
o Doména (AD) – 8ks
o Network – 100ks
o Aplikace (přes Terminal Servery) – 100ks
o Databáze – 30 (Oracle 5x, MSSQL 10x, zbytek MSSQL/PGSQL)
Požadavky na počty privilegovaných uživatelů a k nim počet potřebných vztažených licencí
s dodaným PIM/PAM jsou uvedeny v následující tabulce:
Organizace | Min. počet privilegovaných uživatelů (interních/externích) a k nim potřebné vztažené licence s dodaným systémem PIM/PAM | Min. počet zařízení/aplikací na koncových bodech |
Krajský úřad Moravskoslezského kraje | 30/270 | 588 |
Licencování nástroje pro řízení přístupů administrátorů k serverům nesmí být limitováno počtem přistupujících administrátorů k řešení. Zadavatel nepřipouští licenční omezení pro správu aplikací na koncových bodech a všechny tyto licence musí být součástí nabídky.
Součástí licence musí být také API pokud je licencováno zvlášť. Řešení musí být také dimenzované na minimální počet souběžných administrátorských relací v počtu 250 RDP a 450 SSH a obsahovat dostatečný počet licencí, včetně licencí třetích stran potřebných pro naplnění požadovaných souběžných spojení.
Součástí nabídky musí být úplná specifikace hardware (dále také „HW“) na úrovni „virtual machine template“ v režimu vysoké dostupnosti High availability (dále také „HA“), dále databází, operačních systémů a dalších licencí třetích stran, které systém bude využívat. Zadavatel uvádí, že uvedené zdroje budou závazné pro dodavatele v rámci detailního rozpracování Implementačního projektu
4. Implementační studie a rozsah implementace
V rámci nasazení systému bude probíhat vytvoření implementační studie, která popíše implementaci řešení včetně detailního návrhu harmonogramu realizace plnění. Harmonogram plnění bude v souladu s čl. V obchodních podmínek.
Základním minimálním obsahem implementační studie bude upřesnění instalace, parametrizace, definování workflow, popis realizace integrace s navazujícími systémy provozovanými v prostředí objednatele.
Součástí je popis, způsob a postup vlastní implementace v prostředí objednatele v tomto
minimálním rozsahu:
• Analýza prostředí objednavatele pro nasazení PIM/PAM technologie
• Vytvoření detailní harmonogramu realizace projektu
• Popis implementace technického řešení v rámci technické specifikace s popisem:
o Nastavení politik, workflow, pro PIM/PAM (Nastavení skupin a oprávnění uživatelů a administrátorů PAM, nastavení a přiřazení přístupových politik skupinám uživatelů, nastavení politik hesel podle skupin zařízení).
o Implementace vysoké dostupnosti, (řešení přes dvě lokality, v případě nedostupnosti řešení v primární lokalitě nahradí výpadek plnohodnotně záložní řešení) s automatickým přepnutím.
o Popis nastavení nahrávání privilegovaných relací, základní popis práce s relacemi,
reporty a další.
o Popis návrhu zálohování a obnovy (popisem nastavení pravidelného zálohování a obnovou řešení ze záloh DRP).
o Realizace integrace na SIEM objednavatele.
o Zakreslení do architektonického modelu MSK.
o Popis testovacích scénářů – funkční, zátěžové a akceptační testy:
▪ Funkční testy ověří, že implementované řešení poskytuje bezchybně všechny požadované funkcionality uvedené v této Technické specifikaci, včetně požadovaných integrací.
▪ Zátěžovými testy bude simulována práce uživatelů při obvyklých činnostech. Tím dojde k prověření vlastností PIM/PAM řešení na produkčním serveru s generovanou zátěží.
▪ Akceptační testování bude vykonáno na základě připravených testovacích scénářů.
Výsledky jednotlivých testů budou uvedeny v protokolu z testování, kde je vždy zaznamenám výsledný stav, již jeho součástí není případný seznam nalezených vad a nedodělků. Pokud tomu takto není, tak je proces akceptace opakován, dokud zhotovitel neodstraní veškeré výhrady
Implementační studie podléhá vlastní akceptační proceduře. Po předání implementační studie může objednatel do 10 pracovních dnů předat v písemné podobě zhotoviteli své výhrady. Zhotovitel neprodleně, nejpozději však do 10 pracovních dnů, nedohodnou-li se smluvní strany jinak, zapracuje objednatelem uvedené nedostatky a připomínky.
5. Seznámení se systémem
Požadavkem je zajištění seznámení specialistů (administrátorů) s obsluhou systému, které proběhne v prostorách zadavatele.
Konkrétní termíny a místo školení bude určené zadavatelem v souladu s harmonogramem.
Proškolení proběhne v Českém nebo Slovenském jazyce. Pro podporu specialistů bude zpracována školící dokumentace a poskytne specialistům komplexní informace v takovém rozsahu, aby po absolvování dokázali samostatně a dlouhodobě administrovat a provozovat dodané řešení.
6. Dokumentace
Požadavky na dokumentaci jsou v rozsahu požadavků technického designu, popisu konfigurace, instalační procedury, DR řešení a standartní dokumentace dodávané výrobcem.
Součástí dodávky musí být dokumentace v následujícím rozsahu:
a) Produktová dokumentace k systému PIM/PAM,
b) Popis architektury, instalační a implementační dokumentace a dokumentace k integraci systémů,
c) Administrátorské, uživatelské a školicí příručky, popis konfigurace, instalační procedury, DR řešení,
d) Bezpečnostní dokumentace (definice rolí, řešení přístupu, vytvoření hodnocení dopadu,)
e) Architektonická dokumentace – která bude zahrnovat podrobný popis architektury informačního systému v členění do modelu KÚ .
Popis architektury informačního systému bude obsahovat úplný výčet všech součástí informačního systému a jeho vazeb i vazeb na okolí, všech dostupných funkcí a poskytovaných služeb.
Architektonická dokumentace bude vypracována v modelu architektury MSK v souladu s metodickými pokyny MSK (poskytne zadavatel vybranému dodavateli bezodkladně po nabytí účinnosti smlouvy), Ministerstva vnitra České republiky, odboru Hlavního architekta eGovernmentu, především však s Národním architektonickým rámcem (viz. xxxxx://xxxxx.xxx.xx/xxx_xxxxxxxx).
