Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
----- Jihočeská univerzita E EN
v českých Budějovicích
University of South Bohemia
in Ceské Budějovice
SMLOUVA O ZAJI T N PODPORY A ROZVOJE IDENTITY MANAGEMENT
JIHOČESKÉ UNIVERZITY V ČESKÝCH BUDĚJOVICICH
uzavřená dle ust. § 1746 odst. 2, § 2371 a násl.,§ 2586 a násl. zákona č. 89/2012 Sb.,
občanský zákoník, ve znění pozdějších předpisů (dále jen .občanský zákoník")
(dále jen .Smlouva")
Ev1'denc•m,.c. srn1ouvy ob�'ednateIe: .....O ......t..'..L...S..-. 00032-a
Evidenční č. smlouvy poskytovatele: .........................
ID zakázky: ......
Smluvní strany
Jihočeská univerzita v Českých Budějovicích
veřejná vysoká škola ve smyslu zákona č. 111/1998 Sb.
sídlo: Branišovská 1645/31a, 370 05 České Budějovice
IČO: 60076658
DIČ: CZ60076658
zastoupená: Ing. Michalem Hojdekrem, Ph.O., MBA, kvestorem
kontaktní osoba: ředitel CIT
bankovní spojení: Československá obchodní banka a.s., č. účtu: 104725778/0300
(dále jen jako „Objednatel" nebo „JU")
a
Orchitech s.r.o.
zapsaný v obchodním rejstříku pod sp. zn. C 135096 vedenou u Městského soudu v Praze
sídlo: Pobřežní 620/3, Karlín, 186 00 Praha 8
IČO: 28246764
DIČ: CZ28246764
zastoupený: Ing. Martinem Čížkem, MBA, jednatelem
bankovní spojení: Fio banka, a.s., č. účtu: 2100886119/2010
(dále jen jako „Poskytovatel")
PREAMBULE
Tato Smlouva je uzavřena na základě výsledku zadávacího řízení pro veřejnou zakázku zadanou
podle zákona č. 134í2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů (dále
jen „zákon o zadávání veřejných zakázek"), s názvem „Podpora a rozvoj IDM řešení JU". V rámci
výše uvedeného zadávacího řízení byla nabídka Poskytovatele vybrána jako nejvhodnější.
1.1. Objednatel prohlašuje, že: 1. Úvodní ustanovení
1
----- Jihočeská univerzita
v českých Budějovicích
University of South Bohemia
in české Budějovice
1.1.1. je univerzitní veřejnou vysokou školou podle zákona č. 111/1998 Sb., o vysokých
školách a o změně a doplnění dalších zákonů, ve znění pozdějších předpisů (dále jen
„zákon o vysokých školách"); zřízenou zákonem České národní rady č. 314/1991 Sb., a
1.1.2. splňuje veškeré podmínky a požadavky v této Smlouvě stanovené a je oprávněn
tuto Smlouvu uzavřít a řádně plnit závazky v ní obsažené.
1.2. Poskytovatel prohlašuje, že:
1.2.1. splňuje veškeré podmínky a požadavky v této Smlouvě stanovené a je oprávněn
tuto Smlouvu uzavřít a řádně plnit závazky v ní obsažené, a
1.2.2. ke dni uzavření této Smlouvy není vůči němu vedeno řízení dle zákona č.
182/2006 Sb., o úpadku a způsobech jeho řešení, ve znění pozdějších předpisů (dále
jen „insolvenční zákon"), a zavazuje se Objednatele bezodkladně informovat o
hrozícím úpadku, popř. o vzniku úpadku jeho společnosti;
1.2.3. může Objednateli poskytovat maintenance na základě oprávnění, které mu
poskytl subjekt vlastnící příslušná práva k poskytování maintenance, ledaže by tohoto
smluvního dokumentu nebylo třeba z toho důvodu, že by maintenance byla
poskytována k Free Software/Open Source Software; v tom případě se poskytovatel
zavazuje postupovat v souladu s příslušnými licenčními ustanoveními pro tento druh
software. Poskytoyatel se zavazuje po celou dobu plnění kdykoli na písemné vyzvání
předložit Objednateli do 3 pracovních dnů originály nebo ověřené kopie dokladů,
vystavených výrobcem nebo jeho lokálním zastoupením, prokazujících aktuálnost výše
uvedeného oprávnění. Poskytovatel se zavazuje zajistit a za stejných podmínek jako u
sebe doložit Objednateli, že příslušná oprávnění mají i případní poddodavatelé
Poskytovatele.
2. Předmět a úi!el Smlouvy
2.1. Účelem této Smlouvy je podpora a rozvoj identity management (dále jen „IDM") systému,
provozovaného v prostředí Objednatele.
2.2. Poskytovatel se zavazuje provádět pro Objednatele následující služby:
2.2.1. poskytovat následnou technickou podporu standardních (generických)
softwarových produktů tvořících součást IDM systému, včetně zajištění technické
podpory poskytovatelem, který současně pro IDM zastřešuje vývoj a údržbu, tedy
zejména opravy chyb, testování nových verzí, a provádět pravidelné preventivní
činnosti nad implementací systému v prostředí JU, a to dle parametrů uvedených v
této Smlouvě, v Příloze č. 1 - Specifikace plnění, odst. 2.1. Maintenance. Poskytovatel
dále zajistí Objednateli využívání softwarových licencí souvisejících s poskytováním
podpory v rámci standardních softwarových produktů tvořících součást IDM systému,
zejména jejich zajištění a správu v souladu s právními předpisy a licenčními
podmínkami (dále vše též jako „Maintenance");
2.2.2. poskytovat následnou technickou a metodickou podporu, dle parametrů
uvedených v této Smlouvě, zejména v Příloze č. 1 - Specifikace plnění, odst. 2.2.
Podpora (dále též jen „Podpora");
2
----- Jihočeská univerzita
v C:eských Budějoviclch
University of South Bohemia
in české Budějovice
2.2.3. poskytovat následnou technickou a metodickou podporu a provádět změnové a
rozvojové požadavky a mimořádné činnosti dle pokynů Objednatele, dle parametrů
uvedených v této Smlouvě, zejména v Příloze č. 1- Specifikace plnění, odst. 2.3. Rozvoj
(dále též „Rozvoj");
to vše (bod 2.2.1 až 2.2.3) po celou dobu účinnosti Smlouvy.
2.3. Poskytovatel se zavazuje a zaručuje, že veškeré činnosti a věcná plnění, které mají být
poskytnuty na základě této Smlouvy, budou poskytnuty řádně a v dohodnutých termínech se
znalostí a péčí, kterou je možné očekávat od odborníků, kteří mají požadované znalosti a
relevantní zkušenosti s realizací činností obdobných jako je předmět této Smlouvy. Plnění
nebude obsahovat žádné vady, které by bránily jeho použití k obvyklým účelům.
2.4. Poskytovatel se zavazuje v rámci plnění podle této Smlouvy zajišťovat nejnoveJs1,
Poskytovatelem otestovanou a doporučenou verzi programových prostředků, která bude v
době plnění Smlouvy uvedena na trh.
2.5. Objednatel se zavazuje zajistit nezbytnou součinnost za podmínek stanovených v čl. 5,
odst. 5.1 této Smlouvy a poskytnuté plnění za podmínek stanovených v této Smlouvě převzít a
zaplatit za něj dohodnutou cenu v souladu s platebními podmínkami uvedenými v čl. 4. této
Smlouvy. V případě poskytování Maintenance proběhne platba po potvrzení protokolu o
zahájení poskytování Maintenance.
3. Doba, místo plnění a trvání smlouvy
3.1. Místem plnění se sjednává sídlo Objednatele. Pokud to povaha plnění této Smlouvy
umožňuje a Objednatel vůči tomu nemá výhrady, je Poskytovatel oprávněn poskytovat část
svého plnění, resp. vést komunikaci s Objednatelem, telefonicky nebo prostřednictvím
elektronické komunikace, případně též prostřednictvím vzdáleného přístupu.
3.2. Smlouva se uzavírá na dobu neurčitou. K datu ukončení Smlouvy musí být vypořádány
veškeré platby.
3.3. Smlouva nabývá platnosti dnem podpisu poslední smluvní stranou. Smlouva nabývá
účinnosti uveřejněním v registru smluv dle zákona č. 340/2015 Sb., o zvláštních podmínkách
účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (dále jen „zákon o
registru smluv") v platném znění. Smluvní strany se dohodly, že uveřejnění Smlouvy v registru
smluv zajistí Objednatel.
