Smlouva na nákup a implementaci systému Log management pro ČP Číslo 2023/00413

Smlouva na nákup a implementaci systému Log management pro ČP č. 2023/00413

Smlouva na nákup a implementaci systému Log management pro ČP

Číslo 2023/00413

Česká pošta, s.p.
se sídlem:	Politických vězňů 000/0, 000 00 Xxxxx 0
IČO:	47114983
DIČ:	CZ47114983
zastoupen:	Ing. Xxxxxxxxxx Xxxxxxxx, ředitelem úseku ICT a eGovernment
zapsán v obchodním rejstříku u:	Městského soudu v Praze, oddíl A, vložka 7565
bankovní spojení:	xxx xxx
dále jen „Objednatel“

a

AXENTA a.s.
se sídlem:	Xxxxxxx 000/00, Xxxxxx, 000 00 Xxxx
IČO:	28349822
DIČ:	CZ28349822
zastoupen:	Ing. Xxxxxxx Xxxxxxxx, předsedou představenstva
zapsán v obchodním rejstříku u:	Krajského soudu v Brně, spisová značka B vložka 5888
bankovní spojení:	xxx
	xxx
dále jen „Dodavatel“

dále jednotlivě jako „Smluvní strana“, nebo společně jako „Smluvní strany“ uzavírají v souladu s ustanovením § 1746 odst. 2 zákona č. 89/2012 Sb., občanského zákoníku, ve znění pozdějších předpisů (dále jen „Občanský zákoník“), a zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů (dále jen „Zákon o zadávání veřejných zakázek“), tuto Smlouvu o nákupu a implementaci systému Log management pro ČP (dále jen „Smlouva“).

Preambule

Objednatel provedl zadávací řízení k veřejné zakázce „Centrální Log Management“ (dále jen „Zadávací řízení“) na uzavření této Smlouvy. Tato Xxxxxxx je uzavírána s Dodavatelem na základě výsledku Zadávacího řízení. Objednatel tímto ve smyslu ust. § 1740 odst. 3 Občanského zákoníku předem vylučuje přijetí nabídky na uzavření této Xxxxxxx s dodatkem nebo odchylkou.

1. Definice pojmů

1. Používá-li tato Smlouva v dalším textu níže uvedené pojmy psané s velkým počátečním písmenem, ať už v singuláru nebo plurálu, mají tyto pojmy následující význam:

   1. Autorský zákon – zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů

   2. MD – man-day (člověkoden), osm hodin práce jedné fyzické osoby;

   3. Software, SW – počítačové programy včetně databázového engine a další autorská díla, včetně veškerých zdrojových kódů, stejně jako další věci či jiné majetkové hodnoty, které s těmito počítačovými programy souvisí a jsou určeny ke společnému užívání s nimi, včetně veškeré související dokumentace, přípravných koncepčních materiálů a updatů a upgradů, avšak s výjimkou HW a Databází;

   4. Výrobce software – znamená osobu, která vykonává svým jménem a na svůj účet majetková práva k Software, bez ohledu na to, zda se jedná o Dodavatele nebo třetí osobu.

   5. ČP – Česká pošta, s.p.

   6. Licence – znamená oprávnění k výkonu práva užít Software.

   7. Licenční ujednání – znamená úpravu práv a povinností nabyvatele Licence a Výrobce software v souvislosti s užíváním Software a úpravu podmínek užívání Software ve znění uvedeném v Příloze č. 2 Smlouvy.

2. Předmět a účel Smlouvy

   1. Předmětem této Smlouvy je dodávka SW pro centrální sběr a management logů pro Českou poštu, s. p. včetně hardware, software a potřebných licencí k jeho provozování, jeho implementace a poskytování podpory a údržby (support & maintenance) Dodavatelem v územním, časovém a množstevním rozsahu blíže specifikovaném v Příloze č. 1 a 2 této Smlouvy.

   2. Předmětem plnění této Smlouvy je v souladu s přílohou č. 1 této Smlouvy konkrétně:

      1. dodávka softwarového nástroje, který bude zajišťovat služby sběru, ukládání a vyhodnocování záznamů z technologií ICT, spolu s HW dle specifikace obsažené v Příloze č. 1 Smlouvy a udělit Objednateli licenci k užití dodaného SW (dále jen „Nástroj“)

      2. vytvoření dokumentu „Nasazení SW Log Managementu“ pro implementaci Nástroje, implementace SW a HW v rozsahu dle Přílohy 2 této smlouvy (dále též „Implementace“)

      3. seznámení pracovníků Objednatele s Řešením, při kterém Dodavatel představí uživatelům celkový funkční stav a seznámí uživatele jak se základy, tak s pokročilými možnosti práce s Řešením, včetně uživatelských dovedností.

(předmět plnění Smlouvy dle čl. 2.2.1 až 2.2.23 dále též jako „Řešení“)

4. poskytování technické a servisní podpory výrobce Nástroje dle Přílohy č. 1 této Smlouvy

5. poskytování technické a servisní podpory Dodavatele pro Nástroj dle Přílohy č. 1 této Smlouvy

(předmět plnění Smlouvy dle odst. 2.2.44 a 2.2.55 dále též jako „Podpora“)

(všechny body předmětu plnění dle odst. 2.2 Smlouvy společně též jako „Předmět plnění“ nebo jen „Plnění“)

3. Dodavatel se zavazuje dodat Předmět plnění ve sjednaném druhu, kvalitě (včetně požadovaných vlastností), čase a množství. Dodavatel se zavazuje dodat Předmět plnění v co nejlepším provedení a jakosti odpovídající aktuálnímu stavu technologického vývoje a poznání v dané kategorii produktů, jakož i požadavkům Objednatele vymezeným v Příloze č. 1 této Smlouvy.

4. Dodavatel se zavazuje dodat Řešení a provádět pro Objednatele Podporu za podmínek uvedených v této Smlouvě.

5. Dodavatel se zavazuje poskytnout Plnění dle harmonogramu, který je Přílohou č. 3 této Smlouvy.

6. Po uzavření Smlouvy sdělí Objednatel Dodavateli evidenční číslo objednávky pro účely fakturace plnění dle čl. 2 Smlouvy. Objednávka slouží jen pro evidenční účely.

7. Objednatel se tímto zavazuje řádně poskytnuté Plnění převzít a zaplatit za něj dohodnutou cenu způsobem ve Xxxxxxx definovaným.

8. Účelem této Smlouvy je zajištění nástroje centrálního sběru a management logů vznikajících v ICT prostředí Objednatele, tzn. vytvořit prostředí, kde bude možné shromažďovat logy ze všech zdrojů v informačních systémech (např. operační systémy, databázové systémy, aplikace) ČP, které bude disponovat dostatečnou kapacitou pro centrální úložiště pro ukládání předpokládaného objemu logů. Logy budou ukládány ve strukturované formě, tak aby je bylo možné prohledávat různými softwarovými nástroji dle požadavků jednotlivých oddělení v rámci ČP. Účel je také snížit reakční čas na identifikaci bezpečnostních událostí a incidentů v prostředí ČP.

1. Cena Plnění a platební podmínky

   1. Objednatel se zavazuje za poskytnuté Plnění uhradit Dodavateli cenu v následující výši:

Celková cena za poskytnutí Plnění dle čl. 2 Smlouvy činí 2.483 520 Kč bez DPH (slovy: dvamilionyčtyřistaosmdesáttřitisícpětsetdvacet korun českých).

2. Cena je cenou nejvýše přípustnou. K této ceně bude připočtena daň z přidané hodnoty na základě platných právních předpisů v den uskutečnění zdanitelného plnění. Přesná specifikace ceny, včetně dílčích cen za jednotlivé složky Předmětu plnění je uvedena v Příloze 4 této Smlouvy.

3. Dodavatel prohlašuje, že ceny zahrnují veškeré jeho náklady spojené s plněním závazků dle této Smlouvy včetně veškerého materiálu, práce, balení, poplatků, dopravy (doručení do míst plnění), daní atd. se zohledněním všech případných rizik. Ceny zahrnují též předpokládaný vývoj inflace až do konce účinnosti Smlouvy, tedy inflace nemá vliv na ceny.

4. Cena představuje cenu za celý Předmět plnění včetně veškerých nákladů souvisejících s poskytnutím Předmětu plnění, které se na základě Smlouvy zavázal poskytnout Dodavatel Objednateli. Součástí ceny jsou i služby a dodávky, které v zadávací dokumentaci Zadávacího řízení nebo ve Smlouvě sice výslovně uvedeny nejsou, ale Dodavatel, jakožto odborník o nich ví nebo má vědět, že jsou nezbytné pro dodání a provedení Předmětu plnění.

5. Daňový doklad za Řešení bude vystaven Dodavatelem nejdříve po poskytnutí Řešení bez jakýchkoli vad. Nedílnou součástí daňového dokladu je Objednatelem potvrzený Akceptační protokol stvrzující řádné předání hotového a otestovaného Nástroje Objednateli a jeho schválení. Dnem uskutečnění zdanitelného plnění je den potvrzení Akceptačního protokolu Objednatelem.

6. Daňový doklad za poskytování Podpory bude vystaven Dodavatelem vždy první kalendářní den příslušného ročního období, ve kterém bude Podpora Objednateli poskytována. V případě, že bude Podpora poskytována pouze část ročního období, bude cena za poskytování Podpory v tomto období fakturovaná v poměrné výši.

7. Splatnost daňového dokladu vystaveného Dodavatelem je šedesát (60) kalendářních dní ode dne vystavení Dodavatelem.

8. Objednatel neposkytuje Dodavateli jakékoliv zálohy na cenu.

9. Dodavatel zašle fakturu - daňový doklad Objednateli způsobem dle odst. 2.6 Všeobecných obchodních podmínek (dále jen „VOP“).

4. Doba a místo Plnění

   1. Dodavatel se zavazuje realizovat Předmět plnění v následujících termínech:

      1. Dodat Řešení dle odst. 2.2.1 až 2.2.23 v souladu s harmonogramem dle Přílohy č. 3 (dále jen „Harmonogram“).

      2. Poskytovat Podporu dle odst. 2.2.44 a 2.2.55 průběžně po dobu 4 let od akceptace Řešení dodaného dle odst. 2.2.1 až 2.2.23.

   2. Místem plnění je: Česká pošta, s.p., Xxxxxxxx 00/0, 000 00 Xxxxx 0 x Xxxxx pošta, s.p., Xxxxxxxx 000/0, 000 00 Xxxxx Xxxxxxxx.

5. Způsob poskytování Plnění

   1. Poskytnutím Předmětu plnění se rozumí předání hardware, software, licenčních klíčů a dokumentace, aby Objednatel mohl využít Předmět plnění ve sjednaném rozsahu. Dodavatel se zavazuje k tomu, že instalační balíčky jednotlivých komponent, budou v aktuální verzi ke dni předání Předmětu plnění.

      1. Spolu s Předmětem plnění bude předána také veškerá dokumentace (např. produktová, uživatelská) vztahující se k Předmětu plnění a k Software, bez níž by nemohlo docházet k řádnému užívání Software v souladu s poskytnutou Licencí, v českém jazyce, která bude předána spolu s Předmětem plnění v elektronické podobě.

      2. Objednatel potvrdí svým podpisem převzetí Předmětu plnění do písemného protokolu o předání a převzetí Předmětu plnění. Objednatel je oprávněn odmítnout převzetí Předmětu plnění, není-li dodán včas a řádně (bez vad). Neodmítnutí převzetí Předmětu plnění však nezbavuje Objednatele jeho nároků z odpovědnosti Xxxxxxxxxx za vady.

      3. O datu předání Předmětu plnění je Dodavatel povinen Objednatele informovat nejméně tři (3) pracovní dny předem e-mailem nebo telefonicky na spojení uvedené v odst. 10.2 Smlouvy.

