Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
SERVISNÍ SMLOUVA
mezi
1. Kraj Vysočina
se sídlem: Žižkova 1882/57, 586 01 Jihlava
zastoupený: Ing. Vladimírem Novotným, náměstkem hejtmana
IČO: 70890749
bankovní spojení: Komerční banka, a.s.
číslo účtu: 123-6403810267/0100
(dále jen „Objednatel“)
a
2. Asseco Central Europe, a.s.
se sídlem: Budějovická 778/3a, Michle, 140 00 Praha 4
zastoupení: Ing. Davidem Šindelářem, prokuristou
IČO: 27074358
DIČ: CZ27074358
bankovní spojení: 1657960/0300
(dále jen „Poskytovatel“)
Čl. I
Účel smlouvy
1) Účelem této servisní smlouvy (dále jen „Smlouva“) je určení a definice závazku
smluvních stran ve smyslu poskytování servisních činností Poskytovatelem pro potřeby
Objednatele, a to zejména časové a věcné vymezení způsobu provádění servisních
činností Poskytovatelem, stanovení předmětu a rozsahu servisních činností, určení ceny
těchto činností a způsobu její úhrady Objednatelem a vymezení dalších náležitostí
souvisejících s právy a povinnostmi smluvních stran plynoucích z této smlouvy.
2) Smluvní strany souhlasí s touto smlouvou s vědomím, že její plnění má za cíl zajistit
optimální chod informačního systému, a to za předpokladu aktivní a cílevědomé
součinnosti obou smluvních stran v intencích pravidel této smlouvy, i vlastní snahy každé
ze smluvních stran samostatně minimalizovat případné poruchy, závady a chyby
servisovaného řešení.
3) Vymezení informačního systému pro účely této Smlouvy je uvedeno v Příloze č. 1 této
Smlouvy.
Čl. II
Definice pojmů
1) Informační systém je soubor technického vybavení (servery, komunikační infrastruktura,
uživatelská pracoviště a jiné) a programového vybavení (operační systémy, databázové
a aplikační programové vybavení a jiné), jejichž zabezpečení servisu je předmětem
smlouvy.
1
2) Podporované programové vybavení (dále též „SW“) je soubor programů, jejichž
funkčnost podporuje servisní pracoviště Poskytovatele podle pravidel a zásad určených
servisní smlouvou.
3) Aktualizace programového vybavení (Update Service, Maintenance) představuje
předávání nových verzí SW modulů programového vybavení s vylepšenými funkcemi
tak, jak je výrobce programového vybavení dává k dispozici. Aktualizace programového
vybavení zajišťují jeho kompatibilitu s ostatními SW a HW komponenty informačního
systému v souvislosti s jejich vývojem.
4) Servisní podpora je služba, která zahrnuje postupně jeden nebo více způsobů podpory.
Vymezení servisní podpory pro účely této Smlouvy je uvedeno v Příloze č. 2 této
Smlouvy.
5) Místo instalace je pracoviště, kde je instalováno podporované programové nebo
technické vybavení nebo jeho část.
6) Servisní pracoviště Poskytovatele provádí všechny servisní úkony směřující k rychlému
odstranění zjištěných potíží a k zajištění provozuschopnosti podporovaného
programového nebo technického vybavení v rozsahu a způsobem určeném
ustanoveními smlouvy.
7) Nahlášení požadavku na servisní podporu je úkon, kterým kontaktní pracovník
Objednatele sdělí servisnímu pracovišti Poskytovatele, že nastaly provozní potíže
podporovaného vybavení, které není možné vyřešit silami Objednatele, a kterým proto
žádá servisní pracoviště Poskytovatele o poskytnutí servisní podpory. Vymezení
mechanismů servisní podpory a kontaktní údaje jsou uvedeny v Příloze č. 3.
8) Odezva je první reakce servisního pracoviště Poskytovatele na požadavek Objednatele
na poskytnutí servisní podpory, která směřuje ke zjištění příčin oznámených provozních
potíží.
9) Zprovoznění technického vybavení je uvedení technického vybavení do stavu, ve kterém
vykazuje provozní vlastnosti specifikované výrobcem.
10) Servisní zásah je označení činností, které směřují k odstranění oznámených provozních
potíží podporovaného programového vybavení nebo ke zprovoznění podporovaného
technického vybavení a vykonává je pracovník servisního pracoviště Poskytovatele buď
vzdáleně (vzdáleným přístupem nebo interaktivně po telefonu) nebo osobně (v místě
instalace).
Čl. III
Určení typu servisní podpory a servisního období
1) Poskytovatel se zavazuje poskytovat Objednateli typ servisní podpory na vybavení
specifikované v Příloze č. 1, a to v rozsahu uvedeném v Příloze č. 2.
