Umowa dotycząca przeprowadzenia audytu bezpieczeństwa informatycznego

Załącznik nr 4 – wzór umowy

Umowa dotycząca przeprowadzenia audytu bezpieczeństwa informatycznego

zawarta w dniu w Szczecinie pomiędzy:

Nowy Szpitale Sp. z o.o. z siedzibą w Szczecinie, xx. Xxxxxxx 0, 00-000 Xxxxxxxx, wpisana do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy Szczecin-Centrum w Szczecinie XIII Wydział Gospodarczy KRS pod numerem 0000221586, XXX 0000000000, REGON 812731198,. Adres do korespondencji: Nowy Szpital Sp. z o.o. xx. Xxxxxx Xxxxxxxxx 000, 00-000 Xxxxxxx.

Nowy Szpital w Olkuszu Sp. z o.o. z siedzibą w Olkuszu, xx. 0000-xxxxx 00, 00-000 Xxxxxx, wpisana do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla Krakowa – Śródmieścia w Krakowie XII Wydział Gospodarczy KRS pod numerem 0000310871,NIP 9552268113, REGON 320592435

Nowy Szpital w Świebodzinie Sp. z o.o. z siedzibą w Świebodzinie, xx. Xxxxxxx 0, 00-000 Xxxxxxxxxx, wpisana do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego pro- wadzonego przez Sąd Rejonowy w Zielonej Górze VIII Wydział Gospodarczy KRS pod nume- rem 0000289349, XXX 0000000000, REGON 320425542

zwanych dalej łącznie „Zamawiającymi”, każdy zaś oddzielnie „Zamawiającym” reprezentowanych przez:

Grupę Nowy Szpital Holding S.A. z siedzibą w Szczecinie, xx. Xxxxxxx 0, 00-000 Xxxxxxxx,

wpisana do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy Szczecin - Centrum w Szczecinie, XII Wydział Gospodarczy Krajowego rejestru Są- dowego pod numerem 0000568640, XXX 0000000000, REGON 362089459

którą reprezentuje:

Xxxxxxx Xxxxxxxx – Członek Zarządu

zwaną w dalszej części „GNS” a

………………………, z siedzibą w ………., ul. ……………………., …..-….. ……………….., wpi- saną do rejestru przedsiębiorców przez Sąd Rejonowy …………………… Wydział Go-

spodarczy KRS pod nr KRS ……………., NIP …………………...…, REGON ,

reprezentowana przez:

………………… - …………………..

zwaną w dalszej części umowy „Wykonawcą”,

§ 1. Postanowienia wstępne

1. Strony zawierają Umową mając na uwadze to, że GNS w ramach niniejszej umowy występu- je w imieniu i na rzecz oraz na rachunek szerszego kręgu podmiotów, które to podmioty bę-

dą odbiorcami świadczenia Wykonawcy i to na rzecz tych podmiotów Wykonawca zobowią- zany będzie świadczyć usługi.

2. Wykonawca przyjmuje do wiadomości, że podmioty na rzecz których występuje GNS:

a) mają swoje siedziby w różnych miejscach Polski i jest świadomy wynikających z tego cię- żarów;

b) prowadzą szczególnego rodzaju działalność, która wymaga od nich zachowania najwyż- szej staranności, dokładności oraz jakości zamawianych i wykorzystywanych w tej działalno- ści dóbr i usług.

3. Wykonawca oświadcza, że posiada odpowiednie:

a) doświadczenie w realizacji świadczeń będących przedmiotem niniejszej umowy, w szcze- gólności doświadczenie w realizacji usług zgodnie z regulacjami Ustawy z dnia 5 lipca 2018

r. o krajowym systemie cyberbezpieczeństwa [Dz.U. z 2018 r. poz. 1560], zwaną w dalszej części Umowy ”Ustawą o krajowym systemie cyberbezpieczeństwa”;

b) zasoby ludzkie, infrastrukturalne oraz środki materialne i finansowe niezbędne do prawi- dłowej oraz terminowej realizacji usługi i składanych zamówień

§ 2. Przedmiot umowy

1. Przedmiotem zamówienia jest przeprowadzenie audytu bezpieczeństwa informatycznego dla Zamawiających zgodnie z Ustawą o Krajowym Systemie Cyberbezpieczeństwa.

