CONTRACT privind prestarea serviciilor de autentificare și autorizare prin serviciul electronic guvernamental de autentificare și control al accesului (MPass) nr. 3009- mun. Chișinău 2021
CONTRACT
privind prestarea serviciilor de autentificare și autorizare prin serviciul electronic guvernamental de autentificare și control al accesului (MPass)
nr. 3009-
mun. Chișinău 2021
Instituția publică „Agenția de Guvernare Electronică” (în continuare – Prestator), cu sediul pe adresa: mun. Chişinău, str. Xxxxxx, 42 B, reprezentată de către xxx Xxxx XXXXXXX, Director, care acționează în baza Statutului, aprobat prin Hotărîrea Guvernului nr. 760 din 18 august 2010, cu modificările ulterioare, pe de o parte, și
___ (în continuare – Beneficiar), reprezentat de către, dl , Director, care acționează în baza Statutului, pe de altă parte, numite în continuare împreună „Părți”, iar separat Parte,
au convenit asupra celor ce urmează.
Obiect al prezentului Contract îl constituie prestarea de către Prestator către Beneficiar a serviciilor de autentificare și autorizare (în continuare – Servicii) prin intermediul serviciului electronic guvernamental de autentificare și control al accesului (MPass) (în continuare – Serviciul MPass), care constau în verificarea identității utilizatorilor pentru sistemele informaționale ale Beneficiarului, utilizînd mijloace disponibile de probare a identității din cadrul serviciului MPass, precum și furnizarea informațiilor adiționale autentice asociate acestor identități, pentru a fi utilizate de către sistemele informaționale ale Beneficiarului în acordarea accesului la resurse informaționale.
Modul de prestare a Serviciilor ce constituie obiectul prezentului Contract, regulile și procesele de interacţiune între Părţi, nivelul agreat de servicii sînt stabilite în Regulile de prestare şi utilizare a serviciilor de autentificare și autorizare de către serviciul electronic guvernamental de autentificare și control al accesului (MPass), din anexa nr. 1 la prezentul Contract, care este parte integrantă a acestuia.
Lista sistemelor informaționale a Beneficiarului care se integrează cu serviciul (MPass) este stabilită în anexa nr. 2 la prezentul Contract, care este parte integrantă a acestuia.
Părțile convin să recunoască reciproc certificatele cheilor publice în realizarea prevederilor prezentului Contract în conformitate cu legislația Republicii Moldova.
Preţul Serviciilor este stabilit conform metodologiei de calculare a tarifelor la serviciile prestate contra plată de către Prestator, aprobate de Guvern şi publicate pe site-ul Prestatorului și constituie 10800,00 (zece mii opt sute) MDL anual, pentru fiecare sistem informațional al Beneficiarului, integrat cu serviciul MPass.
Costul serviciilor se achită de Beneficiar către Prestator, în termen de 15 zile de la semnarea prezentului Contract, de la modificarea acestuia prin integrarea unui nou sistem informațional sau de la data prelungirii termenului Contractului, la contul acestuia cu următoarele date bancare: Trezoreria de Stat, codul băncii: TREZMD2X, Cod IBAN: XX00XXXXXX000000X00000XX.
Pentru achitarea cu întîrziere a plății pentru serviciile prestate, conform prezentului Contract, se percepe o penalitate de 0,1% din suma restantă, calculată pentru fiecare zi de întîrziere.
V. ORDINEA DE PRESTARE A SERVICIILOR
În scopul prestării și utilizării serviciilor, Prestatorul și Beneficiarul interacţionează exclusiv prin intermediul persoanelor responsabile desemnate. Procedura de desemnare a persoanelor responsabile este stabilită în anexa nr. 1 la prezentul Contract.
Ordinea de solicitare, prestare, accesare, utilizare şi suspendare a serviciilor este stabilită în anexa nr. 1 la prezentul Contract.
În scopul realizării prevederilor prezentului Contract, Prestatorul are următoarele obligații:
să asigure funcționarea serviciului MPass în strictă conformitate cu anexa nr. 1 la prezentul Contract;
să desemneze persoane responsabile de interacţiunea cu Beneficiarul, conform anexei nr. 1 la prezentul Contract;
să informeze Beneficiarul despre vulnerabilităţile în sistemele Beneficiarului ce se bazează pe serviciile prestate conform prezentului Contract, imediat ce asemenea vulnerabilităţi devin cunoscute Prestatorului;
să asigure funcţionarea eficientă a Serviciului MPass, inclusiv respectarea legislaţiei privind protecţia datelor cu caracter personal, securitatea, arhivarea, precum şi monitorizarea şi evaluarea performanţelor Serviciilor;
să acorde Beneficiarului suport metodologic pentru integrarea serviciilor acestuia cu Serviciul MPass.