2) Objednatel souhlasí s tím, že Poskytovatel může poskytováním servisních služeb nebo
jejich částí pověřit třetí osobu. Tímto se Poskytovatel nezbavuje jakýchkoli práv,
povinností nebo závazků vyplývajících z této smlouvy.
Čl. IV.
Čas, místo a způsob plnění
1) Místem poskytnutí služeb dle této Smlouvy jsou prostory Objednatele popřípadě jiné
prostory dohodnuté mezi Objednatelem a Poskytovatelem.
2) V případě, že pro poskytnutí příslušné služby není nezbytná osobní přítomnost
pracovníků Poskytovatele, mohou být služby dle této Smlouvy provedeny na dálku
formou vzdáleného připojení nebo vzdálené konzultace.
3) Poskytovatel je oprávněn k plnění služeb dle této Smlouvy najmout třetí osoby
(subPoskytovatele) pouze po předchozím souhlasu Objednatele.
4) Časy pro plnění služeb dle této Smlouvy ze strany Poskytovatele jsou upraveny v Příloze
č. 1 této Smlouvy.
5) Podmínky pro hlášení incidentů jsou uvedeny v Příloze č. 3 této Smlouvy.
Čl. V.
Cena
1) Smluvní strany se dohodly, že cena za roční cena údržby je stanovena jako pevná a
nejvýše přípustná a činí 2 413 950,00 Kč s DPH (dále jen „cena“).
2) Cena neobsahuje ceny za servisní činnosti, které jsou v průběhu servisního období
objednány podle aktuálních potřeb Objednatele a nejsou obsaženy v této smlouvě.
3) Smluvní strany se dohodly, že cenu uhradí Objednatel na základě faktur vystavených
vždy jednou za tři měsíce ve výši ¼ ceny za jeden rok, k poslednímu dni tříměsíčního
období.
4) Daňový doklad (faktura) bude uhrazen mezibankovním převodem z účtu Objednatele
na účet Poskytovatele, který je správcem daně (finančním úřadem) zveřejněn způsobem
umožňujícím dálkový přístup ve smyslu ustanovení § 109 odst. 2 písm. c) zákona
č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů
5) Pokud se po dobu účinnosti této smlouvy Poskytovatel stane nespolehlivým plátcem ve
smyslu ustanovení § 109 odst. 3 zákona o DPH, smluvní strany se dohodly, že
objednatel uhradí DPH za zdanitelné plnění přímo příslušnému správci daně.
Objednatelem takto provedená úhrada je považována za uhrazení příslušné části
smluvní ceny rovnající se výši DPH fakturované Poskytovatelem.
6) Účastníci sjednávají možnost jednostranného zvýšení ceny ze strany Poskytovatele
v průběhu poskytování služeb, a to v případě zvýšení zákonné sazby DPH. Navýšení
sjednané ceny musí odpovídat zvýšení hodnoty DPH v závislosti na zvýšení zákonné
sazby DPH. Účastníci sjednávají možnost jednostranného snížení ceny ze strany
poskytovatele v průběhu poskytování služeb, a to v případě snížení zákonné sazby
DPH. Snížení sjednané ceny musí odpovídat snížení hodnoty DPH v závislosti na
snížení zákonné sazby DPH. Smluvní strany se dohodly, že v případě zákonné změny
sazby DPH nebudou uzavírat dodatek k této smlouvě, ale bude fakturovaná cena včetně
zákonné sazby DPH
Čl. VI.
Součinnost smluvních stran
1) Objednatel se zavazuje seznámit pracovníky Poskytovatele prokazatelným způsobem s
příslušnými vnitřními normami a směrnicemi Objednatele, jejichž znalost a dodržování
Poskytovatelem považuje Objednatel za nezbytné pro plnění této smlouvy, a učinit
taková opatření, aby při poskytování servisní podpory byla minimalizována možnost
neúmyslného porušení ustanovení těchto vnitřních norem a směrnic Objednatele ze
strany pracovníků Poskytovatele.
2) Poskytovatel se zavazuje, že pracovníci Poskytovatele budou při plnění závazků, které
vyplývají z této smlouvy, dodržovat příslušné vnitřní normy a směrnice Objednatele,
s nimiž Objednatel pracovníky Poskytovatele prokazatelně seznámil.
3) Objednatel se zavazuje vytvářet ze své strany podmínky směřující k minimalizaci
případných škod na technickém vybavení Objednatele vzniklých v souvislosti s
prováděním servisních zásahů, které může ovlivnit výhradně Objednatel.
4) Poskytovatel odpovídá za škody na technickém vybavení Objednatele, které
prokazatelně způsobili pracovníci Poskytovatele.
