Opis przedmiotu zamówienia (OPZ)
Załącznik nr 1
Opis przedmiotu zamówienia (OPZ)
Zakup Systemu zarządzania bezpieczeństwem baz danych - DAM
SPIS TREŚCI
3. Termin, miejsce i personel realizujący zamówienie 6
3.2. Miejsce realizacji Projektu 7
2.1. Etap I – Analiza Wdrożeniowa 9
2.2. Etap II – Przygotowanie Środowiska Testowego 15
2.3. Etap III – Konfiguracja rozwiązania, dostawa Licencji i Oprogramowania 16
2.4. Etap IV – Integracja Systemu z systemami bazodanowymi Xxxxxxxxxxxxx 00
2.5. Etap V –Testy akceptacyjne Systemu 18
2.6. Etap VI – Instruktaż stanowiskowy 19
2.7. Etap VII - Przygotowanie i Konfiguracja Środowiska Produkcyjnego 21
2.8. Etap VIII - Weryfikacja Systemu i Uruchomienie Produkcyjne 22
4.1. Stała telefoniczna pomoc dla Administratorów 23
4.2. Usuwanie Błędów Systemu 24
4.4. Okresowe przeglądy Systemu 26
5.1. Rozliczenie Usług Rozwoju 28
IV. Wymagania szczegółowe w zakresie Systemu 29
1. Wymagania funkcjonalne oraz jakościowe 29
2. Wymagania pozafunkcjonalne 29
2.2. Wydajność i skalowalność Systemu 32
2.3. Niezawodność i dostępność 32
I. Definicje
1)„Administrator Systemu” – wyznaczony pracownik Zamawiającego posiadający dostęp do każdego modułu Systemu (funkcji, widoków, pól lub wydzielonych grup/podzbiorów danych) z najwyższymi uprawnieniami, wraz z możliwością nadawania uprawnień użytkownikom oraz parametryzacji funkcji rozliczalności użytkowników oraz obsługujący System w zakresie instalacji oprogramowania i konfiguracji sprzętu komputerowego.
2)„Awaria” - Zatrzymanie Systemu lub brak możliwości korzystania z kluczowych funkcjonalności Systemu. Awaria może wynikać zarówno z błędnego lub wadliwego, niezgodnego z dokumentacją działania Systemu jak i wad Systemu objętych gwarancją, w tym z powodu awarii sprzętu.
3)„Błąd” – nieprawidłowe działanie Systemu niezależnie od przyczyny nieprawidłowości, spowodowane w szczególności Awarią lub Usterką.
4)„Czas Naprawy (rozwiązania)” – Czas liczony od momentu reakcji na zgłoszenie do momentu rozwiązania zgłoszenia (usunięcia Błędu).
5)„Czas Reakcji” – czas między zgłoszeniem przez Zamawiającego Błędu, a potwierdzeniem przyjęcia zgłoszenia Awarii lub Usterki przez Wykonawcę oraz wskazanie dalszych kroków postępowania.
6)„Dni Robocze” – kolejne dni od poniedziałku do piątku za wyjątkiem dni wolnych zgodnie z ustawą z dnia 18 stycznia 1951 r. o dniach wolnych od pracy (tekst jednolity: Dz. U. z 2015 r. poz. 90), w godzinach 08:00 – 17:00.
7)„Dokumentacja” – wszelka dokumentacja dotycząca Systemu lub jakichkolwiek innych prac Wykonawcy, która jest dostarczana lub zapisywana w Repozytorium kodów źródłowych Zamawiającego, lub powstanie w ramach realizacji Umowy, w szczególności szczegółowy opis Systemu wraz ze schematami, procedurami i politykami.
8)„Etap” – wyodrębnione w rozdziale II., pkt 1 OPZ poszczególne części realizacyjne Wdrożenia.
9)„Gwarancja” – usługa świadczona przez Wykonawcę od zakończenia Okresu Stabilizacji przez 34 miesięcy w Dni Robocze, obejmująca usuwanie lub/i naprawę wszystkich Błędów, a także dokonywanie niezbędnych modyfikacji Systemu w celu dostosowania do aktualnie obowiązującego prawa. W ramach Gwarancji możliwe będzie również dokonywanie zmian w Systemie mających na celu poprawę jego funkcjonalności.
10)„Infrastruktura” - infrastruktura informatyczna Zamawiającego, w szczególności infrastruktura sprzętowa, teleinformatyczna i oprogramowanie komputerowe, niezbędna do realizacji Wdrożenia i poprawnego funkcjonowania Systemu, w szczególności zachowania gwarantowanych parametrów wydajnościowych Systemu.
11)„Instruktaż stanowiskowy”, „Instruktaż” – instruktaż prowadzony w formie warsztatów z zakresu obsługi Systemu lub/i modułów dla Administratorów Systemu zgodnie z planem warsztatów i opisem w rozdziale III., pkt 2.6.
12)„Konsultant” – przedstawiciel Wykonawcy, który realizuje zlecenia w ramach Usług Rozwoju.
13)„Obejście” – Przywrócenie funkcjonalności Systemu poprzez zastosowanie rozwiązania zastępczego do czasu usunięcia Awarii lub Usterki w sposób i w terminie uzgodnionym z Zamawiającym.
14)„Odbiór Wdrożenia” - odbiór realizowany po zakończeniu Etapu VIII stwierdzający zakończenie wdrożenia Systemu w Protokole Odbioru Wdrożenia podpisanym przez przedstawicieli Stron i wnioskującym o rozliczenie finansowe.
15)„Oferta” – oferta złożona przez Wykonawcę i wybrana przez Zamawiającego w postępowaniu
o udzielenie przedmiotowego zamówienia publicznego.
16)„Okres Stabilizacji” – 2 miesięczny okres rozpoczynający się od dnia Uruchomienia Produkcyjnego. 17)„Oprogramowanie” – Oprogramowanie licencjonowane lub sublicencjonowane przez Producenta wraz z aktualizacjami wykonanymi w tym Oprogramowaniu, dostarczone Zamawiającemu przez
Wykonawcę w związku z realizacją Umowy oraz Dokumentacja takiego oprogramowania.
18)„OPZ” – Opis Przedmiotu Zamówienia stanowiący załącznik nr 1 do Umowy.
19)”Personel Wykonawcy” – osoby oddelegowane do realizacji Umowy przez Wykonawcę, zatrudnione na podstawie umowy o pracę lub umowy cywilnoprawne, w tym przedstawiciel wskazany w Umowie.
20)”Plan Realizacji Projektu” - to zbiorczy dokument, którego używa się jako przewodnika w realizacji projektu jak również w jego kontrolowaniu. To znaczy, że plan projektu jest formalnym i zarazem zatwierdzonym dokumentem, którego używa się do zarządzania oraz nadzoru wykonywanego projektu.
21)„Produkt” - określone świadczenie Wykonawcy opisane Umową lub Projektem Systemu jako
Produkt.
22)„Projekt” – powiązane ze sobą działania mające na celu realizację Przedmiotu Umowy.
23)”Projekt Systemu”- dokument opisujący sposób spełnienia wymagań funkcjonalnych i
niefunkcjonalnych przez System.
24)”Repozytorium kodu” – cyfrowe miejsce przechowywania kodu źródłowego aplikacji przez Zamawiającego.
25)“RODO” - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016
r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
26)„System”, „System DAM” – System z zarządzania bezpieczeństwem baz danych spełniający wszystkie wymagania określone w OPZ, Umowie oraz Dokumentacji.
27) „Uruchomienie Produkcyjne” – uruchomienie Systemu realizującego wszystkie wymagane i opisane w OPZ funkcje. Po Uruchomieniu Produkcyjnym następuje rozpoczęcie pracy w Systemie przez Zamawiającego.
28) „Usługi Rozwoju” – opisane Umową usługi mające na celu zapewnienie modyfikacji i rozbudowy Systemu, które świadczone będą na podstawie zleceń w ramach zamówienia opcjonalnego.
29) „Usterka” - Ograniczona możliwość realizowania mniej ważnych funkcji, które nie są kluczowe dla normalnego funkcjonowania Systemu. Usterką jest również podatność bezpieczeństwa wykryta w Systemie.
30)„Utwór” – utwór, w rozumieniu ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (tekst jednolity: Dz. U. 2019 r., poz. 1231, z późn. zm.), w tym w szczególności dokumenty składające się na Dokumentację, programy komputerowe lub ich fragmenty powstałe w wyniku wykonywania lub w związku z wykonywaniem Przedmiotu Umowy.
31)„Użytkownik” – pracownik Zamawiającego mający dostęp do modułów (funkcji, widoków, pól lub wydzielonych grup danych) Systemu w zakresie niezbędnym do wykonywania obowiązków służbowych.
32) „Wdrożenie” – opisane Umową oraz załącznikami do Umowy wszystkie czynności
do Uruchomienia Produkcyjnego.
33) „Zgłoszenie” - Poinformowanie Wykonawcy przez przedstawiciela Zamawiającego za pomocą wiadomości e-mail, strony internetowej lub systemu do zgłoszeń udostępnionego przez Wykonawcę na potrzeby realizacji Umowy o zaistniałym wydarzeniu powodującym konieczność podjęcia przez niego interwencji serwisowej. Zgłoszenie może dotyczyć Awarii lub Usterki.
34)„Zabezpieczenie” – zabezpieczenie należytego wykonania Umowy.
II. Wymagania ogólne
1. Przedmiot zamówienia
1) Przedmiotem zamówienia jest zakup Systemu zarządzania bezpieczeństwem baz danych – DAM (zwanego dalej „Systemem”) rozumiany jako dostawa oprogramowania wraz z niezbędnymi licencjami, Wdrożenie, przeprowadzenie Instruktażu stanowiskowego, usługa Gwarancji oraz Usługi Rozwoju, przy założeniu, że liczba serwerów bazodanowych, które mają być objęte Systemem wynosi 25 sztuk.
2) Zamawiający zakłada podzielenie procesu Wdrożenia, czyli uruchomienia i integracji Systemu z infrastrukturą Zamawiającego na następujące Etapy:
• Etap I – Analiza wdrożeniowa
• Etap II – Przygotowanie Środowiska Testowego
• Etap III – Konfiguracja rozwiązania, dostawa Licencji i Oprogramowania
• Etap IV – Integracja Systemu z systemami bazodanowymi Centrum
• Etap V –Testy akceptacyjne Systemu
• Etap VI – Instruktaż stanowiskowy
• Etap VII – Przygotowanie i Konfiguracja Środowiska Produkcyjnego
• Etap VIII – Weryfikacja i uruchomienie Produkcyjne Systemu
3) Odbiorowi będą podlegać poszczególne Etapy Wdrożenia, w skład których wchodzą dostarczane Produkty. Szczegółowy opis Produktów przedstawiono w rozdziale III., pkt 1. Ich dostarczenie oraz odbiór bez uwag przez Zamawiającego będzie stanowił podstawę do zakończenia prac w ramach danego Etapu.
4) Po zakończeniu Wdrożenia Systemu nastąpi 2 miesięczny Okres Stabilizacji obejmujący wsparcie Zamawiającego w zakresie użytkowania Systemu zgodnie z opisem zawartym w rozdziale III., pkt 3.
5) Wykonawca zobowiązuje się do świadczenia usług Gwarancji przez okres 36 miesięcy od daty
zakończenia Okresu Stabilizacji, na zasadach opisanych w rozdziale III., pkt 4.
6) Zamawiający przewiduje udzielenie zamówienia opcjonalnego w zakresie:
a) objęcia Systemem dodatkowych serwerów bazodanowych w liczbie 25 sztuk.
b) świadczenia Usług Rozwoju na zasadach opisanych w rozdziale III., pkt 4.
2. Zakres zamówienia
1) Zadaniem Systemu ma być monitorowanie działań w bazach danych systemów Centrum, informowanie o działaniach na bazach mogących świadczyć o potencjalnym ryzyku złamania polis bezpieczeństwa oraz blokowanie działań mogących świadczyć o zaistnieniu potencjalnego incydentu bezpieczeństwa.