4. Cena plnění a platební podmínky
4.1. Ceny služeb byly stanoveny dohodou v souladu s ustanoveními zákona č. 526/1990 Sb., o
cenách, ve znění pozdějších předpisů, následovně v (Kč):
3
----- Jihočeská univerzita
v českých Budějovicích
University of South Bohemia
in české Budějovice
Položka Předmět plnění Cena v Kč bez Sazba DPH Výše DPH v Cena v Kč s
v% Kč DPH
č. DPH
1. Maintenance a 16900 21 3 549 20 449
profylaxe - cena 16450
za jeden 21 3 454,50 19 904,50
kalendářní měsíc
2. Podpora - cena za
jeden kalendářní
měsíc
3. Rozvoj a 1 700 21 357 2 057
mimořádné
činnosti
jednotková cena
za člověkohodinu
4.2. Ceny dle odst. 4.1 lze navýšit pouze důvodu navýšení sazby DPH při změně právních
předpisů nebo z důvodu uplatnění inflační doložky dle odst. 4.11.
V rámci části plnění služeb Rozvoje a mimořádných činností budou hrazeny pouze reálně
čerpané a Objednatelem odsouhlasené člověkohodiny podle sjednané sazby za člověkohodinu.
4.3. Cena zahrnuje ocenění všech prací a služeb, které je nezbytné provést na základě vymezení
dle této Smlouvy a jejích příloh, není-li současně ve Smlouvě stanoveno, že jejich provedení má
zajistit v rámci své součinnosti Objednatel.
4.4. Cena za Maintenance a Podporu bude hrazena zpětně vždy za období jednoho
kalendářního měsíce, a to na základě daňového dokladu vystaveného Poskytovatelem.
Nebudou-li tyto služby poskytovány po celý kalendářní měsíc, bude Poskytovatel fakturovat
poměrnou část ceny dle odst. 4.1 bodů 1 a 2. Cena za poskytování služby Rozvoj a mimořádné
činnosti dle Přílohy č. 1, čl. 2 odst. 2.3. bude hrazena na základě potvrzeného akceptačního
protokolu pro daný rozvojový požadavek, resp. na základě schváleného výkazu pro danou
mimořádnou činnost. Tato cena bude stanovena násobkem počtu Poskytovatelem
vynaložených a Objednatelem schválených člověkohodin, a ceny za jednu člověkohodinu dle
odst. 4.1. tohoto článku.
4.5. Daňový doklad bude obsahovat náležitosti daňového účetního dokladu podle platných
právních předpisů, zejm. podle zákona č. 563/1991 Sb., o účetnictví, ve znění pozdějších
předpisů, zákona č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů, a
náležitosti dle § 435 občanského zákoníku. Faktura musí obsahovat specifikaci poskytnutých
služeb, musí být rozepsána alespoň podle skupin účtovaných položek. Každý daňový doklad
musí být označen číslem Smlouvy a 1D veřejné zakázky.
4
----- Jihočeská univerzita
v českých Budějovicích
University of South Bohemia
in teské Budějovice
4.6. V případě, že faktura nebude vystavena oprávněně či nebude obsahovat náležitosti
požadované touto Smlouvou či právními předpisy, nebo bude obsahovat údaje chybné, je
Objednatel oprávněn vrátit takovou fakturu k opravě či doplnění. Vrácením faktury se původní
lhůta splatnosti ruší. Celá lhůta splatnosti běží znovu ode dne doručení opravené nebo nově
vyhotovené faktury Objednateli.
4.7. Objednatel nebude poskytovat zálohy na objednané služby.
4.8. Cenu plnění zaplatí Objednatel Poskytovateli bezhotovostním převodem na bankovní účet
Poskytovatele uvedený v záhlaví této Smlouvy na základě daňového dokladu vystaveného
Poskytovatelem. Daňový doklad bude splatný do 30 dnů ode dne jeho prokazatelného
doručení Poskytovatelem Objednateli.
4.9. V případě změny bankovního spojení a čísla účtu Poskytovatele je Poskytovatel povinen
tuto změnu písemně sdělit Objednateli, a to nejpozději spolu s příslušnou fakturou.
4.10. Objednatel je oprávněn provést kontrolu vyfakturovaných služeb. Poskytovatel je
povinen oprávněným zástupcům Objednatele provedení kontroly umožnit.
4.11. Poskytovatel je oprávněn jedenkrát za kalendářní rok, nejdříve však ke druhému výročí
uzavření Smlouvy, upravit sjednané ceny dle odst. 4.1, a to maximálně o částku odpovídající
výši průměrné roční míry inflace pro českou republiku vyjádřené přírůstkem indexu
spotřebitelských cen za předchozí kalendářní rok pro všechny položky spotřebitelského koše
vyhlášené českým statistickým úřadem. Zhotovitel je povinen novou výši cen sdělit Objednateli
písemně. Změna cen bude považována za účinnou od následujícího kalendářního měsíce po
akceptací písemného sdělení Objednatelem. Smluvní strany pro úplnost uvádějí, že navýšení
cen dle tohoto odstavce je jednostranným úkonem Poskytovatele. Pokud o navýšení cen
smluvní strany uzavřou dodatek ke Smlouvě, má tento pouze deklaratorní účinky.
S. Práva a povinnosti smluvních stran
5.1. Smluvní strany jsou povinny se vzájemně informovat o všech okolnostech důležitých pro
řádné a včasné poskytování plnění, přičemž Objednatel je povinen poskytnout Poskytovateli
součinnost v nezbytném rozsahu zejm.:
5.1.1. zajistit potřebné přístupy do prostor Objednatele pro pracovníky Poskytovatele
a spolupráci pracovníků Objednatele s Poskytovatelem v nezbytném rozsahu,
5.1.2. poskytnout Poskytovateli nezbytnou součinnost pro poskytnutí služeb, kterou si
Poskytovatel vyžádá a takovou nezbytnost součinnosti ze strany Objednatele náležitě
odůvodní (zejména dálkový přístup ke spravovaným systémům, přístupová práva nebo
asistenci oprávněné osoby- administrátora IT),
5.1.3. vyjadřovat se k návrhům na další postup Poskytovatele, bude-li to nezbytné pro
řádné poskytování služeb.
5.2. Součinnost dle odst. 5.1. tohoto článku bude poskytnuta prostřednictvím kontaktní osoby.
5.3 V případě, že je nezbytná součinnost Objednatele pro řádné plnění této Smlouvy
Poskytovatelem a Objednatel je v prodlení s jejím poskytnutím, zavazuje se Poskytovatel na
5
----- Jihočeská univerzita
v českých Budějovicích
University of South Bohemia
in české Budějovice
toto prodlení Objednatele písemně upozornit v přiměřených intervalech, které nebudou delší
než 5 dnů.
5.4. Poskytovatel je oprávněn použít pro plnění svých závazků poddodavatele uvedené v
Příloze č. 2 této Smlouvy. Jiné poddodavatele je Poskytovatel oprávněn použít pro plnění svých
závazků jen, pokud s použitím poddodavatele Objednatel předem udělil svůj písemný souhlas.
5.5. Poskytovatel se při plnění zavazuje dodržovat zásady bezpečnosti informací v souladu se
zákonem č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (dále jen
,,zákon o kybernetické bezpečnosti"), a vyhláškou č. 82/2018 Sb., o bezpečnostních opatřeních,
kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v
oblasti kybernetické bezpečnosti a likvidaci dat (dále jen „vyhláška o kybernetické
bezpečnosti"). Bezpečností informací se v souladu se zákonem o kybernetické bezpečnosti
rozumí zajištění důvěrnosti, integrity a dostupnosti informací, které budou uchovávány,
vytvářeny nebo zpracovávány v implementovaném IDM systému nebo v systémech, které mají
vazbu na implementovaný IDM systém a v souvislosti s kterými Objednateli vznikají právní
povinnosti na základě ust. § 3 zákona o kybernetické bezpečnosti.
5.6. Poskytovatel se zavazuje poskytnout Objednateli veškerou součinnost nezbytnou k tomu,
aby Objednatel řádně naplňoval právní povinnosti stanovené zákonem o kybernetické
bezpečnosti, vyhláškou o kybernetické bezpečnosti, vyhláškou č. 317/2014 Sb., o významných
informačních systémech a jejich určujících kritériích. Zejména se Poskytovatel zavazuje
poskytnout Objednateli součinnost směřující k zavedení a provádění bezpečnostních opatření
podle uvedených právních předpisů.