5) V čl. VII. Objednatel stanoví jako kontaktní osoby dva odpovědné pracovníky
Objednatele. Tyto kontaktní osoby budou oprávněny zastupovat Objednatele u
Poskytovatele při plnění ustanovení této smlouvy. Objednatel se zavazuje v případě
změn kontaktních údajů oznámit tyto změny neprodleně v písemné podobě
Poskytovateli.
6) Smluvní strany se zavazují, že kontaktní osoby si budou při plnění ustanovení této
smlouvy poskytovat vzájemnou co nejúčinnější součinnost po celou dobu od nahlášení
požadavku na servisní podporu až do uzavření servisního případu a že budou dodržovat
postupy specifikované touto smlouvou.
7) Objednatel zajistí, aby ze strany Objednatele nebyly Poskytovateli činěny překážky
pro poskytování servisní podpory. K tomu Objednatel zejména:
▪ bude poskytovat pracovníkům servisního pracoviště Poskytovatele podle jejich
pokynů po celou dobu řešení servisního případu od nahlášení požadavku na
servisní podporu až do uzavření servisního případu všechny požadované
informace (i datové soubory, kopie obrazovek a výstupy příkazů apod.) a výsledky
doporučených úkonů potřebné k diagnostice příčin a řešení oznámených
provozních potíží podporovaného vybavení,
▪ umožní pracovníkům servisního pracoviště Poskytovatele vstup na příslušné místo
provedení servisního zásahu a dle místních podmínek jim umožní i vjezd do objektu
a parkování vozidla po celou dobu trvání servisního zásahu,
▪ zajistí po celou dobu trvání servisního zásahu dosažitelnost (případně fyzickou
přítomnost) příslušných kontaktních osob Objednatele a případně i dalších
potřebných odborných pracovníků v místě instalace podporovaného vybavení a
jejich co nejúčinnější součinnost.
8) Poskytovatel se zavazuje k provádění řádné provozní údržby podporovaného
technického vybavení dle specifikace v Příloze č. 1 této smlouvy včas v termínech a v
rozsahu předepsaných výrobci tohoto vybavení.
9) Poskytovatel může poskytnout Objednateli odbornou pomoc nebo asistenci i při řešení
jiných úkolů než bylo možné smlouvou specifikovat (např. odbornou pomoc při zajištění
správné funkčnosti jiného vybavení Objednatele než dle specifikace v Příloze č. 1 této
smlouvy). Přesné podmínky a postupy odborné pomoci nebo asistence budou
dohodnuty mezi Objednatelem a Poskytovatelem pro každý takový případ zvlášť podle
rozsahu požadavku Objednatele a aktuálních možností Poskytovatele.
10) Poskytovatel poskytne Objednateli odbornou pomoc formou revize technického stavu
podporovaných zařízení, kdykoli o takovou revizi Objednatel požádá. Objednatel v
takovém případě poskytne Poskytovateli součinnost nezbytnou pro efektivní provedení
revize. Výsledkem revize mohou být doporučení Poskytovatele na úpravy technických
zařízení, přechod na vyšší výkonnější verze zařízení případně návrh na náhradu
stávajícího zařízení zařízením jiným.
Čl. VII.
Kontaktní údaje
1) Kontaktními osobami Objednatele jsou následující osoby:
a) odpovědný pracovník: Ing. Dana Buřičová, buricova.d@kr-vysocina.cz, tel.
724650107
b) odpovědný pracovník: Ing. Michal Nachtnebel, nachtnebel.m@kr-vysocina.cz,
tel. 564602157
Čl. VIII.
Poskytování informací třetím osobám
Vzhledem k veřejnoprávnímu charakteru Objednatele Poskytovatel výslovně prohlašuje,
že je s touto skutečností obeznámen a souhlasí se zveřejněním smluvních podmínek
obsažených v této smlouvě v rozsahu a za podmínek vyplývajících z příslušných
právních předpisů, zejména zák. č. 106/1999 Sb., o svobodném přístupu k informacím,
ve znění pozdějších předpisů. Smluvní strany se zavazují, že obchodní a technické
informace, které jim byly svěřeny druhou stranou, nezpřístupní třetím osobám bez
písemného souhlasu druhé strany a nepoužijí tyto informace k jiným účelům, než je k
plnění podmínek této smlouvy. Pro účely tohoto odstavce se za ve vztahu k Poskytovateli
za třetí osoby nepovažují subPoskytovatelé a společnosti, s nimiž Poskytovatel tvoří
podnikatelské uskupení, resp. koncern.
Čl. IX.
Odpovědnost za škodu
1) Každá ze smluvních stran nese odpovědnost za škodu v rámci platných a účinných
právních předpisů a této Smlouvy. Obě smluvní strany se zavazují vyvinout maximální
úsilí k předcházení škod a k minimalizaci vzniklých škod.
