Tijdelijke opdracht: Aanvraag Dienst Pentest
Tijdelijke opdracht: Aanvraag Dienst Pentest
(opdrachtnummer: 3.23)
Graag nodigen wij u uit om een offerte uit te brengen voor de dienst van Pentest op de Webnext omgeving bij de Gemeenten Apeldoorn. Gemeente Apeldoorn beoogt een Nadere Overeenkomst af te sluiten op basis van de Raamovereenkomst GGI veilig – “Security Expertisediensten” perceel 3.
We richten ons in deze uitnodiging uitsluitend tot gecontracteerde Opdrachtnemers van GGI veilig “Security Expertisediensten” perceel 3.
Op deze offerteaanvraag is de Raamovereenkomst GGI veilig “Expertise diensten” (Perceel 3) en alle bijbehorende documentatie van toepassing, die als bijlage bij de offerteaanvraag beschikbaar is gesteld op CTM Solution. Verder zijn de ARVODI-2018 voorwaarden van toepassing. Eventuele afwijkingen op ARVODI-2018 worden benoemd in de raamovereenkomst.
De gepubliceerde offerteaanvraag op CTM Solution met aanbestedingsnummer 247021 is leidend boven elders gepubliceerde documenten. De eisen en wensen zijn bij eventuele discrepanties leidend boven het gestelde in de profieltekst.
Specifieke gegevens aanvraag Dienst | |
Expertise gebied | Keuze uit: SIEM proces Compliancy Vulnerability Pentesten Forensics* Hardening ICT Infrastructuur |
Plaats tewerkstelling | Eigen locatie opdrachtnemmer |
Gewenste startdatum | 28-09-2020 |
Contractvorm | Vaste prijs Nacalculatie (met plafond) |
Spoedprocedure | Ja (alleen in geval van Forensics) Nee |
*Gebruik uitkomst onderzoek voor strafrechtelijke vervolging | Ja, de uitkomst van het forensisch onderzoek wordt voor strafrechtelijke vervolging gebruikt Xxx, uitkomst wordt niet strafrechtelijk gebruikt |
(let op: Indien Ja, uitkomst wordt gebruikt voor strafrechtelijke vervolging, zijn speciale opleidingen en accreditaties benodigd. Deze dienen te worden ingevuld bij 2. Eisen) |
Voorgenomen planning | |
Verzending offerteaanvraag | 13 augustus 2020 |
Uiterste datum stellen vragen | 18 augustus 2020, 12:00 uur |
Uiterste verzenddatum beantwoorden vragen | 20 augustus 2020 |
Uiterste datum indienen offertes | 3 september 2020, 12:00 uur |
Beoordeling van offertes en voorgenomen gunning | 10 september 0000 |
Xxxxxxxxxxxx termijn | 10 september 2020 |
Definitieve gunning | 18 september 2020 |
1. Specificatie
1.1 Over Apeldoorn
Gemeente Apeldoorn ligt in de provincie Gelderland en heeft ongeveer 162000 inwoners. Het stadhuis staat in Apeldoorn en verzorgt de (digitale)dienstverlening richting de burgers. Het is daarom van belang dat de websites en de netwerkinfrastructuur voldoen aan de juiste beveiligingsstandaarden. Een pentest kan ons inzicht geven in de kwaliteit van de huidige inrichting en beveiliging van Webnext.
1.2 Over Informatie
Jaarlijks dient er voor de Logius DigiD Audit een penetratietest uitgevoerd te worden op de systemen verbonden met de Logius DigiD omgeving. De Gemeente Apeldoorn kiest ervoor een onafhankelijke partij de penetratietest uit te laten voeren.
1.3 Omschrijving van de gevraagde dienst
De penetratietest dient op de productie en acceptatie-omgeving uitgevoerd worden. De productie-omgeving wordt beperkter getest gezien we daar geen test account gegevens voor aan kunnen leveren, de productie omgeving is gekoppeld aan de Logius DigiD productie omgeving. In de acceptatieomgeving zijn test accounts wel beschikbaar. Er dient rekening gehouden te worden met de status van de productie omgeving. Testen die uitgevoerd worden op de productie omgeving mogen niet leiden tot verstoring van deze omgeving waardoor anderen er geen gebruik meer van kunnen maken.
Bevindingen die worden gerapporteerd moeten door opdrachtnemer binnen deze opdracht opnieuw geëvalueerd worden nadat opdrachtgever een redelijke kans heeft gekregen deze bevindingen op te lossen.
Een tweede volledige pentest wordt hiermee niet gevraagd, alleen een hertest van de bevinding in de eerste pentest.