În scopul realizării prevederilor prezentului Contract, Beneficiarul are următoarele obligaţii:
să utilizeze serviciile în strictă conformitate cu anexa nr. 1 la prezentul Contract;
să asigure capacitatea tehnică şi organizatorică ce ar permite utilizarea eficientă și securizată a serviciului MPass;
să desemneze persoane responsabile pentru interacţiunea cu Prestatorul;
să asigure interacţiunea persoanelor sale responsabile cu Prestatorul, conform anexei nr. 1 la prezentul Contract;
să informeze imediat Prestatorul despre vulnerabilităţile serviciilor, din momentul cînd asemenea vulnerabilităţi îi devin cunoscute;
să ofere Prestatorului, la solicitare, informaţia privind utilizarea serviciilor în scopul îmbunătăţirii calităţii acestora;
să solicite setul minim de atribute de identitate, inclusiv cele care constituie date cu caracter personal, necesare și suficiente pentru prestarea serviciilor sale.
VI. RESPONSABILITĂŢILE ŞI DREPTURILE PĂRŢILOR
Pentru nerespectarea angajamentelor asumate prin prezentul Contract, Prestatorul şi Beneficiarul poartă răspundere în conformitate cu legislaţia Republicii Moldova.
Prestatorul este responsabil pentru:
activităţile și acţiunile ce îi revin conform prevederilor prezentului Contract, precum şi pentru inacţiunile admise;
acţiunile şi inacţiunile persoanelor responsabile desemnate, în privinţa prestării serviciilor prevăzute de prezentul Contract şi în raport cu angajamentele asumate.
Beneficiarul este responsabil pentru:
activităţile și acţiunile ce îi revin conform prevederilor prezentului Contract, precum şi pentru inacţiunile admise;
acţiunile şi inacţiunile persoanelor responsabile desemnate, în privinţa prestării serviciilor prevăzute de prezentul Contract şi în raport cu angajamentele asumate;
veridicitatea şi corectitudinea datelor conţinute în documentele emise în procesul de prestare a serviciilor care fac obiectul prezentului Contract;
modul în care serviciile sînt utilizate de către Beneficiar şi persoanele autorizate ale acestuia, precum şi pentru toate consecinţele utilizării acestora;
prelucrarea datelor cu caracter personal obţinute în procesul utilizării serviciului MPass, în conformitate cu legislația privind protecţia datelor cu caracter personal.
Prestatorul are dreptul:
să suspende prestarea serviciilor în situaţii de incidente la scară sau situaţii de criză, pentru un termen de pînă la 3 zile lucrătoare, cu informarea Beneficiarului despre cauzele sistării serviciului şi termenele de reluare a acestuia. În cazul în care serviciul nu poate fi reluat în termenele stabilite, Părţile vor colabora în vederea identificării soluţiilor de alternativă;
să suspende prestarea serviciilor în cazul în care continuarea prestării acestora implică riscuri semnificative de securitate pentru resursele informaţionale de stat, cu notificarea concomitentă a Beneficiarului;
să suspende prestarea serviciilor în cazul în care Beneficiarul nu a achitat prețul Contractului conform capitolului V din prezentul Contract;
să solicite şi să obţină de la Beneficiar informaţie de feedback privind serviciile utilizate.
Beneficiarul are dreptul:
să utilizeze serviciul MPass pentru autentificarea utilizatorilor în oricare din sistemele sale informaționale;
să administreze lista serviciilor sale integrate cu serviciul MPass și proprietățile acestora, utilizînd mecanismele de autoservire;
să înainteze Prestatorului pretenții privind serviciile acordate.
VIII. CONFIDENŢIALITATEA INFORMAŢIEI
Fiecare Parte îşi asumă obligaţia de a păstra confidenţialitatea informaţiei obţinute în legătură cu şi în urma executării obligaţiilor asumate conform prezentului Contract. Orice informație parvenită de la Beneficiar este confidențială, iar divulgarea acesteia de către Prestator, cu depășirea cadrului legal, va atrage răspunderea acestuia.
Părţile se obligă să asigure protecţia informaţiei, inclusiv a datelor cu caracter personal, conform prevederilor legislaţiei în vigoare şi conform celor mai bune practici în domeniu.
Informaţia, documentaţia şi rezultatele ce poartă caracter confidenţial pot fi consultate doar de persoanele cu drept de acces la aceste informaţii, cu respectarea prevederilor legislaţiei în vigoare.
În cazuri particulare, în scopul derulării prezentului Contract, Părţile pot conveni de comun acord privitor la oferirea informaţiei reprezentanţilor autorităţilor publice, precum şi altor organizaţii implicate în realizarea prezentului Contract.
Toate cheltuielile legate de integrarea serviciilor cu plată ale Beneficiarului în serviciul MPass, inclusiv modificarea sistemelor informaţionale ale Beneficiarului, asigurarea canalelor securizate de comunicare, precum şi alte cheltuieli aferente de conectare sînt suportate de către Beneficiar.
X. JUSTIFICAREA NEEXECUTĂRII DATORITĂ UNUI IMPEDIMENT
Neexecutarea obligațiilor asumate în baza prezentului Contract, se justifică numai în cazul intervenirii unui impediment semnificativ în afara controlului Părților, care nu poate fi în mod rezonabil evitat sau depășit, sau consecințele căruia nu pot fi în mod rezonabil evitate sau depășite.