   2. Plnění musí být poskytnuto bez jakýchkoli vad, ať již faktických či právních, v souladu s veškerými právními předpisy, technickými požadavky a technickými a bezpečnostními normami, které se na Plnění vztahují, a to jak normami závaznými, tak doporučujícími.

   3. V rámci realizace předmětu Smlouvy má každá Smluvní strana zejména následující povinnosti:

      1. vzájemně spolupracovat a poskytovat druhé Smluvní straně veškeré informace potřebné pro řádné plnění svých povinností vyplývajících ze Smlouvy;

      2. poskytovat druhé Smluvní straně úplné, pravdivé a včasné informace o veškerých skutečnostech, které jsou nebo mohou být důležité pro řádné plnění dle Smlouvy;

      3. plnit své povinnosti vyplývající ze Smlouvy tak, aby nedocházelo k prodlení s plněním povinností vázaných k jednotlivým termínům a úhradě jednotlivých splatných peněžních dluhů.

   4. Objednatel se zavazuje v termínech stanovených touto Smlouvou, jinak v termínech odpovídajících postupu realizace Plnění, poskytnout Dodavateli potřebnou součinnost v následujícím rozsahu:

      1. poskytovat Xxxxxxxxxx potřebné dokumenty a informace, je-li povinnost k jejich poskytnutí uvedena ve Smlouvě (včetně příloh) nebo bylo-li tak dohodnuto v rámci jednání Smluvních stran;

      2. umožnit pracovníkům Dodavatele uvedeným v písemném seznamu předloženém Dodavatelem v předem dohodnutém termínu přístup na pracoviště Objednatele, je-li to nezbytné pro realizaci předmětu Smlouvy, a umožnit Dodavateli vzdálený přístup do informačních systémů Objednatele, je-li to pro realizaci předmětu Smlouvy nezbytné;

      3. seznámit Xxxxxxxxxx s interními pravidly a předpisy Objednatele v oblasti bezpečnosti ICT systémů a BOZP, které bude Dodavatel povinen dodržovat;

      4. dle potřeby a řešeného tématu zajistit účast a součinnost odpovědných pracovníků Objednatele při schvalování, analýzách, testování, akceptaci, seznámení s Nástrojem apod.;

      5. poskytovat informace o ostatních projektech v daném prostředí, pokud budou mít jakýkoli vliv na plnění povinností Dodavatele z této Smlouvy;

      6. zajistit součinnost třetích stran, které nejsou v přímém smluvním vztahu s Dodavatelem, avšak jejichž činnost se přímo i nepřímo může dotýkat plnění dle této Smlouvy, pokud bude tato součinnost nezbytná pro plnění povinností Dodavatele;

      7. zajistit datovou a internetovou konektivitu, tj. komunikační kanály poskytující připojení k dílčím systémům Objednatele.

5. Dodavatel se v souvislosti s realizací předmětu této Smlouvy zavazuje zejména:

   1. poskytovat Plnění v souladu se Smlouvou, řádně a včas, s řádnou a odbornou péčí a potřebnými odbornými schopnostmi pro poskytování plnění, které je předmětem této Smlouvy tak, aby bylo dosaženo účelu Smlouvy;

   2. poskytovat Plnění v souladu s obecně závaznými právními předpisy a pokyny Objednatele, pokud tyto nejsou v rozporu s těmito normami nebo zájmy Objednatele. Dodavatel je povinen při výkonu své činnosti včas písemně upozornit Objednatele na zřejmou nevhodnost jeho pokynů, jejichž následkem může vzniknout újma nebo nesoulad s obecně závaznými právními předpisy. Pokud Objednatel navzdory tomuto upozornění trvá na svých pokynech, Dodavatel neodpovídá za jakoukoli újmu vzniklou v této příčinné souvislosti;

   3. při plnění předmětu této Smlouvy brát na zřetel provozní potřeby Objednatele, postupovat podle pravidel obvyklých pro zpracování dat a v úzké součinnosti s Objednatelem provádět jednotlivá plnění této Smlouvy;

   4. pokud v průběhu plnění povinností vznikne na straně Dodavatele potřeba využít služeb třetí strany – poddodavatele, je oprávněn tak učinit jen po předchozím písemném souhlasu Objednatele a jen tehdy, pokud bude nový poddodavatel splňovat potřebnou kvalifikaci. V případě, že Objednatel souhlas k využití poddodavatele neudělí, není Dodavatel oprávněn takovou poddodávku udělit. V případě souhlasu Objednatele a následného využití služeb třetí strany bude Xxxxxxxxx odpovídat za třetí stranu, jako by plnil sám, včetně odpovědnosti za způsobenou újmu. Dodavatel je povinen zajistit, aby jeho poddodavatel poskytoval plnění v souladu s touto Smlouvou a dodržoval veškerá ujednání mezi Smluvními stranami;

   5. informovat bezodkladně Objednatele o jakýchkoliv zjištěných překážkách plnění, byť by za ně Dodavatel neodpovídal a o uplatněných nárocích třetích osob, které by mohly plnění této Smlouvy ovlivnit;

   6. dbát, aby nebyla poškozena dobrá obchodní pověst a dobré jméno Objednatele. Při poskytování plnění musí Dodavatel vždy sledovat zájmy Objednatele;

   7. činit všechna potřebná opatření k tomu, aby jeho činností nedošlo ke škodám na majetku Objednatele, jeho zaměstnanců nebo třetích stran, anebo k poškození zdraví zaměstnanců Objednatele nebo třetích osob, jimž by Objednatel za takto způsobenou újmu odpovídal;

   8. odčinit majetkovou i nemajetkovou újmu vzniklou Objednateli činností, nečinností nebo opomenutím Dodavatele;

   9. pro poskytování Plnění neužívat zaměstnance Objednatele, ani s nimi v této souvislosti neuzavírat jakýkoliv právní vztah s výjimkou potřebné a přiměřené součinnosti, není-li v této Smlouvě stanoveno jinak;

   10. na vyžádání Objednatele se zúčastnit osobní schůzky (mimo jednání projektového týmu), pokud Objednatel požádá o schůzku nejpozději dva (2) pracovní dny předem. V mimořádně naléhavých případech je možno tento termín po dohodě obou Smluvních stran zkrátit;

   11. dodržovat veškerá interní pravidla a předpisy Objednatele týkající se bezpečnosti ICT systémů, BOZP a požární ochrany, byl-li s nimi Objednatelem seznámen, a účastnit se na výzvu Objednatele školení v oblasti bezpečnosti ICT systémů, pravidel BOZP a požární ochrany Objednatele;

   12. dodat Plnění v kvalitě potřebné pro dosažení parametrů stanovených v Příloze č. 1 Smlouvy a odpovídat za to, že případné vady Plnění poskytnutého dle Smlouvy řádně odstraní, případně nahradí plněním bezvadným, v souladu se Smlouvou;

   13. umožnit Objednateli kontrolovat, zda Dodavatel poskytuje Plnění řádně;

   14. mít po celou dobu trvání Smlouvy sjednáno pojištění odpovědnosti za majetkové i nemajetkové újmy způsobené v souvislosti s plněním Smlouvy Dodavatelem nebo osobou, za niž odpovídá, s pojistnou částkou nejméně 3.000.000 Kč. Při vzniku pojistné události zabezpečuje ihned po jejím vzniku veškeré úkony vůči pojistiteli Dodavatel. Objednatel je povinen poskytnout v souvislosti s pojistnou událostí Dodavatele veškerou součinnost, která je v jeho možnostech.

1. Realizační tým

   1. Dodavatel je povinen za účelem poskytování Plnění zajistit dostatečnou kapacitu svých pracovníků s odpovídající kvalifikací a zkušenostmi.

   2. Dodavatel je povinen za účelem poskytování Plnění dle této Smlouvy ustavit členy realizačního týmu pro realizaci této Smlouvy a určit jejich pravomoci (dále jen „Realizační tým“). Seznam členů Realizačního týmu je uveden v Příloze č. 5 Smlouvy.

      1. Dodavatel zajistí kontinuitu členů Realizačního týmu v průběhu trvání Smlouvy. Nahrazení členů Realizačního týmu jinými pracovníky Dodavatele je možné pouze:

         1. ze závažných důvodů vzniklých na straně Dodavatele;

         2. po předchozím projednání a schválení Objednatelem;

         3. za předpokladu, že je nový člen Realizačního týmu je držitelem shodných nebo vyšších certifikací, pokud byly v rámci zadávacího řízení požadovány, a má odpovídající nebo vyšší kvalifikaci jako původní člen Realizačního týmu, kterého nahrazuje;

         4. do pěti (5) pracovních dní od oznámení důvodů pro nahrazení Objednateli.

      2. Členové Realizačního týmu musí být schopni komunikovat v českém nebo slovenském jazyce, a to buď sami nebo prostřednictvím překladatele/tlumočníka; náklady na případné využití překladatele/tlumočníka nese Dodavatel.

   3. Jednotlivé činnosti prováděné v rámci Plnění nespadající do činností členů Realizačního týmu uvedeného v Příloze č. 5 Smlouvy, mohou být prováděny i jinými osobami než členy Realizačního týmu. Tím však není dotčena odpovědnost členů Realizačního týmu dle jejich pozic i za takto provedené činnosti.

   4. Dodavatel je povinen předložit Objednateli před zahájením poskytování Plnění seznam pracovníků, pro které bude požadovat přístup na pracoviště Objednatele a vzdálený přístup do informačního systému Objednatele, je-li to pro plnění Smlouvy nezbytné.

   5. Dodavatelův Realizační tým se zúčastní realizační schůzky, která bude svolána nejpozději do pěti (15) dnů od účinnosti Smlouvy, a to v místě plnění.

2. Kontrola a akceptace

   1. Akceptační procedura zahrnuje ověření řádného provedení Předmětu plnění, tj. řádného dodání Řešení porovnáním skutečných vlastností Řešení s jeho specifikací.

   2. Dodavatel dodá Řešení dle odst. 2.2.1 až 2.2.23 dle harmonogramu uvedeného v Příloze 3 této Smlouvy, ust. § 2590 odst. 2 Občanského zákoníku se neužije. Řízení o akceptaci předaného plnění je zahájeno dnem předání plnění podle Xxxxxxx a je ukončeno podpisem akceptačního protokolu oprávněnými osobami Smluvních stran (dále jen „Akceptační protokol“). Objednatel potvrdí příslušný Akceptační protokol pouze v případě, že Dodavatelem předané plnění splňuje podmínky a vlastnosti stanovené Smlouvou, je funkční, bez nedodělků a bez vad.

   3. Veškeré zjištěné nedostatky, nedodělky a vady, resp. rozpor s touto Smlouvou, budou Dodavateli kdykoliv po jejich zjištění oznámeny Objednatelem (dále jen „Oznámení o nedodělcích a vadách“). Veškeré nedostatky, nedodělky a vady budou Dodavatelem odstraněny bez zbytečného odkladu po doručení písemného Oznámení o nedodělcích a vadách, a to tak, aby k podpisu příslušného Akceptačního protokolu mohlo dojít ve stanoveném termínu.

   4. Dodavatel zpracuje návrh Akceptačního protokolu a předkládá jej Objednateli.

   5. Objednatel může akceptaci odmítnout v případě, že předané Plnění vykazuje natolik vážné vady, že nemůže sloužit svému účelu vůbec nebo s výraznými omezeními. V případě méně vážných vad může Objednatel akceptovat Řešení s výhradami.

   6. V případě, že akceptace byla provedena s výhradami Objednatele, je Dodavatel povinen zjednat nápravu do pěti (5) kalendářních dnů, nebude-li dohodou Smluvních stran stanoveno jinak.