2) Szczegółowy zakres wymagań funkcjonalnych i technicznych stanowi Załącznik nr 1 do OPZ.
3) Oprócz wykonania Wdrożenia w zakresie merytorycznym (integracja wdrożonego Systemu
z systemami bazodanowymi Zamawiającego ) wymaga się od Wykonawcy, aby w szczególności:
a) pełnił aktywną i wiodącą rolę w realizacji całego przedmiotu zamówienia.
b) przygotował i dostarczył uzgodnione z Zamawiającym, w ramach realizacji Etapu I Analiza Wdrożeniowa, dokumenty zawierające: opis zasad, które będą przestrzegane w ramach realizacji przedmiotu zamówienia, uszczegółowiony harmonogram prowadzenia prac, analizę wdrożeniową - wchodzące w skład Dokumentacji.
c) opracował dokument „Projekt Systemu”, zawierający w szczególności elementy opisane
w rozdziale III., ppkt 2.1.3.1.
d) zainstalował niezbędne oprogramowanie aplikacyjne i bazodanowe na serwerach dedykowanych dla Środowiska Testowego, i Produkcyjnego, przy czym Środowisko Testowe zostanie wdrożone, skonfigurowane i uruchomione jako niezależne środowisko, którego architektura odpowiada architekturze Środowiska Produkcyjnego, ale o znacznie mniejszych zasobach zwymiarowanych w celu przeprowadzania testów zmian konfiguracyjnych i nowych wersji Systemu.
e) dostarczył sparametryzowany gotowy do testów System.
f) opracował i dostarczył scenariusze i przypadki testowe zgodnie z wymaganiami określonymi
w rozdziale III., ppkt 2.5.
g) wspierał Zamawiającego w okresie testów akceptacyjnych, które zostaną przeprowadzone zgodnie z wymaganiami określonymi w rozdziale III., 2.5.
h) przygotował i przeprowadził Instruktaże stanowiskowe zgodnie z wymaganiami zawartymi w rozdziale III., ppkt 2.6.
i) przygotował i dostarczył przetestowany i przygotowany do uruchomienia System zapewniający zakładaną wydajność na poziomie określonym w rozdziale IV, pkt 2.4 oraz 2.5.
j) przeprowadził instalacje i uruchomienie produkcyjne Systemu potwierdzone przez strony poprzez dokonanie odbioru Wdrożenia zgodnie z Umową.
k) opracował i dostarczył Dokumentację, powstałą w ramach realizacji przedmiotu zamówienia, zgodną ze specyfikacją zawartą w rozdziale III., oraz IV.
l) zapewnił przeprowadzenie Okresu Stabilizacji;
m) zapewnił świadczenie Gwarancji.
n) zapewnił świadczenie Usług Rozwoju.
3. Termin, miejsce i personel realizujący zamówienie
3.1. Harmonogram realizacji
Szczegółowy Harmonogram realizacji zamówienia zostanie opracowany na Etapie I - Analiza
wdrożeniowa, z uwzględnieniem następujących priorytetów Zamawiającego:
1) Rozpoczęcie realizacji Umowy oraz Wdrożenia nastąpi w dniu zawarcia Umowy przez Strony.
2) Zakończenie Etapu I Analiza wdrożeniowa nastąpi nie później niż 30 dni kalendarzowych od dnia zawarcia Umowy przez Strony.
3) Zakończenie Etapu III Konfiguracja rozwiązania, dostawa Licencji i Oprogramowania nastąpi nie później niż 60 dni kalendarzowych od zawarcia Umowy przez Strony.
4) Zakończenie Etapu VIII Weryfikacja i uruchomienie Produkcyjne Systemu nastąpi nie później niż
180 dni kalendarzowych od dnia zawarcia Umowy przez Strony.
5) Wykonawca będzie świadczył usługi w ramach Gwarancji w okresie trzydziestu czterech (36)
miesięcy od daty zakończenia Okresu Stabilizacji.
6) Usługi Rozwoju mogą być zlecone Wykonawcy do końca okresu świadczenia usługi Gwarancji.
3.2. Miejsce realizacji Projektu
1) Zamówienie będzie realizowane w siedzibie Zamawiającego lub innym miejscu zaakceptowanym przez Zamawiającego.
2) Usługi Rozwoju realizowane będą w miejscu określonym w zleceniu. W przypadku gdy zlecenie nie określa miejsca jego realizacji, będzie ono realizowane w siedzibie Zamawiającego.
3) Zamawiający zapewni przedstawicielom Wykonawcy dostęp do pomieszczeń Zamawiającego,
w których będą realizowane zadania związane z wykonaniem Umowy.
4) Wykonawca jest zobowiązany do zachowania procedur i regulaminów obowiązujących
u Zamawiającego.
3.3. Personel Wykonawcy
1) W celu zapewnienia prawidłowej realizacji Umowy Zamawiający wymaga w składzie Personelu Wykonawcy zapewnienia osób pełniących role o kwalifikacjach co najmniej opisanych w Tabeli poniżej;
Nazwa pełnionej roli | Kwalifikacje | Minimalna Liczba osób |
Kierownik Projektu | • Udział w minimum 3 wdrożeniach jako kierownik projektu związanych z wdrożeniem systemu zarządzania bezpieczeństwem baz danych oferowanego przez Wykonawcę; • Wykształcenie wyższe; • Posiada certyfikat w zakresie zarządzania projektami na poziomie co najmniej PRINCE2 Foundation lub równoważny. | 1 |
Analityk bezpieczeństwa | • Minimum 3 lata doświadczenia we wdrażaniu systemów do zarządzania bezpieczeństwem baz danych DAM; • Posiada certyfikat inżynierski producenta w zakresie oferowanego systemu– wydany przez producenta rozwiązania co najmniej 12 miesięcy przed terminem wyznaczonym na składanie ofert. | 1 |
Inżynier odpowiedzialny za wdrożenie systemu | • Udział w minimum 2 wdrożeniach systemów zarządzania bezpieczeństwem baz danych DAM, w charakterze inżyniera, w zakresie oferowanego systemu; • Posiada certyfikat inżynierski producenta oferowanego rozwiązania (inżyniera / administratora / wdrożeniowca / architekta) - wydany przez producenta rozwiązania co najmniej 12 miesięcy przed terminem wyznaczonym na składanie ofert; • Posiada certyfikat w zakresie bezpieczeństwa informacji, np.: | 1 |
o CompTIA Security+ o CISSP – Certified Information Systems Security Professional lub równoważne. |
2) Użyte powyżej nazwy własne są nazwami metodyk prowadzenia projektów, technologii lub oprogramowania używanego przez Zamawiającego w istniejących systemach informatycznych.
3) Zamawiający dopuszcza posiadanie równoważnych certyfikatów innych niż wskazane przez Zamawiającego. Przez certyfikat równoważny Zamawiający rozumie certyfikat, który jest analogiczny co do zakresu z przykładowymi certyfikatami wskazanymi z nazwy dla danej roli, co jest rozumiane jako:
a) analogiczna dziedzina merytoryczna wynikająca z roli, której dotyczy certyfikat;
b) analogiczny stopień poziomu kompetencji;
c) analogiczny poziom doświadczenia zawodowego wymaganego do otrzymania danego certyfikatu;
d) potwierdzony jest egzaminem (dotyczy tylko tych ról, których przykładowe certyfikaty muszą być potwierdzone).
4) Certyfikat równoważny nie może być wystawiony przez Wykonawcę lub podmiot zależny od
Wykonawcy.
5) Personel Wykonawcy przypisany do ról dla których wymagane jest posiadanie wskazanych przez Zamawiającego certyfikatów będzie posiadał przedmiotowe certyfikaty przez cały okres realizacji Umowy.
III. Założenia realizacyjne
1. Wymagania ogólne
1) Produkty i usługi dostarczone w ramach realizacji przedmiotu zamówienia przed podpisaniem protokołu odbioru będą poddane przez Zamawiającego procedurze akceptacji. Do akceptacji przedmiotu zamówienia niezbędne jest dostarczenie wszystkich dokumentów oraz spełnienie warunków akceptacji przedmiotu zamówienia. Dokumenty wytworzone przez Wykonawcę i przedstawiane do odbioru powinny być wersjonowane i dostarczone w postaci elektronicznej nieedytowalnej. W przypadku dokumentów dostarczanych w postaci papierowej, każdy dokument powinien być podpisany przez przedstawiciela Wykonawcy.
2) Na żądanie Zamawiającego Wykonawca przedstawi sposób przygotowania dokumentów przedłożonych do akceptacji oraz sugerowane metody ich weryfikacji. W przypadku, gdy dokument nie będzie czytelny dla Zamawiającego Wykonawca przyjmie uwagi i poprawi dokument zgodnie z jego wytycznymi.
3) Zamawiający w liście niezbędnych Etapów celowo nie uwzględnił etapu budowy Systemu, gdyż zakłada on i wymaga, że dostarczany System już istnieje w zakresie Oprogramowania, a Wykonawca ma się ograniczyć do parametryzacji i konfiguracji Systemu, dostosowania wybranych funkcjonalności.
4) W przypadku stwierdzenia przez Zamawiającego, że Wykonawca oddelegował do realizacji przedmiotu Umowy Personel, którego kwalifikacje nie są zgodne z wymaganiami Zamawiającego, lub z powodu nienależytej realizacji Umowy lub nieprzestrzegania zasad współżycia społecznego, Zamawiający zgłasza taki fakt Wykonawcy mailowo lub pisemnie. Wykonawca niezwłocznie dokonuje zmiany Personelu realizującego przedmiot Umowy. Zgłoszenie potrzeby zmiany lub zmiana Personelu Wykonawcy nie będzie podstawą do zmian harmonogramu.
5) Wykonawca Systemu jest zobowiązany na bieżąco tworzyć i aktualizować Dokumentację Systemu tak, aby aktualna jej wersja była dostępna dla Zamawiającego
2. Wdrożenie
2.1. Etap I – Analiza Wdrożeniowa
1) Etap I obejmuje przeprowadzenie spotkań analitycznych z Zamawiającym; opracowanie i dostarczenie analizy wdrożeniowej w ramach której nastąpi:
a) Analiza infrastruktury informatycznej Zamawiającego, która zostanie objęta Systemem oraz potrzeb użytkownika i wymagań funkcjonalnych odnośnie konfiguracji Sytemu, której wynikiem będzie plan wdrożenia Systemu u Zamawiającego.
b) Przedstawienie docelowej architektury Systemu, w postaci Projektu Systemu, uwzględniającej:
i) Trzy fizyczne ośrodki przetwarzania danych ulokowane na terenie Warszawy.
ii) Trzy „wirtualne” ośrodki przetwarzania danych.
iii) Uwzględnienie wysokiej dostępności High Availability (HA) całego Systemu.
iv) Uwzględnienie konieczności gromadzenia danych przez okres trwania umowy.
v) System musi być „zwirtualizowany” tzw. virtual appliance i współpracować z posiadanymi licencjami VMware Hypervisor Enterprise.
c) Przygotowanie wykazu oprogramowania i licencji niezbędnych do poprawnej pracy Systemu.
d) Przygotowanie specyfikacji technicznej określającej wymogi takie jak:
i) Opisanie wymagań: vCPU, vRAM, HDD dla poszczególnych składowych Systemu ulokowanych w fizycznych i wirtualnych ośrodkach przetwarzania danych.
ii) Ilość maszyn wirtualnych wymaganych dla wszystkich składowych Systemu.
iii) Wymagane parametry łącza pomiędzy składowymi Systemu.
iv) Wymagane połączenia sieciowe pomiędzy wszystkimi składowymi Systemu.