În cazul în care impedimentul justificator este temporar, neexecutarea este justificată doar pe durata existenței impedimentului.
Partea care se confruntă cu un impediment care justifică neexecutarea, are obligația de a notifica cealaltă parte despre impediment și efectele lui asupra capacității de a executa în termen de cel mult 5 (cinci) zile.
Impedimentul justitficator nu exonerează Părțile de plata despăgubirilor dacă impedimentul justificator a apărut după neexecutarea obligației, cu excepția cazului când Partea respectivă nu ar fi putut, oricum, din cauza impedimentului, să beneficieze de executarea obligației.
Neînţelegerile şi litigiile apărute între Părţi în legătură cu prezentul Contract se soluţionează pe calea negocierilor directe dintre Părți.
Procedura prealabilă de soluționare amiabilă a litigiilor, pa calea negocierilor directe, nu limitează dreptul Părților de a se adresa ulterior acestei proceduri instanței judecătorești.
XII. TERMENUL DE VALABILITATE, MODIFICAREA
ŞI REZOLUȚIUNEA CONTRACTULUI
Prezentul Contract intră în vigoare la momentul semnării lui şi este valabil pe termen de 1 (un) an.
Termenul prezentului Contract se prelungeşte automat pe perioade succesive de 1 (un) an, dacă niciuna dintre părți nu a notificat cealaltă parte despre intenția de a înceta relațiile contractuale cu cel puțin 90 (nouăzeci) de zile calendaristice înainte de expirarea termenului contractului.
Modificările cadrului normativ în vigoare vor servi drept temei de modificare a prevederilor prezentului Contract.
Modificarea prevederilor prezentului Contract se efectuează doar cu consimţămîntul în scris al ambelor Părţi, întocmite sub formă de acorduri adiţionale, care constituie părţi integrante ale prezentului Contract şi sînt valabile dacă sînt semnate de persoanele împuternicite ale ambelor Părţi.
Oricare dintre Părţi are dreptul la rezoluțiunea prezentului Contract, înştiinţînd cealaltă Parte cu cel puţin 30 (treizeci) de zile calendaristice înaintea rezoluțiunii. În caz de rezoluțiune a Contractului, toate obligaţiile care trebuiau să fie îndeplinite pînă la rezoluțiune urmează să fie îndeplinite în volum deplin şi în conformitate cu prevederile prezentului Contract.
Prezentul Contract este întocmit în limba română și este semnat electronic de ambele Părți.
Toate anexele, acordurile adiţionale, specificaţiile şi alte acte anexate la prezentul Contract reprezintă părţi integrante ale Contractului şi devin obligatorii odată cu semnarea lor de către reprezentanţii autorizaţi ai Părţilor.
În cazul reorganizării sau schimbării denumirii Părţilor, funcţiile lor privind executarea prevederilor prezentului Contract vor fi preluate de către respectivii succesori în drepturi.
În caz de reorganizare, schimbare a adresei, numerelor de telefon, fax, a locului livrării şi a altor date indicate în prezentul Contract, Partea la care s-au făcut astfel de schimbări este obligată să anunţe cealaltă Parte despre acestea, în scris, în decurs de 7 zile de la momentul apariţiei schimbărilor.
În soluționarea chestiunilor care nu sînt reglementate de prezentul Contract, Părţile se vor conduce de prevederile legislaţiei în vigoare a Republicii Moldova.
XIII. adresa ȘI DATELE BANCARE ALE părţilor
PRESTATOR |
BENEFICIAR |
Instituția Publică „Agenția de Guvernare Electronică” |
|
Adresa poştală: mun. Chişinău, str. Pușkin, 42 B, MD-2012 |
Adresa poştală: |
Telefon: (x000) 00 00 00 00 |
Telefon: |
E-mail: xxxxxx@xxxx.xx |
E-mail: |
Banca:Ministerul Finanțelor, Trezoreria de Stat |
Banca: |
Cod bancă: TREZMD2X |
Cod bancă: |
Cod IBAN: XX00XXXXXX000000X00000XX |
Cod IBAN: |
IDNO/Cod fiscal: 1010600034203 |
IDNO/Cod fiscal: |
PRESTATOR |
BENEFICIAR
|
(semnat electronic) Xxxx XXXXXXX, Director
|
(semnat electronic) , Director
|
Anexa nr. 1 la Contractul nr. 3009- din 2021 privind prestarea serviciilor de autentificare și autorizare prin serviciul electronic guvernamental de autentificare și control al accesului (MPass)
REGULILE
de prestare și utilizare a serviciilor de autentificare și autorizare de către serviciul electronic guvernamental de autentificare și control al accesului (MPass)
Scopul prezentelor Reguli este de a stabili nivelul de calitate la prestarea serviciului MPass, procesele de interacțiune a Prestatorului cu Beneficiarul în vederea prestării și utilizării Serviciilor, precum și responsabilitățile individuale ale Prestatorului și Beneficiarului în cadrul acestor procese.
Prezentele Reguli sînt anexă la Contract, sînt parte integrantă a acestuia și asigură cadrul funcțional pentru prestarea Serviciilor de către Prestator și utilizarea acestora de către Beneficiar.