5.7. Jestliže vznikne v souvislosti se zavedením a prováděním bezpečnostních opatření podle
právních předpisů uvedených v předchozím odstavci potřeba uzavřít dodatek k této Smlouvě
nebo zvláštní dohodu, zavazuje se Poskytovatel poskytnout veškerou součinnost potřebnou k
formulaci obsahu takového dodatku/dohody, a k uzavření takového dodatku/dohody.
5.8. Rozsah a povaha součinnosti Poskytovatele sjednané v odst. 5.5 až 5.7 Smlouvy budou vždy
určeny zejména podle rozsahu a povahy vlivu implementovaného IDM systému na bezpečnost
informací Objednatele a rovněž podle rozsahu a povahy vazeb implementovaného IOM
systému na systémy, v souvislosti s kterými Objednateli vznikají právní povinnosti na základě
ust. § 3 zákona o kybernetické bezpečnosti.
5.9. Poskytovatel je povinen zajistit dodržování pravidel a pokynů Objednatele týkajících se
vstupu a pohybu osob v místech plnění uvedených v čl. 3. této Smlouvy osobami jeho
pracovníků a pracovníků jeho poddodavatelů.
5.10. IDM systém bude vybaven prostředky (na technické úrovni) pro zajištění souladu s
Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně
fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů
a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (GDPR).
6. Záruka a odpovědnost za vady
6.1. Poskytovatel se zavazuje poskytovat služby v oblasti Maintenance, Podpora a Rozvoj dle
čl. 2 odst. 2.2 a za podmínek uvedených v Příloze č. 1 Smlouvy, a to po celou dobu účinnosti
6
----- Jihočeská univerzita
v českých Budějovicích
University of South Bohernia
in české Budějovice
této Smlouvy. Maintenance je Poskytovatel v plném rozsahu a na svoji odpovědnost povinen
zajistit i pro Open Source Software.
6.2. Poskytovatel bude postupovat v úzké součinnosti s Objednatelem, v souladu s pokyny,
podmínkami, připomínkami a oprávněnými zájmy Objednatele a uskuteční právně konformním
způsobem všechny úkony, které se ukážou být nezbytné pro realizaci jednotlivých plnění a
splnění účelu smlouvy. Porušení těchto povinností bude považováno za podstatné porušení
smlouvy.
6.3. Poskytovatel je povinen Objednatele informovat o všech změnách týkajících se realizace
jednotlivých plnění, které mu budou známy, a které mohou realizaci plnění ovlivnit.
6.4. Poskytovatel dává objednateli záruku za jakost poskytovaných služeb a jejich výsledků.
Poskytovatel je povinen dodat výsledky poskytovaných služeb v množství, jakosti a provedení
dle této Smlouvy, bez právních či faktických vad. Vadou se rozumí zejména odchylka od druhu
nebo kvalitativních podmínek výsledku poskytnutých služeb nebo jejich části, stanovených
touto Smlouvou nebo technickými normami či obecně závaznými právními předpisy.
6.5. Poskytovatel odpovídá za veškeré vady poskytnutých služeb a jejich výsledků dle této
smlouvy, jež se projeví v době poskytnutí služby nebo v záruční době, jež činí 24 měsíců od
poskytnutí dané služby, resp. předání daného výsledku. Objednatel je oprávněn kontrolovat
realizaci plnění nebo jeho částí. Objednatel je povinen případné vady výsledků poskytnutých
služeb oznámit Poskytovateli bez zbytečného odkladu po jejich zjištění a uplatnit svůj
požadavek na jejich odstranění. Poskytovatel je povinen vytknuté vady na své náklady bez
zbytečného prodlení odstranit.
6.6. Nároky z vad výsledků poskytnutých služeb se nedotýkají nároku na náhradu škody nebo
nároku na smluvní pokutu.
6.7. Poskytovatel je povinen zajistit právně konformní užití věcí, které jsou nebo mají být
použity k realizaci plnění, v rozsahu a ke způsobům užití odpovídajícím požadavku na řádnou
realizaci jednotlivých plnění, a to zejména má-li být k realizaci jednotlivých plnění použito věcí
chráněných právem duševního vlastnictví nebo jinak zatížených cizími právy. Veškeré náklady
s tím spojené, včetně odměn autorům, nese v plné výši Poskytovatel. Tyto náklady nebudou
Objednateli účtovávány, ani Objednatelem jakkoli kompenzovány.
7. Smluvní pokuty a náhrada škody
7.1. Objednatel má právo požadovat smluvní pokutu ve výši 200.000,- Kč za každé porušení
povinnosti mlčenlivosti nebo jiné povinnosti specifikované v čl. 10. Smlouvy, a to za každý
jednotlivý případ porušení povinnosti.
7.2. V případě, že Poskytovatel využije pro plnění svých závazků poddodavatele v rozporu
s ustanovením čl. 5. odst. 5.4. Smlouvy, Objednatel má právo požadovat smluvní pokutu ve
výši 50.000,- Kč, a to za každý jednotlivý případ takového porušení.
7.3. V případě porušení pravidel uvedených v čl. 5. odst. 5.5 až 5.8 této Smlouvy má Objednatel
právo požadovat uhrazení smluvní pokuty ve výši 50.000,- Kč, a to za každý jednotlivý případ
takového porušení.
7
----- Jihočeskáuniverzita
v českých Budějovicích
University of South Bohemia
in teské Budějovice
7.4. V případě prodlení s dodáním dokladů dle čl. 1 odst. 2 pododst. 1.2.3 Smlouvy či v případě
prodlení s odstraněním vad či jiných nedostatků výsledků plnění ve smyslu čl. 6 odst. 6.5.
Smlouvy se Poskytovatel zavazuje uhradit Objednateli smluvní pokutu ve výši 3.000,- Kč za
každý i započatý den prodlení.
7.5. V případě porušení lhůt pro reakci a vyřešení incidentu dle části 2.2. Přílohy č. 1 má
Objednatel právo požadovat smluvní pokutu:
Kategorie incidentu Smluvní pokuta
A 500 Kč za každou hodinu prodlení
B 1000 Kč za každý den prodlení
C 500 Kč za každý den prodlení
7.6. V případě prodlení s předáním rozvojového požadavku dle čl. 2 odst. 2 bod 2.2.3. Smlouvy
má Objednatel právo požadovat sm·luvní pokutu ve výši 1000, Kč za každý den prodlení.
7.7. Smluvní strany odpovídají za způsobenou škodu v rámci platných právních předpisů a této
Smlouvy. Poskytovatel plně odpovídá též za škodu způsobenou v souvislosti s touto Smlouvou
svým poddodavatelem. Žádná ze smluvních stran není odpovědná za škodu nebo prodlení
způsobené okolnostmi vylučujícími odpovědnost ve smyslu ust. § 2913 občanského zákoníku.
Poskytovatel odpovídá za skutečně vzniklou škodu a ušlý zisk.
7.8. Poskytovatel předloží na požádání Objednateli kopii pojistné smlouvy nebo obdobný
doklad, z něhož bude zřejmé, že má sjednáno pojištění odpovědnosti za škodu způsobenou
třetí osobě na pojistnou částku ve výši minimálně 1.500.000,- Kč {slovy: jedenmiliónpětset
tisíckorunčeských). Poskytovatel se zavazuje udržovat toto pojištění v platnosti po celou dobu
platnosti Smlouvy.
8. Autorská práva, licenční ujednání a přechod vlastnictví
8.1. Poskytovatel uděluje podpisem této smlouvy Objednateli v souladu s ust. § 2371
občanského zákoníku nevýhradní licenci ke všem způsobům užití provozní dokumentace {nikoli
dokumentace ke standardnímu software), coby autorského díla vytvořeného v rámci plnění
této Smlouvy. Na ostatní písemné výstupy vytvořené Poskytovatelem pro Objednatele na
základě této Smlouvy se vztahuje ust. § 61 zákona č. 121/2000 Sb., o právu autorském, o
právech souvisejících s právem autorským a o změně některých zákonů {dále jen „autorský
zákon"), týkající se díla vytvořeného na objednávku. Objednatel je oprávněn dokumenty dle
tohoto odstavce dále jakkoliv upravovat, zejména z nich učinit součást jiného autorského díla
či používat z nich výňatky. Licence dle tohoto odstavce se udělují jako časově, množstevně a
územně neomezené.