2) Žádná ze smluvních stran neodpovídá za škodu, která vznikla v důsledku věcně
nesprávného nebo jinak chybného zadání, které obdržela od druhé smluvní strany.
Žádná ze smluvních stran není odpovědná za škodu vzniklou v důsledku prodlení
druhé smluvní strany nebo v důsledku nastalých okolností vylučujících odpovědnost
dle občanského zákoníku.
3) Smluvní strany se zavazují upozornit druhou smluvní stranu bez zbytečného odkladu
na vzniklé okolnosti vylučující odpovědnost bránící řádnému plnění této Smlouvy.
Smluvní strany se zavazují vyvinout maximální úsilí k odvrácení a překonání okolností
vylučujících odpovědnost.
Čl. X.
Sankční ujednání
1) V případě nedodržení doby odezvy nebo jiných dohodnutých termínů Poskytovatelem
k jednotlivému případu se smluvní strany dohodly na smluvní pokutě ve výši 1 000,- Kč
za každou i započatou hodinu prodlení s tím, že nejvyšší částka takovéto smluvní pokuty
nepřesáhne částku odpovídající smluvní pokutě za pět dní. Tuto smluvní pokutu zaplatí
Poskytovatel Objednateli.
2) V případě, že Objednatel neumožní pracovníkům servisního pracoviště Poskytovatele
zahájit servisní zásah v předem dohodnutém termínu, zaniká právo Objednatele na
smluvní pokutu podle čl. VIII. odst. 1 této smlouvy. Objednatel uhradí Poskytovateli
prokazatelné náklady, které Poskytovateli v souvislosti s tím vznikly.
3) V případě, že Objednatel je v prodlení s úhradou faktury, je povinen uhradit
Poskytovateli úrok z prodlení ve výši 0,03 % z ceny dlužné částky za každý den prodlení.
Tento úrok z prodlení zaplatí Objednatel Poskytovateli.
4) V případě, že Objednatel je v prodlení s úhradou faktury, Poskytovatel na tuto
skutečnost upozorní písemným sdělením kontaktní osoby Objednatele a současně
kontaktní osobu zastupující smluvní stranu Objednatele.
5) Poskytovatel je po dobu prodlení Objednatele s uhrazením faktury oprávněn pozastavit
plnění podle této smlouvy (není povinen poskytovat Objednateli služby podle ustanovení
této smlouvy). Poskytovatel sdělí písemně kontaktním osobám uvedeným v čl. VII. této
smlouvy termín, ke kterému pozastavuje plnění podle této smlouvy a následně po
uhrazení dlužné částky Objednatelem sdělí termín převzetí úhrady, ke kterému končí
pozastavení plnění dle této smlouvy. Poskytovatel není a nemůže být po dobu
pozastavení plnění v prodlení.
6) Smluvní pokuty a úrok z prodlení jsou splatné do 30 dnů od doručení jejich vyžádání
oprávněnou smluvní stranou straně povinné. Platby budou provedeny bezhotovostním
bankovním převodem na účet oprávněné smluvní strany.
Čl. XI.
Akceptace
1) V rámci plnění předmětu Smlouvy zpracuje Poskytovatel a předloží Objednateli ke
schválení čtvrtletně výkaz vyhodnocení služby údržby a podpory systému, kde budou
uvedeny osoby, které se podílely na plnění předmětu Smlouvy, popisem jejich činností,
počtem odpracovaných hodin. Poskytovatel je povinen předložit výkaz nejpozději do 5ti
pracovních dnů po skončení příslušného období. Součástí předloženého výkazu je i
návrh sankcí.
2) Objednatel je povinen sdělit Poskytovateli případné výhrady k výkazu vyhodnocení
služby i k samotnému plnění nejpozději do 5ti pracovních dnů po obdržení výkazu dle
čl. XII. odst. 1 této Smlouvy, v opačném případě se výkaz považuje za akceptovaný.
3) Výkaz dle odst. 1 a 2 tohoto článku Smlouvy je podkladem pro výpočet penále a sankcí
dle čl. X. této Smlouvy.
Čl. XII.
Trvání smlouvy
1) Tato smlouva se uzavírá na dobu určitou, a to do 31. 12. 2024.
2) Platnost smlouvy lze ukončit písemnou dohodou podepsanou oprávněnými zástupci
obou smluvních stran
3) Kterákoliv ze smluvních stran může od této smlouvy odstoupit z důvodu podstatného
porušení povinností vyplývajících z této smlouvy. Za podstatné porušení podmínek
smlouvy smluvní strany považují:
▪ neposkytnutí servisní podpory Poskytovatelem po řádném nahlášení požadavku
Objednatelem,
▪ nedodržení doby odezvy nebo jiných dohodnutých termínů Poskytovatelem o více
jak 5 dnů,
▪ bezdůvodné přerušení prací na servisním případu Poskytovatelem,
▪ opakované nesplnění závazku Objednatele poskytnout Poskytovateli součinnost
při plnění ustanovení této smlouvy i přes písemné upozornění doručené
Objednateli,
▪ opakované neuhrazení fakturované částky Objednatelem do 30 dnů ode dne
splatnosti příslušného řádně doručeného daňového dokladu.