Conform Contractului, ambele Părți sînt obligate să respecte și să aplice prezentele Reguli la prestarea și utilizarea Serviciilor.
2. Termeni, definiții și abrevieri
Principiul „cel mai bun efort” – situație în care Prestatorul depune toată diligența în vederea prestării Serviciilor la cea mai înaltă calitate posibilă, fără a garanta conformarea la parametri de calitate prevăzuți în prezentele Reguli;
orele de lucru – intervalul de timp cuprins intre orele 8:00 si 17:00 în zilele de lucru conform legislației Republicii Moldova;
SSC – Serviciul Suport Clienți;
STAAP (RTAAP) – Sistemul/Structura (Reţeaua) telecomunicaţională a autorităţilor administraţiei publice;
RTO – timpul obiectiv pentru restabilire;
RPO – momentul obiectiv pentru restabilire.
3.1. Perioada de disponibilitate
Serviciile sînt disponibile 7 zile pe săptămînă, cu program continuu. Perioada garantată pentru nivelul agreat de disponibilitate a Serviciilor este între orele 8 şi 20 în zilele lucrătoare. În afara acestei perioadei, Prestatorul va asigura disponibilitatea Serviciilor în baza principiului „cel mai bun efort”.
3.2. Nivelul de disponibilitate
Nivelul de disponibilitate a Serviciilor stabilește timpul de funcționare/nefuncționare a Serviciilor prestate și nivelul de performanță garantată a acestora. Nivelul de disponibilitate a Serviciilor este definit de parametrii ce urmează.
Nivelul garantat de disponibilitate a Serviciilor este de minimum 99,5% mediu lunar în perioada garantată de disponibilitate. Aceasta înseamnă că, pe parcursul unei luni, timpul cumulativ de inaccesibilitate neplanificată a Serviciilor în perioada garantată de disponibilitate, nu va depăşi 3,6 ore. Timpul acesta nu include lucrările planificate de mentenanţă.
Serviciul MPass se consideră disponibil dacă funcționalitatea de autentificare și autorizare poate fi accesată de către utilizatorii finali. Timpul de răspuns la interpelările de accesare a Serviciului MPass nu va depăși 3 secunde calculat la server (timpul nu include latențele de rețea).
3.3. Nivelul de accesibilitate
Serviciile pot fi accesate de Beneficiar şi de utilizatorii săi finali prin intermediul rețelei Internet. Este responsabilitatea Beneficiarului şi a utilizatorului final să asigure conexiunea sa la Internet.
3.4. Continuitate și restabilire
Prestatorul implementează proceduri de continuitate menite să asigure posibilitatea restabilirii disponibilității Serviciilor în situații de incident, conform cerințelor din tabelul 1.
Tabelul 1
Denumirea componentei |
Tipul copierii de rezervă |
Periodicitatea de creare |
Perioada de păstrare |
Locul de stocare |
Serviciul Mpass |
Deplin
|
Săptămînal |
3 săptămîni |
Centrul de date
|
Incremental |
Zilnic |
7 zile |
Centrul de date |
În cazul unor incidente care au afectat integritatea datelor Serviciului MPass, Prestatorul va asigura restabilirea serviciului după cum urmează:
timpul obiectiv pentru restabilire (RTO) – nu mai mult de 4 ore;
momentul obiectiv pentru restabilire (RPO) – 1 zi.
Timpul obiectiv pentru restabilire, specificat mai sus, este valabil în perioada orelor de lucru. Prestatorul va asigura, în afara orelor de lucru, disponibilitatea Serviciilor în baza principiului „cel mai bun efort”.
Lucrări de mentenanță
Pentru menținerea nivelului agreat al Serviciilor, Prestatorul efectuează lucrări de mentenanță. Tipul lucrărilor de mentenanță și angajamentele Prestatorului privind notificarea Beneficiarului, perioada și durata acestora sînt stabilite în tabelul 2.
Tabelul 2
Tipul lucrărilor de mentenanță |
Notificare Beneficiar |
Perioadă și durată lucrări |
Lucrări de mentenanță ordinare |
Cu 5 zile lucrătoare în prealabil |
Durata acestor lucrări nu va depăși 4 ore |
Lucrări de mentenanță majore |
Cu 10 zile lucrătoare în prealabil |
Durata acestor lucrări nu va depăși 24 ore |
Lucrări de mentenanță urgente, neefectuarea imediată a cărora poate conduce la indisponibilitatea serviciilor sau poate afecta funcționarea acestora |
Cu notificarea imediat ce a fost decisă inițierea lor |
Pot fi efectuate în orice perioadă. Durata acestor lucrări nu va depăși 2 ore. Rezultatele efectuării lucrărilor vor fi comunicate Beneficiarului la cerere |
Prestatorul efectuează lucrările de mentenanță cu impact minim asupra parametrilor de funcționalitate și disponibilitate a Serviciilor. Prestatorul comunică Beneficiarului prin notificare perioada lucrărilor.
