Smlouva o poskytování služeb

2019/0482/OSI


Smlouva o poskytování služeb

číslo SWE/19/28


uzavřená podle ustanovení § 1746 odst. 2 zák. č. 89/2012 Sb., občanského zákoníku (dále jen „Občanský zákoník“)


VERA, spol. s r.o.

se sídlem: Xxxxx 0 - Xxxxxxxx, Xxxxx 000/0 zastoupená: Ing. Xxxxx Xxxxxxxxx, jednatelem

kontaktní adresa: Xxxxxxxxxx xxxxxxx 00/X, 000 00 Xxxxxxx xxx Xxxxxxxx IČ: 62587978, DIČ: CZ62587978

společnost zapsaná v obchodním rejstříku vedeném Městským soudem v Praze,

xxxxx X, vložka 34140

bankovní spojení: Fio banka, a. s., číslo účtu: 2400431298/2010


(dále též „Vera“ nebo „Poskytovatel“)


a


Město Uherské Hradiště

se sídlem: Xxxxxxxxxx xxxxxxx 00, 000 00 Xxxxxxx Xxxxxxxx

zastoupené: Ing. Xxxxxxxxxxx Xxxxxx, starostou IČ: 00291471, DIČ: CZ00291471

(dále též „Objednatel“)


(dále jednotlivě také jako „Strana“ a společně také jako „Strany“)


uzavírají níže uvedeného dne, měsíce a roku tuto Smlouvu o poskytování služeb (dále jen

„Smlouva“).


Článek I.

Preambule


1. Smluvní strany uzavírají tuto smlouvu v zadávacím řízení veřejné zakázky malého rozsahu „Nákup služby pro pečetění a razítkování dokumentů“ (dále jen „zadávací řízení“ a „veřejná zakázka“).


2. Poskytovatel prohlašuje, že je distributorem produktu společnosti První certifikační autorita, a.s. (dále jako X.XX), která je kvalifikovaným poskytovatelem služeb vytvářejících důvěru podle nařízení Evropského parlamentu a Rady č. 910/2014 ze dne

23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES („eIDAS“) a

zákona č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, pro oblast vydávání kvalifikovaných certifikátů pro elektronické podpisy, (kvalifikovaných) elektronických časových razítek, kvalifikované služby ověřování platnosti kvalifikovaných elektronických podpisů a pečetí X.XX QVerify, kvalifikovaných certifikátů pro elektronické pečetě, kvalifikovaných certifikátů pro autentizaci internetových stránek a kvalifikované služby ověřování platnosti kvalifikovaných elektronických podpisů a pečetí. Služba X.XX RemoteSeal, vzhledem k tomu, že není přímo v nařízení eIDAS definována, nemůže být auditována jako kvalifikovaná služba. Nicméně byla posouzena orgánem dohledu, Ministerstvem vnitra ČR, a jeho rozhodnutím čj. MV-68158-6/EG-2018 ze dne 21. června 2018 bylo X.XX povoleno poskytovat službu vytváření kvalifikovaných elektronických pečetí na dálku X.XX RemoteSeal v souladu s politikou této služby a v souladu s technickou a uživatelskou dokumentací zařízení ARX CoSign v8.2 a DocuSign Signature Appliance v8.4. Dále bylo stejným rozhodnutím povoleno X.XX vydávat kvalifikované certifikáty pro elektronické pečetě podle certifikační politiky vydávání kvalifikovaných certifikátů pro elektronické pečetě na dálku (algoritmus RSA), verze 1.00 (identifikátor 1.3.6.1.4.1.23624.10.1.38.1.0). Identifikátor této služby byl uveřejněn v důvěryhodném seznamu České republiky u služby „(78) X.XX – vydávání kvalifikovaných certifikátů“ společně s identifikátorem „QCQSCDManagedOnBehalf“ podle kap. 5.5.9.2.3 technických specifikací ETSI TS 119 612 v2.1.1. Důvěryhodný seznam je veden na xxxxx://xxx.xxx.xx/xxxx/XXX_XX.xxxx.


Článek II. Předmět smlouvy


1. Předmětem této smlouvy je zajištění provozu kvalifikované služby ověřování platnosti elektronických podpisů a pečetí v souladu s platnou Politikou kvalifikované služby ověřování platnosti kvalifikovaných elektronických podpisů a pečetí, která je vždy v aktuální verzi k dispozici na xxx.xxx.xx. Obchodní označení služby je X.XX QVerify.


2. Předmětem této Smlouvy je zajištění provozu služby vytváření kvalifikovaných elektronických pečetí na dálku v souladu s platnou Politikou služby vytváření kvalifikovaných elektronických pečetí na dálku, která je vždy v aktuální verzi k dispozici na xxx.xxx.xx. Obchodní označení služby je X.XX RemoteSeal.


3. Předmětem této Smlouvy je vydávání kvalifikovaných elektronických časových razítek X.XX (dále jen "časových razítek" nebo TSA) v souladu s platnou Politikou vydávání kvalifikovaných elektronických časových razítek systémem TSA2, která je vždy v aktuální verzi k dispozici na xxx.xxx.xx. Časová razítka, vydávaná podle této Xxxxxxx, budou vydávána pouze oprávněnému žadateli. Oprávněným žadatelem se pro účely této Smlouvy rozumí fyzická nebo právnická osoba, která se prokazuje (autentizuje) v elektronické komunikaci platným certifikátem X.XX, jménem a heslem nebo IP adresou. Způsob autentizace ke službě časových razítek je uveden v příloze této Smlouvy.


Článek III. Povinnosti Objednatele


1. Vera poskytuje kvalifikovanou službu ověřování platnosti elektronických podpisů a pečetí v souladu se závazným prohlášením uvedeným v Preambuli této Smlouvy. Objednatel se zavazuje zabezpečit dodržování platné Politiky kvalifikované služby ověřování platnosti kvalifikovaných elektronických podpisů a pečetí („Politika“).


2. Vera poskytuje službu vytváření kvalifikovaných elektronických pečetí na dálku

v souladu se závazným prohlášením uvedeným v Preambuli této Smlouvy. Objednatel

se zavazuje zabezpečit dodržování platné Politiky služby vytváření kvalifikovaných elektronických pečetí na dálku („Politika“). Veškeré změny a doplňky této Politiky jsou vůči Objednateli účinné po podpisu dodatku k této Smlouvě podepsaného zástupci obou smluvních stran.


3. Objednatel se zavazuje ve svých projektech, využívajících časová razítka, vydaná na základě této Smlouvy, zabezpečit dodržování platné Politiky vydávání kvalifikovaných elektronických časových razítek systémem TSA2 dostupné na xxx.xxx.xx (dále jen

„Politika“).


4. Veškeré změny a doplňky Politiky jsou vůči Objednateli účinné po podpisu dodatku k této

smlouvě podepsaného zástupci obou smluvních stran.


5. Objednatel je povinen nahradit újmu na jmění vzniklou v souvislosti s nedodržením Politiky.


6. Objednatel se zavazuje neposkytovat plnění poskytnuté Poskytovatelem dalším osobám.


Článek IV. Povinnosti Vera


1. Poskytovatel je povinen v rámci plnění předmětu provést všechny smluvní činnosti, služby a výkony, kterých je potřeba k provedení a dokončení předmětu plnění.