2. W terminie 3 dni roboczych od dnia zawarcia niniejszej Umowy Wykonawca przedstawi Zamawiającym i GNS harmonogram realizacji poszczególnych czynności audytowanych.

3. Audyt zostanie zakończony sporządzeniem pisemnego raportu, który zostanie przekazany Zamawiającemu.

§ 3. Termin realizacji umowy

1. Zamówienie zostanie zrealizowane w terminie do dnia 29.01.2020

2. Wykonawca zobowiązuje się do rozpoczęcia świadczenia przedmiotu zamówienia w/od … dniu/a … okresu obowiązywania umowy

§ 4. Zakres audytu

1. Audyt bezpieczeństwa infrastruktury sieciowej:

a) Inwentaryzacja urządzeń sieciowych i przedstawienie logicznej struktury sieci w formie zobrazowania graficznego przedstawiającego wszystkie urządzenia sieciowe oraz po- wiązania pomiędzy nimi.

b) Analiza urządzeń zapewniających dostęp do sieci Internet (routery, firewalle).

c) Analiza możliwości potencjalnego ataku na sieci Zamawiającego przez osoby trzecie w tym testy penetracyjne.

2. Analiza bezpieczeństwa infrastruktury serwerowej:

a) Analiza bezpieczeństwa zainstalowanych usług/systemów serwerowych.

b) Analiza bezpieczeństwa uprawnień użytkowników.

c) Analiza bezpieczeństwa fizycznego infrastruktury serwerowej.

4. Analiza bezpieczeństwa stacji klienckich (komputery/terminale):

a) Analiza bezpieczeństwa i zabezpieczeń stacji roboczych/terminali

5. Audyt kopii zapasowych:

a) Analiza poprawności wykonywanych kopii zapasowych.

b) Analiza częstotliwości wykonywania kopii zapasowych.

6. Analiza bezpieczeństwa pozostałych elementów sieci teleinformatycznej:

a) Analiza bezpieczeństwa sieci bezprzewodowych, w tym sieci dedykowanej pacjentom.

b) Analiza bezpieczeństwa urządzeń wielofunkcyjnych używanych przez Zamawiającego

7. Analiza dokumentacji dot. bezpieczeństwa informacji.

§ 5. Obowiązki i odpowiedzialność Wykonawcy

1. Wykonawca ma prawo wstępu do pomieszczeń Zamawiającego oraz prawo wglądu do wszelkich dokumentów, informacji i danych oraz do innych materiałów związanych z funkcjonowaniem Zamawiającego, w tym także do nośników elektronicznych, w zakresie niezbędnym dla celów przeprowadzenia audytu.

2. Zamawiający zastrzega sobie prawo do asystowania przy czynnościach wykonywanych przez Wykonawcę

3. Wykonawca zobowiązany jest do zachowania poufności wykonywanych czynności audyto- wych oraz zachowania w tajemnicy wszelkich informacji pozyskanych w związku z przepro- wadzanym audytem, z zachowaniem przepisów o ochronie informacji niejawnych i innych in- formacji prawnie chronionych. Wykonawca w tym zakresie ponosi pełną odpowiedzialność za swoich pracowników i współpracowników.

4. Wykonawca ponosi pełną odpowiedzialność za skutki braku lub mylnego lub niepełnego roz- poznania warunków realizacji zamówienia.

5. Wykonawca przeprowadzi audyt przy ścisłej współpracy z Zamawiającym.

6. Wykonawca oświadcza, iż podczas przeprowadzanego czynności audytu konfiguracja infra- struktury sprzętowej wykorzystywanej przez Zamawiającego nie zostanie zmieniona, w szczególności:

a) infrastruktura nie zostanie uszkodzona;

b) dane znajdujące się w tej infrastrukturze nie zostaną usunięte, zmienione czy nadpisane lub w jakikolwiek sposób zniekształcone.

7. Analiza dokonywana w systemach informatycznych, będzie prowadzona po zalogowaniu się administratora systemu informatycznego lub innej osoby wyznaczonej przez Zamawiającego na urządzenia brzegowe. Administrator systemu informatycznego nie udostępnia haseł Wy- konawcy

8. Wykonawca oświadcza, że dane gromadzone przez oprogramowanie szyfrujące będą prze- syłane protokołem szyfrowanym na serwer należący do Wykonawcy w sposób gwarantujący bezpieczeństwo. Po zakończeniu audytu zgormadzone dane zostaną trwale usunięte przez Wykonawcę.