4.1. Xxxxxxxx responsabile
Prestatorul desemnează o persoană responsabilă de interacțiunea cu Beneficiarul și îl informează prin scrisoare oficială despre persoana desemnată și informația de contact a acesteia (numele, prenumele, funcţia, nr. telefon, e-mail etc.), în termen de maximum 3 zile lucrătoare de la semnarea Contractului. Schimbarea persoanei responsabile se face conform aceleiași proceduri.
Beneficiarul desemnează o persoană responsabilă de interacțiunea cu Prestatorul și îl informează prin scrisoare oficială despre persoana desemnată și informația de contact a acesteia (numele, prenumele, funcţia, nr. telefon, e-mail etc.), în termen de maximum 3 zile lucrătoare de la semnarea Contractului. Schimbarea persoanei responsabile se face conform aceleiași proceduri.
4.2. Serviciul Suport Clienți
Suportul operațional la utilizarea Serviciilor este asigurat de către Prestator prin intermediul Serviciului Suport Clienți (SSC). Beneficiarul poate contacta SSC în următoarele scopuri:
pentru raportarea unui incident sau a unei probleme legate de utilizarea Serviciilor;
pentru a solicita realizarea anumitor activități și acțiuni ce sînt în responsabilitatea Prestatorului conform prezentului Contract;
pentru a solicita informație și consultanță în vederea utilizării Serviciilor.
Prestatorul creează conturi de utilizator în cadrul Sistemului Service Desk (SSD) pentru persoanele desemnate de Beneficiar. Pentru fiecare persoană responsabilă vor fi expediate datele de acces la SSD. Persoanele responsabile ale Beneficiarului accesează SSD şi modifică parola iniţial stabilită de Prestator. În cazul în care asemenea conturi sînt deja deţinute de persoanele responsabile, această etapă este omisă.
Toate acţiunile în cadrul SSD realizate cu utilizarea conturilor deţinute de persoanele responsabile ale Beneficiarului sînt atribuite şi asumate exclusiv de Beneficiar.
Prestatorul poate elabora, menţine în stare actuală şi pune la dispoziţia Beneficiarului ghiduri de utilizator pentru serviciul MPass. Altă informaţie de suport privind cele mai frecvente întrebări, probleme şi soluţii utilizator poate fi de asemenea pusă la dispoziţia Beneficiarului.
În cazul în care Beneficiarul întîmpină dificultăţi de orice natură la utilizarea Serviciului MPass, acesta poate întreprinde, în ordinea indicată, următoarele acţiuni:
să consulte ghidurile utilizatorului în vederea asigurării corectitudinii acţiunilor sale şi a utilizatorilor săi pentru a identifica eventualele soluţii;
să consulte altă informaţie de suport pusă la dispoziţie de Prestator (de exemplu, pe pagina web a SSC);
să apeleze SSC.
Prestatorul oferă Beneficiarului posibilitatea de a contacta SSC prin următoarele modalități:
transmiterea interpelărilor prin interfaţa web a SSD: xxxxx://xxxxxxx-xxxx.xxx.xx;
expedierea mesajelor de e-mail la adresa: xxxxxx.xxxxx@xxx.xx;
efectuarea apelurilor telefonice la numărul de telefon: 000 000 000.
Programul de lucru al SSC este conform orelor de lucru definite de prezentele Reguli.
Toate interpelările Beneficiarului se înregistrează în SSC, operat de Prestator.
Beneficiarul deţine acces la informaţia relevantă pentru el din SSD, inclusiv: solicitări pentru servicii, solicitări de informaţie, incidente înregistrate, rapoarte privind nivelul serviciilor. Beneficiarul poate accesa SSD prin intermediul persoanelor responsabile desemnate. Prestatorul pune la dispoziţia persoanelor respective ghidurile de utilizare a SSD. Persoanele responsabile ale Beneficiarului se conduc la accesarea SSD de aceste ghiduri.
4.3.1. Clasificarea incidentelor
Incident aferent Serviciilor este considerat orice eveniment neplanificat ce a afectat sau ar fi putut afecta funcţionalitatea, disponibilitatea și indicatorii de performanță ai Serviciilor.
Prestatorul și Beneficiarul conlucrează strîns în vederea prevenirii incidentelor și în vederea soluționării operative a celor produse pentru a minimiza impactul acestora asupra Serviciilor. Efortul și prioritatea acordată pentru soluționarea unui incident trebuie să țină cont de regulile stabilite la acest capitol.
Orice incident este clasificat din punct de vedere al impactului și al urgenței. Impactul incidentului caracterizează consecințele acestuia asupra disponibilității și performanței Serviciilor. Urgența incidentului caracterizează operativitatea cu care acesta trebuie soluționat, pentru a minimiza impactul incidentului asupra Beneficiarului.
Prioritatea de escaladare și soluționare a incidentelor se stabilește în funcție de impactul și urgența incidentului. Algoritmul aplicat pentru stabilirea priorității unui incident este definit în tabelele 3, 4 și 5.
