Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
SMLOUVA O POŘÍZENÍ nástroje XDR
Smluvní strany:
Česká republika – Ministerstvo práce a sociálních věcí
se sídlem: Na Poříčním právu 1/376, 128 00 Praha 2
IČO: 00551023
bank. spojení: Česká národní banka, pobočka Praha, Na Příkopě 28, 11503 Praha 1
č. účtu: 2229001/0710
zastoupená: Ing. Karlem Trpkošem, vrchním ředitelem sekce informačních technologií
(dále jen „Objednatel“)
a
Corpus Solutions a.s.
se sídlem: Štětkova 1683/18, 140 00 Praha 4
IČO: 25764616, DIČ: CZ25764616
společnost zapsaná v obchodním rejstříku vedeném Městským soudem v Praze,
oddíl B, vložka 5936
bank. spojení: neveřejný údaj, č. účtu: neveřejný údaj
zastoupená: Ing. Tomášem Přibylem, předsedou představenstva
(dále jen „Dodavatel“)
dnešního dne uzavřely tuto smlouvu o pořízení nástroje XDR v souladu s ustanovením § 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „občanský zákoník“) (dále jen „Smlouva“)
Smluvní strany, vědomy si svých závazků v této Smlouvě obsažených a s úmyslem být touto Smlouvou vázány, dohodly se na následujícím znění Smlouvy:
ÚVODNÍ USTANOVENÍ
Objednatel prohlašuje, že:
1.1.1 je ústředním orgánem státní správy, jehož působnost a zásady činnosti jsou stanoveny zákonem č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy České republiky, ve znění pozdějších předpisů, a
1.1.2 splňuje veškeré podmínky a požadavky v této Smlouvě stanovené a je oprávněn tuto Smlouvu uzavřít a řádně plnit závazky v ní obsažené.
Dodavatel prohlašuje, že:
1.1.3 je právnickou osobou řádně založenou a existující podle českého právního řádu,
1.1.4 splňuje veškeré podmínky a požadavky v této Smlouvě stanovené a je oprávněn tuto Smlouvu uzavřít a řádně plnit závazky v ní obsažené, a
1.1.5 ke dni uzavření této Smlouvy vůči němu není vedeno řízení dle zákona č. 182/2006 Sb., o úpadku a způsobech jeho řešení (insolvenční zákon), ve znění pozdějších předpisů, a zároveň se zavazuje Objednatele o všech skutečnostech o hrozícím úpadku bezodkladně informovat.
Objednatel oznámil dne 29. 1. 2024 uveřejněním formuláře Oznámení o zahájení zadávacího řízení ve Věstníku veřejných zakázek svůj záměr zadat veřejnou zakázku s názvem „Nástroj XDR“, ev. č. Z2024-005228 (dále jen „Veřejná zakázka“) dle zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů (dále jen „ZZVZ“). Na základě tohoto zadávacího řízení byla pro plnění Veřejné zakázky vybrána nabídka Dodavatele v souladu s ustanovením § 122 ZZVZ.
Smluvní strany prohlašují, že mají společnou snahu přispět k férovému a etickému prostředí. S cílem kultivovat prostředí tuzemského trhu tak, aby se přiblížilo vyšším standardům v oblasti obchodní, soutěžní a pracovněprávní etiky, smluvní strany učinily nedílnou součástí této Smlouvy Etický kodex (Příloha 8 této Smlouvy), v souladu, s jehož pravidly se zavazují předmět této Smlouvy plnit.
ÚČEL SMLOUVY
Účelem této Smlouvy je zajištění realizace předmětu Veřejné zakázky dle zadávací dokumentace Veřejné zakázky, tj. implementace bezpečnostního nástroje XDR (Extended Detect & Response) do prostředí Objednatele, a to v souladu s požadavky Objednatele definovanými touto Smlouvou a jejími přílohami.
Objednatel uzavírá tuto Smlouvu také s cílem naplnit legislativní požadavky zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, ve znění pozdějších předpisů a vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (zákon i vyhláška dále jen „Kybernetická legislativa“).
Dodavatel je vázán svou nabídkou předloženou Objednateli v rámci zadávacího řízení na zadání Veřejné zakázky, která se pro úpravu vzájemných vztahů vyplývajících z této Smlouvy aplikuje subsidiárně.
PŘEDMĚT SMLOUVY
Dodavatel se zavazuje:
poskytnout licence pro nástroj XDR v rozsahu dle čl. 6 této Smlouvy. Technické požadavky na funkčnost a kvalitu nástroje a související služby jsou uvedeny v Příloze 1 této Smlouvy – Technická specifikace. Rozšíření nástroje XDR na další aktiva v ICT prostředí Objednatele jsou upravena v čl. 6 této Smlouvy,
(dále také jako „Nástroj XDR“);
implementovat Nástroj XDR v rozsahu, který je uveden v odst. 6.1 této Smlouvy. Rozsah implementace je Objednatel oprávněn upravit pouze postupem v souladu s odst. 6.3 této Smlouvy. Činnosti, které Dodavatel provede v rámci implementace, jsou uvedeny v harmonogramu v Příloze 3 této Smlouvy,
(dále také jako „Základní implementace“);
poskytovat technickou podporu výrobce a technickou podporu Dodavatele na Nástroj XDR dle požadavků uvedených v Příloze 1 této Smlouvy,
(dále také jako „Technická podpora“);
poskytnout služby pro ladění reportingu Nástroje XDR v rozsahu 200 člověkodnů (dále také jen „ČD“) a dle specifikace služeb uvedené v Příloze 1 této Smlouvy,
(dále také jako „Ladění reportingu“);
na vyžádání a dle potřeb Objednatele poskytovat doplňkové služby pro oblast kybernetické bezpečnosti,
(dále také jako „Doplňkové služby“);
vytvořit exitovou strategii na přechod k jinému dodavateli stejného Nástroje XDR a poskytnutí služeb exitu, které jsou spojené se závěrečným ukončením poskytování podpory Nástroje XDR a spočívající v přípravě a předání novému dodavateli na konci smluvního vztahu podle pokynů Objednatele,
(dále také jako „Služby exitu“);
(všechny body předmětu této Smlouvy dle odst. 3.1 až 3.6 společně též jako „Předmět plnění“).
Dodavatel dále bere na vědomí, že na základě plnění této Smlouvy získá přístup k osobním údajům a k záznamům, které mohou obsahovat osobní údaje či jejich fragmenty uložené v monitorovaných systémech Objednatele. Dodavatel se zavazuje pro Objednatele jako správce osobních údajů zpracovávat osobní údaje v prostředí ICT Objednatele, a to dle podmínek stanovených v čl. 14 této Smlouvy.
Dodavatel se zavazuje poskytovat Předmět plnění za aktivní účasti členů realizačního týmu uvedeného v Příloze 4 této Smlouvy, jimiž Dodavatel prokázal svou kvalifikaci v zadávacím řízení Veřejné zakázky a jež byli hodnoceni, jejich odpovídajícími náhradníky, jež prokážou minimální kvalifikaci a dosáhnou minimálně stejného počtu bodů v hodnocení jako nahrazovaný člen realizačního týmu nebo dalšími osobami na stejných pozicích (rolích) jako členové realizačního týmu uvedení v Příloze 4 této Smlouvy při rozšíření realizačního týmu, přičemž i tyto osoby musí prokázat minimální kvalifikaci a dosáhnout minimálně stejného počtu bodů v hodnocení jako člen realizačního týmu na stejné pozici (roli). Jakákoliv dodatečná změna členů realizačního týmu či jeho rozšíření o nového člena musí být předem projednána a písemně schválena Objednatelem. Objednatel bezdůvodně neodepře svůj souhlas se změnou člena realizačního týmu či jeho rozšířením, pokud tato osoba bude disponovat požadovanými minimálními znalostmi a odbornou kvalifikací dle požadavků Objednatele uvedených v zadávací dokumentaci Veřejné zakázky a minimálně stejnými zkušenostmi a praxí, které byly předmětem hodnocení dle zadávací dokumentace, tj. Dodavatel se zavazuje doložit, že nový člen realizačního týmu by získal alespoň stejný počet bodů v rámci hodnocení jako člen realizačního týmu, kterého nahrazuje, či jehož pozice (role) je rozšířena o nového člena realizačního týmu. Smluvní strany tímto ujednaly, že v případě dodatečné změny členů realizačního týmu nebude uzavřen dodatek, jímž by došlo ke změně Přílohy 4 této Smlouvy.
Dodavatel se dále zavazuje poskytovat Předmět plnění sám, nebo s využitím poddodavatelů uvedených v Příloze 6 této Smlouvy. Jakákoliv dodatečná změna osoby poddodavatele nebo rozsahu plnění svěřeného poddodavateli musí být předem písemně schválena Objednatelem, ledaže by plnění původně svěřené poddodavateli realizoval Dodavatel sám. Dodavatel se zavazuje, že při poskytování Předmětu plnění prostřednictvím jakékoliv třetí osoby dle tohoto odstavce má odpovědnost, jako by Předmět plnění poskytoval sám. Smluvní strany tímto ujednaly, že v případě dodatečné změny poddodavatele nebude uzavřen dodatek, jímž by došlo ke změně Přílohy 6 této Smlouvy.
Objednatel se touto Smlouvou zavazuje poskytnout Dodavateli nezbytnou součinnost při poskytování Předmětu plnění Dodavatelem v rozsahu, který je vymezen v této Smlouvě.
Objednatel se zavazuje uhradit Dodavateli dohodnutou cenu za řádně a včas poskytnutý Předmět plnění nebo jeho část, a to za podmínek touto Smlouvou dále stanovených.
Objednatel se zavazuje ve svých datových centrech zajistit HW a SW prostředí pro řádnou implementaci a provoz Nástroje XDR. Maximální možné parametry pro prostředí jsou uvedeny v Příloze 1 této Smlouvy.
MÍSTO, TERMÍNY A ZPŮSOB PLNĚNÍ
Dodavatel se zavazuje realizovat Předmět plnění v následujících termínech:
1.1.6 Poskytovat licence pro Nástroj XDR v termínech dle čl. 6 této Smlouvy a jejich případné rozšíření průběžně po dobu 72 měsíců od poskytnutí prvních licencí a v rozsahu, který si Objednatel vyžádal v souladu s odst. 6.1 této Smlouvy;
1.1.7 Realizovat Základní implementaci dle odst. 3.2 této Smlouvy v souladu s harmonogramem uvedeným v Příloze 3 této Smlouvy;
1.1.8 Poskytovat Technickou podporu dle odst. 3.3 této Smlouvy průběžně 72 měsíců od ukončení Základní implementace;
1.1.9 Poskytovat služby Ladění reportingu dle odst. 3.4 této Smlouvy po dobu 6 měsíců od ukončení Základní implementace;
1.1.10 Poskytovat Doplňkové služby dle odst. 3.5 této Smlouvy dle potřeby Objednatele po celou dobu účinnosti této Smlouvy;
1.1.11 Poskytovat Služby exitu dle odst. 3.6 této Smlouvy v souladu s termíny uvedenými v čl. 7 této Smlouvy.
V případě potřeby poskytnutí Doplňkových služeb dle odst. 3.5 této Smlouvy zašle Objednatel podle odst. 13.1.2i) této Smlouvy Dodavateli písemnou objednávku obsahující detailní specifikaci zamýšleného obsahu a rozsahu prací. Specifikace bude obsahovat popis zadání, očekávanou pracnost v ČD (1 ČD = 8 pracovních hodin), termín dodání a fakturační milník. Objednávka musí být před započetím předmětných prací písemně odsouhlasena Dodavatelem.
Veškeré písemné výstupy ze své činnosti bude Dodavatel předávat v sídle Objednatele, nebude-li v konkrétním případě smluvními stranami sjednáno jinak.
Místem plnění jsou datová centra Objednatele v lokalitách Sokolovská 855/225 a Na Poříčním právu 376/1 (obojí Praha), dále cloudové prostředí Microsoft Azure ve správě Objednatele a cloudová prostředí Dodavatele a výrobce Nástroje XDR. Základní implementace nebo poskytnutí Doplňkových služeb a Služeb exitu může zahrnovat i činnosti provádění v sídle Objednatele a dále jakékoliv místo v České republice, k němuž se vztahuje či by se mohlo vztahovat poskytování Předmětu plnění.
CENA A PLATEBNÍ PODMÍNKY
Cena za licence Nástroje XDR poskytnuté dle odst. 3.1 této Smlouvy je stanovena v následujících položkách:
a) Ochrana koncových zařízení – dle počtu koncových zařízení, na kterých je instalován Nástroj XDR;
b) Ochrana sítě – dle objemu přenášených dat v síti;
c) Retenční doba pro uchování dat systému XDR;
d) Centrální konzole systému XDR.
Položky c) a d) mohou být nulové, pokud jsou obsaženy v licencích uvedených v položkách a) nebo b).
1.1.12 Konkrétní ceny za jednotlivé položky jsou uvedené v Příloze 7 této Smlouvy.
1.1.13 Cena za poskytnutí licencí Nástroje XDR bude uhrazena na základě faktury vystavené Dodavatelem do 5 pracovních dnů od data uvedeného v Příloze 3 této Smlouvy v položce „Poskytnutí licencí Nástroje XDR – Fakturační milník 1“. Dle potřeb Objednatele může být tento fakturační milník posunut na dřívější termín, o čemž Objednatel Dodavatele písemně informuje.
1.1.14 V případě, že na straně Objednatele vznikne potřeba povýšit jakoukoli položku licence Nástroje XDR, bude licence rozšířena o požadovaný počet jednotek pro rozšíření a cena bude navýšena o součin těchto jednotek a jednotkové ceny, která je uvedená v Příloze 7 této Smlouvy v tabulce C. Cena pro rozšíření Nástroje XDR.
1.1.15 V případě snížení počtu licencí Nástroje XDR bude cena snížena o počet odebraných jednotek, a to za předpokladu zachování minimálního počtu licencí v rozsahu Základní implementace dle odst. 6.1 této Smlouvy.
Cena za Technickou podporu poskytnutou dle odst. 3.3 této Smlouvy je uvedena v Příloze 7 této Smlouvy. V případě navýšení či snížení počtu licencí dle odst. 5.1.4 a 5.1.5 této Smlouvy může být alikvotně upravena i cena za poskytnutí Technické podpory. Cena za první rok poskytování Technické podpory bude Objednatelem uhrazena společně s platbou za licence (Fakturační milník 1), nicméně Technická podpora bude aktivována až po dokončení Základní implementace dle harmonogramu uvedeném v Příloze 3 této Smlouvy (Fakturační milník 2). Cena za poskytování Technické podpory v dalších letech bude Objednatelem uhrazena vždy na jeden rok dopředu podle aktuálního počtu licencí. Termín každoroční úhrady se odvíjí od Fakturačního milníku 1.
Cena za realizaci Základní implementace dle odst. 3.2 této Smlouvy je smluvními stranami stanovena ve výši, která je detailně specifikována v Příloze 7 této Smlouvy. Tato cena je pevná a úplná, tj. zahrnuje veškerá plnění dle této Smlouvy v rámci realizace Základní implementace. Cena za realizaci Základní implementace bude Objednatelem uhrazena na základě faktury vystavené Dodavatelem do 5 pracovních dnů ode dne Akceptace dle harmonogramu plnění uvedeného v Příloze 3 této Smlouvy (Fakturační milník 2).
Cena za poskytnutí služeb Ladění reportingu:
1.1.16 Cena za služby Ladění reportingu poskytnutých dle odst. 3.4 této Smlouvy je stanovena smluvními stranami sazbou za 1 ČD (1 ČD = 8 pracovních hodin), která je detailně specifikována v Příloze 7 této Smlouvy. Tato jednotková cena je pevná a úplná, tj. zahrnuje veškerá plnění dle této Smlouvy v rámci poskytování Doplňkových služeb za 1 ČD.
1.1.17 Cena za služby Ladění reportingu bude Objednatelem hrazena každý měsíc vždy po akceptaci měsíčního výkazu, který Dodavatel za své pracovníky vystaví a Objednatel písemně potvrdí. Maximální počet odpracovaných člověkodnů za služby Ladění reportingu je 200.
Cena Doplňkových služeb:
1.1.18 Cena Doplňkových služeb dle odst. 3.5 této Smlouvy je stanovena smluvními stranami sazbou za 1 ČD (1 ČD = 8 pracovních hodin), která je detailně specifikována v Příloze 7 této Smlouvy. Tato jednotková cena je pevná a úplná, tj. zahrnuje veškerá plnění dle této Smlouvy v rámci poskytování Doplňkových služeb za 1 ČD.
1.1.19 Cena za Doplňkové služby bude Objednatelem uhrazena vždy po akceptaci dílčího plnění Doplňkových služeb způsobem dle čl. 9 této Smlouvy, a to na základě faktury vystavené Dodavatelem, a bude stanovena jako součin rozsahu Dodavatelem poskytnutého plnění Doplňkových služeb vyjádřeného v ČD nebo jejich částech, a příslušné sazby za toto plnění dle odst. 5.5.1 této Smlouvy.
1.1.20 Objednatel uhradí cenu pouze za skutečně řádně provedené Doplňkové služby. Objednatel není povinen vyčerpat Doplňkové služby dle odst. 3.5 této Smlouvy v rozsahu, který byl uveden v zadávací dokumentaci Veřejné zakázky. Objednatel je oprávněn, nikoli však povinen, čerpat Doplňkové služby nad rozsah uvedený v Příloze 7 této Smlouvy, a to za sazbu dle odst. 5.5.1 této Smlouvy.
Cena za poskytnutí Služeb exitu dle odst. 3.6 této Smlouvy je stanovena smluvními stranami ve výši, která je detailně specifikována v Příloze 7 této Smlouvy. Tato cena je pevná a úplná, tj. zahrnuje veškerá plnění dle této Smlouvy v rámci poskytování Služeb exitu. Cena za Služby exitu bude Objednatelem uhrazena na základě faktury vystavené Dodavatelem do 30 kalendářních dnů ode dne akceptace dílčího plnění nebo řádného ukončení poskytování Služeb exitu podle této Smlouvy.
Celková cena za Předmět plnění může být za celou dobu účinnosti této Smlouvy nejvýše taková, aby součet všech cen za jednotlivé části Předmětu plnění dle této Smlouvy nepřekročil celkovou předpokládanou hodnotu Veřejné zakázky ve výši 115.560 000,- Kč bez DPH.
V případě, že index růstu spotřebitelských cen (míra inflace vyjádřená přírůstkem indexu spotřebitelských cen ke stejnému měsíci předchozího roku oznamovaná Českým statistickým úřadem ve Veřejné databázi ČSÚ; dále jen „index“) bude ke dni 30. 6. kalendářního roku trvání této Smlouvy představovat procentuální nárůst, je Dodavatel oprávněn svým jednostranným oznámením zaslaným nejpozději do 15. 8. aktuálního kalendářního roku zvýšit cenu jakékoliv položky uvedené v Příloze 7 této Smlouvy o procentuální výši odpovídající procentuálnímu nárůstu indexu, avšak maximálně o 3,00 % zvýšení ročně. Příklad: Pokud by v prvním roce trvání této Smlouvy byl k 30. 6. zjištěn narůst hodnoty indexu o 2,40 %, ke zvýšení cen všech služeb poskytovaných Dodavatelem na základě této Smlouvy na další rok dojde právě o 2,40 %. Pokud by ve druhém roce trvání této Smlouvy byl k témuž datu zjištěn nárůst hodnoty indexu o 3,80 %, potom je Dodavatel oprávněn navýšit ceny všech poskytovaných služeb h na základě této Smlouvy o 3,00 % oproti cenám předchozího roku, tzn. růst spotřebitelských cen vyjádřený hodnotou indexu nad 3,00 % za rok jde k tíži Dodavatele. Posuzován bude vždy nárůst cen oproti stejnému měsíci předchozího roku, delší období se nezohledňuje. Jinými slovy, růst spotřebitelských cen vyjádřený hodnotou indexu nad 3,00 % za rok jde k tíži Dodavatele. Zvýšení ceny je účinné od 1. 1. následujícího kalendářního roku po doručení písemného oznámení o takovémto zvýšení Objednateli.
Platební podmínky
1.1.21 Splatnost jednotlivých plateb dle této Smlouvy je stanovena na 30 kalendářních dní od doručení faktury Objednateli. Dodavatel odešle fakturu Objednateli na adresu posta@mpsv.cz nejpozději následující pracovní den po vystavení faktury.
1.1.22 Všechny faktury musí splňovat všechny náležitosti daňového dokladu požadované zákonem č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů (dále jen „zákon o DPH“), avšak výslovně vždy musí obsahovat následující údaje: označení smluvních stran a jejich adresy, IČO, DIČ, údaj o tom, že vystavovatel faktury je zapsán v obchodním rejstříku včetně spisové značky, označení této Smlouvy, označení poskytnutého Předmětu plnění, číslo faktury, den vystavení a lhůta splatnosti faktury, označení peněžního ústavu a číslo účtu, na který se má být částka uhrazena, fakturovanou částku, razítko a podpis oprávněné osoby Dodavatele fakturu vystavit.
1.1.23 Nebude-li faktura obsahovat stanovené náležitosti dle předchozího bodu či přílohy, nebo v ní nebudou správně uvedené údaje dle této Smlouvy, je Objednatel oprávněn ji vrátit ve lhůtě splatnosti Dodavateli. V takovém případě se ruší běh lhůty splatnosti a nová lhůta splatnosti počne běžet doručením opravené faktury.
1.1.24 Platby se provádí bankovním převodem na účet druhé smluvní strany uvedený ve faktuře.
1.1.25 V případě prodlení kterékoliv smluvní strany s uhrazením peněžité částky vzniká oprávněné smluvní straně nárok na úrok z prodlení ve výši 0,01 % z dlužné částky za každý i započatý den prodlení. Tím není dotčen ani omezen nárok na náhradu vzniklé škody či jiné újmy.
1.1.26 Objednatel bude hradit přijaté faktury pouze na bankovní účty Dodavatele zveřejněné správcem daně způsobem umožňujícím dálkový přístup ve smyslu § 96 odst. 2 zákona o DPH. V případě, že Dodavatel nebude mít svůj bankovní účet tímto způsobem zveřejněn, uhradí Objednatel Dodavateli pouze základ daně, přičemž DPH uhradí Dodavateli až po zveřejnění příslušného účtu Dodavatele v registru plátců a identifikovaných osob Dodavatelem.