9. Wykonawca po zakończeniu realizacji umowy zwróci Zamawiającemu wszelkie dokumenty, które zostały mu udostępnione w związku z przeprowadzaniem audytu w terminie 7 dni ro- boczych od dnia przedłożenia pisemnego raportu.

§ 6. Obowiązki i odpowiedzialność Zamawiającego

1. Zamawiający zobowiązuje się do zapewnienia Wykonawcy w siedzibie Zamawiającego dostępu do pomieszczeń, komputerów, urządzeń oraz systemów informatycznych nie- zbędnych do realizacji niniejszej umowy w zakresie niezbędnym do przeprowadzenia au- dytu.

2. Zamawiający wyraża zgodę na przeprowadzenie przez Wykonawcę czynności w zakresie objętym audytem, w tym udziela Wykonawcy zgody na przetwarzanie danych zgroma- dzonych podczas audytu.

3. Zamawiający oświadcza, że w przypadku awarii sprzętu komputerowego lub oprogramo- wania, w trakcie trwania audytu, Wykonawca nie będzie ponosił z tego tytułu żadnej od- powiedzialności, o ile awaria nie była spowodowana działaniem Wykonawcy.

§ 7. Osoby upoważnione do kontaktów

1. Wykonawca wyznacza …………………………. jako koordynatora Zamawiającego, e- mail………………, telefon………………..

2. Zamawiający upoważniają następujące osoby do składania zleceń i oświadczeń w ramach realizacji niniejszej umowy:

1) …………………………. e-mail………………, telefon……………….. w zakresie ……..

2) ………………………… e-mail………………, telefon……………….. w zakresie ……..

3. Zmianę osób upoważnionych Zamawiający dokonuje się w formie jednostronnego pisem- nego powiadomienia, które nie stanowi zmiany niniejszej umowy. Powiadomienie może na- stąpić w formie papierowej lub e- mail na adres osób wyznaczonych do kontaktu po stronie Zamawiającego jak i Wykonawcy.

4. Wykonawca zobowiązuje się do udzielenia audytującemu pracownikowi/pracownikom upoważnienia do przeprowadzenia czynności audytowych na piśmie.

5. Upoważnienie powinno zostać okazane Zamawiającemu przed przystąpieniem do czynno- ści objętych umową. Udzielone upoważnienie ważne jest przez okres trwania umowy, chy- ba że Wykonawca cofnie upoważnienie.

6. O cofnięciu upoważnienia o którym mowa w ust. 4 Wykonawca niezwłocznie zawiadamia Zamawiającego

§ 8. Wykonanie audytu i raport

1. Wykonawca we współpracy z koordynatorem ds. cyberbezpieczeństwa prześle Zamawia- jącym harmonogram i plan audytu nie później niż w terminie 3 dni od podpisania niniejszej Umowy

2. Wykonawca przekaże Zamawiającemu wstępne raporty (dla wszystkich audytowanych sys- temów informatycznych) z audytu do dnia 24.01.2020.

3. Wykonawca przekaże Zamawiającemu raporty końcowe z przeprowadzonego audytu do dnia 29.01.2020.

4. Zamawiający ma prawo zgłoszenia uwag i zastrzeżeń dotyczących raportów o których mowa w ust. 2 i ust. 3 w terminie 10 dni roboczych od dnia otrzymania raportu.

5. W przypadku o którym mowa w ust. 4 Wykonawca jest obowiązany uwzględnić uwagi lub przedłożyć Zamawiającemu stosowne wyjaśnienia w terminie 4 dni od dnia zgłoszenia uwag lub zastrzeżeń.

6. Raporty, o których mowa w ust. 2 Wykonawca przekazuje w formie elektronicznej na adres e-mail …., przypisany dla każdego Zamawiającego oraz na adres xxxxxxxxx@xxxxxxxxxxx.xx

7. Raporty, o których mowa w ust. 3 Wykonawca przekazuje w formie elektronicznej na adres e-mail …., przypisany dla każdego Zamawiającego i na adres xxxxxxxxx@xxxxxxxxxxx.xx oraz w formie papierowej na adres poszczególnych Biur Zarządu Zamawiających.