Tabelul 3
Stabilirea priorității de soluționare a incidentelor
Gradul de urgenţă al incidentului |
Nivelul impactului incidentului |
|||
Înalt |
Mediu |
Redus |
||
Urgență |
Înalt |
Critic |
Înalt |
Mediu |
Mediu |
Înalt |
Mediu |
Redus |
|
Redus |
Mediu |
Redus |
Neglijabil |
|
Tabelul 4
Evaluarea urgenței incidentului
Gradul de urgenţă |
Descrierea gradului de urgenţă |
Înalt |
Un incident este estimat ca avînd nivelul urgenței „Înalt” în una sau mai multe din următoarele cazuri:
|
Mediu |
Un incident este estimat ca avînd nivelul urgenței „Mediu” în una sau mai multe din următoarele cazuri:
|
Redus |
Un incident este estimat ca avînd nivelul urgenței „Redus” în una sau mai multe din următoarele cazuri:
|
Tabelul 5
Evaluarea impactului incidentului
Nivelul impactului |
Descrierea nivelului impactului |
Înalt |
Un incident este estimat ca avînd nivelul impactului „Înalt” în una sau mai multe din următoarele cazuri:
|
Mediu |
Un incident este estimat ca avînd nivelul impactului „Mediu” în una sau mai multe din următoarele cazuri:
|
Redus |
Un incident este estimat ca avînd nivelul impactului „Redus” în una sau mai multe din următoarele cazuri:
|
4.3.2. Raportarea și soluționarea incidentelor
Orice incident aferent Serviciilor este raportat de Beneficiar către SSC, conform procedurilor stabilite la capitolul Serviciul Suport Clienți. În toate cazurile de incident, modalitatea preferată de raportare a unui incident este prin intermediul SSD. Excepţie face cazul cînd SSD nu este disponibil pentru persoanele responsabile ale Beneficiarului. În acest caz, incidentul se raportează prin e-mail sau apel telefonic către SSC.
Prestatorul reacționează la incidentele raportate de Beneficiar, conform regulilor din tabelul 6. Regulile se aplică pentru perioada orelor de lucru. În afara orelor de lucru, soluționarea incidentelor se bazează pe principiul „cel mai bun efort”.
Tabelul 6
Soluţionarea incidentelor în funcţie de prioritatea lor
Prioritatea incidentului |
Timpul de reacţie a Prestatorului |
Timpul de soluţionare |
Critică |
5 minute |
cel mult 2 ore |
Înaltă |
15 minute |
cel mult 4 ore |
Medie |
1 oră
|
cel mult 8 ore |
Redusă |
2 ore
|
pînă la începutul următoarei zile de lucru |
Neglijabilă |
4 ore |
Cel mai bun efort |
La raportarea unui incident, Beneficiarul stabileşte nivelul impactului şi nivelul urgenţei soluţionării incidentului, în baza regulilor de clasificare a incidentului. Ulterior, prioritatea de soluţionare a incidentului este determinată conform algoritmului de la secţiunea „Clasificarea incidentelor”.
SSC al Prestatorului poate contacta persoana ce a raportat incidentul pentru a preciza informaţia oferită de Beneficiar. De comun acord cu aceasta, Prestatorul poate revizui nivelul impactului şi nivelul urgenţei soluţionării incidentului. Beneficiarul are, de asemenea, posibilitatea să revizuiască ulterior clasificarea stabilită iniţial. Revizuirea poate fi necesară în funcţie de progresele soluţionării incidentului.
Prestatorul investighează cauza incidentului şi identifică măsurile necesare a fi întreprinse pentru soluţionarea acestuia. Pe tot parcursul soluţionării incidentului, Prestatorul oferă Beneficiarului informaţia privind progresele făcute în vederea soluţionării incidentului.
Persoanele responsabile ale Prestatorului pot solicita implicarea persoanelor responsabile ale Beneficiarului la soluţionarea incidentului. Conlucrarea este necesară în vederea diminuării impactului incidentului şi soluţionării operative a acestuia.
Un incident se consideră soluţionat atunci cînd serviciul este restabilit pentru Beneficiar, la nivelul stabilit conform prezentelor Reguli. După soluţionarea incidentului, SSC al Prestatorului modifică statutul incidentului în cadrul SSD și informează Beneficiarul despre acest fapt. În cazul în care nu este de acord cu nivelul de soluţionare a incidentului, Beneficiarul poate solicita deschiderea repetată a incidentului. În caz contrar, incidentul se consideră închis.
Toate incidentele raportate de Beneficiar sînt înregistrate în cadrul SSD. În SSD este păstrată informaţia privind istoria acţiunilor aferente gestiunii incidentului, pînă la soluţionarea completă a acestuia. Beneficiarul poate accesa Registrul incidentelor raportate şi vizualiza informaţia istorică aferentă gestiunii acestora.
Prestatorul poate utiliza informaţia privind incidentele produse în scopul îmbunătăţirii calităţii serviciilor şi neadmiterii repetării incidentelor.
Prestatorul încurajează Beneficiarul să raporteze orice incident sau suspiciune de incident. Acest fapt permite îmbunătăţirea continuă a nivelului serviciilor prestate.