2. Vera poskytuje Objednateli kvalifikovanou službu ověřování platnosti elektronických podpisů a pečetí (dále též „X.XX QVerify“) v souladu s články 32, 33 a 40 nařízení Evropského parlamentu a Rady č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (eIDAS). Popis služby je uveden v příloze č. 1 této Smlouvy.


3. Xxxx se zavazuje poskytovat službu X.XX QVerify v režimu 24/7, tedy 24 hodin denně, 7 dní v týdnu, s SLA 98 % za kalendářní den a kapacitou až 50 ověření za minutu. Xxxx se dále zavazuje vyhodnocovat dodržování SLA 98 % za kalendářní den.


4. Xxxx garantuje a nese odpovědnost za výsledek ověření platnosti elektronického podpisu a elektronické pečetě pouze za předpokladu, že data nutná k ověření (odesílaná do prostředí X.XX), generovaná komponentou dodanou X.XX, nebyla jakkoliv pozměněna a nebylo s nimi nijak manipulováno. Pro kontrolu integrity odesílaných dat z prostředí Objednatele a dat přijatých v prostředí X.XX využije X.XX aplikaci, která v případě sporu porovná hashe spočtené z jednotlivých souborů komponentou X.XX (po kontrole autenticity komponenty pomocí hashe) s hashi přijatými v prostředí X.XX. Pokud budou hashe totožné, lze konstatovat, že data byla generován originální komponentou X.XX, jsou správná a nebyla pozměněna.


5. Vera poskytuje Objednateli službu vytváření kvalifikovaných elektronických pečetí na dálku (dále též „X.XX RemoteSeal“) v souladu s bodem 52 recitálu, články 29 a 39, Přílohou II body 3 a 4, Přílohou III nařízení Evropského parlamentu a Rady č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (eIDAS) a rozhodnutím Ministerstva vnitra ČR čj. MV-68158-6/EG-2018 ze dne 21. června 2018. Popis služby je uveden v příloze č. 1 této Smlouvy.

6. Xxxx se zavazuje poskytovat službu X.XX RemoteSeal v režimu 24/7, tedy 24 hodin denně, 7 dní v týdnu, s SLA 99,5 % za kalendářní den a kapacitou až 60 vytvořených pečetí za minutu. Ve stejném rozsahu se Xxxx zavazuje nabízet službu časových razítek v souvislosti s pečetěním dokumentů.


7. Xxxx se zavazuje poskytovat:


a) technickou podporu při provozu služby, řešení nestandardních situací a poradenství související s předmětem této smlouvy prostřednictvím webové stránky: xxxxx://xxxxxxxx.Xxxx.xx/xx/xxxxxxxxxx v rozsahu Po – Pá 8:00 – 17:00 hod.

b) právní a technickou aktuálnost komponenty pro zajištění komunikace s X.XX, jakož i celou službu X.XX QVerify, s relevantními právními a technickými předpisy a normami v návaznosti na eIDAS.

c) za účelem otestování nových verzí služby X.XX QVerify před nasazením do ostrého provozu službu X.XX TQVerify v testovacím prostředí s funkcionalitou obdobnou službě X.XX QVerify v ostrém prostředí, tj. PDF/XML protokol, stejné formáty ověřovaných podpisů; pro testovací prostředí platí SLA 99% za kalendářní den a kapacita 60 ověření za minutu.

d) právní a technickou aktuálnost komponenty pro zajištění komunikace s X.XX, jakož i celou službu X.XX RemoteSeal, s relevantními právními a technickými předpisy a normami v návaznosti na eIDAS.

e) za účelem otestování nových verzí služby X.XX RemoteSeal před nasazením do ostrého provozu službu X.XX RemoteSeal v testovacím prostředí s funkcionalitou obdobnou službě X.XX RemoteSeal v ostrém prostředí, pro testovací prostředí platí SLA 95% za kalendářní den a kapacita 10 vytvořených pečetí za minutu.


8. Xxxx garantuje a nese odpovědnost za vytvoření kvalifikované elektronické pečetě pouze za předpokladu, že data nutná k vytvoření pečetě (odesílaná do prostředí X.XX), generovaná komponentou dodanou X.XX, nebyla jakkoliv pozměněna a nebylo s nimi nijak manipulováno.


9. Xxxx se zavazuje Objednateli jako oprávněnému žadateli o služby časové autority poskytovat danou komplexní službu vydávání časových razítek pro jím realizovaná řešení v souladu s platnou Politikou a veškerými relevantními právními předpisy, a to bez omezení počtu vydaných časových razítek po celou dobu platnosti Smlouvy.


10. Xxxx se zavazuje poskytovat Objednateli podporu zaručenou platnou Politikou.


11. Xxxx se zavazuje poskytovat službu vydávání časových razítek s dostupností 95% za kalendářní den v nepřetržitém režimu 24 hodin denně 7 dní v týdnu (365 x 24) po celou dobu platnosti Smlouvy.


12. Xxxx prohlašuje, že vydávání časových razítek odpovídá všem požadavkům vyplývajícím

z právních předpisů, které se na plnění vztahují.


13. Xxxx se zavazuje poskytovat službu vydávání časových razítek s propustností 1 ks časových razítek za sekundu. Maximální jednorázová doba nedostupnosti služby činí 10 dnů za rok, plánované odstávky systému časové autority mohou probíhat v noci, o víkendech, svátcích, případně i v době od 07:00 do 18:00 běžného pracovního dne. Počet plánovaných odstávek za kalendářní měsíc není omezen.

Článek V.

Smluvní cenové podmínky


1. Cena za poskytování služby X.XX QVerify, tj. za ověření platnosti elektronických podpisů a pečetí, bude stanovena podle celkového agregovaného počtu provedených a poskytnutých ověření Vera v daném kalendářním měsíci podle příslušného objemového pásma, a to jako součin „Ceny za 1 ověření (Kč bez DPH)“ a počtu skutečně provedených a poskytnutých ověření v příslušném pásmu dle přiloženého rozpisu za kalendářní měsíc.

Objednatel tedy obdrží měsíčně aktualizovaný přehled svých skutečně odebraných ověření, jejich jednotkovou cenu a z toho odvozenou cenu celkovou.1

K ceně bude připočteno DPH podle aktuálně platných předpisů.


Pásmo počtu provedených a poskytnutých ověření ks/měsíc

Cena za 1 ověření

(Kč bez DPH)

Cena za 1 ověření

(Kč s DPH 21%)

do 100

8,70

10,53

101 - 200

8,00

9,68

201 - 300

7,31

8,84

301 - 500

8,06

9,76

501 - 1.000

5,92

7,16

1.001 - 3.000

5,37

6,49

3.001 - 5.000

4,93

5,97

5.001 - 10.000

3,94

4,77

10.001 - 50.000

1,97

2,39

50.001 - 100.000

1,48

1,79

100.001 - 300.000

1,19

1,44

300.001 - 500.000

0,99

1,19

500.001 - 1.000.000

0,80

0,96

1.000.001 - 1.500.000

0,74

0,89

1.500.001 - 2.500.000

0,70

0,84

2.500.001 - 3.500.000

0,64

0,77

3.500.001 - 5.000.000

0,55

0,67

5.000.001 - 10.000.000

0,39

0,47

nad 10.000.001

0,29

0,35


1 Vera bude tedy poskytovat službu X.XX QVerify (a analogicky též X.XX RemoteSeal a TSA) pro mnoho svých zákazníků najednou, čímž dosáhne vyššího (a tedy finančně výhodnějšího) cenového pásma, než když by si každý zákazník Xxxx pořizoval službu jednotlivě.