   7. Bylo-li Řešení akceptováno, Dodavatel může fakturovat Objednateli plnou výši ceny za předmětnou část plnění. Bylo-li Řešení akceptováno s výhradou, Dodavateli vznikne právo na zaplacení ceny a vystavení daňového dokladu (faktury) až po zjednání nápravy a bezvýhradné akceptaci Řešení.

3. Práva duševního vlastnictví

   1. Nástroj je autorským dílem ve smyslu Autorského zákona. Dodavatel poskytuje nabyvateli časově neomezenou Licenci v souladu s touto Smlouvou jako nevýhradní a bez územního omezení, přičemž server Objednatele, na kterém bude Nástroj uložen, bude umístěn na území České republiky. Podmínky poskytování Licencí – Licenční ujednání Dodavatele – tvoří Přílohu č. 6 Smlouvy. Objednatel není povinen poskytnuté Licence využít. Cena Licencí je zahrnuta v ceně SW dle odst. 3.1 Smlouvy.

4. Práva z vadného plnění

   1. Dodavatel prohlašuje, že je oprávněn Plnění v rozsahu sjednaném v této Smlouvě Objednateli dodat, že uzavřením a plněním této Smlouvy neporušuje žádná práva duševního vlastnictví ani jiná práva třetích osob. Dodavatel odpovídá za to, že Objednatel užíváním Nástroje v rozsahu poskytnutých licencí neporušuje žádná práva třetích osob. Dodavatel je povinen umožnit Objednateli nerušené užívání Nástroje v rozsahu udělených licencí a chránit jej, ať sám nebo prostřednictvím Výrobce Nástroje, před nároky třetích osob vznesenými vůči Objednateli v souvislosti s užíváním Nástroje.

5. Odpovědní pracovníci

   1. Odpovědnými pracovníky Objednatele a Dodavatele ve věcech obchodních pro účely této Smlouvy jsou:

      1. Za Objednatele:

xxx

xxx

xxx

2. Za Dodavatele:

xxx

xxx

xxx

2. Odpovědnými pracovníky Objednatele a Dodavatele ve věcech technických pro účely této Smlouvy jsou:

   1. Za Objednatele:

xxx

xxx

xxx

2. Za Dodavatele:

xxx

xxx

xxx

3. Pouze odpovědní pracovníci Objednatele a Dodavatele jsou oprávněni vznášet vůči druhé Smluvní straně požadavky související s plněním této Smlouvy. Smluvní strany se zavazují v průběhu plnění Smlouvy nezměnit odpovědné pracovníky bez závažných důvodů. V případě změny odpovědného pracovníka je Smluvní strana povinna neprodleně o této skutečnosti písemně informovat druhou Smluvní stranu.

1. Smluvní pokuty, odpovědnost za újmu

   1. V případě nedodržení podmínek plnění Dodavatelem podle této Smlouvy může být vůči Dodavateli nárokována smluvní pokuta.

   2. Odchylně od ustanovení odst. 11.1 písm. a) příslušných VOP se sjednává, že v případě prodlení s předáním Řešení do provozu oproti termínu uvedenému v Harmonogramu je Objednatel oprávněn požadovat a Dodavatel povinen zaplatit smluvní pokutu ve výši 10.000,- Kč, a to za každý započatý kalendářní den prodlení.

   3. V případě prodlení s nedodržením lhůt pro odstranění vad dle Přílohy č. 1 Smlouvy, části „Požadavky na podporu,“ odst. 13 je Objednatel oprávněn požadovat a Dodavatel povinen zaplatit smluvní pokutu ve výši 10.000,- Kč, a to za každý započatý kalendářní den prodlení.

   4. V případě prokazatelného prodlení povinné Smluvní strany s poskytnutím součinnosti není druhá Smluvní strana v prodlení s plněním svých závazků závislých na poskytnutí součinnosti povinné Smluvní strany a veškeré lhůty se o prokazatelné prodlení povinné Smluvní strany prodlužují, nedohodnou-li se Smluvní strany jinak.

   5. Odchylně od ustanovení odst. 11.1 písm. f) VOP se sjednává, že v případě porušení závazku Dodavatele mít po celou dobu trvání Smlouvy sjednáno pojištění odpovědnosti za majetkové i nemajetkové újmy dle odst. 5.5.14 je Objednatel oprávněn požadovat od Dodavatele zaplacení smluvní pokuty ve výši 50.000, - Kč. Nedoloží-li Dodavatel do 7 kalendářních dnů ode dne písemného vyzvání Objednateli doklad o pojištění dle odst. 5.5.14 Xxxxxxx, je Objednatel oprávněn požadovat od Dodavatele zaplacení smluvní pokuty ve výši 1.000,- Kč za každý, byť i započatý kalendářní den prodlení.

   6. V případě prodlení Smluvní strany s úhradou jejich peněžitých závazků je druhá Smluvní strana oprávněna požadovat zaplacení úroku z prodlení ve výši stanovené právními předpisy.

   7. Uplatnění smluvní pokuty za konkrétní porušení Smlouvy sdělí Smluvní strana, která jej uplatňuje, písemně.

   8. Uplatněním jakékoliv smluvní pokuty není nijak dotčeno právo Objednatele na náhradu skutečně způsobené újmy v rozsahu přesahujícím zaplacenou smluvní pokutu.

   9. Nárok na smluvní pokutu vzniká dnem porušení příslušné smluvní povinnosti.

   10. Splatné smluvní pokuty je Objednatel oprávněn jednostranně započíst vůči splatným pohledávkám Dodavatele.

   11. Právo na zaplacení smluvních pokut dle této Smlouvy nevzniká v případě, že je porušení povinnosti či prodlení s plněním povinnosti způsobené okolnostmi vylučujícími povinnost k náhradě újmy dle § 2913 odst. 2 Občanského zákoníku anebo způsobené porušením povinností dle Smlouvy druhou Smluvní stranou.

   12. V případě, že dojde k porušení povinnosti Dodavatele, jenž zakládá nárok Objednatele na odstoupení od Xxxxxxx, je Objednatel oprávněn bez ohledu na skutečnost, zda využije svého práva na odstoupení od Xxxxxxx, účtovat Dodavateli smluvní pokutu ve výši 100.000, - Kč za každý případ porušení takové povinnosti.

   13. Po ukončení Smlouvy zůstává zachována platnost a účinnost ustanovení Smlouvy, týkající se odpovědnosti za vady, důvěrných informací, Osobních údajů, smluvní pokuty, náhrady újmy a jiných ze své povahy přetrvávajících nároků či závazků.

2. Nemožnost plnění

   1. Jestliže vznikne na straně Dodavatele nemožnost plnění ve smyslu § 2006 a § 2007 občanského zákoníku, Dodavatel písemně uvědomí bez zbytečného odkladu, nejpozději však do pěti (5) kalendářních dnů od jejího vzniku, o této skutečnosti a její příčině Objednatele. Pokud není jinak stanoveno písemně Objednatelem, bude Dodavatel pokračovat v realizaci svých povinností vyplývajících ze smluvního vztahu v rozsahu svých nejlepších možností a schopností a bude hledat alternativní prostředky pro realizaci té části plnění, kde není možné plnit. Pokud by podmínky nemožnosti plnění trvaly déle než devadesát (90) kalendářních dní, je Objednatel oprávněn od Smlouvy odstoupit.

   2. Ustanovení tohoto článku Smlouvy nezbavuje žádnou ze smluvních stran její povinnosti k úhradě plateb v té době již splatných.

3. Oddělitelnost

   1. Pokud jakákoliv ustanovení nebo jakékoliv části ustanovení Smlouvy budou považovány za neplatné nebo nevymahatelné, nebude mít taková neplatnost nebo nevymahatelnost za následek neplatnost nebo nevymahatelnost celé Smlouvy, ale celá Smlouva se bude vykládat tak, jako kdyby neobsahovala příslušná neplatná nebo nevymahatelná ustanovení nebo části ustanovení a práva a povinnosti smluvních stran se budou vykládat přiměřeně. Smluvní strany se dále zavazují, že budou navzájem spolupracovat s cílem nahradit takové neplatné nebo nevymahatelné ustanovení platným a vymahatelným ustanovením, jímž bude dosaženo stejného ekonomického výsledku (v maximálním možném rozsahu v souladu s právními předpisy), jako bylo zamýšleno ustanovením, jež bylo shledáno neplatným či nevymahatelným.

4. Obchodní tajemství a důvěrné informace

   1. Veškeré konkurenčně významné, určitelné, ocenitelné a v příslušných obchodních kruzích běžně nedostupné skutečnosti související se smluvními stranami, a se kterými se smluvní strany seznámí při realizaci předmětu Smlouvy nebo v souvislosti s touto Smlouvou přijdou do styku, a jejichž vlastník zajišťuje ve svém zájmu odpovídajícím způsobem jejich utajení, jsou obchodním tajemstvím. Smluvní strany se zavazují zachovat mlčenlivost o obchodním tajemství druhé smluvní strany, a dále o skutečnostech a informacích, které označí jako důvěrné dle § 1730 občanského zákoníku. Povinnost mlčenlivosti trvá až do doby, kdy se informace této povahy stanou obecně známými za předpokladu, že se tak nestane porušením povinnosti mlčenlivosti. Na povinnost mlčenlivosti nemá vliv forma sdělení informací (písemně nebo ústně) a jejich podoba (materializované nebo dematerializované).

   2. Smluvní strany se zavazují, že důvěrné informace a obchodní tajemství druhé smluvní strany jiným subjektům nesdělí, nezpřístupní, ani nevyužijí pro sebe nebo pro jinou osobu. Zavazují se zachovat je v přísné tajnosti a sdělit je výlučně těm svým zaměstnancům nebo subdodavatelům, kteří jsou pověřeni plněním Smlouvy a za tímto účelem jsou oprávněni se s těmito informacemi v nezbytném rozsahu seznámit. Smluvní strany se zavazují zabezpečit, aby i tyto osoby považovaly uvedené informace za důvěrné a zachovávaly o nich mlčenlivost.

   3. V případě porušení obchodního tajemství ve smyslu § 2985 občanského zákoníku, použijí smluvní strany prostředky právní ochrany proti nekalé soutěži.

   4. Poškozená smluvní strana má právo na náhradu újmy, která jí takovýmto jednáním druhé smluvní strany vznikne.

   5. Povinnost plnit ustanovení dle tohoto článku Smlouvy se nevztahuje na informace, které:

      1. mohou být zveřejněny bez porušení této Smlouvy,

      2. byly písemným souhlasem obou smluvních stran zproštěny těchto omezení,

      3. jsou známé nebo byly zveřejněny jinak než následkem zanedbání povinnosti jedné ze smluvních stran,

      4. příjemce je zná dříve, než mu je sdělí smluvní strana,

      5. jsou vyžádány soudem, státním zastupitelstvím nebo příslušným správním orgánem v souladu a na základě zákona,

      6. smluvní strana je sdělí osobě vázané zákonnou povinností mlčenlivosti (např. advokátovi nebo daňovému poradci) za účelem uplatňování svých práv nebo při plnění povinností stanovených právními předpisy,

      7. jsou zveřejněny v souladu a na základě právního předpisu (např. o svobodném přístupu k informacím, o registru smluv),

      8. je Objednatel povinen sdělit svému zakladateli.

   6. Povinnost mlčenlivosti trvá bez ohledu na ukončení platnosti této Smlouvy.

   7. Smluvní strany berou na vědomí, že tato Xxxxxxx bude uveřejněna v registru smluv dle zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv). Dle dohody smluvních stran zajistí odeslání této Smlouvy správci registru smluv Objednatel. Objednatel je oprávněn před odesláním Xxxxxxx správci registru smluv ve Xxxxxxx znečitelnit informace, na něž se nevztahuje uveřejňovací povinnost podle zákona o registru smluv.