4.3.3. Escaladarea incidentelor
În cazul în care un incident nu poate fi soluționat în timpul agreat, Părțile pot escalada incidentul la un nivel mai înalt de autoritate. Părțile vor conveni de comun acord formarea grupurilor mixte de lucru și componența nominală a acestora, pentru a interveni în soluționarea operativă a incidentului.
În mod preferenţial, comunicarea dintre Părţi se va face prin intermediul SSD oferit de Prestator. Beneficiarul poate însă, la discreţia sa, să contacteze prin e-mail sau telefon persoana de contact a Prestatorului. De asemenea, poate decide expedierea scrisorilor oficiale pe adresa conducerii Prestatorului. Conţinutul mesajelor şi scrisorilor expediate se pot referi la: propuneri privind îmbunătăţirea serviciilor, propuneri privind optimizarea interacţiunii dintre Părţi, reclamaţii privind nivelul serviciilor, solicitări de informaţie etc.
Prestatorul poate, la rîndul său, să intervină cu informaţie şi solicitări către Beneficiar. Acestea pot fi adresate persoanelor responsabile ale Beneficiarului sau conducerii Beneficiarului. Prestatorul este în drept să solicite opinia Beneficiarului privind serviciile utilizate, în scopul îmbunătăţirii calităţii serviciilor şi experienţei Beneficiarului în utilizarea serviciilor.
La toate mesajele şi scrisorile expediate între Părţi, acestea se angajează să ofere un răspuns, în cazul în care acesta este solicitat, în cel mult 5 zile lucrătoare.
Prestatorul elaborează şi menţine în stare actuală documentaţia tehnică aferentă Serviciului MPass. Documentaţia conţine suficientă informaţie pentru ca echipa de dezvoltatori soft ai Beneficiarului să poată elabora interfeţele de integrare a sistemelor acestuia cu Serviciul MPass.
Prestatorul va informa Beneficiarul despre noile versiuni şi modificările importante la documentaţia tehnică aferentă Serviciului MPass destinată Beneficiarului.
Pentru efectuarea testărilor funcţionale ale Serviciului MPass şi integrarea sistemelor Beneficiarului cu Serviciul MPass, Prestatorul pune la dispoziţia Beneficiarului un mediu de test pentru Serviciul MPass. Mediul de test va putea fi utilizat de Beneficiar în următoarele cazuri:
la înregistrarea unui nou serviciu public în cadrul Serviciului MPass, pentru efectuarea testărilor;
la apariţia unor probleme semnificative în mediul de producţie. În aceste situaţii, utilizarea mediului de testare poate fi solicitată atît de Beneficiar, cît şi de Prestator;
la implementarea modificărilor importante pentru Serviciul MPass.
Interacțiunea cu mediul de testare al Serviciului MPass se face în mod similar cu interacțiunea cu mediul de producție. Certificatele digitale utilizate pe mediul de testare pentru interacțiunea cu MPass trebuie să fie diferite de cele utilizate în mediul de producţie.
Obţinerea şi utilizarea corectă a certificatelor digitale este responsabilitatea Beneficiarului.
5.3. Implementarea modificărilor pentru Serviciul MPass
Prestatorul poate implementa, în caz de necesitate, modificări de infrastructură sau funcţionale aferente Serviciului MPass. Aceste modificări pot necesita testarea prealabilă a implementării atît în mediul de testare, cît și în mediul de producţie. Prestatorul va informa cu 5 zile lucrătoare în prealabil despre necesitatea efectuării testelor şi va comunica Beneficiarului planul de testare.
Beneficiarul este obligat să participe la testele iniţiate de Prestator, conform planului de testare.
6. Prestarea serviciilor MPass
6.1. Înregistrarea serviciului public în cadrul Serviciului MPass
Înregistrarea beneficiarului și a serviciilor acestora în cadrul serviciului MPass se efectuează în conformitate cu Regulile de integrare a beneficiarilor serviciului MPass.
Prestatorul asigură buna funcţionare şi disponibilitatea Serviciului MPass la nivelul stabilit.
Funcţiile disponibile în cadrul Serviciului MPass pot fi ulterior completate/modificate de către Prestator, conform procedurilor stabilite de prezentele Reguli.
6.3. Soluţionarea divergenţelor
Orice divergenţe ivite între Părţi vor fi soluţionate cu efort comun şi în strînsă conlucrare. În acest scop, vor fi aplicate următoarele reguli:
a) Părţile vor forma un grup comun de lucru în scopul soluţionării divergenţelor. Fiecare Parte va delega cel puţin 2 persoane în grupul de lucru. De comun acord, în grupul de lucru pot fi acceptaţi reprezentanţi ai părţilor terţe, inclusiv: Cancelaria de Stat, părţile subcontractate, experţii independenţi etc.
b) în caz de necesitate, Părţile vor pregăti probe relevante pentru aspectele ce au devenit obiect de divergenţă;
c) grupul de lucru se va convoca şi va examina obiectul divergenţelor şi probele existente la acesta. Părţile vor acţiona în conformitate cu prevederile Contractului şi prezentele Reguli în scopul clarificării tuturor aspectelor disputate şi identificării unei soluţii echitabile pentru divergenţele apărute. În acest scop, pot fi ascultate (sau obţinute în scris) opiniile membrilor externi convocaţi în grupul de lucru, precum şi rezultatele expertizei probelor electronice existente;
d) concluzia grupului de lucru va fi fixată într-un proces-verbal, semnat de membrii grupului de lucru din partea xxxxxxx Xxxxx.