Architektonické pohledy budou zpracovány a předány v architektonickém modelu MSK (model zahrnuje systémy a služby provozované a využívané KÚ a PO MSK) a ve standardizovaném modelovacím jazyku ArchiMate.
Pokud v průběhu realizace dojde k úpravě prováděcí dokumentace, dodavatel změny zapracuje do architektonického modelu MSK.
7. Technická a servisní podpora
Technická (maintenance) a servisní podpora je požadovaná v délce 60 měsíců
Odborná servisní podpora dodavatele na období 5 let v rozsahu 1 MD/měsíc (doplňková služba); odborná servisní podpora bude poskytována jen dle požadavků objednatele.
Dodavatel zajistí technickou podporu výrobce (maintenance) díla spočívající v průběžném provádění inovace díla.
Výsledkem inovace díla budou nové verze díla, vzniklé jako:
- update a upgrade, v důsledku samostatné inovační činnosti výrobce, nevynucené změnou právních předpisů nebo požadavky objednatele,
nebo
- legislativní update a upgrade, vynucené změnou právních předpisů,
nebo
- technologický update a upgrade, zahrnující provádění obecných změn díla v důsledku vývoje HW a SW prostředků, např. z důvodu aktualizace operačního systému, SW platformy, SW/HW komponent, popřípadě změnou technologických postupů objednatele, které mají vliv na funkčnost díla aj.,
nebo
- zranitelnosti, které účinně a systematicky ovlivňují operační systémy, základní software a knihovny použité při vývoji/provozu systému. Doba vystavení systému riziku jeho zneužití musí být minimalizována. Všechny zranitelnosti musí být ošetřeny do 2 měsíců od vydání oficiální bezpečnostní záplaty, resp. doporučeného postupu pro minimalizaci rizika zneužití.
Dodavatel zajistí servisní podporu s následující klasifikaci hlášení požadavků (problémů) souvisejících s provozem PIM/PAM nástroje (Popis hlášení je uveden OP):
Úroveň hlášení | Popis | |
A | „Kategorie III/ Kritická““ | Provozní aplikaci nelze z důvodu závady vůbec provozovat nebo má závada produktu kritický vliv na provozovanou aplikaci, kritický stav podporovaného systému – totální výpadek, systém vyžaduje okamžité řešení. |
B | „Kategorie II/Vysoká“ | Závada produktu výrazně omezuje správnou funkcionalitu aplikace, avšak produkt a aplikaci je možné s omezením provozovat. |
C | „Kategorie I/ Nízká“ | Nekritická závada produktu, která nemá na provoz aplikace výrazný vliv, aplikaci lze provozovat bez výrazného omezení. |
D | „Podnět/Námět“ | Námět na rozšíření implementace o nové požadavky, funkce a výsledky nebo na změny procesů vedoucích ke zkvalitnění nebo zvýšení bezpečnosti realizovaných v rozsahu servisní podpory max.12 MD ročně (odborná servisní podpora). |
S touto garantovanou úrovni servisních služeb:
Úroveň hlášení | Zahájení řešení | Doba vyřešení požadavku | |
A | „Kategorie III/ Kritická“ | Neprodleně, nejpozději do 4 hodin po oznámení chyby (v režimu 24*7) | do 2 dnů od zahájení řešení |
B | „Kategorie II/Vysoká“ | do 24 hodin po oznámení chyby (v režimu 24*7) | do 5 dnů od zahájení řešení |
C | „Kategorie I/ Nízká“ | do 3 pracovních dní (v režimu 24*7) | do 30 dnů od zahájení řešení |
Za dílčí vyřešení se považuje i takový zásah, který způsobí změnu stupně závažnosti problému na nižší. Pokud poskytovatel provede takový zásah, je oprávněn snížit závažnost servisního záznamu (kategorii požadavku).
8. Obecné požadavky na PIM/PAM
a) Veškeré dodávané SW produkty byly získány legálně a umožňují využití těchto produktů zadavatelem, jako koncovým zákazníkem, v souladu s distribučními a licenčními podmínkami výrobce zařízení,
b) Řešení nesmí být původem z nepřátelských zemí nebo zemí, které jsou ve válečném stavu vůči ČR potažmo EU. Konkrétně se jedná o Rusko, vůči kterému bylo vydáno také varování od NUKIB před hrozbou v oblasti kybernetické bezpečnosti spočívající v nedodržení smluvních závazků ze strany dodavatelů ICT služeb a produktů s významným vztahem k Ruské federaci (číslo jednací 3381/2022-NÚKIB-E/350 ze dne 21. 3. 2022). Zadavatel rovněž upozorňuje, že v případě uzavření smlouvy se zadavatelem platby poskytované zadavatelem v souvislosti s realizací veřejné zakázky nemohou být poskytnuty přímo nebo nepřímo ani jen zčásti osobám, vůči kterým platí tzv. individuální finanční sankce ve smyslu čl. 2 odst. 2 Nařízení Rady (EU) č. 208/2014 ze dne 5. 3. 2014 o omezujících opatřeních vůči některým osobám, subjektům a orgánům vzhledem k situaci na Ukrajině a Nařízení Rady (ES) č. 765/2006 ze dne 18. 5. 2006 o omezujících opatřeních vůči prezidentu Xxxxxxxxxxx a některým představitelům Běloruska, kteří jsou uvedeni na tzv. sankčních seznamech (dle příloh č. 1 obou nařízení).