5. Compliance

   1. Smluvní strany se zavazují dodržovat právní předpisy a chovat se tak, aby jejich jednání nemohlo vzbudit důvodné podezření ze spáchání nebo páchání trestného činu přičitatelného jedné nebo oběma smluvním stranám podle zákona č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim, ve znění pozdějších předpisů.

   2. Smluvní strany se zavazují, že učiní všechna opatření k tomu, aby se nedopustily ony a ani nikdo z jejich zaměstnanců či zástupců jakékoliv formy korupčního jednání, zejména jednání, které by mohlo být vnímáno jako přijetí úplatku, podplácení nebo nepřímé úplatkářství či jiný trestný čin spojený s korupcí dle zákona č. 40/2009 Sb., trestní zákoník, ve znění pozdějších předpisů.

   3. Smluvní strany se zavazují, že neposkytnou, nenabídnou ani neslíbí úplatek jinému nebo pro jiného v souvislosti s obstaráváním věcí obecného zájmu anebo v souvislosti s podnikáním svým nebo jiného. Smluvní strany se rovněž zavazují, že úplatek nepřijmou, ani si jej nedají slíbit, ať už pro sebe nebo pro jiného v souvislosti s obstaráním věcí obecného zájmu nebo v souvislosti s podnikáním svým nebo jiného. Úplatkem se přitom rozumí neoprávněná výhoda spočívající v přímém majetkovém obohacení nebo jiném zvýhodnění, které se dostává nebo má dostat uplácené osobě nebo s jejím souhlasem jiné osobě, a na kterou není nárok.

   4. Smluvní strany nebudou ani u svých obchodních partnerů xxxxxxxxx jakoukoliv formu korupce či uplácení.

   5. V případě, že je zahájeno trestní stíhání Dodavatele, zavazuje se Dodavatele o tomto bez zbytečného odkladu písemně informovat Objednatele.

   6. Objednatel očekává, že se Dodavatel seznámí s „Kodexem dodavatele České pošty“, ve znění k datu účinnosti této Smlouvy, který je dostupný na webu Objednatele na adrese xxxxx://xxx.xxxxxxxxxx.xx/x-xxxxx-xxxxx/xxxxxx/xxxxxxxxxx-x-xx, a bude jej dodržovat.

6. Doba trvání Smlouvy

   1. Tato Xxxxxxx nabývá platnosti dnem jejího podpisu Smluvními stranami a účinnosti dnem zveřejnění v registru smluv podle zákona o registru smluv. Plnění předmětu této Smlouvy v době od platnosti Xxxxxxx do její účinnosti se považuje za plnění podle této Smlouvy a práva a povinnosti z něj vzniklé se řídí touto Smlouvou.

   2. Tato Xxxxxxx se uzavírá na dobu určitou, a to na dobu 48 měsíců od akceptace Řešení dodaného dle odst. 2.2.1 až 2.2.23 Xxxxxxx.

   3. Účinnost této Smlouvy lze ukončit předčasně před sjednanou dobou trvání ze zákonných důvodů, písemnou dohodou Smluvních stran nebo odstoupením z důvodů uvedených v zákoně nebo v této Smlouvě.

   4. Jednostranně lze okamžitě od Smlouvy odstoupit zejména v těchto případech:

      1. Objednatel může okamžitě odstoupit od Smlouvy v části týkající se dodávky Řešení, pokud je Dodavatel v prodlení s plněním dle odst. 2.2.1, 2.2.2 nebo 2.2.23 déle než 30 kalendářních dnů od harmonogramu uvedeného v Příloze 3 této Smlouvy.

      2. Objednatel může okamžitě odstoupit od Smlouvy v části týkající se poskytování Podpory, pokud je Dodavatel v prodlení s plněním dle odst. 2.2.44 nebo 2.2.55 této Smlouvy déle než 5 kalendářních dnů od termínu realizace příslušného závazku stanoveného v Harmonogramu.

      3. Objednatel je oprávněn okamžitě odstoupit od Smlouvy v případě pravomocného odsouzení Dodavatele pro trestný čin.

   5. V případě zániku smluvního závazkového vztahu založeného Smlouvou je Dodavatel povinen poskytnout Objednateli nebo Objednatelem určené třetí osobě nezbytnou součinnost za účelem plynulého a řádného převedení činností dle Smlouvy či jejich příslušné části na Objednatele nebo Objednatelem určenou třetí osobu tak, aby Objednateli nevznikla újma, přičemž Dodavatel se zavazuje tuto součinnost poskytovat s odbornou péčí, zodpovědně, a to do doby zániku smluvního závazkového vztahu založeného Smlouvou. Současně je i před zánikem smluvního závazkového vztahu založeného Xxxxxxxx Dodavatel povinen v rámci součinnosti dle předchozí věty poskytnout Objednateli nebo jím určeným třetím osobám informace potřebné k převedení činností dle této Smlouvy novému Dodavateli Služeb či novému Dodavateli služeb podobných Službám či s nimi jinak spojených, a to mimo jiné i formou účasti vyžádaných pracovníků Dodavatele.

7. Závěrečná ustanovení

   1. Tato Smlouva a vztahy z ní vyplývající se řídí právním řádem České republiky, zejména příslušnými ustanoveními Občanského zákoníku a Zákona o zadávání veřejných zakázek.

   2. Smluvní strany si ve smyslu ust. § 1765 odst. 2 Občanského zákoníku ujednaly, že Dodavatel na sebe přebírá nebezpečí změny okolností.

   3. Smluvní strany se dohodly, že ustanovení § 1799 a 1800 Občanského zákoníku se nepoužijí.

   4. V případě rozporu mezi Smlouvou a Přílohami mají přednost ustanovení Smlouvy, resp. jejích dodatků. V případě rozporu mezi ustanoveními jednotlivých Příloh, mají přednost přílohy v pořadí, které odpovídá jejich očíslování dle odst. 14.12 Smlouvy.

   5. Smluvní strany se zavazují vyvinout maximální úsilí k odstranění vzájemných sporů, vzniklých na základě této Smlouvy nebo v souvislosti s touto Smlouvou, a k jejich vyřešení zejména prostřednictvím jednání odpovědných pracovníků nebo jiných pověřených subjektů.

   6. Změna kontaktních osob a spojení uvedených v čl. 10 Smlouvy a změna členů realizačního týmu dle Přílohy č. 5 Smlouvy nevyžaduje změnu Xxxxxxx formou uzavření dodatku ke Smlouvě a je účinná v okamžiku doručení oznámení o této změně druhé Smluvní straně, případně udělením souhlasu u změny členů realizačního týmu, aniž by bylo nutno vyhotovovat dodatek k této Smlouvě.

   7. Tato Smlouva je vyhotovena ve dvou (2) stejnopisech s platností originálu, z nichž každá Smluvní strana obdrží po jednom (1) stejnopise.

   8. Dodavatel tímto prohlašuje, že mu byly ze strany Objednatele sděleny veškeré skutkové a právní okolnosti související s uzavřením této Smlouvy a že Dodavatel je v tomto ohledu přesvědčen o jeho schopnosti uzavřít a plnit tuto Smlouvu, má zájem tuto Smlouvu uzavřít a je schopen plnit veškeré povinnosti z této Smlouvy plynoucí.

   9. Smluvní strany tímto prohlašují, že neexistuje žádné ústní ujednání, smlouva či řízení některé Smluvní strany, které by nepříznivě ovlivnilo výkon jakýchkoliv práv a povinností dle této Smlouvy. Zároveň potvrzují svým podpisem, že veškerá ujištění a dokumenty dle této Smlouvy jsou pravdivé, platné a právně vymahatelné.

   10. Pro případ, že tato Xxxxxxx není uzavírána za přítomnosti obou Smluvních stran, platí, že Smlouva nebude uzavřena, pokud ji Dodavatel podepíše s jakoukoliv změnou či odchylkou, byť nepodstatnou, nebo dodatkem, ledaže Objednatel takovou změnu či odchylku nebo dodatek následně schválí. To platí i v případě připojení obchodních podmínek Dodavatele, které budou odporovat svým obsahem jakýmkoliv způsobem textu této Smlouvy.

   11. Smluvní strany potvrzují, že se před podpisem této Smlouvy seznámily s textem VOP a je jim znám jejich význam v souladu a ve spojitosti se Smlouvou. Dále Smluvní strany potvrzují, že veškerým ustanovením Smlouvy a VOP plně a bez jakýchkoli obtíží porozuměly a nepovažují je za nevýhodná. VOP představují závaznou a nedílnou součást Smlouvy, přičemž pro poskytnutí Řešení se použijí Všeobecné obchodní podmínky pro dodávky zboží uvedené v Příloze č. 8 Smlouvy a pro poskytování Podpory se použijí Všeobecné obchodní podmínky pro poskytování služeb uvedené v Příloze č. 9 Smlouvy.

   12. Nedílnou součástí této Smlouvy jsou následující Přílohy:

Příloha č. 1 Technická specifikace Nástroje/Řešení a Podpory

Příloha č. 2 Rozsah Implementace

Příloha č. 3 Harmonogram

Příloha č. 4 Cena

Příloha č. 5 Realizační tým dodavatele

Příloha č. 6 Licenční ujednání Dodavatele

Příloha č. 7 Standardy informačních technologií

Příloha č. 8 VOP – zboží

Příloha č. 9 VOP – služby

NA DŮKAZ TOHO, že Smluvní strany s obsahem Xxxxxxx souhlasí, rozumí ji a zavazují se k jejímu plnění, připojují své podpisy a prohlašují, že tato Xxxxxxx byla uzavřena podle jejich svobodné a vážné vůle prosté tísně, zejména tísně finanční.

V Praze	V Brně
___________________________	___________________________
Xxx. Xxxxxxxx Xxxxxxx ředitel úseku ICT a eGovernment Česká pošta, s.p.	Xxx. Xxxxx Xxxxxx Předseda představenstva AXENTA a.s.

Za formální správnost a dodržení všech interních postupů a pravidel ČP:

xxx

Příloha č. 1 Technická specifikace Nástroje/Řešení a Podpory (funkční a technické požadavky)

Nástroj dodávaný dle 2.2.1 této Smlouvy splňuje VŠECHNY níže uvedené požadavky. Níže jsou používané termíny „Nástroj“ a „Řešení“, které jsou v kontextu těchto funkčních a technických požadavků vzájemnými synonymy.