Identificarea unei soluţii echitabile pentru Părţi, în limitele angajamentelor asumate de acestea, este preferabilă în toate situaţiile de divergenţă. În cazul în care o asemenea soluţie nu poate fi identificată, Părţile vor acţiona în conformitate cu prevederile Contractului.
6.4. Raportarea privind nivelul serviciilor
Prestatorul optează pentru prestarea transparentă a serviciilor către Beneficiar. În acest scop, Prestatorul va prezenta cu regularitate Beneficiarului rapoarte privind nivelul serviciilor. Structura şi conţinutul rapoartelor respective sînt stabilite de Prestator. Beneficiarul poate formula propuneri privind conţinutul rapoartelor de monitorizare a serviciilor. Rapoartele prezentate, regularitatea şi modalitatea de prezentare a acestora sînt stabilite în tabelul 7.
Tabelul 7
Tipul raportului |
Conţinutul |
Destinaţia |
Regularitatea |
Raport privind nivelul serviciilor |
Nivelul de disponibilitate a Serviciului MPass, întreruperi planificate, incidente raportate, solicitări de suport |
Raportul este prezentat în scopul asigurării transparenţei privind prestarea serviciilor la nivelul agreat de Prestator |
Lunar, în formă electronică, disponibil în SSD. La solicitarea Beneficiarului, pe suport de hîrtie |
Raport privind volumul serviciilor |
Numărul de interacțiuni a utilizatorilor finali cu Serviciul MPass, categorizate după tipul interacțiunii |
Raportul este întocmit pentru a servi la calcularea nivelului de utilizare a serviciilor Prestatorului pentru Beneficiar |
Lunar, în formă electronică, iar la solicitarea Beneficiarului, pe suport de hîrtie |
6.5. Acceptanţa serviciilor
Acceptanţa serviciilor se efectuează conform clauzelor prevăzute în Contract şi în prezentele Reguli. La acceptanţa serviciilor, Beneficiarul va analiza informaţia conţinută în rapoartele privind nivelul serviciilor. Beneficiarul poate solicita informaţie adiţională ce ar confirma datele indicate în rapoartele respective.
Beneficiarul poate oricînd sista utilizarea Serviciului MPass pentru un anumit serviciu.
Părţile agreează de comun acord să conlucreze şi să coopereze în vederea gestiunii proactive a riscurilor de securitate a informaţiei ce pot afecta serviciile Prestatorului şi sistemele Beneficiarului, dependente de serviciile Prestatorului.
Prestatorul este responsabil pentru securitatea tehnologică şi funcţională a Serviciului MPass.
Beneficiarul este responsabil pentru utilizarea securizată a serviciilor oferite de Prestator.
În cazul unui incident de securitate a informaţiei, Partea ce a constatat incidentul va informa imediat şi cealaltă Parte, dacă aceasta poate fi, de asemenea, afectată de incident. Părţile vor coordona măsurile necesare a fi întreprinse în scopul diminuării impactului incidentului şi soluţionării acestuia.
La solicitarea uneia dintre Părţi, cealaltă Parte va întreprinde acţiunile de rigoare în scopul colectării şi conservării probelor, ce pot fi necesare la investigarea incidentului şi la demonstrarea juridică a responsabilităţii pentru incident. În acest scop, se pot întreprinde următoarele acţiuni:
colectarea şi conservarea fişierelor log;
efectuarea copiilor de rezervă depline pentru sisteme, stocarea acestora în condiţii ce asigură integritatea copiilor de rezervă efectuate;
întocmirea proceselor-verbale privind efectuarea copiilor de rezervă, cu participarea a cel puţin 3 specialişti. Prezenţa reprezentanţilor celeilalte Părţi este solicitată;
menţinerea formală a registrului privind deţinerea probelor conservate (chain of custody).
După soluţionarea unui incident de securitate, Părţile vor întocmi rapoarte individuale privind gestiunea incidentului. De comun acord, vor întocmi un plan de acţiuni pentru prevenirea repetării incidentelor similare.
PRESTATOR |
BENEFICIAR
|
(semnat electronic) Xxxx XXXXXXX, Director
|
(semnat electronic) , Director
|
Anexa nr. 2 la Contractul nr. 3009- din 2021 privind prestarea serviciilor de autentificare și autorizare prin serviciul electronic guvernamental de autentificare și control al accesului (MPass)
LISTA SISTEMELOR INFORMAȚIONALE INTEGRATE CU SERVICIUL MPASS
PRESTATOR |
BENEFICIAR
|
(semnat electronic) Xxxx XXXXXXX, Director
|
(semnat electronic) , Director
|