c) V případě dodání SW produktů zadavateli, jako koncovému zákazníkovi, nebude zadavatel nijak omezen ve svých nárocích vyplývajících ze záruky výrobce dodávaného zařízení a z produktové podpory, kterou tento výrobce k dodávaným SW produktům poskytuje. Uvedené musí zahrnovat i nárok zadavatele na přístup k relevantním SW releases a novým verzím SW po celou dobu trvání podpory výrobce,
d) Musí být umožněn přístup zadavatele k dokumentaci výrobce SW a znalostní bázi, kterou výrobce v rámci své podpory poskytuje,
e) V databázi výrobce musí být zadavatel veden jako první uživatel zboží a licencí PIM/PAM, zadavatel požaduje originální a nová zařízení určená pro evropský trh. Před převzetím zboží si zadavatel vyhrazuje právo kontroly dle sériových čísel u výrobce. Pokud v databázi výrobce bude uveden jiný koncový uživatel než zadavatel, bude se jednat o porušení podmínky originálního a nového zařízení,
f) Dodavatel garantuje, že v případě dodání zboží zadavateli, jako koncovému zákazníkovi, bude dodavatelem poskytnuta k dodávanému zařízení záruka výrobce a produktová podpora v plném, výrobcem poskytovaném rozsahu,
g) Zadavatel požaduje, aby v rámci dodávky systému byla tato HW zařízení od stejného výrobce, stejného typu a shodného modelu, což značně usnadní správu, umožní jednotný management a eventuální výměnu porouchaných prvků a přispěje to k minimalizaci nákladů zadavatele na správu,
h) Součástí dodávky musí být poskytnutí práva užívat software (dále též „licence“).
9. Detailní specifikace zadání – definice požadovaných parametrů
V této části, která je nedílnou součástí této technické specifikace, je uveden soubor všech požadavků na předmětné plnění s technickou provázaností. Zde jsou blíže specifikovány minimální požadavky, které je nutno dodržet za všech ostatních uvedených podmínek. Takto specifikované požadavky představují kompletní a současně minimální úroveň.
Minimální požadavky na řešení | |
1. Řízení přístupů | Řešení poskytuje nástroj pro správu privilegovaných účtů, řízení přístupu k těmto účtům a monitoring veškerých aktivit privilegovaných účtů. Uživatelské přístupy jsou řízeny bezpečnostní politikou, kdy má vybraný uživatel práva přístupu pouze k definovaným účtům a systémům. Účty a systémy, ke kterým nemá práva přístupu, nejsou pro uživatele viditelné. |
2. Striktní oddělení přístupových oprávnění | Systém plně podporuje definování rolí. Uživatelé/skupiny uživatelů mají přístup pouze k vybraným účtům, systémům, auditním záznamům, konfiguraci atp. Řešení podporuje minimálně následující role: - Uživatel - Auditor - Administrátor systému |
3. Víceúrovňové schvalování přístupů | Řešení umožňuje víceúrovňové schvalování správcovských přístupů k cílovým systémům – přístupy lze omezit dle vybraného účtu, nebo na daný časový úsek. Schvalování přístupu lze vynutit odděleně pro přístup přihlašovacím údajům privilegovaného účtu, nebo pro připojení na koncový systém. O nových žádostech, schválení a zamítnutí budou uživatelé upozornění emailem, vytvořením ticketu v helpdesk systému atp. |
4. Bezpečnostní parametry | Řešení zaručuje vysokou bezpečnost přenášených a uložených informací (confidentiality, integrity, availability). Uložené informace, včetně nahrávek a spravovaným přihlašovacích údajů, jsou uloženy v jedné centrální a vysoce zabezpečené databázi. Řešení musí umožňovat omezení práv správce systému, a bez autorizace pro vlastníky dat. Systém musí být certifikovaný bezpečnostním standardem Common Criteria nebo evropskou certifikací obdobné úrovně. |
5. Jednotná centrální správa | Správa řešení je umožněna pomocí jednotné centrální správy. Řešení musí umožňovat konfiguraci systému pomocí RestAPI – správa uživatelů, zakládání a editace účtů, změny přihlašovacích údajů, terminace spojení atp. |
6. Integrace s ticketing nástroji | Řešení musí umožňovat integraci s ticketing nástroji třetích stran – žádost o schválení přístupu, přístup na základě existujícího tiketu atp. |
7. Podpora MS Active Directory | Řešení nabízí plnou integraci s Microsoft Active Directory na úrovni informací o uživatelích, příslušnosti ke skupinám a emailech. Integrace musí umožňovat mapování rolí v PAM řešení v návaznosti na skupiny v AD. |
8. Uživatelské rozhraní | Přístup k uživatelskému rozhraní je požadovaný přes webový portál s možností ověření přes LDAP/MS Active Directory a druhým faktorem (minimálně PKI karty, RSA ID, Radius server, …). |
9. Správa řešení pomocí Rest API | Řešení je možné spravovat pomocí Rest API, a to minimálně na úrovni vytváření uživatelů a účtů, nastavení oprávnění, system health monitoring, schvalování požadavků, autentizace atp. |
10. Silná autentizace | Nástroj umožňuje vynutit silnou autentizaci uživatelů pro přístup k uloženým údajům i pro bezpečné vzdálené připojení. Silnou autentizací je míněna minimálně možnost kombinace jméno/heslo + druhý faktor (RADIUS, PKI, certifikát, atp ...). Řešení musí umožňovat integraci s MFA nástroji třetích stran (např. Microsoft Authenticator, Google Authenticator). |
11. Šifrování a zabezpečení dat | Řešení musí splňovat standard FIPS 140-2 nebo obdobnou evropskou certifikaci a šifrovací algoritmy minimálně na úrovni AES-256 a RSA-2048. Řešení umožňuje společnostem splnit |
compliance požadavky pro ZKB, GDPR, PCI-DSS, SOX, HIPAA atd. | |