W przypadku, gdy System komunikuje się z zasobami zewnętrznymi np. bazy reputacyjne, należy wskazać wszystkie wymagane połączenia z dokładnością do portu, protokołu oraz strony inicjującej połączenie.
e) Przedstawienie przez Wykonawcę proponowanego katalogu polityk bezpieczeństwa oraz
uzgodnienie docelowej listy co najmniej 10 wraz z Zamawiającym.
f) Przedstawienie przez Wykonawcę proponowanego katalogu raportów oraz uzgodnienie
docelowej listy co najmniej 5 wraz z Zamawiającym.
g) Przedstawienie przez Wykonawcę proponowanych scenariuszy testowych Systemu, wymagających zatwierdzenia przez Zamawiającego:
i) Scenariusze testowe muszą zawierać propozycje testów wydajnościowych, funkcjonalnych i bezpieczeństwa.
ii) Scenariusze testowe muszą obejmować przypadki testowe potwierdzające poprawność integracji Systemu z systemami wskazanymi w analizie przedwdrożeniowej.
2) W ramach Etapu I zostanie opracowany i dostarczony Projekt Systemu, Plan Realizacji Projektu oraz zasady przeprowadzenia Uruchomienia Produkcyjnego, w którym zostaną ustalone zasady obowiązujące podczas Wdrożenia Systemu oraz zostanie uszczegółowiony harmonogram prowadzenia prac zgodnie z wymaganiami dotyczącymi Zamawiającego, określonymi poniżej.
3) Zamawiający wymaga, aby w ramach realizacji Etapu I Wykonawca dostarczył Zamawiającemu dokumenty zawierające co najmniej:
a) Propozycję sposobu realizacji przedmiotu zamówienia obejmującą:
i. słownik terminów i pojęć używanych w Planie Realizacji Projektu,
ii. zakres projektu,
iii. notacje i metodyki używane w dokumentach i projekcie,
iv. narzędzia, które będą wykorzystywane do wspomagania prowadzenia projektu,
v. skład zespołu projektowego przeznaczonego do realizacji wdrożenia z opisem ról
projektowych.
b) Harmonogram realizacji poszczególnych Etapów Wdrożenia i całości Umowy uwzględniający priorytety Zamawiającego zawarte w rozdziale II pkt 3.1
c) Plan Instruktaży stanowiskowych zawierający planowaną liczbę Dni Roboczych dla poszczególnych modułów Systemu objętych Wdrożeniem oraz planowaną liczbę dni Instruktaży dla Administratorów Systemu.
d) Listę zasobów niezbędnych do realizacji poszczególnych Etapów i całej Umowy w zaproponowanym harmonogramie, w szczególności: sprzęt, urządzenia, pomieszczenia, łącze internetowe.
e) Listę pracowników Wykonawcy odpowiedzialnych za wykonanie poszczególnych Etapów i całej Umowy, w formacie RACI, zawierającą dane teleadresowe osób biorących udział w wykonaniu Umowy ze strony Wykonawcy.
f) Sposoby komunikacji osób zaangażowanych w wykonanie Umowy po stronie Wykonawcy.
g) Inne dane i informacje, które Wykonawca uzna za niezbędne do poprawnego wykonania Umowy.
4) Zamawiający wymaga, aby przedstawiony harmonogram nie przekraczał ostatecznych terminów realizacji projektu ustalonych w Umowie. Tworząc harmonogram Wykonawca powinien uwzględnić czas odbioru każdego Etapu przez Zamawiającego wraz z prawem Zamawiającego do zgłaszania uwag lub zastrzeżeń zgodnie z postanowieniami Umowy, co Wykonawca powinien uwzględnić przy realizacji przedmiotu zamówienia oraz ewentualne ryzyko nieodebrania Etapu. Ostatni dzień odbioru Etapu nie może wypadać w inny dzień niż Dzień Roboczy. W wypadku takiej sytuacji Zamawiający będzie uznawał za datę odbioru Etapu najbliższy Dzień Roboczy po zaproponowanej dacie odbioru. Analogiczna sytuacja dotyczy odbiorów poszczególnych części Etapów.
5) Zamawiający wymaga, żeby z punktu widzenia zapewnienia ciągłości działania systemów Zamawiającego, prace wdrożeniowe prowadzone na środowisku produkcyjnym odbywały się w sposób skoordynowany. Wykonawca powoła w swojej strukturze Kierownika Projektu, którego celem będzie sterowanie procesem zarządzania wdrożeniem. Jego odpowiedzialnością będzie skoordynowane i kontrolowane wprowadzanie na środowisko produkcyjne wszystkich prac wdrożeniowych. Do jego zadań będzie należało w szczególności:
a) uczestniczenie w spotkaniach dot. wdrożenia.
b) przygotowanie i opracowanie zmian w systemach w zakresie odpowiedzialności
Wykonawcy.
c) realizacja (w zakresie odpowiedzialności Wykonawcy) / koordynacja (w zakresie pozostających poza odpowiedzialnością Wykonawcy) wdrożenia zmiany na środowisko produkcyjne.
d) aktualizacja dokumentacji – projektowej, utrzymaniowej i eksploatacyjnej w związku
z pojawiającymi się zmianami.
e) prowadzenie i nadzór nad realizacją prac zgodnie z Planem Realizacji Projektu.
6) Przedmiotem akceptacji Etapu I będzie dostarczony przez Wykonawcę zestaw dokumentów, który zostanie oceniony pod względem kompletności, poprawności oraz szczegółowości.
2.1.1. Wymagania w zakresie metodyki projektowej
Zamawiający wymaga:
1) Prowadzenia Projektu wyłącznie w języku polskim. Wszystkie Produkty Projektu będą sporządzane w języku polskim i zostaną dostarczone Zamawiającemu w formie wydrukowanej oraz elektronicznej w postaci edytowalnych dokumentów lub zbiorów danych wykorzystujących formaty używane w oprogramowaniu Microsoft Office. Kody źródłowe Oprogramowania przekazane Zamawiającemu muszą być w postaci umożliwiającej pracę z nimi, co najmniej w postaci elektronicznej, edytowalnej, gotowej do przetwarzania wraz z ich dokumentacją: techniczną, użytkową i powykonawczą i nie mogą zawierać żadnych ograniczeń uniemożliwiających lub utrudniających pracę z kodem źródłowym Oprogramowania.
2) Akceptacji najważniejszych Produktów Projektu. Zamawiający nie dopuszcza uruchomienia prac związanych z konfiguracją i modyfikacją Systemu bez uprzedniej akceptacji Projektu Systemu i dokonania jego odbioru. Harmonogram Projektu musi uwzględniać czas niezbędny dla dokonania przeglądu jakości i akceptacji Produktów Projektu dostarczanych przez Wykonawcę. Dla Produktów typu „dokument” termin wynosi co najmniej 10 Dni Roboczych, dla Produktów typu Instruktaż stanowiskowy co najmniej 5 Dni Roboczych. W przypadku testów akceptacyjnych Systemu, Wykonawca powinien uwzględnić czas niezbędny na wykonanie testów potwierdzających naprawę błędów oraz testów regresji.
3) Wszystkie prace związane z ostateczną konfiguracją i modyfikacją Systemu dla potrzeb
Zamawiającego zostały wykonane w ramach Infrastruktury informatycznej Zamawiającego.
4) Zamawiający wymaga, aby przedstawiona przez Wykonawcę metodyka zapewniła dostarczenie wszystkich Produktów Projektu opisanych w rozdziale III., 2.1.2.
2.1.2. Lista Produktów Projektu
Lp. | Produkt | Forma Produktu |
1) | Projekt Systemu | Dokument |
2) | Plan testów akceptacyjnych Systemu | Dokument |
3) | Scenariusze i przypadki testowe dla testów akceptacyjnych Systemu | Dokument |
4) | Materiały do przeprowadzenia Instruktażu | Dokument |
5) | Dostawa Licencji i Oprogramowania | Dokument i Oprogramowanie |
6) | Dokumentacja wdrożeniowa | Dokument |
7) | Katalog polityk bezpieczeństwa i raportów | Dokument |
2.1.3. Definicje Produktów Projektu
2.1.3.1. Projekt Systemu
a) Dokument opisujący sposób spełnienia wymagań funkcjonalnych i niefunkcjonalnych przez System. Dokument powinien zawierać co najmniej:
a) opis stanu zastanego, opisującego funkcjonujące w Centrum procesy objęte wymaganymi przez Zamawiającego funkcjonalnościami Systemu,
b) opis sposobu odwzorowania (mapowania) poszczególnych wymagań biznesowych określonych w rozdziale II na szczegółowe zapisy Projektu Systemu,
c) aktualizacja opisu realizacji procesów w Systemie z zapewnieniem spójności pomiędzy poszczególnymi obszarami merytorycznymi (wskazanie czy krok jest realizowany w Systemie czy poza Systemem, dla kroków realizowanych w Systemie: krótki opis kroku, komórka odpowiedzialna, ścieżka realizacji w Systemie, efekt kroku, dokumenty wejściowe
i wyjściowe). Wykonawca przygotuje mapy docelowych procesów biznesowych Zamawiającego objętych Systemem, wraz z modelem procesów oraz z opisem przejścia od procesów „jakie są” do procesów docelowych, które po optymalizacji zapewnią równomierne rozłożenie obciążenia Infrastruktury Zamawiającego,
d) opis sposobu odwzorowania struktury organizacyjnej Zamawiającego w Systemie,
e) szczegółowy opis danych podstawowych i transakcyjnych,
f) opis architektury Systemu, w tym specyfikacja wymaganej architektury sprzętowej
i sieciowej,
g) opis koncepcji integracji Systemu z innymi aplikacjami używanymi przez Zamawiającego (zakres i przepływ danych, odwzorowanie (mapowanie) danych pomiędzy Systemem a integrowanymi systemami, sposób i forma przekazywania danych, częstotliwość i sposób uruchamiania, wolumen danych, monitorowanie poprawności działania narzędzia integracyjnego, postępowanie w przypadku Błędów, postępowanie awaryjne, kompletne założenia techniczne niezbędne realizacji integracji),
h) plan Okresu Stabilizacji,
i) plan wsparcia w okresie Usług Gwarancji,
j) plan zarządzania konfiguracją oprogramowania,
k) opracowanie technicznych założeń do archiwizacji obiektów biznesowych w Systemie na użytek docelowych procedur archiwizacji,
l) opis standardowych i dedykowanych formularzy, zestawień i raportów (cel i opis działania, odbiorca biznesowy, częstotliwość uruchamiania, parametry selekcji, układ graficzny z uwzględnieniem kryteriów sortowania i sumowania, rozwiązanie alternatywne, specyfikacja funkcjonalna wraz z kompletnymi założeniami technicznymi niezbędnymi do jej realizacji),
m) opis koncepcji nadawania uprawnień Użytkownikom Systemu (wykaz ról z opisem dostępnych funkcji i danych oraz opis relacji pomiędzy rolami),
n) opis koncepcji administracyjnego monitorowania całego środowiska Systemu, w tym: umożliwiającego zapobieganiu Błędom, lokalizacji Błędów, monitorowania wydajności środowiska,
o) założenia do administrowania Systemem w trakcie eksploatacji wraz z wyszczególnieniem działań eksploatacyjnych nie wymagających zgody Wykonawcy.
b) Projekt Systemu może składać się z kilku dokumentów, przy czym muszą one łącznie pokrywać cały ww. zakres.
2.1.3.2. Dokumentacja wdrożeniowa
Dokumentacja wdrożeniowa obejmuje co najmniej:
1) Ogólny opis Systemu.
2) Wykaz całościowy oprogramowania oraz licencji wykorzystywanych w ramach wdrożonego
Systemu – w tym systemy operacyjne, bazy danych, serwery aplikacyjne, kolektory danych itp.
3) Architektura logiczna Systemu – graficzna prezentacja Systemu i jego połączeń wraz z opisem.
4) Przepływ danych w Systemie (koncepcja obiegu informacji w Systemie pomiędzy poszczególnymi
komponentami, warstwami Systemu).