2. Cena za poskytování služby X.XX RemoteSeal, tj. za vytvoření kvalifikované elektronické pečetě na dálku, bude stanovena podle celkového agregovaného počtu vytvořených kvalifikovaných elektronických pečetí v daném kalendářním měsíci podle příslušného objemového pásma, a to jako součin „Ceny za 1 ks pečetění (Kč bez DPH)“ a počtu skutečně vytvořených kvalifikovaných elektronických pečetí v příslušném pásmu dle přiloženého rozpisu za kalendářní měsíc.

Objednatel tedy obdrží měsíčně aktualizovaný přehled svých skutečně odebraných pečetí, jejich jednotkovou cenu a z toho odvozenou cenu celkovou.

K celkové ceně bude připočteno DPH podle aktuálně platných předpisů.



Pásmo počtu pečetění (ks)

od - do za měsíc


Cena za 1 ks pečetění (Kč bez DPH)

Cena za 1 ks

pečetění

(Kč s DPH 21%)

1 - 100

62,60

75,75

101 - 300

32,62

39,47

301 - 500

18,15

21,97

501 - 1.000

17,47

21,14

1.001 - 3.000

12,73

15,40

3.001 - 5.000

6,58

7,96

5.001 - 10.000

5,04

6,10

10.001 - 30.000

3,50

4,23

30.001 - 50.000

1,91

2,32

50.001 - 100.000

1,29

1,56

100.001 - 300.000

0,76

0,91

300.001 - 500.000

0,42

0,50

500.001 - 1.000.000

0,32

0,39

1.000.001 - 5.000.000

0,23

0,27

5.000.001 - 10.000.000

0,13

0,15


Výlučně ve spojení s pečetěním X.XX RemoteSeal je současně možno dokument digitálně orazítkovat. Cena za tuto verzi časového razítka bude stanovena podle celkového agregovaného počtu odebraných časových razítek za měsíc (dle příslušného pásma), tedy jako součin „Ceny za jedno časové razítko (Kč bez DPH)“ a počtu skutečně odebraných časových razítek za kalendářní měsíc dle přiloženého rozpisu.


Objednatel tedy obdrží měsíčně aktualizovaný přehled svých skutečně odebraných časových razítek odebraných v průběhu pečetění, jejich jednotkovou cenu a z toho odvozenou cenu celkovou.


K ceně bude připočteno DPH podle aktuálně platných předpisů.


Pásmo počtu odebraných časových razítek k pečetím

ks/měsíc

Xxxx za jedno

časové razítko (Kč

bez DPH

0 až 100

1,680

101 až 200

1,540

201 až 500

1,400

501 až 1.000

1,260

1.001 až 2.000

1,050

2.001 až 5.000

0,840

5.001 až 7.500

0,770

7.501 až 10.000

0,700

10.001 až 20.000

0,630

20.001 až 30.000

0,560

30.001 až 50.000

0,490

50.001 až 100.000

0,420

100.001 až 200.000

0,392

200.001 až 300.000

0,364

300.001 až 400.000

0,336

400.001 až 500.000

0,308

500.001 až 1.000.000

0,280


3. Cena za vydání standardních časových razítek bude stanovena jako součin „Ceny za jedno časové razítko (Kč bez DPH)“ a počtu skutečně odebraných časových razítek za kalendářní měsíc dle přiloženého rozpisu.

Objednatel tedy obdrží měsíčně aktualizovaný přehled svých skutečně odebraných časových razítek, jejich jednotkovou cenu a z toho odvozenou cenu celkovou.

K ceně bude připočteno DPH podle aktuálně platných předpisů.


Cena za jedno TSA

(Kč bez DPH)

Cena za jedno TSA

(Kč s DPH 21%)

0,800

0,968


4. Ceny uvedené v odst. 1., 2. a 3. tohoto článku jsou cenami nejvýše přípustnými a zahrnují veškeré náklady související s poskytováním služby. Ceny mohou být změněny pouze v souvislosti se změnou daňových předpisů týkající se DPH, a to nejvýše o částku odpovídající této legislativní změně, nebo pouze v souvislosti se změnou cenové politiky X.XX.


5. Úhrada poskytování služby X.XX QVerify bude prováděna vždy jednou měsíčně zpětně za uplynulý kalendářní měsíc, v němž X.XX kvalifikované elektronické podpisy a pečetě ověřila, a to podle počtu skutečně provedených a poskytnutých ověření. Daňový doklad bude obsahovat počet skutečně provedených a poskytnutých ověření; cena bude stanovena jako součin „Ceny za 1 ověření (Kč bez DPH)“ a počtu skutečně provedených a poskytnutých ověření v příslušném pásmu za kalendářní měsíc dle rozpisu uvedeného v odst. 1. tohoto článku. DPH bude vyjádřeno dle aktuálně platné legislativy.


6. Úhrada poskytování služby X.XX RemoteSeal (případně včetně souvisejících časových razítek) bude prováděna vždy jednou měsíčně zpětně za uplynulý kalendářní měsíc, v němž X.XX vytvořila kvalifikované elektronické pečetě na dálku, a to podle počtu skutečně provedených a poskytnutých vytvořených pečetí. Daňový doklad bude obsahovat počet skutečně vytvořených pečetí (případně též časových razítek); cena bude stanovena jako součin „Ceny za 1 pečetění (Kč bez DPH)“ a počtu skutečně vytvořených pečetí (případně časových razítek) v příslušném pásmu za kalendářní měsíc dle rozpisu uvedeného v odst. 2. tohoto článku. DPH bude vyjádřeno dle aktuálně platné legislativy.


7. Úhrada vydaných časových razítek podle této Xxxxxxx bude prováděna vždy jednou

měsíčně zpětně za uplynulý kalendářní měsíc, v němž X.XX časová razítka vydala, a to

podle počtu Objednatelem skutečně odebraných časových razítek. Daňový doklad bude obsahovat počet skutečně odebraných časových razítek; cena bude stanovena jako součin „Ceny za jedno časové razítko (Kč bez DPH)“ a počtu skutečně odebraných časových razítek za kalendářní měsíc dle rozpisu uvedeného v odst. 3. této Smlouvy. DPH bude vyjádřeno dle aktuálně platné legislativy.


8. Xxxx je povinna vystavit řádný daňový doklad do 15. dne kalendářního měsíce

následujícího po kalendářním měsíci, za který je účtována cena za poskytování služby.


9. Objednatel je povinen uhradit daňové doklady převodem na účet Xxxx do 30 dnů ode dne

doručení daňového dokladu na adresu sídla Objednatele.


Článek VI.