12. Vyhledávání a přidávání privilegovaných účtů | Řešení umožňuje vyhledávat privilegované účty v Active Directory a v operačních systémech Windows, Unix, Linux a přidat je (manuálně i automaticky) do systému řízení přístupu dle bezpečnostní politiky. Dále řešení musí umožnit definici typu účtů (např. běžný uživatel/ administrátor/root a pod.) Vyhledávání účtů nevyužívá instalaci agentů na koncová zařízení. |
13. Řízení hesel a SSH klíčů | Řešení umožňuje automatickou výměnu hesel a SSH klíčů privilegovaných účtů po ukončení relace (jednorázové heslo), neb v pravidelných intervalech dle bezpečnostní politiky. Rotaci hesla/SSH klíče lze vynutit i uživatelem. Hesla a SSH klíče se vyměňují bezagentsky. Řešení musí podporovat změnu přihlašovacích údajů minimálně pro typy systémů viz. bod "Podpora řízení hesel a bezpečné přístupy pro systémy", zároveň řešení musí umožňovat tzv. customizaci password management modulu pro další systémy zadavatele. |
14. Customizace Password Management | Řešení musí umožňovat možnost úpravy systému password management, tak aby bylo možné integrovat další systémy zadavatele. |
15. Řízení servisních účtů | Systém umožňuje vyhledat účty v MS Windows prostředí, při přidávání účtů upozorňuje na návaznosti, nebo automaticky integruje do systému. Při vynucení změny hesla je heslo propsáno i do návazných služeb. |
16. Vyhledání tzv. backdoor účtů a automatický onboarding | Systém umožňuje pravidelné vyhledávání účtů, které nejsou řešením spravovány, ale jsou používány pro přístupy na koncové systémy. Systém takové účty dokáže vyhledat, upozornit na jejich použití. |
17. Izolace RDP relací | Správcovský přístup na cílový systém bude zprostředkován pomocí tzv. terminal/proxy serveru prostřednictvím zvoleného komunikačního protokolu, aplikace a příslušného privilegovaného účtu tak, aby koncový uživatel neměl přístup k přihlašovacím údajům. Izolace přístupu je možná až na úroveň aplikace (typu webový prohlíže s konkrétní URL, MMC konzol s vybraným snap-in, konkrétní aplikace...např. MS SQL Management Studio, WinSCP či jiné rovnocenné aplikace.), kdy uživatel nemá možnost přistupovat k jiným službám, aplikací v rámci dané relace. Po ukončení aplikace se uzavře spojení celé relace. Vzdálené připojen k relaci lze navázat, jak přes vlastní GUI dodaného řešení, tak i pomocí standardních protokolů RDP a SSH a standardních klientů typu putty a remote desktop manager. U všech možností připojení ke vzdálené relaci pomocí standardních protokolů RDP a SSH musí být podporováno vynucení silné autentizace (minimálně integrace s LDAP a RADIUS). |
18. Izolace SSH relací | Správcovský přístup prostřednictvím SSH protokolu se bude provádět přes SSH Proxy, kde bude uživatel ověřen svými přihlašovacími údaji (je možné spárovat s MS Active Directory) a bude připojený zvoleným privilegovaným účtem na cílový systém bez zadávání hesla a dle bezpečnostní politiky. Pro připojení pomocí SSH Proxy je vyžadována podpora silné autentizace (minimálně integrace s LDAP, RADIUS, či autentizace pomocí SSH klíče). |
19. Vzdálené připojení pomocí prohlížeče | Vzdálené připojení zajišťuje řešení tak, aby nebylo potřeba dalších licencí třetích stran, např. MS CAL či jiných rovnocenných licencí, a tak, aby nebylo potřeba pro tento účel instalovat zvláštní server ať již fyzický, nebo virtuální, za účelem minimalizace nákladů na řešení. V případě potřeby MS CAL či jiných rovnocenných licencí, musí být tyto licence součástí nabídky (zadavatel má vlastní licence pro terminál servery) |
20. Nahrávání relací | Řešení musí umožňovat monitoring a nahrávání celé relace a aktivit privilegovaných účtů ve video formátu s možností kontextového vyhledávání, bez nutnosti instalace permanentních agentů na koncový systém, nebo na stanici administrátora/uživatele PAM Nahrávky jsou indexované a je možné v nich zpětně vyhledávat, Záznam ve formě metadat – minimálně u RDP spuštěné aplikace a události, u SSH relací jednotlivé příkazy. Pro přehrávání nahrávek není potřeba instalace nástrojů třetích stran (flash, java, codec, atp.…) a je dostupné z GUI dodávaného řešení. |
21. Manuální pozastavení/ terminace relací | Řešení nabízí možnost uživatelům s konkrétním oprávněním (Auditor) manuální nahlížení do probíhajících relací a jejich případné ukončení. |
22. Automatické pozastavení/ terminace relací | Řešení nabízí možnost automatického ukončení potenciálně nebezpečných SSH relací a reporting nad těmito potenciálně nebezpečnými relacemi. |
23. Možnost sledování relac v reálném čase | Řešení umožňuje sledovat aktivní relace dalším uživatelem (například auditor) a v případě nutnosti ukončit sledovanou relaci. Sledování "živých" relací je také možné pomocí prohlížeče a protokolu HTTPS. |
24. Kontrola relací | Systém umožňuje autorizovanému personálu centrálně vyhledávat v nahrávkách podle data, uživatele a spuštěného příkazu. |
Integrace se systémem SIEM (*McAFEE 5700 Appliance) pro zasílání logových informací (systém provozovaný zadavatelem) | Součástí řešení je požadována integrace na *SIEM, která bude zajišťovat možnost provádět průběžnou analýzu využívání privilegovaných účtů a následnou detekci potenciálně škodlivého chování – uživatel se připojuj z nestandardní IP, uživatel se připojuje na systémy, na které běžně nemá přístup, uživatel používá privilegovaný přístup v nestandardní časy apod.. |