1.1.27 Dodavatel prohlašuje, že správce daně před uzavřením této Smlouvy nerozhodl, že Dodavatel je nespolehlivým plátcem ve smyslu § 106a zákona o DPH (dále jen „nespolehlivý plátce“). V případě, že správce daně rozhodne o tom, že Dodavatel je nespolehlivým plátcem, zavazuje se Dodavatel o tomto informovat Objednatele do 2 pracovních dnů. Stane-li se Dodavatel nespolehlivým plátcem, uhradí Objednatel Dodavateli pouze základ daně, přičemž DPH uhradí Dodavateli až po písemném doložení Dodavatele o jeho úhradě této DPH příslušnému správci daně.
Bankovní záruka za řádné poskytování Předmětu plnění
1.1.28 Dodavatel se zavazuje na vlastní náklady obstarat a odevzdat Objednateli před podpisem této Smlouvy originální bankovní záruku za řádné poskytování Předmětu plnění ve výši 1.000.000,- Kč. Bankovní záruka nesmí vypršet dříve, než uplyne 12 kalendářních měsíců po pozbytí účinnosti této Smlouvy. Objednatel jako oprávněná osoba bude mít originál bankovní záruky v držení po celou dobu dle předchozí věty.
1.1.29 Bankovní záruka za řádné poskytování Předmětu plnění bude vydána bankou, která byla zřízena a provozuje činnost podle zákona č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů.
1.1.30 Bankovní záruka za řádné poskytování Předmětu plnění musí být sjednána jako bezpodmínečná, znějící na první vyžádání Objednatele a bez námitek. Banka se v této bankovní záruce musí zavázat k uhrazení celé částky na první výzvu Objednatele, pokud Objednatel v této výzvě uvede, že Dodavatel nesplnil závazky vyplývající z této Smlouvy. Banka není oprávněna zkoumat, je-li výzva Objednatele důvodná. Objednatel je oprávněn nechat si předanou bankovní záruku přezkoumat a schválit od své banky. V případě výhrad banky Objednatele k předložené bankovní záruce se Dodavatel zavazuje předložit v dodatečné lhůtě 2 týdnů novou řádnou bankovní záruku za řádné poskytování Předmětu plnění.
1.1.31 Povinnost obstarat bankovní záruku za řádné poskytování Předmětu plnění má Dodavatel. Veškeré náklady spojené s touto bankovní zárukou za řádné poskytování Předmětu plnění a jejím obstaráním jsou zahrnuty ve smluvní ceně dle této Smlouvy a hradí je Dodavatel.
1.1.32 Bankovní záruka za řádné poskytování Předmětu plnění slouží k zajištění řádného splnění všech závazků Dodavatele dle této Smlouvy nebo s touto Smlouvou souvisejících, včetně nároků Objednatele na smluvní pokuty, náhradu škody nebo nároků, vzniklých jako důsledek odstoupení od této Smlouvy. Objednatel je oprávněn požadovat plnění z bankovní záruky za řádné poskytování Předmětu plnění jen na základě písemného oznámení bance, že Dodavatel nesplnil určitý závazek dle této Smlouvy nebo s touto Smlouvou související a není povinen překládat bance žádné další dokumenty, které by takovéto nesplnění potvrzovaly.
1.1.33 V případě, že Objednatel uplatní nárok na uhrazení konkrétní částky, bude čerpat plnění z bankovní záruky za řádné poskytování Předmětu plnění do výše požadované částky. Před uplatněním plnění z bankovní záruky za řádné poskytování Předmětu plnění oznámí Dodavateli písemně důvod a výši požadovaného plnění z titulu bankovní záruky za řádné poskytování Předmětu plnění. V případě jejího čerpání se Dodavatel zavazuje poskytnout Objednateli novou bankovní záruku – předložit novou záruční listinu ve znění shodném s předcházející záruční listinou (na původní výši záruky) tak, aby splnil povinnost udržovat bankovní záruku za řádné poskytování Předmětu plnění v souladu s jejími parametry v této Smlouvě, a to nejpozději do 14 kalendářních dnů ode dne uplatnění práva Objednatelem.
1.1.34 Objednatel se zavazuje odškodnit Dodavatele a zabezpečit, aby mu nevznikla žádná újma v důsledku uplatnění nároků z bankovní záruky za řádné poskytování Předmětu plnění v rozsahu, na který Objednatel neměl nárok.
1.1.35 Strany dohody se dohodly, že v případě nepředložení bankovní záruky za řádné poskytování Předmětu plnění ve stanovených lhůtách, nebo v případě jejich předložení ve formě a s obsahem, který bude v rozporu s podmínkami uvedenými v odst. 5.10 této Smlouvy, půjde o podstatné porušení této Smlouvy.
ROZSAH ZÁKLADNÍ IMPLEMENTACE A JEJÍ NAVÝŠENÍ
Rozsah Základní implementace je stanoven podle následujících parametrů, které budou naplněny současně:
a) Počet koncových zařízení, na které bude Nástroj XDR implementován: 15 000
b) Objem datového toku: 8 Gbps
c) Retenční doba pro uchování dat XDR systému: 60 dní;
d) Centrální konzole systému XDR: 1 konzole.
V rámci Základní implementace provede Dodavatel všechny činnosti, které jsou uvedeny v harmonogramu v Příloze 3 této Smlouvy.
Na vyžádání a dle potřeb Objednatele rozšíří Dodavatel Nástroj XDR a navazující Technickou podporu na aktiva (zařízení ICT, sítě a jiné zdroje) Objednatele. Změna ceny za poskytnutí Nástroje XDR, resp. Technické podpory při navýšení či snížení aktiv, se řídí odst. 5.1.4 a 5.1.5, resp. 5.2 této Smlouvy.
Smluvní strany se dohodly, že Objednatel je oprávněn v rámci Doplňkových služeb dle odst. 3.5 této Smlouvy požádat Dodavatele o posouzení Objednatelem zamýšlených změn v prostředí ICT, které mohou mít dopad na poskytování Nástroje XDR a Technické podpory. Dodavatel se v takovém případě zavazuje bez zbytečného odkladu posoudit zamýšlenou změnu z hlediska zachování řádného poskytování Nástroje XDR a Technické podpory a Objednatel se zavazuje uhradit Dodavateli prokázané účelně vynaložené náklady takovéhoto posouzení, které bude poskytnuto v rámci Doplňkových služeb. Pokud provede Objednatel změnu ve svém prostředí ICT nad rámec posuzovaný Dodavatelem, v rozporu s instrukcemi Dodavatele a/nebo bez předchozího posouzení změny Dodavatelem, je Dodavatel oprávněn omezit poskytování Nástroje XDR a Technické podpory, pokud by taková změna měla poskytování Nástroje XDR a Technické podpory omezovat či narušovat.
ZPŮSOB POSKYTOVÁNÍ SLUŽEB EXITU
Dodavatel se zavazuje dle pokynů Objednatele poskytnout veškerou potřebnou součinnost, dokumentaci a informace, účastnit se jednání s Objednatelem a popřípadě třetími osobami za účelem plynulého a řádného převedení všech činností spojených s poskytováním Nástroje XDR a Technické podpory na Objednatele a/nebo nového poskytovatele, ke kterému dojde po pozbytí účinnosti této Smlouvy, tedy poskytnout Služby exitu dle odst. 3.6 této Smlouvy, které zahrnují:
1.1.36 vypracování strategie a plánu exitu a poskytnutí nezbytné součinnosti k jeho realizaci,
1.1.37 poskytnutí potřebné součinnosti podle pokynů Objednatele novému poskytovateli,
1.1.38 předání veškeré dokumentace a potřebných informací,
1.1.39 předání všech uložených dat.
Za účelem dle přechozího bodu se Dodavatel zavazuje ve lhůtách dle odst. 7.3 této Smlouvy vypracovat na základě pokynu Objednatele dokumentaci vymezující postup provedení Služeb exitu (dále jen „Exitový plán“), a poskytnout plnění nezbytná k realizaci tohoto Exitového plánu za přiměřeného použití vhodných ustanovení této Smlouvy. Závazek dle tohoto ustanovení platí nejméně 1 rok od ukončení smluvního vztahu založeného touto Smlouvou.
Objednatel je oprávněn požádat o vypracování Exitového plánu nejdříve 1 rok před řádným pozbytím účinnosti této Smlouvy, dále kdykoli spolu s odstoupením/výpovědí Objednatele od této Smlouvy, nebo i po odstoupení/výpovědi Dodavatele od této Smlouvy. Dodavatel se zavazuje vypracovat Exitový plán a po akceptaci Objednatelem poskytnout plnění nezbytná k jeho realizaci do 1 měsíce od doručení takového požadavku Objednatele, nestanoví-li Objednatel jinak.
V případě, že dojde k uzavření nové smlouvy týkající se Předmětu plnění nebo jakékoli jeho části s novým poskytovatelem odlišným od Dodavatele, zavazuje se Dodavatel po pozbytí účinnosti této Smlouvy poskytovat Objednateli nebo jím určeným třetím stranám veškerou součinnost potřebnou pro účely řádného provedení Služeb exitu. Dodavatel se zavazuje zajistit předání Nástroje XDR a souvisejících služeb novému poskytovateli, a to i nad rámec svých povinností dle čl. 7 této Smlouvy. Dodavatel se zavazuje tuto součinnost poskytovat s odbornou péčí, bez zbytečného odkladu a zodpovědně, a to minimálně po dobu 2 let od ukončení smluvního vztahu založeného touto Smlouvou. Smluvní strany se dohodly, že rozsah tohoto plnění je zahrnut v ceně plnění podle této Smlouvy. Pro vyloučení pochybností se stanoví, že v této souvislosti nevznikne Dodavateli nárok na dodatečné finanční plnění ze strany Objednatele.
ZMĚNOVÉ ŘÍZENÍ
Kterákoliv ze smluvních stran je oprávněna písemně navrhnout změny technické specifikace uvedené v Příloze 1 této Smlouvy. Objednatel není povinen navrhovanou změnu akceptovat. Dodavatel se zavazuje vynaložit veškeré úsilí, které po něm lze spravedlivě požadovat, aby změnu požadovanou Objednatelem akceptoval.
Dodavatel se zavazuje provést hodnocení dopadů kteroukoliv smluvní stranou navrhovaných změn na termíny plnění, cenu a součinnost Objednatele. Dodavatel se zavazuje toto hodnocení provést bez zbytečného odkladu, nejpozději do 5 pracovních dnů ode dne doručení návrhu kterékoliv smluvní strany druhé smluvní straně.
Jakékoliv změny technické specifikace uvedené v Příloze 1 této Smlouvy musí být písemně sjednány v souladu s příslušnými ustanoveními ZZVZ, a to zejména v souladu s ustanovením § 222 ZZVZ.
Kterákoli ze smluvních stran je rovněž oprávněna navrhnout změnu poskytování Předmětu plnění, a to při přiměřené aplikaci odst. 8.1 až 8.3 této Smlouvy.
AKCEPTACE
Každý výstup Doplňkových služeb, který představuje samostatný předmět způsobilý převzetí (dále jen „dílčí plnění“), bude Objednatelem akceptován na základě akceptační procedury. Akceptační procedura zahrnuje ověření, zda Dodavatelem poskytnuté dílčí plnění je výsledkem, ke kterému se Dodavatel zavázal, a to porovnáním skutečných vlastností jednotlivých dílčích plnění Dodavatele s jejich specifikací stanovenou touto Smlouvou či dohodnutým závazným dokumentem za využití akceptačních kritérií v dokumentu stanovených nebo později pro tento účel dohodnutých smluvními stranami.
Akceptace dokumentů
1.1.40 Dokumenty, které mají být podle této Smlouvy zpracované Dodavatelem a předané Objednateli, budou Objednatelem akceptovány v souladu s akceptační procedurou definovanou v tomto odst. 9.2 Smlouvy.
1.1.41 Dodavatel se zavazuje průběžně konzultovat průběh zpracování dokumentů dle odst. 9.2.1 této Smlouvy s Objednatelem. Dodavatel se zavazuje předat dokumenty k akceptaci včas tak, aby mohly být dodrženy navazující termíny.
1.1.42 Objednatel se zavazuje vznést své výhrady nebo připomínky k dokumentu do 10 pracovních dnů ode dne jeho předání Objednateli Dodavatelem k akceptaci. Vznese-li Objednatel výhrady nebo připomínky k dokumentu, zavazuje se Dodavatel do 10 pracovních dnů provést veškeré potřebné úpravy dokumentu dle výhrad a připomínek Objednatele a takto upravený dokument předat Objednateli k akceptaci. Pokud výhrady a připomínky Objednatele přetrvávají nebo Objednatel identifikuje výhrady a připomínky nové, je Objednatel oprávněn postupovat podle tohoto odst. 9.2.3 Smlouvy i opakovaně.
1.1.43 V případě, že Objednatel nemá k dokumentu připomínky ani výhrady, zavazuje se ve lhůtě 10 pracovních dnů od jeho předání Objednateli Dodavatelem k akceptaci tento dokument akceptovat a potvrdit jeho převzetí formou písemného předávacího protokolu.
1.1.44 Bude-li trvání akceptační procedury ovlivněné vznesením výhrad nebo připomínek Objednatele k dokumentu a potřebou jejich vyřešení, nebude to mít vliv na dohodnuté termíny pro akceptaci dokumentu.
Akceptace jiných dílčích plnění než dokumentů
1.1.45 Umožňuje-li to povaha plnění Dodavatele a nestanovíli tato Smlouva jinak, bude akceptace jednotlivých dílčích plnění jiných než dokumentů provedena v souladu s akceptační procedurou definovanou v tomto odst. 9.3 Smlouvy.
1.1.46 Předání a převzetí Objednatelem objednaného a Dodavatelem řádně provedeného dílčího plnění bude probíhat postupně akceptací jednotlivých částí dílčích plnění, a to v termínech uvedených v této Smlouvě nebo stanovených v souladu s touto Smlouvou.
1.1.47 Akceptační procedura zahrnuje ověření řádného provedení jednotlivých dílčích plnění porovnáním jejich skutečných vlastností s jejich specifikací stanovenou touto Smlouvou či dohodnutým závazným dokumentem za využití akceptačních kritérií v dokumentu stanovených nebo později pro tento účel dohodnutých smluvními stranami.
1.1.48 Akceptační procedura bude zahrnovat akceptační testy, které budou probíhat na základě specifikace akceptačních testů připravené Dodavatelem. Nedohodnou-li se smluvní strany jinak, přípravu scénářů, příkladů a dat pro potřeby akceptačního testu zajistí Dodavatel za přiměřené součinnosti Objednatele, a to s ohledem na účel akceptační procedury dle odst. 9.3.3 této Smlouvy. Objednatel má právo vyjadřovat se a požadovat zapracování svých odůvodněných připomínek ke specifikaci akceptačních testů a dalším parametrům testování.
1.1.49 Jestliže jednotlivé dílčí plnění splní akceptační kritéria akceptačních testů, Dodavatel se zavazuje nejpozději v pracovní den následující po ukončení akceptačních testů umožnit Objednateli toto dílčí plnění převzít a Objednatel se zavazuje k jeho převzetí nejpozději do 5-ti pracovních dnů. Smluvní strany se zavazují o tomto převzetí sepsat předávací protokol.
1.1.50 Pokud kterékoliv z jednotlivých dílčích plnění nesplňuje stanovená akceptační kritéria nebo je splňuje s vadami, které jsou přípustné, sdělí Objednatel své připomínky písemně Dodavateli; pokud Objednatel takové dílčí plnění současně akceptuje, uvede své připomínky v předávacím protokolu. Nesdělení připomínek nebo neoznámení některé vady při akceptaci nemá vliv na povinnost Dodavatele tuto vadu odstranit, pokud o ní ví, dodatečně ji zjistí či mu bude dodatečně oznámena.
1.1.51 Dodavatel se zavazuje vypořádat připomínky Objednatele ve lhůtě určené Objednatelem přiměřeně k povaze vady či připomínky a neprodleně předložit příslušné dílčí plnění k opakované akceptaci dle této Smlouvy, za přiměřeného použití ostatních ustanovení čl. 9 Smlouvy. Akceptační procedura, včetně procesu testování a případných následných oprav, se bude opakovat, dokud příslušné dílčí plnění nesplní akceptační kritéria pro příslušný akceptační test. V případě, že se jedná o vypořádání připomínek k dílčímu plnění, které již bylo akceptováno, namísto předávacího protokolu strany potvrdí písemně, že připomínky byly vypořádány.
1.1.52 Dohodnuté termíny pro akceptaci dílčího plnění nejsou dotčeny trváním akceptační procedury ani jakýmkoli jejím prodloužením z důvodu vad bránících akceptaci.
Lhůty uvedené v čl. 9 této Smlouvy platí, pokud se smluvní strany nedohodnou písemně jinak.
DALŠÍ POVINNOSTI DODAVATELE
Dodavatel se dále zavazuje:
1.1.53 poskytovat Předmět plnění vlastním jménem, na vlastní odpovědnost a v souladu s pokyny Objednatele řádně a včas, zejména se zohledněním délky trvání akceptační procedury;
1.1.54 poskytovat Předmět plnění s péčí řádného hospodáře odpovídající podmínkám sjednaným v této Smlouvě; dostane-li se Dodavatel do prodlení s plněním, aniž by prodlení způsobil Objednatel či nastala překážka vylučující povinnost k náhradě škody po dobu delší než 30 kalendářních dnů, je Objednatel oprávněn zajistit náhradní plnění po dobu prodlení Dodavatele jinou osobou; v takovém případě se Dodavatel zavazuje nahradit v plném rozsahu náklady spojené s náhradním plněním;
1.1.55 upozorňovat Objednatele včas na všechny hrozící vady či výpadky svého plnění, jakož i poskytovat Objednateli veškeré informace, které jsou pro poskytování Předmětu plnění nezbytné;
1.1.56 neprodleně oznámit písemnou formou Objednateli překážky, které mu brání v poskytování Předmětu plnění a výkonu dalších činností s tím souvisejících;
1.1.57 upozornit Objednatele na potenciální rizika vzniku škody či újmy a včas a řádně dle svých možností provést taková opatření, která riziko vzniku škody či jiné újmy zcela vyloučí nebo sníží;
1.1.58 i bez pokynů Objednatele provést nutné úkony, které, ač nejsou součástí Předmětu plnění, budou s ohledem na nepředvídané okolnosti pro poskytování Předmětu plnění nezbytné nebo jsou nezbytné pro zamezení vzniku škody či jiné újmy; jde-li o zamezení vzniku škody či jiné újmy nezapříčiněných Dodavatelem, má Dodavatel právo na úhradu nezbytných a účelně vynaložených nákladů;
1.1.59 postupovat při poskytování Předmětu plnění s odbornou péčí a aplikovat procesy „best practice“;
1.1.60 v případě potřeby průběžně komunikovat s Objednatelem a třetími osobami, vyžaduje-li to řádné poskytnutí Předmětu plnění, přičemž veškerá taková komunikace bude probíhat v českém jazyce (případně slovenském), nebo za využití překladatele do českého jazyka;
1.1.61 informovat Objednatele o plnění svých závazků vyplývajících z této Smlouvy a o důležitých skutečnostech, které mohou mít vliv na výkon práv a plnění povinností smluvních stran;
1.1.62 informovat Objednatele o významné změně kontroly nad Dodavatelem, přičemž kontrolou se rozumí vliv, ovládání či řízení dle § 74 a násl. zákona č. 90/2012 Sb., o obchodních společnostech a družstvech (zákon o obchodních korporacích), ve znění pozdějších předpisů, či ekvivalentní postavení nebo dojde ke změně vlastnictví či oprávnění nakládat se zásadními aktivy využívanými Dodavatelem k poskytování Předmětu plnění;
1.1.63 zajistit, aby všechny osoby podílející se na plnění závazků Dodavatele vyplývajících z této Smlouvy, které se budou zdržovat v prostorách nebo na pracovištích Objednatele, dodržovaly účinné právní předpisy o bezpečnosti a ochraně zdraví při práci a veškeré interní předpisy Objednatele, s nimiž Objednatel Dodavatele obeznámil;
1.1.64 chránit osobní údaje, data a duševní vlastnictví Objednatele a třetích osob;
1.1.65 upozorňovat Objednatele na možné rozšíření či změny Nástroje XDR za účelem lepšího využívání pro jeho účel;
1.1.66 upozorňovat Objednatele v odůvodněných případech na případnou nevhodnost pokynů Objednatele.
Dodavatel se zavazuje udržovat v platnosti a účinnosti po celou dobu trvání smluvního vztahu založeného touto Smlouvou pojistnou smlouvu, jejímž předmětem je pojištění odpovědnosti za škodu způsobenou Dodavatelem třetí osobě (zejména Objednateli), a to tak, že limit pojistného plnění vyplývající z pojistné smlouvy, nesmí být nižší než 20.000.000,- Kč za rok. Pojistnou smlouvu dle tohoto odstavce, pojistku potvrzující uzavření takové smlouvy nebo pojistný certifikát potvrzující uzavření takové smlouvy se Dodavatel zavazuje předložit Objednateli kdykoliv bezodkladně po písemném vyžádání Objednatele. Nepředložením pojistné smlouvy, pojistky nebo pojistného certifikátu do 1 kalendářního měsíce od vyžádání ze strany Objednatele vzniká právo Objednatele na odstoupení od této Smlouvy.
Dodavatel se zavazuje poskytnout Objednateli veškeré informace potřebné ke splnění povinností Objednatele dle § 219 ZZVZ, zejména, nikoli však výlučně, nejpozději do 15. března kalendářního roku informaci o ceně uhrazené za poskytování Předmětu plnění v předchozím kalendářním roce plnění této Smlouvy.
VLASTNICKÉ PRÁVO A UŽÍVACÍ PRÁVA
Vzhledem k tomu, že součástí poskytovaného Předmětu plnění je i plnění, které může naplňovat znaky autorského díla ve smyslu zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů (dále jen „autorský zákon“), je k těmto součástem plnění poskytována licence za podmínek sjednaných dále v tomto článku Smlouvy.
Všechna data, ať už v jakékoliv podobě, a jejich hmotné nosiče, která vznikla či vzniknou při poskytování Předmětu plnění, jsou výlučným vlastnictvím Objednatele a má k nim primárně užívací právo. Dodavatel se zavazuje chránit data v systémech Objednatele před ztrátou nebo poškozením a přistupovat k nim a užívat je pouze v souladu s touto Smlouvou, obecně závaznými právními předpisy a zájmy Objednatele.
Objednatel je oprávněn veškeré výstupy dle této Smlouvy považované za autorské dílo ve smyslu autorského zákona (dále jen „autorská díla“) užívat dle níže uvedených podmínek.