Sankční ustanovení, odstoupení od smlouvy


1. V případě zaviněného nedodržení parametru SLA dostupnosti služby X.XX QVerify uvedeného v článku IV. odstavci 2. této Smlouvy, tj. pokud dostupnost služby klesne vinou Xxxx pod 98 % za kalendářní den, je Xxxx povinna uhradit Objednateli smluvní pokutu ve výši 5.000,- Kč bez DPH za každých započatých 0,1%, o kterých klesne dostupnost poskytované služby pod požadovanou hodnotu (počítáno za kalendářní den s tím, že příslušné průběžné výpočty Xxxx předkládá vždy měsíčně zpětně). Měsíční výše smluvní pokuty však nepřesáhne dvojnásobek měsíční ceny za poskytování služby.

2. V případě zaviněného nedodržení parametru SLA dostupnosti služby X.XX RemoteSeal uvedeného v článku IV. odstavci 5. této Smlouvy, tj. pokud dostupnost služby klesne pod 99,5 % za kalendářní den, je Xxxx povinna uhradit Objednateli smluvní pokutu ve výši 1.000,- Kč bez DPH za každých započatých 0,1%, o kterých klesne dostupnost poskytované služby pod požadovanou hodnotu. Měsíční výše smluvní pokuty však nepřesáhne výši měsíční ceny za poskytování služby.


3. Při nezaplacení ceny za vydaná časová razítka ve lhůtě tvořené součtem doby splatnosti příslušného daňového dokladu a časového období 30 dnů, tj. ve lhůtě 60 dnů, vyhrazuje si Xxxx právo nepřijímat od Objednatele další žádosti na vydávání časových razítek a pečetí podle této Smlouvy, a to do doby vyrovnání všech finančních závazků ze strany Objednatele.


4. Každá ze smluvních stran má právo odstoupit od této Smlouvy v případě, poruší-li jedna ze smluvních stran své závazky a povinnosti stanovené touto Smlouvou, a to podstatným nebo opakovaným způsobem. Odstoupení musí mít písemnou formu s uvedením důvodů odstoupení a musí být doručeno druhé smluvní straně, jinak je odstoupení neplatné. Odstoupení od Smlouvy má právní účinky dnem doručení. Od toho dne nesmí smluvní strana, které takto bylo odstoupení doručeno, pokračovat v plnění předmětu Xxxxxxx vyjma případů, kdy by nečinností hrozila újma na jmění druhé smluvní strany. V takovém případě má smluvní strana za povinnost pokračovat v plnění Smlouvy a zabezpečit předmět Xxxxxxx takovým způsobem, aby bylo odstraněno nebezpečí shora uvedené újmy na jmění. Odstoupení od smlouvy se řídí § 2001 a násl. Občanského zákoníku.


5. Poskytovatel se zavazuje nahradit škodu spočívající mj. i v případně uložených sankcích, která vznikla jeho povinností, a to do 30 dní ode dne, kdy obdrží písemnou výzvu Objednatele k úhradě, pokud se smluvní strany nedohodnou jinak.

6. Poskytovatel odpovídá za případné prokazatelné vady předmětu plnění a vzniklé škody způsobené Zadavateli i v souvislosti s předmětem plnění.

Poskytovatel neodpovídá za vady způsobené použitím vadných podkladů převzatých od

Objednatele v těchto případech:

pokud ani při vynaložení veškeré odborné péče nemohl zjistit, že převzaté podklady

od Objednatele jsou vadné,

upozornil Objednatele na vadné podklady, ale ten na jejich použití trval.

7. Každá ze smluvních stran je oprávněna uplatnit níže uvedené sankce:


Sankce

Hodnota

Sankce vůči Poskytovateli za nedodržení dohodnutých smluvních podmínek termínu dodání předmětu zakázky v Kč/den s DPH

300

Sankce vůči Objednateli za nedodržení termínu splatnosti faktur v %/den

0,1 %


Článek VII.

Závěrečná ustanovení, termín a místo plnění smlouvy


Doložka podle ust. § 41 zákona o obcích: O uzavření této smlouvy bylo rozhodnuto usnesením Rady města Uherské Hradiště č. 316/19/RM/2019 ze dne 05.08.2019.

1. Tato Smlouva a vztahy z ní vyplývající se řídí českým právním řádem. Veškeré spory vyplývající z této Xxxxxxx se smluvní strany budou snažit řešit smírnou cestou. Teprve nepovede-li takové smírčí jednání k vyřešení sporu, bude soudní spor veden u příslušného obecného soudu ČR.


2. Pokud jakýkoli závazek dle Smlouvy nebo kterékoli ustanovení Smlouvy je nebo se stane neplatným či nevymahatelným, nebude to mít vliv na platnost a vymahatelnost ostatních závazků a ustanovení dle Smlouvy a smluvní strany se zavazují takovýto neplatný nebo nevymahatelný závazek či ustanovení nahradit novým, platným a vymahatelným závazkem, nebo ustanovením, jehož předmět bude nejlépe odpovídat předmětu a ekonomickému účelu původního závazku či ustanovení


3. V případě, že by se některá ustanovení Smlouvy stala neplatnými v důsledku legislativních změn, nestává se neplatnou celá Smlouva. V takovém případě sjednají smluvní strany nové znění dotčených ustanovení tak, aby vystihovalo co nejpřesněji podstatu původního ujednání a aby co nejlépe odpovídalo duchu Smlouvy.


4. Tato Xxxxxxx nabývá platnosti dnem podpisu a účinnosti dnem uveřejněním v registru smluv.


5. Tato Xxxxxxx se uzavírá na dobu neurčitou.


6. Místem plnění Smlouvy je sídlo Objednatele.


7. Smlouvu je možné ukončit:

a) písemnou dohodou smluvních stran;

b) písemnou výpovědí některé ze smluvních stran, zaslanou druhé smluvní straně, a to buď výpovědí s důvodem, kterým je podstatné porušení ustanovení této Smlouvy druhou smluvní stranou, nebo výpovědí bez uvedení důvodu. V obou případech se uplatní výpovědní doba v délce 30 kalendářních dnů počínající běžet prvním dnem následujícím po dni, kdy bylo písemné vyhotovení výpovědi prokazatelně doručeno druhé smluvní straně.

8. Písemnou dohodou smluvních stran je Smlouva ukončena ke dni v této dohodě uvedenému a není-li v dohodě takový den uveden, pak ke dni podpisu dohody oběma smluvními stranami.


9. Ukončením Smlouvy nejsou smluvní strany zbaveny povinnosti vyrovnat veškeré závazky vzniklé v důsledku platnosti a účinnosti této Smlouvy a učinit veškeré úkony, které nesnesou odkladu a které jsou nutné k zabránění vzniku škody na straně jedné ze smluvních stran.


10. Smluvní strany se dohodly, že se ve vztazích mezi Smluvními stranami vyplývajících z této Smlouvy neuplatní §§ 1895 – 1900 zák. č. 89/2012 Sb., občanského zákoníku.


11. Tato Smlouva může být změněna dohodou obou smluvních stran. Dohoda o změně Smlouvy nebo o jejím zrušení musí mít písemnou formu označenou jako vzestupně číslované dodatky a musí být podepsána oprávněnými zástupci obou smluvních stran.


12. Smluvní strany mohou zveřejnit ve svých informačních materiálech, že X.XX je poskytovatelem služeb X.XX QVerify, X.XX RemoteSeal a časových razítek pro Objednatele.


13. Tato Smlouva je vyhotovena ve dvou vyhotoveních, z nichž každá smluvní strana obdrží po jednom vyhotovení.


14. Smluvní strany se dohodly, že město Uherské Hradiště po uzavření Smlouvy provede její řádné uveřejnění do Registru smluv vedeného Ministerstvem vnitra ČR.