25. Maximální velikost Nahrávky | Nahrávky musí být zaznamenávány efektivním způsobem (např. formou komprimace, zaznamenávání pouze aktivní relace). Řešení, které zaznamenává celou nahrávku není z kapacitních důvodů připouštěno. Maximální povolená velikost SSH/RDP nahrávek za 1 min je 20 MB. |
26. Okamžité zavedení uživatelů do systému | Řešení umožňuje okamžité zavedení nových uživatelů do systému. Správce řešení dokáže přes webové rozhraní vytvořit uživatele, přiřadit mu oprávněn s jakými privilegovanými účty může disponovat a pro jaké časového období. |
27. Vícefaktorová autentizace | Řešení musí podporovat více faktorovou autentizaci (mít ji plně za licencovanou) |
28. Nativní MFA | Řešení musí obsahovat nativní TOTP (Time-based one-time password) nástroj, pro silnou autentizaci přistupujících uživatel k nástroji. Nástroj musí generovat QR kódy pro rychlé zavedení silného ověření pro uživatele. Souběžně toto nativní řešení |
musí podporovat autentizační mechanismy min. typu (Microsoft Authenticator, Google Authenticator) | |
29. Šifrované spojení | Spojení mezi externím uživatelem a řešením PAM musí být plně šifrované. Není umožněno přímé spojení mezi stanicí uživatele a cílovým systémem – je využit princip bezpečného 'tzv jump' serveru. |
30. Just in time řízení přístupů | Nástroj musí při žádosti o přístup automaticky vyhodnocovat kontextová data založená na konkrétním dni, datu, času žadatele o přístup, ještě před schválením/odmítnutím daného přístupu. Tento proces musí být plně automatický. |
31. Bez agentské řešení | Základní řešení PAM nevyžaduje instalaci agenta na stanice uživatelů a na cílové systémy. Uživatelům je umožněno bezpečně přistupovat pomocí webového prohlížeče do řešení PAM. |
32. Podpora MFA autentizace | Řešení musí poskytovat zabezpečení přístup k systému buď integraci s Microsoft /Google nebo doporučeným systém MFA ze strany dodavatele, v tomto případě bude MFA součástí nabídky |
33. Ověření uživatele | Pro autentizaci k PIM/PAM se používá jméno + heslo a s možností nastavení více faktorové autentizace |
34. Podporované integrace | Systém musí podporovat minimálně následující integrace: - NTLM - SAML - Uživatelské heslo |
35. Zobrazení aktivit uživatele | Systém musí umožňovat audit jednotlivých akcí uživatel s privilegovanými účty – zobrazení hesla, změny uložených údajů, vytvoření relace. |
36. Audit administrátorských akcí | Řešení musí umožňovat vygenerování reportu veškerých aktivit administrátora řešení (např. Týdenní report) |
37. Předdefinované typy reportů | V nabízeném řešení musí být k dispozici minimálně následující předdefinované typy reportů: - Report uživatelů a jejich oprávnění, včetně výpisu účtů, které mají k dispozici, - Report o současném i historickém o změně hesel napříč prostředím, - Report aktivit nad účty (check out/in, přidělení účtu atp.). |
38. Podporované formáty reportů | Řešení musí generovat reporty min. ve formátech: JPG, CSV, |
39. Přístup k reportům | Řešení umožňuje nastavení přístup k reportům pouze pro vybrané uživatele. |
40. Nezpochybnitelný auditní záznam | Pro zabezpečení přístup k archivovaným relacím, systém neumožňuje uživatelům / správcům exportovat nahrávky do oblíbených video formátu, ani externě nakládat s nahrávkami a mít tak citlivé nahrávky plně pod kontrolou po celou dobu jejich existence. |
41. Zabezpečení auditních záznamů | Auditní záznamy a logy veškerých aktivit v zabezpečeném úložišti jsou chráněné proti změnám a smazání všemi uživateli), a to minimálně po dobu 30 dní. Auditní záznamy musí být bezpečně uložen v zašifrované podobě, tak aby k nim měl přístup pouze oprávněný uživatel. |
42. Monitoring pomocí RestAPI | Systém umožňuje monitoring jednotlivých komponent pomocí RestAPI – integrací s monitoring systémy zadavatele. |
43. Podpora systémů zadavatele | Systém musí umožňovat správu privilegovaných účtů pro různé druhy koncových systémů – minimálně v rozsahu viz. bod: "Podpora řízení hesel a bezpečné přístupy pro systémy". Případně možnost konfigurace a vývoje vlastních konektorů pro změnu hesel a vzdálených přístupů. |
44. Seznam podporovaných systémů | Výrobce musí poskytovat dostupný (ideálně URL) seznam integrovaných řešení na úrovni Password Management, Remote Session Management, SIEM atp. |
45. Rest API | Nabízený systém musí obsahovat API a mít jej plně zalicencované, jako rozhraní pro automatizaci a integraci třetích stran. Řešení musí umožnit integraci s nástroji typu Vulnerability Management, nebo RPA pro automatické a bezpečné vyzvedávání secrets pomocí API rozhraní. |
46. MFA - multi factor autentizace | Řešení musí podporovat integraci s nástroji třetích stran pro vynucení multifactorové autentizace. Minimálně na úrovní LDAP/S, RADIUS, PKI, RSA atp. |
47. SIEM integrace | Systém musí umožňovat integraci s nástroji SIEM – přenos logovaných auditních záznamů a to v reálném čase pomocí Syslog. |
48. Podpora řízení hesel a bezpečné přístupy pro systémy | Windows 7, 8, 8.1, 10, Windows Server 2008, 2012, 2016, 2019 Active Directory, HP iLO, Dell DRAC, Windows Services, VMWare, Citrix Red Hat, Suse, Unix, MS SQL, MySQL, Oracle, Checkpoint, Fortinet, Palo Alto, Cisco. |
49. Tlustí klienti | Integrace klientských aplikací: Microsoft Management Studio, WinSCP, Putty, VNC. Po integraci budou mít administrátoři dostupné jejich viditelné server v nativních výše zmíněných aplikacích a při přístupu přes tyto aplikace, budou zachovány všechny funkcionality řízení relací PAM (automatické přihlášení, nahrávání přístupu, rotace hesel,). |