1.1.67 Objednatel je oprávněn od okamžiku účinnosti poskytnutí licence k autorskému dílu dle odst. 11.3.3 této Smlouvy užívat toto autorské dílo k jakémukoliv účelu a v rozsahu, v jakém uzná za nezbytné, vhodné či přiměřené. Pro vyloučení pochybností to znamená, že Objednatel je oprávněn užívat autorské dílo v neomezeném množstevním a územním rozsahu, a to všemi v úvahu přicházejícími způsoby a s časovým rozsahem omezeným pouze dobou trvání majetkových autorských práv k takovémuto autorskému dílu. Součástí licence je neomezené oprávnění Objednatele provádět jakékoliv modifikace, úpravy, změny autorského díla tvořícího výsledky plnění dle této Smlouvy a dle svého uvážení do něj zasahovat, zapracovávat ho do dalších autorských děl, zařazovat ho do děl souborných či do databází apod., a to i prostřednictvím třetích osob. Objednatel je bez potřeby jakéhokoliv dalšího svolení Dodavatele oprávněn udělit třetí osobě podlicenci k užití autorského díla nebo svoje oprávnění k užití autorského díla třetí osobě postoupit. Licence k autorskému dílu je poskytována jako neomezená nevýhradní. Objednatel není povinen licenci využít.
1.1.68 V případě korelací a pravidel se licence vztahuje ve stejném rozsahu na autorské dílo ve strojovém i zdrojovém kódu, jakož i koncepční přípravné materiály.
1.1.69 Dodavatel touto Smlouvou poskytuje Objednateli licenci k autorským dílům dle odst. 11.3.1 této Smlouvy, přičemž účinnost této licence nastává okamžikem akceptace dílčího plnění, které příslušné autorské dílo obsahuje; do té doby je Objednatel oprávněn autorské dílo užít v rozsahu a způsobem nezbytným k provedení akceptace příslušné součásti dílčího plnění.
1.1.70 Udělení licence nelze ze strany Dodavatele vypovědět a její účinnost trvá i po ukončení smluvního vztahu založeného touto Smlouvou, nedohodnou-li se smluvní strany jinak.
1.1.71 Smluvní strany výslovně prohlašují, že pokud při poskytování Předmětu plnění vznikne činností Dodavatele a Objednatele dílo spoluautorů a nedohodnou-li se smluvní strany jinak, bude se mít za to, že je Objednatel oprávněn vykonávat majetková autorská práva k dílu spoluautorů tak, jako by byl jejich výlučným vykonavatelem a že Dodavatel udělil Objednateli souhlas k jakékoliv změně nebo jinému zásahu do díla spoluautorů. Smluvní strany se dohodly, že Dodavateli nevzniká v případě vytvoření díla spoluautorů nárok na odměnu.
1.1.72 Dodavatel se zavazuje postupovat tak, aby udělení licence k autorskému dílu dle této Smlouvy včetně oprávnění udělit podlicenci a souvisejících oprávnění zabezpečil, a to bez újmy na právech třetích osob.
1.1.73 Součástí poskytovaného Předmětu plnění může být i tzv. standardní software anebo tzv. open source software (dále společně také jen „standardní software“), u kterého není Dodavatel oprávněn udělit Objednateli oprávnění dle předchozích ustanovení odst. 11.3 této Smlouvy nebo to po něm nelze spravedlivě požadovat (pro vyloučení veškerých pochybností smluvní strany uvádí, že v případě, kdy je vývoj software hrazen Objednatelem, je Objednatel oprávněn vždy požadovat udělení oprávnění dle předchozích ustanovení odst. 11.3 této Smlouvy), pouze při splnění některé z následujících podmínek:
a) Jedná se o software výrobců, jenž je na trhu běžně dostupný, tj. nabízený na území České republiky alespoň třemi na sobě nezávislými a vzájemně nepropojenými subjekty oprávněnými takovýto software upravovat, a který je v době uzavření této Smlouvy prokazatelně užíván v produktivním prostředí nejméně u deseti na sobě nezávislých a vzájemně nepropojených subjektů. Dodavatel se zavazuje poskytnout Objednateli o této skutečnosti písemné prohlášení a na výzvu Objednatele tuto skutečnost prokázat.
b) Jedná se o software, jenž je na trhu běžně dostupný, tj. nabízený na území České republiky alespoň třemi na sobě nezávislými a vzájemně nepropojenými subjekty, který je v době uzavření Smlouvy prokazatelně užíván v produktivním prostředí nejméně u deseti na sobě nezávislých a vzájemně nepropojených subjektů, a k němuž není poskytnutí licence v rozsahu dle předchozích ustanovení odst. 11.3 této Smlouvy účelné a nebrání dalšímu rozvoji ze strany Objednatele (zejména vývojový software, integrační software, software typu “software factory“, databázový software aj.). Dodavatel se zavazuje poskytnout Objednateli o této skutečnosti písemné prohlášení a na výzvu Objednatele tuto skutečnost prokázat.
c) Jedná se o software, který je veřejnosti poskytován zdarma, včetně detailně komentovaných zdrojových kódů, úplné uživatelské, provozní a administrátorské dokumentace a práva software měnit. Dodavatel se zavazuje poskytnout Objednateli o této skutečnosti písemné prohlášení a na výzvu Objednatele tuto skutečnost prokázat.
d) Jedná se o software, u kterého Dodavatel poskytne s ohledem na jeho (i) marginální význam, (ii) nekomplikovanou propojitelnost či (iii) oddělitelnost a nahraditelnost bez nutnosti vynakládání výraznějších prostředků, písemnou garanci, že další rozvoj Nástroje XDR jinou osobou než Dodavatelem je možné provádět bez toho, aby tím byla dotčena práva autorů takovéhoto softwaru, neboť nebude nutné zasahovat do zdrojových kódů takovéhoto softwaru anebo proto, že případné nahrazení takovéhoto softwaru nebude představovat výraznější komplikaci a náklad na straně Objednatele. Dodavatel se zavazuje poskytnout Objednateli o této skutečnosti písemné prohlášení a na výzvu Objednatele tuto skutečnost prokázat.
e) Jedná se o software, jehož API (Application Programming Interface) pokrývá všechny moduly a funkcionality software, je dobře dokumentované, umožňuje zapouzdření software a jeho adaptaci v rámci měnících se podmínek IT prostředí Objednatele bez nutnosti zásahu do zdrojových kódů softwaru, a Dodavatel poskytne Objednateli právo užít toto rozhraní pro programování aplikací ve stejném rozsahu jako software. Dodavatel se zavazuje poskytnout Objednateli o této skutečnosti písemné prohlášení a na výzvu Objednatele tuto skutečnost prokázat.
f) Dodavatel se zaváže Objednateli po ukončení implementace na písemnou výzvu Objednatele nejpozději do 30 kalendářních dnů poskytnout (i) úplné komentované zdrojové kódy softwaru a bezpodmínečné právo software měnit nebo (ii) API (Application Programming Interface), které pokrývá všechny moduly a funkcionality softwaru, je dobře dokumentované, umožňuje zapouzdření softwaru a jeho adaptaci v rámci měnících se podmínek IT prostředí Objednatele bez nutnosti zásahu do zdrojových kódů softwaru, a právo užít toto rozhraní pro programování aplikací ve stejném rozsahu jako software. Dodavatel se zavazuje na výzvu Objednatele tuto skutečnost prokázat.
V případě že Dodavatel poruší povinnost či prohlášení dle tohoto odst.11.3.7 Smlouvy, je Objednatel oprávněn požadovat úhradu smluvní pokuty ve výši 20.000,- Kč za každý jednotlivý případ a náhradu škody či jiné újmy v plné výši.
1.1.74 Pokud se bude jednat o standardní software Dodavatele nebo třetích stran dle odst. 11.3.7 této Smlouvy, tak na rozdíl od licence ke zbývajícím výstupům z Nástroje XDR či Doplňkových služeb udělované dle odst. 11.3.1 až 11.3.6 této Smlouvy postačí, aby udělená licence k takovému software zahrnovala nevýhradní oprávnění užít jej jakýmkoli způsobem nejméně po dobu trvání této Smlouvy a po dobu 1 kalendářního roku následujícího po roce, ve kterém byl ukončen smluvní vztah založený touto Smlouvou, a to na území České republiky a v množstevním rozsahu, který je nezbytný pro pokrytí potřeb Objednatele stanovených touto Smlouvou, a to včetně práva Objednatele do standardního software zasahovat, pokud tak stanoví příslušné ustanovení odst. 11.3.7 této Smlouvy. V případě ukončení smluvního vztahu založeného touto Smlouvou formou výpovědi či odstoupení se Dodavatel zavazuje nabídnout Objednateli právo užívat takovýto standardní software v rozsahu, v jakém je to nezbytné pro poskytování Nástroje XDR, Technické podpory a Doplňkových služeb dle této Smlouvy. Tím není dotčeno právo Objednatele pořídit standardní software i od třetí osoby bez ohledu na licence pořízené dříve Dodavatelem. V případě využití tohoto přednostního práva se Dodavatel zavazuje, že právo užívat standardní software dle tohoto odstavce Smlouvy nabídne Objednateli za běžných tržních podmínek a bude vycházet z účetní hodnoty licencí, které pořídil.
1.1.75 Nelze-li to po Dodavateli spravedlivě požadovat a není-li to v rozporu s ustanoveními odst. 11.3.7 této Smlouvy, není Dodavatel povinen předat Objednateli k standardnímu softwaru zdrojové kódy ani není povinen poskytnout Objednateli právo do standardního softwaru zasahovat, vždy se však Dodavatel zavazuje předat Objednateli kompletní Dokumentaci.
1.1.76 Dodavatel se zavazuje ve svých řešeních pro Objednatele omezit využití takového standardního softwaru, který je co do licence omezen ve smyslu odst. 11.3.8 nebo odst. 11.3.9 této Smlouvy.
1.1.77 Dodavatel se zavazuje samostatně zdokumentovat veškeré využití standardního software v rámci poskytování Předmětu plnění a předložit Objednateli písemný ucelený přehled využitého standardního software, jeho licenčních podmínek a alternativních dodavatelů.
1.1.78 Jestliže jsou s užitím standardního software, služeb podpory k němu, či jiných souvisejících plnění spojeny jednorázové či pravidelné poplatky, Dodavatel se zavazuje v rámci ceny plnění dle této Smlouvy řádně uhradit všechny tyto poplatky po celou dobu trvání Smlouvy a po dobu období po 1 kalendářního roku následujícího po roce, ve kterém byl ukončen smluvní vztah založený touto Smlouvou.
Práva získaná v rámci poskytování Předmětu plnění přechází i na případného právního nástupce Objednatele. Smluvní strany dohodly, že případná změna v osobě Dodavatele (např. právní nástupnictví) nebude mít vliv na oprávnění udělená v rámci této Smlouvy Dodavatelem Objednateli.
Odměna za poskytnutí, zprostředkování nebo postoupení licence (či podlicence) k autorským dílům dle tohoto čl. 11 Smlouvy je zahrnuta v ceně plnění dle této Smlouvy. Dodavatel se zavazuje zajistit poskytnutí licence dle podmínek stanovených touto Smlouvou, a to bez ohledu na případný rozdílný obsah standardních licenčních podmínek vykonavatele majetkových práv k takovým autorským dílům.
ZÁRUKA
Dodavatel poskytuje záruku, že každá část výstupu Předmětu plnění má ke dni její akceptace funkční vlastnosti stanovené touto Smlouvou, zejména v technické specifikaci uvedené v Příloze 1 této Smlouvy, a je způsobilá k použití pro účely stanovené v této Smlouvě nebo v souladu s touto Smlouvou.
Dodavatel poskytuje záruku na každou jednotlivou část výstupu Předmětu plnění od okamžiku její akceptace po dobu 24 kalendářních měsíců ode dne akceptace výstupu Předmětu plnění jako celku. Tato záruka se prodlužuje po každém rozšíření výstupu Předmětu plnění provedeném v rámci Doplňkových služeb tak, že bude trvat po dobu 24 kalendářních měsíců ode dne akceptace takového rozšíření či úpravy předmětného výstupu provedených v rámci Doplňkových služeb.
Objednatel je oprávněn vady výstupu Předmětu plnění nahlásit Dodavateli kdykoli v průběhu záruční doby bez ohledu na to, kdy je zjistil, aniž by tím byla jeho práva ze záruky či práva z vad jakkoli dotčena.
Doba od zjištění vady do jejího odstranění se do běhu záruční doby nezapočítává.
Dodavatel prohlašuje, že veškeré části Předmětu plnění poskytnutého na základě této Smlouvy budou prosté právních vad a zavazuje se odškodnit v plné výši Objednatele v případě, že třetí osoba úspěšně uplatní autorskoprávní nebo jiný nárok plynoucí z právní vady Dodavatelem poskytnutého Předmětu plnění. V případě, že by nárok třetí osoby vzniklý v souvislosti s Dodavatelem poskytnutým Předmětem plnění, bez ohledu na jeho oprávněnost, vedl k dočasnému či trvalému soudnímu zákazu či omezení užívání Nástroje XDR či jeho části, zavazuje se Dodavatel zajistit náhradní služby a minimalizovat dopady takovéto situace, a to bez dopadu na cenu plnění dle této Smlouvy, přičemž současně nebude dotčen ani nárok Objednatele na náhradu škody či jiné újmy.
Dodavatel prohlašuje, že je oprávněn vykonávat svým jménem a na svůj účet majetková práva autorů k autorským dílům, která budou součástí poskytovaného Předmětu plnění, resp. že má souhlas všech relevantních třetích osob k poskytnutí licence k autorským dílům podle čl. 11 této Smlouvy; toto prohlášení zahrnuje i taková práva, která by vytvořením autorského díla teprve vznikla.
OPRÁVNĚNÉ OSOBY
Každá ze smluvních stran jmenuje oprávněnou osobu, popř. zástupce oprávněné osoby. Oprávněné osoby jsou oprávněny zastupovat smluvní stranu ve smluvních a technických záležitostech souvisejících s touto Smlouvou. Pro vyloučení pochybností se smluvní strany dohodly, že:
1.1.79 osoby oprávněné jednat ve věcech smluvních jsou oprávněny vést s druhou smluvní stranou jednání obchodního charakteru a měnit či rušit tuto Smlouvu a uzavírat k ní dodatky dle odst. 22.1 této Smlouvy;
1.1.80 osoby oprávněné ve věcech technických a bezpečnostních jsou oprávněny
a) vést s druhou smluvní stranou jednání technického a bezpečnostního charakteru;
b) jednat v rámci změnového řízení dle čl. 8 této Smlouvy;
c) jednat v rámci akceptačních procedur při předávání a převzetí plnění dle čl. 9 této Smlouvy a provádět veškeré úkony v rámci akceptačních procedur; zejména podepisovat příslušné akceptační, předávací či jiné protokoly dle této Smlouvy;
d) jednat s výrobcem Nástroje XDR i Dodavatelem při řešení bezpečnostních zranitelností, konfigurace Nástroje XDR a dalších otázek souvisejících s implementací a provozem Nástroje XDR;
e) poskytovat stanoviska v technických a bezpečnostních otázkách;
f) připravovat dodatky ke Smlouvě pro jejich písemné schválení ze strany osob oprávněných ve věcech smluvních, nebo jejich zplnomocněným zástupcům;
g) jednat jménem smluvních stran v rámci reklamace vad a při uplatňování záruky podle čl. 12 této Smlouvy;
h) připravovat podklady, zejména zadání pro Doplňkové služby dle odst. 3.5 této Smlouvy, Služby exitu dle odst. 3.6 této Smlouvy a rozšíření Nástroje XDR dle odst. 6.3 této Smlouvy a jednat o nich s druhou smluvní stranou.
Osoby oprávněné ve věcech technických a bezpečnostních nejsou oprávněny k jednání, jenž by mělo za přímý následek změnu této Smlouvy nebo jejího předmětu.
Identifikace oprávněných osob dle tohoto čl. 13 Smlouvy je uvedena v Příloze 5 této Smlouvy a jejich role stanoví tato Smlouva.
Smluvní strany jsou oprávněny změnit oprávněné osoby dle tohoto čl. 13 Smlouvy, jsou však povinny na takovou změnu druhou smluvní stranu písemně upozornit. Zmocnění zástupce oprávněné osoby musí být písemné s uvedením rozsahu zmocnění.
OCHRANA OSOBNÍCH ÚDAJŮ
Předmět zpracování, kategorie subjektů údajů a typ osobních údajů
S ohledem na předmět této Smlouvy smluvní strany předpokládají, že Dodavatel bude zpracovávat osobní údaje nebo zvláštní kategorie osobních údajů (citlivé údaje) (dále společně jen „osobní údaje“) obsažené v datech koncových uživatelů monitorovaného prostředí ICT Objednatele (dále jen „koncoví uživatelé“). Nedílnou součástí Smlouvy je tak i ujednání o zpracování osobních údajů mezi Objednatelem jako správcem a Dodavatelem jako zpracovatelem, uvedené níže v tomto čl. 14 Smlouvy.
Podrobněji jsou předmět zpracování, kategorie subjektů údajů, typ osobních údajů a rozsah zpracování osobních údajů popsány v Technické specifikaci uvedené v Příloze 1 této Smlouvy.
Povaha, účel a prostředky zpracování
Dodavatel zpracovává osobní údaje automatizovanými prostředky, a to za účelem poskytování Nástroje XDR, případně za dalšími účely, které vyplývají z této Smlouvy a jejích příloh.
Podrobněji jsou povaha, účel a prostředky zpracování osobních údajů popsány v Technické specifikaci uvedené v Příloze 1 této Smlouvy.
Doba zpracování
Zpracování osobních údajů bude ze strany Dodavatele probíhat po dobu trvání smluvního vztahu založeného touto Smlouvou. Povinnosti Dodavatele týkající se ochrany osobních údajů se Dodavatel zavazuje plnit po celou dobu trvání smluvního vztahu založeného touto Smlouvou, pokud z ustanovení této Smlouvy nevyplývá, že mají trvat i po ukončení smluvního vztahu.
Obecné zásady zpracování osobních údajů
Dodavatel se zavazuje dodržovat všechny povinnosti, které mu jako zpracovateli vyplývají z právních předpisů o ochraně osobních údajů, jakož i z interních předpisů Objednatele a rozhodnutí či doporučení nebo stanovisek vydaných pro Objednatele příslušným orgánem státní správy, s nimiž byl seznámen, a to včetně rozhodnutí či stanovisek nebo doporučení vydaných v budoucnu.
Dodavatel v souvislosti se zpracováním osobních údajů:
1.1.81 zpracovává osobní údaje výlučně na základě pokynů Objednatele učiněných v souladu se zásadami komunikace dle této Smlouvy, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládá právo Evropské unie nebo členského státu, které se na Objednatele vztahuje; v takovém případě Dodavatel Objednatele informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu;
1.1.82 v případě, kdy je ze strany Úřadu pro ochranu osobních údajů či jiného správního orgánu provedena kontrola zpracování osobních údajů Dodavatelem či v případě zahájení správního řízení ze strany Úřadu pro ochranu osobních údajů či jiného správního orgánu ve vztahu k zpracování osobních údajů Dodavatelem, oznámí tuto skutečnost okamžitě Objednateli a poskytne mu veškeré informace o průběhu a výsledcích této kontroly, resp. průběhu a výsledcích takového řízení;
1.1.83 poskytne Objednateli součinnost při komunikaci s dozorovým orgánem a dle pokynů Objednatele bude spolupracovat při přípravě odpovědí dozorovému úřadu ohledně činností prováděných Dodavatelem;
1.1.84 nezpracovává osobní údaje získané za účelem plnění této Smlouvy pro své vlastní účely;
1.1.85 nezapojí do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení Objednatele;
1.1.86 zohledňuje povahu zpracování;
1.1.87 je Objednateli nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění Objednatelovy povinnosti reagovat na žádosti o výkon práv koncových uživatelů;
1.1.88 je Objednateli nápomocen při zajišťování souladu s povinnostmi Objednatele zajistit úroveň zabezpečení zpracování a ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu a případně též koncovým uživatelům, posuzovat vliv na ochranu osobních údajů (výstupem tohoto posouzení bude poskytnutí podkladových materiálů a vlastních odborných vyjádření) a realizovat předchozí konzultace s dozorovým úřadem, a to při zohlednění povahy zpracování a informací, jež má Dodavatel k dispozici;
1.1.89 v souladu s rozhodnutím Objednatele všechny osobní údaje buď vymaže, nebo vrátí Objednateli, a vymaže existující kopie, pokud právo Evropské unie nebo členského státu nepožaduje uložení daných osobních údajů;
1.1.90 poskytne Objednateli veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku 14 Smlouvy, a umožní audity, včetně inspekcí, prováděné Objednatelem nebo jiným auditorem, kterého Objednatel pověřil, a k těmto auditům přispěje;
1.1.91 není oprávněn osobní údaje koncových uživatelů jím zpracovávané či k nimž mu byl umožněn přístup žádným způsobem ukládat, kopírovat, tisknout, opisovat, činit z nich výpisky či opisy či je pozměňovat, pokud toto není nezbytné pro plnění jeho povinností vyplývajících z této Smlouvy;
1.1.92 umožní Objednateli na vyžádání kontrolu dodržování povinností dle tohoto článku 14 Smlouvy, zejména přístupy do prostor, v nichž jsou osobní údaje uchovávány, předložení seznamu osob s přístupem k osobním údajům či doložení, že veškeré osoby přistupující k osobním údajům splňují požadavky pověřené osoby, jak je tato definována níže;
1.1.93 umožní Objednateli přístup do informačního systému užívaného pro zpracování a k probíhajícím operacím zpracování;
přičemž činnosti Dodavatele dle odst. 14.7.7, 14.7.8 a 14.7.10 této Smlouvy budou hrazeny v režimu Doplňkových služeb dle odst. 3.4 této Smlouvy a příslušných příloh, a to dle objednávek Objednatele a skutečně provedených činností; v případě, že některé žádosti se rozhodne Objednatel provádět samostatně, nevznikne ve vztahu k nim Dodavateli právo na úhradu. Pro vyloučení pochybností smluvní strany sjednávají, že Objednatel není povinen tyto služby poptat.
V souvislosti se zpracováním osobních údajů se Dodavatel zavazuje vést v souladu s právními předpisy o ochraně osobních údajů záznamy o všech kategoriích činností zpracování prováděných pro Objednatele, jež obsahují zejména:
1.1.94 jméno a kontaktní údaje Dodavatele, Objednatele a případného zástupce Objednatele nebo Dodavatele a pověřence pro ochranu osobních údajů;
1.1.95 kategorie zpracování prováděného pro Objednatele;
1.1.96 informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci; a
1.1.97 popis technických a organizačních bezpečnostních opatření.
Dodavatel se na základě písemné výzvy Objednatele zavazuje Objednateli vedené záznamy zpřístupnit.