Scope:
acceptatieomgeving:
xxxxx://xxxxxxxxxx.xxxxxxxxx.xx/ xxxxx://xxxxxxxxxx.xxxxxxxxx.xx/xxx/xxxxxxxxx/xxxxx/ 80.133.169.177
prodcutieomgeving:
xxxxx://xxxxxxxxx.xxxxxxxxx.xx/ xxxxx://xxxxxxxxx.xxxxxxxxx.xx/xxx/xxxxxxxxx/xxxxx 80.133.169.178
Formulieren die minimaal moeten meegenomen in de penetratietest zijn:
1) Uittreksel burgelijke stand;
2) bezwaarschrift;
3) Bezwaar tegen aanslag;
4) Gehandicapten parkeerkaart.
Aanmeldgegevens voor de acceptatieomgeving van Xxxxxx XxxxX wordt aangereikt door de gemeente Apeldoorn bij het starten van de penetratietest. Opdrachtnemer neemt hierover contact op met opdrachtgever om gepaste afspraken hierover te maken.
Ten behoeve van de Logius DigiD audit zijn onderstaande normen van toepassing, hier is dus "extra aandacht" voor nodig wanneer de normen niet voorkomen in de aangeboden "standaard" penetratietest.
U/WA.03 U/WA.04 U/WA.05 U/PW.02 U.PW.03 U.PW.05 U.PW.07 U/NW.03
U/NW.05 U/NW.06 C.03 C.04 C.09>
1.4 Resultaat van de gevraagde dienst
1.4.1 Beoogde resultaat
- Alle rapporten, gesprekken en presentatie zijn in het Nederlands;
- In de rapportage van de pentest staat beschreven volgens welke belangrijke digitale toegangspaden is getest, op welke wijze dit is gebeurd en welke tools hiervoor zijn gebruikt;
- In de rapportage komt per DigiD-norm (zie paragraaf 1.3) een beschrijving van de uitkomst.
- Het rapport beschrijft de gebruikte applicatie (inclusief versienummer), de parameters die zijn gebruikt bij de tests, het tijdstip waarop de test is uitgevoerd, het IP-adres waarvandaan de test is uitgevoerd, een toelichting per gevonden verbeterpunt en een inschatting van de prioriteit per verbeterpunt;
- De bevindingen van de test worden ingedeeld volgens een beoordelingssysteem dat gaat van laag, gemiddeld, hoog tot kritiek;
- Verder bij elke bevinding een advies over te nemen maatregelen om de eventueel geconstateerde risico's technisch en/of organisatorisch te ondervangen, op basis van de CVSS standaard.
1.4.2 Resultaat vorm (bijvoorbeeld rapport, presentatie, adviesgesprek)
Het resultaat dient een rapport te zijn.
1.4.3 Beschrijving van de vorm van het resultaat
Aan de rapportage worden verder geen eisen gesteld, anders dan dat de hierboven beschreven normen worden meegenomen. Opdrachtnemer is na oplevering van het definitieve rapport nog 1 maand beschikbaar voor het beantwoorden van vragen.
2. Beoordelings- en gunningsprocedure
In dit hoofdstuk zijn achtereenvolgens beschreven: de beoordelingsprocedure, de gunningsprocedure en de mogelijkheden om naar aanleiding van de gunningsbeslissing vragen te stellen of bezwaar in te dienen.
2.1 Beoordelingsprocedure
Er wordt eerst inhoudelijk gecontroleerd of de inschrijvingen voldoen aan de eisen. Inschrijvingen, die niet aan de eisen voldoen, worden niet verder in behandeling genomen. Het ontbreken van informatie of antwoorden, bijvoorbeeld door onjuiste of onvolledige overname van overzichten, gegevens en verklaringen, is voor eigen risico van de opdrachtnemer, en kan leiden tot uitsluiting.
In de eerste plaats worden de aanbiedingen beoordeeld op het voldoen aan de gestelde eisen. Bij twijfel over de juistheid van antwoorden kan telefonisch contact worden opgenomen voor verificatie. Als voor een bepaald aspect uitdrukkelijk bewijs in het plan van aanpak is gevraagd en dat bewijs ontbreekt (in de ogen van de beoordelaar), dan kan zonder verificatie worden besloten de offerte terzijde te leggen.
2.2 Programma van Eisen
Hieronder worden de eisen beschreven die van toepassing zijn op deze opdracht. Voor de wijze waarop deze eisen moeten worden beschreven wordt verwezen naar de invulinstructie.