50. Architektura řešení | Veškeré komponenty řešení musí splňovat nároky na vysoké zabezpečení a automaticky vynucovat tzv. hardening. Úložiště dat, kde jsou uloženy jednotlivé účty, přihlašovací údaje, nahrávky relací a auditní záznamy, je vysoce zabezpečeno. |
51. Nasazení | Řešení bude dodáno ve formě HW appliance (Rackové provedení), nebo veškerý potřebný HW pro provoz systemového nástroje, s instalovanou virtuální appliance, které jsou out-of-the-box dodány jako uzavřená hardenovaná platforma, obsahující všechny licence na provoz řešení, existují v produktové řadě výrobce a mají produktové číslo, a jsou výrobcem zabezpečeny proti bezpečnostním hrozbám „hardening“. |
52. Aktualizace appliance | Update OS na vyšší verzi lze provádět v rámci integrovaného rozhraní, v případě přechod na vyšší verzi v záruční době pokud nebude možný musí být realizována výměna appliance. Žadatel požaduje autonomní řízení aktualizací OS a samotného SW pomocí výrobcem dodávaných balíčků, použitím |
administračního rozhraní dodávaného výrobcem. Zadavatel požaduje nezávislost na místím REPOSITÁŘI/WSUSu. | |
53. Vysoká dostupnost řešení | Řešení musí být nasazeno ve vysoké dostupnosti pro zabezpečení High Availability, min v režimu Active-Passive, Disaster Recovery a zálohování tak, aby citlivá data byla stále vysoce zabezpečená a dostupná pouze vlastníkům dat. HA proces je plně automatický |
54. Souběžná spojení RDP | Systém musí umožňovat velký počet otevřených spojení a to až 5 na jednoho administrátora. Systém musí umožňovat alespoň 250 souběžných RDP spojení v jeden moment, při zachování 450 SSH spojení. |
55. Souběžná spojení SSH | Systém musí umožňovat velký počet otevřených spojení a to až 5 na jednoho administrátora. Systém musí umožňovat alespoň 450 souběžných SSH spojení v jeden moment, při zachování 250 RDP spojení. |
56. Zálohování systému | Řešení musí umožňovat bezpečné zálohování dat systému – zálohy musí být šifrované a přístup k zálohovaným datům je umožněn pouze pomocí zabezpečených postupů, které zajišťují integritu zálohovaných dat. |
57. Hardening úložiště dat | Řešení musí poskytovat automatický hardening úložiště dat, který bude nezávislý na zásahu správců systémů a bude minimalizovat možnou lidskou chybu. Musí se jednat o standardizovaný postup, jehož stabilita a bezpečnost je ověřená z předchozích nasazení řešení. |
58. Nouzové scénáře | Řešení musí pokrývat tzv. "nouzové scénáře“ s postupy, jak jednat v situacích s fatálním dopadem na PAM systém. Prodávající uvede rámcový popis pro řešení disaster recovery a nouzových scénářů, který bude detailně rozpracován při analýze. |
59. SNMP monitoring | Veškeré komponenty systému musí podporovat SNMP rozhraní, tak aby bylo možné monitorovat dostupnost. Požadován je monitoring vytížení CPU, obsazení disků a paměti. |
60. Síť certifikovaných partnerů na lokálním trhu | Výrobce garantuje síť certifikovaných partnerů na lokálním trhu, kde je zaručena technická znalost řešení, zkušenosti s implementací a řízením projektů PAM. |
61. Konzultační služby | Výrobce poskytuje vlastní konzultační služby v rámci projektů implementace PAM řešení. V rámci služeb jsou poskytovány konzultace a best practices ohledně zabezpečení privilegovaných účtů, vedení PAM projektů a postupná analýza aktuálního stavu zabezpečení zadavatele. |
62. Implementační služby | Součástí implementačních služeb je popis architektury nabízeného řešení a popis vazeb na jednotlivé komponenty. |
63. Program zabezpečení privilegovaných účtů | Výrobce poskytuje metodologii postupného zabezpečení privilegovaných účtů, včetně osobních konzultací na lokálním trhu. Metodologie popisuje základní témata a rizika svázaná s oblastí privilegovaných přístupů do IT infrastruktury. |
64. Počet spravovaných hesel v bezpečném úložišti | Řešení musí být tak dimenzované, aby umožňovalo uložit minimálně 28 000 hesel v rámci dodané licence |
65. Minimální kapacita úložiště auditních záznamů | Min 6 měsíců kde denně průměrná délka session je pro 5 interních administrátorů 8 hodin kdy jeden interní administrátor může mít až 5 session současně. Pro dodavatele délka session 4 – 6 hodin pro 6 až 10 současně připojený dodavatele |
Příloha č. 2: Rozpis ceny díla a ceny za servisní a technickou podporu
Tabulka č. 1 – Cena plnění za rozsah díla dle čl. VI odst. 1 smlouvy
Dílo (jeho části) | Cena bez DPH v Kč | Sazba DPH v % | Cena s DPH v Kč | |
Zpracování implementační studie (dle článku IV odstavce 1 písm. a) | 99 000 Kč | 21 | 119 790 Kč | |
Dodávka a implementace systému včetně HW (dle článku IV odstavce 1 písm. b) | Licence systému | 1 031 740 Kč | 21 | 1 248 405,4 Kč |
Dodávka HW appliance (zařízení) | 734 700 Kč | 21 | 888 987,0 Kč | |
Instalace a nastavení systému | 55 000 Kč | 21 | 66 550 Kč | |
Integrace s dalšími systémy | 120 000 Kč | 21 | 145 200 Kč | |
Testovací provoz – součinnost zhotovitele (dle článku IV odstavce 1 písm. c) | 55 000 Kč | 21 | 66 550 Kč | |
Zhotovení a dodání dokumentace (dle článku IV odstavce 1 písm. d) | 55 000 Kč | 21 | 66 550 Kč | |
Seznámení se systémem pro určené zaměstnance KÚ (dle článku IV odstavce 1 písm. e) | 36 000 Kč | 21 | 43 560 Kč | |
Celková cena za provedení díla | 2 186 440 Kč | 21 | 2 645 592,4 | |
Tabulka č. 2 – Cena plnění za poskytování servisní a technické podpory
Servisní a technická podpora | Cena bez DPH v Kč | Sazba DPH v % | Cena s DPH v Kč |