ID	Požadavky na nástroj pro Log Management
100	ZÁKLADNÍ POŽADAVKY NA NÁSTROJ
101	Nástroj podporuje sběr, parsování a normalizaci logů minimálně z následujících platforem a technologií:
102	Apache httpd
103	Apache Tomcat
104	ArcSight CEF format all sources
105	Brocade FC switches
106	Cisco ASA
107	Cisco Firepower
108	Cisco IOS
109	Cisco SMB
110	Cisco WLC
111	Dell Force10
112	F5
113	FlowMon
114	FortiDDoS
115	FortiGate (FOS 5.2)
116	FreeRADIUS
117	GreyCortex MENDEL
118	HPE iLo 4 (Server OoB management)
119	CheckPoint
120	JSON (format)
121	Kernun Clear Web
122	Kernun web filter
123	Linux Cron
124	Linux Freeradius
125	Linux Iptables
126	Linux postfix
127	Microsoft Exchange log
128	Microsoft SharePoint
129	Microsoft SQL
130	Microsoft Windows DHCP log
131	Microsoft Windows firewall
132	Microsoft Windows IIS
133	MS Active Directory
134	MS Azure Cloud
135	MS Azure Sentinel
136	MySQL
137	OpenSSH server
138	Oracle DB
139	Palo Alto
140	PostgreSQL
141	SAP
142	VMware
143	Windows - any logs from Event Viewer
144	Windows - any text log from file
145	Řešení musí umožnit přístup více uživatelů současně, a to jak na úrovni přístupu ke vstupním/zdrojovým datům systému, tak i k incidentům.
146	Nástroj umožňuje snadné vytváření uživatelských rolí definujících přístupová práva k uloženým událostem a jednotlivým konfiguračním komponentám nástroje.
147	Přístup uživatelů musí být založen na volně definovaných, oddělených rolích s možností granulárního přidělování práv v rámci každé role, dle zdrojových dat, identifikace monitorovaných zařízení, skupin zařízení a serverů, typu vstupních dat, apod.
148	Role nesmí být vázány na AD, musí být spravovatelné interně.
149	Řešení musí podporovat nebo být rozšiřitelné pro kompletní oddělení skupin uživatelů k odlišným datům a konfiguracím, kdy jednotlivé instance mohou mít možnost vlastní konfigurace a správy () a samostatných oddělených logspace.
150	Nástroj podporuje ověřování uživatelů nástroje na externím LDAP serveru. V případě výpadku externího LDAP, nástroj musí podporovat ověření z lokální databáze (ostrovní řežim).
151	Nastroj musí podporovat vicefaktorovou authentikaci uživatelů systému tak, aby se vyloučil neoprávněny přístup do konsole skrze odcizené heslo. Vyžaduje se zejména autentifikace pomoci hardwarového tokenu připadne pomoci hardwarového klice v mobilním telefonu.
152	Nástroj podporuje sběr kontextových informací prostřednictvím LDAP/AD.
153	Záloha a obnovení konfigurace celého nástroje je umožněna z centrální konzole.
154	Existuje možnost nastavení nezávislé zálohovací politiky jak pro konfiguraci, tak pro jednotlivá úložiště (logspace).
155	Nástroj umožnuje archivovat data na externí uložiště.
156	Nástroj umožňuje nestavit pravidelné automatické přesuny dat z interního do externího úložiště, resp. archivu podle definovaných pravidel, a bez vzniku neautorizovaných změn dat.
157	Nástroj podporuje nastavení retence dat s možností nastavení pravidel pro automatické mazání dat.
158	Nástroj umožňuje ONLINE retenci (uložení logů) minimálně na 6 měsíců a OFFLINE retenci minimálně na dalších 12 měsíců nad rámec ONLINE (celkem 18 měsíců).
159	Nástroj umožňuje nastavit nezávislé archivační (data retention) politiky pro jednotlivá úložiště log dat.
160	Nástroj umožňuje snadnou obnovu historických dat z archivů pro zpětnou analýzu.
161	Nástroj podporuje provoz v prostředí TCP/IP IPv4 i IPv6.
162	Nástroj umožňuje synchronizaci interního času nástroje s externím NTP serverem.
163	Nastroj musí pro veškerou kryptografii využívat kryptografickou komponentu, která splňuje normu FIPS 140-2.
164	Nástroj poskytuje vlastní provozní a auditní log o aktivitě uživatelů alespoň v rozsahu přihlášení, odhlášení uživatele do/z centrální konzole nástroje, evidence provedených konfiguračních změn a varovná nebo chybová hlášení.
165	Nástroj provádí normalizaci přijímaných událostí a logů minimálně v rozsahu typ činnosti, datum a čas, identifikaci datového zdroje, identifikaci původce a místa činnosti záznamu, úspěšnost nebo neúspěšnost činnosti.
166	Nástroj umožňuje definování uživatelských rolí s možností nastavení přístupových práv (možností granulárního přidělování práv v rámci role podle zdrojů logů, skupin zařízení, jednotlivých serverů, typu logu apod.).
167	Konfigurační a nástrojové rozhraní a dokumentace musí být identické v českém nebo anglickém jazyce.
200	Architektura řešení
201	Řešení může být provozováno pouze jako samostatná hardwarová appliance a nabídky musí obsahovat náklady včetně HW potřebný k jejímu provozu.
202	Řešení je zapojené v HA na úrovni uložení (dvě datová centra), transportu i zpracovaní. Musí být zajištěna vysoká dostupnost klíčových komponent za podmínky použití Geografická konsolidace (GeoCluster) v rámci datových center Objednatele. To znamená, aby vinou výpadku jednotlivých komponent nedošlo ke ztrátě logů. Vysoká dostupnost komponent pro vyhodnocování či zpracování logů není požadována.
203	Veškeré komponenty řešení musí být umístěny v datových centrech Objednatele.
204	Implementace musí být provedena jako „on premise“ v souladu se Standardy informačních technologií pro dodavatele, kterou jsou uvedeny v Příloze 7 této Smlouvy.
205	Řešeni musí běžet v provedeni aktivního clusteru, tj. aktivně využívat všech hardwarových zdrojů, které jsou k dispozici. Režim aktive/pasivy je vyloučeny, protože je mene hospodárný k využiti investice do hardware. Zároveň je nutné, aby GeoCluster zachoval schopnost garantovaného přijmu logů a to až do úrovně výpadku cele jedné lokality a zároveň jednoho hardware uzlu v druhé lokalitě. Tato vlastnost musí být využita i v případě upgrade jednotlivých uzlu a jejich softwarového vybaveni.
206	Řešení musí poskytovat možnosti distribuované architektury, kde pomocí kolektorů v jednotlivých prostředích a lokalitách bude docházet ke sběru logů a následnému transportu do centrální LM komponenty.
	Podmínky pro hardwarové appliance
220	Dodávka HW musí být RACKového provedení k dodání do montážní skříně 600x800mm. Objednatel požaduje u hardwarových komponent zdvojené napájení, zdvojené síťové rozhraní jedno pro vnitřní komunikaci a druhé pro komunikaci směrem „ven“. min. 1GB RJ45 nebo 10GbE SFP včetně GBIC.
221	HW bude umístěný v datových centrech Objednatele: - Xxxxxxxx 00/0, 000 00 Xxxxx 0 - Xxxxxxxx 000/0, 000 00 Xxxxx Xxxxxxxx
222	Objednatel poskytne v každé lokalitě fyzický prostor ve standardizovaném racku o velikosti souvislých 4U (celkem tedy 2x 4U). (vysvětlení jednotky „U“ lze nalézt např. na Wikipedii xxxxx://xx.xxxxxxxxx.xxx/xxxx/Xxxx_xxxx). Racky určené pro umístění zařízení odpovídají normě EIA/ECA-310 Cabinets, Racks, Panels, and Associated Equipment. Hmotnostní či jiné limity vyplývají z možností racků, které jsou vyrobeny podle uvedené normy.
223	Objednatel zajistí napájení o napětí 230 V a frekvenci 50 Hz. Napájení bude zajištěno v souladu s provozními standardy ČP, které nejsou z důvodu nadbytečnosti a nulového přínosu ke kvalitě nabídek součástí Zadávací dokumentace. Vyjma integrovaných baterií přímo v zařízení nesmí Dodavatel použít jakékoli vlastní způsoby napájení.
224	Serverovny v datových centrech Objednatele jsou vybaveny obvyklou technologií chlazení. Provozní teplota zařízení je zpravidla udržována mezi 18 – 27°C, rosný bod mezi 9 – 15°C a relativní vlhkost na cca 60 procentech. Objednatel nepovolí umístit zařízení, které v celkovém součtu pro jedno datové centrum bude generovat teplo kondukcí, radiací nebo konvekcí překračující 3000 W (10 236,42 BTU/h).
225	V případě narušení funkčnosti či dostupnosti HW zařízení Dodavatele z důvodu příčiny na straně Objednatele (např. přerušení dodávky elektrické energie do datového centra ČP) nebude použitý odst. 13 Požadavků na podporu dle této Přílohy Xxxxxxx resp. sankce dle odst. 11.3 Smlouvy.
300	VÝKON A LICENCE
301	Výběr podpůrných nástrojů a počet potřebných licencí podléhá schválení Objednatele.
302	Úplný přehled potřebných licencí a jejich pokrytí přes všechna prostředí je součástí návrhu řešení v nabídce podané v rámci zadávacího řízení.
303	Řešení nesmí být zcela uzavřená aplikace, ale musí být možné jej integrovat nejenom s různými zdroji, ale i s kontextovými informacemi pomocí skriptů. Řešení z 80% bude sestaveno z open-source komponent tak, aby bylo možné čerpat zkušenosti a návody z internetových komunit a tím zefektivnit provoz a rozšiřovaní systému.
304	Aktualizace nástroje jsou distribuovány v jednotném balíku a jejich instalace je prováděna přes centrální konzoli. Řešeni musí podporovat tzv. rolling upgrade, tj. postupný upgrade jednotlivých uzlů clusteru bez celkového downtime systému minimálně z pohledu přijmu logu.
305	Nástroj podporuje downgrade (včetně sběrných kolektorů), pro případ problémů s novou verzí nástroje po upgrade.
306	Veškerá konfigurace, musí být verzována ve version control systemu (Git) tak, aby byla zajištěná vysoká úroveň kontroly nad provozním nastavením systému včetně možnosti návratu k předchozí verzi konfigurace.
307	Nástroj zvládá průměrný trvalý příjem min. 20 000 EPS (událostí za sekundu) – sustained EPS s možností navýšení na minimálně 50 000 EPS pouze prostřednictvím dokoupené licence. Špičkovy příjem geoclusteru musí dosahovat hodnoty 200 000 EPS (k první persistenci přijímaných dat).
308	Nástroj zvládá průměrný trvalý příjem min. 0,5 TB za den – s možností navýšení na minimálně 1 TB pouze prostřednictvím dokoupené licence.
309	Bez ohledu na celkový počet koupených licencí umožňuje řešení špičkový (výjimečný) příjem 30 000 EPS nebo 1 TB po dobu nejméně 24 hodin. Při překročení nesmí dojít k zahození nebo ztrátě událostí, nebo omezení funkčnosti řešení.
310	Řešení licenčně garantuje uložení a prohledávání logů po dobu minimálně 24 měsíců.
311	Nástroj má podporu zrcadlení a clusteru – 2 a více zařízení v režimu active / active.
312	Nástroj nabízí kapacitní i výkonovou škálovatelnost.
313	Řešení musím mí popis možného škálování jak vertikálně, tak horizontálně, a to až do 200 000 EPS (do první persistence dat, ověřeno zátěžovým testem).
314	Rozšiřování kapacity i navyšování výkonu je možné pomocí přidávání dalších uzlů do clusteru. Více-uzlový nástroj se chová jako 1 celek.
315	V případě využití více zařízení v nástroji se zrychluje vyhledávání a jsou automaticky prohledávána všechna data na všech uzlech v clusteru.
316	V případě rozšíření na cluster (přidání dalšího uzlu) je podporována funkce virtuální IP adresy – z datových zdrojů se události posílají na jedinou IP adresu a cluster zajišťuje synchronizaci událostí mezi jednotlivými uzly.
317	Nástroj umožňuje archivaci logů. Logy v tomto archivu je možné prohledávat pomocí standardních možností z konzole bez nutnosti je importovat zpět do nástroje.
318	Nástroj umožňuje zřízení tenantů, tzn. logické oddělení dat na úrovni uložení v rámci komponenty „skladu logů“
319	Nástroj umožňuje vytvářet systémové filtry, které budou vytvářet filtrované informace přes vícero tenantů.
400	SBĚR A DISTRIBUCE DAT
401	Řešení zahrnuje také kolektor, který sbírá události ve vzdálených lokalitách a umožní jejich odeslání po saturované lince bez ztráty dat. Zároveň šifruje a komprimuje posílaná data a zabezpečuje je proti jejich modifikaci nebo smazání. Je garantováno doručení do centrálního prvku.
402	Nástroj podporuje centralizovanou správu sběru dat přímo z centrální konzole bez ohledu, zda sběr probíhá nebo neprobíhá přes kolektor.