8.2. Poskytovatel je povinen dodat Objednateli příslušené licence k aplikačnímu software a ke
grafickým dílům, která jsou součástí díla. Tyto licence musejí být Poskytovatelem dodány jako
8
----- Jihočeská univerzita
v českých Budějoviclch
University of South Bohemia
in ť:eské Budějovice
časově a územně neomezené nebo, pokud budou časově omezeny, pak musejí být účinné
nejméně po dobu, po kterou je Poskytovatel povinen zajišťovat podporu díla. Jestliže se však
jedná o dobu platnosti standardizovaných licencí, Poskytovatel dodá tyto licence tak, jak jsou na
trhu nabízeny jejich producentem, avšak pokud nebudou splňovat podmínku dle předchozího
souvětí, je Poskytovatel povinen zajistit obnovu těchto licencí nebo návaznou dodávku dalších
licencí tak, aby zmiňovaná podmínka byla fakticky splněna; náklady na obnovu nebo
znovupořízení licencí jsou již zahrnuty v celkové ceně plnění dle čl. 4 této Smlouvy. Licence dle
tohoto odstavce musejí být Poskytovatelem dodány jako neomezené také co do počtu uživatelů
spravovaných identity management systémem, a to ať uživatelů aktivních, tak neaktivních.
8.3. K naplnění práv Objednatele dle ust. § 66 autorského zákona, i k naplnění práv Objednatele
podle licence nad rámec tohoto ustanovení, je-li tak sjednáno podle této Smlouvy, se sjednává,
v případě vzniku skutečností uvedených v odstavci 4. tohoto článku, povinnost Poskytovatele
poskytnout Objednateli zdrojový kód konfigurace dodaného IDM v podobě otevřeného (tzv.
nezakryptovaného) textu s jeho písemným komentářem. Poskytovatel je rovněž, v případě
vzniku skutečností uvedených v odstavci 4 tohoto článku, povinen poskytnout Objednateli také
zdrojový kód v podoběotevřenéhotextu spolu s jeho písemným komentářem případných úprav,
změn a dalšího vývoje dodaného IDM, pokud k nim v rámci plnění této smlouvy došlo. V případě
vzniku skutečností uvedených v odstavci 4 tohoto článku, se povinnost Poskytovatele
poskytnout zdrojový kód vztahuje na všechny části dodaného IDM, které splňují buď podmínku
nezbytnosti pro provoz dodaného IDM nebo jde o část upravenou (tzv. customizovanou) pro
Objednatele, ale současně i při splnění některé z předchozích podmínek nejde o část dodaného
IDM, ke které autorské právo zahrnující oprávnění disponovat se zdrojovým kódem vykonává
pouze třetí osoba a která existuje nezávisle na plnění Poskytovatele podle této Smlouvy.
8.4. V případě, že Poskytovatel neposkytne Objednateli sjednané plnění dle této smlouvy včas a
řádně (zejména neposkytne podporu díla specifikovanou v kap. 3 Přílohy č. 1 této Smlouvy),
nastane skutečnost, na niž odkazuje ustanovení odstavce 3. tohoto článku. V takovém případě
je Poskytovatel povinen splnit povinnosti spočívající v poskytnutí zdrojových kódů uvedených v
odstavci 3. tohoto článku Objednateli, přičemž Objednatel má poté právo upravovat a měnit
takto poskytnuté zdrojové kódy a tím zasahovat, měnit, upravovat nebo rozšiřovat dodaný IDM.
V případě úpravy nebo změny takto poskytnutých zdrojových kódů Objednatelem nenese
Poskytovatel odpovědnost za případné z tohoto plynoucí nežádoucí následky.
8.5. Odměna za poskytnutí Licencí, za užití dokumentace a jiných písemných výstupů a grafických
děl dle tohoto článku je již zahrnuta v celkové ceně plnění dle čl. 4 této Smlouvy.
8.6. Poskytovatel se zavazuje uspořádat si své právní vztahy se třetími osobami tak, aby plně
dostál svým závazkům dle tohoto článku.
8.7. V případě, že některá z licencí potřebných pro řádnou funkčnost a provoz díla nebyla
Poskytovatelem uvedena v jeho nabídce v zadávacím řízení, které předcházelo uzavření této
9
----- Jihočeská univerzita
v českých Budějovicích
University of South Bohemia
in české Budějovice
smlouvy, nebo není výslovně uvedena v této smlouvě, pak platí, že Poskytovatel je povinen
dodat Objednateli bez jakýchkoliv finančních nároků všechny potřebné licence tak, aby
množstevně, rozsahově, časově a územně zajistily legální a řádnou funkčnost a provoz díla.
8.8. Ustanovením odstavců 1. až 7. tohoto článku nejsou dotčena ustanovení licenčních
podmínek definovaných v přílohách této Smlouvy (zejména v Příloze č. 1 této Smlouvy).
9. Oznámení a komunikace
9.1. Veškerá oznámení, tj. jakákoliv komunikace na základě této Smlouvy, bude probíhat v
souladu s tímto článkem.
9.2. Kromě jiných způsobů komunikace dohodnutých mezi stranami se za účinné považují
osobní doručování, doručování doporučenou poštou, faxem či elektronickou poštou, a to na
následující adresy smluvních stran, nebo na takové adresy, které si strany vzájemně písemně
oznámí.
9.2.1. Za Objednatele:
Kontakt Oblast Telefon E-mail
Ing. Michal smluvní
Hojdekr, technická
Ph.D., MBA
technická
9.2.2. Za Poskytovatele:
Kontakt Oblast Telefon E-mail
Ing. Martin Čížek, Smluvní a obchodní
MBA podmínky
10
----- Jihočeská univerzita
v českých Budějovicfch
University of South Bohemia
in české Budějovice
Technické záležitosti
Podpora
9.3. Oznámení se považují za uskutečněná v případě osobního doručování anebo doručování
doporučenou poštou okamžikem doručení, v případě posílání faxem či elektronickou poštou
okamžikem obdržení potvrzení od protistrany při použití stejného komunikačního kanálu. Při
komunikaci přes stanovený informační systém (,,servicedesková" aplikace), se za uskutečnění
komunikace považuje přijetí zprávy informačním systémem.
9.4. Smluvní strany jsou oprávněny změnit oprávněné osoby, jsou však povinny do tří (3) dnů
ode dne změny oprávněné osoby na takovou změnu druhou smluvní stranu písemně
upozornit. Zmocnění zástupce oprávněné osoby musí být písemné s uvedením rozsahu
zmocnění.
10. Ochrana informací
10.1. Poskytovatel se zavazuje během plnění i po ukončení této Smlouvy zachovávat
mlčenlivost o všech skutečnostech, o kterých se dozví v souvislosti s plněním této Smlouvy
(dále jako „důvěrné informace").
10.2. Ustanovení odst. 10.1. se nevztahuje na informace, které jsou veřejné nebo které měl
Poskytovatel k dispozici nebo mu byly dostupné i před jejich zpřístupněním Objednatelem, a
na informace, které se staly veřejnými bez toho, aby to protiprávně způsobila přijímající strana,
a dále na informace, které Poskytovatel prokazatelně sám vyvinul nebo zjistil bez porušení
závazků dle této Smlouvy.
10.3. Porušením ochrany informací není, pokud Poskytovatel zpřístupní důvěrné informace
Objednatele:
10.3.1. neboť byl povinen učinit tak na základě zákona nebo vykonatelného rozhodnutí
soudu či příslušného správního orgánu;
10.3.2. svým poddodavatelům, oprávněně se podílejícím na plnění této Smlouvy, jen v
nezbytně nutném rozsahu potřebném k zajištění plnění jejich povinností
poddodavatele, zavázal-li uvedené osoby smluvně k ochraně těchto informací;
10.3.3. svým účetním, daňovým, právním nebo jiným odborným poradcům, jsou-li tyto
osoby smluvně nebo zákonem zavázány k ochraně těchto informací.
10.4. Poskytovatel se zavazuje v souvislosti s ochranou informací poučit všechny osoby, které
se budou podílet na plnění předmětu Smlouvy, a to včetně poddodavatelů, o povinnosti
mlčenlivosti.
11
----- Jihočeská univerzita
v Ceských Budějovicích
University of South Bohernia
in Ceské Budějovice
11. Ochrana osobních údajů a informací
11.1. Poskytovatel při plnění této smlouvy nezpracovává osobní údaje, které by získal od
Objednatele, může ale při jejím plnění s osobními údaji přijít do styku.