4) Smluvní strana je oprávněna od smlouvy odstoupit ve lhůtě 30 kalendářních dnů ode
dne, kdy se o podstatném porušení povinností dozvěděla, nejpozději však do 6 měsíců
ode dne kdy k podstatnému porušení povinností došlo. Odstoupení nabývá účinnosti
dnem prokazatelného doručení jeho písemného vyhotovení druhé smluvní straně.
5) Kterákoliv ze smluvních stran je oprávněna smlouvu vypovědět, a to i bez udání důvodu.
Výpovědní lhůta činí 30 kalendářních dnů a začíná běžet první den následující po dni,
kdy bylo písemné vyhotovení výpovědi prokazatelně doručeno druhé smluvní straně.
Čl. XIII
Bezpečnost informací
1) Poskytovatel je povinen dodržovat platnou legislativu ČR i EU, která se týká bezpečnosti
informací.
2) Poskytovatel se zavazuje dodržovat požadavky a opatření pro zajištění bezpečnosti
informací a informačních aktiv Kraje Vysočina uvedené v příloze č. 4 této smlouvy.
3) Poskytovatel je povinen zajistit plnění bezpečnostních opatření a požadavků
stanovených touto smlouvou ve stejné míře u všech případných subdodavatelů či jiných
osob, které mají přístup k informačním aktivům Kraje Vysočina prostřednictvím
Poskytovatele.
4) Poskytovatel je povinen zachovávat mlčenlivost o všech skutečnostech a informacích,
které mu byly v souvislosti s touto smlouvou nebo jejím plněním jakkoliv zpřístupněny,
předány či sděleny, nebo o nichž se jakkoliv dozvěděl, vyjma těch, které jsou v okamžiku,
kdy se s nimi zhotovitel seznámil, prokazatelně veřejně přístupné nebo těch, které se
bez zavinění Poskytovatele veřejně přístupnými stanou (dále jen „důvěrné informace“).
Poskytovatel nesmí důvěrné informace použít v rozporu s jejich účelem, nesmí je použít
ve prospěch svůj nebo třetích osob a nesmí je použít ani v neprospěch objednatele.
Povinnosti dle tohoto odstavce je Poskytovatel povinen zachovávat i po zániku této
smlouvy, vyjma případů, kdy se důvěrné informace stanou prokazatelně veřejně
přístupné bez zavinění Poskytovatele. Povinnosti dle tohoto odstavce se nevztahují na
případy, kdy je Poskytovatel povinen zveřejnit důvěrnou informaci na základě povinnosti
uložené zhotoviteli právním předpisem nebo rozhodnutím orgánu veřejné moci.
5) Poskytovatel je oprávněn sdílet informace se subPoskytovateli v míře nezbytně nutné
pro plnění smlouvy za podmínky, že subPoskytovatelé budou zavázáni mlčenlivostí
minimálně ve stejném rozsahu jako Poskytovatel.
6) Pro účely tohoto článku se ve vztahu k Poskytovateli za třetí osoby nepovažují
společnosti, s nimiž Poskytovatel tvoří podnikatelské uskupení, resp. koncern.
7) Za nesplnění kterékoliv povinnosti obsažené v tomto článku, je Objednatel oprávněn
účtovat Poskytovateli smluvní pokutu ve výši 100 000 Kč, a to za každé jednotlivé
porušení povinností obsažených v tomto článku.
Čl. XIV.
Závěrečná ustanovení
1) Pokud se poskytovatel dostane do úpadku, je Objednatel oprávněn vypovědět tuto
smlouvu. Výpovědní lhůta činí 14 dnů ode dne doručení výpovědi.
2) Poskytovatel nesmí zastavit smlouvu či její část (ručit smlouvou nebo právy ze smlouvy),
ani jinak omezit či modifikovat práva a povinnosti Objednatele vyplývající ze smlouvy.
V případě, že tak poskytovatel/zhotovitel/dodavatel učiní a třetí strana tato práva uplatní,
zaniká tato smlouva bez dalšího.
3) Pokud se Poskytovatel stane subjektem ve smyslu ustanovení článku 5k Nařízení rady
č. 833/2014 v aktuálním znění, Objednatel je oprávněn od smlouvy odstoupit
v okamžiku, kdy mu bude tato skutečnost známa. Odstoupení nabývá účinnosti dnem
doručení Poskytovateli.