Dodavatel zajišťuje, kontroluje a odpovídá za
1.1.98 plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům,
1.1.99 zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování,
1.1.100 zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje a
1.1.101 opatření, která umožní určit a ověřit, komu byly osobní údaje předány.
V případě, že je podle právních předpisů o ochraně osobních údajů vyžadováno jakékoli oznámení nebo jiný úkon vůči správnímu orgánu, upozorní na tuto skutečnost Dodavatel Objednatele v dostatečném předstihu a v případě, že tím Objednatel Dodavatele pověří a zmocní, zajistí provedení těchto úkonů.
Pokud Dodavatel zjistí, že Objednatel porušuje povinnosti podle právních předpisů o ochraně osobních údajů, zavazuje se Objednatele na tuto skutečnost neprodleně upozornit.
Vznikne-li Objednateli v důsledku nesplnění povinnosti Dodavatele dle právních předpisů o ochraně osobních údajů škoda či jiná újma, zavazuje se Dodavatel Objednateli tuto škodu či jinou újmu v plném rozsahu uhradit. Škodou či jinou újmou vzniklou Objednateli se pro účely tohoto ustanovení rozumí zejména (i) náhrada škody či jiné újmy subjektům údajů ve smyslu právních předpisů o ochraně osobních údajů a (ii) pokuty uložené Úřadem pro ochranu osobních údajů či jiným správním úřadem.
V případě ukončení této Smlouvy se Dodavatel zavazuje předat Objednateli protokolárně veškeré hmotné nosiče obsahující osobní údaje a smazat veškeré osobní údaje v elektronické podobě v jeho dispozici, neobdrží-li Dodavatel od Objednatele písemně jiné pokyny, pokud právo Evropské unie nebo členského státu nepožaduje uložení daných osobních údajů.
Pověření Dodavatele k poskytování součinnosti Objednateli
Dodavatel se zavazuje proaktivně poskytovat součinnost Objednateli při výkonu jeho povinností týkajících se práv koncových uživatelů jakožto subjektů údajů, popř. tyto činnosti z části zajistit, a to v následujícím rozsahu:
1.1.102 přijetí žádostí a jejich celková administrace;
1.1.103 ověření identity koncového uživatele;
1.1.104 případná kalkulace ceny za vyřízení žádosti (např. pokud se bude jednat o opakovanou žádost);
1.1.105 prvotní odborné posouzení žádosti;
1.1.106 přeposlání žádosti a návrhu jejího vypořádání Objednateli k potvrzení navrhovaného řešení či k vyřešení žádosti;
1.1.107 následné vyřízení žádosti jménem Objednatele;
1.1.108 v případě, že žádost vyžaduje určitou konkrétní operaci, provedení této operace.
V rámci provádění činností dle odst. 14.14 této Smlouvy se Dodavatel zavazuje postupovat tak, aby mohl Objednatel ověřit kvalitu navrhovaného vyřízení požadavků subjektu údajů, a to zejména s ohledem na čas potřebný k tomuto ověření. Smluvní strany sjednávají, že nejkratší doba, kterou musí Objednatel mít k dispozici pro tento účel, je 5 pracovních dnů.
Činnosti dle odst. 14.14 této Smlouvy budou hrazeny v režimu Doplňkových služeb dle odst. 3.5 této Smlouvy a příslušných příloh, a to dle objednávek Objednatele a skutečně provedených činností; v případě, že některé žádosti se rozhodne Objednatel provádět samostatně, nevznikne ve vztahu k nim Dodavateli právo na úhradu. Pro vyloučení pochybností smluvní strany sjednávají, že Objednatel není povinen tyto služby poptat.
Činnosti dle odst. 14.14 této Smlouvy se vztahují k následujícím právům subjektů údajů:
1.1.109 Právo na přístup k osobním údajům. Dodavatel se zavazuje navrhovat odpovědi na přijaté žádosti a tyto odpovědi po potvrzení ze strany Objednatele odesílat koncovým uživatelům. Součástí těchto odpovědí budou v řadě případů i konkrétní osobní údaje vztahující se ke koncovému uživateli subjektu údajů, k jejichž kopii bude nutno koncovému uživateli umožnit přístup;
1.1.110 Právo na opravu. Dodavatel se zavazuje vyřizovat žádosti o opravu a informovat o tom koncového uživatele. V případě, že žádost o opravu nebude jednoznačná co do nové požadované verze obsahu záznamu o koncovém uživateli, Dodavatel se zavazuje tuto skutečnost eskalovat k Objednateli; v opačném případě lze Dodavatele pověřit proaktivním řešením žádosti s tím, že Objednatele bude o řešení žádosti průběžně informovat;
1.1.111 Práva na výmaz a omezení zpracování. V případě, že žádost nevzbuzuje pochybnosti o její oprávněnosti, Objednatel Dodavatele pověřuje prováděním požadovaných výmazů či zaznamenávání omezení zpracování a následnou komunikací se subjektem údajů. O provedených opatřeních se Dodavatel zavazuje informovat Objednatele. V případě, že žádost vzbuzuje pochybnosti o její oprávněnosti Dodavatel se zavazuje provést eskalaci věci k Objednateli a poskytnout mu nezbytnou součinnost;
1.1.112 Právo na přenositelnost údajů. V případě, že žádost nevzbuzuje pochybnosti o její oprávněnosti, Objednatel Dodavatele pověřuje exportováním zpracovávaných údajů a jejich zasíláním koncovému uživateli. O výsledku se Dodavatel zavazuje informovat Objednatele. V případě, že žádost vzbuzuje pochybnosti o její oprávněnosti Dodavatel se zavazuje provést eskalaci věci k Objednateli a poskytnout mu nezbytnou součinnost;
1.1.113 Právo vznést námitku. Dodavatel se zavazuje provádět administraci žádosti a technickou realizaci blokování údajů, a to na základě pokynu Objednatele, v jehož kompetenci je vždy posouzení důvodnosti námitky.
Zabezpečení osobních údajů
Dodavatel se zavazuje přijmout a udržovat taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.
Dodavatel se zavazuje zajistit, že přístup k osobním údajům bude umožněn výlučně pověřeným osobám, které budou v pracovněprávním, příkazním či jiném obdobném poměru k Dodavateli, budou předem prokazatelně seznámeny s povahou osobních údajů a rozsahem a účelem jejich zpracování a budou povinny zachovávat mlčenlivost o všech okolnostech, o nichž se dozví v souvislosti se zpřístupněním osobních údajů a jejich zpracováním (dále jen „pověřené osoby“). Splnění této povinnosti zajistí Dodavatel vhodným způsobem, zejména vydáním svých vnitřních předpisů, příp. prostřednictvím zvláštních smluvních ujednání. Přístup k osobním údajům bude pověřeným osobám umožněn výlučně pro účely zpracování osobních údajů v rozsahu a za účelem stanoveným touto Smlouvou.
Dodavatel se zavazuje vhodným způsobem zajistit, že pověřené osoby budou zpracovávat osobní údaje na základě smlouvy s Dodavatelem, budou zpracovávat osobní údaje pouze za podmínek a v rozsahu Dodavatelem stanoveném a odpovídajícím této Smlouvě a právními předpisy, zejména zajistí zachování mlčenlivosti o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, a to i pro dobu po skončení zaměstnání nebo příslušných prací pověřených osob.
Dodavatel se zavazuje přijmout a udržovat zejména následující opatření k zajištění úrovně zabezpečení:
1.1.114 zajištění toho, aby systémy pro automatizovaná zpracování osobních údajů používaly pouze pověřené osoby;
1.1.115 zajištění toho, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby;
1.1.116 pořizování elektronických záznamů, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány;
1.1.117 zabránění neoprávněnému přístupu k datovým nosičům;
1.1.118 schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování – zavedená opatření a jejich korektní fungování budou pravidelně kontrolovány;
1.1.119 schopnost obnovit dostupnost osobních údajů a přístup k nim včas a v případě fyzických či technických incidentů;
1.1.120 proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování;
1.1.121 antivirovou ochranu a kontrolu neoprávněných přístupů;
1.1.122 šifrovaný přenos dat prostřednictvím IT technologií;
1.1.123 přístup k osobním údajům mají pouze pověřené osoby Dodavatele;
1.1.124 servery s osobními údaji jsou uzamčeny v serverovně.
Při zpracování osobních údajů se Dodavatel zavazuje osobní údaje uchovávat výlučně na zabezpečených serverech nebo na zabezpečených nosičích dat, jedná-li se o osobní údaje v elektronické podobě.
Při zpracování osobních údajů v jiné než elektronické podobě se Dodavatel zavazuje osobní údaje uchovávat v místnostech s náležitou úrovní zabezpečení, do kterých budou mít přístup výlučně pověřené osoby.
Dodavatel se zavazuje na písemnou žádost Objednatele přijmout v přiměřené lhůtě stanovené Objednatelem další záruky za účelem technického a organizačního zabezpečení osobních údajů, zejména přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům.
V případě zjištění porušení záruk dle odst. 14.19 této Smlouvy se Dodavatel zavazuje zajistit stav odpovídající zárukám neprodleně poté, co zjistí, že záruky porušuje, nejpozději však do 3 pracovních dnů poté, co je k tomu Objednatelem vyzván.
V případě, že Dodavatel zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu, nejpozději do 24 hodin, Objednateli.
OCHRANA INFORMACÍ
1. Smluvní strany jsou si vědomy toho, že v rámci plnění závazků vyplývajících z této Smlouvy:
2. mohou si vzájemně vědomě nebo opominutím poskytnout informace, které budou považovány za důvěrné (dále jen „důvěrné informace“),
2. mohou jejich zaměstnanci a osoby v obdobném postavení získat vědomou činností druhé smluvní strany nebo i jejím opominutím přístup k důvěrným informacím druhé smluvní strany.
1. Smluvní strany se zavazují, že žádná z nich nezpřístupní třetí osobě důvěrné informace, které při plnění této Smlouvy získala od druhé smluvní strany.
1. Za třetí osoby podle odst. 15.2 této Smlouvy se nepovažují:
4. zaměstnanci smluvních stran a osoby v obdobném postavení,
4. orgány smluvních stran a jejich členové,
4. ve vztahu k důvěrným informacím Objednatele poddodavatelé Dodavatele,
4. ve vztahu k důvěrným informacím Dodavatele externí dodavatelé Objednatele, a to i potenciální,
za předpokladu, že se podílejí na plnění této Smlouvy nebo na plnění spojeném s plněním této Smlouvy, důvěrné informace jsou jim zpřístupněny výhradně za tímto účelem a zpřístupnění důvěrných informací je v rozsahu nezbytně nutném pro naplnění jeho účelu a za stejných podmínek, jaké jsou stanoveny smluvním stranám v této Smlouvě.
1. Veškeré informace poskytnuté Objednatelem Dodavateli se považují za důvěrné, není-li stanoveno jinak. Veškeré informace poskytnuté Dodavatelem Objednateli se považují za důvěrné, pouze pokud na jejich důvěrnost Dodavatel Objednatele předem písemně upozornil a Objednatel Dodavateli písemně potvrdil svůj závazek důvěrnost těchto informací zachovávat. Pokud jsou důvěrné informace Dodavatele poskytovány v písemné podobě anebo ve formě textových souborů na elektronických nosičích dat (médiích), Dodavatel se zavazuje upozornit Objednatele na důvěrnost takového materiálu též jejím vyznačením alespoň na titulní stránce nebo přední straně média.
1. Veškeré důvěrné informace zůstávají výhradním vlastnictvím předávající smluvní strany a přijímající smluvní strana vyvine pro zachování jejich důvěrnosti a pro jejich ochranu stejné úsilí, jako by se jednalo o její vlastní důvěrné informace. S výjimkou rozsahu, který je nezbytný pro plnění této Smlouvy, se obě smluvní strany zavazují neduplikovat žádným způsobem důvěrné informace druhé smluvní strany, nepředat je třetí straně ani svým vlastním zaměstnancům a zástupcům s výjimkou těch, kteří s nimi potřebují být seznámeni, aby mohli plnit tuto Smlouvu. Obě smluvní strany se zároveň zavazují nepoužít důvěrné informace druhé smluvní strany jinak než za účelem plnění této Smlouvy.
1. Bez ohledu na výše uvedená ustanovení se veškeré informace vztahující se k předmětu této Smlouvy a příslušné dokumentaci považují výlučně za důvěrné informace Objednatele a Dodavatel se zavazuje tyto informace chránit v souladu s touto Smlouvou. Dodavatel při tom bere na vědomí, že povinnost ochrany těchto informací podle tohoto článku 15 se vztahuje pouze na Dodavatele, příp. jeho poddodavatele.
1. Za důvěrné informace Objednatele se dále bezpodmínečně považují veškerá data, která monitorované prostředí ICT Objednatele obsahuje, která do něj mají být, byla nebo budou Dodavatelem, Objednatelem či třetími osobami vložena i data, která z něj byla získána.
1. Bez ohledu na výše uvedená ustanovení se za důvěrné nepovažují informace, které:
9. se staly veřejně známými, aniž by jejich zveřejněním došlo k porušení závazků přijímající smluvní strany či právních předpisů,
9. měla přijímající smluvní strana prokazatelně legálně k dispozici před uzavřením této Smlouvy, pokud takové informace nebyly předmětem jiné, dříve mezi smluvními stranami uzavřené smlouvy o ochraně informací,
9. jsou výsledkem postupu, při kterém k nim přijímající smluvní strana dospěje nezávisle a je to schopna doložit svými záznamy nebo důvěrnými informacemi třetí strany,
9. po podpisu této Smlouvy poskytne přijímající smluvní straně třetí osoba, jež není omezena v takovém nakládání s informacemi,
9. je-li zpřístupnění informace vyžadováno zákonem či jiným právním předpisem včetně práva EU nebo závazným rozhodnutím oprávněného orgánu veřejné moci,
9. jsou obsažené v této Smlouvě a/nebo jsou zveřejněné na příslušných webových stránkách dle § 219 ZZVZ.
1. Za důvěrné informace se ve smyslu odst. 15.8.5 této Smlouvy nepovažují zejména:
10. ustanovení této Smlouvy včetně jejích příloh,
10. výše ceny uhrazené za plnění této Smlouvy v jednotlivém kalendářním roce.
1. Bez ohledu na jiná ustanovení této Smlouvy je Objednatel oprávněn uveřejnit na profilu zadavatele či registru smluv v souladu s § 219 ZZVZ:
11. tuto Smlouvu včetně všech jejích změn a dodatků,
11. výši skutečně uhrazené ceny za plnění Veřejné zakázky.
1. Za porušení povinnosti mlčenlivosti smluvní stranou se považují též případy, kdy tuto povinnost poruší kterákoliv z osob uvedených v odst. 15.3 této Smlouvy, které daná smluvní strana poskytla důvěrné informace druhé smluvní strany.
1. Ukončení smluvního vztahu založeného touto Smlouvou z jakéhokoliv důvodu se nedotkne ustanovení tohoto článku Smlouvy a jejich účinnost včetně ustanovení o sankcích přetrvá bez omezení i po ukončení účinnosti této Smlouvy.
1. SOUČINNOST A VZÁJEMNÁ KOMUNIKACE
2. Smluvní strany se zavazují vzájemně spolupracovat a předávat si veškeré informace potřebné pro řádné plnění svých závazků vyplývajících z této Smlouvy. Smluvní strany se zavazují vzájemně se informovat o veškerých skutečnostech, které jsou nebo mohou být důležité pro řádné plnění této Smlouvy.
2. Smluvní strany se zavazují plnit své závazky vyplývající z této Smlouvy tak, aby nedocházelo k prodlení s plněním jednotlivých termínů a s prodlením s úhradou jednotlivých peněžních závazků.
2. Veškerá komunikace mezi smluvními stranami bude probíhat prostřednictvím oprávněných osob dle čl. 13 této Smlouvy, statutárních orgánů smluvních stran, popř. jimi písemně pověřených pracovníků.
2. Všechna oznámení mezi smluvními stranami, která se vztahují k této Smlouvě, nebo která mají být učiněna na základě této Smlouvy, musí být učiněna v písemné podobě a druhé smluvní straně doručena buď osobně nebo doporučeným dopisem či jinou formou registrovaného poštovního styku na adresu uvedenou na titulní stránce této Smlouvy, není-li stanoveno nebo mezi smluvními stranami dohodnuto jinak. Nemá-li komunikace dle předchozí věty mít vliv na platnost a účinnost této Smlouvy, připouští se též doručení prostřednictvím datové schránky nebo e-mailu, na čísla a adresy uvedené v Příloze 5 této Smlouvy. Pro vyloučení pochybností se smluvní strany dohodly, že prostřednictvím e-mailu lze doručit zejména připomínky, výhrady či výzvy v souladu s ustanoveními čl. 9 této Smlouvy. Dodavatel je oprávněn komunikovat s Objednatelem prostřednictvím datové schránky. Dodavatel bere na vědomí, že dle zákona č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, ve znění pozdějších předpisů, se Objednatel zavazuje v zásadě doručovat veškerou korespondenci právnické osobě, která má zpřístupněnu svou datovou schránku, prostřednictvím datové schránky.
2. Ukládá-li tato Smlouva doručit některý dokument v písemné podobě, může být doručen buď v tištěné podobě nebo v elektronické (digitální) podobě v dohodnutém formátu, např. jako dokument aplikací Microsoft Office 2021 a vyšší či PDF na dohodnutém médiu apod.
2. Smluvní strany se zavazují, že v případě změny své poštovní adresy, faxového čísla nebo e-mailové adresy budou o této změně druhou smluvní stranu informovat nejpozději do 5 pracovních dnů.
2. Dodavatel se zavazuje ve lhůtě 5 pracovních dnů ode dne doručení odůvodněné písemné žádosti Objednatele o výměnu oprávněné osoby Dodavatele dle odst. 13.1.2 této Smlouvy podílející se na plnění této Smlouvy, s níž Objednatel nebyl z jakéhokoliv důvodu spokojen, nahradit jinou vhodnou osobou s odpovídající kvalifikací.
2. Dodavatel se zavazuje poskytnout Objednateli potřebnou součinnost při výkonu finanční kontroly dle zákona č. 320/2001 Sb., o finanční kontrole ve veřejné správě a o změně některých zákonů (zákon o finanční kontrole), ve znění pozdějších předpisů.
1. NÁHRADA ŠKODY
3. Každá ze smluvních stran se zavazuje nahradit způsobenou škodu či jinou újmu v rámci platných právních předpisů a této Smlouvy. Smluvní strany se zavazují k vyvinutí maximálního úsilí k předcházení škodám a k minimalizaci vzniklých škod.
3. Dodavatel se zavazuje nahradit Objednateli veškeré škody či újmy, způsobené porušením této Smlouvy či povinností uložených Dodavateli dle Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů). Dodavatel se zároveň zavazuje Objednatele odškodnit za jakékoliv škody či újmy, které mu v důsledku porušení povinností Dodavatele vzniknou na základě pravomocného rozhodnutí soudu či jiného státního orgánu.
3. Žádná ze smluvních stran není povinna nahradit škodu či jinou újmu, která vznikla v důsledku věcně nesprávného nebo jinak chybného zadání, které obdržela od druhé smluvní strany. V případě, že Objednatel poskytl Dodavateli chybné zadání a Dodavatel s ohledem na svou povinnost poskytovat všechny části Předmětu plnění s odbornou péčí mohl a měl chybnost takového zadání zjistit, je Dodavatel oprávněn se ustanovení dle předchozí věty dovolávat pouze v případě, že na chybné zadání Objednatele písemně upozornil a Objednatel trval na původním zadání.
3. Žádná ze smluvních stran nemá povinnost nahradit škodu či jinou újmu způsobenou porušením svých povinností vyplývajících z této Smlouvy, bránila-li jí v jejich splnění některá z překážek vylučujících povinnost k náhradě škody ve smyslu § 2913 odst. 2 občanského zákoníku.
3. Smluvní strany se zavazují upozornit druhou smluvní stranu bez zbytečného odkladu na vzniklé překážky vylučující povinnost k náhradě škody bránící řádnému plnění této Smlouvy. Smluvní strany se zavazují k vyvinutí maximálního úsilí k odvrácení a překonání překážek vylučujících povinnost k náhradě škody.
3. Smluvní strany se dohodly, že omezují právo na náhradu škody, která může při plnění této Smlouvy jedné smluvní straně vzniknout, a to na celkovou částku odpovídající 200 % z celkové částky za poskytování Nástroje XDR po celou dobu trvání této Smlouvy. Ustanovení § 2898 občanského zákoníku není ustanovením dle předchozí věty dotčeno.
3. Případná náhrada škody bude uhrazena v měně platné na území České republiky, přičemž pro propočet na tuto měnu je rozhodný kurs České národní banky ke dni vzniku škody.
3. Každá ze smluvních stran je oprávněna požadovat náhradu škody či jiné újmy i v případě, že se jedná o porušení povinnosti, na kterou se vztahuje smluvní pokuta či sleva z ceny, a to v celém rozsahu.
1. SANKCE
4. Smluvní strany se dohodly, že:
0. v případě překročení limitů SLA při poskytování Technické podpory dle technické specifikace uvedené v Příloze 1 této Smlouvy (sekce Obecné požadavky) se Dodavatel zavazuje uhradit Objednateli smluvní pokutu ve výši 50.000,- Kč za každý jednotlivý případ překročení a 3.000,- Kč za každou započatou hodinu nedostupnosti nad limit stanovený v technické specifikaci uvedené v Příloze 1 této Smlouvy (sekce Technická podpora Dodavatele a Výrobce);
0. v případě prodlení Dodavatele s poskytnutím Služeb exitu ve smyslu odst. 3.6 této Smlouvy, se Dodavatel zavazuje uhradit Objednateli smluvní pokutu ve výši 50.000,- Kč za každý i započatý den prodlení;
0. v případě prodlení Dodavatele s vypracováním Exitového plánu nebo v případě prodlení s poskytnutím plnění nezbytných k jeho realizaci do 1 kalendářního měsíce od doručení požadavku Objednatele dle odst. 7.2 této Smlouvy se Dodavatel zavazuje uhradit Objednateli smluvní pokutu ve výši 50.000,- Kč za každý i započatý den prodlení;
0. V případě, že Dodavatel poruší svoji povinnost reagovat na požadavek Objednatele nebo jím určené třetí strany a zahájit poskytování součinnosti dle odstavce 7.4 této Smlouvy nejpozději do 5 pracovních dnů ode dne doručení takovéhoto požadavku Objednatele, se Dodavatel zavazuje uhradit Objednateli smluvní pokutu ve výši 5.000,- Kč za každý i započatý den prodlení;
0. v případě porušení povinnosti Dodavatele poskytovat Předmět plnění za účasti členů realizačního týmu a provádět jejich změny pouze se souhlasem Objednatele dle odst. 3.8 této Smlouvy nebo poskytovat Předmět plnění s využitím poddodavatelů uvedených v Příloze 6 této Smlouvy dle odst. 3.9 této Smlouvy se Dodavatel zavazuje uhradit Objednateli smluvní pokutu ve výši 10.000,- Kč za každé jednotlivé porušení takovéto povinnosti. Ustanovení dle předchozí věty se neaplikuje na pracovníky výrobce Nástroje XDR;
0. v případě prodlení Dodavatele s dokončením Základní implementace dle Harmonogramu plnění, který je uveden v Příloze 3 této Smlouvy, se Dodavatel zavazuje uhradit Objednateli smluvní pokutu ve výši 100.000,- Kč za každý i započatý den prodlení;
0. v případě porušení povinnosti Dodavatele zahájit poskytování Nástroje XDR po rozšíření dle odst. 6.3 této Smlouvy se Dodavatel zavazuje uhradit Objednateli smluvní pokutu ve výši 25.000,- Kč za každý i započatý den prodlení.
