UMOWA
Załącznik nr 4 do zapytania ofertowego nr KPO – 3/2024
UMOWA
UDZIELENIA ZDALNEGO DOSTĘPU SERWISOWEGO v 1.5
zawarta w dniu r. w Warszawie pomiędzy:
zwaną dalej „Udzielającym dostępu”, a
zwaną dalej „Kontrahentem”
zwanymi dalej łącznie „Stronami” lub każda z osobna „Stroną”
Zważywszy, że:
− Strony współpracują ze sobą na podstawie zawartych umów;
− zachodzi potrzeba obopólnego usprawnienia procesów i czynności serwisowych zmierzających do optymalizacji czasu pracy i wykorzystania posiadanych zasobów ludzkich;
− zachodzi wymóg posiadania przez Kontrahenta zdalnego dostępu do części infrastruktury informatycznej Udzielającego dostępu w celu wykonywania przez Kontrahenta zdanych czynności serwisowych, Strony postanowiły zawrzeć Umowę o następującej treści:
Art. 1 Przedmiot Umowy
1.1 Przedmiotem niniejszej umowy („Umowa”) jest zapewnienie Kontrahentowi zdalnego dostępu do części infrastruktury informatycznej Udzielającego dostępu w celu wykonywania przez Kontrahenta zdanych czynności serwisowych polegających na:
1.1.1 monitorowaniu procesów ;
1.1.2 udzielaniu odpowiedzi na zgłoszenia Udzielającego dostępu;
1.1.3 wykonywaniu innych czynności zleconych przez Udzielającego dostępu.
1.2 Udzielający dostępu zapewni Kontrahentowi możliwość połączenia za pośrednictwem sieci Internet do części swojej infrastruktury na zasadach określonych w Umowie.
1.3 Warunki i parametry techniczne połączenia Udzielającego dostępu określa Załącznik nr 3 Regulamin świadczenia zdalnego dostępu.
1.4 Aktualizacja Załącznika nr 3 Regulaminu świadczenia zdalnego dostępu, nie wymaga formy aneksu, jednakże dla swej ważności wymaga przesłania jednostronnej aktualizacji wersji elektronicznej lub wskazania Kontrahentowi, miejsca, z którego Kontrahent może pobrać aktualizację Regulaminu
1.5 W celu uruchomienia połączenia Udzielający dostępu przekaże Kontrahentowi nazwę użytkownika, hasło oraz adres strony www.
1.6 Kontrahent nie udostępni parametrów logowania w szczególności nazwy użytkownika, hasła czy kodów autoryzacyjnych osobom trzecim.
1.7 Kontrahent będzie wykorzystywała dostęp wyłącznie w cel u realizacji Umowy
1.8 Kontrahent jest w pełni świadomy, że czynności serwisowe objęte Umową będą wykonywane w środowisku produkcyjnym Udzielającego dostępu w związku z czym Kontrahent dochowa należytej staranności by nie zakłócić prawidłowego toku pracy tego środowiska
1.9 Kontrahent oświadcza, że posiada wszelkie wymagane przez prawo uprawnienia i kwalifikacje niezbędne do wykonania Przedmiotu Umowy, jak również dysponuje niezbędnym zapleczem technicznym i osobowym do przeprowadzenia prac oraz zobowiązuje się do ich wykonania zgodnie z aktualnym poziomem wiedzy i należytą starannością, przy uwzględnieniu zawodowego charakteru prowadzonej przez siebie działalności gospodarczej.
1.10 Kontrahent ponosi pełna odpowiedzialność za działania i zaniechania swoich pracowników, współpracowników i innych wyznaczonych przez niego osób uzyskujących zdalny dostęp do infrastruktury informatycznej Udzielającego dostępu.
Art. 2 Terminy rozpoczęcia prac
2.1 Strony Umowy ustalają, że czynności objęte Umową i zdalny dostęp do infrastruktury informatycznej Udzielającego dostępu rozpocznie się z dniem obustronnego podpisania Umowy.
Art. 3 Okres obowiązywania Umowy
3.1 Umowa zawarta jest na czas nieokreślony, lecz nie dłużej niż na czas umów wiążących Strony z innych tytułów.
3.2 Każda ze Stron ma prawo rozwiązać Umowę z zachowaniem jednomiesięcznego okresu wypowiedzenia.
3.3 Wypowiedzenie, pod rygorem nieważności wymaga zachowania formy pisemnej.
3.4. Udzielający dostępu ze względów bezpieczeństwa może w każdym momencie zawiesić czasowo dostęp Kontrahentowi. Udzielający dostępu poinformuje Kontrahenta o fakcie czasowego zawieszenia oraz przewidywanym czasie odblokowania dostępu.