Programma van Xxxxx Uit het aangeleverde uitvoeringsvoorstel blijkt minimaal dat de aanbieding van de Opdrachtnemer aantoonbaar beschikt over: |
• Kandidaat tekent een Geheimhoudingsverklaring. |
• Kandidaat levert na gunning een VOG aan die niet ouder is dan 3 jaar en die getoetst is op het type uit te voeren werkzaamheden. |
• Kandidaat is onderdeel van een team aan pentesters |
• Opdrachtnemer zet enkel pentesters in die minimaal voldoen aan het profiel: • - In de afgelopen 2 jaar minimaal 5 pentesten zelfstandig uitgevoerd; • - Minimaal 4 jaar ervaring met het uitvoeren van pentesten; • - minimaal 4 jaar ervaring in rapporteren van bevindingen en adviseren van maatregelen; • kennis van professionele tooling; • Kennis van handmatig uitvoeren van pentesten; • Communicatie, rapportage en presentatie in de Nederlandse taal |
2.3 Kwaliteit |
Nadat de inschrijvingen zijn gecontroleerd op de eisen, worden de wensen (lees: kwaliteit) beoordeeld.
De score op de wensen (kwaliteit) telt voor 70% mee.
Kwaliteit wordt voor de uitvraag van een opdracht beoordeeld door middel van een Plan van Aanpak (ook wel uitvoeringsvoorstel genoemd). In het Plan van Xxxxxx dient de Opdrachtnemer per gekozen onderwerp aan te geven op welke manier zo optimaal mogelijk wordt aangesloten op de door de deelnemer gevraagde dienstverlening.
2.3.1 Onderwerpen Plan van Xxxxxx
Ieder onderwerp in het Plan van Xxxxxx heeft een wegingsfactor op basis van relevantie ten behoeve van het bepalen van de totaalscore. De totaalscore moet altijd op 100% eindigen.
Scoretabel voor perceel 3 | Maximaal aantal punten | Wegingsfactor | Maximaal A4 per antwoord | |
1 | Beschrijving onderzoeks-/auditaanpak | 100 | 25 | 1 |
2 | Beschrijving (toegepaste) technieken en tools | 100 | 25 | 1 |
3 | Stappenplan, met activiteiten in volgorde en doorlooptijd | 100 | 35 | 3 |
4 | Beschrijving ingezette kwaliteitsnormen | 100 | 15 | 1 |
Totaal 100% | ||||
Voor de wijze waarop deze wensen kunnen worden beschreven wordt verwezen naar de invulinstructie.
2.3.2 Beoordeling Kwaliteit
Omwille van de objectiviteit worden de kwalitatieve subgunningscriteria beoordeeld op het moment dat de beoordelaars nog geen kennis hebben van de prijzen. Voor de beoordeling van het plan van aanpak wordt een meetinstrument gehanteerd dat gebruik maakt van rapportcijfers. Per onderwerp van het Plan van Xxxxxx wordt een score toegekend, dit gebeurt door de individuele beoordelaars.
Er wordt beoordeeld conform onderstaande tabel. Onderstaande tabel is uitputtend en zal door alle beoordelaars worden toegepast. Andere rapportcijfers en getallen achter de komma worden niet toegekend door de individuele beoordelaars.
Rapportcijfer | Toelichting |
100 | Uitstekend, beantwoording voldoet volledig aan het gevraagde, blijk geeft het gevraagde volledig te doorgronden, optimaal bijdraagt aan het gewenste resultaat en adequaat inspeelt op de specifieke situatie van de Deelnemer. De beantwoording is tevens concreet en realistisch. |
62,5 | Goed, beantwoording voldoet goed aan het gevraagde, sluit goed aan bij de behoeften en wensen van Deelnemer en geeft blijk van goed inzicht in de situatie van de Deelnemer. Beantwoording is concreet en realistisch. |
25 | Voldoende, beantwoording sluit grotendeels aan bij het gevraagde en sluit redelijk aan bij behoeften en wensen van Deelnemer, of beantwoording is in beperkte mate concreet en/of realistisch. |
0 | Onvoldoende, beantwoording voldoet onvoldoende aan het gevraagde en/of sluit onvoldoende aan bij behoeften en wensen van aanbestedende dienst, of beantwoording is niet concreet en/of niet realistisch. |
Het plan van aanpak wordt door minimaal twee beoordelaars beoordeeld. In een plenair overleg worden de argumenten die hebben geleid tot de individuele punten besproken. Daarna komt het beoordelingsteam in consensus tot een unaniem oordeel inclusief motivatie.
4. Prijs
Inschrijvers dienen het bijgevoegde Prijzenformulier (bijlage 2) volledig in te vullen en op het aanbestedingsplatform te uploaden als .xls(x)- en .pdf-bestand. Het niet volledig invullen of wijzigen van het Prijzenformulier kan leiden tot uitsluiting van de inschrijving. Het is enkel toegestaan positieve bedragen in te vullen. De prijsopgave dient in Euro’s (€) (op twee (2) decimalen) en exclusief BTW te geschieden. Eventuele kortingen moeten verwerkt zijn in uw offerte.