4. Smluvní strany se dále dohodly, že:
1. v případě porušení povinnosti Dodavatele stanovené v odst. 5.10 této Smlouvy se Dodavatel zavazuje uhradit Objednateli smluvní pokutu ve výši 10.000,- Kč za každý i započatý den prodlení, kdy Dodavatel nepředloží originál bankovní záruky;
1. v případě porušení povinnosti Dodavatele dle odst. 10.2 této Smlouvy se Dodavatel zavazuje uhradit Objednateli smluvní pokutu ve výši 10.000,- Kč za každý i započatý den, kdy Dodavatel nepředloží pojistnou smlouvu dle odst. 10.2 této Smlouvy, pojistku potvrzující uzavření takové smlouvy nebo pojistný certifikát potvrzující uzavření takové smlouvy;
1. v případě porušení povinnosti Dodavatele dodržet veškeré záruky o technickém a organizačním zabezpečení osobních údajů dle čl. 14 této Smlouvy se Dodavatel zavazuje uhradit Objednateli smluvní pokutu ve výši 10.000,- Kč za každý jednotlivý případ takového porušení;
1. v případě porušení jakékoliv povinnosti Dodavatele dle čl. 19 této Smlouvy zjištěném při zákaznickém auditu dle odst. 19.5 této Smlouvy se Dodavatel zavazuje uhradit Objednateli smluvní pokutu ve výši 20.000, Kč za každý jednotlivý případ porušení;
1. za každý případ neumožnění anebo odepření provedení kontroly a auditu dle odst. 19.5 se Dodavatel zavazuje uhradit Objednateli smluvní pokutu ve výši 300.000,- Kč za každý jednotlivý případ takového porušení. Ustanovení dle předchozí věty se neaplikuje, pokud je Dodavatel pro poskytování Předmětu plnění orgánem nebo osobou uvedenou v § 3 písm. a) až g) zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) (dále jen „ZKB“).
4. Poruší-li Dodavatel povinnosti vyplývající z této Smlouvy ohledně ochrany důvěrných informací dle čl. 15 této Smlouvy, zavazuje se Objednateli uhradit smluvní pokutu ve výši 500.000,- Kč za každé porušení takové povinnosti.
4. Smluvní pokuty a/nebo úroky z prodlení jsou splatné 30. den ode dne doručení písemné výzvy oprávněné smluvní strany k jejich úhradě povinnou smluvní stranou, není-li ve výzvě uvedena lhůta delší. Slevy z ceny se Dodavatel zavazuje zohlednit při fakturaci, nestane-li se tak, je Objednatel oprávněn slevu z ceny uplatnit písemnou výzvou obdobně jako v případě smluvní pokuty.
4. Není-li dále stanoveno jinak, uhrazení jakékoliv sjednané smluvní pokuty nezbavuje povinnou smluvní stranu povinnosti splnit své závazky.
4. Zaplacením smluvní pokuty není jakkoliv dotčen nárok Objednatele na náhradu škody; nárok na náhradu škody je Objednatel oprávněn uplatnit vedle smluvní pokuty v plné výši. Zaplacením smluvní pokuty není dotčeno splnění povinnosti, která je prostřednictvím smluvní pokuty zajištěna.
4. Smluvní pokuty mohou být započteny vůči ceně za poskytnutí Nástroje XDR, kterou se Objednatel zavazuje hradit dle odst. 5.1 této Smlouvy.
KYBERNETICKÁ BEZPEČNOST
Dodavatel tímto bere na vědomí, že
4.6.1 Objednatel je správcem informačních systémů kritické informační infrastruktury dle ustanovení § 3 písm. c) ZKB, správcem komunikačního systému kritické informační infrastruktury dle ustanovení § 3 písm. d) ZKB a správcem významných informačních systémů dle ustanovení § 3 písm. e) ZKB. Dodavatel dále tímto bere na vědomí, že poskytnutí služeb specifikovaných shora jako Předmět plnění bude prováděno na aktivech systémů kritické informační infrastruktury a aktivech významných informačních systémů.
4.6.2 Objednatel považuje Dodavatele za významného dodavatele ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti).
Smluvní strany potvrzují, že rozsah zapojení Dodavatele na zajištění bezpečnosti aktiv informačních a komunikačních systémů kritické informační infrastruktury a aktiv významných informačních systému je určen předmětem této Smlouvy.
Dodavatel prohlašuje, že on i jeho poddodavatelé mají zavedena všechna bezpečnostní opatření, procesy a technologie, které prohlásil za zavedené (odpověděl ANO) v dotazníku pro hodnocení technické úrovně kybernetické bezpečnosti dodavatele, který tvoří Přílohu 10 této Smlouvy (dále jen „Bezpečnostní opatření na straně Dodavatele“).
Dodavatel se zavazuje v rozsahu plnění této Smlouvy naplnit všechny bezpečnostní požadavky uvedené v Příloze 9 této Smlouvy (dále jen „Kybernetické požadavky“) a to do začátku poskytování Nástroje XDR dle odst. 3.1 této Smlouvy.
Dodavatel se zavazuje umožnit Objednateli v roční periodě po dobu trvání smluvního vztahu založeného touto Smlouvou a 1 kalendářní rok po ukončení smluvního vztahu provedení zákaznického auditu (kontroly):
4.6.3 jehož rozsah bude ohraničen využíváním ICT prostředků Dodavatele pro potřeby plnění této Smlouvy a uloženými či zpracovávanými daty a informacemi Objednatele v ICT prostředí Dodavatele, a
4.6.4 jehož předmětem bude naplnění Kybernetických požadavků, Bezpečnostních opatření na straně Dodavatele a vyhodnocení rizik dle čl. 3 Přílohy 9 této Smlouvy.
Objednatel je oprávněn při kontrole Kybernetických požadavků a Bezpečnostních opatření na straně Dodavatele využít třetí stranu. V případě využití třetí strany bude Objednatel odpovídat za třetí stranu, jako by kontrolu prováděl sám, včetně odpovědnosti za způsobenou škodu či jinou újmu.
Dodavatel se zavazuje umožnit Objednateli kontrolu Kybernetických požadavků a Bezpečnostních opatření na straně Dodavatele provedenou prostředky Objednatele nebo třetí strany, a to v lokalitě Dodavatele i vzdáleně, pokud to technické prostředky Dodavatele umožňují.
Dodavatel se nad rámec poskytování Předmětu plnění zavazuje poskytnout Objednateli součinnost minimálně v rozsahu 10 ČD (1 ČD = 8 pracovních hodin) při provádění každého zákaznického auditu ze strany Objednatele a pro tuto činnost zajistit účast kvalifikovaných pracovníků.
Dále se Dodavatel zavazuje nedostatky zjištěné:
a) na základě provedení hodnocení rizik dle ZKB a vnitřních řídících aktů Objednatele nebo
b) v rámci zákaznického auditu dle odst. 19.5 této Smlouvy
odstranit ve lhůtě určené v písemném oznámení Objednatele nebo ve lhůtě přiměřené.
Odstavce 19.5 až 19.9 této Smlouvy se neaplikují, pokud je Dodavatel pro poskytování předmětu plnění orgánem nebo osobou uvedenou v § 3 písm. a) až g) ZKB.
Dodavatel se nad rámec čl. 10 této Smlouvy také zavazuje:
4.6.5 Poskytnout na vyžádání Objednateli dokumenty a obdobné vstupy, které budou prokazovat naplnění Kybernetických požadavků a Bezpečnostních opatření na straně Dodavatele.
4.6.6 Na požádání s Objednatelem konzultovat kdykoli v průběhu poskytování Předmětu plnění detailní nastavení bezpečnostních opatření k naplnění Kybernetických požadavků a Bezpečnostních opatření na straně Dodavatele a pro takovéto konzultace zajistit účast kvalifikovaných pracovníků.
4.6.7 Neprodleně informovat Objednatele o všech významných změnách v naplnění Kybernetických požadavků a Bezpečnostních opatření na straně Dodavatele, které nastanou kdykoli v průběhu trvání smluvního vztahu založeného touto Smlouvou.
4.6.8 Bezodkladně a s vyvinutím nejlepšího úsilí zajistit náhradní způsob naplnění Kybernetických požadavků a Bezpečnostních opatření na straně Dodavatele, pokud stávající řešení přestalo být funkční a efektivní.
4.6.9 Po ukončení smluvního vztahu založeného tuto Smlouvou všechna data předat Objednateli a případné kopie na straně Poskytovatele řádně zlikvidovat dle ustanovení Kybernetické legislativy.
4.6.10 Bezodkladně informovat Objednatele o bezpečnostních incidentech, které mohou ovlivnit poskytování Předmětu plnění.
4.6.11 Při výkonu své činnosti včas a prokazatelně upozornit Objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahující se ke Kybernetickým požadavkům a jejichž následkem může vzniknout škoda či jiná újma nebo nesoulad se zákony nebo obecně závaznými právními předpisy.
4.6.12 Po ukončení smluvního vztahu založeného tuto Smlouvou předat Objednateli všechna data a případné kopie na straně Dodavatele řádně zlikvidovat dle ustanovení Kybernetické legislativy.
Porušení povinností Dodavatele dle odst. 19.11 této Smlouvy je považováno za porušení smluvní povinnosti dle bodu 18.2.4 této Smlouvy a v případě nedodržení Kybernetických požadavků ze strany Dodavatele platí adekvátně ustanovení odst. 18.3 a 18.4 této Smlouvy.
1. PLATNOST A ÚČINNOST SMLOUVY
5. Tato Smlouva nabývá platnosti dnem jejího podpisu oběma smluvními stranami a účinnosti dnem uveřejnění v registru smluv dle zákona č. 340/2015 Sb., o registru smluv, ve znění pozdějších předpisů. Tato Smlouva se uzavírá na dobu určitou v trvání 72 kalendářních měsíců od zahájení poskytování Nástroje XDR dle odst. 4.1.1 této Smlouvy. Pro vyloučení pochybností smluvní strany uvádějí, že Dodavatel je oprávněn poskytnout Služby exitu i před termínem stanoveným dle odst. 4.1 této Smlouvy.
5. Objednatel je oprávněn bez jakýchkoliv sankcí písemně odstoupit od této Smlouvy v případě:
1. prodlení Dodavatele s poskytnutím Služeb exitu po dobu delší než 15 pracovních dnů oproti termínu plnění stanovenému ve Smlouvě nebo na základě této Smlouvy, pokud Dodavatel nezjedná nápravu ani v dodatečné přiměřené lhůtě, kterou mu k tomu Objednatel poskytne v písemné výzvě ke splnění povinnosti, přičemž tato lhůta nesmí být kratší než 10 pracovních dnů od doručení takovéto výzvy,
1. že celková výše smluvních pokut, na jejichž uhrazení by měl Objednatel dle této Smlouvy nárok, dosáhne trojnásobku měsíční ceny za poskytování Nástroje XDR,
1. porušení povinnosti ochrany důvěrných informací či osobních údajů dle této Smlouvy ze strany Dodavatele,
1. že nebude schválena částka ze státního rozpočtu, či z jiných zdrojů (např. z EU), která je potřebná k úhradě plnění této Smlouvy v následujícím kalendářním roce,
1. Dodavatel do začátku poskytování Předmětu plnění dle odst. 3.1 a 3.2 této Smlouvy a harmonogramu v Příloze 3 této Smlouvy nenaplní všechny Kybernetické požadavky uvedené v Příloze 9 této Smlouvy.
5. Objednatel je dále oprávněn bez jakýchkoliv sankcí odstoupit od této Smlouvy, pokud:
2. bylo příslušným orgánem vydáno pravomocné rozhodnutí zakazující plnění této Smlouvy;
2. na majetek Dodavatele je prohlášen úpadek nebo Dodavatel sám podá dlužnický návrh na zahájení insolvenčního řízení;
2. dojde k významné změně kontroly nad Dodavatelem, přičemž kontrolou se rozumí vliv, ovládání či řízení dle § 74 a násl. zákona č. 90/2012 Sb., o obchodních společnostech a družstvech (zákon o obchodních korporacích), ve znění pozdějších předpisů, či ekvivalentní postavení nebo dojde ke změně vlastnictví či oprávnění nakládat se zásadními aktivy využívanými Dodavatelem k plnění dle této Smlouvy a tato změna bude Objednatelem vyhodnocena jako bezpečnostní riziko ve smyslu Kybernetické legislativy; nebo
2. Dodavatel vstoupí do likvidace.
5. Dodavatel je oprávněn odstoupit od této Smlouvy v případě prodlení Objednatele s uhrazením jakékoliv splatné částky dle této Smlouvy po dobu delší než 60 kalendářních dnů, pokud Objednatel nezjedná nápravu ani v dodatečné přiměřené lhůtě, kterou mu k tomu Dodavatel poskytne v písemné výzvě ke splnění povinnosti, přičemž tato lhůta nesmí být kratší než 15 pracovních dnů od doručení takovéto výzvy.
5. Účinky odstoupení od Smlouvy nastávají dnem doručení písemného oznámení o odstoupení druhé smluvní straně.
5. Po uplynutí 6 kalendářních měsíců po nabytí účinnosti Smlouvy dle odst. 20.1 této Smlouvy je Objednatel oprávněn tuto Smlouvu písemně vypovědět bez udání důvodů, a to s výpovědní dobou 3 kalendářních měsíců ode dne doručení písemné výpovědi Dodavateli, které počíná běžet prvním dnem kalendářního měsíce následujícího po doručení výpovědi.
5. Výpověď dle odst. 20.6 této Smlouvy může být i částečná a Objednatel je oprávněn tuto Smlouvu vypovídat ve vztahu k jakékoli části plnění Dodavatele.
5. Ukončením smluvního vztahu založeného touto Smlouvou nejsou dotčena ustanovení Smlouvy týkající se licencí, záruk, práv z vady, povinnosti nahradit škodu či jinou újmu a povinnosti hradit smluvní pokuty, ustanovení o ochraně informací a osobních údajů, ani další ustanovení a nároky, z jejichž povahy vyplývá, že mají trvat i po ukončení smluvního vztahu.
1. ŘEŠENÍ SPORŮ
6. Práva a povinnosti smluvních stran touto Smlouvou výslovně neupravené se řídí občanským zákoníkem a příslušnými právními předpisy.
6. Smluvní strany se zavazují vyvinout maximální úsilí k odstranění vzájemných sporů vzniklých na základě této Smlouvy nebo v souvislosti s touto Smlouvou, včetně sporů o její výklad či platnost a usilovat o jejich vyřešení nejprve smírně prostřednictvím jednání oprávněných osob nebo pověřených zástupců. Tím není dotčeno právo smluvních stran obrátit se ve věci na příslušný obecný soud České republiky.
1. ZÁVĚREČNÁ USTANOVENÍ
7. Tato Smlouva představuje úplnou dohodu smluvních stran o předmětu této Smlouvy. Tuto Smlouvu je možné měnit pouze písemnou dohodou smluvních stran ve formě číslovaných dodatků této Smlouvy uzavřených v souladu s příslušnými ustanoveními ZZVZ a podepsaných osobami oprávněnými jednat ve věcech smluvních, není-li v této Smlouvě výslovně uvedeno jinak.
7. Veškerá práva a povinnosti vyplývající z této Smlouvy přecházejí, pokud to povaha těchto práv a povinností nevylučuje, na právní nástupce smluvních stran.
7. Dodavatel není oprávněn postoupit peněžité nároky vůči Objednateli na třetí osobu bez předchozího písemného souhlasu Objednatele.
7. Tato Smlouva je uzavřena elektronicky, tj. prostřednictvím uznávaného elektronického podpisu ve smyslu zákona č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, ve znění pozdějších předpisů, opatřeného časovým razítkem.
7. Nedílnou součást této Smlouvy tvoří tyto přílohy:
Příloha 1
Technická specifikace
Příloha 2
Popis ICT prostředí Objednatele
Příloha 3
Harmonogram Základní implementace
Příloha 4
Realizační tým Dodavatele
Příloha 5
Oprávněné osoby
Příloha 6
Seznam poddodavatelů
Příloha 7
Cena
Příloha 8
Etický kodex
Příloha 9
Kybernetické požadavky
Příloha 10
Dotazník pro hodnocení technické úrovně kybernetické bezpečnosti
Smluvní strany prohlašují, že si tuto Smlouvu přečetly, že s jejím obsahem souhlasí a na důkaz toho k ní připojují svoje podpisy.
Objednatel
V Praze dne dle elektronického podpisu
Dodavatel
V Praze dne dle elektronického podpisu
____________________________________
Česká republika – Ministerstvo práce a sociálních věcí
___________________________________
Corpus Solutions a.s.
Smlouva o pořízení nástroje XDR
8
Strana 36 / 35
Příloha č. 1
Technická specifikace Nástroje XDR
Nástroj XDR, jehož licence jsou dodávané dle odst. 3.1 této Smlouvy, musí splňovat všechny níže uvedené požadavky a funkce.
Obecné požadavky
Všechny požadované funkce týkající se koncového bodu, jakými jsou zejména, ale nikoliv výlučně sběr dat k analýze, detekci aktivit škodlivého kódu, detekci zranitelností nainstalovaných aplikací, jsou prováděny výhradně jediným agentem běžícím na koncovém bodě/zařízení
Všechny úkony týkající se zejména, ale nikoliv výlučně konfigurace systému, správy a ochrany koncových zařízení, forenzní analýzy jsou prováděny v jednotné konzoli, přístupné pomocí webového rozhraní.
Veškeré komponenty centrální správy navrhovaného řešení, komponenty pro ukládání a analýzu dat budou provozovány výlučně v on-premise prostředí Zadavatele.
Nástroj XDR poskytuje jednotné uživatelské rozhraní pro analytiku, vyšetřování a reakci společnou pro prostředí sítě i koncových bodů.
Nástroj XDR musí umožnit správu koncových zařízení, která nedisponují přímou konektivitou do internetu. K tomu je možné použít on-premise virtuální server, sloužící jako proxy pro komunikaci s managementem, a který je zahrnut v ceně dodávaného systému, nebo je jeho použití bezplatné. Výpočetní prostředky nutné pro jeho běh jsou dodávány Objednatelem, viz část „HW zajištěný Objednatelem a prostor pro HW Dodavatele“ na konci této specifikace.
Nástroj XDR zajišťuje sběr takových dat z koncových zařízení, která jsou relevantní k zastavení nebo detekci útoku a následné forenzní analýze.
Nástroj XDR musí umožnit zachování plných informací pro následné analýzy na koncového zařízení minimálně 60 dní.
Metadata relevantní k detekovaným bezpečnostním událostem musí Nástroj XDR ukládat min. po dobu 12 měsíců.
Nástroj XDR musí umožnit volitelné rozšíření o funkci pro detekci a prevenci bezpečnostních incidentů pro data zejména, nikoliv výlučně z následujících zdrojů:
- Packet Broker
- Windows Event logy (MS AD)
Nástroj XDR umožňuje provádět analýzu síťového provozu nad zrcadleným provozem sítě.
Nástroj XDR spravuje administrátorské účty interně nebo používá identity uložené u jakéhokoliv poskytovatele identit pomocí protokolu SAML.
Nástroj XDR umožňuje segregaci rolí tak, že jednotlivým správcům zpřístupní pouze vybrané funkcionality systému.
Nástroj XDR umožňuje segregaci rolí tak, že jednotlivým správcům umožní spravovat pouze vybrané skupiny koncových zařízení.
Nástroj XDR umožňuje segregaci rolí tak, že jednotlivým správcům umožní přistupovat pouze k těm datům v systému, ke kterým je mu udělen přístup.
Nástroj XDR obsahuje možnost zapnout multi-faktorovou autentizaci pro správce bez nutnosti poskytnout toto řešení ze strany Objednatele.
Nástroj XDR umožňuje export dat ve formátu syslog pro nástroj správy logů třetí strany.
Nástroj XDR umožňuje tvorbu dynamických dashboardů, čerpající data definovaná libovolným uživatelským pohledem do báze dat.
Všechny události i metadata o síťovém provozu a chování koncových zařízení (nejen alerty a k nim přidružené informace) v maximálním detailu budou uchovávány po dobu minimálně 60 dnů.
Všechny komponenty Nástroje XDR je možné provozovat v prostředí Objednatele.
Nástroj XDR podporuje monitorování provozu na rozhraních Ethernet s rychlostmi 100Mbps, 1Gbps, 10Gbps a 25Gbps.
Nástroj XDR umožňuje instalaci jednotlivých komponent řešení do virtuálního prostředí (VMware).
Nástroj XDR monitoruje svůj vnitřní chod a drží historické informace o událostech týkající se vlastního chodu a problémů.
Nástroj XDR musí podporovat práci v hierarchickém režimu (včetně selektivní správy práv k informacím) pro případné budoucí zapojení podřízených organizací do bezpečnostního dohledu. Požadavek zahrnuje jednotné rozhraní pro vyšetřování, konfiguraci bezpečnostní politiky a správu řešení u všech podřízených organizací, vlastní rozhraní pro správu v každé podřízené organizaci a datová úložiště v každé podřízené organizaci.
Nástroj XDR má dashboard a umožňuje jeho úpravy pro grafické zobrazení informací a podpory rozhodovacího procesu (alert triage).
Funkce detekce na koncových zařízeních
Nástroj XDR zajišťuje bezpečnostní monitorování koncových zařízení (stanic a serverů) s funkcionalitou Endpoint Detect & Response.