Art. 4 Odpowiedzialność Kontrahenta
4.1 W związku z tym, że na podstawie niniejszej Umowy Kontrahent zyskuje dostęp do infrastruktury informatycznej Udzielającego dostępu, to Kontrahent ponosi pełną odpowiedzialność za działania i zaniechania czynności, o których mowa w Przedmiocie Umowy.
4.2 W szczególności, Kontrahent ponosi odpowiedzialność za wszelkie szkody powstałe wskutek prowadzenia czynności serwisowych oraz koszty wszystkich roszczeń (odszkodowań) osób trzecich, spowodowanych nieprawidłowym wykonaniem czynności serwisowych wynikających z jego własnych działań i zaniechań, jak również z działań i zaniechań jego pracowników oraz osób trzecich, którym realizację Umowy powierza lub którymi przy realizacji Umowy się posługuje.
4.3. W granicach określonych w punktach 4.1 i 4.2 powyżej Kontrahent ponosi odpowiedzialność za szkody wynikające z jego własnych działań i zaniechań, jak również z działań i zaniechań jego pracowników oraz osób trzecich, którym realizację Umowy powierza lub którymi przy realizacji Umowy się posługuje.
Art. 5 Poufność
5.1 Kontrahent zobowiązuje się do zachowania, tak w okresie obowiązywania Umowy, jak również 20 lat po rozwiązaniu lub wygaśnięciu Umowy, tajemnicy, co do wszystkich informacji pozyskanych przy wykonywaniu Umowy, w tym kodów i danych dostępowych otrzymanych od Udzielającego dostępu oraz wszelkich innych informacji prawnie chronionych przez przepisy powszechnie obowiązującego prawa.
5.2 Z zastrzeżeniem postanowień Umowy, Kontrahent zobowiązuje się ponadto, niezależnie od informacji o których mowa w art. 5.1 Umowy do chronienia wszelkich informacji i dokumentów dotyczących Udzielającego dostępu, nieujętych w publicznych rejestrach ani znanych publicznie (a fakt ich publicznej znajomości nie jest następstwem naruszania zasad poufności) – w szczególności dotyczy to informacji handlowych, technicznych, technologicznych, organizacyjnych, know-how oraz wszelkich informacji dotyczących stosunków pomiędzy Stronami i ich kontrahentami, a także wszelkich informacji uzyskanych przez Kontrahenta w związku lub przy okazji podjęcia i wykonywania obowiązków wynikających z Umowy („Informacje poufne”).
5.3 Informacje poufne mogą być ujawnione osobom lub firmom współpracującym przy wykonaniu Przedmiotu Umowy, jednakże pod warunkiem pisemnego zobowiązania się tych osób lub firm do stosowania niniejszego artykułu.
5.4 Obowiązek zachowania poufności nie dotyczy przypadku ujawnienia Informacji poufnych wynikającego z bezwzględnie obowiązujących przepisów prawa.
5.5 Postanowienia o poufności, zawarte powyżej, nie będą stanowiły przeszkody dla Kontrahenta w ujawnianiu Informacji poufnych, które zostały zaaprobowane na piśmie przez Udzielającego dostępu, jako informacje, która mogą zostać ujawnione.
5.6 W przypadku naruszenia postanowień niniejszego artykułu, Udzielający dostępu może żądać od drugiej Kontrahenta zapłaty kary umownej w wysokości 100.000,00 złotych (sto tysięcy złotych) za każdy przypadek ujawnienia Informacji poufnych.
5.7 Zapłata kary umownej na rzecz Udzielającego dostępu nie wyłącza prawa Udzielającego dostępu do dochodzenia od Kontrahenta odszkodowania uzupełniającego przenoszącego wysokość zastrzeżonej kary umownej.
Art. 6. Rozstrzyganie sporów
6.1 Ewentualne spory mogące wynikać na tle stosowania lub interpretacji postanowień Umowy Strony starały się będą rozstrzygać polubownie, co w żadnym razie nie oznacza zapisu na sąd polubowny. Jeżeli Strony nie osiągną porozumienia w terminie 2 tygodni, spór może zostać skierowany do rozstrzygnięcia przez sąd powszechny miejscowo właściwym dla siedziby Udzielającego dostępu.