403	Nástroj je schopen automaticky navázat spojení (po instalaci nebo po výpadku) s centrálním nástrojem a přenášená data šifrovat.
404	Nástroj komunikuje po definovaném IP protokolu (možnost nastavení sítě pro zajištění kvality služeb (QoS) pro přenos událostí).
405	Nástroj poskytuje kapacitu vyrovnávací paměti pro minimálně 100 GB dat pro jejich uchování během výpadku spojení s centrálním nástrojem/serverem.
406	Veškerý sběr dat probíhá bez-agentním způsobem. Bez instalace agenta na zdrojové systémy a zařízení.
407	Komponenty nástroje musí být schopny komunikovat s centrálním nástrojem i přes vícenásobný překlad adres (NAT) včetně managementu.
408	Nástroj nevyžaduje instalaci dalších podpůrných nástrojů a aplikací na zdrojové systémy (kompletně bez-agentní sběr)
409	Nástroj podporuje načítání log souborů (jedno a víceřádkové textové logy), kde tyto soubory budou mít stanovenu strukturu a význam dat.
410	Nástroj přijímá a zpracovává logy, události a další strojově generovaná data prostřednictvím minimálně následujících protokolů: UDP/TCP 514 (SYSLOG LEGACY), UDP/TCP (SYSLOG RFC5424) a to jak šifrovaně tak nešifrovaně.
411	Řešení musí podporovat protokoly běžně používané v ČP: Syslog, Windows Events Collection (WinRM/RPC, WEC/WEF), FTP, S/TP/SCP, SNMP, ODBC/JDBC, CP-LEA, SDEE, log file, multiline file, JSON, XXXXX, RestAPI
412	Řešení garantuje bezztrátový sběr i pro zasílání zpráv skrz UDP syslog na kolektor.
413	Nástroj umožňuje přijímat logy i na uživatelsky definovaných UDP a TPC portech.
414	Sběr logů v prostředí Windows musí probíhat přes WEC/WEF.
415	Řešení má možnost sběru událostí minimálně ve formátech RAW, Syslog, CEF, LEEF, JSON RFC7159.
416	Řešení umožňuje zobrazit log v původní formě, jak byl přijat, tzn. raw-message.
417	Při přetížení nástroje nesmí dojít ke ztrátě přijímaných zpráv. Všechny přijaté nezpracované logy/události musí být ukládány do vyrovnávací paměti pro následné zpracování. Při výraznějším plnění vyrovnávací paměti musí být administrátor nástroje automaticky informován.
418	Nástroj provádí parsování a normalizaci přijatých událostí už ve fázi sběru událostí na kolektorech a vzdálených lokalitách bez nutnosti instalovat externí aplikace nebo nástroje.
419	Nástroj umožňuje uložit různé druhy logů po různě dlouhou dobu (retenční perioda). Těchto skupin musí být k dispozici minimálně 10.
420	Řešení je schopno detekovat výpadek zdrojů logů (jak typu, tak jednotlivých serverů) v centrální konzoli, včetně upozornění na tento stav.
421	Sběr logu musí výhradně používat silné autentizované spojeni pro odesíláni logu, např. Mutual SSL/TLS tak, aby se vyloučila manipulace se vstupními logy během jejich transportu, a to včetně automatizované obnovy klientských certifikátu sběrače logu. Maximální platnost klientského certifikátu sběrače logu je 6 měsíců.
500	ZPRACOVÁNÍ UDÁLOSTÍ
501	Přijaté logy nástroj standardizuje do jednotného formátu a logy jsou normalizovány (rozdělovány) do příslušných polí dle jejich typu se současným uchováním originální verze zpráv.
502	Nástroj zachovává původní informaci ze zdroje logu o časové značce události, ale nedůvěřuje ji a vytváří vlastní důvěryhodné časové razítko ke každému logu, kterým se nástroj defaultně řídí.
503	Všechna pole a položky přijaté nástrojem jsou automaticky indexovány s možností okamžitého vyhledávání bez nutnosti dodatečného ručního indexování administrátorem.
504	Nástroj provádí automatické doplňování GeoIP informací k událostem a jejich grafické znázornění na mapě.
505	Nástroj provádí automatické doplňování dle informací z externích zdrojů (doplnění hostname k IP, doplnění Jména k ID uživatele, doplnění identifikace lokality k ID čtečky karet apod.).
506	Nástroj garantuje integritu uložených dat. Nesmí umožnit mazání nebo modifikování již uložených logů. Každý log musí mít unikátní identifikátor, který umožní jeho jednoznačnou identifikaci.
507	Přijímané události jsou automaticky kategorizovány pomocí sady přednastavených tzv. značek. (přihlášení, změna atd. včetně výsledku operace, úspěšná, neúspěšná apod.)
508	Nástroj umožňuje vygenerovat notifikace na základě splnění definovaných podmínek a parametrů přijímaných zpráv.
509	Nástroj nabízí sadu notifikací předpřipravenou výrobcem.
510	Nástroj umožňuje monitoring vlastního stavu a notifikace při překročení prahových hodnot (minimální místo na disku, vytížení paměti, CPU) nebo chybě nástroje s přeposláním upozornění pomocí SMTP nebo Syslog.
511	Nástroj umí odeslat událost, která notifikaci vyvolala na externí nástroj minimálně prostřednictvím SMTP nebo Syslogu přes TCP protokol.
512	Konfigurace notifikací je pomocí vizuálního programovacího jazyka. Vizuální programovací jazyk není prezentován textově, ale graficky formou obrázků, které obsahují aplikační logiku.
513	Nastroj musí provádět korelace logů v reálném čase tj. před jejich uložením do archivní databáze a to z důvodu požadavku na vysokou propustnost a rychlou reakci na detekované anomálie.
600	PROVOZNÍ MONITORING
601	Jednotlivé HW části nástroje je možné napojit na provozní dohled a průběžné monitorovat provozní stav nástroje.
602	Nástroj obsahuje REST-API rozhraní pro integraci s externími systémy, např. monitorovacím nástrojem SCOM, Zabbix, Nagios, MRTG a dalšími. Přístup přes toto rozhraní musí umožnit autorizovaný, šifrovaný přístup ke strukturované databázi uložených dat.
700	ÚPRAVY A PŘIZPŮSOBENÍ NÁSTROJE
701	Nástroj umožňuje dopsání parsovacích pravidel odpovědným administrátorem za nástroj bez nutnosti spolupráce s výrobcem nebo dodavatelem. Nástroj obsahuje nástroje pro jejich testování a ladění bez rizika negativního dopadu na ostatní funkce nástroje.
702	Vlastní zdroje logů, pro které je vyvinuté vlastní parsování, mají stejnou sadu funkcí a vlastností, jako ty nativně podporované výrobcem (sběr, parsování, doplňování dalších informací, filtrace, kategorizace atd.).
703	Možnost on-line ladění parsovacích pravidel – při jejich vytváření je možné vložit vlastní testovací zprávy, přičemž je okamžitě zobrazena výsledná podoba rozparsovaných dat a případná chybová hlášení.
704	Nástroj pro vývoj parsovacich pravidel musí podporovat automatizované testovaní vytvořených pravidel tzv. jednotkový test (unit test) a zarážení tohoto nástroje do CI/CD (continuous intergration/continous delivery) nástrojů.
705	Nástroj má možnost uložení uživatelem vytvořených pohledů na data (dashboardů) pro budoucí zpracování.
706	Nástroj možnost vlastních úprav a vytvoření nových pohledů na data (dashboardů), přičemž není přípustné používat povinně SQL jazyk.
707	Text alertu lze uživatelsky definovat a je možné jej doplnit proměnnými z podkladové zprávy.
800	VYHLEDÁVÁNÍ DAT, ZOBRAZENÍ DAT A REPORTING
801	Nástroj poskytuje centrální webové rozhraní pro přístup k logům, alertům, reportům a pro správu nástroje. Z této konzole se provádí veškerá konfigurace, správa a analýza uložených dat.
802	Nástroj umožňuje snadné vyhledávání událostí (ad hoc) bez nutnosti dodatečného programování nebo aplikování dotazů v SQL jazyce.
803	Nástroj umožňuje rychlé vyhledávání na základě fulltext indexace (vyhledávaní bez nutnosti tvorby parserů), tzn. že velké objemy dat se neprohledávají formou „grep like“ prohledávání po řádcích.
804	Nástroj provádí ucelenou vizualizaci logů, událostí a strojových dat (grafy událostí). Vizualizace musí být dynamická, tj. volbou v jednom grafu se ostatní příslušné grafy v pohledu na data upraví dle požadované volby automaticky.
805	Dynamická vizualizace grafů v jednom pohledu funguje také pro filtrování. Při úpravě filtru v jednom grafu je změna automaticky propagována i do ostatních grafů v pohledu.
806	Nástroj umožňuje snadnou tvorbu grafického znázornění TOP událostí nad všemi daty za určité časové období.
807	Nástroj umožňuje unifikované vyhledávání napříč všemi typy uložených dat (filtrování).
808	Nástroj obsahuje reportovací nástroj se sadou přednastavených reportů a možností vlastních úprav a vytvoření nových pohledů. Pro vytváření nových pohledů na data není přípustné používat povinně SQL, nebo jiný dotazovací jazyk.
809	Prezentace dat musí být proveditelná v grafické podobě, prezentační rozhraní musí být multiplatformní nebo platformě nezávislé a plně funkční na platformách Windows, Linux, Apple OS.X.
810	Nástroj obsahuje předpřipravené pohledy na uložená data dle jednotlivých kategorií zdrojových zařízení i dle logického členění.
811	Nástroj zajišťuje automatické spouštění definovaných reportů (měsíčně, týdně, denně, nebo v definovaném čase), ukládání na síťové úložiště a jejich zasílání e-mailem přímo ze systému.
812	Nástroj podporuje i automatizuje průběžné aktualizace reportů a pohledů výrobcem.
813	Nástroj umožňuje vytvářet reporty ve formátech PDF, HTML a CSV, popř. dalších.
814	Nástroj umožňuje zobrazení přehledu o využití diskového prostoru v interním úložišti nástroje.
815	Nástroj podporuje export vybraných dat přes rozhraní centrální konzole.
816	Nástroj podporuje export a sdílení log dat v originálním i ve strukturovaném tvaru.
817	Nástroj umožňuje anonymizovat některá vybrané pole (sloupce). Např. z důvodu ochrany citlivých informací, osobních údajů apod. Jejich neanonymizovaná hodnota je možné zobrazit přímo ve výsledcích vyhledávání pouze vybraným uživatelům s oprávněním k této činnosti.
818	Nástroj musí nabízet sadu algoritmů pro deidentifikaci dat za účelem odstraněni osobních informaci z přijímaných logu. Požadované možnosti jsou: pseudoanynimizace, anonymizace, šifrovaní, maskovaní dat a šifrovaní se zachováním formátu (FPE).
819	Nástroj umožňuje drill-down prohlížení logů a eventů a identifikovaných stavů přímo překlikem z jednotlivých položek dashboardu
820	Řešení poskytuje analýzu dlouhodobých trendů událostí (vč. reportingu) v rozsahu dvou let.
821	Nástroj obsahuje monitor právě přijímaných logů (tzv. tail -f), který průběžné a v reálnem čase zobrazuje příchozí logy včetně moznosti filtrovaní podle všech atributů obsažených v logových datech.
822	Nástroj obsahuje grafický nástroj pro tzv. Machine Learning, tj. vyhodnocovaní dat s využitím pokročilých matematických analýz, typicky využívající historická data uložená v systému.
900	LEGISLATIVNÍ A NORMATIVNÍ POŽADAVKY
901	Nástroj splňuje požadavky Vyhlášky 82/2018 ze dne 21. května 2018 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) k Zákonu 181/2014 o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) ze dne 23. července 2014.
902	Nástroj splňuje požadavky normy ISO 27001/2014 – Informační technologie – systémy řízení bezpečnostní informací – bezpečnostní techniky.
1000	DOKUMENTACE
1001	Součástí dodávky řešení je: - Uživatelská dokumentace popisující dodávaný nástroj v českém jazyce. - Produktová dokumentace - může být dostupná na internetu, např. na webových stránkách výrobce nebo dodavatele. - Provozní dokumentace - dokumentace skutečného provedení popisující vlastní implementaci včetně parsovacích pravidel a návodu pro tvorbu vlastních pravidel, dávkových úloh, systémových účtů a oprávnění. - Konfigurační manuály pro správce popisující konfiguraci prostředí, služeb a jednotlivých komponent, která je nutná pro provoz řešení. - Provozní seznamy - seznam serverů a komponent, seznam zdrojů. - Plán obnovy po výpadku řešení (DRP)
1002	Dokumentace bude dodána v elektronické a editovatelné podobě, tzn. ve formátu MS Office (docx, xlsx apod.)