Cena za servisní a technickou podporu systému za 12 měsíců | 484 140 Kč | 21 | 585 809,4 Kč |
Cena za servisní a systémovou podporu na HW appliance za 12 měsíců | 26 450 Kč | 21 | 32 004,5 Kč |
Cena za 1 hodinu (člověkohodinu) poskytování odborné podpory | 1500 Kč | 21 | 1 815,0 Kč |
Cena za poskytování servisní a technické podpory za 60 měsíců a 480 hod. odborné podpory | 3 272 950 Kč | 21 | 3 960 269,5 Kč |
Tabulka č. 3 – Celková cena plnění za realizaci díla a poskytování servisní a technické podpory za 60 měsíců
Servisní a technická podpora | Cena bez DPH v Kč | Sazba DPH v % | Cena s DPH v Kč |
Celková cena za provedení díla. | 2 186 440 | 21 | 2 645 592,4 Kč |
Celková cena za servisní a technickou podporu systému za 60 měsíců | 2 420 700 | 21 | 2 929 047,0 Kč |
Celková cena za servisní a systémovou podporu na HW appliance za 60 měsíců | 132 250 | 21 | 160 022,5 Kč |
Odborná podpora – 480 hodin za 60 měsíců (dle čl. XI. odst. 6) | 720 000 | 21 | 871 200 Kč |
Celková cena plnění za realizaci díla a poskytování servisní a technické podpory za 60 měsíců a 480 hodin odborné podpory | 5 459 390 | 21 | 6 605 861,9 Kč |
Příloha č. 4 – Technický popis nabízeného řešení (nabídka zhotovitele)
Nabízíme řešení PAM pro řízení privilegovaných relací a účtů francouzského výrobce WALLIX, a to jako active/active cluster HW a virtuální appliance. Pro naplnění výkonových požadavků zadavatele se bude jednat o HW model „XLarge size HW appliance“ (produktový kód HW_APP_XL) s licencí „Premium“ (produktový kód PP_BA_PF_RUU) a virtuální appliance s 64x vCPU a 128 GB RAM. Doplňkově bude pro získání jednotného auditu nad relacemi navázanými přes obě instalované tzv. „Bastion“ appliance instalována virtuální appliance1 “WALLIX Access Manager“ (produktový kód PP_BA_AM_USR), která nevyžaduje2 instalaci v režimu vysoké dostupnosti. Vše s podporou výrobce i s lokální technickou podporou od DATASYS na 60 měsíců.
SSH a RDP privilegované relace bude samostatně odbavovat přímo „WALLIX Bastion“ appliance, pro privilegované spouštění aplikací Bastion využívá tzv. „jump server“ v podobě jednoho či více Microsoft Terminal Serveru, kterými již zadavatel ve své infrastruktuře disponuje.
Detailní licenční model
Nabízená edice „Premium“ zahrnuje všechny funcionality produktu „WALLIX Bastion“, včetně podpory pro dvounódový cluster a možnosti využívat API. To vše pro až 600 spravovaných cílů a neomezený počet uživatelů. Doplňkovou komponentu „WALLIX Access Manager“ pro centrální provádění auditu zaznamenaných privilegovaných relací bude moci využívat až 5 pracovníků zadavatele
1 2x vCPU, 4 GB RAM
2 Ale nabízená licence to umožňuje a v případě požadavku provedeme bez navýšení ceny i instalaci této komponenty
v režimu vysoké dostupnosti.
Technickou podporu v režimu 24x7 budou poskytovat specialisté DATASYS, kteří budou v případě potřeby zprostředkovateli technické podpory výrobce3 jsou popsány zde:
Základní specifikace potřeb souvisejících s operačními systémy a nabízeným řešením
Všechny komponenty nabízeného řešení budou dodány jako „appliance“ (HW nebo virtuální pro platformu VMware) a mabízené řešení tedy nemá další potřeby na operační systémy.
WALLIX Bastion – popis nástroje
Jedná se o nástroj produkovaný ve Francii, certifikovaný tamním národním úřadem pro kybernetickou bezpečnost (ANSSI). Už v roce 2016 získal nástroj mimo jiné i hodnocení „Nejlepší kup“ časopisu od Secure Computing, kdy dosáhl maximálního možného hodnocení ve všech aspektech.
WALLIX Bastion je modulární škálovatelné centralizované řešení poskytující jak řízení privilegovaných účtů a privilegovaných přístupů, tak i nahrávání a sledování privilegovaných relací. Řešení se skládá ze tří hlavních modulů:
SESSION MANAGER
V reálném čase monitoruje a řídí aktivity spojené s privilegovanými přístupy.
PASSWORD MANAGER
Správa hesel a SSH klíčů pro koncové systémy s využitím bezpečného úložiště hesel “Password Vault”.
ACCES MANAGER
Centralizace a zpřístupnění privilegovaných přístupů pomocí webového přístupového portálu.
WALLIX Session Manager
Tento modul zaznamenává aktivity privilegovaných účtů v reálném čase, včetně nahrávek obrazovek a volitelně i stisků kláves (key-logging). Poskytuje správu a řízení privilegovaných přístupů zejména pro:
• UNIX a Windows systémy, síťová zařízení, databáze, mainframy a virtuální infrastruktury
• Konzole, webové aplikace a “tlusté“ klienty
Umožňuje přístup ke zdrojům i pomocí nativních klientů, např. PuTTY, WinSCP, MSTC, OpenSSH, apod.
3 xxxxx://xxx.xxxxxx.xxx/xx-xxxxxxx/xxxxxxx/0000/00/XXXXXX_XXXXXXX_XXXXXXXX.xxx, varianta Bronze.
WALLIX Password Manager
Tento modul poskytuje správcům efektivní nástroj pro správu a vynucování politik hesel. Z pohledu bezpečnosti je toto vylepšeno tak, že jednotliví uživatelé disponují přístupovými údaji pouze a jenom dočasně a ke zdrojům, které potřebují ke splnění svých pracovních povinností. Toto má v důsledku ten efekt, že hesla a SSH klíče nemohou být prozrazena a zneužita. Základní charakteristika modulu:
• Vynucování pravidelných změn a rotací hesel
• Obsahuje dedikovanou knihovnu “pluginů” pro správu cílového hesla
• Podpora SSH certifikátů
WALIX Access Manager
Tento modul nabízí centrální webový portál pro uživatele a administrátory a tím jim poskytuje nástroj pro efektivnější sledování operací v reálném čase a poskytuje schopnost globálního vyhledávání napříč WALLIX Bastion infrastrukturou.