5) Szczegółową konfigurację poszczególnych elementów Systemu (serwery zarządzające, serwery baz danych, systemy operacyjne, serwery aplikacyjne, serwery www – zrzuty ekranów, pliki konfiguracyjne, opisy konfiguracji, opisy uruchomionych usług, opisy poszczególnych funkcji Systemu).
6) Systemy zależne np. agenci na innych serwerach, dodatkowe oprogramowanie na innych stacjach roboczych i serwerach współpracujące z Systemem, opis integracji z innymi usługami.
7) Specyfikacja i konfiguracja serwerów wirtualnych.
8) Architektura sieciowa Systemu – opis połączeń sieciowych pomiędzy poszczególnymi elementami, adresacja IP, umiejscowienie elementów Systemu w poszczególnych strefach – DMZ, LAN, Internet.
9) Szczegółowy opis portów komunikacyjnych.
10) Rodzaje kont systemowych i ich uprawnienia (określenie standardowych profili uprawnień, sposobu zarządzania użytkownikami oraz uprawnieniami w Systemie).
11) Role administracyjne.
12) Ustawienia polityki haseł.
13) Opis integracji z usługą katalogową Active Directory.
14) Opis integracji z systemami klasy SIEM, systemem kolekcji logów.
15) Opis integracji z systemem poczty elektronicznej.
16) Opis integracji z systemami monitoringu infrastruktury.
17) Opis rozwiązań w zakresie logowania zdarzeń (wskazanie rodzajów oraz lokalizacji dzienników
w Systemie, opis logowanych zdarzeń, w przypadku niestandardowych logów opis ich struktury).
18) Ochrona dzienników (opis sposobu zabezpieczenia zapisów w logach przed ich utratą oraz nieuprawnioną zmianą, informacja o czasie przechowywania logów, możliwości przekazania logów do systemów zewnętrznych).
19) Procedury wykonywania krytycznych operacji w Systemie - aktualizacja, odtworzenie Systemu.
20) Procedury eksploatacyjne dla administratorów Systemu opisujące szczegółowo funkcjonalności, interfejs, zarządzanie kontami użytkowników, mechanizmy wykorzystywania funkcjonalności wraz z przykładami budowania reguł, polityk, raportów. Procedura odtwarzania Systemu (opisanie procedury backupu i odtworzenia całego systemu i jego poszczególnych elementów, określenie czasu potrzebnego na odtworzenie całego systemu oraz jego poszczególnych elementów, opis procedur przywracania Systemu do pełnej funkcjonalności po awarii). Procedura instalacji Systemu (opis wszystkich kroków instalacji i konfiguracji Systemu w postaci zrzutów ekranu z opisami).
2.1.3.3. Katalog polityk bezpieczeństwa i raportów
Zestawienie zawierające polityki bezpieczeństwa oraz wdrożone raporty wraz z dokładnym
opisem funkcjonalnym, w każdej pozycji zawierającym odnośniki do instrukcji ich budowania.
2.1.3.4. Pozostałe Produkty
1) Plan testów akceptacyjnych Systemu został opisany w rozdziale III pkt 2.5.1
2) Scenariusze i przypadki testowe dla testów akceptacyjnych Systemu zostały opisane w rozdziale III pkt 2.5.2
3) Materiały do przeprowadzenia Instruktażu zostały opisane zostały w rozdziale III w pkt 2.5.2
4) Dostawa Licencji i Oprogramowania zostały opisane w rozdziale III w pkt 2.3.1 oraz pkt 2.3.2
2.2. Etap II – Przygotowanie Środowiska Testowego
1) Etap obejmujący wykonanie wszelkich niezbędnych czynności mających na celu instalację, uruchomienie i zapewnienie prawidłowego działania poszczególnych funkcji Systemu na potrzeby przeprowadzenia testów Systemu. Środowisko Testowe zostanie zbudowane na potrzeby wdrożenia i obejmować będzie dedykowany serwer bazodanowy zintegrowany z wdrażanym Systemem.
2) Przedmiotem akceptacji Etapu II będzie:
a) zainstalowane, uruchomione Środowisko Testowe Systemu zgodnie z wymaganiami opisanymi w Projekcie Systemu, które prawidłowo zrealizuje poszczególne funkcje Systemu na potrzeby przeprowadzenia testów,
b) dostarczanie przez Wykonawcę zestawu dokumentów przewidzianych w Etapie II, który zostanie oceniony pod względem kompletności, poprawności oraz szczegółowości.
2.2.1. Środowisko dla testów akceptacyjnych
1) Środowisko Testowe skonfigurowane zgodnie z wymaganiami opisanymi w Projekcie Systemu,
obejmujące w szczególności:
a) konfigurację danych podstawowych i transakcyjnych zgodnie z wymaganiami biznesowymi,
b) rozszerzenia i modyfikacje Systemu,
c) narzędzia integracji pomiędzy Systemem a innymi aplikacjami użytkowanymi przez Zamawiającego,
d) raporty, formularze, zestawienia wraz z wzorcami dokumentów,
e) system uprawnień - konfiguracja ról,
f) narzędzia do transferu danych do Systemu,
g) dane testowe (dane podstawowe i transakcyjne nie stanowiące elementów konfiguracji,
2) Środowisko testowe powinno zostać zweryfikowane przez Personel Wykonawcy pod kątem możliwości realizacji wskazanych scenariuszami testowymi działań.
3) W wersji testowej Systemu powinni być założeni Użytkownicy wraz z przypisanymi parametrami i uprawnieniami.
2.2.2. Instalacja Środowiska Testowego oraz przeprowadzenie testów Systemu
1) Testowanie Systemu zostanie przeprowadzone na Środowisku Testowym Systemu przez Zamawiającego i Wykonawcę na podstawie dostarczonych przez Wykonawcę w ramach Projektu Systemu zaakceptowanych przez Zamawiającego przypadkami oraz scenariuszami testowymi.
2) Środowisko Testowe instaluje i konfiguruje pracownik Wykonawcy pod nadzorem przedstawicieli Zamawiającego.
3) Testowanie modułu/Systemu będzie się odbywać na danych rzeczywistych zaimportowanych
z obecnie wykorzystywanych systemów.
4) W trakcie realizacji Etapu Testowanie Systemu niezbędna jest obecność przedstawiciela
Wykonawcy.
5) W razie potrzeby, na wniosek Administratora, Wykonawca ma zapewnić obecność specjalistów, pracowników w celu omówienia i rozwiązania przyczyn problemów bez dodatkowego wynagrodzenia Wykonawcy.
6) Testowanie kompletnego Systemu powinno trwać minimum 3 Dni Roboczych.
7) Wykonawca przed przekazaniem poprawionej lub/i zaktualizowanej wersji Systemu musi przeprowadzić jej testy (x.xx. jednostkowe, integracyjne, systemowe) we własnym zakresie oraz przekazać raport z ich przeprowadzenia.
8) Wykonawca jest zobowiązany informować Zamawiającego o planowanym terminie usunięcia Błędu i dostarczenia poprawionej wersji Systemu.
9) Po dostarczeniu poprawionej lub/i zaktualizowanej wersji Systemu testy zostaną powtórzone przynajmniej w zakresie poprawionych błędów, przy czym Zamawiający pozostawia sobie prawo do powtórzenia także szerszego zakresu testów.
10) Po stwierdzeniu, że przedstawiony moduł nie zawiera Błędów oraz realizuje wszystkie wymagania funkcjonalne w sposób określony w Projekcie Systemu, podpisywany jest protokół jakościowego odbioru modułu.
2.3. Etap III – Konfiguracja rozwiązania, dostawa Licencji i Oprogramowania
1) Etap polegający na dostarczeniu oprogramowania niezbędnego do realizacji Przedmiotu Umowy oraz wszelkich wymaganych licencji na to oprogramowanie oraz zapewnienia ciągłego i prawidłowego funkcjonowania Systemu zgodnie z wymaganiami dotyczącymi dostarczanego oprogramowania.
2) Przedmiotem akceptacji Etapu III będzie:
a) dostawa oprogramowania niezbędnego do realizacji Przedmiotu Umowy oraz wszelkich
wymaganych licencji na to oprogramowanie,
b) wykonanie konfiguracji rozwiązania przez Wykonawcę, realizowane na podstawie ustaleń
wypracowanych w Etapie I,
c) zapewnienia ciągłego i prawidłowego funkcjonowania Systemu zgodnie z wymaganiami dotyczącymi dostarczanego oprogramowania,
2.3.1. Konfiguracja rozwiązania
1) Konfiguracja rozwiązania realizowana będzie na podstawie ustaleń przygotowanych na Etapie I –
Analiza wdrożeniowa, przy założeniu, że:
a) System musi zostać wdrożony w infrastrukturze Zamawiającego zgodnie z zaakceptowanym planem wdrożenia, harmonogramem i Projektem Systemu z uwzględnieniem analizy przedwdrożeniowej.
b) Wykonawca w trakcie wdrożenia, musi wykonać pełną konfigurację i parametryzację Systemu zgodnie z założeniami opracowanymi wspólnie z Xxxxxxxxxxxx w trakcie analizy przedwdrożeniowej.
c) Wykonawca w trakcie wdrożenia musi podłączyć do Systemu co najmniej dwadzieścia pięć systemów bazodanowych z infrastruktury Zamawiającego.
d) Wykonawca w trakcie wdrożenia skonfiguruje co najmniej 10 polityk bezpieczeństwa oraz co najmniej 5 raportów, umożliwiające wyszukiwanie i prezentację zdarzeń świadczących
o wystąpieniu incydentu bezpieczeństwa.
2.3.2. Dostawa Oprogramowania
1) Wszelkie Oprogramowanie opisane w niniejszym dokumencie będzie dostarczone przez Wykonawcę w ostatecznej wersji wraz z niezbędnymi licencjami i nośnikami (np. pamięć USB) lub umieszczone w Repozytorium kodu Zamawiającego, lub udostępnione w portalu internetowym producenta.
2) Wymagane jest dostarczenie oprogramowania , realizujące co najmniej wymagania funkcjonalne określone w Ofercie.
3) Gdy realizacja Zamówienia będzie wymagała prac polegających na konfiguracji i parametryzacji lub modyfikacji Systemu, w ramach Etapu VII – Przygotowanie Środowiska Produkcyjnego wymagane jest przekazanie kodów źródłowych wszystkich dokonanych modyfikacji kodu Zamawiającego. Zamawiający zweryfikuje dostarczone kody źródłowe pod względem możliwości ich edycji.
4) Zamawiający zastrzega prawo do możliwości przeprowadzenia audytu kodu w przypadku konieczności prowadzenia prac polegających na konfiguracji i parametryzacji lub modyfikacji Systemu do wymagań Zamawiającego określonych w rozdziale IV. pkt.1. przed Instalacją Środowiska Produkcyjnego przez Wykonawcę.
5) Wykonawca gwarantuje dostarczenie dokumentacji użytkowej, systemowej, instalacyjnej, w tym dokumentacji interfejsów i rozszerzeń zgodnej ze stanem faktycznym. Kody źródłowe wszystkich rozszerzeń dostosowujących System muszą być dostępne dla Zamawiającego. Zamawiający musi mieć prawo używania ww. rozszerzeń i ich modyfikacji Oprogramowania nawet po zakończeniu umowy wsparcia z Wykonawcą.
2.3.3. Dostawa licencji
1) Wymagane jest dostarczenie wszelkich niezbędnych licencji pozwalających na korzystanie z funkcjonalności Systemu co najmniej określonych w niniejszym OPZ, Umowie i Ofercie Wykonawcy.
2) Jeżeli do poprawnej pracy Systemu spełniającej wymagania Zamawiającego niezbędne jest dostarczenie oprogramowania firm zewnętrznych, Wykonawca musi dostarczyć to oprogramowanie wraz z licencjami (w niezbędnej odpowiedniej ilości do instalowanych stacji) oraz nośnikami.