4) Tato smlouva může být měněna jen formou písemných, vzestupně číslovaných dodatků
podepsaných oprávněnými zástupci obou smluvních stran.
5) Výběr Poskytovatele byl proveden v souladu s Pravidly Rady kraje Vysočina
pro zadávání veřejných zakázek č. 05/21.
6) Vztahy smluvních stran výslovně touto smlouvou neupravené se řídí obecně závaznými
právními předpisy, zejména ustanoveními občanského zákoníku.
7) Nedílnou součástí této Smlouvy jsou Příloha č. 1, 2, 3 a 4.
8) Tato smlouva byla sepsána ve dvou vyhotoveních, z nichž každé má povahu originálu.
Pro každou smluvní stranu je určeno jedno vyhotovení této smlouvy.
9) Tato smlouva nabývá platnosti dnem podpisu oprávněnými zástupci obou smluvních
stran a účinnosti dnem zveřejnění v Registru smluv. Obě smluvní strany souhlasí se
zveřejněním celého textu smlouvy včetně podpisů v Registru smluv. Zveřejnění smlouvy
v Registru smluv zajistí objednatel.
10) Smluvní strany prohlašují, že si smlouvu přečetly, že tato byla sepsána na základě jejich
pravé a svobodné vůle, nikoli v tísni a za nápadně nevýhodných podmínek, a na důkaz
toho připojují své podpisy.
Za Poskytovatele: Za Objednatele:
V Praze dne V Jihlavě dne ...............……........
David Digitálně podepsal Ing. Vladimír Digitálně podepsal
David Šindelář Ing. Vladimír Novotný
Šindelář Datum: 2023.12.14 Novotný .....................................D...a..t.u.…m:..2..0..2..3.12.20
12:48:19 +01'00'
……………………12:…49:…23 +…01…'00.' .......
Příloha č. 1
Specifikace informačního systému
Specifikace servisovaného IS – Datový sklad Kraje Vysočina, se skládá z následujících tržišť:
• registry
• statistika
• zdravotnictví
• katastr nemovitostí
• dotace
• provoz
• školství -
• doprava
• příspěvkové organizace
• metadata
• synchronizace
Logické vrstvy v datovém skladu:
• vrstva zpracování a transformace vstupních strukturovaných dat (nultá a první
vrstva)
• analytická vrstva (druhá vrstva)
• interní prezentační vrstva (třetí vrstva)
• externí prezentační vrstva (čtvrtá vrstva)
• metadatový systém (metadatová vrstva)
Příloha č. 2
Vymezení servisní podpory
Servisní podpora zahrnuje:
• základní řešení incidentů nefunkčních částí dodaného řešení – reakce následující
pracovní den od nahlášení závady a vyřešení problému do 3 dnů,
• řešení a opravu nalezených aplikačních či jiných technických zranitelností dle níže
uvedené tabulky
• hlášení požadavků prostřednictvím Service desku uchazeče odpovídajícímu metodice
ITIL
• aktualizace dodané provozní dokumentace
Kategorie bezpečnostních zranitelností a jejich řešení:
Kategorie Popis
Kritická Zranitelnost dosáhne základního skóre 7.0 – 10.0 bodů dle obecného
systému hodnocení zranitelností (otevřený standard CVSSv3 base
score).
Zahájení řešení do 12 hodin od nahlášení Poskytovateli.
Vyřešení do 2 pracovních dnů od nahlášení Poskytovateli v případě, že
se jedná o nedostatek v rámci autorsky zhotovené části informačního
systému dle Přílohy č. 1.
Střední Zranitelnost dosáhne základního skóre 4.0-6.9 bodů dle obecného
systému hodnocení zranitelností (CVSSv3 base score)
Zahájení řešení do 24 hodin od nahlášení Poskytovateli.
Vyřešení do 10 pracovních dnů od nahlášení Poskytovateli v případě, že
se jedná o nedostatek v rámci autorsky zhotovené části informačního
systému dle Přílohy č. 1.
Nízká Zranitelnost dosáhne základního skóre 0.0-3.9 bodů dle obecného
systému hodnocení zranitelností (CVSSv3 base score)
Zahájení řešení do 48 hodin od nahlášení Poskytovateli.
Vyřešení do 30 pracovních dnů od nahlášení Poskytovateli v případě, že
se jedná o nedostatek v rámci autorsky zhotovené části informačního
systému dle Přílohy č. 1.
Pozn.: Autorsky zhotovenou části informačního systému specifikovanou v rámci Přílohy č. 1 smlouvy se
pro potřeby smluvního vztahu mezi Objednatelem a Poskytovatelem rozumí dílo zhotovené dle příkazů
Objednatele. Autorsky zhotovenou částí shora definovaného informačního systému není nedostatek
v rámci základního software, technologické platformy či komunikujících částí vně informačního systému
dle Přílohy č. 1.