8. W przypadku braku uwag lub zastrzeżeń ze strony Zamawiającego do raportów o którym mowa w ust. 3, lub w przypadku usunięcia zgłoszonych uwag lub zastrzeżeń bądź przedło- żenia przez Wykonawcę wyjaśnień, nastąpi odbiór dokumentu raportu końcowego z audy- tu, który to odbiór zostanie pisemnie potwierdzony protokołem odbioru przez Zamawiające- go.

§ 9. Wynagrodzenie i zasady rozliczania

1. Z tytułu realizacji przedmiotu Umowy, Wykonawcy przysługuje wynagrodzenie w wysokości określonej w ofercie nr …. z dnia…. stanowiącej załącznik nr 1 do niniejszej Umowy.

2. Zapłata wynagrodzenia nastąpi na podstawie prawidłowo wystawionej przez Wykonawcę Faktury VAT, z terminem płatności wynoszącym 60 dni od dnia jej doręczenia Zamawiają- cemu.

3. Podstawą wystawienia Faktury VAT przez Wykonawcę jest pisemnie potwierdzany przez Zamawiającego prawidłowego odbioru raportu końcowego z audytu.

4. Zapłata wynagrodzenia nastąpi przelewem na rachunek bankowy wskazany w Fakturze VAT.

5. Za dzień zapłaty uważa się datę uznania rachunku bankowego Zamawiającego.

6. Wykonawca nie ma prawa przenosić wierzytelności wynikających z niniejszej Umowy na osoby trzecie bez uprzedniej pisemnej zgody Zamawiającego

§ 10. Poufności

1. Strony zobowiązują się traktować wszelkie informacje wynikające z niniejszej Umowy, jak również informacje uzyskane w wyniku współpracy na tle realizacji umowy, jako informacje poufne, chyba że ich ujawnienie będzie wymagane przepisami prawa lub orzeczeniem wła- ściwego sądu lub decyzją organu administracji publicznej lub innego ustawowo uprawnione- go podmiotu.

2. Wykonawca zobowiązuje się do zachowania w tajemnicy wszelkich informacji o GNS i Zamawiających uzyskanych w toku realizacji niniejszej umowy, w szczególności informacji o charakterze technicznym, technologicznym, handlowym, finansowym i organizacyjnym związanych z działalnością GNS i Zamawiających, jak również wszelkich informacji dotyczą- cych klientów i kontrahentów GNS oraz Zamawiających (informacje poufne), niezależnie od formy utrwalenia informacji, również gdy zostały one przekazane jedynie ustnie.

3. Wykonawca uprawniony jest wykorzystać uzyskane od GNS i Zamawiających informacje poufne wyłącznie w celu wykonania niniejszej Umowy i zobowiązuje się ich nie utrwalać, nie powielać, nie kopiować ani nie udostępniać osobom trzecim bez pisemnej zgody GNS i Za- mawiających.

4. Wykonawca zobowiązany jest do ochrony informacji poufnych z najwyższą możliwą staran- nością, a w szczególności odpowiedzialny jest za wszelkie szkody jakie wynikną dla GNS i Zamawiających z tytułu nieuprawnionego przekazania przez Wykonawcę informacji pouf- nych osobie trzeciej lub wykorzystania informacji poufnych przez Wykonawcę w innym celu niż wykonanie niniejszej umowy.

5. Wykonawca zobowiąże osoby, którymi będzie się posługiwał przy realizacji niniejszej umowy do ochrony informacji poufnych w takim samym zakresie jaki obciąża jego. Wykonawca po- nosi bezpośrednią odpowiedzialność za ich działania lub zaniechania.

6. Wobec konieczności niejednokrotnego ujawniania w trakcie wykonywania przedmiotowej Umowy danych stanowiących tajemnice z różnych dziedzin związanych z działalnością pro- wadzoną przez Xxxxxx, zobowiązują się one do zachowania tajemnicy handlowej i dbania o to, by przedmiotowe tajemnice w jakikolwiek sposób nie zostały ujawnione, udostępnione czy w inny sposób dotarły do osób trzecich.