15. V návaznosti na výše ujednané Smluvní strany prohlašují, že skutečnosti uvedené v této Smlouvě nepovažují ani za obchodní tajemství ani za důvěrné informace a udělují svolení k jejich užití a zveřejnění do Registru smluv bez stanovení jakýchkoliv omezení či podmínek.


16. Poskytovatel se zavazuje, že v případě nabytí statutu „nespolehlivý plátce“, ve smyslu zákona č. 235/2004 Sb. o dani z přidané hodnoty, bude o této skutečnosti neprodleně objednatele informovat. Objednatel je poté oprávněn zaslat hodnotu plnění odpovídající dani z přidané hodnoty přímo na účet správce daně v režimu podle § 109a výše uvedeného zákona.


17. Seznam příloh, které tvoří nedílnou součást této smlouvy: Příloha č. 1 – Popis služby X.XX QVerify.

Příloha č. 2 – Popis služby X.XX RemoteSeal

Příloha č. 3 – Vzor emailové zprávy nebo protokolu o požadavku zavedení klienta

přeprodejce k odběru TSA nebo ATSA + Nastavení prostředí TSA


Praze dne ……..………. V Uherském Hradišti dne …………….


Za Poskytovatele: Vera, spol. s r.o. Za Objednatele: Město Uherské Hradiště



Xxx. Xxxx Xxxxxxxx, jednatel Xxx. Xxxxxxxxx Xxxxx, starosta

Příloha č. 1


Popis služby X.XX QVerify


Východisko služby:

Nařízení Evropského parlamentu a Rady č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (eIDAS), konkrétně články 32, 33 a 40.

Nařízení:

a) stanoví podmínky, za nichž členské státy uznávají prostředky pro elektronickou identifikaci fyzických a právnických osob, které spadají do oznámeného systému schématu elektronické identifikace jiného členského státu;

b) stanoví pravidla pro služby vytvářející důvěru;

c) stanoví právní rámec pro elektronické podpisy, elektronické značky, elektronická časová razítka, elektronické dokumenty, služby registrovaného elektronického doručování a certifikační služby pro autentizaci internetových stránek.

Jednou ze služeb vytvářejících důvěru, která může být poskytována pouze kvalifikovaným poskytovatelem služeb vytvářejících důvěru (dle minulé terminologie akreditovaným poskytovatelem certifikačních služeb, X.XX), je kvalifikovaná služba ověřování platnosti kvalifikovaných elektronických podpisů a pečetí X.XX QVerifyTL (také „X.XX QVerify“) (čl. 32, 33 a 40 eIDAS).

Povinnost subjektů ověřovat podpisy přijatých elektronických dokumentů je dána článkem 32 eIDAS a §12 zákona č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce.

Veřejnoprávní původci mají povinnost ověřování definovanou §4 odst. 4-7 vyhlášky

č. 259/2012 Sb., o podrobnostech výkonu spisové služby.

PDF či XML protokoly, jež jsou výstupem procesu ověření platnosti elektronických podpisů, představují závazný výstup služby provozované X.XX - kvalifikovaným poskytovatelem služeb vytvářejících důvěru dle eIDAS. Za správnost tohoto výstupu je X.XX právně zodpovědná. PDF protokol a XML data jsou označena jednoznačným identifikátorem jedinečným v rámci výstupů kvalifikované služby. Odpovědnost za případnou škodu způsobenou klientovi nesprávným vyhodnocením platnosti podpisu a důkazní břemeno jsou definovány v čl. 13 odst. 1 eIDAS:

„V případě kvalifikovaného poskytovatele služeb vytvářejících důvěru se úmysl nebo nedbalost předpokládá, pokud daný kvalifikovaný poskytovatel služeb vytvářejících důvěru neprokáže, že škoda podle prvního pododstavce nastala bez jeho úmyslu nebo nedbalosti.“

Znamená to, že ověření elektronického podpisu poskytované jako služba kvalifikovaného poskytovatele služeb vytvářejících důvěru představuje maximální právní i věcnou odpovědnost za případnou škodu současně s přenesením odpovědnosti za správné ověření elektronického podpisu na třetí stranu - kvalifikovaného poskytovatele služeb vytvářejících důvěru. Ten totiž proto, aby mohl kvalifikovanou službu nabízet a provozovat, musel projít auditem ze strany subjektu k tomu oprávněného Českým institutem pro akreditaci, tj. musel splnit celou řadu povinností daných technickými normami, na něž se eIDAS odkazuje. Postupy a vlastní fungování služby ověřování elektronického podpisu tak bylo prověřeno nezávislými experty subjektu posuzování shody, Českým institutem pro akreditaci (nejvyšší orgán v ČR pro tuto oblast) a Ministerstvem vnitra ČR jako gesčním orgánem pro oblast eIDAS v ČR.


Příslušný certifikát X.XX:


Podle eIDAS zveřejňuje Ministerstvo vnitra ČR seznam kvalifikovaných poskytovatelů a kvalifikovaných služeb vytvářejících důvěru na webové stránce: xxxx://xxx.xxxx.xx/xxxxxx/xxxxxx-xxxxxxxxxxxxxxx-xxxxxxxxxxxxx-xxxxxx-xxxxxxxxxxxxx- duveru-a-poskytovanych-kvalifikovanych-sluzeb-vytvarejicich-duveru.aspx


Vzhledem k tomu, že zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, (tzv. Adaptační zákon) zavedl 2-leté přechodné období, během kterého může být ze strany veřejnoprávního podepisujícího použit při podepisování dokumentu, kterým právně jedná, místo kvalifikovaného elektronického podpisu uznávaný elektronický podpis (zaručený elektronický podpis založený na kvalifikovaném certifikátu pro elektronický podpis) a současně (bez přechodného období) může být při úkonu, kterým se právně jedná vůči veřejnoprávnímu podepisujícímu použit uznávaný elektronický podpis nebo kvalifikovaný elektronický podpis, je nutné, aby byla služba X.XX QVerify rozšířena oproti požadavkům eIDAS i o ověřování platnosti uznávaného elektronického podpisu.

Pozn: vzhledem k přechodnému období daného pro ČR zákonem č. 297/2016 Sb. budou ověřovány a rozlišovány jak kvalifikovaný podpis, tak i uznávaný podpis.

Je třeba nezaměňovat pojem „uznávaný“ elektronický podpis dle zákona č. 297/2016 se stejným pojmem dle zrušeného zákona č. 227/2000 Sb., o elektronickém podpisu („ZoEP“). Dle ZoEP: uznávaným elektronickým podpisem se rozumí zaručený elektronický podpis založený na kvalifikovaném certifikátu vydaném akreditovaným poskytovatelem certifikačních služeb a obsahujícím údaje, které umožňují jednoznačnou identifikaci podepisující osoby (§11 odst. 3).

Dle zákona č. 297/2016 Sb.: uznávaným elektronickým podpisem se rozumí zaručený elektronický podpis založený na kvalifikovaném certifikátu pro elektronický podpis nebo kvalifikovaný elektronický podpis (§6 odst. 2).