Art. 7. Dane osobowe
7.1 Strony przekazują sobie wzajemnie dane osób ich reprezentujących, osób kontaktowych lub odpowiedzialnych za realizację poszczególnych zadań wynikających z umowy w następującym zakresie:
(i) imię i nazwisko, (ii) adres e-mail, (iii) numer telefonu.
7.2 Strony oświadczają, że staną się wzajemnie administratorami danych wskazanych w ust. 1 w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46 (Dz. Urz. UE. L Nr 119, str. 1) (dalej
„RODO”).
7.3 Strony będą przetwarzać otrzymane dane osób wskazanych w ust. 1 powyżej do celów wynikających z prawnie uzasadnionych interesów obejmujących wykonanie Umowy, w tym ustalenie, dochodzenie lub obronę roszczeń prawnych wynikających z Umowy lub z nią związanych.
7.4 Każda ze stron zobowiązuje się przetwarzać dane zgodnie z Umową, RODO oraz innymi przepisami prawa powszechnie obowiązującego.
7.5 Kontrahent zobowiązuje się zrealizować obowiązek informacyjny wobec osób wskazanych w art. 7.1 na rzecz Udzielającego dostępu, w tym poinformować o przekazaniu ich danych Udzielającemu dostępu w zakresie i celach opisanych powyżej przedstawiając tym osobom oświadczenia stanowiące odpowiednio Załącznik nr 1 do Umowy (treść obowiązku informacyjnego).
Art. 8 Identyfikacja osób upoważnionych przez Kontrahenta
8.1 Strony ustalają, że Kontrahent wskaże w Załączniku nr 2 listę osób uprawnionych do wykonywania Umowy. Aktualizacja osób uprawnionych, o których mowa w Załączniku nr 2, nie wymaga formy aneksu, jednakże dla swej ważności wymaga zachowania formy pisemnej i przesłania jednostronnej aktualizacji listem poleconym, lub przesłania wersji elektronicznej podpisanej podpisem kwalifikowanym do Udzielającego dostępu.
8.2 Osoby wskazane przez Kontrahenta będą identyfikowane z imienia i nazwiska oraz unikalnego numeru
– token.
8.3 Kontrahent oświadcza, że w przypadku, gdyby upoważniona przez niego osoba wyrządziła szkodę Udzielającemu Dostępu a nie była już pracownikiem lub współpracownikiem Kontrahenta, to wówczas Kontrahent przekaże Udzielającemu Dostęp numer PESEL oraz numer i serię dowodu osobistego takiej osoby.
Art. 9 Pozostałe warunki
9.1 Strony uzgadniają, że wszelkie powiadomienia będą kierowane na adres e-mail lub numer faks wskazany w Umowie. Strona powiadomi drugą Stronę o wszelkich zmianach w/w danych adresowych, pod rygorem uznania za skutecznie doręczone na adres e-mail lub numer faks wskazany w Umowie; nie będzie to stanowiło zmiany Umowy.
Adres e-mail Kontrahenta: .......................................................
Adres e-mail Udzielającego dostępu: xx@xxx.xx
9.2 Strony zgodnie ustalają, iż wszelkie pisma doręczane za pomocą transmisji faks lub e-mail uważa się za doręczone w momencie uzyskania potwierdzenia prawidłowej transmisji danych (wydruk faksu lub zwrotne potwierdzenie otrzymania wiadomości e-mail).
9.3 Umowa jest regulowana przepisami prawa polskiego, a do wszelkich nieuregulowanych w Umowie spraw będą miały zastosowanie odpowiednie przepisy powszechnie obowiązującego prawa, w tym Kodeksu cywilnego.
9.4 Wszelkie zmiany Umowy wymagają formy pisemnej pod rygorem nieważności.
9.5 Kontrahent nie ma prawa przenieść jakichkolwiek praw, przewidzianych Umową, na osobę trzecią bez uprzedniej pisemnej zgody drugiej Udzielającego dostępu.
9.6 Umowa łącznie z załącznikami jest jedynym dokumentem wiążącym Strony w tej sprawie i wchodzi w życie z dniem podpisania.
9.7 Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej Strony.