3) Licencje zostaną udzielone na zasadach wskazanych w Umowie.
4) Uprawnienia licencyjne pozwolą Zamawiającemu na integrowanie Systemu z innymi systemami
w zakresie przekazywania komunikatów i danych (dwukierunkowo).
5) Uprawnienia licencyjne pozwolą Zamawiającemu na samodzielne rozszerzanie funkcjonalności oprogramowania, w tym definiowanie i modyfikowanie raportów, z zastrzeżeniem braku wprowadzania modyfikacji w Oprogramowaniu, kodzie źródłowym aplikacji i strukturze bazy danych.
6) Licencje oprogramowania pozwolą na pracę w produkcyjnej wersji Systemu dla 25 serwerów
bazodanowych.
7) Oferowane licencje nie mogą być ogłoszone przez producenta jako end-of-support w momencie
wdrażania Systemu.
8) Wykonawca zobowiązany jest przedstawić Umowę Licencji Systemu zgodną z wymaganiami Zamawiającego, przedstawionymi w Umowie. Zamawiający nie wyklucza jednak zaakceptowania Umowy Licencji przedstawionej przez Licencjodawcę.
2.4. Etap IV – Integracja Systemu z systemami bazodanowymi Zamawiającego
1) Etap polegający na integracji Systemu z systemami bazodanowymi Zamawiającego, w ramach
którego Wykonawca zapewni:
a) Techniczną analizę przedwdrożeniową systemów bazodanowych.
b) Instalację agentów na serwerach lub, w wypadku braku możliwości użycia agenta, wdrożenia odpowiedniego rozwiązania wspierającego.
c) Podłączenie wybranych aplikacji lub systemów do Systemu.
d) Analizę logów i likwidację false-positive.
e) Przygotowanie reguł wyszukiwania danych z użyciem wyrażeń regularnych – RegExp.
f) Zdefiniowanie zbioru danych wrażliwych.
g) Wyszukiwanie i klasyfikacja wrażliwych w systemach integrowanych z Systemem.
h) Utworzenie, analizę działania i optymalizację profili Systemu.
i) Utworzenie polityk audytowych.
j) Analizę biznesową, stworzenie lub modyfikacje polityk bezpieczeństwa pod kątem dołączonych systemów.
k) Rozszerzenie logów o informacje z Active Directory, innych źródeł danych – tzw. enrichment.
l) Bieżącą aktualizację dokumentacji.
2) Przedmiotem akceptacji Etapu IV będzie:
a) instalacja, uruchomienie i zapewnienie prawidłowego działania poszczególnych funkcji Systemu zintegrowanych z systemami bazodanowymi Zamawiającego zgodnie z wymaganiami opisanymi w Projekcie Systemu,
b) dostarczanie przez Wykonawcę aktualizacji bieżącej dokumentacji w Etapie IV, która zostanie oceniona pod względem kompletności, poprawności oraz szczegółowości.
2.5. Etap V –Testy akceptacyjne Systemu
Etap obejmujący przeprowadzenie testów akceptacyjnych zgodnie z przygotowanym planem testów
w oparciu o dokument zawierający scenariusze testowe zgodnie z wymaganiami określonymi poniżej:
2.5.1. Plan testów akceptacyjnych Systemu
Dokument opisujący następujące aspekty związane z testami akceptacyjnymi:
1) zakres testów ( w szczególności: testy integracyjne, testy uprawnień, testy wydajnościowe, testy funkcjonalne, testy bezpieczeństwa), określenie wymaganego stopnia pokrycia wymagań wobec Systemu przez testy,
2) Środowisko Testowe (lokalizacja, infrastruktura sprzętowo – sieciowa, narzędzia wspierające testy, sposób przygotowania danych testowych),
3) warunki rozpoczęcia testów,
4) warunki zakończenia testów,
5) harmonogram testów, z uwzględnieniem cykli testowych,
6) sposób klasyfikacji błędów,
7) sposób prezentacji wyników testów.
2.5.2. Scenariusze i przypadki testowe dla testów akceptacyjnych Systemu
1) Dokument zawierający zestaw scenariuszy i przypadków testowych dla testów akceptacyjnych Systemu pokrywających zakres testów zdefiniowany w planie testów.
2) Opis każdego przypadku testowego powinien obejmować:
a) opis wykonywanego testu,
b) opis kroków wykonywanych w ramach testu wraz z instrukcją wykonania (szczegółowy opis czynności wykonywanych w Systemie, wraz ze ścieżką realizacji w Systemie),
c) oczekiwany rezultat przypadku testowego,
d) sytuacji wariantowych podlegających weryfikacji.
3) Scenariusze testowe powinny być tak skonstruowane, aby przypadki testowe wykonywane w ramach scenariuszy umożliwiały przetestowanie procesów Zamawiającego realizowanych w Systemie.
2.5.3. System po testach akceptacyjnych
Przedmiotem odbioru Etapu V przez Zamawiającego będzie (zgodnie ze zdefiniowanymi kryteriami akceptacji) docelowe rozwiązanie biznesowe w postaci przygotowanego do użytkowania Systemu wraz z dokumentacją przeprowadzenia testów. System po testach akceptacyjnych powinien być pozbawiony błędów wykrytych w trakcie testów, przy czym Zamawiający może dopuścić występowanie Błędów, co powinno zostać potwierdzone pozytywnym wynikiem powtórnie wykonanych przypadków testowych, które wcześniej zakończyły się błędem.
Ponadto w ramach odbioru Wykonawca zobowiązany jest dostarczyć zestaw dokumentów przewidzianych w Etapie V, który zostanie oceniony pod względem kompletności, poprawności oraz szczegółowości.
2.6. Etap VI – Instruktaż stanowiskowy
1) Etap, w ramach którego zostanie przeprowadzony Instruktaż stanowiskowy dla Administratorów Systemu, wykonany na środowisku testowym, zgodnie z przygotowanym planem warsztatów w oparciu o dostarczone materiały do przeprowadzenia Instruktaży. Instruktaż stanowiskowy będzie spełniały wymagania określone poniżej.
2) Przedmiotem akceptacji Etapu VI będzie:
a) przeprowadzenie instruktażu stanowiskowego dla Administratorów Systemu, zgodnie z
opisanymi założeniami
b) dostarczanie przez Wykonawcę materiałów do przeprowadzenia Instruktaży stanowiskowych dla Administratorów Systemu w Etapie VI, które zostaną ocenione pod względem kompletności, poprawności oraz szczegółowości.
2.6.1. Instruktaż stanowiskowy
1) Wykonawca przeprowadzi Instruktaż stanowiskowy dla minimum 6 osób wskazanych przez
Zamawiającego.
2) W warsztatach mogą uczestniczyć dodatkowe osoby wskazane przez Zamawiającego.
3) Instruktaż stanowiskowy dla Administratorów Systemu będzie przeprowadzony jako zajęcia teoretyczne i praktyczne. Wykonawca określi liczbę oraz zakres instruktaży niezbędnych do pozyskania wiedzy niezbędnej do administrowania Systemem. Wymagana jest akceptacja zakresu oraz liczby zaproponowanych przez Wykonawcę instruktaży przez upoważnionego przedstawiciela Zamawiającego.
4) Instruktaż dla Administratorów będzie obejmować wszelkie możliwe zagadnienia przydatne
w codziennej pracy, a w szczególności:
a) Szczegółowe omówienie budowy reguł bezpieczeństwa, polityk monitorowania.
b) Analizę reguł bezpieczeństwa i polityk monitorowania wbudowanych w System oraz
zdefiniowanych przez użytkownika.
c) Ćwiczenia praktyczne z budowania reguł bezpieczeństwa, polityk monitorowania, tworzenia raportów, dashboardów, definiowania alarmów, dodawania różnych źródeł danych.
d) Zarządzanie konfiguracją i bezpieczeństwem w Systemie.
e) Proces aktualizacji Systemu.
f) Proces tworzenia kopii bezpieczeństwa i archiwizacji danych w Systemie oraz ich
przywracania po awarii.
g) Omówienie architektury Systemu i procesu przetwarzania danych w Systemie.
h) Omówienie instalacji, aktualizacji Systemu oraz przywracania w przypadku awarii.
i) Omówienie procedur eksploatacyjnych.
5) W razie braku możliwości oddelegowania przez Zamawiającego na Instruktaż Administratorów
Systemu, zostanie on wykonany w późniejszych Etapach lub w trakcie eksploatacji Systemu.
6) Zamawiający dopuszcza przeprowadzenie Instruktażu online lub w siedzibie Zamawiającego i decyzję przekaże Wykonawcy na etapie realizacji zamówienia, z uwzględnieniem sytuacji epidemiologicznej. Na potrzeby Instruktażu Zamawiający zapewni sale, stacje robocze oraz pozostałą infrastrukturę (rzutnik, sieć, itp.).
2.6.2. Plan przeprowadzenia Instruktaży stanowiskowych
Dokument opisujący następujące aspekty związane z Instruktażem stanowiskowym:
1) zakres Instruktażu, (w szczególności: zajęcia praktyczne dla Administratorów).
2) szczegółowe określenie tematów Instruktażu,
3) harmonogram.
2.6.3. Materiały do przeprowadzenia Instruktażu
W ramach Etapu VI – Instruktaż stanowiskowy dla Administratorów Systemu, wymagane jest
dostarczenie następującej, zaakceptowanej przez Zamawiającego Dokumentacji:
1) Materiały do przeprowadzenia Instruktaży stanowiskowych dla Administratorów Systemu zawierające dokładne, szczegółowe instrukcje, pozwalające Zamawiającemu, samodzielnie zainstalować i skonfigurować System na wszystkich stanowiskach pracy i serwerach oraz skonfigurować wszelkie, niezbędne do pracy Systemu urządzenia komunikacyjne (np. przełączniki sieciowe, punkty dostępowe, routery, interfejsy sieciowe).
a) wszystkie parametry konfiguracyjne Systemu,
b) wszystkie parametry konfiguracyjne instancji i bazy danych,
c) opis procedury archiwizowania danych zawartych w Systemie ,
d) opis procedury odtwarzania danych z urządzenia,
e) opis wszystkich niezbędnych czynności związanych z poprawną administracją i zarządzaniem modułem/Systemem (np. ustawianie parametrów konfiguracyjnych, nadawanie uprawnień, dodawanie licencji użytkowych).
2) Materiały (instrukcje, video)niezbędne do pracy w Systemie dla Użytkowników.
3) Wszystkie ww. materiały do przeprowadzenia instruktaży stanowiskowych przygotowane w języku
polskim.
2.7. Etap VII - Przygotowanie i Konfiguracja Środowiska Produkcyjnego
Etap VII obejmuje przygotowanie Systemu do Uruchomienia Produkcyjnego, zgodnie z wymaganiami dotyczącymi Instalowania Środowiska Produkcyjnego oraz dostarczenia Dokumentacji zgodnie z wymaganymi określonymi poniżej:
1) Instalacja Środowiska Produkcyjnego będzie możliwa do zrealizowania po zakończeniu Instruktażu stanowiskowego Administratorów i przedstawicieli Użytkowników oraz pozytywnym zakończeniu testów przez Zamawiającego.
2) Środowisko Produkcyjne zainstaluje i skonfiguruje Wykonawca pod nadzorem przedstawiciela
Zamawiającego.
3) Założenie w Systemie kont docelowych oraz przypisanie im wymaganych uprawnień
i parametrów.
4) Odebranie instalacji wersji produkcyjnej przez Administratorów nastąpi poprzez podpisanie protokołu odbioru potwierdzającego poprawny przebieg procesu instalacji Systemu na podstawie zaakceptowanych przez Zamawiającego co najmniej:
a) Raportów z działania podstawowych funkcjonalności Systemu,
b) Raportów z testów wydajnościowych/przeciążeniowych,
c) Raportów z testów bezpieczeństwa.