Popis řešení Nástroje včetně schématického znázornění architektury

Nabízené řešení využívá produkt Xxxxxx.XX od společnosti TesklaLabs.

Řešení je koncipováno jako vysoce dostupné (HA) s implicitním load ballancingem. Architektura je navržena jako distribuovaný cluster pro dvě lokality, kdy je řešení odolné proti výpadku cele jedné lokality, konektivity mezi lokalitami a zároveň i výpadku jednoho uzlu navrhovaného řešení ve zbylé lokalitě. Počet serverů/nodů popisuje část „Fyzické nasazení“.

Řešení Xxxxxx.XX přináší následovné funkcionality:

• Active-Active cluster vysokou dostupnost

• Známé vlastnosti ELK řešení (ElasticSearch, Logstash, Kibana)

• Multi-tenancy/Flexibility

  • Možnost škálování LM a SIEM (v budoucnu) nezávisle

    • V LM může být 10.000 EPS a v SIEMu se bude zpracovávat 500 EPS

  • Možnost poskytovat funkcionalitu XX.XX třetím stranám (MSSP)

• Možnost rozšíření Log Managementu na LM+SIEM (real time stream analyzer)

  •  tvorba xxxxxxxx pomocí editoru/builderu nad vybranými daty

• Pokročilý monitoring pro telemetrii (health monitoring)

  •  výsledky zobrazované přes Grafanu

• Autentizace vůči LDAP

• Sběr logů z prostředí Windows přes WEC/WEF

• Zajištění plné shody s KyBEZ

Fyzické nasazení

Fyzické prostředí je členěno do dvou zón dostupnosti (Availability zone), což zvyšuje odolnost řešení. V případě selhání jedné zóny se všechny mikroslužby přesunou do dostupné zóny a služba je pak poskytována pouze z jedné zóny, v omezeném režimu se sníženou propustností. Po obnovení dostupnosti druhé zóny se obnoví běžný režim provozu.

V každé zóně jsou umístěny tzv. uzly. Uzel je fyzický server, který slouží pro provozování služeb. Základní nasazení (i v případě České Pošty) využívá 3 uzly. Ty je do budoucna možné škálovat jak vertikálně tak horizontálně (přidáním dalších uzlů).

V zónách jsou provozovány dva typy mikroslužeb:

• služby, které běží na každém uzlu a dohromady vytvářejí tzv. „cluster“, jedná se např. o ElasticSearch nebo Kafku.

• služby, které jsou tzv. bezstavové (stateless) – jedná se například o datové analytické pumpy nebo backend pro webové rozhraní. Takové služby mohou běžet ve více instancích a je možné je za běhu uzly migrovat v běžném provozu (bez provozní odstávky).

Centrální systém využívá filozofii kontejnerů v podobě mikroslužeb (microservices). Jejich orchestrace je zajištěna pomocí nástroje Docker Compose. Konfigurace pro Docker Compose podléhá řízení verzí (Version control), což zajišťuje transparentnost a replikovatelnost fyzického nasazení služby.

Mikroslužby

XxxXxx.xx jakožto moderní Python platforma pro zpracování dat v reálnem čase je navržena tak, aby podporovala moderní principy v dnešním IT světě:

• průběžné nasazovaní nových verzí

• neomezená vertikální a horizontální škálovatelnost

• rychlá a jednoduchá implementace nových funkčních bloků (takzvaná mikroslužba).

• XxxXxx.xx využívá architekturu mikroslužeb, kde jednotlivé funkční bloky (mikroslužby) jsou volně svázány (loose coupling) z pohledu toku dat, a každá mikroslužba je navržena způsobem, který ji umožňuje se zaměřit na jeden konkrétní úkol.

• Mikroslužby jsou navíc velmi jednoduché na pochopení, tedy mohou být jednoduše rozšiřovány, testovány a optimalizovány pro real-time zpracování a analýzu dat.

Hardwarová specifikace uzlu/serveru

Hardwarové požadavky se odvíjejí́ od požadavku na množství zpracovávaných logů. Propustnost jednoho CPU jádra se pohybuje mezi 1000 a 10000 událostmi za sekundu (EPS), v závislosti na složitosti vstupních dat. Pro jedno jádro CPU je potřeba počítat s 2 GB RAM.

Komponenta uzlu	Specifikace
CHASIS	2U
CPU	1x AMD EPYC 16 Cores
RAM	128 GB RAM DDR4 3200
NIC	2x 10GBE
SSD data	2x 2TB SSD NVMe, RAID1
SSD os	2x 256 MB SSD SATA, RAID1
HDD data	3x 14TB SATA 6Gb/s, 7200 rpm, hot-swap, RAID5

V tomto řešení jsou navrženy 3 uzly ve dvou Availability zónách.

HA active-active cluster disponuje 3x 16 jádry. Při předpokladu vysoké složitosti vstupních dat disponuje systém přes 30 000 EPS. I při výpadku jednoho z uzlů clusteru bude nabízená platforma disponovat významně vyšším počtem EPS, než je zadavatelem požadováno.

Vertikální škálováni uzlu/serveru

Dle potřeby je možné jednotlivé uzly navýšit:

• Druhý procesor (celkově 2x)

• Navýšení RAM až do velikosti 512 GB

• Navýšení diskové kapacity o dalších 9 HDD (celkově tedy 12x HDD)

  • Maximálně 154 TB při 12x 14TB HDD in RAID5

Datové úložiště

XxxXxx.xx ukládá data do ElasticSearch databáze, kterou je možné dimenzovat na ukládaní́ desítek až stovek TB dat. XxxXxx.xx umožňuje v podstatě neomezeně rozšiřovat úložný prostor pro data, například pomocí lokálních disků, externích diskových polí, nebo cloudových datových úložišť. Velikost úložného prostoru jednoho datového uzlu je 20 TB aktivních dat na HDD a 1 TB na SSD, přičemž se budeme provozovat 3 takové uzly. Taková konfigurace poskytuje replikaci uložených dat a tudíž odolnost systému proti výpadku jednoho či více datových uzlů.

Doplnění potřebné kapacity úložného prostoru je možné v budoucnosti řešit napojením na NAS.

Datové úložiště bude používat komprimaci uložených dat pro úsporu diskové kapacity. Datové úložiště zajišťuje i kontrolu integrity uložených dat. Toto poskytuje mechanismus detekce neautorizovaných změn dat.

Architektura produktu Xxxxxx.XX

Řešení je postaveno na technologiích ElasticSearch, XX.XX a BitSwan. ElasticSearch je indexovací databáze určená pro rychle ukládání a vyhledávání v datových položkách typu log. Tato technologie je v navrženém řešení využívána pro komplexní služby Log Managementu.

XxxXxx.xx je proudový analyzér a log kolektor, který zajišťuje sběr logů a dalších událostí z různých zdrojů, jejich agregaci, korelaci v reálném čase a uloženi do databáze ElasticSearch. XxxXxx.xx je postaven na otevřené platformě BitSwan.

Pro uživatelskou práci je součástí také XxxXxx.xx webové uživatelské rozhraní a pro pokročilejší práci spolu s nástrojem Xxxxxx pro analytické, vizualizační a dashboard úlohy.

Řešení je koncipováno jako otevřené, to znamená, že použité technologie jsou Open-Source, což znamená rozsáhlou komunitu a snadné dohledávání technických a provozních informaci na internetu. Dále je řešení dodáváno spolu se všemi zdrojovými kódy, takže jej uživatel může snad-no rozšiřovat a nehrozí tzv. vendor-lock. Řešení je možno snadno rozšiřovat v pomoci skriptů v jazyce Python. Samotná konfigurace se provádí deklarativním způsobem (podobně jako YAML konfigurace).

Technické prostředky služby sběru a vyhodnocování bezpečnostních logů jsou umístěny do následujících bloků:

• Sběr logů a událostí (Log and event collection)

• Centrální realtime doména (Central realtime)

• Centrální non-realtime analytická doména (Central non-realtime analytical)

• Archiv (Archive)

• Webové uživatelské rozhraní (web user interface)

Log Management

Log management je způsob, jak centrálně zpracovávat velké množství tzv. logů, které jsou strojově generovány různými aplikacemi, hardwarem a operačními systémy.

Log Management sestává z následujících disciplín:

• Sběr logů – v systému bude realizován pomocí tzv. log kolektorů, což je softwarový prostředek, který bude provozován na infrastruktuře zadavatele, buď na fyzickém nebo virtuálním HW. Log kolektor obsahuje také dočasné uložiště odchozích logů, což znamená zvyšuje odolnost řešení proti dočasné nedostupnosti centrální části systému.

• Centrální agregace, obohacování a korelace logů – v systému je tato funkce realizována pomocí tzv. korelačních pump v real-time bloku systému.

• Dlouhodobé uložiště logů – v systému bude realizováno pomocí archivu indexů databáze ElasticSearch a nahráváním tzv. „raw“ logů tak, jak do centrální části systému dorazí.

• Analýza logů v reálném čase – v systému je analýza logů v reálném čase realizovaná pomocí korelačních pump. Tato funkce je esenciální pro rychlou reakci např. na provozní problém aplikace (např. nedostupnost aplikační komponenty z důvodu jejího pádu nebo přetížení). Mechanismus je blíže popsán v dalších kapitolách.

• Retrospektivní analýza logů – logy lze také analyzovat pomocí non-realtime nástrojů, které používají ElasticSearch (např. Kibana).

• Reporting – reporting je v systému realizován pomocí databáze ElasticSearch a reportingové části nástroje Kibana, která umožňuje vytvářet různé reporty v XLS, PDF a HTML. Stejně tak je možné logy exportovat ve formátu JSON.

Real-time SIEM

Real-time SIEM je samostatně placené rozšíření XX.XX a není součástí této nabídky!

Real-time SIEM je moderní způsob bezpečnostního dohledování rozsáhlých IT systémů, který je vyznačuje zkrácením reakční doby na incident. Real-time SIEM je vystavěn na základech Log Managementu a do velké míry s ním sdílí stejné komponenty.

Klíčovou komponentou Real-time SIEMu jsou korelační pumpy, ve kterých jsou naimplementovány všechny požadované korelace a kam jsou také přidávány korelace nově objevené během provozu systému.

Korelace, tj. spojování symptomu z různých logů do jedné události, jsou implementovány pomocí tzv. analyzérů, které jsou nasazeny v korelačních pumpách. Tyto analyzéry generují události, které jsou dále zpracovávány, vyhodnocovány a archivovány. Tyto události jsou také předkládány jako alerty operátorům k bližší analýze a případné reakci na probíhající incident kybernetické bezpečnosti. Zároveň takové události mohou sloužit jako podklad k dalším analýzám.

