Textová podoba smlouvy Smlouva č. 32089772: Ostatní - Smlouva na zhotovení penetračních testů

                        Níže uvedeného dne, měsíce a roku uzavřeli

Objednatel             Město Dvůr Králové nad Labem
Sídlo                  náměstí T. G. Masaryka čp. 38
Zastoupený             Ing. Ondřejem Samkem – vedoucím odboru informatiky
Ve věcech technických  Karlem Břízou – informatikem odboru informatiky
                       00277819
IČO                    CZ00277819
DIČ
Bankovní spojení       COM PLUS CZ a.s.
Č. účtu                Nad Krocínkou 317/48, Prosek, 190 00 Praha
Telefon                Ing. Marcel Ouřada - předseda představenstva
(dále objednatel)      Ing. Václav Jirchář - člen představenstva
                       Liborem Ivánkem
a

Zhotovitel

Sídlo
Zastoupený

Ve věcech technických

IČO                    25772104
DIČ                    CZ25772104
Telefon
(dále zhotovitel)

tuto

                   Smlouvu na zhotovení penetračních testů

                       OI/DILO-2025/0001

I. Předmět smlouvy

1.1 Touto smlouvou se zhotovitel zavazuje pro objednatele provést v čl. II. popsané 2 kola
        penetračního testování za sjednanou cenu a na svůj náklad a objednatel se zavazuje předmět
        plnění převzít a zaplatit za něj sjednanou cenu.

II. Předmět plnění

2.1 Zhotovitel se zavazuje provést pro objednatele 2 kola penetračního testování k identifikaci
        a analýze zranitelností v infrastruktuře a aplikacích zadavatele na adrese objednatele dle
        technické specifikace, která je nedílnou součástí této smlouvy.

Název projektu: Kybernetická bezpečnost Technologického centra města Dvůr Králové nad Labem
Registrační číslo projektu: CZ.31.2.0/0.0/0.0/23_093/0008357
2.2 Zhotovitel prohlašuje, že se plně obeznámil s technickou specifikací, důkladně zkontroloval
        všechny podmínky a prohlašuje, že neshledal žádné překážky, které by bránily zahájení realizace
        plnění včetně jeho řádného dokončení dle této smlouvy.

III. Doba a místo splnění

3.1 Zhotovitel se zavazuje dokončit 1 primární testování nejpozději do 28 dnů od účinnosti smlouvy.
        Zhotovitel se zavazuje dokončit 2 re-testování nejpozději do 31.12.2025. Okamžikem splnění pro
        účely této smlouvy je datum uvedený na předávacích protokolech vyhotoveném zhotovitelem pro
        účely předání a převzetí předmětu plnění.

3.2 Zhotovitel je povinen práce přerušit na základě rozhodnutí objednatele a dále v případě, že zjistí
        při provádění předmětu plnění skryté překážky znemožňující její provedení dohodnutým
        způsobem. Tuto skutečnost bude zhotovitel povinen oznámit bezodkladně, nejpozději do dvou
        dnů objednateli.

3.3 Zhotovitel se zavazuje, že úpravu lhůty plnění bude uplatňovat pouze v případě, že z důvodů výše
        uvedených nebude-li technicky možné předmět plnění dokončit ve smluvené lhůtě. Zhotovitel se
        zavazuje, že i v těchto případech vyvine maximální úsilí k dodržení původní lhůty pro dokončení
        předmětu plnění.

3.4 Místem předmětu plnění je náměstí T.G. Masaryka 38, 544 01 Dvůr Králové nad Labem a
        Komenského 795, 544 01 Dvůr Králové nad Labem

IV. Cena a platební podmínky

4.1 Účastníci dohodli cenu za zhotovené předmětu plnění podle této smlouvy ve výši 360.000,00 Kč
        bez DPH (slovy: tři sta šedesát tisíc korun českých).

4.2 Cena předmětu plnění je stanovena na základě cenové nabídky zhotovitele, která tvoří nedílnou
        součást této smlouvy. Jednotkové ceny uvedené v nabídce jsou pevné a obsahují veškeré náklady
        a zisk zhotovitele nezbytné k realizaci předmětu plnění.