Příloha č. 3
Vymezení mechanismů servisní podpory a kontaktní údaje
Specifikace komunikačních metod servisní podpory
• Požadavky na řešení incidentů budou hlášeny:
o primárně prostřednictvím Service desku poskytovatele (dostupnost 7 x 24)
o v případě výpadku Service desku na níže uvedené kontakty pracovníků
poskytovatele (IT Analyst, Senior Project Manager) v pracovní dny v čase 8:00
– 16:00
• Požadavky na řešení organizačních a smluvních vztahů, eskalace problémů
s poskytováním služeb budou hlášeny:
o přímo na project managera nebo ředitele divize Public eGovernment bez
časového omezení
Detailní kontakty obou stran
Poskytovatel
Osoba a pozice Kontakt
Alexandra Brožová Telefon: +420 603 448 947
IT Analyst e-mail: alexandra.brozova@asseco-ce.com
Adresa:
Tomáš Butor Budějovická 778/3a, 140 00 Praha 4
Senior Project Manager Telefon: +420 604 195 341
e-mail: tomas.butor@asseco-ce.com
Jiří Winkler Adresa:
ředitel divize Public eGovernment Šumavská 524/31, 602 00 Brno
Telefon: +420 234 292 834
e-mail: jiri.winkler@asseco-ce.com
Adresa:
Šumavská 524/31, 602 00 Brno
Příloha č. 4
Požadavky a opatření pro zajištění bezpečnosti informací a informačních aktiv Objednatele
Bezpečnostní požadavky:
• Bezpečnost přístupových oprávnění
o Poskytovatel je povinen chránit veškeré přístupové údaje k informačním aktivům objednatele
včetně přístupů k informačním aktivům poskytovatele, které umožňují přístup k informačním
aktivům objednatele či umožnují jejich správu.
o Poskytovatel je povinen dodržovat tuto bezpečnostní politiku hesel pro výše uvedené
přístupové údaje:
▪ min. délka hesla 17 znaků
▪ složitost hesla musí splňovat minimálně 3 ze 4 kategorií
− malá písmena
− velká písmena
− číslice
− speciální znaky
▪ hesla musí být uchovávána v tajnosti, nesmí být ukládána v nezašifrované podobě (dle
bodu kryptografie)
▪ hesla nesmí obsahovat žádné informace z přihlašovacího jména (login)
▪ platnost hesla musí být maximálně 1,5 roku.
o Poskytovatel je povinen používat personifikované účty, které jsou nepřenosné na jiné osoby,
než kterým byly údaje přiděleny.
o Přístupová oprávnění lze využívat pouze pro ten účel, pro který byla zřízena.
o Pokud by Poskytovatel zřizoval přístupová oprávnění třetí straně, je Poskytovatel povinen o
této skutečnosti informovat objednatele. Objednatel má v tomto případě právo zřízení přístupu
zamítnout.
• Řízení změn
o Poskytovatel se zavazuje zaznamenávat všechny změny, které v informačním aktivu provedl.
o Poskytovatel se zavazuje vynucovat zaznamenávání změn i u případných subposkytovatelů.
o Záznam změny musí obsahovat minimálně tyto informace:
▪ Datum a čas změny
▪ Jméno osoby, která změnu provedla
▪ Název, popis a účel změny
o Objednatel si vyhrazuje právo na pravidelné informace o záznamech všech změn
provedených Zhotovitelem i případnými subZhotoviteli/subposkytovateli.
o Poskytovatel se zavazuje všechny jím provedené změny i změny případných subZhotovitelů
poskytnout zadavateli formou (provozního deníku vedeného v SW objednatele/pravidelného
měsíčního reportu).
• Řízení rizik
o Objednatel si vyhrazuje právo na informace o tom, jakým způsobem Zhotovitel řídí rizika
v souvislosti s plněním této smlouvy, tedy o tom, jakou metodiku pro řízení rizik používá, jakým
způsobem jsou rizika hodnocena a klasifikována, jakým způsobem jsou rizika ošetřována a
kdo je za řízení rizik za Zhotovitele zodpovědný.
o Poskytovatel se zavazuje řídit rizika informační bezpečnosti minimálně v následujícím
rozsahu:
▪ Identifikace a ohodnocení aktiv souvisejících s plněním této smlouvy,
▪ Identifikace, analýza a ohodnocení rizik souvisejících s plněním této smlouvy,
▪ Zvládání a monitoring rizik souvisejících s plněním této smlouvy.