Příloha č. 5 – Pravidla auditu
1. Účel
Účelem této přílohy je stanovit pravidla pro audit prováděný na straně dodavatele v rozsahu plnění Smlouvy o dílo a servisní smlouvy systému pro správu privilegovaného přístupu (dále jen „PIM/PAM“), která byla uzavřena v návaznosti na výsledek zadávacího řízení na veřejnou zakázku Pořízení systému pro řízení a správu privilegovaných účtů (PIM/PAM) v prostředí krajského úřadu MSK (dále jen „veřejná zakázka“ a „Smlouva“). Dodavatelem se rozumí zhotovitel dle Xxxxxxx a Zadavatelem se rozumí objednatel dle Xxxxxxx.
2. Rozsah platnosti
Tento dokument je závazný pro všechny dodavatele a poddodavatele dle Smlouvy.
3. Pravidla auditu
3.1. Obecně
Dodavatel se bude v rozsahu předmětu plnění dle Smlouvy aktivně podílet na splnění povinností uvedených v
§ 8 a § 16 VKB, které musí splnit Zadavatel. Zejména se Dodavatel zavazuje v rozsahu předmětu plnění dle Xxxxxxx poskytnout adekvátní součinnost při výkonu kontroly Zadavatele ze strany Národního úřadu pro kybernetickou a informační bezpečnost dle § 23 ZKB.
Dodavatel umožní Zadavateli alespoň jednou ročně po dobu účinnosti Smlouvy provedení auditu kybernetické bezpečnosti u Dodavatele a jeho poddodavatelů.
Rozsah auditu bude ohraničen využíváním ICT prostředků Dodavatele pro potřeby plnění Smlouvy a uloženými či zpracovávanými daty a informacemi Zadavatele v ICT prostředí Dodavatele a jehož předmětem bude naplnění Kybernetických požadavků a vyhodnocení rizik dle bodu 3.4 tohoto dokumentu.
Zadavatel je oprávněn při auditu kybernetické bezpečnosti využít třetí stranu. V případě využití třetí strany bude Zadavatel odpovídat za třetí stranu, jako by audit kybernetické bezpečnosti prováděl sám, včetně odpovědnosti za způsobenou újmu.
Dodavatel umožní Zadavateli audit kybernetické bezpečnosti provedený prostředky Zadavatele nebo třetí strany, a to v lokalitě Dodavatele i vzdáleně, pokud to technické prostředky Dodavatele umožňují.
3.2. Nedostatky a neshody
Dodavatel je povinen odstranit nedostatky zjištěné:
• na základě provedení hodnocení rizik bezpečnosti informací dle bodu 3.4 tohoto dokumentu, nebo
• v rámci auditu kybernetické bezpečnosti
Dodavatel je povinen odstranit nedostatky/neshody ve lhůtě určené v písemném oznámení Zadavatele, která nebude kratší než 20 pracovních dní od doručení oznámení. Nestanoví-li Zadavatel lhůtu v písemném oznámení, zavazují se Smluvní strany dohodnout na lhůtě pro odstranění nedostatku, která nepřevýší 90 dní od doručení oznámení. V případě, že i po této lhůtě nebudou nedostatky/neshody odstraněny, má Zadavatel možnost jednostranně odstoupit/vypovědět Smlouvu; současně má Zadavatel nárok na smluvní pokutu ve výši
5.000 Kč, a to za každý započatý den prodlení se splnění povinnosti odstranit nedostatky dle tohoto odstavce.
3.3. Další povinnosti
Dodavatel je dále povinen poskytnout na vyžádání Zadavateli dokumenty a obdobné vstupy, které budou prokazovat naplnění Kybernetických požadavků.
Na požádání se Zadavatelem konzultovat kdykoli v průběhu realizace plnění dle Smlouvy detailní nastavení bezpečnostních opatření k naplnění kybernetických požadavků a pro takovéto konzultace zajistit účast kvalifikovaných pracovníků.
Dodavatel je dále povinen neprodleně informovat Zadavatele o všech významných změnách v naplnění Kybernetických požadavků, které nastanou kdykoli v průběhu trvání Smlouvy.
Dále je dodavatel povinen bezodkladně a s vyvinutím nejlepšího úsilí zajistit náhradní způsob naplnění kybernetických požadavků, pokud stávající řešení přestalo být funkční a efektivní.
Dodavatel při výkonu své činnosti včas a prokazatelně upozorní Zadavatele na zřejmou nevhodnost jeho požadavků či doporučení vztahující se ke Kybernetickým požadavkům, jejichž následkem může vzniknout újma nebo nesoulad se zákony nebo jinými obecně závaznými právními předpisy.
3.4. Řízení rizik v rozsahu plnění veřejné zakázky
Dodavatel se bude v rozsahu předmětu plnění veřejné zakázky aktivně podílet na splnění povinností uvedených v § 5 VKB, které musí splnit Zadavatel.
Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění veřejné zakázky na své straně:
• Řídit vlastní rizika, která mohou ovlivnit poskytování předmětu plnění dle Smlouvy.
• V minimálním intervalu jednou ročně (nebo i v případě významných změn činností prováděných pro Zadavatele nebo změn při poskytování dodávky, implementace a zajištění provozu PIM/PAM vytvořit a bude-li to Zadavatel požadovat, předložit mu zprávu o hodnocení rizik, která bude minimálně pokrývat:
a) Vyhodnocení stavu kybernetické bezpečnosti za hodnocený rok;
b) Identifikaci a hodnocení rizik s vazbou na předmět plnění;
c) Realizovaná bezpečnostní opatření;
d) Nepokrytá bezpečnostní rizika a návrh opatření;
e) Vyhodnocení bezpečnostních událostí a incidentů;
f) Aktuální stav souladu Dodavatele s Kybernetickými požadavky včetně přehledu Kybernetických požadavků, které
o nebyly aplikovány, včetně odůvodnění, a
o byly aplikovány, včetně způsobu plnění.
4. Související dokumentace
Dokument neobsahuje související dokumentaci.
5. Přílohy
Dokument neobsahuje přílohy.