Přičemž zaručeným elektronickým podpisem se rozumí elektronický podpis, který splňuje

následující požadavky:

1. je jednoznačně spojen s podepisující osobou,

2. umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě,

3. byl vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může

udržet pod svou výhradní kontrolou,

4. je k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat (§2 odst. b) ZoEP).


V přechodném 2-letém období daném zákonem č. 297/2016 Sb. neověřuje služba X.XX QVerify platnost elektronických značek založených na (kvalifikovaných) systémových certifikátech. Důvodem je skutečnost, že elektronické značky nebyly definovány Směrnicí 1999/93, tudíž nejsou do eIDAS převzaty. Služba X.XX QVerify tak nemohla být auditována jako kvalifikovaná služba dle eIDAS.


V dalším textu je pro ověření platnosti kvalifikovaných a uznávaných elektronických podpisů a kvalifikovaných elektronických pečetí použita zkratka „ověření platnosti podpisu“.


Stručný popis (manažerské shrnutí):

Služba je koncipována jako komponenta pro ověření platnosti podpisu instalovaná v prostředí klienta a volaná obvykle spisovou službou. Služba ověření podpisu pracuje s dokumenty ve standardních a legislativně podporovaných formátech PAdES a CAdES B-B a B-T (CAdES v interní i externí verzi) a XAdES B-B a B-T2. Výstupem je stav ověření (platný/neplatný podpis, nelze ověřit, důvod, proč nelze ověřit nebo proč je podpis neplatný), čas, ke kterému se ověřovalo, zdroj času (čas obdržení požadavku, časové razítko, parametr zadaný uživatelem, data, na základě kterých bylo ověření provedeno, legislativní typ podpisu, zda je certifikát na QESigCD). Ověření má charakter elektronicky podepsané XML odpovědi v definované struktuře, vhodné pro automatizované zpracování. Současně jsou ukládána data pro následné generování PDF protokolu v případě požadavku klienta (generuje X.XX). Jeho účelem je potvrdit výsledek ověření elektronického podpisu i v lidsky čitelné formě v případě požadavku klienta např. před soudem.


Podrobný popis:

Služba podporuje ověření dokumentu ve standardních a legislativně podporovaných

formátech:

PAdES B-B a B-T

CAdES B-B a B-T (v interní i externí verzi)

XAdES B-B a B-T.

Časový okamžik, ke kterému je možné platnost podpisu ověřit:

Služba umožní vybrat3, k jakému času má ověřování proběhnout (v sestupném pořadí):

1. ověřovat k času uvedenému v časovém razítku (pokud je v dokumentu či podpisu přítomno)

2. ověřovat k okamžiku podpisu, rozhodnému okamžiku nebo jinému času zadanému klientem (parametr předávaný klientem)

3. ověřovat k času přijetí požadavku na ověření v systému X.XX (pokud z nějakého důvodu požadavek na ověření parametr času neobsahuje).


Služba ověření podpisu je poskytována jako rozdělená mezi klienta a server.


Kompletní ověření je prováděno na serveru v prostředí X.XX. Pomocí komponenty I.CA4 umístěné a volané z prostředí klienta dojde k výpočtu hashe z podepsaných dat a získání


2 Prováděcí rozhodnutí Komise (EU) č. 2015/1506.

3 Lze ponechat jako parametrické či definovat jednu z možností.

podpisové struktury. Tato data jsou zaslána na server, kde proběhne vlastní ověření. Znamená to, že podepsaný dokument (tj. data v dokumentu = obsah dokumentu), jehož podpis se ověřuje, nikdy neopustí prostředí klienta.


Základní postup ověření:

1. Volání komponenty (např. spisovou službou)

2. Autentizace uživatele ke službě (komerční/technologický (komerční serverový)

certifikát X.XX)

3. Výpočet hashe z podepsaných dat, získání podpisové struktury

4. Zaslání dat k ověření ze strany klienta na server X.XX

5. Provedení vstupních kontrol

6. Provedení ověření jednotlivých podpisů (tj. dvojic podpisová struktura + hash)

7. Sestavení odpovědi s výsledkem ověření - XML elektronicky podepsaná datová struktura (zasílaná on-line)

8. Uložení dat pro následné generování PDF protokolu s výsledkem ověření v prostředí

X.XX

9. Předání výsledku ověření v XML struktuře aplikaci klienta

10. Zalogování procesu ověření

11. Záznam do STAT o využití služby

12. Konec zpracování.


Výstupem služby je:

Stav ověření:

platný/neplatný podpis/nelze ověřit + důvod, proč nelze ověřit nebo proč byl podpis

neplatný

čas, ke kterému se ověřovalo

zdroj času (časové razítko, parametr zadaný uživatelem, čas obdržení požadavku)

data, na základě kterých bylo ověření provedeno (OCSP, CRL)

legislativní typ podpisu (kvalifikovaný/uznávaný)

zda byl kvalifikovaný certifikát (resp. privátní klíč) generován a uložen na QESigCD

výsledek ověření certifikátu

zda je časové razítko vydáno kvalifikovaným poskytovatelem

hash ověřovaných dat a další informace.


Stav ověření má charakter:

1. Odpovědi v definované struktuře (XML data), vhodné pro automatizované

zpracování. Odpověď je elektronicky podepsána a zasílána automaticky on-line.


Omezující podmínky:

a) Ověřuje se platnost podpisu či podpisů v daném dokumentu. PDF protokol i XML data budou obsahovat tabulkovou strukturu vážící se k jednomu podpisu a struktur bude tolik, kolik bude v dokumentu podpisů (PDF/XML protokol je vždy jeden pro jeden dokument)5.

b) Ověřovány jsou podpisy založené na certifikátech vydaných všemi důvěryhodnými

poskytovateli zemí EU (EUTL, LoTL).

c) Ověřovány budou i podpisy založené na již expirovaných certifikátech, a to i tehdy,

pokud je v dokumentu již expirované časové razítko. To znamená, že ověření



4 Komponenta mimo parsování podpisu a zajištění potřebných dat pro ověření zajišťuje komunikaci s interním systémem X.XX; za její aktuálnost (právní i technickou) a integritu odpovídá X.XX. Komponenta neumožňuje komunikaci s jiným poskytovatelem než X.XX.

5 Viz příklad v příloze.

Příklad PDF protokolu:

Příloha č. 2


Služba vytváření kvalifikovaných elektronických pečetí na dálku

X.XX RemoteSeal


Východisko služby

Nařízení Evropského parlamentu a Rady č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (eIDAS), konkrétně bod 52 recitálu, články 29 a 39, body 3 a 4 Přílohy II a Příloha III.


Právní základ

Povinnost používat kvalifikované elektronické pečetě orgány veřejné moci počínaje 20.9.2018 je dána

§ 8 zákona č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce:

„Nestanoví-li jiný právní předpis jako náležitost právního jednání obsaženého v dokumentu podpis nebo tato náležitost nevyplývá z povahy právního jednání, veřejnoprávní podepisující a jiná právnická osoba, jedná-li při výkonu své působnosti, zapečetí dokument v elektronické podobě kvalifikovanou elektronickou pečetí.“


Kvalifikovaná elektronická pečeť dle bodu 27) článku 3 nařízení eIDAS:

„Zaručená elektronická pečeť, která je vytvořena pomocí kvalifikovaného prostředku pro vytváření elektronických pečetí a která je založena na kvalifikovaném certifikátu pro elektronickou pečeť.“


Požadavky na kvalifikované prostředky pro vytváření elektronických pečetí (QSealCD):

prostřednictvím „mutatis mutandis“ stanoveny v příloze II. nařízení eIDAS

jedná se o stejné požadavky jako na kvalifikované prostředky pro vytváření elektronických

podpisů

stejné funkční požadavky jako pro SSCD prostředky dle směrnice 1999/93/ES pro ty prostředky, které jsou v držení osoby

v případě prostředků pro vytváření kvalifikovaných elektronických pečetí na dálku dodatečné požadavky na kvalifikované poskytovatele (odst. 3 a 4 přílohy II. nařízení eIDAS).