2.7.1. Przygotowanie do produkcyjnego uruchomienia Systemu
1) Przygotowane do eksploatacji przez Zamawiającego i zweryfikowane przez Współpracowników Wykonawcy i Współpracowników Zamawiającego Środowisko Produkcyjne: skonfigurowane, obejmujące ustalone rozszerzenia i modyfikacje, z przygotowanymi interfejsami, raportami,
formularzami, procedurami, z założonymi kontami Użytkowników, z przygotowanym środowiskiem pracy dla Użytkowników, Zaktualizowana Instrukcja Użytkownika i Podręcznik Administratora.
2) Przedmiotem akceptacji Etapu VII będzie:
a) zainstalowane i skonfigurowane Środowisko Produkcyjne Systemu zgodnie z wymaganiami opisanymi w Projekcie Systemu, które prawidłowo zrealizuje poszczególne funkcje Systemu,
b) dostarczanie przez Wykonawcę Dokumentacji z Etapu VII, która zostanie oceniona pod
względem kompletności, poprawności oraz szczegółowości.
2.8. Etap VIII - Weryfikacja Systemu i Uruchomienie Produkcyjne
1) Etap VIII traktowany będzie jako ostatnie sprawdzenie poprawności funkcjonowania Systemu oraz
przeprowadzenie Uruchomienia Produkcyjnego Systemu zgodnie z opisem zawartym poniżej:
a) W czasie Weryfikacji System musi działać poprawnie, spełniając wszystkie wymagania
funkcjonalne jak i pozafunkcjonalne.
b) Za niepoprawną pracę Systemu uważać się będzie wystąpienie Błędu w czasie trwania
Weryfikacji Systemu.
c) W przypadku niepomyślnego wyniku Weryfikacji Systemu Wykonawca dokona stosownych
poprawek Systemu i aktualizacji Dokumentacji zgodnie z terminami określonymi w pkt 3.2.
d) W przypadku dokonania poprawek Systemu przez Wykonawcę w następstwie stwierdzonych Błędów, Zamawiający może przeprowadzić testowanie i odbiór dla każdego z powiązanych ze sobą modułów w celu zweryfikowania ich integracji.
e) W okresie trwania Weryfikacji Systemu Zamawiający wymaga wsparcia przez Personel Wykonawcy w postaci osobistej obecności specjalistów w siedzibie Zamawiającego lub za pomocą telekonferencji.
f) Wykonawca nie może dokonywać w czasie Weryfikacji Systemu żadnych poprawek lub zmian
konfiguracyjnych w Systemie bez zgody upoważnionego przedstawiciela Zamawiającego.
g) Zasady przeprowadzenia Uruchomienia Produkcyjnego zostaną określone na Etapie I - Analiza
wdrożeniowa.
2) Przedmiotem akceptacji Etapu VIII będzie
a) pełne spełnienie warunków opisanych w Etapie VIII przez System,
b) dostarczanie przez Wykonawcę ostatecznej wersji Dokumentacji, która zostanie oceniona pod względem kompletności, poprawności oraz szczegółowości, a także gwarancji należytego wykonania całości przedmiotu zamówienia.
3. Okres Stabilizacji
1) Okres Stabilizacji będzie trwać od dnia Uruchomienia Produkcyjnego przez okres co najmniej dwóch (2) miesięcy i zakończy się w ostatnim dniu drugiego miesiąca kalendarzowego. W Okresie Stabilizacji Wykonawca będzie wspierać pracowników Zamawiającego w zakresie użytkowania Systemu.
2) W Okresie Stabilizacji Wykonawca zapewni nieograniczone czasowo usługi polegające na asyście i bieżącym wsparciu Administratorów Systemu w godzinach zdefiniowanych dla Dnia Roboczego. Pomoc będzie realizowana poprzez bezpośrednie konsultacje telefoniczne, konsultacje
e-mailowe, telekonferencje nie później niż w następnym Dniu Xxxxxxxx po zgłoszeniu oraz konsultacje osobiste Personelu Wykonawcy, we wskazanym przez Zamawiającego terminie, nie później jednak niż w terminie 3 Dni Roboczych od zgłoszenia. Zgłoszenia konsultacji osobistych będą dokonywane przez upoważnionych przedstawicieli Zamawiającego. Wykonawca rozpocznie świadczenie usług wchodzących w zakres Okresu Stabilizacji nie później niż w następnym dniu po Uruchomieniu Produkcyjnym Systemu.
3) Ponadto w Okresie Stabilizacji Wykonawca zapewni utrzymanie Systemu poprzez świadczenie usług analogicznych jak w ramach Gwarancji.
4) W przypadku ujawnienia w trakcie Okresu Stabilizacji faktu, że System nie realizuje funkcji określonych w Umowie lub w Załącznikach do Umowy i Projekcie Systemu, Wykonawca dokona niezbędnych modyfikacji skutkujących poprawną pracą Systemu w terminach wskazanych w pkt
4.2. wraz z przeprowadzeniem ponownego testowania i odbioru dla każdego z powiązanych ze sobą modułów w celu zweryfikowania ich integracji w terminie nie dłuższym niż siedem (7) Dni Roboczych od dnia zgłoszenia mu tego faktu.
5) W terminie 3 Dni Roboczych od zakończenia każdego miesiąca kalendarzowego Okresu Stabilizacji, Wykonawca przekaże Zamawiającemu raport ze zrealizowanych konsultacji oraz napraw Błędów.
4. Usługi Gwarancji
W trakcie 36 miesięcznej Gwarancji Wykonawca będzie świadczył następujące usługi obejmujące:
1) Stałą telefoniczną pomoc dla Administratorów Systemu.
2) Usuwanie Błędów.
3) Aktualizację Systemu
4) Okresowe przeglądy Systemu.
4.1. Stała telefoniczna pomoc dla Administratorów
1) Dla celów realizacji usługi Wykonawca wyznaczy dedykowaną dla Zamawiającego linię telefoniczną. W pilnych przypadkach, w razie braku możliwości skomunikowania się z Wykonawcą drogą telefoniczną, Zamawiający ma możliwość zgłoszenia potrzeby konsultacji drogą mailową, na adres e-mail udostępniony w dniu podpisania Umowy. Wówczas Wykonawca ma obowiązek skomunikowania się z nadawcą wiadomości najpóźniej w ciągu jednej godziny zegarowej od wysłania wiadomości. Zgłoszenia mailowe mogą być wysyłane w Dni Robocze w godzinach 8:00-17:00. Zamawiający deklaruje gotowość oczekiwania na reakcję Wykonawcy w Dni Robocze do godziny 17.00.
2) Wykonawca powiadomi pisemnie lub elektronicznie na adres e-mail Zamawiającego o udostępnionym numerze telefonicznym oraz adresie e-mail przed podpisaniem Umowy. Wykonawca będzie każdorazowo powiadamiał pisemnie lub elektronicznie Zamawiającego o zmianie numeru telefonicznego i/lub adresu e-mail, najpóźniej na 14 (czternaście) dni przed zmianą.
3) Wykonawca jest zobowiązany do prowadzenia pełnej i szczegółowej ewidencji konsultacji
telefonicznych, zawierającej co najmniej:
a) numer kolejny konsultacji telefonicznej w danym okresie rozliczeniowym;
b) datę i godzinę rozpoczęcia konsultacji;
c) nazwę modułu, którego dotyczy problem;
d) imię i nazwisko osoby zgłaszającej problem;
e) opis zgłoszonego problemu;
f) imię i nazwisko osoby udzielającej konsultacji;
g) opis rozwiązania;
h) datę i godzinę ostatecznego zakończenia rozwiązywania problemu i przekazywania Zamawiającemu wersji elektronicznej ewidencji konsultacji telefonicznych w pierwszym Dniu Roboczym miesiąca kalendarzowego, następującego po zakończeniu miesiąca, którego dotyczy ewidencja konsultacji.
4.2. Usuwanie Błędów Systemu
1) Wykonawca jest zobowiązany do dotrzymania poniżej przedstawionych parametrów czasowych
w przypadku problemów dotyczących funkcjonowania Systemu w okresie Gwarancji:
L.p. | Kategoria zgłoszenia | Czas Reakcji | Czas Naprawy | Czas Obejścia | Maksymalny dozwolony czas funkcjonowania Obejścia |
1. | Awaria | do 2 godzin roboczych | niezwłocznie (do 24 godzin) | do 2 godzin | 7 dni |
2. | Usterka | do 4 godzin roboczych | do 4 dni roboczych | do 48 godzin | 21 dni |
Zastosowanie obejścia oznacza tymczasowe rozwiązanie w związku z wystąpieniem Błędu, które może być realizowane poprzez zmianę parametrów Systemu, rekomendację modyfikacji procesu przetwarzania danych. Wykonanie Obejścia w Czasie Naprawy powoduje dwukrotne przedłużenie Czasu Naprawy pierwotnie zgłoszonego Błędu. Zastosowanie Obejścia nie zwalnia Wykonawcy od obowiązku usunięcia Błędu poprzez dostarczenie poprawki, pakietu poprawek lub aktualizacji Systemu wraz ze zaktualizowaną Dokumentacją.
2) Wykonawca jest zobowiązany do prowadzenia pełnej i szczegółowej ewidencji zgłoszonych Błędów zawierającej co najmniej:
a) numer kolejny zgłoszenia w danym okresie rozliczeniowym;
b) datę wpisu;
c) datę wpływu do Wykonawcy pisemnego lub elektronicznego lub telefonicznego zgłoszenia;
d) numer zgłoszenia;
e) kategorię problemu;
f) datę zgłoszenia;
g) treść merytoryczną zgłoszenia;
h) datę rozwiązania zgłoszenia;
i) opis sposobu rozwiązania zgłoszenia;
j) ewentualne uwagi;
k) wskazanie Dokumentacji Systemu zaktualizowanej w związku z naprawą i przekazywania
Zamawiającemu wersji elektronicznej ewidencji zgłoszonych Błędów w pierwszym Dniu
Roboczym miesiąca kalendarzowego, następującego po zakończeniu miesiąca, którego
dotyczy ewidencja zgłoszonych Błędów.
3) Zamawiający może zgłaszać Błędy w działaniu Systemu na specjalnie do tego celu udostępnionym portalu Wykonawcy albo za pomocą poczty elektronicznej na formularzu zgłoszenia opracowanym przez Wykonawcę i zaakceptowanym przez Xxxxxxxxxxxxx albo telefonicznie. Zgłoszenie telefoniczne musi być potwierdzone w formie pisemnej lub pocztą elektroniczną przez osobę zgłaszającą Błąd po stronie Zamawiającego.
4) Przyjęcie Zgłoszenia przez Wykonawcę musi być potwierdzone w formie pisemnej lub elektronicznej (pocztą elektroniczną) nie później niż w terminie 1 dnia roboczego.
5) Zgłoszenia będą obsługiwane przez Wykonawcę w dni robocze w godzinach roboczych 8:00-17:00.
6) W przypadku kontaktu serwisowego poprzez formularz elektroniczny udostępniony przez Wykonawcę za pomocą dedykowanego portalu zgłoszeniowego za ,,Zgłoszenie Błędu” oraz potwierdzenie naprawy można będzie uznać wpis potwierdzający poprawność wykonanych zmian, dokonany przez Zamawiającego na dedykowanym portalu zgłoszeniowym. Zamawiający otrzyma potwierdzenie poza systemem Wykonawcy, że jego zgłoszenie zostało przyjęte wraz z datą, godziną rejestracji oraz treścią tego zgłoszenia. Portal zgłoszeniowy Wykonawcy musi powiadamiać Zamawiającego o usunięciu Błędu.
7) Czas rozwiązania zgłoszenia (naprawy Błędu) nie obowiązuje w przypadku błędu Oprogramowania lub innych problemów potwierdzonych analizą producenta, które musi rozwiązać sam producent.
8) Wykonawca po naprawie Błędu sprawdzi jej skuteczność i uzyska potwierdzenie od Zamawiającego.