Nástroj XDR umožňuje pokročilou detekci minimálně následujících hrozeb:
- detekce škodlivého kódu jeho rozpoznáním podle vzorů pro obsah
- detekce škodlivého kódu pomocí pravidel popisující chování
- detekce projevů činnosti útočníka na koncovém bodě
- analýza běžících procesů na stanici a jejich ohodnocení z hlediska činností, které provádějí
- nestandardní síťová komunikace, jako jsou neočekávaná SMTP a SSH spojení
- nestandardní práce s uživatelskými účty, jako snaha o získání uložených přihlašovacích údajů (např. mimikatz, cmdkey)
- nestandardní práce se soubory (manipulace s shadow copy, kopírování souborů na USB média)
- detekce úspěšných skenů služeb okolních počítačů
- snaha o prolomení hesel, jako je bruteforce útok
- chování odpovídající známé útočné technice
Nástroj XDR bude kontinuálně zaznamenávat činnosti na koncových bodech v podobě meta-dat v těchto oblastech:
- spuštění a ukončení procesů,
- souborové manipulace,
- manipulace s registry,
- síťových spojení včetně URL pro http spojení,
- DNS překladů,
- detekci nestandardního DNS chování, jako je DNS tunneling, více neúspěšných DNS dotazů,
- Manipulace s USB médii a přenosy souborů na ně,
- Windows události (Windows Events).
Nástroj XDR bude možné napojit na vlastní nebo otevřené zdroje informací o hrozbách ve formátech JSON, CSV a STIX.
Nástroj XDR bude umožňovat import popisu IOC ve formátu OpenIOC a YARA.
Nástroj XDR musí klasifikovat události podle MITRE ATT&CK frameworku uvedením odpovídající techniky a/nebo taktiky útočníka.
Vlastní pravidla lze definovat tak, aby také používala kategorie MITRE ATT&CK frameworku.
Nástroj XDR musí rozpoznat zranitelnosti nainstalovaného software na koncových bodech.
Nástroj XDR musí být schopný zaznamenávat metadata o chování koncových bodů, alerty a výsledky úloh i pro koncové body, které jsou dočasně mimo síť, jejich uchováním na koncovém bodě až do jejich odeslání do Nástroj XDRu alespoň po dobu 5 dní.
Nástroj XDR používá k detekci hrozeb vytvoření standardního chování síťového provozu i konkrétních koncových zařízení (tzv. baseline) a sleduje odchylky zachycené systémem strojového učení.
Nástroj XDR provádí detekci anomálií síťového provozu a chování známých procesů nejen na základě baseline vytvořené v prostředí dané organizace, ale i srovnáním s nálezy dalších organizací ve světě.
Nástroj XDR provádí detekci hrozeb na základě pravidel definovaných výrobcem, založených na základě chování, které je při útocích využíváno (TTP MITRE ATT&CK).
Nástroj XDR umožňuje tvorbu uživatelských IOC (Indicator of Compromise) na základě zadání celé cesty umístění souboru, jména souboru, navštěvované domény, IP adresy, hashe souboru, nebo pokročilé behaviorální IOC skládající se z řetězce událostí.
Nástroj XDR umožňuje tvorbu korelačních pravidel napříč daty v něm uloženými.
Nástroj XDR umožňuje ochranu koncového bodu zabráněním spuštění procesu dle hash nebo ukončení procesu dle výrazu YARA.
Funkce detekce v síti
Nástroj XDR umožňuje import detekčních pravidel s podporou formátů YARA a zdrojů specifikace TAXII/STYX.
Analýza síťového provozu v prostřednictvím Nástroje XDR se provádí pro veškerý síťový provoz bez ohledu na použité komunikační protokoly, a proto jsou sledována a analyzována všechna probíhající spojení na všech síťových portech.
Nástroj XDR umožňuje import úplného záznamu síťové komunikace ve formátu PCAP pro kontrolu, popis a hloubkovou analýzu.
Nástroj XDR umožňuje import popisu hrozeb od třetích stran a vlastních, které mohou být dodány ve formátech STIX, TAXII, CSV (podpora ThreatConnect).
Nástroj XDR umožňuje detekci malwaru přenášeného přes jakýkoli nešifrovaný protokol.
Nástroj XDR podporuje spolupráce s řešeními SSL Visibility pro kontrolu provozu přenášeného přes šifrované připojení.
Nástroj XDR umožňuje detekci:
- zpětných volání malwaru Command & Control
- projevů nástrojů pro vzdálený přístup (RAT)
- pokusů o zneužití zranitelností na dálku prostřednictvím sítě
- výjimek pro vyloučení určité komunikace z inspekce daným pravidlem
- malwaru zabaleného i hluboko v obsahu (v archivech a dalších složených dokumentech)
Nástroj XDR identifikuje spojení využívajících neočekávané nebo neznámé protokoly (např. nesoulad portů a protokolů).
Nástroj XDR umožňuje obsahovou analýzu pro detekci exfiltrace informací s možností nasazení v prostředí se značkami (klasifikátory) i bez nich (např. pomocí regulárních výrazů obsahových pravidel, vzorových šablon, atp.) a detekuje informace přenášené i hluboko v obsahu, bez ohledu na hloubku vložení a bez ohledu na formát souboru.
Nástroj XDR umožňuje definovat vlastní pravidla detekce nad libovolným typem přenášeného obsahu, charakteristikami chování nebo posloupností událostí v síti.
Nástroj XDR je schopen aplikovat aktualizované signatury na historický síťový provoz uložený v popisných metadatech po dobu požadované retence, aby našel nyní známý malware, který nebyl v minulosti detekován.
Nástroj XDR provádí detekci malwaru se prostřednictvím všech níže specifikovaných způsobů:
- signatur a pravidel
- heuristické analýzy
- vyhledávání typického chování (behaviorální analýza)
- detekce v sandboxu pomocí virtuálního spuštění (detonace) - detekce anomálií.
Nástroj XDR umožňuje detonaci/virtuální spuštění podezřelého obsahu, který mohl být zachycen v jakémkoli místě dohledované sítě, v místním sandboxu s podrobným výstupem výsledku detonace v jednotné konzoli bezpečnostního analytika.
Nástroj XDR detekuje anomáli pomocí modelů strojového učení a případné generování alarmů pro významné anomálie.
Pravidla analýzy provozu umožňují v nástroji XDR definovat podmínky vztahující se k přenášenému obsahu a parametrům aplikační vrstvy, například detekovat přenášené soubory, u nichž koncovky soborů neodpovídají obsahu, nebo typická čísla portů neodpovídající typu detekovaného komunikačního protokolu.
Nástroj XDR umožňuje definovat pravidla pro vyhledávání shody událostí nebo posloupnosti událostí v síťovém provozu a generovat výstrahy průběžnou analýzou okamžitých událostí a analýzou již uložených historických záznamů o provozu zpětně.
Nástroj XDR musí klasifikovat události podle MITRE ATT&CK frameworku uvedením odpovídající techniky a/nebo taktiky útočníka. Vlastní pravidla lze definovat tak, aby také používala kategorie MITRE ATT&CK frameworku.
Nástroj XDR umožňuje retrospektivní analýzu všech zaznamenaných údajů o chování sítě, která odhalí sled událostí vedoucích k projevům kybernetického incidentu.
Nástroj XDR umožňuje definovat pravidla (komunikační matice) pro vyhodnocení oprávněnosti odchozí komunikace vůči definovaným kritickým informačním systémům pomocí kombinací parametrů:
- IP adresa/seznam IP adres/rozsah adres
- Skutečný typ detekovaného protokolu (nezávisle na definovaném čísle portu TCP/UDP)
- Čísla portů (TCP/UDP)
Nástroj XDR má schopnost identifikovat specifické komunikační protokoly vyskytující se v provozu organizace zadavatele. Schopnost zahrnout takto identifikovaný protokol do definice detekčních pravidel.
Nástroj XDR podporuje detekci síťového provozu ve spolupráci s PROXY, které podporují protokol ICAP (Internet Content Adaptation Protocol).
Reakce na hrozby na koncovém zařízení a v síti
Nástroj XDR umožňuje provedení akce na koncovém bodě nebo bodech odesláním úlohy k provedení a také interakcí s koncovým bodem v reálném čase.
Nástroj XDR umožňuje v reakci na detekci bezpečnostní události spustit sken vzdáleného počítače pro nalezení dalšího škodlivého software
Nástroj XDR umožňuje automatizovanou reakce na incidenty automatickým nebo polo-automatickým spouštěním akcí (nachystaných výrobcem i uživatelem definovaných) na koncových bodech v případě výskytu určitého alarmu, který se ke koncovému bodu vztahuje.
Nástroj XDR umožňuje zabezpečený a logovaný terminálový přístup na koncovou stanici. Tento vzdálený přístup musí být možné pro kritické cíle možno vypnout.
Nástroj XDR umožňuje v reakci na zaznamenanou hrozbu nebo i manuálně spustit skript či příkaz v prostředí Windows (CMD, PowerShell, Python) a skripty typu bash a Python v prostředí MacOSX a Linux.
Na koncovém zařízení je prostřednictvím nástroje XDR jsou umožněny následující funkce:
- správa uživatelů (přidání, odebrání, povolení, zablokování,
- instalace a odinstalace aplikací,
- změna nastavení operačního systému (například zapnutí firewallu a antivirového systému).
Na koncovém zařízení je prostřednictvím nástroje XDR je umožněna forenzní analýza zahrnující minimálně:
- vzdáleně – získáním obrazu paměti určitého procesu
- vzdáleně – získáním obrazu celé paměti
- vzdáleně – získáním obrazu disku
Nástroj XDR musí umožnit na koncovém zařízení (notebook, pracovní stanice):
- Smazat soubor
- Ukončit proces
- Síťová izolace koncového bodu (při zachování komunikace systému s EDR řešením)
- Modifikace/mazání obsahu registrů
- Instalace a odinstalace aplikací a záplat
- Odhlášení uživatele
- Zapnutí a vypnutí firewallu
- Restartování, vypnutí a hibernace koncového bodu.
Nástroj XDR musí být schopen automatického spuštění vybrané akce jako automatické odpovědi na určitý alert.
Agenta nástroje XDR na koncovém zařízení umožňuje provádět více akcí současně.
Nástroj XDR musí umožnit zobrazení běžících procesů na koncovém bodě v reálném čase a základní manipulaci s nimi – například jejich ukončení a získání obrazu paměti procesu.
Nástroj XDR musí umožnit zobrazení vzdáleného souborového systému koncového bodu a základní manipulace se soubory – například získání souboru, smazání souboru.
Nástroj XDR umožňuje automatizaci vybraných reakcí na incidenty (dle definovaných a schválených scriptů).
Nástroj XDR umožňuje automatické spouštění akcí (nachystaných i uživatelem definovaných) na koncových bodech v případě výskytu určitého alarmu, který se ke koncovému bodu vztahuje.
Nástroj XDR má schopnost automatizace pracovních postupů při nápravě kybernetických incidentů:
- plně automatická reakce definovaná bezpečnostní politikou pro síťový provoz
- podporované metody: DROP při in-line zapojení, nebo TCP Reset pro out-of-band připojení
Nástroj XDR umožňuje ukončit síťové spojení na základě detekce.
Nástroj XDR umožňuje spouštět vyšetřovací nebo nápravné úlohy na koncových bodech prostřednictvím integrace s funkcionalitou EDR.
Zajištění viditelnosti dat
Nástroj XDR získává pro analýzu uživatelská data napojením na interní adresářovou službu.
Nástroj XDR získává pro analýzu informace o koncovém zařízení (IP adresa, MAC adresa, název a doména, informace o OS, informace o instalovaném FW, SW, použitých internetových adres) prostřednictvím agenta nainstalovaného na koncovém zařízení.
Nástroj XDR získává pro analýzu informace o procesu (časové razítko, cesta a jméno, ID procesu, hash MD5 nebo SHA-256, parametry) spouštěném na koncovém zařízení, pomocí agenta, který je na koncovém zařízení nainstalován.
Nástroj XDR získává pro analýzu informace o souborech (časové razítko, cesta a jméno, historie umístění a jména, hash MD5 nebo SHA-256) a práci s nimi (vytvoření, smazání, přejmenování, přesun, zkopírování) prostřednictvím agenta nainstalovaného na koncovém zařízení.
Nástroj XDR získává pro analýzu informace o registrech systémů Windows (časové razítko události, název zápisu, jeho hodnota a typ, historie změn) prostřednictvím agenta nainstalovaného na koncovém zařízení.
Nástroj XDR získává pro analýzu informace o systémových událostech, jako je zejména, nikoliv však výlučně přihlášení a odhlášení uživatele prostřednictvím agenta nainstalovaného na koncovém zařízení.
Nástroj XDR musí umožnit doplnění dat z koncových zařízení k bezpečnostním událostem získaným z dalších zařízení (interní funkce XDR).
Nástroj XDR musí umožnit volitelné rozšíření umožňující získání informace pro analýzu ze síťových prvků (časové razítko, zdrojová a cílová IP adresa i port, přenesený objem dat, protokol, geolokační data, integrace s aplikačním firewallem pro kompletní analýzu layer 7 včetně jména aplikace, doba spojení, rozšířená data o klíčových protokolech – DNS, HTTP, DHCP, RPC, ICMP, ARP).
Nástroj XDR musí být schopen použít stávající síťová zařízení instalovaná v síti Objednatele. Podpora minimálně firewallů nové generace výrobců Cisco, F5, Checkpoint, Palo Alto Networks – pokud tyto prvky podporují zrcadlení síťového provozu (SPAN).
Nástroj XDR poskytuje minimálně následující informace o koncovém zařízení:
- přehled identifikovaných zranitelností
- HW a operační systém
- přehled nainstalovaných aplikací
- informace o lokálních účtech, sdílených discích a příslušnosti lokálních účtů ke skupinám, např. pro možnost identifikace lokáních administrátorů
Analýza a vyšetřování incidentů
Nástroj XDR poskytuje automatizovanou analýzu hlavní příčiny jakéhokoliv incidentu, včetně nástrojů a dat pro detailní forenzní analýzu.
Nástroj XDR provádí vizualizaci jednotlivých kroků tvořících incident, včetně možnosti přehledně sledovat jejich časovou posloupnost a včetně současného výskytu na dalších koncových zařízeních.
Nástroj XDR poskytuje nástroj pro vyhledávání ve všech nasbíraných datech pomocí plnohodnotného dotazovacího jazyka. Tento nástroj zajistí možnost vyhledat jakoukoliv uloženou informaci.
Nástroj XDR poskytuje uživatelsky přívětivý nástroj pro vyhledávání v nasbíraných datech pomocí grafického rozhraní správcovské konzole.
Nástroj XDR v rámci incidentu automaticky propojí a přehledně prezentuje informace ze všech zdrojů dat, vztahující se k detekovanému incidentu.
Události budou zaznamenávány do centrálního úložiště v reálném čase a budou zpětně dostupné s časovou retencí požadovanou v technické specifikaci Zadavatele.
Nástroj XDR poskytuje pouze relevantní informace a potlačuje šum. Tyto potlačené informace, které nejsou relevantní k vyšetřování incidentu, je však stále možno dohledat.
Nástroj XDR umožňuje vyhledávat indikátory kompromitace napříč jednotlivými koncovými zařízeními, např. v případě výskytu škodlivého souboru na jednom z koncových zařízení je možné automaticky prohledat, jestli se tento soubor nevyskytuje i na dalších spravovaných koncových zařízeních nebo při výskytu škodlivé komunikace je možno vyhledat, která koncová zařízení (i ta bez nainstalovaného agenta) komunikovala obdobně.
Nástroj XDR poskytuje funkci zpětného vyhledávání v historických datech. Ve chvíli, kdy je vytvořen či výrobcem doplněn nový IOC (Indicator of Compromise) nebo BIOC (Behavioral Indicator Of Compromise), je systém schopen prohledat dostupná historická data a vytvořit incidenty, ke kterým došlo v minulosti, kdy ještě konkrétní způsob útoku nebyl známý.
Nástroj XDR poskytuje funkci řízeného vyhledávání hrozeb na základě IOC pro snadné a rychlé prověření celého prostředí.
Nástroj XDR zobrazuje u každé části incidentu její návaznosti na standardizovaný framework MITRE ATT&CK, který zastřešuje https://attack.mitre.org.
Nástroj XDR obsahuje integrovanou MITRE ATT&CK matici s vyznačenými technikami, které daná část útoku používá.
Nástroj XDR umožňuje tvorbu vlastních pravidel, které definují skóre jednotlivých incidentů pro účely jejich prioritizace.
Nástroj XDR je napojen na zdroj aktualizovaných informací o hrozbách (threat-intelligence) a bude z toho zdroje provádět pravidelně aktualizace.
Nástroj XDR musí být schopen nalézt soubor na disku koncového bodu dle:
- obsahu
- hashe
- názvu
- velikosti
- koncovky
- času vytvoření/modifikace
- kombinace výše uvedeného.
Nástroj XDR umožňuje vyhledávání souboru i pro smazané soubory.
Nástroj XDR umožňuje vyhledávání souboru na souborovém systému, logickém i fyzickém disku v jejich využité (obsazené/alokované) i nevyužité části.
Nástroj XDR umožní zhodnocení hrozby integrací na službu Virus Total nebo obdobnou službu.
Nástroj XDR bude pro běžící procesy schopen zaznamenat:
- otevřené sokety
- souborové manipulace
- informace o DLL, které byly dynamicky přilinkovány včetně informace, zda byly injektovány
- obsazený virtuální adresní prostor
- identitu, pod kterou byl proces spuštěn.
Nástroj XDR musí být schopen na vyžádání – nebo jako součást automatické reakce – získat informace o okamžitém stavu koncového bodu minimálně v oblastech:
- Přihlášení uživatelé
- Vystavená síťová spojení
- Běžící procesy
- Seznam zavedených lokálních správců
- Seznam nainstalovaného software
- Seznam nainstalovaných důvěryhodných certifikátů
- Čas od spuštění počítače
- Stav antiviru
- Stav firewallu
- Seznam do paměti nahraných ovladačů
- Seznam klíčů a hodnot autorun v registrech
- Výpis obsahu DNS a ARP vyrovnávacích pamětí
- HW inventář
- Obsah směrovací tabulky
- Seznam aktivních síťových rozhraní.
Nástroj XDR umožňuje vyhledávání v metadatech dle libovolného parametru události (například jméno procesu, jméno rodiče, PID, hash, jméno souboru, jméno klíče v registrech, IP adresa serveru, URL spojení).
V případě potřeby musí být Nástroj XDR schopný spustit rozšířené úlohy zjišťující stav koncového bodu v oblasti:
- získání historie navštívených stránek webového prohlížeče
- získání záznamu síťového provozu koncového bodu
- získání obrazu logického disku nebo fyzického disku
- získání obrazu paměti
Nástroj XDR musí být schopný zobrazit činnosti určitého procesu ve vztahu k:
- souborovým manipulacím
- manipulacím s registry
- síťovým spojením
- spuštěným podprocesům
- to vše graficky na časové ose
Nástroj XDR musí umožnit přístup ke koncovému bodu pomocí sezení v reálném čase (konzolový přístup) pro účely vyšetřování a reakce.
Nástroj XDR ma vestavěné funkce pro vyšetřování, shromažďování stop a generování zprávy o incidentu.
Nástroj XDR průběžně zaznamenává informace o síťové komunikaci ve formě, která umožňuje pozdější analýzu (metadata).
Nástroj XDR umožňuje export úplného záznamu, předem popsaných síťových komunikací, ve formátu PCAP pro další zkoumání.
Pro následnou analýzu má Nástroj XDR k dispozici historické informace o provozu se stanovenou dobou uchování.
Nástroj XDR podporuje efektivitu vyšetřování tím, že dokáže automatizovaně spojovat jednotlivé bezpečnostní události, které mají společnou příčinu, do jedné události (incidentu).
Možnost průběžně zaznamenávat a zpětně analyzovat informace o všech síťových aktivitách (všechny níže uvedené):
- IP adresy a jejich zeměpisná poloha
- identity uživatelů (např. e-mailové adresy pro rozhraní SMTP/POP3/IMAP a web-mail nebo uživatelská jména pro jiné protokoly).
- čísla portů
- skutečný typ zjištěného protokolu
- parametry rozpoznaných komunikačních protokolů (například hlavičky SMTP, HTTP, ...)
- typ přenášených souborů (minimálně excel, word, powerpoint, pdf, exe, msi, obrazové formáty, archivní a kompresní formáty, včetně vnořených)
- HASH přenášených souborů
- velikost přenášených souborů
- název a přípona přenesených souborů
- informace o tom, že soubor je zašifrovaný, a obecně informace o entropii obsahu souborů
- čas a délku spojení
- objem přenesených dat.
Nástroj XDR umožňuje extrakci obsahu souborů zachycených při jejich pohybu po síti pro forenzní účely pomocí systémové konzoly.
Zaznamenané informace o provozu umožňují v Nástroji XDR vyhledávat spojení podle libovolného atributu popisujícího spojení nebo pomocí logického výrazu s relačními operátory odkazujícími na atributy spojení.
Nástroj XDR zaznamenává geolokaci komunikujících stran.
Nástroj XDR umožňuje vlastní definici geolokačních tabulek IP adres (pro geolokaci privátní IP segmentů).
V oblasti detekce a vyšetřování Advanced persistent threats (APT) musí Nástroj XDR splňovat požadavek na viditelnost stop daného útoku a dostupnost forenzních dat ze všech zachytitelných fází útoku APT (podle fází cyber-kill-chain).
Nástroj XDR přiřazuje informace o uživatelském účtu k zaznamenanému síťovému spojení.
Správa incidentů
Nástroj XDR má modul pro řízení životního cyklu tiketů pro distribuci úkolů mezi uživatele systému/vyšetřovatele.
Nástroj XDR udržuje životní cyklus incidentu, jako je jeho otevření, přiřazení řešiteli, vyšetření, uzavření.
Nástroj XDR poskytuje informaci o všech uživatelích, zařízení, souborech a doménách zapojených do konkrétního incidentu.
Nástroj XDR umožňuje přiřadit incident konkrétnímu řešiteli.
Nástroj XDR umožňuje přiřadit incidentu komentáře.
Nástroj XDR umožňuje exportovat informací o incidentu do nástrojů třetích, viz také sekci Integrace s dalšími systémy.
Parametry a správa agenta koncových zařízení
Na koncových stanicích musí agent využívat zanedbatelnou část zdrojů - agent by neměl překročit po většinu času jednotky (max. 4%) využití CPU.
Agent nainstalovaný na koncovém zařízení žádným způsobem nenarušuje činnost VPN agentů Anyconnect používaných Objednatelem.
Agent systému musí být odolný proti odinstalování a pokusům jej zastavit nebo poškodit.
Odinstalace agentů musí vyžadovat zvláštní autentizaci (heslo pro odinstalaci).
Nástroj XDR zaručuje, že agenta je možné aktualizovat z prostředí centrálního managementu.