Tenzij uitdrukkelijk anders bepaald in de documenten van de offerteaanvraag zijn prijzen all-in en exclusief BTW. Indexering van aangeboden prijzen is niet mogelijk conform het bepaalde in de Overeenkomst.
De inschrijving die de laagste inschrijfprijs heeft aangeboden, krijgt de maximale score van 100 punten voor de prijs. Alle overige inschrijvers worden gerelateerd aan de inschrijving met de laagste prijs (afgerond op hele punten) middels de volgende formule:
Score prijs = totaal prijs laagste inschrijving x 100 totaalprijs uw inschrijving
Bovenstaande geldt ook voor de situatie waarin wordt aangeboden op basis van nacalculatie met plafondprijs. De plafondprijs wordt in dat geval als totaalprijs gebruikt.
De score op prijs telt voor 30% mee.
5. Gunningsmethodiek
De ontvangen offertes worden beoordeeld op 1) het voldoen aan de Raamovereenkomst en 2) het voldoen aan de gestelde minimumeisen. Voldoen de ontvangen offerte(s) aan de Raamovereenkomst en de gestelde minimumeisen en zijn ze evenmin onregelmatig en/of onaanvaardbaar en/of niet geschikt, dan worden die offerte(s) beoordeeld op de gunningscriteria Kwaliteit. Na ontvangst van het subgunningscriteria Kwaliteit zal deze score in CTM worden gecombineerd met de score voor Xxxxx.
Er wordt vervolgens wordt gegund op grond van de Economisch Meest Voordelige Inschrijving.
De prijs-/kwaliteitsverhouding is 30%/70%.
De Totaalscore van een Inschrijving wordt daarbij als volgt berekend: Totaalscore = 30% x score Prijs + 70% x score Kwaliteit
De Inschrijver met de hoogste totaalscore heeft de economisch meest voordelige inschrijving gedaan en eindigt daardoor als 1e in de rangorde.
Alle inschrijvers ontvangen via CTM bericht over de gunningsbeslissing.
De inschrijvers van wie de inschrijving is afgewezen ontvangen in ditzelfde bericht de motivering van de afwijzing, waarbij de naam van de Opdrachtnemer, die de beste prijs- kwaliteitverhouding heeft gedaan, wordt vermeld alsmede de kenmerk(en) en voorde(e)l(en) van de winnende inschrijving ten opzichte van hun eigen inschrijving.
Vanaf de datum van verzending van de gunningsbeslissing wordt voor de overeenkomst wordt gesloten, een wachttijd van vijf (5) werkdagen in acht genomen. Gedurende deze wachttijd is er gelegenheid tot het stellen van vragen en om uw bezwaren ten aanzien van deze gunningsbeslissing kenbaar te maken door betekening van een dagvaarding aan de contactpersonen, VNG Realisatie verzoekt u uw vragen zo vroeg mogelijk te stellen, zodat deze ruim voor het einde van de termijn van vijf (5) werkdagen kunnen worden beantwoord.
Indien na het verstrijken van deze termijn van vijf (5) werkdagen geen bezwaren zijn ingediend, zal de Nadere Overeenkomst worden opgesteld.
Volledigheidshalve wordt daarbij benadrukt dat de (definitieve) gunningsbeslissing geen aanvaarding inhoudt in de zin van artikel 6:217, eerste lid, van het Burgerlijk Wetboek. Dat houdt in, dat tot het moment waarop de Nadere Overeenkomst door Deelnemer en Leverancier in CTM is getekend, de Deelnemer zich te allen tijde het recht voorbehoudt om deze procedure vanwege haar moverende redenen tussentijds te beëindigen. Daarbij kan de betreffende Deelnemer niet aansprakelijk worden gesteld voor door Inschrijver(s) geleden schade of tot een (on)kostenvergoeding worden verplicht door Inschrijver(s).
Voorbeelden (niet limitatief) voor het beëindigen van de procedure zijn onder meer de situaties waarin de ingediende aanbiedingen of de gevoerde gesprekken, niet leiden tot een in haar ogen passend aanbod, alsmede de situatie waarin de economisch meest voordelige offerte het budget van de Deelnemer overschrijdt.
6. Reageren?
U kunt uw belangstelling uitsluitend kenbaar maken via het DAS (Dynamisch Aankoop Systeem) waarvan VNG Realisatie gebruikmaakt: xxxx://xxx.xxxxxxxxxxx.xx/xxxxxxx/xxx- vngrealisatie
Reacties van gecontracteerde opdrachtnemers die niet via dit DAS lopen, worden niet in behandeling genomen.
Na gunning van deze aanvraag, worden ingestuurde documenten (zoals cv en plan van aanpak) van niet gegunde partijen zowel op CTM Solution als intern definitief verwijderd.