4.3 Zhotovitel prohlašuje, že jeho rozpočet obsahuje veškeré práce dle ustanovení této smlouvy na
        zhotoví penetračních testů a cena předmětu plnění zahrnuje veškeré náklady.

4.4 Smluvní strany berou na vědomí, že zaplacením se rozumí připsání dlužné částky na účet
        zhotovitele č. 0273478093/0300, vedený u ČSOB Dvůr Králové n. L.

4.5 Platba dohodnuté ceny za předmět plnění bude zaplacena na základě vystavených faktur
        splatných do 14 dnů po jejím doručení. Zhotovitel má nárok vystavit fakturu – daňový doklad po
        úplném dodání a protokolárním převzetí za každé penetrační testování. Objednatel se zavazuje
        dodržovat lhůtu splatnosti.

4.6 Smluvní cena je cenou nejvýše přípustnou a nepřekročitelnou a je cenou konečnou zahrnující
        veškeré náklady a činnosti, k nimž je zhotovitel dle této smlouvy povinen.

4.7 Veškeré případné vícepráce musí být předem písemně odsouhlaseny včetně jejich ceny
        objednatelem, jinak nebudou proplaceny.

4.8 Daňový doklad musí být vystaven v souladu s ust. § 28 zákona č. 235/2004 Sb. o dani z přidané
        hodnoty (dále jen zákon o DPH) a splňovat další náležitosti dle ust. § 29 zákona o DPH..

4.9 Objednatel neposkytne zhotoviteli zálohy na smluvní cenu.
4.10 Zákonné sazby daní a poplatků se řídí aktuálními právními předpisy.

          Název projektu: Kybernetická bezpečnost Technologického centra města Dvůr Králové nad Labem
          Registrační číslo projektu: CZ.31.2.0/0.0/0.0/23_093/0008357
V. Povinnosti zhotovitele

5.1 Zhotovitel se zavazuje provést předmět plnění včas dle předané technické specifikace a předat
        předmět plnění bez vad a nedodělků.

5.2 Veškeré odborné práce musejí vykonávat pracovníci zhotovitele, kteří mají příslušnou kvalifikaci.
        Doklady o kvalifikaci pracovníků je zhotovitel povinen na požádání objednatele předložit.

5.3 Zhotovitel je povinen při provádění prací dodržovat veškeré normy, bezpečnostní a hygienické
        předpisy, zákony a jejich prováděcí vyhlášky, které se týkají jeho činnosti. Pokud porušením těchto
        předpisů vznikne jakákoliv škoda, nese vzniklé náklady spojené s odstraněním škody zhotovitel.

5.4 Pokud činností zhotovitele dojde ke způsobení škody objednateli nebo jiným subjektům z titulu
        opomenutí, nedbalosti nebo neplněním podmínek vyplývajících se zákona, ČSN nebo právních
        předpisů či z ustanovení této smlouvy, je zhotovitel povinen bez zbytečného odkladu tuto škodu
        odstranit a není-li to možné, tak uhradit náklady s ní spojené.

VI. Povinnosti objednatele

6.1 Objednatel se zavazuje poskytnout zhotoviteli požadovanou součinnost při realizaci předmětu
        plnění.

6.2 Objednatel se zavazuje platit vystavené a jím odsouhlasené daňové doklady v termínech
        splatnosti dle této smlouvy.

VII. Sankce

7.1 Objednatel se zavazuje, že v případě prodlení s úhradou dílčího nebo konečného daňového
        dokladu uhradí zhotoviteli smluvní pokutu ve výši 0,5 % z dlužné částky za každý započatý den
        prodlení, počínaje 1. dnem prodlení po uplynutí splatnosti daňového dokladu. Smluvní pokuta je
        splatná do 14 dnů ode dne doručení daňového dokladu.

7.2 Zhotovitel se zavazuje, že v případě nedodržení termínu ukončení předmětu plnění dle článku III.
        odst. 1. této smlouvy uhradí objednateli smluvní pokutu ve výši 0,5 % z celkové ceny předmětu
        plnění za každý započatý den prodlení. Smluvní pokuta je splatná do 14 dnů ode dne doručení
        daňového dokladu.