Nástroj XDR zaručuje podporu provozu v non-persistentním VDI prostředí
Agent je možné nainstalovat minimálně na následující platformy a OS:
- Všechny aktuálně podporované verze Microsoft Windows
- Všechny aktuálně podporované verze Microsoft Windows Server
- Všechny enterprise distribuce Linux (Ubuntu, Red Hat, SuSE Linux Enterprise server, CentOS, Amazon Linux)
- Všechny aktuálně podporované verze Apple macOS (OS X, MAC OS)
Integrace s dalšími systémy
Nástroj XDR má dokumentované standardizované aplikační rozhraní pro zákaznické integrace s dalšími bezpečnostními komponentami.
Nástroj XDR musí umožňovat odesílání detekovaných událostí do bezpečnostního dohledu Objednatele, viz Standard bezpečnostního dohledu.
Nástroj XDR umožňuje integraci se SOAR (security orchestration, automation and response) řešením pro analýzu incidentů.
Nástroj XDR umožňuje integraci na jiné nástroje a aplikace prostřednictvím http & XML nebo JSON API.
Reporting
Nástroj XDR umožňuje generování reportů dle předpřipravených šablon.
Nástroj XDR umožňuje vytváření a generování zákaznicky definovaných reportů.
Nástroj XDR umožňuje nastavení automatického generování a odesílání reportů na emailové adresy.
Technická specifikace dalších částí předmětu plnění
Technická podpora dodavatele a výrobce (dle odst. 3.3)
Dodavatel musí zajistit technickou podporu:
- V pracovní dny v době 8-18 hod v českém jazyce (email, telefon) / SLA 2 hodiny
- Garantovanou výrobcem 24x7x365 minimálně v anglickém jazyce / SLA 4 hodiny
Jako součást pořízení Nástroje XDR musí být zajištěno školení minimálně pro 5 osob, provedené v českém jazyce a v minimálním rozsahu 2 dny (2 x 6 hodin), které je součástí Základní implementace provedené dle odst. 3.2.
Ladění reportingu (2x FTE na 6 měsíců dle odst. 3.4)
Pracovníci budou provádět ladění Nástroje XDR dle odst. 3.4 této Smlouvy, aby optimalizovali a zlepšili celkových výkon systému, rychlost detekce a reakci na hrozby.
Cílem ladění bude snížení síťových a systémových zdrojů, aby byla optimalizovaná zátěž na síti i na koncových zařízeních.
Pracovníci Dodavatele budou v rámci ladění řešit a filtrovat falešné nálezy (false positive) a realizovat změny v konfiguraci nástroje XDR, aby takové nálezy minimalizovaly.
Pracovníci Dodavatele budou v rámci ladění optimalizovat sledování událostí a analýzu, s cílem lepší identifikace nových nebo rozvíjejících se hrozeb.
Pracovníci Dodavatele budou nastavovat pravidla pro detekci hrozeb a incidenční analýzu.
Pracovníci Dodavatele budou v rámci ladění upravovat konfiguraci nástroje XDR podle specifických potřeb Objednatele a případně podle kybernetické legislativy. Budou se podílet na implementaci doporučených postupů pro kybernetickou bezpečnost a řízení incidentů.
Pracovníci Dodavatele se budou podílet pravidelných aktualizacích softwaru a definic detekčních pravidel pro zajištění, že ICT prostředí Objednatele je chráněn před nejnovějšími hrozbami.
HW zajištěný Objednatelem a prostor pro HW Dodavatele
Objednatel zajistí pro provoz nástroje XDR virtuální prostředí s následujícími parametry:
- 500 CPU
- 1200 GB RAM
- 150 TB SSD
Parametry pro virtuální prostředí jsou maximální možné a Objednatel je bude uvolňovat podle potřeby Nástroje XDR.
Objednatel umožní umístit do svých datových center HW (appliance) pro provoz nástroje XDR, který bude plně ve správě Dodavatele.
Objednatel pro HW Dodavatele poskytne umístění v racku, elektrickou energii a konektivitu do svého prostředí a na internet.
Objednatel umožní dodavateli vzdálený VPN přístup pro správu aktiv, která dodavatele umístí do prostředí Objednatele.
Příklady užití (use cases) Nástroje XDR
Nástroj XDR, jehož licence jsou dodávané dle odst. 3.1 této Smlouvy, musí pokrývat všechny níže uvedené příklady užití.
Strana 6 / 1
Příloha č. 2
Popis ICT prostředí Objednatele
neveřejný údaj
Příloha č. 3
Harmonogram základní implementace
Činnost
Výstup / Akceptační kritérium
Termín
Návrh architektury Nástroje XDR a úprav v prostředí MPSV
Dokument popisující minimálně:
· architekturu celého řešení pro ochranu koncových stanic a sítě
· požadavky na HW a OS, které zajišťuje Objednatel
· postup implementace Nástroje XDR
· popis zajištění důvěrnosti a integrity zpracovávaných informací o zranitelnostech a rizicích v prostředí ICT Objednatele
· návrh úprav a doplnění řídící dokumentace Objednatele
· požadavky na součinnost ze strany Objednatele
40
Příprava ICT prostředí na straně Objednatele
Připravené virtuální servery, konektivita, prostupy a další zdroje pro zprovoznění nástroje XDR
------
(termín je závislý na Objednateli)
Poskytnutí licencí Nástroje XDR
FAKTURAČNÍ MILNÍK 1
Objednatel má k dispozici počet licencí požadovaných v rámci Základní implementace
40
Integrace s AD/LDAP, síťové prostupy
Nástroj XDR je integrovaný s AD/LDAP a rozděleny přístupy a role
40
Integrace na bezpečnostní dohledové centrum a provozní monitoring
Nástroj XDR zasílá data do bezpečnostního dohledového centra a provozního monitoringu v souladu se Standardem bezpečnostního dohledu
5
Testování funkčnosti Nástroje XDR
Nástroj XDR je otestovaný a plně funkční, konzole je přístupná určeným administrátorům MPSV
5
Úprava a doplnění řídící dokumentace Objednatele
Aktuální řídící dokumentace v elektronické podobě (DOCx, XLSx…)
5
Školení max. 5 pracovníků Objednatele
Realizace on-site školení pro interní a externí pracovníky MPSV v rozsahu max. 8 hodin
5
Akceptace implementace
FAKTURAČNÍ MILNÍK 2
Plně funkční Nástroj XDR v rozsahu Základní implementace
140
(hodnotící kritérium)
Aktivace podpory poskytované dle odst. 3.2
Je aktivována Technická podpora
------
Do počtu dnů nebudou započteny dny, které Objednatel stráví přípravou ICT prostředí, revizí a formálním schvalováním výstupů a dny, kdy Dodavatel musí čekat na vstupy od Objednatele, tzn. dny, jejichž počet Dodavatel nemůže ovlivnit. Všechny dokumenty po jejich dokončení projdou akceptací dle odst. 9.2.
Příloha č. 4
Realizační tým Dodavatele
Skupina pracovníků s uvedením kontaktu (změna pracovníka musí být provedena v souladu s čl. 3.8 této Smlouvy). Jeden pracovník nesmí zastávat více rolí, tzn. že pro role Dodavatel uvede min. 6 různých pracovníků.
Člen realizačního týmu
Kontaktní údaje
Projektový manažer
Jméno a příjmení: neveřejný údaj
Telefon: neveřejný údaj
E-mail: neveřejný údaj
Bezpečnostní specialista 1
Jméno a příjmení: neveřejný údaj
Telefon: neveřejný údaj
E-mail: neveřejný údaj
Bezpečnostní specialista 2
Jméno a příjmení: neveřejný údaj
Telefon: neveřejný údaj
E-mail: neveřejný údaj
Architekt řešení
Jméno a příjmení: neveřejný údaj
Telefon: neveřejný údaj
E-mail: neveřejný údaj
Specialista nástroje XDR 1
Jméno a příjmení: neveřejný údaj
Telefon: neveřejný údaj
E-mail: neveřejný údaj
Specialista nástroje XDR 2
Jméno a příjmení: neveřejný údaj
Telefon: neveřejný údaj
E-mail: neveřejný údaj
Příloha č. 5
Oprávněné osoby
Za Objednatele:
ve věcech smluvních:
Jméno a příjmení
neveřejný údaj
Role/Pozice
vrchní ředitel sekce informačních technologií
E-mail
neveřejný údaj
Telefon
neveřejný údaj
ve věcech technických:
Jméno a příjmení
neveřejný údaj
Role/Pozice
Odbor kybernetické bezpečnosti ICT (97)
E-mail
neveřejný údaj
Telefon
neveřejný údaj
ve věcech bezpečnostních:
Jméno a příjmení
neveřejný údaj
Role/Pozice
Odbor kybernetické bezpečnosti ICT (97)
E-mail
neveřejný údaj
Telefon
neveřejný údaj
Za Dodavatele:
ve věcech smluvních:
Jméno a příjmení
neveřejný údaj
Adresa
Štětkova 1368/18, 140 00 Praha 4
E-mail
neveřejný údaj
Telefon
neveřejný údaj
ve věcech technických:
Jméno a příjmení
neveřejný údaj
Adresa
Štětkova 1368/18, 140 00 Praha 4
E-mail
neveřejný údaj
Telefon
neveřejný údaj
ve věcech bezpečnostních:
Jméno a příjmení
neveřejný údaj
Adresa
Štětkova 1368/18, 140 00 Praha 4
E-mail
neveřejný údaj
Telefon
neveřejný údaj
Příloha č. 6
Seznam poddodavatelů
Název: O2 Czech Republic a.s.
Sídlo: Za Brumlovkou 266/2, 140 22 Praha 4
Právní forma: akciová společnost
Identifikační číslo: 60193336
Rozsah plnění Smlouvy:
· Základní implementace: práce spojené s integrací do stávajícího prostředí Objednatele
· Ladění reporingu: zajištění zpracování událostí generovaných systémem XDR a nastavení změny parametrů XDR tak, aby se minimalizovalo množství false positives
· Doplňkové služby kybernetické bezpečnosti: rozvoj usecase spojených s integrací systému XDR na stávající systém SIEM
· Služby exitu k jinému dodavateli: práce spojené s dokumentací use-case, nastavených parametrů a skriptů implementovaného systému XDR
Příloha č. 7
Cena
Příloha č. 8
Etický kodex
1) FÉROVÁ HOSPODÁŘSKÁ SOUTĚŽ
Smluvní strany se tímto společně hlásí k hodnotám férové hospodářské soutěže, vedené etickými postupy a prostředky a odmítají chování mající charakter pletich, zjednávání výhod, přijímání či poskytování úplatků v jakékoliv formě (finanční prostředky, dary, výhody, aj.), a to bez ohledu na skutečnost, dosahuje-li intenzity relevantní z pohledu trestního práva.
2) STŘET ZÁJMŮ
Smluvní strany se zavazují předcházet jakémukoliv střetu zájmů při navazování obchodních vztahů, a to v jakékoliv formě, čímž se rozumí zejména propojení členů managementu, ať už na úrovni rodinné, bez ohledu na stupeň příbuzenství, politické, přátelské či jiné. Kromě prokazatelného střetu zájmů se smluvní strany zavazují v maximální možné míře předcházet i vzniku důvodného podezření, které má potenciál, aby dalo vzniknout negativnímu obrazu dotčených v mínění široké veřejnosti.
3) PŘIJATELNÉ PRACOVNÍ PODMÍNKY
Smluvní strany se hlásí k hodnotám zajištění důstojných pracovních podmínek osob podílejících se na plnění dle Smlouvy, a to zejména jedná-li se o nízko kvalifikované profese (vyloučeny však nejsou ani jakékoliv jiné skupiny zaměstnanců). Smluvní strany se zavazují zejména striktně dodržovat veškerá ustanovení právních předpisů, která se týkají minimální i zaručené mzdy, bezpečnosti práce, přijatelných pracovních podmínek a poskytování spravedlivé odměny za práci. Součástí společně přejatého závazku je i to, že se smluvní strany vyvarují jakékoliv snahy, ať už zjevné či skryté, která by směřovala k obcházení pracovněprávních předpisů.
4) ZÁKAZ DISKRIMINACE A ZAJIŠTĚNÍ ROVNÝCH PŘÍLEŽITOSTÍ
Smluvní strany se hlásí k hodnotám odsuzujícím diskriminaci v jakékoliv podobě, resp. k hodnotám zajišťujícím rovné příležitosti všech skupin osob bez ohledu na rozdíly mezi nimi, čímž se rozumí zejména potírání nerovného zacházení vznikajícího na základě rasy, etnického původu, pohlaví, sexuální orientace, přesvědčení či světového názoru. Za nežádoucí a nepřijatelné jednání je považováno rovněž i neposkytování rovných příležitostí ve vedení společnosti a jiných řídících funkcí a při odměňování.
5) EKONOMICKÉ ASPEKTY
Smluvní strany se hlásí k hodnotám odsuzujícím jednání nežádoucí z ekonomického hlediska, čímž se rozumí zejména snaha o praní špinavých peněz, snaha o legalizaci nezákonných
a neetických zisků, důvěryhodnost dodavatele z hlediska sídla podnikání a realizace finančních transakcí (sídlo dodavatele nebo platební instituce, kterou používá, se nesmí nacházet v zemi zapsané na seznamu zemí nespolupracujících daňových jurisdikcí vytvořených Evropskou unií). Dodavatel se zavazuje, že všem svým obchodním partnerům v pod-dodavatelském řetězci zajistí férové smluvní podmínky, tím se rozumí zejména nastavení stejné nebo kratší splatnosti faktur (a její dodržování), jaká je ujednána ve Smlouvě, resp. podpora malých a středních podniků.
6) EKOLOGICKÉ ASPEKTY
Smluvní strany se hlásí k hodnotám odsuzujícím jednání nežádoucí z ekologického hlediska, čímž se rozumí zejména jakékoliv jednání, které je v rozporu se správním či trestním právem a jehož cílem, vedlejším efektem či konečným nebo dílčím důsledkem je poškozování životního prostředí v jakékoliv formě, ať už z hlediska ekologické zátěže, udržitelnosti, nežádoucího vlivu na lidský organismus či živou a neživou přírodu, vypouštění zplodin do ovzduší, nebo jakoukoliv obdobnou činnost.
Příloha č. 9
Požadavky na zajištění kybernetické bezpečnosti (Kybernetické požadavky)
Za účelem povinností stanovených Objednateli jakožto povinné osobě vyhláškou č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), je Dodavatel povinen nad rámec povinností stanovených Smlouvou plnit níže uvedené povinnosti zejm. součinnostního a bezpečnostního charakteru dle této Přílohy 10 Smlouvy.
Dodavatel je povinen plnit relevantní povinnosti v rozsahu a způsobem, aby byl naplněn účel právní úpravy oblasti bezpečnostních opatření, kybernetických bezpečnostních incidentů, reaktivních opatření, náležitostí podání v oblasti kybernetické bezpečnosti a likvidaci dat ve vztahu k povinnostem, které tato právní úprava stanovuje Objednateli jakožto povinné osobě dle předpisů z oblasti kybernetické bezpečnosti, a to i v případě změny příslušné právní úpravy. V takovém případě je Objednatel oprávněn požadovat od Dodavatele přiměřenou součinnost i nad rámec povinností stanovených v této Příloze 10 Smlouvy, avšak vždy pouze za účelem zajištění plnění povinnosti Dodavatele z oblasti kybernetické bezpečnosti ve smyslu shora uvedeného.
Čl. 1 Systém řízení bezpečnosti informací
Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 3 vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) (dále jen „VKB“), které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:
a. Prosadit bezpečnostní zásady a procesy, které budou pokrývat zabezpečení dat a informací, jež mohou být vytvářeny a zpracovávány na straně Dodavatele při poskytování předmětu plnění.
b. Na základě bezpečnostních potřeb a výsledků hodnocení rizik zavést příslušná bezpečnostní opatření v rozsahu poskytovaného předmětu plnění, monitorovat je, vyhodnocovat jejich účinnost.
c. Vést záznamy o vytváření a zpracování dat a informací v rozsahu poskytovaného předmětu plnění, zaznamenávat veškeré podstatné okolnosti související se zajištěním bezpečnosti těchto dat a informací a na vyžádání tyto záznamy Objednateli zpřístupnit.
d. Stanovit a udržovat aktuální bezpečnostní politiku, která bude pokrývat zabezpečení dat a informací, jež mohou být vytvářeny a zpracovávány na straně Dodavatele při poskytování předmětu plnění. Bezpečnostní politika musí obsahovat hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací.
e. Stanovit a udržovat aktuální opatření bezpečnosti ve formě procesů a technologií, které zajišťují naplnění bezpečnostní politiky.
Čl. 2 Řízení aktiv
1. Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 4 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:
a. Stanovit a udržovat rozsah a seznam aktiv využívaných pro plnění této Smlouvy (aktivy se rozumí např. data a informace k předmětu plnění dle této Smlouvy, systémy ICT, moduly, HW prvky - infrastruktura hlasové a datové komunikace, aplikace, databáze, servery, úložiště, koncová zařízení – pracovní stanice typu osobní počítač nebo notebook, mobilní koncová zařízení – přenosná zařízení typu telefon, tablet, notebook, netbook, PDA, apod.), a tato aktiva strukturovaně popsat a Objednateli předložit do 30 dnů od podpisu této smlouvy a následně na vyžádání, a to po celou dobu trvání smlouvy a do 2 let po jejím ukončení.
Čl. 3 Řízení rizik
1. Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 5 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:
a. Řídit vlastní rizika, která mohou ovlivnit poskytování předmětu plnění.
b. V minimálním intervalu 1x ročně vytvořit a předložit Zprávu o řízení kybernetických rizik, která bude minimálně pokrývat:
i. Vyhodnocení stavu kybernetické bezpečnosti za hodnocený rok
ii. Identifikaci a hodnocení rizik s vazbou na předmět plnění
iii. Realizovaná bezpečnostní opatření
iv. Nepokrytá bezpečnostní rizika a návrh opatření
v. Vyhodnocení bezpečnostních událostí a incidentů
vi. Aktuální stav souladu Dodavatele s těmito Kybernetickými požadavky
Čl. 4 Organizační bezpečnost
1. Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 6 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:
4. Jmenovat nejpozději do 30 dnů po uzavření této smlouvy odpovědnou kontaktní osobu pro kybernetickou bezpečnost pro potřeby zajištění plnění těchto Kybernetických požadavků a související komunikaci mezi Smluvními stranami (dále také jen „Kontaktní osoba“), pokud tato osoba není explicitně uvedena mezi oprávněnými osobami určenými touto Smlouvou. Kontaktní osobu sdělí Dodavatel písemně Objednateli v téže lhůtě.
4. Využívat pro poskytování předmětu plnění pouze oprávněných osob, které byly řádně seznámeny příslušnými ustanoveními interních řídících aktů Objednatele a mají ověřenou kvalifikaci, znalosti a zkušenosti k řádnému poskytování předmětu plnění.
Čl. 5 Řízení dodavatelů
1. Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 8 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:
5. Využívá-li při poskytování předmětu plnění poddodavatele, zajistit adekvátní dodržování Kybernetických požadavků rovněž ve smluvních vztazích se svými poddodavateli, přičemž tuto skutečnost se Dodavatel zavazuje doložit Objednateli do 10 dnů od podpisu příslušné Prováděcí smlouvy, na jejímž plnění se budou poddodavatelé podílet v případě služeb Rozvoje, nebo do 10 dnů od počátku poskytování jiných služeb, písemným prohlášením o dodržování Kybernetických požadavků u svých poddodavatelů.
5. Pokud při poskytování předmětu plnění dochází ke zpracování osobních údajů, zajistit nad rámec čl. 18 Smlouvy uzavření samostatných smluv (tj. smluv se svými poddodavateli, zaměstnanci a případnými dalšími osobami podílejícími se na poskytování plnění z této smlouvy) ve smyslu příslušných ustanovení Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
Čl. 6 Bezpečnost lidských zdrojů
1. Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 9 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:
6. Zajistit, aby Kontaktní osoba nebo osoba oprávněná jednat ve věcech bezpečnostních nejpozději do 30 dnů od uzavření smlouvy potvrdila písemně Objednateli, že všechny osoby podílející se na poskytování předmětu plnění za stranu Dodavatele byly prokazatelně seznámeny s těmito Kybernetickými požadavky a příslušnými ustanoveními interních řídících aktů Objednatele.
6. Dodržovat příslušná ustanovení interních řídících aktů Objednatele v rozsahu, v jakém byl s těmito akty seznámen. Za prokazatelné seznámení se považuje školení pracovníků Dodavatel zajištěné Objednatelem, protokolární či elektronické předání příslušné dokumentace nebo Objednatelem zajištěný přístup na sdílené úložiště obsahující příslušné interní akty řízení.
6. V případě, že je součástí předmětu plnění služba dohledu nad předmětem plnění, definovat a naplnit role a odpovědnosti pro monitoring sítě a zařízení v rozsahu předmětu plnění.
6. Zajistit, aby osoby podílející se na poskytování plnění Objednateli v prostředí nebo s prostředky Objednatele, a to i tehdy, pokud jsou prostředky Objednatele používány mimo jeho prostředí:
4. Pro uložení a sdíleni dat a informací Objednatele využívali pouze k tomu schválené prostředky (aktiva);
4. Neukládali ani nesdíleli data i informace eticky nevhodného obsahu, odporující dobrým mravům nebo poškozující jméno Objednatele;
4. Nestahovali, nesdíleli, neukládali, nearchivovali ani neinstalovali datové a spustitelné soubory v rozporu s licenčními podmínkami nebo autorským zákonem;
4. Nenavštěvovali internetové stránky s eticky nevhodným obsahem;
4. Nerealizovali pokusy o neautorizovaný přístup ke zdrojům Objednatele ani ke zdrojům jiných subjektů;
4. Nerealizovali pokusy o neoprávněnou modifikaci ani jiné neoprávněné zásahy do prostředků Objednatele, a to ani v případě, kdy jim byl prostředek Objednatele svěřen do správy;
4. Nepodíleli se s prostředky Objednatele na šíření spamu ani škodlivého softwaru.
1. Dodavatel si je vědom, že součástí podmínek pro získání přístupu ke zdrojům a aktivům Objednatele je na straně Objednatele zpracování osobních údajů pracovníků Dodavatele, kteří se podílejí na zajištění předmětu plnění. Pokud nebude Objednateli umožněno osobní údaje dotčených pracovníků Dodavatele zpracovat, nebude těmto pracovníkům umožněn žádný přístup ke zdrojům Objednatele.
Čl. 7 Řízení provozu a komunikací
1. Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 10 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:
8. Zajistit bezpečný provoz informačního systému a infrastruktury využívané pro poskytování předmětu plnění.
8. Na vyžádání poskytnout Objednateli přehled, report, či jinou adekvátní informaci o bezpečnostních opatřeních zavedených na svém informačním systému a infrastruktuře.