Existují dva typy QSealCD:

1. QSealCD v držení pečetící osoby (pokud jsou data pro vytváření elektronických pečetí uchovávána v prostředí spravovaném zcela, nikoli však nutně výhradně uživatelem).

2. QSealCD na dálku (pokud data pro vytváření elektronických pečetí spravuje kvalifikovaný poskytovatel služeb vytvářejících důvěru jménem pečetící osoby).

Služba X.XX RemoteSeal představuje variantu 2 s tím, že certifikace na základě alternativního procesu

– musí používat srovnatelnou úroveň bezpečnosti a zároveň certifikační orgán daný postup oznámil Komisi. Alternativní postup může být použit pouze v případě, že příslušné normy neexistují.

Seznam EU pro QSealCD


„Compilation of Member States notification on SSCDs and QSCDs“

xxxxx://xx.xxxxxx.xx/xxxxxxxx/xx/xxxxxxx/xxxxxxxxxxx-xxxxxx-xxxxxx-xxxxxxxxxxxx-xxxxx-xxx-xxxxx



Seznam je spravován Komisí.

Komise pouze v roli editora seznamu.

Mohou přispívat pouze ty ČS, které měly nebo mají nahlášeny certifikační orgány.

Je na zodpovědnosti členských států nahlašovat prostředky Komisi a případné změny jejich

certifikace.

Seznam nemá konstitutivní hodnotu, jedná se pouze o informativní seznam.


Výběr QSealCD pro službu X.XX RemoteSeal

• ARX (Algorithmic Research) CoSign v8.2

• Společnost ARX koupena v roce 2015 společností DocuSign

• Produkt nadále prodáván pod názvem DocuSign Signature Appliance v8.2



Architektura služby



RSeC – RemoteSeal Client – klientská komponenta určená pro integraci do volající aplikace,

typicky do spisové služby.

RSeS – RemoteSeal Server – základní aplikační server provozovaný X.XX, který realizuje první vrstvu autentizace volající aplikace a udržuje evidenci provedených transakcí (opečetění).

• DSA Primary - DocuSign Signature Appliance Primary - primární HSM modul, který drží

privátní klíče uživatelů a podepisuje

• DSA Alternate - DocuSign Signature Appliance Alternate - záložní HSM modul, který udržuje repliku databáze privátních klíčů a v případě výpadku primárního HSM zastoupí primární HSM pro podepisování

RSeActivationUtil – Aktivační utilita sloužící k aktivaci RSeC pomocí tzv. aktivační karty.


• RemoteSeal Client

• Klientská komponenta sloužící k zadávání transakcí (požadavků na opečetění dat) do

systému RemoteSeal.

• Nativní C++ jádro

• Distribuováno ve formě:

• JAR pro Java

• .NET assembly pro .NET

• V případě zájmu možno volat přímo nativní jádro.


Zřízení                             služby                             


Zřízení služby bude probíhat na vybraných pobočkách RA následujícím způsobem:


Klient navštíví pobočku registrační autority (RA).

Operátor RA vydá klientovi prvotní autentizační komerční certifikát (FAC - First Authentication Certificate) na aktivační kartu/token (viz názvosloví). FAC je nutné zavést do AUTHu jako autentizační certifikát pro RemoteSeal pro daného uživatele (budou provádět ručně obchodníci na základě SN certifikátu, které jim zašle klient).

Operátor RA připraví žádost o pečetící certifikát pro uživatele.

Operátor RA vygeneruje párová data pro pečetící certifikát (z pohledu operátora atomická operace) což obnáší:

o ICARA pomocí RSeS (RemoteSealServer) založí pro klienta uživatele na DSA

včetně prvotního hesla FP (First Password).

o ICARA náhodně vygeneruje nové heslo PP (Production Password) (drženo pouze v RAM)

o ICARA náhodně vygeneruje 256b AES šifrovací klíč SK (Secret Key)

o XXXXX zašifruje pomocí AES-KW (kde K je SK a PP je W) do výsledku CPP

(Ciphered Production Password)

o ICARA zašifruje pomocí RSAES_PKCS#1 v1.5 klíč SK veřejným klíčem FAC

do výsledku CSKFAC (Ciphered Secret Key)

o ICARA následně uloží do RSeS kryptogramy CSKFAC a CPP

o ICARA provede aktivaci uživatelského účtu v DSA pomocí FP (a tudíž i změnu

hesla na PP).

o ICARA provede pod účtem uživatele (s heslem PP) generování párových dat pro vydání prvotního pečetícího certifikátu.

Operátor RA pomocí XXXXX podepíše žádost o vydání pečetícího certifikátu privátním klíče párových dat na DSA (zde můžeme teoreticky zapojit uživatele, aby zadal PIN na pinpadové čtečce (pro rozšifrování CPP pomocí privátního klíče FAC)

Na základě žádosti proběhne na CA vydání pečetícího certifikátu.

Pečetící certifikát:

o CA pošle na mailovou adresu uživatele.

o ICARA uloží na čipovou kartu uživatele.

o ICARA uloží na DSA (díky přihlášení jako uživatel)

Klient odchází z RA s aktivační(m) kartou/tokenem.

        Aktivace                    RSeC                            



Pro aktivaci RSeC spustí uživatel (např.: oprávněná osoba úřadu) dodávanou GUI

utilitu RSeActivationUtil (dále jen utilita)

Utilita vyzve uživatele k vložení aktivační karty (potažmo aktivačního tokenu), načež

utilita:

o Naváže spojení s RSeS pomocí oboustranně autentizovaného HTTPS za

pomoci FAC (uživatel bude vyzván k zadání PINu)

o Automaticky vytvoří žádost o vydání následného certifikátu SACi (Secondary Authentication Certificate číslo i), která bude podepsána FAC a privátní klíč k SACi se bude generovat v SW (nikoliv na kartě)

o Žádost se odešle ke zpracování na CA, kde se obratem vydá následný certitifikát SACi a ten se stáhne zpět do utility

o Utilita si z RSeS stáhne CSKFAC (drží se pouze v RAM)

o Pomocí privátního klíče FAC na aktivační kartě dešifruje CSKFAC na SK (drží se pouze v RAM)

o Zašifruje pomocí RSAES_PKCS#1 v1.5 klíč SK veřejným klíčem SACi do výsledku CSKSACi

o Utilita následně uloží do RSeS kryptogram CSKSACi

Utilita může případně uživatele vyzvat k dalším nastavením RSeC, pokud nějaká budou (např.: přidávání TS, viditelný podpis, reason, location pokud se tyto nebudou nastavovat pomocí RSeCAPI)

Následně utilita vytvoří aktivační soubor, kde bude uložen certifikát SACi včetně privátního klíče.