VIII. Předání a převzetí

8.1 Jestliže objednavatel odmítne předmět plnění převzít, je povinen uvést důvody. Po odstranění
        nedostatků, pro které objednatel odmítl předmět plnění převzít, se provede další přejímací řízení
        v nezbytně nutném rozsahu. V takovém případě je možno k původnímu zápisu sepsat dodatek,
        ve kterém objednatel prohlašuje, že předmět plnění přebírá.

IX. Závěrečná ustanovení

10.1 Smlouva nabývá platnosti dnem jejího uzavření, tj. dnem podpisu smlouvy oprávněnými zástupci
        obou smluvních stran. Smlouva nabývá účinnosti dnem jejího uveřejnění v registru smluv dle
        zákona o registru smluv, které zajistí objednatel.

          Název projektu: Kybernetická bezpečnost Technologického centra města Dvůr Králové nad Labem
          Registrační číslo projektu: CZ.31.2.0/0.0/0.0/23_093/0008357
10.2 Smluvní strany prohlašují, že se s obsahem smlouvy řádně seznámily, že byla sepsána dle jejich
        svobodné a vážné vůle a nebyla sjednána v tísni a za nápadně nevýhodných podmínek.

10.3 Tato smlouva se řídí právním řádem České republiky, a to zejména ustanovením § 2586 a násl.
        zákona č. 89/2012 Sb., občanský zákoník, v platném a účinném znění.

10.4 Tato smlouva je vyhotovena a podepsána v elektronické formě.
10.5 Zhotovitel souhlasí s uveřejněním všech náležitostí smluvního vztahu v registru smluv (uveřejnění

        zajistí objednatel).
10.6 Tuto smlouvu lze měnit pouze písemným oboustranně potvrzeným ujednáním, výslovně

        nazvaným “Dodatek ke smlouvě”.
10.7 Nastanou-li u některé ze stran skutečnosti, bránící řádnému plnění této smlouvy, je tato strana

        povinna to ihned bez zbytečného odkladu oznámit druhé straně a vyvolat jednání zástupců
        oprávněných jednat.
10.8 Nedílnou součástí této smlouvy je Technická specifikace a Příloha č.1 a Nabídka zhotovitele Příloha
        č.2

Ve Dvoře Králové dne    Ve Dvoře Králové dne

        Za objednatele  Za zhotovitele
Ing. Ondřej Samek
                        Ing. Marcel Ouřada
                        Ing Václav Jirchář

Název projektu: Kybernetická bezpečnost Technologického centra města Dvůr Králové nad Labem
Registrační číslo projektu: CZ.31.2.0/0.0/0.0/23_093/0008357
                                   Technická specifikace
                                      Penetrační testy

Specifikace penetračních testů
Účel a zaměření
Penetrační testy slouží k identifikaci a analýze zranitelností v infrastruktuře a aplikacích zadavatele.
Jejich cílem je:

              • Prověřit bezpečnostní opatření a konfiguraci systémů.
              • Odhalit slabá místa, která mohou být zneužita k narušení důvěrnosti, integrity nebo

                   dostupnosti dat.
              • Simulovat reálné útoky, aby se ověřila odolnost systémů vůči různým typům

                   bezpečnostních hrozeb.
Penetrační testování zahrnuje jak testy interní infrastruktury, tak externí perimetr (sítě, servery a
služby přístupné z internetu). Testy budou realizovány podle přísných standardů a za použití
ověřených metodik.

Požadavky na průběh testování
Bezpečnost a nedestruktivní přístup

              • Testy musí být prováděny způsobem, který neohrozí provoz aplikací nebo systémů.
              • Ověřování zranitelností bude preferováno pomocí méně invazivních technik.
              • V případě zjištění kritických problémů musí být zadavatel ihned informován.
Přístup k prostředí
              • Testování může být realizováno fyzicky nebo pomocí vzdáleného přístupu na

                   testovací zařízení.
              • V době testování budou zahrnuta všechna zařízení dostupná v síti.
Licencovaný software a soulad s předpisy
              • Poskytovatel testů musí používat licencovaný software a dodržovat platné standardy,

                   jako jsou:
                        • Penetration Testing Execution Standard (PTES).
                        • Open Source Security Testing Methodology Manual (OSSTMM).