11.2. Poskytovatel se zavazuje, že dostane-li se při plnění předmětu této Smlouvy do styku s
osobními údaji, přijme taková opatření, aby jejich prostřednictvím zabránil neoprávněnému
nebo nahodilému zveřejnění nebo zpřístupnění osobních údajů třetím osobám. Za tím účelem
se zejména zavazuje:
a. zavázat osoby, které se podílejí na plnění předmětu této Smlouvy jako jeho zaměstnanci
či oprávnění dodavatelé smluvně povinností mlčenlivosti o osobních údajích, se kterými
přijdou do styku,
b. přijmout vhodná technická a organizační opatření, která zamezí nebezpečí náhodného
nebo neoprávněného přístupu k osobním údajům, zamezí jejich zničení nebo ztrátě,
neoprávněnému zveřejnění nebo zpřístupnění, kterými se rozumí zejména:
i. přijetí vnitřních předpisů či pravidel pro práci s osobními údaji,
ii. stanovení pravidel pro přístup k osobním údajům v informačních systémech
nebo jinde jen k tomu oprávněným osobám,
iii. monitorování práce osob při plnění této Smlouvy,
iv. zabezpečení informačních systémů heslem, přístupovými právy, šifrováním
nebo jinak,
v. proškolení zaměstnanců ohledně povinnosti chránit osobní údaje, se kterými se
dostanou při plnění předmětu této Smlouvy do styku.
11.3. Poruší-li Poskytovatel stanovené povinnosti, odpovídá Objednateli za způsobenou újmu, a
to včetně případného postihu ze strany orgánů veřejné moci.
11.4. Pokud Poskytovatel při plnění této Smlouvy zjistí porušení povinností týkajících se ochrany
osobních údajů (například dojde k neoprávněnému přístupu k osobním údajům, k jejich
neoprávněnému zveřejnění, zneužití osobních údajů nebo porušení mlčenlivosti), je povinen
neprodleně takovou skutečnost oznámit Objednateli, jinak odpovídá za újmu, která vznikne v
důsledku včasného neoznámení Objednateli.
12. Ukončení smlouvy
12.1. Smlouva může být ukončena pouze písemně, a to:
a) dohodou podepsanou oběma smluvními stranami, v tomto případě platnost a účinnost
Smlouvy končí ke sjednanému dni;
b) jednostrannou vypovědí kterékoliv ze smluvních stran i bez udání důvodu, když
výpovědní doba činí 12 měsíců a počíná běžet prvním dnem měsíce následujícího po měsíci, ve
kterém byla písemná výpověďdruhé straně doručena;
c) odstoupením od Smlouvy v důsledku nesplnění povinností vyplývajících z této Smlouvy.
12.2. Poskytovatel je oprávněn od smlouvy odstoupit v případech vyplývajících ze zákona nebo
v případě podstatného porušení povinností Objednatele podle Smlouvy, a to po předchozím
písemném upozornění na možné důsledky porušení povinností. Odstoupení od Smlouvy je
účinné okamžikem doručení písemného oznámení o odstoupení Objednateli.
12
----- Jihočeská univerzita
v českých Budějovicích
University of South Bohemia
in české Budějovíce
12.3. Za podstatné porušení smlouvy Poskytovatelem jsou považovány:
12.3.1. prodlení s plněním jeho závazků po dobu delší než 20 dní;
12.3.2. pozbytí oprávnění vyžadované právními předpisy k činnostem, k jejichž
provádění se Poskytovatel zavázal podle této Smlouvy;
12.3.3. neprovádění plnění podle smlouvy řádně a včas v souladu s pokyny
Objednatele nebo v souladu s příslušnými obecně závaznými normami, neodstranění
vad či nedodělků bez zbytečného prodlení nebo v dohodnutých lhůtách;
12.3.4. porušení povinnosti ochrany důvěrných informací ve smyslu této Smlouvy;
12.3.5. situace, kdy bylo vůči Poskytovateli zahájeno insolvenční řízení nebo byl
insolvenční návrh zamítnut pro nedostatek majetku Poskytovatele dle ustanovení
insolvenčního zákona, nebo pokud Poskytovatel vstoupí do likvidace či se ocitne v
úpadku.
12.4. Za podstatné porušení této Smlouvy Objednatelem se považuje zejména, pokud je
Objednatel i přes písemnou Poskytovatelovu urgenci v prodlení s úhradou faktury trvajícím
déle než 15 dnů od této urgence.
12.5. Objednatel je oprávněn kdykoli odstoupit od Smlouvy v případech vyplývajících z právní
úpravy nebo ze Smlouvy a pro podstatné porušení Smlouvy Poskytovatelem. Odstoupení od
Smlouvy je účinné okamžikem doručení písemného oznámení o odstoupení Poskytovateli. V
pochybnostech se má za to, že je porušení Smlouvy Poskytovatelem podstatné.
12.6. V případě nepodstatného porušení smluvních povinností podle Smlouvy budou smluvní
strany zavázány dodatečně poskytnout smluvní straně v prodlení náhradní lhůtu k plnění, a to
v takovém rozsahu, který smluvní straně v prodlení umožní splnit její povinnost. V případě
nesplnění smluvních povinností smluvní stranou v prodlení ani v takto dodatečně určené lhůtě
bude druhá smluvní strana oprávněna od Smlouvy odstoupit s účinností od okamžiku, kdy bude
smluvní straně v prodlení doručeno písemné oznámení o odstoupení.
12.7. Ujednáními tohoto článku Smlouvy není dotčeno oprávnění kterékoli smluvní strany
odstoupit od Smlouvy za předpokladu, že jakékoliv jiné porušení smluvní povinnosti druhou
smluvní stranou bude možno považovat za porušení této smlouvy podstatným způsobem ve
smyslu ust. § 2002 občanského zákoníku.
12.8. Poskytovatel je po ukončení smlouvy odstoupením, zrušením nebo výpovědí povinen
předat Objednateli na jeho žádost ve lhůtě pěti kalendářních dnů veškerá, popř. Objednatelem
vymíněná, hotová a rozpracovaná plnění podle této Smlouvy, a dále nezbytné podklady a
dokumenty opatřené Poskytovatelem za účelem plnění jeho závazků podle Smlouvy.
Objednatel je povinen za taková plnění poskytnout Poskytovateli přiměřenou odměnu. V
případě ukončení smlouvy odstoupením z důvodu porušení povinností Poskytovatele bude
Objednatel povinen za taková dosavadní plnění poskytnout Poskytovateli přiměřenou
odměnu, jen pokud pro něj tato plnění budou mít věcný význam při pokračování v realizaci
zakázky; v opačném případě nebude odměna Poskytovateli poskytnuta.
13
----- Jihočeská univerzita
v českých Budějovicích
University of South Bohemia
m české Budějovice
12.9. Ukončením účinnosti této Smlouvy nejsou dotčeny nároky ze záruky za jakost a
odpovědnosti za vady, nároky z odpovědnosti za škodu a nároky z ustanovení o smluvních
pokutách, ustanovení o ochraně informací, ani další ustanovení a nároky, z jejichž povahy
vyplývá, že mají trvat i po zániku účinnosti této Smlouvy. Licence, ostatní práva dle čl. 8. této
Smlouvy a záruky poskytnuté po dobu účinnosti Smlouvy jsou zachovány v rozsahu, v jakém se
týkají plnění, které si v souladu s touto Smlouvou Objednatel ponechá.
13. Postoupení a zmocnění
13.1. Žádná práva ani povinnosti z této Smlouvy nemohou být postoupena jednou smluvní
stranou na třetí osobu bez předchozího písemného souhlasu druhé smluvní strany, není-li v
této Smlouvě výslovně uvedeno jinak.
13.2. Pokud Poskytovatel v souladu s touto Smlouvou pověří plněním některých svých
povinností z této Smlouvy poddodavatele nebo jakoukoliv jinou třetí osobu, zůstává
Poskytovatel plně odpovědný za plnění třetí strany tak, jako by plnil sám.
13.3. Poskytovatel není na základě této Smlouvy oprávněn jednat jménem Objednatele bez
písemné plné moci udělené pro konkrétní účel specifikovaný v takové plné moci
Objednatelem.