Uživatel tento aktivační soubor následně načte do spisové služby (obecně do aplikace volající RSeC), která jej bude pro použití RemoteSeal předávat do RSeC.


Technické parametry RSeActivationUtil


• Jednoduchá Windows GUI utilita.

• Nemusí být spouštěna na stejném PC, na kterém je provozován RSeC.

• Vyžaduje: .NET 4.0

Opečetění dokumentu


Proces opečetění dokumentu inicializuje spisová služba (obecně volající aplikace), která má integrovanou knihovnu RSeC.

Spisová služba předá do RSeC dokument k opečetění spolu s nastavením pečetění (viditelný/neviditelný podpis, formát, přidání TS, atp.) + aktivační soubor vzniklý při aktivaci RSeC

RSeC připraví dokument k podpisu, sestaví žádost o opečetění (obsahující číslo jednací dokumentu (obecně jednoznačný textový identifikátor), parametry podpisu, hash původního dokumentu a hash, který bude vstupem pro výpočet kryptogramu)

Tato žádost bude podepsána pomocí SACi

Následně RSeC naváže oboustranně autentizovaný TLS kanál pro komunikaci s

RSeS pomocí SACi

Navázaným kanálem předá podepsanou žádost o opečetění na RSeS

RSeS obratem vrátí do RSeC kryptogramy CSKSACi a CPP, které budou v RSeC drženy pouze v RAM

RSeC pomocí SACi rozšifruje CSKSACi na SK a pomocí něj rozšifruje CPP na PP

(vše pouze v RAM, po dešifrování PP možno ostatní z RAM uvolnit)

RSeC následně naváže anonymní HTTPS na DSA s aplikováním certificate pinningu na ověření autenticity DSA

Následně tímto kanálem po autentizaci pomocí PP vytvoří na DSA kryptogram pomocí privátního klíče pečetícího certifikátu

Po vytvoření kryptogramu se z RAM odstraní PP

RSeC využije kryptogram pro kompletaci podepsaného dokumentu

Pokud je vyžadován podpis s časovým razítkem, je časové razítko do dokumentu

přidáno nyní, přičemž RSeC se vůči autoritě autentizuje pomocí SACi

Hotový opečetěný dokument je vrácen spisové službě


Automatické prodloužení služby


Součástí RSeC bude funkcionalita automatické obnovy SACi (obdobné řešení jako

v X.XX QVerify)

Nejprve se z RSeS stáhne CSKSACi

Pomocí nově vygenerovaného veřejného klíče se vygeneruje CSKSACj a spolu s

veřejným klíčem se nahraje na RSeS.

Následně je možné provést standardní obnovu a nahrát nově vydaný certifikát SACj

na RSeS


Obnova pečetícího certifikátu


V rámci automatického prodloužení služby (zakotveného ve Smlouvě) bude také probíhat automatická obnova pečetícího certifikátu

RSeC s určitým předstihem před vypršením certifikátu vygeneruje na DSA nový pár klíčů a vytvoří žádost o vydání následného certifikátu, kterou opečetí původním certifikátem

Žádost o následný certifikát se zpracuje na CA standardní cestou

RSeC následně uloží do DSA následný certifikát a od toho okamžiku jej začne pro pečetění využívat


Podporované formáty podpisu:

• CAdES-B-B, CAdES-B-T

– Dle normy EN 319 122, ve variantách:

– Interní

– Externí

• PAdES-B-B, PAdES-B-T

– Dle normy EN 319 142, ve variantách:

– Neviditelný

– Viditelný – Text/Obrázek/Text+Obrázek + volitelně obrázek na pozadí

• XAdES-B a XAdES-T

– dle normy ETSI TS 103 171, a to ve variantě enveloped, přičemž:

• Na vstupu bude XML dokument, který bude kompletně použit jakožto vstup

podepisovaných data.

• Na vstupu bude určeno ID elementu, do nějž bude jakožto poslední child element přidán element Signature obsahující nově vytvořenou kvalifikovanou elektronickou pečeť.

• Na vstupu bude definice požadovaných transformací, digest metody a mime-type referencovaných dat pro element Reference s id="xadesReference".

• Na vstupu bude volba hash algoritmu podpisu (SHA256/SHA384/SHA512)

• Na vstupu bude možnost volby podpisu typu XAdES-B/XAdES-T tedy bez nebo s

časovým razítkem.

• Podepisovaná data (business obsah) nikdy neopouští volající systém (komponentu RSeC)!


Bezpečnostní     požadavky     a     jejich     splnění:                  


Důvěrnost:

• Ověřovaná data nejsou v systému ukládána

• Důvěrnost dat je řešena:

– Při přenosu dat: prostřednictvím SSL protokolu.

– Při zpracování požadavku na ověření na serveru: s ověřovanými daty se pracuje pouze v paměti a nejsou v žádném kroku fyzicky uložena do souboru (ani dočasného) nebo databáze. Po procesu ověření jsou data z paměti vymazána.

– Celý proces ověření je logován.


Integrita:

• Ověřovaná data nejsou v systému ukládána. Integrita vstupních dat při přenosu je řešena na úrovni datové struktury webové služby (vstupem je hash ověřovaných dat a hash z podpisu) a jejich kontrolou na serveru.


Dostupnost:

• Služba je poskytována v režimu 24/7 s SLA 99,5% a kapacitou až 60 ověření za minutu.

Příloha č. 3


Vzor emailové zprávy nebo protokolu o požadavku zavedení klienta přeprodejce k odběru   TSA nebo   ATSA                         


Název přeprodejce: ……………………………….

Název klienta (Organizace, OSVČ, Fyzická osoba)

Služba: (TSA nebo ATSA, či obojí)

Způsob autentizace (Komerčním certifikátem X.XX nebo jméno heslo)

ad1) Sériové číslo certifikátu (dekadický nebo hexadecimální


tvar)


ad2) Autentizace jménem a heslem


o Jméno (min. 8 znaků bez diaktriky)


o Heslo (min. 8 znaků bez diaktriky)


Email nebo zprávu vždy poslat na kontaktní osobu X.XX, která zajistí zavedení klienta do systému X.XX. Zavedení do systému trvá vždy min. jednu hodinu.


Nastavení             prostředí             TSA                         



Ostré/produkční TSA


produkční služba

autorizace

typ spojení

URL

TSA

certifikátem

neanonymní HTTPS

xxxxx://xxx.xxx.xx/xxx-xxx/xxxxxxx.xxx

TSA

jménem a heslem

neanonymní HTTPS

xxxxx://xxxxxxx.xxx.xx/xxx-xxx/xxxxxxx_xxxx.xxx

TSA

jménem a heslem

HTTP

xxxx://xxxxxxx.xxx.xx/xxx-xxx/xxxxxxx_xxxx.xxx


1.3.6.1.4.1.23624.10.1.50.1.0

OID politika


Pokud nemáte nainstalovány všechny relevantní kořenové certifikáty, (root certifikáty, certifikát serveru TS), nainstalujte si je pomocí aplikace X.XX Rootman (xxxx://xxx.xxx.xx/Xxxxxxxx-xxxxxxxxxxx).

Document Metadata

Filed: August 14th, 2019