Velkou výhodou real-time přístupu je to, že operátoři jsou upozorňováni v ten moment, kdy je událost rozpoznána. Takový přístup výrazně zkracuje dobu reakce na incident ve srovnání s tradičními SIEMy, které používají princip vyhledávání incidentů založených pouze na aplikaci pravidel nad databází logu.

Real-time přístup umožnuje také prakticky použitelnou predikci kybernetických incidentu a to díky tzv. nekompletním korelacím. To znamená, že operátor dohledu je upozorněn na možné nebezpečí již např. v situaci, kdy jsou pozorovaný (zatím) pouze dvě ze tři možných korelací. Tím se operátor může připravit na blížící se incident a zasáhnout včas a tím minimalizovat možnou škodu.

Pumpy, které detekují odchylky od běžného chovaní uživatele nebo dohledovaného systému. Zde jsou nasazeny prostředky strojového učení, kdy se na základě historických dat vytvoří tzv. model chování jednotlivých uživatelů nebo jejich skupin (např. sekretářky, pracovníci na přepážce atd.) a také jednotlivých aplikací. Tento model je pak v pumpách používán k porovnání modelového chování a skutečného, a to v reálném čase. Tímto způsobem je možné odhalovat incidenty, které nemají předem známou povahu, tzv. unknown-unknowns, což jsou události s největší rizikovostí a dopadem.

Multi-tenancy

XxxXxx.xx je multi-tenantní (multi-tenancy) produkt. To znamená, že umožňuje zpracovávat logy různých subjektů (tzv. tenantů) v oddělených logických prostředích, které ale sdílejí jedno fyzické prostředí (včetně softwarových prostředků a licencí). Multi-tenantnost nabízí řadově vyšší ekonomiku provozu než produkty bez této vlastnosti.

Pro službu „LM/SIEM as a service“ to znamená, že se v jednom prostředí shromažďují a vyhodnocují logy více subjektů. Tyto logy jsou striktně odděleny pomocí logických sekcí uvnitř XxxXxx.xx a také pomocí přístupových práv.

Pro zadavatele tato skutečnost znamená například možnost poskytnutí „autonomní služby LM“ i interně některé ze svých zřizovaných/podřízených organizací.

Požadavky na Podporu

1. Dodavatel je povinen poskytovat vzdálenou podporu formou emailu a telefonní hot-line v režimu 12x5 v českém jazyce.

2. Dodavatel je povinen poskytovat podporu on-site v režimu 8x5 v českém jazyce, přítomnost on-site NBD (následující pracovní den).

3. Dodavatel zajištuje možnost eskalovat kritické incidenty na podporu výrobce a na vyžádání jeho přítomnost on-site NBD (následující pracovní den).

4. Dodavatel je povinen zajistit podporu výrobce na aktualizaci SW a výrobcem předdefinovaných parserů na min. 4 roky. Podpora obsahuje vždy aktuální verze SW a opravy chyb.

5. Dodavatel může poskytnutí podpory řešit dodavatelsky, či zajištěním podpory přímo u výrobce.

6. V rámci technické podpory musí být řešeny veškeré chybové a nestandardní stavy, které budou detekovány při provozu nástroje. Analytická činnost, která k tomu bude zapotřebí, bude prováděna v součinnosti Objednatele (popisujícího nežádoucí stavy, poskytujícího informace z provozu a ověřujícího návrhy technické podpory) a Dodavatele (provádějícího analytickou činnost, simulujícího řešené problémy na své straně a připravujícího návrhy na řešení, případně další požadavky pro použití takových návrhů v prostředí ČP).

7. Součástí podpory je seznámení pracovníků Objednatele se zásadními změnami, opravami či novou verzí dodaného řešení, konzultace, pomoc s instalací, nasazením, aktualizací a ověřením konfigurace nových verzí.

8. V případě vydání nové verze řešení nebo jeho komponenty poskytne Dodavatel potřebnou součinnost v rozsahu a způsobem umožňujícím bezproblémový přechod na novou verzi.

9. Aktualizace výrobcem předdefinovaných parserů je prováděna min. po 3 měsících.

10. V případě předávání paměťových médií nebo zařízení s takovými médii uvnitř zpět Dodavateli provede Objednatel spolehlivé mazání informací následujícími způsoby:

    1. SW nástrojem za použití minimálně trojnásobného přepisu informací náhodným vzorcem,

    2. v případě nemožnosti použití SW nástroje, z časových důvodů nebo z důvodu chyby HW, bude:

       1. u magnetických médií provedeno mazání demagnetizačním přístrojem (degausser),

       2. u ostatních médií provést spolehlivou likvidaci informací dle standardu DIN 66399 minimálně level 2.

Předání daného paměťového media Dodavateli bude provedeno až po provedení spolehlivého mazání informací bez zbytečného prodlení a zároveň nemá vliv na lhůty pro odstranění vad. Akceptovatelné je, pokud spolehlivé mazání informací bude provedeno na zařízení Dodavatele či třetí strany. Spolehlivé mazání se provádí za přítomnosti Dodavatele i Objednatele, pokud se smluvní strany nedohodnou jinak.

11. Dodavatel zajistí kontrolu funkčnosti a integrity „health check“ nástroje v rozsahu min 12 MDs ročně (po 4 roky). Zadavatel je oprávněn MDs čerpat během roku najednou nebo v dohodnutých intervalech. Nevyužité MDs se přenášejí do dalšího období.

12. Objednatel je oprávněn vady výstupů, které se vyskytnou v průběhu poskytování Podpory Nástroje, nahlásit Dodavateli do 30 dnů poté, kdy je zjistil, aniž by tím byla jeho práva na zajištění nápravy jakkoli dotčena.

13. Dodavatel je povinen odstranit vady Nástroje ve lhůtě 48 hodin od nahlášení vady, přičemž je třeba, aby s odstraněním vady započal nejpozději 24 hodin od nahlášení.

Příloha č. 2 Rozsah Implementace

Celkové požadované parametry nástroje

Na základě aktuálně identifikovaných zdrojů logů a jejich zpracováním v kalkulátoru pro určení EPS a objemu logů se dostáváme k následujícím hodnotám/statistikám:

Retence

Pro dané zdroje je možné předpokládat následující požadavky na diskové kapacity pro ONLINE a OFFLINE datové úložiště:

CELKEM PRO CELÝ LOG MANAGEMENT				ROZSAH IMPLEMENTACE
Ukládání logů (retence)	Počet dní	Celkem GB	Celkem TB	Celkem GB	Celkem TB
ONLINE (6 měsíců)	183	149501	146	7858	8
ARCHIVE (18 měsíců)	548	448504	438	23573	23

Příloha č. 3 Harmonogram

Činnost	Výstup / Akceptační kritérium	Počet dní
Vytvoření Cílového konceptu	Cílový koncept nasazení LM bude popisovat minimálně následující oblasti: Finální architektura řešení, včetně síťové komunikační matice (datové toky) Základní návrh implementace do podnikové architektury v souladu s Přílohou č. 7 této Smlouvy, doplněný o požadavky na konfiguraci/nastavení HW/SW (dle potřeby popřípadě o specifické instalační postupy) Síťová komunikační matice popisující dopad veškerou potřebnou datovou komunikaci LM jak mezi sebou navzájem, tak i jinými komponentami. Popis integrační dokumentace popisující dopad integrace na ostatní systémy Specifikace zákaznických modifikací a úprav Detailní popis provedených zákaznických konfigurací pro nasazení a provoz LM v ČP (nad rozsah standardní produktové dokumentace) Popis zajištění důvěrnosti a integrity zpracovávaných informací (logů), včetně bezpečné archivace Návrh úprav a doplnění řídící dokumentace Objednatele Požadavky na součinnost ze strany Dodavatele Případné změnové požadavky v projektu Plán obnovy po výpadcích řešení (DRP), včetně návrhu testování před akceptací Popis možného rozšíření škálováním jak vertikálně, tak i horizontálně, a to až do 50 000 EPS a s tím i odpovídající navýšení objemu dat	D + 45
Instalace a konfigurace HW a SW komponent	Funkční nástroj v prostředí Objednatele	D + 60 (v závislosti na reálné dostupnosti u dodavatele)
Integrace s AD/LDAP, prostupy	Nástroj je integrovaný s AD/LDAP a jsou rozděleny přístupy a role	D + 90
Implementace v rozsahu dle Přílohy 2 této smlouvy	Nástroj zpracovává logy minimálně v rozsahu dle Přílohy 2 této smlouvy	D + 90
Nastavení reportingu a způsobu hlášení	Jsou funkční reporty a proces zasílání reportů v souladu s technickou specifikací v Příloze 1	D + 100
Seznámení pracovníků Objednatele s Řešením	Uživatelské seznámení s Řešením, které představí uživatelům celkový funkční stav a naučí uživatele jak základy, tak pokročilé možnosti práce s Řešením, jeho webovým rozhraním i konfigurací (web, CLI, python). Seznámení bude minimálně v rozsahu 2 dnů (2x 6 hodin) pro minimálně 20 účastníků. Seznámení proběhne v prostorách a s technikou Objednatele.	D + 120
Testování plánů obnovy	V rámci akceptace bude proveden test plánů obnovy. Bude simulován výpadek SW a HW komponent dle postupů definovaných v Cílovém konceptu. Akceptačním kritériem je úspěšná obnova řešení.	D + 120
Úprava a doplnění řídící dokumentace Objednatele	Aktuální řídící dokumentace v elektronické podobě (DOCx, XLSx…)	D + 120
Akceptace	Plně funkční řešení v rozsahu Implementace (Příloha 2 této smlouvy)	D + 120

Termín „D“ je roven dnu, kdy nabyla tato Smlouva účinnosti.

Příloha č. 4 Cena

Předmět plnění	Jednotková cena (v Kč bez DPH)	Počet MJ	Cena celkem (v Kč bez DPH)
Dodávka softwarového nástroje, včetně licencí, spolu s HW do vlastnictví Objednatele	814 000,- Kč	1	814 000,- Kč
Vytvoření dokumentu „Nasazení SW Log Managementu“ pro implementaci SW a HW	120 000,- Kč	1	120 000,- Kč
Implementace a konfigurace HW; součástí implementace a konfigurace je nastavení a parametrizace HW, integrace HW se stávajícími systémy, ověření funkcionality a vyhodnocení implementace a seznámení a zapracování uživatelů HW Objednatele s HW, včetně poskytnutí návodných materiálů pro práci s HW	60 000,- Kč	1	60 000,- Kč
Implementace a konfigurace SW; součástí implementace a konfigurace je nastavení a parametrizace SW, integrace SW se stávajícími systémy, ověření funkcionality a vyhodnocení implementace a seznámení a zapracování administrátorů HW Objednatele s SW, včetně poskytnutí návodných materiálů pro práci s SW	360 000,- Kč	1	360 000,- Kč
Maintenance SW LM na 1 rok	138 380,- Kč	4	553 520,- Kč
Externí technická podpora na 1 rok	144 000,- Kč	4	576 000,- Kč
Cena celkem			2 483 520,- Kč

Příloha č. 5 Realizační tým dodavatele

Role člena týmu	Titul, jméno a příjmení člena týmu
Architekt bezpečnostních technologií	xxx
Specialista kybernetické bezpečnosti	xxx
Technický konzultant produktů log managementu	xxx
Technický konzultant produktů log managementu	xxx

Příloha č. 6 Licenční ujednání Dodavatele

Příloha č. 7 Standardy informačních technologií

Příloha č. 8 Smlouvy: Všeobecné obchodní podmínky - zboží

(Tato strana je úmyslně ponechána prázdná. VOP následují na další straně.)

Příloha č. 9 Smlouvy: Všeobecné obchodní podmínky - služby

(Tato strana je úmyslně ponechána prázdná. VOP následují na další straně.)

Strana 42 (celkem 42)