14. Závěrečná ustanovení
14.1. Jednotlivá ustanovení této Smlouvy jsou oddělitelná v tom smyslu, že neplatnost
některého z nich nezpůsobí neplatnost smlouvy jako celku. Pokud by se v důsledku vydání
obecně závazného právního předpisu kterékoliv ustanovení této smlouvy dostalo do rozporu s
právním řádem a tento rozpor by způsoboval neplatnost této smlouvy jako celku, bude tato
Smlouva posuzována tak, jako kdyby takové ustanoveni nikdy neobsahovala, a smluvní strany
se v této věci budou řídit obecně závaznými právními předpisy.
14.2. Vztahy vzniklé mezi smluvními stranami na základě této Smlouvy se řídí občanským
zákoníkem a dalšími ustanoveními právních předpisů české republiky, zejména autorským
zákonem. Smluvní strany se dohodly, že veškeré spory vzniklé na základě této Smlouvy nebo z
jejího porušení, ukončení či neplatnosti budou rozhodovány příslušnými soudy české
republiky, přičemž v případě, že Poskytovatel má bydliště/sídlo mimo území české republiky
(spory s mezinárodním prvkem), bude věcně a místně příslušným soudem vždy soud určený
podle sídla Objednatele.
14.3. Nedílnou součástí této Smlouvy jsou tyto přílohy:
Příloha č. 1: Specifikace plnění
Příloha č. 2: Popis aktuálního IDM řešení JU
14
----- Jihočeská univerzita
v českých Budějovicích
University of South Bohemia
in české Budějovice
Příloha č. 3: Bezpečnostní pravidla ICT JU
14.4. Práva Objednatele vyplývající z této Smlouvy či jejího porušení se promlčují ve lhůtě
patnácti (15) let ode dne, kdy právo mohlo být uplatněno poprvé.
14.5. Poskytovatel přebírá podle ust. § 1765 odst. 2 občanského zákoníku nebezpečí změny
okolností v souvislosti s plněním této Smlouvy, zejména v souvislosti s cenou za poskytnuté
plnění a požadavky na poskytování Podpory.
14.6. Poskytovatel bere na vědomí, že tato smlouva bude Objednatelem uveřejněna v souladu
s platnými právními předpisy dle čl. 3 odst. 3.3 této smlouvy.
14.7. Poskytovatel je povinen spolupůsobit jako osoba povinná v souladu se zákonem č.
320/2001 Sb., o finanční kontrole ve veřejné správě a o změně některých zákonů (dále jen
,,zákon o finanční kontrole"), ve znění pozdějších předpisů.
14.8. Tato Smlouva je sepsána v českém jazyce v jednom (1) vyhotovení v elektronické podobě.
Veškeré změny a doplňky této smlouvy mohou být realizovány pouze formou číslovaných,
písemných dodatků opatřených podpisy oprávněných zástupců obou smluvních stran. Za
písemnou formu není pro tento účel považována výměna e-mailových či jiných elektronických
zpráv.
14.9. Smluvní strany dále prohlašují, že si tuto smlouvu před jejím podpisem přečetly, že byla
uzavřena po vzájemném projednání podle jejich pravé a svobodné vůle, určitě, vážně a
srozumitelně. Autentičnost této smlouvy potvrzují oprávnění zástupci obou smluvních stran
svými podpisy.
V Českých Budějovicích dne.............. V Praze dne ..........
za Objednatele za Poskytovatele
Ing. Michal Hojdekr, Ph.O., MBA
Kvestor
15
Příloha č.1 smlouvy: Specifikace plnění
1. úvod
Příloha definuje parametry poskytovaných služeb.
1.1. Specifikace systémů podporovaných poskytovatelem
Systém identity managementu a autentizační brána - vizte přílohu 2 Popis aktuálního řešení
ldM a AuthGW.
1.2. Způsob poskytování služeb
• Služby vázané na prostředí objednatele, jeho data, prostředí či infrastrukturu budou
poskytovány především pomocí dálkového přístupu k prostředí objednatele (VPN).
• Ostatní služby či jejich části bez vazby na infrastrukturu objednatele budou zajištěny
pomocí prostředků poskytovatele bez dodatečných nákladů pro objednatele.
1.2.1. Servicedesková aplikace
Poskytovatel zajistí servicedeskovou aplikaci - online software používaný poskytování
supportu a zaznamenávání dalších úkonů dle této specifikace. Poskytovatel v nabídce
uvede způsob zachycení procesů a pojmů dle této specifikace v servicedeskové aplikaci.
Počínaje nabytím účinnosti smlouvy poskytovatel zpřístupní servicedeskovou aplikaci
objednateli.
1.2.2. Reporty
V rámci či nad rámec záznamů v servicedeskové aplikaci poskytovatel vytvoří report o
plnění svých služeb tak, aby bylo zpětně prokazatelné, jaké služby byly poskytnuty, s jakými
výstupy a jaká doporučení objednateli poskytl. Reporty mají vždy písemnou podobu.
1.3. Podporovaná prostředí
Plnění se týká prostředí provozovaných na straně objednatele. Jde o prostředí:
• produkční
• testovací
1.4. Pravidla pro poskytování služeb
Poskytovatel je povinen dodržovat zásady bezpečnosti a provozu související s provozem
IDM, s nimiž jej objednatel seznámí. V případě identifikace rizik a hrozeb vyplývajících z
jejich případného nedodržování objednatelem, je poskytovatel povinen na tuto skutečnost
písemně objednatele upozornit.
Bezpečnostní pravidla ICT JU jsou dále uvedena v příloze 3.
2. Parametry služeb
2.1. Maintenance
2.1.1.Zajištění updatů a hotfixů
Poskytovatel v rámci maintenance zajistí údržbu všech částí systémů IDM a , které nejsou
přizpůsobením specifickým pro objednatele. Zajistí zejména:
• dostupnost nejnovějších verzí,
• dostupnost aktualizací opravujících známé bezpečnostní i funkční chyby,
• opravu nalezených chyb standardních produktů,
• opravu chyb nalezených uživateli nebo s přímým dopadem na uživatele
• včasné informování objednatele o dostupnosti aktualizací, které jsou relevantní pro
zajištění či zlepšení bezpečnosti, stability nebo funkce jeho IDM řešení.
2.1.2. Provádění preventivní maintenance / profylaxe
Služba je uskutečňována pravidelně s frekvencí nejméně 1x za měsíc a zahrnuje:
• Analýzu logů systémů- logy jsou shromážděny, zpracovány a vyhodnoceny. Jsou
identifikovány problémy a návrhy na zlepšení a zadány do servicedeskové aplikace.
• Operace údržby jako odmazávání starých logů, nepotřebných dočasných souborů a
úpravy konfigurací. Provedené akce jsou zaevidovány do servicedeskové aplikace.
• Vytvoření detailního reportu o profylaxi.
2.2. Podpora
Předmětem poskytované podpory je řešení incidentů v provozním prostředí s garantovanou
reakční dobou a dobou vyřešení ze strany poskytovatele. Incident je událost, která není
součástí standardního provozu a která způsobuje či může způsobovat přerušení dané
služby nebo omezení její kvality.
Cílem služby poskytování podpory je co nejrychlejší obnovení standardního provozního
stavu a minimalizace důsledků výpadků v provozním prostředí. Incidenty jsou pracovníky
objednatele hlášeny poskytovatel prostřednictvím služby elektronicky do servisního systému
poskytovatele nebo na definovaný e-mail.
2.2.1. Provozní hodiny a komunikační kanály
Pracovní dny 9:00- 17:00
Rozsah podpory- 5x8 (po dobu osmi hodin v každém pracovním dnu)
Komunikační kanály - service desk aplikace, email, telefon.
Odpovědný zástupce objednatele předá svůj požadavek na poskytnutí podpory a zároveň
stanovuje stupeň závažnosti incidentu a prioritu dle popisu níže.
2.2.2. Stupeň závažnosti incidentu (kategorie)
Incidenty kategorie A
Služba není použitelná ve svých základních a klíčových funkcích a přitom tato funkční vada
znemožňuje užívání služby většině nebo všem uživatelům služby. Tento stav kritickým
způsobem ohrožuje běžný provoz objednatele v jeho klíčových procesech a aktivitách,
případně způsobuje větší finanční nebo jiné kritické škody a přitom neexistuje srovnatelný
náhradní způsob zajištění služby.
Incidenty kategorie B
Funkčnost služby je ve svých funkcích degradována tak, že tento stav zásadně omezuje
běžný provoz (délka odezvy, nefunkčnost některých funkcí).