          Název projektu: Kybernetická bezpečnost Technologického centra města Dvůr Králové nad Labem
          Registrační číslo projektu: CZ.31.2.0/0.0/0.0/23_093/0008357
                        • Information Systems Security Assessment Framework (ISSAF).
Data a jejich ochrana

              • Veškerá data z testování musí zůstat v prostředí zadavatele.
              • Pokud poskytovatel použije vlastní zařízení, veškerá uložená data budou po testování

                   předána na přenosném médiu zadavateli a u poskytovatele nenávratně smazána.
              • Předání výsledků a reportů bude zabezpečeno šifrováním, a přístup k fyzickým

                   kopiím bude umožněn pouze autorizovaným osobám.

Požadavky na výstupy a výsledky testování
Každá zpráva z penetračního testování musí obsahovat:

    Identifikaci testovaného systému nebo aplikace.
              • Manažerské shrnutí, které zahrnuje přehled zjištěných problémů:
                        • popis zranitelností,
                        • dopad na infrastrukturu,
                        • závažnost (např. hodnocení pomocí CVSS skóre),
                        • doporučení nápravných opatření.
              • Technickou analýzu výsledků:
                        • podrobný popis zjištěných zranitelností,
                        • vektory útoku a rizika spojená se zranitelností,
                        • návrhy na odstranění nebo zmírnění rizika.
              • Metodiku testování, včetně použitých technik (Black box, Gray box, White box) a
                   nástrojů.
              • Časovou osu průběhu testování a případné příklady úspěšných útoků.
              • Doporučení priorit pro opravy a nápravná opatření.

Harmonogram testování
Test 1 Primární testování: Vybraný uchazeč se zavazuje předat zadavateli předmět plnění nejpozději
do 28 dnů od účinnosti smlouvy.

              • Testování interní infrastruktury.
              • Testování externí infrastruktury.

          Název projektu: Kybernetická bezpečnost Technologického centra města Dvůr Králové nad Labem
          Registrační číslo projektu: CZ.31.2.0/0.0/0.0/23_093/0008357
              • Vypracování a předání závěrečné zprávy.
              • Prezentace výsledků zadavateli.
Test 2 Re-testování: Vybraný uchazeč se zavazuje předat zadavateli předmět plnění nejpozději do
31.12.2025.
              • Ověření účinnosti implementovaných oprav.
              • Validace dříve nalezených kritických zranitelností.
              • Vypracování doplněné zprávy o re-testu.
              • Prezentace výsledků včetně doporučení pro další zlepšení.

Testování interní infrastruktury
Scénář
Testovací tým bude simulovat útoky interního uživatele s omezenými právy, aby identifikoval slabiny
v zabezpečení. Cílem je ověřit konfiguraci systémů a doménového prostředí a zjistit, zda lze tyto
slabiny zneužít.
Zaměření testování

              • Odolnost vůči síťovým útokům (VLAN hopping, ARP spoofing, STP manipulation).
              • Útoky na doménový řadič (Kerberoasting, Golden/Silver Ticket).
              • Zranitelnosti zařízení z pohledu běžného uživatele.
Použité nástroje
              • Skenery zranitelností.
              • Nástroje pro analýzu síťové konfigurace.
              • Nástroje pro testování doménové bezpečnosti.
Výstupy
              • Přehled zjištěných zranitelností s návrhem řešení.
              • Validace opravených zranitelností v případě re-testu.

Testování externí infrastruktury
Scénář
Simulace útoku neautentizovaného útočníka s cílem získat neoprávněný přístup do systémů
zadavatele. Tento test bude prováděn metodou Black box (Zero-knowledge).

          Název projektu: Kybernetická bezpečnost Technologického centra města Dvůr Králové nad Labem
          Registrační číslo projektu: CZ.31.2.0/0.0/0.0/23_093/0008357
Zaměření testování
              • Perimetr sítě (firewally, VPN, RDP, webové servery atd.).
              • Služby a protokoly přístupné z internetu (SMTP, FTP, databáze apod.).
              • Zneužití známých zranitelností a chybných konfigurací.

Použité nástroje
              • Nmap, Metasploit a další exploitační frameworky.
              • Skener zranitelností.

Výstupy
              • Mapování perimetru a identifikace slabin.
              • Doporučení pro zvýšení ochrany.