7. Obowiązek zachowania poufności przewidzianej w niniejszym paragrafie obowiązuje przez cały okres trwania Umowy, jak również przez okres 2 lat po dacie jej wygaśnięcia

§ 11. Kary umowne

1. Wykonawca zapłaci Zamawiającemu karę umowną w wysokości , w przypadku:

a) niedotrzymania przez Wykonawcę terminu określonego w §7 ust. 3 Umowy;

b) rozwiązania lub odstąpienia od Umowy z przyczyn leżących po stronie Wykonawcy.

2. Niezależnie od ust. 1 Zamawiający zastrzega sobie prawo dochodzenia na zasadach ogól- nych odszkodowania za szkodę wynikającą z nieprzeprowadzonego audytu jak również nie dostarczenia raportu z przeprowadzonego audytu.

3. Wykonawca zapłaci Zamawiającemu karę umowną w terminie 3 dni od doręczenia Wyko- nawcy pisemnego wezwania do zapłaty.

4. W przypadku gdy Wykonawca nie wywiąże się z obowiązku określonego w ust. 3 Zamawia- jący jest uprawniony do potrącania kar umownych z wynagrodzenia należnego Wykonawcy, na co Wykonawca wyraża zgodę

§ 12. Rozwiązanie umowy

1. Zamawiający jest uprawniony do rozwiązania Umowy ze skutkiem natychmiastowych w przypadku braku należnego wykonywania przez Wykonawcę jakiegokolwiek obowiązku wy- nikającego z Umowy.

2. Postanowienia dotyczące kar umownych obowiązują pomimo wygaśnięcia Umowy lub roz- wiązania Umowy.

§ 13. Powierzenie przetwarzania danych osobowych

1. W ramach niniejszej umowy Zamawiający zostaje upoważniony przez Wykonawcę do gromadzenia i przetwarzania jego danych osobowych w celu wykonania niniejszej umo- wy.

2. Wykonawca oświadcza, że oświadcza, że przetwarza dane osobowe zgodnie z Rozporzą- dzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r w spra- wie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozpo- rządzenie o ochronie danych).

3. Odbiorcami danych mogą być także podmioty zajmujące się obsługą księgową i informa- tyczną Zamawiającego oraz spółki wchodzące w skład Grupy Kapitałowej Grupy Nowy Szpi- tal Holding, na co Wykonawca wyraża zgodę.

4. Zamawiający zapewnia, że osoby upoważnione do przetwarzania danych osobowych zobo- wiążą się do zachowania ich tajemnicy lub podlegają odpowiedniemu ustawowemu obo- wiązkowi zachowania tajemnicy.

5. Zamawiający oświadcza, że podjął wszelkie środki zabezpieczające, wymagane przepisami prawa związane z przetwarzaniem danych osobowych.

6. Wykonawca ma prawo dostępu do przetwarzaniach danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz prawo do odwołania zgody na przetwarzanie danych osobowych.

7. Dane osobowe będą przechowywane do ewentualnego odwołania zgody na ich przetwarza- nie, a po takim odwołaniu, przez okres przedawnienia roszczeń przysługujących Zamawiają- cego w stosunku do Wykonawcy.

8. O każdym wypadku wystąpienia naruszenia ochrony danych osobowych Zamawiający nie- zwłocznie poinformuje Wykonawcę.

9. Wykonawca ma prawo do wniesienia skargi na przetwarzanie danych osobowych do organu nadzoru.

10. Zasady wynikające z powyższych ustępów stosuje się odpowiednie w przypadku powierze- nia przetwarzania danych osobowych przez Zamawiającego Wykonawcy

§ 14. Postanowienia końcowe

1. Wszelkie spory wynikające z niniejszej Umowy powinny być rozstrzygane polubownie. W

przypadku gdy porozumienie nie zostanie osiągnięte – właściwym do rozstrzygania sporu jest sąd właściwy miejscowo dla Zamawiającego.

2. Załączniki do niniejszej Umowy stanowią jej integralną całość.

3. W przypadku sprzeczności czy rozbieżności postanowień Umowy, z postanowie- niami zawartymi w załącznikach, rozstrzygające znaczenie mają postanowienia zwar- te w Umowie.

4. Wszelkie zmiany niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności.

5. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach po jednym dla każdej

Załączniki:

Załącznik nr 1 –Oferta cenowa sprzedającego

Zamawiający Wykonawca

…………………………….. ……………………………..