Incidenty kategorie C
Drobné vady, které neomezují základní funkčnost a běžné užívání služby.
Za incidenty kategorie C se považují všechny incidenty na testovacím prostředí.
2.2.3. Reakční doba a doba vyřešení
Pro provádění zásahů byly stanoveny následující doby reakce, na základě kterých se
poskytovatel zavazuje zahájit práce na řešení incidentů, dle jejich kategorií a to v
následujících termínech:
Incidenty kategorie A - nejpozději do 4 pracovních hodin od nahlášení
Incidenty kategorie B - nejpozději do 8 pracovních hodin od nahlášeni
Incidenty kategorie C - nejpozději do konce následujícího pracovního dne od nahlášení
Do reakční doby se nezapočítává doba, kdy je požadována či poskytována oprávněná
součinnost od objednatele a doba, po kterou byly práce se souhlasem objednatele
přerušeny.
Pro jednotlivé typy incidentů se stanovuje tato doba do odstranění incidentů:
Incidenty kategorie A - nejpozději do 8 pracovních hodin od nahlášeni incidentu
Incidenty kategorie B - nejpozději do 16 pracovních hodin od nahlášení incidentu
Incidenty kategorie C - nejpozději do 32 pracovních hodin od nahlášení incidentu
2.2.4. Požadovaná expertiza a referenční objem podpory
V návaznosti na odstraněni incidentu objednatel požaduje stanovení a písemné uvedení
kořenové příčiny incidentů a problémů. Poskytovatel současně uvede, jaká budou
provedena opatření k zamezeni opakování nepříznivé situace, a pokud tato spadají do
oblasti maintenance, zajisti obstarání opravné verze příslušných komponent.
Předpokládaný objem služeb podpory na základě předchozích zkušeností s provozem je
112 hodin ročně. Objednatel však požaduje fixní nacenění služeb podpory včetně analýzy
kořenových příčin, přičemž skutečná pracnost je rizikem poskytovatele.
2.3. Rozvoj
Poskytovatel alokuje odborné kapacity v rozsahu 400 člověkohodin ročně, které objednatel
předpokládá v rámci smlouvy pravidelně čerpat.
2.3.1. Rozvojové požadavky
V rámci služby bude poskytovatel dle pokynů objednatele provádět rozvojové úlohy
v oblastech:
• zavedení, změny, reparametrizace integrací systému IDM,
• změny chování systému IDM, úpravy workflow, korelační logiky a dalších vlastností
systému,
• vývoj a úpravy procesů JU implementovaných v IDM, mimo jiné integrace nového
knihovního systému,
• rozvoj a úpravy uživatelského rozhraní přizpůsobeného JU.
Objednatel poptá rozvojový požadavek u poskytovatele, ten stanoví způsob jeho řešení a
náročnost v jednotkách pracnosti. Po vzájemném odsouhlasení specifikace, termínu a
pracnosti rozvojového požadavku poskytovatel tento požadavek provede a v dohodnutém
termínu nasadí výstupy na testovací prostředí objednatele.
Akceptace plnění proběhne na testovacím prostředí. Po akceptaci a odsouhlasení
objednatelem poskytovatel změny aplikuje na produkční prostředí.
2.3.2. Mimořádné činnosti
V rámci mimořádných činností poskytovatel provede odborné práce a konzultace dle pokynů
objednatele. Zejména se jedná o:
• Hypercare při citlivých a rozsáhlých operacích, zejména při automatické
pseudonymizaci a skartaci většího množství identit, zahrnující vytvoření náhledu
výsledku operace před jejím provedením.
• Součinnost při kontrolách a auditech v oblasti ochrany osobních údajů.
Mimořádné činnosti budou účtovány dle skutečné pracnosti dle schváleného výkazu.
Příloha 2: Popis aktuálního řešení
ldM a AuthGW
1. Definice pojmů
Zkratka/ Pojem Popis
ldM Řešení identity managementu implementované na JU nad produktem
Wren:IDM, včetně konfiguraci a přizpůsobení.
AuthGW Řešení autentizační brány implementované na JU nad produktem
Wren:IG, včetně konfigurací a přizpůsobení.
cílový systém Systém, do kterého jsou objekty synchronizovány (např. MS AD).
implicitní synchronizace Při uložení změn spravovaného objektu dochází k aplikování všech
mapování pro daný objekt.
korelační pravidla Pravidla, podle kterých je možné navázat existující systémový objekt
na spravovaný objekt.
mapování Definice synchronizace konkrétních objektů mezi systémy (např.
managedUser_adAccount).
provisioning V pojetí ldM jde o proces propagace nastavení účtu do integrovaného
cílového systému.
spravovaný objekt/ managed Objekt spravovaný v rámci ldM (např. identita/ uživatel).
object
synchronizace Proces ldM, při kterém dochází k synchronizaci objektů mezi dvěma
systémy.
synchronizační akce Akce nad cílovým objektem, prováděná obvykle v návaznosti na
detekovanou synchronizační situaci (např. CREATE pro ABSENT).
synchronizační politiky Definice synchronizačních akcí (a případného postAction skriptu) pro
jednotlivé synchronizační situace.
synchronizační situace Situace detekovaná při synchronizaci mezi systémy, např. ABSENT
(objekt je ve zdroji, ale není v cíli), CONFIRMED (objekt je ve zdroji i v
cíli), MISSING (objekt je ve zdroji, má být v cíli, ale není)...
systém I přímo řízený systém/ Z pohledu ldM jde o integrovaný systém. Každý systém je
identifikován jednoznačným identifikátorem.
nepřímo řízený systém/ offline Přímo řízené systémy jsou systémy s přímou konektivitou na ldM.
systém Nepřímo řízené systémy (též jako offline systémy) nemají přímou
konektivitu a požadavky jsou vyřizovány skrze správce systémů.
Zkratka / Pojem Popis
systémový objekt
Objekt v cílovém (nebo zdrojovém) systému. Každý objekt je plně
validační pravidla definovaný identifikátorem systému a typem (např. adAccount - účet v
Wren:ICF MSAD).
Wren:IDM Pravidlo, které musí synchronizovaný objekt splňovat.
Wren:IG
zdrojový / cílový objekt Framework pro konektory a sada standardních předpřipravených
zdrojový systém konekton'.l (CSV, LDAP, ...).
Produkt využívaný pro ldM systém.
Produkt využívaný pro autentizační bránu.
Systémový nebo spravovaný objekt z pohledu synchronizace.
Systém, ze kterého jsou objekty synchronizovány (např. HR systém
nebo samotné ldM při synchronizaci účtů do MS AD).
2. Úvod - o řešení ldM a AuthGW na JU
Řešení ldM na Jihočeské Univerzitě {JU) vychází z nasazení Novell Identity Manager,
které bylo později reimplementováno a nahrazeno sadou open-source projektů
založených na projektu Wren:IDM, komponentách společnosti Orchitech a přizpůsobení
Orchitech JU Extension vytvořeného na míru JU.
Implementace pokrývá procesy správy identit studentů, zaměstnanců, účastníků
celoživotního vzdělávání a hostovských identit. Počet spravovaných identit je cca 75
tisíc.
"--L:.a.- -'- -· ·-'----S--.a.:-- ,.,......
Wren:IDM ldM
..,__... .
r- . .!-1----
·································································,...... . .. ......... . .. . . . . . . . . .... . ...... . ...... . . ....... . . . .....
nncnl nAP 1\,1� An 11 li -Pl"cltls:arličU.:5. IP�
I( s:artu 11 Al l=PI-I li l�/�TAn
li nncnl nAP Ms:ailc:cn,cr I
1111 t\/1s:ailc:cn,cr
Přehledové schéma integrovaných systémů
Pro zajištění delegované autentizace uživatelO do uživatelského rozhraní ldM a
ověřování uživatelů v rámci procesu úvodního nastavení hesla a resetu hesla je v rámci
řešení zavedena autentizační brána {založená na produktu Wren:IG). Autentizační brána
je integrována prostřednictvím protokolu SAML s ldP Shibboleth {provozuje JU) a ldP
NIA. Autentizační brána je integrována prostřednictvím protokolu OpenlD Connect s ldP
BankiD. Ztotožnění uživatelů u NIA a BankiD probíhá na základě dvou množin atributů.
U první množiny je vyžadována shoda u každého z nich (např. příjmenO, u druhé
množiny je vyžadována shoda alespoň u jednoho z nich (např. číslo mobilního telefonu).
SAML
-·---- ... -.