9) Za moment rozwiązania zgłoszenia (naprawy Błędu) uznaje się datę przywrócenia pełnej wydajności i funkcjonalności Systemu.
10) W przypadku Błędu za moment rozwiązania zgłoszenia (naprawy Błędu) uznaje się także przywrócenie funkcjonalności Systemu poprzez zastosowanie rozwiązania zastępczego (obejścia) do czasu usunięcia Błędu w terminie uzgodnionym z Zamawiającym, ale nie dłużej niż w terminie wskazanym w Tabeli powyżej.
11) Zamawiający dopuszcza możliwość przedłużenia Czasu Naprawy Błędu przez Wykonawcę na mocy dwustronnego porozumienia, o ile usunięcie Błędu w terminach określonych powyżej jest niemożliwe z przyczyn niezależnych od Wykonawcy.
12) Wykonawca zobowiązuje się do świadczenia Usług Gwarancji w sposób zapobiegający utracie danych Zamawiającego, w tym także tych, do których będzie miał dostęp w trakcie wykonywania usług. W przypadku gdy wykonanie danej czynności przez Wykonawcę lub przez Zamawiającego w oparciu o rekomendację Wykonawcy wiąże się z ryzykiem utraty danych, Wykonawca zobowiązany jest poinformować o tym Zamawiającego przed przystąpieniem do wykonania takiej czynności lub z chwilą przekazania takiej rekomendacji Zamawiającemu.
4.3. Aktualizacja Systemu
1) Realizacja usługi będzie polegała na aktualizowaniu Systemu przez Wykonawcę w związku
z wprowadzeniem przez Producenta aktualizacji Systemu.
2) W przypadku wprowadzenia zmian w Systemie przez Wykonawcę na wniosek Zamawiającego, Wykonawca zobowiązany jest do powiązania tych zmian z tymi funkcjonalnościami Systemu, na które ta zmiana ma wpływ.
3) Prace, o których mowa powyżej będą realizowane przez Wykonawcę w terminie 7 dni liczonych
od dnia ich zgłoszenia Wykonawcy przez Zamawiającego.
4) Wykonawca zobowiązany jest w terminie 30 dni od każdej aktualizacji powodującej zmianę kodu aplikacji lub konfiguracji Systemu przedstawić Zamawiającemu oświadczenie, że aplikacja spełnia wymagania dotyczące bezpieczeństwa, tj. zachowania poufności, integralności, dostępności, rozliczalności, niezaprzeczalności, przetwarzania informacji przetwarzanych danych. W przypadku aktualizacji skutkujących dokonaniem zmian w kodzie źródłowym funkcjonalności dostosowanych podczas Wdrożenia do potrzeb Zamawiającego, Wykonawca zobowiązuje się przekazać nośnik (np. pamięć USB) zawierający zaktualizowany kod lub zapisać w Repozytorium kodu Zamawiającego zaktualizowany kod w ciągu 5 Dni Roboczych od dnia zaktualizowania Systemu.
5) Wykonawca jest zobowiązany do prowadzenia pełnej i szczegółowej ewidencji przeprowadzonych aktualizacji (zmiany w Dokumentacji mogą być dostarczane w postaci suplementu w wersji elektronicznej z zastrzeżeniem, że w przypadku wdrożenia kolejnej wersji oprogramowania zmiany te zostaną zamieszczone w kompletnej Dokumentacji) zawierającej co najmniej:
a) numer kolejny/nr wersji;
b) oznaczenie, czy jest to aktualizacja Systemu wynikająca ze zamiany przepisów prawa;
c) nazwa modułu, którego dotyczy aktualizacja;
d) wskazanie Dokumentacji Systemu zaktualizowanej w związku z aktualizacją;
e) imiona i nazwiska osób ze strony Wykonawcy, z którymi można się kontaktować w celu omówienia szczegółów związanych z wprowadzoną aktualizacją.
6) Zakres Aktualizacji powinien zapewnić osiągnięcie pełnych funkcjonalności dostępnych we wszystkich obszarach Systemu, a w szczególności umożliwiać współpracę z innymi modułami oraz innymi systemami.
4.4. Okresowe przeglądy Systemu
W ramach realizacji usług Gwarancji , Wykonawca będzie świadczył okresowe przeglądy Systemu, nie
rzadziej niż co 3 miesiące, polegające na:
1) Przeglądzie poprawek dla eksploatowanych środowisk wykorzystujących System.
2) Ocenie konieczności zastosowania poprawek rekomendowanych przez producenta
oprogramowania w eksploatowanych środowiskach oraz ich wdrożenie.
3) Doradztwie architektonicznym w zakresie zgodności sposobu wykorzystywania Oprogramowania z najlepszymi praktykami rekomendowanymi przez dostawcę oraz zgodności z warunkami Umowy.
4) Informowaniu Zamawiającego o przyczynach i sposobach rozwiązywania problemów związanych z nieprawidłowym działaniem Systemu.
5) Doradztwie technicznym, przekazywaniu na bieżąco informacji o nowych funkcjonalnościach możliwych do zaimplementowania w Systemie.
6) Założeniu zgłoszenia serwisowego w serwisie pomocy technicznej producenta, w przypadku wad i błędów Oprogramowania składającego się na System, przekazanie zgłoszenia serwisowego do producenta oprogramowania oraz prowadzenie zgłoszenia w imieniu Xxxxxxxxxxxxx.
7) Wsparciu w konfiguracji i optymalizacji Systemu.
8) Wsparciu w zakresie integracji kolejnych serwerów bazodanowych do Systemu.
9) Instruktażu uwzględniającym nowe funkcjonalności po aktualizacji Systemu, aktualizacja
dokumentacji technicznej Systemu.
5. Zlecenia Rozwoju
1) W ramach Usług Rozwoju Zamawiający ma prawo zlecać (zamówienie opcjonalne) Wykonawcy prace rozwojowe obejmujące wizyty Konsultanta oraz prace programistyczne w okresie Gwarancji w celu realizacji ewentualnych dodatkowych prac dostosowujących System do potrzeb użytkowników, wykonywania drobnych zmian, konfiguracji Systemu oraz dodatkowych Instruktaży. Wykonawca nie ma roszczenia o zlecenie mu Usług Rozwoju.
2) Łączna liczba godzin przeznaczona na prace w ramach Usługi Rozwoju nie może przekroczyć
2000 roboczogodzin.
3) Usługi Rozwoju będą zlecane przez Zamawiającego zgodnie z następującą procedurą:
a) Zamawiający przekaże Wykonawcy zlecenie realizacji Usług Rozwoju, w którym określi:
i. zakres prac,
ii. oczekiwany termin wykonania Usług Rozwoju.
b) Wykonawca w terminie do 5 Dni Roboczych od otrzymania zlecenia Zamawiającego wystosuje do Zamawiającego odpowiedź zawierającą:
i. wskazanie liczby roboczogodzin koniecznych do wykonania zleconych Usług Rozwoju,
ii. wskazanie osób, które po stronie Wykonawcy będą odpowiedzialne za realizację Usług
Rozwoju,
iii. potwierdzenie terminu realizacji zleconych prac lub propozycję nowego terminu realizacji
zlecenia.
c) Zamawiający po otrzymaniu odpowiedzi Wykonawcy może:
i. potwierdzić zlecenie Usług Rozwoju zgodnie z treścią zlecenia i odpowiedzi Wykonawcy,
albo
ii. złożyć oświadczenie o rezygnacji z realizacji danych Usług Rozwoju, albo
iii. zaprosić Wykonawcę do negocjacji celem ustalenia zakresu, pracochłonności i terminu realizacji Usług Rozwoju.
d) Zlecenia realizacji Usług Rozwoju mogą być składane przez Zamawiającego pisemnie lub elektronicznie. Potwierdzenie zlecenia prac rozwojowych lub rezygnacja z ich wykonania wymaga formy pisemnej lub elektronicznej na adres upoważnionego przedstawiciela Wykonawcy wskazany Umowie.
4) Zamawiający może zlecać realizację Usług Rozwoju w siedzibie Zamawiającego lub w innym miejscu zaakceptowanym przez Xxxxxxxxxxxxx.
5) W godziny pracy Konsultantów nie będzie wliczony czas dojazdu Konsultanta do siedziby
Zamawiającego.
6) Wykonawca jest zobowiązany do prowadzenia pełnej i szczegółowej ewidencji wykorzystanych godzin pracy Konsultantów zawierającej, co najmniej:
a) numer kolejny zgłoszenia w danym okresie rozliczeniowym;
b) dane osoby zgłaszającej ze strony Zamawiającego;
c) data zgłoszenia;
d) imię i nazwisko Xxxxxxxxxxx;
e) imię i nazwisko osoby, do której przyjechał Xxxxxxxxxx (jeśli dotyczy);
f) opis udzielonej konsultacji (modyfikacji, warsztatów);
g) nazwa modułu, którego dotyczy konsultacja lub modyfikacja;
h) funkcjonalność, której dotyczy konsultacja lub modyfikacja;
i) data i godzina rozpoczęcia i zakończenia konsultacji lub modyfikacji.
5.1. Rozliczenie Usług Rozwoju
1) Wykonawca będzie dostarczał Zamawiającemu ewidencję wykonanych usług w podziale na poszczególne moduły w cyklu miesięcznym, najpóźniej do piątego dnia miesiąca następującego po zakończeniu okresu rozliczeniowego. Przedstawiona ewidencja wykonanych usług wraz z protokołami odbioru poszczególnych zleceń będzie załącznikiem do protokołu odbioru Usług Rozwoju wykonanych w danym miesiącu stanowiącym podstawę do realizacji przez Zamawiającego płatności za wykonane usługi. Ewidencja może być przekazywana Zamawiającemu w formie elektronicznej ustalonej przez Strony lub pisemnej.
2) Protokoły odbioru będą zawierały wyniki analizy ewidencji wykonanych w danym miesiącu zleceń oraz opis ewentualnych pisemnych uwag (skarg) Zamawiającego dotyczących realizacji zleceń.
3) Zamawiający ma prawo skierować do Wykonawcy skargę w przypadku:
a) niemożności skomunikowania się z Wykonawcą w związku ze świadczeniem przez Wykonawcę Usług Rozwoju;
b) niesatysfakcjonującego poziomu merytorycznego świadczonej przez Wykonawcę usługi. W tym przypadku Zamawiający ma prawo żądać od Wykonawcy zmiany Personelu realizującego zlecenie (np. rezygnacja z usług określonego Konsultanta).
4) Z chwilą dokonania odbioru Usługi Rozwoju Wykonawca obejmie rezultaty prac wykonanych w ramach zlecenia Gwarancją, bez zmiany wysokości wynagrodzenia za Gwarancję. W przypadku istotnego rozszerzenia Systemu na skutek realizacji Usługi Rozwoju, Strony, zgodnie z postanowieniami Umowy, będą uprawnione dokonać zmiany Umowy w zakresie wynagrodzenia za Gwarancję w przypadku, gdy Wykonawca wykaże faktyczny wzrost kosztów zgodnie z postanowieniami Umowy.
IV. Wymagania szczegółowe w zakresie Systemu
1. Wymagania funkcjonalne oraz jakościowe
Szczegółowy zakres poniżej wymienionych obszarów funkcjonalnych objętych zakresem wdrożenia Systemu zawarty został z Załączniku nr 1 Do OPZ – Wymagania funkcjonalne i jakościowe Systemu DAM.
2. Wymagania pozafunkcjonalne
2.1. Bezpieczeństwo
2.1.1. Wymagania ogólne
1) Wykonawca musi zagwarantować bezpieczeństwo danych znajdujących się w Systemie. W Projekcie Systemu opracowanym przez Wykonawcę musi znajdować się dokładny opis proponowanych rozwiązań w zakresie bezpieczeństwa Systemu oraz projekt konfiguracji infrastruktury Systemu i sposób jej zabezpieczenia.