8. Zajistit, že pro poskytování předmětu plnění budou využívány pouze aplikace a technologie, které jsou v souladu s platnou českou a evropskou legislativou, především s ohledem na licenční podmínky a autorský zákon.
Čl. 8 Řízení změn
1. Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 11 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:
9. Přiměřeně reagovat na změny na straně Objednatele a upravit na své straně technická a organizační opatření tak, aby odpovídala novému stavu po provedení změny.
9. Aktivně spolupracovat při testování významné změny.
Čl. 9 Řízení přístupu
1. Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 12 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:
10. Přidělovat oprávnění svým jednotlivým pracovníkům ve smyslu oprávnění k výkonu činností tak, aby byla minimalizována rizika nežádoucího přístupu k aktivům Objednatele.
10. Zajistit, aby udělený přístup nebyl sdílen více osobami za stranu Dodavatele, pokud sdílený přístup nevyžaduje využívaná technologie. V takovém případě musí Dodavatel vést evidenci využívání sdílených přístupů a tuto na vyžádání předložit Objednateli kdykoli v průběhu trvání účinnosti této smlouvy a 2 roky po ukončení její platnosti.
10. Stanovit v požadavku na přístup rozsah dat/informací, služby, účelu, pro které je přístup k systému ICT Objednatele požadován a časový údaj o délce platnosti přístupu (např.: na dobu neurčitou / 1 rok / 1 měsíc / 1 den).
10. Zajistit, aby osoby podílející se na poskytování předmětu plnění a mající přístup k informačním aktivům Objednatele chránily autentizační prostředky a údaje a nikdy neposkytovaly neautorizovaný přístup dalším osobám.
10. Průběžně kontrolovat a vyhodnocovat oprávněnost a potřebu přístupu, jak fyzického, tak i logického, u všech osob na straně Dodavatele, které přistupují do prostředí Objednatele.
1. Dodavatel bere na vědomí, že přístup k systému ICT je možné povolit pouze fyzické identitě zaměstnance Dodavatele / poddodavatele Dodavatele zaevidované v Active Directory MPSV (registr identit), a to na základě požadavku Dodavatele na přístup.
1. Dodavatel bere na vědomí, že přidělení oprávnění zaměstnanci Dodavatele musí být řízeno principem nezbytného minima a není nárokové.
1. Dodavatel bere na vědomí, že v případě neúspěšných pokusů o autentizaci uživatele (osoby za stranu Dodavatele) může být příslušný účet zablokován a řešen jako bezpečnostní incident a mohou být uplatněny příslušné postupy zvládání bezpečnostního incidentu (např. okamžité zrušení přístupu k informačním aktivům Objednatele).
Čl. 10 Akvizice, vývoj a údržba
1. Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 13 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:
14. Zajistit bezpečnou implementaci, inovaci, aktualizaci a testování technologií, které jsou předmětem plnění.
14. Předat Objednateli dokumentaci předmětu plnění minimálně v následujícím rozsahu:
2. dokumentaci všech bezpečnostních nastavení, funkcí a mechanismů
2. dokumentaci obsahující popis autorizačního konceptu a oprávnění
2. dokumentaci obsahující instalační a konfigurační postupy
Čl. 11 Zvládání kybernetických bezpečnostních událostí a incidentů
1. Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 14 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:
15. Stanovit a popsat na své straně činnosti, role a jejich odpovědnosti a pravomoci vedoucí k rychlému a účinnému zvládání bezpečnostních incidentů.
15. Bez zbytečného odkladu hlásit Objednateli všechny bezpečnostní události a incidenty s potenciálním negativním dopadem na Objednatele, a to stanoveným komunikačním kanálem nebo prostřednictvím Kontaktní osoby nebo osoby oprávněné jednat ve věcech bezpečnostních.
15. Vyhodnocovat informace o bezpečnostních incidentech a uchovávat je pro budoucí použití s ohledem na požadavky platné české a evropské legislativy.
15. V případě vzniku bezpečnostní události a následného zvládání a vyhodnocování bezpečnostního incidentu a/nebo v případě podezření na bezpečnostní incident poskytnout Objednateli aktivní součinnost a relevantní informace o podezřelém zařízení či osobě na straně Dodavatele.
15. Bez zbytečného odkladu a po dohodě s Objednatelem realizovat opatření požadovaná Objednatelem v dohodnutých termínech ke snížení dopadu bezpečnostního incidentu nebo zamezení pokračování incidentu.
15. Spolupracovat při analýze příčin bezpečnostního incidentu a navrhnout opatření s cílem zamezit jeho opakování v případě, že Dodavatel bezpečnostní incident zapříčinil nebo se na jeho vzniku podílel.
1. Dodavatel bere na vědomí, že postup zvládání bezpečnostního incidentu či jiný důsledek porušení Kybernetických požadavků, jehož příčina je na straně Dodavatele, nebude posuzován jako okolnost vylučující odpovědnost Dodavatele za prodlení s řádným a včasným plněním předmětu Smlouvy a nebude důvodem k jakékoli náhradě případné škody či jiné újmy Dodavateli či jiné osobě ze strany Objednatele. Ostatní ustanovení ohledně odpovědnosti Dodavatele za prodlení obsažená ve Smlouvě nejsou tímto ustanovením dotčena.
Čl. 12 Řízení kontinuity činností
1. Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 15 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:
17. Zajistit adekvátní kontinuitu svých aktiv, které jsou potřebné k poskytování předmětu plnění.
17. Pravidelně kontrolovat a testovat, že je schopen kontinuitu aktiv zajistit dle sjednané úrovně služeb.
Čl. 13 Kontrola a audit
1. Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 8 a § 16 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění poskytnout adekvátní součinnost při výkonu kontroly Objednatele ze strany Úřadu dle § 23 ZKB.
Čl. 14 Fyzická bezpečnost
1. Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 17 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:
19. Dodržovat provozní řády budov (režimová opatření) a využívaných prostor, zejména pak v oblasti fyzické ochrany bezpečnostních zón, kde jsou umístěny aktiva systémů ICT, anebo datové nosiče.
19. V rozsahu předmětu plnění zajistit fyzické zabezpečení, zejména označení, uchování a likvidaci, instalačních, záložních nebo archivních médií a dokumentace v souladu s klasifikací aktiv Objednatele, pokud s ní byl Dodavatel seznámen.
Čl. 15 Bezpečnostní nástroje
1. Dodavatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 18 až § 27 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:
20. Realizovat bezpečnostní opatření pro odstranění nebo blokování síťového spojení/síťových spojení, které/která neodpovídají požadavkům na ochranu integrity komunikační sítě.
20. Realizovat přístup z mobilního zařízení do prostředí Objednatele pouze prostřednictvím zabezpečeného připojení virtuální privátní sítě (VPN) nebo zvolit adekvátní technické opatření.
20. Připojovat do prostředí Objednatele pouze ta síťová zařízení (switch, přístupový bod wifi, router, hub apod.), která prošla schvalovacím procesem a jejich připojení bylo schváleno oprávněnou osobu ve věcech technických na straně Objednatele určenou v této smlouvě.
20. Bez zbytečného odkladu deaktivovat všechna nevyužívaná zakončení sítě anebo nepoužívané porty aktivního síťového prvku, který je v rozsahu předmětu plnění a je ve správě Dodavatele.
20. Na aktiva Objednatele neinstalovat a nepoužívat v prostředí Objednatele tyto typy nástrojů, pokud nejsou součástí předmětu plnění:
5. Keylogger – software nebo hardware, který neautorizovaně zaznamenává stisky kláves s cílem narušit důvěrnost zadávaných dat a informací.
5. Sniffer – software nebo hardware umožňující odposlouchávání síťového provozu.
5. Analyzátor zranitelností (scanner zranitelností) – softwarový nebo hardwarový nástroj umožňující vyhledávání zranitelností systémů ICT, detekování dostupných síťových služeb a portů, běžících procesů, běžících aplikací a jejich verzí apod.
5. Backdoor – skrytý softwarový nebo hardwarový nástroj, který umožňuje obejití schválených autentizačních procedur, instalovaný s cílem budoucího snadnějšího a neautorizovaného přístupu do systému ICT.
5. Malware a jiný škodlivý software, který narušuje, obchází či jinak omezuje bezpečnostní opatření v prostředí Objednatele.
20. Připojovat do prostředí Objednatele pouze zařízení ICT, která jsou chráněna proti malware a jinému škodlivému softwaru, pokud to jejich technologie umožňuje.
20. Průběžně zaznamenávat a uchovávat data o provozu zařízení ICT (provozní a lokalizační údaje) v rozsahu předmětu plnění a v souladu s požadavky platné české a evropské legislativy.
20. Na vyžádání poskytnout Objednateli report obsahující výsledky monitorování veškerých uživatelských a administrátorských aktivit a jiných událostí v rozsahu předmětu plnění, a to po celou dobu trvání smlouvy a do 2 let po jejím ukončení.
20. Zajistit sběr informací o provozních a bezpečnostních činnostech v rozsahu předmětu plnění a ochranu získaných informací před jejich neoprávněným čtením nebo změnou.
20. Pro on-line transakce realizované prostřednictvím webových technologií implementovat TLS/SSL certifikáty s cílem zajistit jejich důvěrnost, integritu a identitu komunikujících protistran.
20. Veškeré neveřejné informace poskytnuté Objednatelem chránit vhodným šifrováním a proti neautorizovanému přístupu, a to zejména na mobilních zařízeních.
1. Dodavatel bere na vědomí, že v případě, kdy technické spojení Objednatele s Dodavatelem narušuje chod služeb Objednatele, může být toto spojení ihned ukončeno bez předchozího upozornění, pokud tato smlouva nestanoví jinak.
1. Dodavatel bere na vědomí, že veškeré aktivity Dodavatele a jeho plnění realizované v prostředí Objednatele jsou monitorovány a vyhodnocovány v rozsahu předměty plnění a v souladu s interními dokumenty Objednatele, se kterými byl Dodavatel seznámen.
Strana 6 / 4
Příloha č. 10
Dotazník pro hodnocení technické úrovně kybernetické bezpečnosti – Corpus Solutions a.s.
SEKCE A – STANDARDY A NEJLEPŠÍ PRAKTIKY
51
1
Které standardy a nejlepší praktiky dodavatel aplikuje na své ICT prostředí, které bude využívat pro nabízené plnění (systémy řízení nemusí být certifikované):
a.
ISO 9001
ANO
b.
ISO 22301, BS 25999
NE
c.
ISO/IEC 20000-1, ITIL, CobIT
ANO
SEKCE B – ZÁKLADNÍ OPATŘENÍ
2
Je jmenovaný manažer bezpečnosti nebo jiná určená osoba s ekvivalentní odpovědností, která zajišťuje kybernetickou bezpečnost ICT prostředí, které bude dodavatel využívat pro nabízené plnění?
ANO
3
Byl v posledních 12ti měsících proveden třetí stranou audit či bezpečnostní analýza, jejichž obsahem byla kontrola v oblasti kybernetické bezpečnosti a v rozsahu byla aktiva z ICT prostředí, které bude využívat pro nabízené plnění?
ANO
4
Realizoval dodavatel v posledních 12ti měsících hodnocení kybernetických rizik v ICT prostředí, které bude využívat pro nabízené plnění?
ANO
5
Které oblasti pokrývá dokument bezpečnostní politiky, v jehož rozsahu je ICT prostředí, které bude dodavatel využívat pro nabízené plnění?
a.
Procesy řízení rizik
ANO
b.
Klasifikace aktiv
ANO
c.
Ochrana dat proti prozrazení, zničení, narušení integrity a dostupnosti
ANO
d.
Ochrana osobních údajů
ANO
e.
Identifikace a autentizace uživatelů
ANO
f.
Přístup k datům na základě rolí (RBAC, Role Based Access Control)
ANO
g.
Řízení privilegovaných přístupů
ANO
h.
Ochrana koncových stanic
ANO
i.
Ochrana mobilních zařízení a vzdáleného přístupu
ANO
j.
Ochrana emailu a vnitrofiremní komunikace (instant messaging)
ANO
k.
Ochrana přístupu do internetu
ANO
l.
Bezpečnost cloudového prostředí (Azure, AWS, M365 apod.)
ANO
m.
Ochrana médií
ANO
n.
Procesy řízení změn
ANO
o.
Ochrana bezdrátových sítí a komunikace
ANO
p.
Fyzická bezpečnost informačních aktiv
ANO
q.
Bezpečnostní školení koncových uživatelů a administrátorů
ANO
r.
Ochrana proti škodlivému softwaru
ANO
s.
Ochrana při výměně dat
ANO
t.
Procesy zvládání kybernetických incidentů
ANO
u.
Procesy řízení rizik dodavatelů
ANO
v.
Bezpečnost lidských zdrojů
ANO
w.
Bezpečnostní audity a analýzy
ANO
x
Řízení kontinuity činností a havarijní plánování
ANO
SEKCE C – BEZPEČNOSTNÍ TECHNOLOGIE
6
Které níže uvedené bezpečnostní technologie provozuje dodavatel s cílem předcházet bezpečnostním hrozbám v rámci ICT prostředí, které bude využívat pro nabízené plnění?
a.
Antivirový software na pracovních stanicích
ANO
b.
Antivirový software na mobilních zařízeních
ANO
c.
Nástroj pro detekci narušení sítě (IDS/IPS, Intrusion Detection/Prevention System)
ANO
d.
Nástroj pro řízení privilegovaných účtů a oprávnění (PIM/PAM, Priviledge Identity/Access Management)
ANO
e.
Více-faktorová autentizace
ANO
f.
Automatizovaný nástroj pro řízení technologických zranitelností
ANO
g.
Nástroj pro řízení přístupu k síti (NAC, Network Access Control)
ANO
h.
Nástroj pro ochranu před útoky DDoS (Distributed denial-of-service)
ANO
i.
Šifrovací nástroje a techniky
ANO
j.
Firewall
ANO
k.
Nástroj pro vyhodnocování bezpečnostních událostí (SIEM, Security Informaton and Event Management)
ANO
7
Bylo ICT prostředí, které bude dodavatel využívat pro nabízené plnění, v posledních 12ti měsících podrobeno penetračnímu testování?
ANO
SEKCE D – PROCES ZVLÁDÁNÍ KYBERNETICKÝCH INCIDENTŮ
8
Je zaveden proces zvládání bezpečnostních incidentů pro ICT prostředí, které bude dodavatel využívat pro nabízené plnění?
ANO
9
Jsou uživatelé s přístupem do ICT prostředí, které bude dodavatel využívat pro nabízené plnění, pravidelně (min. 1x za 24 měsíců) vzděláváni v identifikaci bezpečnostních incidentů?
ANO
SEKCE E – PROCES ŘÍZENÍ KONTINUITY
10
Jsou vytvořeny plány kontinuity a obnovy pro ICT prostředí, které bude dodavatel využívat pro nabízené plnění?
ANO
11
Testuje dodavatel pravidelně (min. 1x za 24 měsíců) plány kontinuity a obnovy pro ICT prostředí, které bude využívat pro nabízené plnění?
ANO
12
Jsou uživatelé s přístupem do ICT prostředí, které bude dodavatel využívat pro nabízené plnění, pravidelně (min. 1x za 24 měsíců) vzděláváni v oblasti řízení kontinuity, tzn. že se uživatelé účastní pravidelných testů a jsou prokazatelně seznamováni s postupy pro kontinuity a obnovu?
ANO
SEKCE F – KOMUNIKACE BEZPEČNOSTI A VZDĚLÁVÁNÍ
13
Je zaveden proces vzdělávání a zvyšování bezpečnostního povědomí pro všechny uživatele s přístupem do ICT prostředí, které bude dodavatel využívat pro nabízené plnění?
ANO
14
Jsou všichni uživatelé s přístupem do ICT prostředí, které bude využívat pro nabízené plnění, vyškoleni v oblasti kybernetické bezpečnosti dříve, než získají přístup k datům a informačním systémům?
ANO
15
Je po uživatelích s přístupem do ICT prostředí, které bude dodavatel využívat pro nabízené plnění, vyžadováno podepsání individuální dohody o mlčenlivosti (NDA)?
ANO
16
Je po uživatelích s přístupem do ICT prostředí, které bude dodavatel využívat pro nabízené plnění, vyžadováno podepsání etického kodexu?
ANO
Dotazník pro hodnocení technické úrovně kybernetické bezpečnosti – O2 Czech Republic, a.s.
SEKCE A – STANDARDY A NEJLEPŠÍ PRAKTIKY
51
1
Které standardy a nejlepší praktiky dodavatel aplikuje na své ICT prostředí, které bude využívat pro nabízené plnění (systémy řízení nemusí být certifikované):
a.
ISO 9001
ANO
b.
ISO 22301, BS 25999
ANO
c.
ISO/IEC 20000-1, ITIL, CobIT
ANO
SEKCE B – ZÁKLADNÍ OPATŘENÍ
2
Je jmenovaný manažer bezpečnosti nebo jiná určená osoba s ekvivalentní odpovědností, která zajišťuje kybernetickou bezpečnost ICT prostředí, které bude dodavatel využívat pro nabízené plnění?
ANO
3
Byl v posledních 12ti měsících proveden třetí stranou audit či bezpečnostní analýza, jejichž obsahem byla kontrola v oblasti kybernetické bezpečnosti a v rozsahu byla aktiva z ICT prostředí, které bude využívat pro nabízené plnění?
ANO
4
Realizoval dodavatel v posledních 12ti měsících hodnocení kybernetických rizik v ICT prostředí, které bude využívat pro nabízené plnění?
ANO
5
Které oblasti pokrývá dokument bezpečnostní politiky, v jehož rozsahu je ICT prostředí, které bude dodavatel využívat pro nabízené plnění?
a.
Procesy řízení rizik
ANO
b.
Klasifikace aktiv
ANO
c.
Ochrana dat proti prozrazení, zničení, narušení integrity a dostupnosti
ANO
d.
Ochrana osobních údajů
ANO
e.
Identifikace a autentizace uživatelů
ANO
f.
Přístup k datům na základě rolí (RBAC, Role Based Access Control)
ANO
g.
Řízení privilegovaných přístupů
ANO
h.
Ochrana koncových stanic
ANO
i.
Ochrana mobilních zařízení a vzdáleného přístupu
ANO
j.
Ochrana emailu a vnitrofiremní komunikace (instant messaging)
ANO
k.
Ochrana přístupu do internetu
ANO
l.
Bezpečnost cloudového prostředí (Azure, AWS, M365 apod.)
ANO
m.
Ochrana médií
ANO
n.
Procesy řízení změn
ANO
o.
Ochrana bezdrátových sítí a komunikace
ANO
p.
Fyzická bezpečnost informačních aktiv
ANO
q.
Bezpečnostní školení koncových uživatelů a administrátorů
ANO
r.
Ochrana proti škodlivému softwaru
ANO
s.
Ochrana při výměně dat
ANO
t.
Procesy zvládání kybernetických incidentů
ANO
u.
Procesy řízení rizik dodavatelů
ANO
v.
Bezpečnost lidských zdrojů
ANO
w.
Bezpečnostní audity a analýzy
ANO
x
Řízení kontinuity činností a havarijní plánování
ANO
SEKCE C – BEZPEČNOSTNÍ TECHNOLOGIE
6
Které níže uvedené bezpečnostní technologie provozuje dodavatel s cílem předcházet bezpečnostním hrozbám v rámci ICT prostředí, které bude využívat pro nabízené plnění?
a.
Antivirový software na pracovních stanicích
ANO
b.
Antivirový software na mobilních zařízeních
ANO
c.
Nástroj pro detekci narušení sítě (IDS/IPS, Intrusion Detection/Prevention System)
ANO
d.
Nástroj pro řízení privilegovaných účtů a oprávnění (PIM/PAM, Priviledge Identity/Access Management)
ANO
e.
Více-faktorová autentizace
ANO
f.
Automatizovaný nástroj pro řízení technologických zranitelností
ANO
g.
Nástroj pro řízení přístupu k síti (NAC, Network Access Control)
ANO
h.
Nástroj pro ochranu před útoky DDoS (Distributed denial-of-service)
ANO
i.
Šifrovací nástroje a techniky
ANO
j.
Firewall
ANO
k.
Nástroj pro vyhodnocování bezpečnostních událostí (SIEM, Security Informaton and Event Management)
ANO
7
Bylo ICT prostředí, které bude dodavatel využívat pro nabízené plnění, v posledních 12ti měsících podrobeno penetračnímu testování?
ANO
SEKCE D – PROCES ZVLÁDÁNÍ KYBERNETICKÝCH INCIDENTŮ
8
Je zaveden proces zvládání bezpečnostních incidentů pro ICT prostředí, které bude dodavatel využívat pro nabízené plnění?
ANO
9
Jsou uživatelé s přístupem do ICT prostředí, které bude dodavatel využívat pro nabízené plnění, pravidelně (min. 1x za 24 měsíců) vzděláváni v identifikaci bezpečnostních incidentů?
ANO
SEKCE E – PROCES ŘÍZENÍ KONTINUITY
10
Jsou vytvořeny plány kontinuity a obnovy pro ICT prostředí, které bude dodavatel využívat pro nabízené plnění?
ANO
11
Testuje dodavatel pravidelně (min. 1x za 24 měsíců) plány kontinuity a obnovy pro ICT prostředí, které bude využívat pro nabízené plnění?
ANO
12
Jsou uživatelé s přístupem do ICT prostředí, které bude dodavatel využívat pro nabízené plnění, pravidelně (min. 1x za 24 měsíců) vzděláváni v oblasti řízení kontinuity, tzn. že se uživatelé účastní pravidelných testů a jsou prokazatelně seznamováni s postupy pro kontinuity a obnovu?
ANO
SEKCE F – KOMUNIKACE BEZPEČNOSTI A VZDĚLÁVÁNÍ
13
Je zaveden proces vzdělávání a zvyšování bezpečnostního povědomí pro všechny uživatele s přístupem do ICT prostředí, které bude dodavatel využívat pro nabízené plnění?
ANO
14
Jsou všichni uživatelé s přístupem do ICT prostředí, které bude využívat pro nabízené plnění, vyškoleni v oblasti kybernetické bezpečnosti dříve, než získají přístup k datům a informačním systémům?
ANO
15
Je po uživatelích s přístupem do ICT prostředí, které bude dodavatel využívat pro nabízené plnění, vyžadováno podepsání individuální dohody o mlčenlivosti (NDA)?
ANO
16
Je po uživatelích s přístupem do ICT prostředí, které bude dodavatel využívat pro nabízené plnění, vyžadováno podepsání etického kodexu?
ANO
image1.emf
image2.emf