9.8 Kontrahent upoważnia osoby wskazane w Załączniku nr 2 do Umowy do działania w imieniu i na rzecz Kontrahenta. Wszelkie zmiany osób wymienionych w Załączniku nr 2 wymagają formy pisemnej pod rygorem nieważności.
9.9 Kontrahent zostaje poinformowany, że Udzielający dostępu będzie objęty przepisami implementującymi dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającą rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) jako pomiot ważny,
9.10 Wobec powyższego Udzielający dostępu jako podmiot ważny zobowiązany będzie do zastosowania odpowiednich środków zarządzania ryzykiem w cyberbezpieczeństwie, w tym elementu bezpieczeństwa łańcucha dostaw, a zatem Kontrahent, jako występujący w łańcuchu dostaw Spółki, będzie zobowiązany do spełnienia wymogów dla dostawców w przypadku ich określenia przez prawo lub określenia przez spółkę w związku z wprowadzeniem przepisów implementujących dyrektywę NIS 2, w szczególności normy zawarte w serii ISO/IEC 27000 standardy systemu zarządzania bezpieczeństwem informacji.
Załączniki:
1) Załącznik nr 1 – Informacja o przetwarzaniu danych osobowych.
2) Załącznik nr 2 – Lista osób upoważnionych przez Kontrahenta
3) Załącznik nr 3 – Warunki świadczenia usługi Kontrahentowi
4) Załącznik nr 4 - Instrukcja logowania do systemów zdalnego dostępu do sieci BZK
UDZIELAJĄCY DOSTĘPU KONTRAHENT
Załącznik nr 1 Informacja o przetwarzaniu danych osobowych
Administratorem danych osobowych dotyczących Państwa tj. (i) imię i nazwisko, (ii) adres e-mail, (iii) numer telefonu jest - (“Spółka”). Dane kontaktowe: mail: xxxx@xxx.xx.
Spółka przetwarza Państwa dane w celu i w zakresie niezbędnym do wykonania umowy z Państwem lub Państwa pracodawcą lub zleceniodawcą, tj. na podstawie art. 6 ust. 1 pkt. b) lub f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). Uznajemy, że mamy uzasadniony interes w przetwarzaniu Państwa danych w celu zapewnienia prawidłowego wykonania umów z naszymi kontrahentami, w tym w razie konieczności w celu ustalenia, dochodzenia lub obrony roszczeń prawnych wynikających z umowy lub z nią związanych.
Odbiorcami Państwa danych mogą być podmioty grupy BZK. Dane osobowe, w przypadkach wymaganych przez prawo, mogą być przekazywane organom nadzorującym, sądom i innym organom władzy (np. organom podatkowym i organom ścigania), niezależnym doradcom zewnętrznym (np. audytorom, doradcom prawnym). Dane osobowe będą przetwarzane przez okres niezbędny do realizacji celów wskazanych powyżej, w czasie trwania umowy oraz zgodnie z okresem przedawnienia roszczeń z nią związanych.
Posiadają Państwo prawo dostępu do treści swoich danych oraz - jeśli zachodzą okoliczności przewidziane prawem - prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo wniesienia sprzeciwu, cofnięcia zgody, jeżeli została wyrażona.
Maja Państwo również prawo wniesienia skargi do organu nadzorczego, jeśli uznają Państwo, iż przetwarzanie danych osobowych Państwa dotyczących narusza przepisy RODO lub inne przepisy. Od dnia 25 maja 2018 r. organem nadzorczym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych.
Podanie przez Państwa danych ma charakter dobrowolny, jednak konsekwencją niepodania tych danych będzie brak możliwości wykonania umowy z Państwem lub Państwa pracodawcą lub zleceniodawcą.
Załącznik nr 2 – Lista osób upoważnionych przez kontrahenta
Niniejszym, Kontrahent wskazuje następujące osoby uprawnione do działania w imieniu i na rzecz Kontrahenta w celu wykonywania Umowy:
L.P. | Imię i nazwisko osoby upoważnionej przez Kontrahenta | Nr identyfikacyjny (token) osoby upoważnionej przez Kontrahenta | Nr telefonu komórkowego osoby upoważnionej przez Kontrahenta | Adres e-mail osoby upoważnionej przez Kontrahenta | Login użytkownika w systemie Udzielającego dostępu1 |
1. | |||||
2. | |||||
3. |
1 Uwaga. Nazwa użytkownika zgodnie z nomenklaturą: „Nazwisko_PierwszaLiteraImienia_FZ”, dla przykładu nazwa użytkownika dla Xxx Xxxxxxxx wygląda następująco: Xxxxxxxx_X_XX.