2) System musi spełniać wymogi krajowych i unijnych przepisów prawa dotyczących bezpieczeństwa informacji, w szczególności z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
3) System musi wykorzystywać szyfrowanie przy komunikacji pomiędzy wszystkimi komponentami (np. baza danych, serwer aplikacyjny). Szyfrowanie musi być zrealizowane w oparciu o rozwiązania zapewniające poziom bezpieczeństwa co najmniej równy temu jaki zapewniają protokoły SSL/TLS lub VPN.
4) Minimalnym akceptowalnym algorytmem asymetrycznym jest RSA 2048.
5) Minimalnym akceptowalnym algorytmem symetrycznym jest AES 128.
6) Minimalnym akceptowalnym standardem funkcji skrótu jest SHA-2.
7) System musi być zgodny ze standardem bezpieczeństwa aplikacji OWASP ASVS poziom 2 (aktualne wydanie), co Wykonawca potwierdzi przedstawiając raport z testów bezpieczeństwa przeprowadzony przez niezależną od Wykonawcy firmę zajmującą się usługami bezpieczeństwa. Raport musi zawierać listę kontrolną stworzoną na bazie OWASP ASVS.
8) System musi w odpowiedni sposób weryfikować błędy tak, aby Użytkownikowi nie była prezentowana informacja o Błędzie, zawierająca szczegóły techniczne wystąpienia tego Błędu, ujawniające zastosowane oprogramowanie i jego konfigurację. Powinien być generowany standardowy, niezmienny komunikat o Błędzie.
9) System nie może udostępniać poprzez aplikację/usługę plików/katalogów związanych
z konfiguracją czy administrowaniem daną usługą.
10) System musi w odpowiedni sposób weryfikować zawartość pól/formularzy aplikacji pod kątem wprowadzanych znaków (zastosowanej walidacji oraz kontroli poprawności składni zapytań), w celu zabezpieczenia przed atakami typu SQL Injection, Cross Site Scripting itd.
11) W przypadku technologii WEB, konfiguracja serwera webowego musi wymuszać ustawienie parametru httpOnly w cookies wysyłanych do Użytkownika.
12) System powinien mieć możliwość ograniczenia korzystania tylko do jednej sesji jednocześnie dla danego Użytkownika, chyba że używanie jednocześnie kilku lub więcej sesji dla danego pojedynczego Użytkownika jest niezbędne w celu wykonania przypisanych mu zadań.
13) System musi blokować jednoczesny dostęp do modyfikacji tych samych danych przez dwóch lub więcej Użytkowników w celu zabezpieczenia przed ewentualnym nadpisaniem.
14) System musi posiadać wbudowany mechanizm zakończenia sesji po zamknięciu przeglądarki, lub aplikacji (w celu uniemożliwienia powrotu do sesji poprzez naciśnięcie przycisku „wstecz” bez ponownego logowania).
15) System musi posiadać mechanizm powodujący zakończenie lub zablokowanie sesji w przypadku nieaktywności Użytkownika przekraczającej 15 minut (parametr konfigurowalny). W przypadku sesji Administratora, zamykanie lub blokowanie sesji musi następować po 3 minutach nieaktywności (parametr konfigurowalny).
16) Wykonawca jest zobowiązany w ramach Gwarancji, aby wszystkie elementy Systemu, system operacyjny, system baz danych, jak i aplikacje posiadały zainstalowane aktualne, stabilne dostępne poprawki bezpieczeństwa.
17) W przypadku wykorzystywania komponentów innych dostawców, System może wykorzystywać wyłącznie komponenty, które posiadają wsparcie producenta danego komponentu np. systemów operacyjnych, bibliotek programowych itd. Wykorzystanie takich komponentów musi być w pełni udokumentowane, aby było można je objąć monitorowaniem pod względem znanych podatności.
18) System musi być zbudowany z modułów/obszarów, tak aby była możliwość rozdzielenia jego składowych pomiędzy różne strefy VLAN jak DMZ, baza danych, aplikacja.
19) System powinien umożliwiać wznowienie pełnej działalności biznesowej nie dłużej niż w ciągu
8RBH (ośmiu Godzin Roboczych) od momentu wystąpienia Błędu Krytycznego.
20) System musi mieć zsynchronizowany czas w oparciu o konfigurowalny wzorzec czasu CeZ –
serwer NTP.
2.1.2. Ochrona danych osobowych
2.1.2.1. Wymagania ogólne w zakresie zgodności z RODO
1) System musi umożliwiać x.xx.:
a) ograniczenie okresu przetwarzania danych do zgodnego z celem ich przetwarzania
(ograniczenie przechowywania) (artykuł 5. punkt 1 e)
b) wycofanie zgody, na podstawie której przetwarzane są dane (artykuł 7. punkt 3)
c) realizację prawa dostępu osobie, której dane dotyczą (artykuł 15. punkt 3)
d) realizację prawa do sprostowania danych (artykuł 16)
e) realizację prawa do bycia zapomnianym (artykuł 17)
f) realizację prawa do ograniczenia przetwarzania (artykuł 18)
g) realizację prawa do przenoszenia danych (artykuł 20)
h) realizację prawa do sprzeciwu (artykuł 21)
i) realizację prawa do niepodlegania zautomatyzowanemu podejmowaniu decyzji, w tym
profilowaniu (artykuł 22).
2) System musi umożliwiać ustalenie źródła pochodzenia każdej danej osobowej (np. pismo klienta,
system informatyczny, z którego informacja pochodzi, e-mail, formularz itd.)
3) System musi umożliwiać ustalenie dawcy każdej danej osobowej (od jakiej osoby dane pochodzą) oznacza to konieczność logowania danych osoby wprowadzającej dane do Systemu.
4) System musi umożliwiać ustalenie daty pierwszego wprowadzenia danych do Systemu oraz identyfikatora Użytkownika wprowadzającego dane osobowe do Systemu.
5) System musi zapewnić mechanizmy bezpiecznego usuwania danych wrażliwych.
6) System musi umożliwiać konfigurację maksymalnego czasu przetwarzania danych osobowych dla
każdego celu przetwarzania.
7) System musi powiadamiać Użytkownika o osiągnięciu maksymalnego czasu przetwarzania danych osobowych dla każdej osoby, której dane są przetwarzane.
2.1.3. Kopie zapasowe
1) System musi umożliwiać planowe wykonywanie kopii zapasowych danych w postaci pełnej lub
przyrostowej.
2) System musi umożliwiać wykonywanie kopii logów działania Użytkowników (w szczególności
Administratorów Systemu).
3) System musi umożliwiać odtworzenie danych na podstawie kopii zapasowej, w szczególności musi umożliwiać:
a) wykonywanie kopii zapasowych danych w trakcie pracy Systemu,
b) wykonywania automatycznego testowania kopii zapasowych,
c) odtworzenie danych.
4) System musi umożliwiać swobodne ustalanie harmonogramu automatycznego tworzenia kopii zapasowych danych. Poza mechanizmem automatycznym (dzienny, tygodniowy itd.), musi umożliwiać wykonanie kopii zapasowej w dowolnej chwili na żądanie Administratora.
2.1.4. Logowanie zdarzeń
1) System musi tworzyć i utrzymywać log Systemu, rejestrujący historię logowania do Systemu wszystkich Użytkowników oraz wykonane przez nich czynności odczytu (w tym wydruku), wprowadzania, modyfikacji i usuwania danych. Zakres danych, które powinny podlegać takiemu audytowi/logowaniu zostanie określony na etapie analizy przedwdrożeniowej. Ze względu na szczególny charakter przetwarzanych danych tj. "danych wrażliwych" w rozumieniu RODO, muszą zostać spełnione wszystkie wymagania wynikające z przedmiotowego rozporządzenia, jak i innych aktów wykonawczych.
2) W przypadku każdej (zarówno udanej, jak i nieudanej) próby uwierzytelnienia i wylogowania z Systemu, musi on rejestrować następujące informacje: czas wykonania próby uwierzytelnienia z dokładnością do 1 sekundy, wprowadzony identyfikator Użytkownika, adres IP komputera z którego wykonano próbę uwierzytelniania, rezultat procedury uwierzytelniania oraz autoryzacji (przyznanie lub odmowa dostępu z informacją o przyczynie odrzucenia).
3) System musi posiadać log aktywności dla Użytkowników z uprawnieniami administracyjnymi rejestrując każdą akcję wykonaną przez Administratora.
4) System musi zapewniać bezpieczny mechanizm przechowywania logów Błędów Systemu.
5) System musi zapewniać bezpieczny mechanizm przechowywania logów audytowych
(w oddzielnym środowisku i niedostępny do modyfikacji).
6) System powinien umożliwiać audyt systemowy – udokumentowanie historii czynności związanych z zasobami i dostępów do zasobów, tj. monitorowanie nieautoryzowanego dostępu. Włączona klasa ochrony C2 [TCSEC] (śledzenie dostępu, identyfikacja użytkownika, kontrola dystrybucji uprawnień).
7) Dane związane z rozliczalnością (logi Systemu) powinny być przechowywane w innej bazie danych niż dane wykorzystywane w poszczególnych modułach Systemu. Zamawiający dopuszcza możliwość przechowywania danych niezbędnych do rozliczalności w tej samej fizycznej bazie danych pod warunkiem, że będzie istniała możliwość archiwizowania danych związanych z rozliczalnością w oddzielnej bazie danych po upływie ustalonego okresu czasu np.: miesiąca. W skład informacji na temat działania Użytkownika musi wchodzić minimum: nazwa Użytkownika (login); data i godzina zdarzenia (YYYY-MM-DD HH:MM:SS); nazwa stacji i adres IP z którego nastąpiło logowanie; opis wykonywanej czynności; formularze, na których dokonano czynności.
8) System musi zapewniać możliwość eksportu danych, o których mowa w poprzednim punkcie, w formatach zgodnych z Rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (tekst jednolity: Dz. U. z 2017 r. poz. 2247 z późn. zm.).
9) System musi zapewniać współpracę poprzez interfejsy z systemami klasy SIEM w zakresie
wysyłania logów.
2.2. Wydajność i skalowalność Systemu
1) Jednym z podstawowych wymagań jest skalowalność rozumiana, jako możliwość efektywnej pracy przy zwiększeniu liczby i wielkości przetwarzanych zgłoszeń, oraz liczby jednocześnie pracujących Użytkowników.
2) W zależności od rodzaju Systemu i sposobu jego skonfigurowania skalowalność powinna być realizowana w każdej z warstw Systemu w zależności od tego, jaki element Systemu jest najbardziej obciążony. System powinien być skalowalny zarówno w warstwie prezentacji, warstwie aplikacyjnej i warstwie bazodanowej.
Skalowalność polega na możliwości dodania zasobów sprzętowych (serwer, RAM, powierzchnia dyskowa) w każdej z warstw Systemu. Zwiększanie wydajności (skalowanie) powinno być możliwe bez modyfikacji logiki Systemu. Skalowalność nie może polegać na wymianie zasobów sprzętowych na bardziej wydajne, ale na możliwości wykorzystania dodawanych zasobów.
2.3. Niezawodność i dostępność
1) System musi działać w trybie ciągłym. Aktualizacje i inne czynności techniczne, które wpływają na ciągłość pracy, muszą być wykonywane poza godzinami pracy Zamawiającego (od 18:00 do 7:00 dnia następnego).
2) System musi działać z dostępnością (rozumianą jako czas działania usług Systemu bez Błędów w stosunku do całości czasu w danym okresie z wyłączeniem uzgodnionych przerw serwisowych oraz z wyłączeniem niedostępności Infrastruktury będącej w utrzymaniu Zamawiającego) wynoszącą minimum 98,00% w skali miesiąca.
3) Czynności pielęgnacyjne związane z Systemem (aktualizacje, kopie zapasowe) będą wykonywane poza godzinami pracy Zamawiającego (od 18:00 do 7:00 dnia następnego).