Nutná součinnost zadavatele
Zadavatel musí zajistit:

              • Přístup k testovaným zařízením a datům.
              • Dohodnutí termínů testování.
              • Definování kontaktní osoby a eskalačního kontaktu.

Bezpečnostní opatření při testování
              • Data a výstupy musí být šifrovány.
              • Testování probíhá pouze v dohodnutých termínech a z autorizovaných IP adres.
              • Veškeré změny v infrastruktuře budou po testování vráceny do původního stavu.

          Název projektu: Kybernetická bezpečnost Technologického centra města Dvůr Králové nad Labem
          Registrační číslo projektu: CZ.31.2.0/0.0/0.0/23_093/0008357
Rozsah a parametry testování
Interní infrastruktura: Test z pozice běžného uživatele
Charakteristika:

    • Typ testu: Gray-box.
    • Prostředí testu: Produkční.
    • Forma testu: Simulace kompromitace z pozice běžného uživatele (Assumed breach).
    • Segmentace prostředí: Přibližně 10 VLAN.
Rozsah:
    • Počet zařízení: 200

              • 50 serverů,
              • 50 aktivních prvků (switche, přístupové body),
              • 100 uživatelských stanic ve stejné konfiguraci (detailní test na 5 stanicích).
Technické parametry:
    • Operační systémy: Linux, Microsoft Windows Server.
    • Průměrný počet otevřených portů a běžících služeb na server: 6.

Interní infrastruktura: Test z pozice administrátora infrastruktury
Charakteristika:

    • Typ testu: Gray-box.
    • Prostředí testu: Produkční.
    • Forma testu: Simulace útoku s oprávněními administrátora.
Rozsah:
    • Počet zařízení: 50

              • 25 serverů,
              • 20 aktivních prvků (switche, AP),
              • 5 administrátorských stanic.
Technické parametry:
    • Operační systémy: Linux, Microsoft Windows Server.
    • Průměrný počet otevřených portů a běžících služeb na server: 6.

          Název projektu: Kybernetická bezpečnost Technologického centra města Dvůr Králové nad Labem
          Registrační číslo projektu: CZ.31.2.0/0.0/0.0/23_093/0008357
    • Segmentace prostředí: Přibližně 10 VLAN.
Externí infrastruktura: Testování externích služeb
Charakteristika:

    • Počet externích IP adres: 10.
    • Test zaměřený na služby a protokoly přístupné z internetu (např. SMTP, FTP, HTTP/HTTPS,

         VPN).

          Název projektu: Kybernetická bezpečnost Technologického centra města Dvůr Králové nad Labem
          Registrační číslo projektu: CZ.31.2.0/0.0/0.0/23_093/0008357
Výzva k předložení cenové nabídky – Penetrační testy

     1.

Název firmy  COM PLUS CZ a.s.

Sídlo        Nad Krocínkou 317/48, Prosek, 190 00 Praha

IČ           25772104

DIČ          CZ25772104

Telefon

Ve věcech nabídkové ceny je za uchazeče oprávněn jednat

Jméno, Příjmení, telefon, e-mail: Libor, Ivánek,

     2. Prohlášení uchazeče

Uchazeč prohlašuje, že nabídková cena uvedená níže obsahuje celkové náklady na realizaci
předmětu plnění.

Uchazeč podpisem předložením nabídky zadavateli stvrzuje, že porozuměl všem požadavkům
zadavatele a že jeho nabídka odpovídá požadovanému předmětu plnění.

     3. Nabídková cena

             Test1: Primární   Test 2: Re-testování Celkem
             testování

Nabídková    240000            120000                    360 000,-
cena bez                       25200                     75 600,-
DPH                            145200                    435 600,-

DPH (21 %) 50400

Nabídková    290400
cena včetně
DPH

       Název projektu: Kybernetická bezpečnost Technologického centra města Dvůr Králové nad Labem
       Registrační číslo projektu: CZ.31.2.0/0.0/0.0/23_093/0008357
Libor Ivánek
…………………………………………………
Jméno a příjmení osoby oprávněné jednat za uchazeče

          Název projektu: Kybernetická bezpečnost Technologického centra města Dvůr Králové nad Labem
          Registrační číslo projektu: CZ.31.2.0/0.0/0.0/23_093/0008357