Załącznik nr 3 – Regulamin świadczenia zdalnego dostępu
1. Kontrahent zobowiązuje się do podłączania do infrastruktury BZK jedynie w sposób udostępniony przez Udzielającego dostępu.
2. Udzielający dostępu rekomenduje i wspiera nawiązywanie połączeń zdalnych Kontrahenta z komputerów z aktualnie wspieraną wersją systemu operacyjnego Windows z zainstalowanymi poprawkami bezpieczeństwa, przy użyciu aktualnych wersji przeglądarek Internetowych Microsoft Edge, lub Chrome.
3. Kontrahent, poprzez udostępnione przez Udzielającego dostępu połączenie SSLVPN2, uzyska dostęp do stacji przesiadkowej, z której za pomocą:
3.1. protokołu RDP3 dostanie się do komputera z systemem operacyjnym Windows lub,
3.2. protokołu SSH4 dostanie się do komputera z systemem operacyjnym Linux,
3.3. protokołu HTTPS5 do serwera www.
4. Kontrahent mający dostęp do więcej niż jednej lokalizacji, bądź wielu urządzeń logicznie niepowiązanych Udzielającego dostępu, zgodnie z zasadą minimalnych uprawnień, będzie proszony o wskazanie konkretnych zasobów, do których mają mieć dostęp jego pracownicy.
5. Udzielający dostępu kieruje się zasadą minimalnych uprawnień, dlatego Kontrahent świadczący usługi w więcej niż jednej lokalizacji Udzielającego dostępu, lub mający w związku z czym pracownicy Kontrahent wskazani w Załączniku nr 2 mają dostęp jedynie do konkretnych zasobów.
6. Kontrahent otrzyma od Udzielającego dostępu adresy lub nazwy komputerów, serwerów, lub innych urządzeń do których powinien mieć dostęp.
7. W celach bezpieczeństwa prace prowadzone przez Xxxxxxxxxxx są rejestrowane przez narzędzie do rejestrowania sesji. Pracownicy Kontrahenta wskazani w Załączniku nr 2 akceptują fakt, że prowadzone przez nich prace będą rejestrowane przez narzędzie do nagrywania sesji z prowadzonych prac objętych Umową. Rejestrowaniem objęte są tylko prace Kontrahenta wykonywane w infrastrukturze BZK, tj. od momentu zalogowania się na stacji przesiadkowej.
8. Konta pracowników zgłoszonych przez Kontrahenta w załączniku nr 2 podlegają cyklicznej weryfikacji. W przypadku braku aktywności (braku logowania) przez 30 dni konto jest automatycznie blokowane i dany pracownik traci możliwość dostępu. W celu odblokowania pracownik musi wysłać prośbę o odblokowanie konta na adres xx@xxx.xx.
9. Kontrahent zobowiązany jest do monitorowania i zapewniania pracownikom wskazanym w Załączniku nr 2 Umowy aktualności (ważności) konta.
10. Dostęp do infrastruktury Udzielającego dostępu w trybie ciągłym jest możliwy tylko dla wskazanych przez Kontrahenta stałych adresów IP lub nazw domen.
12. Udzielający dostępu, ze względów bezpieczeństwa, zastrzega sobie prawo do wyłączania lub zmiany czasu dostępu (opisanej w pkt 11) dla Kontrahentów, którzy nie podali stałych adresów IP, ani nazw domen.
13. Udzielający dostępu zastrzega sobie prawo do stosowania dodatkowych metod ochrony dla infrastruktury zdalnego dostępu.
2 SSLVPN - Secure Socket Layer – Virtual Private Network
3 RDP (Remote Desktop Protocol) – pozwala na połączenie poprzez zdalny pulpit
4 SSH (Secure Shell)
5 HTTPS (HTTP Over TLS) – protokół pozwalający połączyć się poprzez przeglądarkę www.
14. Aktualizacja Regulaminu świadczenia zdalnego dostępu niniejszego Załącznika, nie wymaga formy aneksu, jednakże dla swej ważności wymaga przesłania jednostronnej aktualizacji wersji elektronicznej lub wskazania Kontrahentowi, miejsca, z którego Kontrahent może pobrać aktualizację Regulaminu.