• Řízení kybernetických bezpečnostních incidentů:
o Poskytovatel je povinen objednateli hlásit veškeré kybernetické bezpečnostní incidenty, které
by mohli mít nějakou souvislost s:
▪ informačními aktivy objednatele,
▪ přístupovými údaji k informačním aktivům objednatele,
▪ informacím objednatele.
o Poskytovatel je dále povinen poskytnout adekvátní součinnost při řešení kybernetických
bezpečnostních incidentů a při forenzní analýze incidentů souvisejících s informačními aktivy
Kraje Vysočina.
• Kryptografie:
Obecně
Pro šifrování, elektronické podepisování a provádění otisků dat (hashování) nesmí být
použity proprietární/uzavřené algoritmy, ale ty, které jsou považovány za standardy, jejich
funkcionalita je všeobecně známá a popsaná.
Hashovací funkce
Ukládání otisků hesel
• pro ukládání hesel uživatelů mohou být použity pouze tyto tzv. pomalé hashovací funkce:
• Argon2i
• bcrypt
• scrypt
• PBKDF2
• při hashování hesla musí být použit pseudonáhodně vygenerovaný kryptografický salt
• pro ukládání hesel nesmí být použity tzv. rychlé hashovací funkce typu MD-X, SHA-X, apod.
Elektronické podepisování e-mailů a dokumentů
• SHA-2 a vyšší
• délka otisku 256 bitů a vyšší
Ověřování integrity souborů
• SHA-2 a vyšší
• délka otisku 224 bitů a vyšší
Asymetrická kryptografie
SSL/TLS
- verze protokolu minimálně TLSv1.2 a vyšší
- konfigurace
• cipher suite musí být vybrána na základě serverem preferovaného pořadí
• vyšší priority musí mít cipher suites, které obsahují varianty asymetrických algoritmů s
eliptickými křivkami, např.:
o ECDHE musí mít vyšší prioritu než DHE
o ECDSA musí mít vyšší prioritu než DSA
• všechny EXPORT cipher suites musí být zakázány
• algoritmy a funkce pro výměnu klíčů
o algoritmus pro výměnu klíčů musí podporovat Perfect forward secrecy
• tzn., že šifrovací klíč je vyměněn mezi klientem a serverem tak, aby jej
nebylo možné získat se znalostí privátního klíče serveru, např. musí
být použit Diffie-Hellman (DH nebo ECDH) algoritmus
• a navíc se musí jednat o tzv. ephemeral Diffie-Hellman (DHE, ECDHE),
tzn., že pro každou session je generován nový set Diffie-Hellman klíčů
o délky klíčů:
• pro Diffie-Hellman (DH) - 2048 bitů a více (postupně přecházet na
3072 bitů, tam kde to bude možné)
• pro Elliptic Curve Diffie-Hellman (ECDH) – 256 bitů a více
o nesmí být použita anonymní výměna klíčů
• algoritmy a funkce pro autentizaci
o minimální délky klíčů:
• RSA - 2048 bitů (postupně přecházet na 3072 bitů, tam kde to bude
možné)
• ECDSA - 256 bitů
• algoritmy a funkce pro symetrické šifrování
o nesmí být použita hodnota NULL v cipher suites
o nesmí být použity tyto šifry:
• DES, 3DES, RC4
o minimální délka šifrovacího klíče - 128 bitů
o cipher suites s šiframi s větší délkou klíče musí mít větší prioritu v seznamu
ciphersuites než s menší délkou klíče
• MAC (Message Authentication Code)
o použití SHA funkce s minimální délkou hashe 256 bitů
o vyšší délky otisků musí mít vyšší prioritu v cipher suites
- Certifikáty dodá zadavatel
TLS cipher suites
- Doporučené cipher suites (v doporučeném pořadí), které naplňují výše zmíněné požadavky
- TLS1.3:
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
TLS_AES_128_CCM_SHA256
- TLS1.2:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256
Šifrování, podepisování a autentizace
• týká se různých technologií PKI, PGP, S/MIME, SSH, apod.
• minimální délka klíče
• algoritmus DSA – 2048 bitů (postupně přecházet na 3072 bitů, tam kde to bude možné)
• algoritmus RSA - 2048 bitů (postupně přecházet na 3072 bitů, tam kde to bude možné)
• algoritmus ECDSA - 256 bitů
• Ověřování (např. SSH klíče)
• délka klíče minimálně 2048 bitů u RSA a DSA algoritmů (postupně přecházet na 3072
bitů, tam kde to bude možné)
• délka klíče minimálně 256 bitů u algoritmů používajících eliptické křivky
Symetrická kryptografie
• nesmí být použity tyto šifry:
• DES, 3DES, RC4, Blowfish, Kasumi
• minimální délka šifrovacího klíče - 128 bitů
• pro šifru Chacha20 minimálně 256 bitů a se zatížením klíče menším než 256 GB
• nesmí být použity tyto módy pro ochranu integrity:
• HMAC-SHA1, CBC-MAC-X9.19