OIOC
BankíD
Nglnx Shibboleth SAML
l -·------.J
Wren:IG
l
Wren:IDM
�••••••••••••••••�••••••••••••oo,,,.,,,,,oouo,ouoo••••••••••••••••••••••••.=
Přehledové schéma integrace autentizační brány a externích ldP
3. Technické údaje o implementaci
3.1. Zdrojová data
ldM načítá data o identitách a dalších objektech z několika dedikovaných systémů:
• EGJE- autoritativní zdroj informací o zaměstnancích a jejich pracovně-právních
vztazích
• IS/STAG- autoritativní zdroj informací o studentech, absolventech, účastnících
celoživotního vzdělávání a studiích
• CŽV- autoritativní zdroj informací o účastnících celoživotního vzdělávání
• Karty- autoritativní zdroj informací o přístupových kartách uživatelů
• Evidence budov- autoritativní zdroj informací o budovách a místnostech
3. 2. Datový model
Základní spravované objekty (tzv. managed objects) jsou objekty ldM, pro které je
možné definovat validační politiky a navazovat skripty na životní události (create,
retrieve, update, delete). Mezi spravované objekty popisující organizační strukturu,
identity a jejich práva patří:
• User - identita fyzické osoby
• Guest - identita reprezentující hostovskou identitu
• Ppv - pracovně-právní vztah zaměstnance
• Mfa - mimofunkční aktivita zaměstnance
• Studium - studium studenta
• AbsStudium - absolvované studium
• EocActivity - aktivita účastníka celoživotního vzdělávání
• Role - aplikační role (včetně rolí pro ldM)
• OU - organizační jednotka
• Position - pracovní pozice
• Room - místnost
• Building - budova
Dalším významným členem datového modelu jsou vazební objekty (tzv. relationship
objects), které reprezentují složitější meziobjektové vazby a umožňují definovat
dodatečné parametry. Ne všechny meziobjektové vazby jsou reprezentovány
vazebními objekty. Řešení ldM využívá následující vazební objekty:
• User-Role - vazba uživatele a role (napřímo přidělená práva)
3.3. Integrované systémy
Cílový systém ZpOsob integrace Technologie
aplikace v Groovy
ALEPH Scripted Groovy konektor aplikace v Groovy
BUD OVY Scripted Groovy konektor aplikace v Groovy
CŽV Scripted SQL konektor aplikace v Groovy
EGJE Scripted SQL konektor aplikace v Groovy
IPS Scripted Groovy konektor aplikace v Groovy
IS/STAG Scripted SQL konektor aplikace v Groovy
KART Y Scripted SQL konektor konfigurace
LDAP LDAP konektor aplikace v Groovy
MAILSERVER FPR Scripted SSH konektor aplikace v Groovy
MAILSERVER FZS Scripted SSH konektor konfigurace
M SAD LDAP konektor aplikace v Groovy
POSTGRES Scripted SQL konektor
Cílový systém ZpOsob integrace Technologie
RADIUS LDAP konektor konfigurace
3.3.1. Způsoby synchronizace
Systém implementuje současně následující přístupy k synchronizaci spravovaných
objektu:
• plná rekonciliace - porovnání a synchronizace všech relevantních spravovaných
objektu
• dílčí (delta) synchronizace - synchronizace jen a pouze takových objektu, které
byly od poslední synchronizace změněny
3.3.2. Specifika integrace se systémem EGJE
• ldM ze systému přebírá data organizační struktuře, uživatelích a jejich PPV.
• ldM zasílá notifikaci správcům systému pokud je při modifikaci uživatele zjištěno
rozdílné zaměstnanecké číslo mezi EGJE a ldM.
• Korelace uživatelů probíhá na základě zaměstnaneckého čísla, případně rodného
čísla.
3.3.3. Specifika integrace se systémem IS/STAG
• ldM ze systému přebírá data o studentech, absolventech, účastnících
celoživotního vzdělávání, studiích a absolvovaných studiích.
• ldM do systému synchronizuje základní informace o zaměstnancích a jejich PPV.
• ldM před synchronizací PPV kontroluje, zdali v cílovém systému existuje
související zaměstnanec (referenční integrita nad atributem GUID}. Před
smazáním zaměstnance nejdříve dochází ke smazání přiřazených PPV.
• Korelace uživatelů probíhá na základě studentského čísla, případně rodného
čísla.
• Vybrané atributy uživatelů jsou mapovány jen a pouze za určitých podmínek
(personální systém má přednost před IS/STAG).
• ldM zasílá notifikaci správcům systému pokud je při modifikaci uživatele zjištěno
rozdílné studentské číslo mezi IS/STAG a ldM.
3.3.4. Specifika integrace se systémem CŽV
• ldM ze systému přebírá data o studentech (celoživotní vzděláváníl a jejich
studiích.
• Korelace uživatelů probíhá na základě studentského čísla.
• Vybrané atributy uživatelů jsou mapovány jen a pouze za určitých podmínek
(personální systém i IS/STAG má přednost před CŽV).
• ldM zasílá notifikaci správcům systému pokud je při modifikaci uživatele zjištěn
rozdílný identifikátor mezi CŽV a ldM.
• ldM zasílá notífikaci správcům systému pokud ze zdrojového systému "zmizí"
záznam o studentovi.
3.3.5. Specifika integrace se systémem MS AD
• ldM v systému zakládá účty a případně řídí jejich blokaci.
• Pro založení nebo povolení účtu musí mít uživatel alespoň jeden aktivní vztah s
JU.
• ldM účty ukončených identit nemaže, ale je schopno detekovat, že takový účet
byl smazán a pro danou identitu zrušit příslušnou vazbu.
• ldM spravuje desítky organizačních skupin přiřazovaných na základě součástí
uživatele.
3.3.6. Specifika integrace se systémem ALEPH
• ldM v systému zakládá čtenáře a případně řídí jejich blokaci.
• Pro založení nebo povolení čtenáře musí mít uživatel alespoň jeden aktivní vztah
s JU (vybrané PPV nejsou při rozhodování brány v potaz) a zároveň musí mít
přiřazenu přístupovou kartu.
• ldM obsahuje pokročilou logiku správy statusu čtenáře, jelikož v některých
případech není tento řízen pomocí ldM.
• ldM řídí správu dvou knihoven (Akademická, Teologická).
• ldM ukončené čtenáře nemaže, jen a pouze nastavuje vybrané atributy indikující
ukončeného čtenáře.
• Integrace umožňuje rovněž změnu naming atributů (např. uživatelské jméno
čtenáře).
3.3.7. Specifika integrace se systémem IPS
• ldM v systému zakládá účty a případně řídí jejich blokaci.
• Pro založení nebo povolení účtu musí mít uživatel alespoň jeden aktivní vztah s
JU a zároveň musí mít přiřazenu aktivní přístupovou kartu.
• Pro účty s nenulovým zůstatkem kreditu dochází k zablokování skartace
souvisejících identit z ldM (u takových případů odesílá ldM notifikaci na správce
systému).
• ldM na základě definovaných podmínek a stavu uživatele vypočítává typ IPS
účtu.
• Integrace umožňuje za definovaných podmínek změnit u účtu uživatele
přístupovou kartu.
3.3.8. Specifika integrace se systémem KARTY
• ldM do systému synchronizuje údaje o uživatelích, PPV a studiích.
• ldM před synchronizací studií a PPV kontroluje, zdali v cílovém systému existuje
související uživatel (referenční integrita nad atributem uid).
3.3.9. Specifika integrace se systémem LDAP
• ldM v systému řídí kompletní životní cyklus účtů.
• Pro založení účtu musí mít uživatel alespoň jeden aktivní vztah s JU nebo alespoň
jedno absolvované studium.
• Účty pro ukončené (případně nevalidní) uživatele jsou mazány.
• Mimo základních atributů řídí ldM na základě vztahu uživatele a definovaných
podmínek správu eduPerson atributu.
3.3.10. Specifika integrace se systémem POSTGRES
• ldM ze systému přebírá data o přístupových kartách uživatelů.
• ldM do systému synchronizuje údaje o uživatelích, PPV, MFA, studiích,
absolvovaných studiích, organizačních jednotkách a pozicích.
• ldM u objektu v cílovém systému řídí vazbu na uživatele (atribut cn_identita).
3.3.11. Specifika integrace se systémem RADIUS
• ldM v systému řídí kompletní životní cyklus účtů (pro uživatele a hostovské
identity).
• Pro založení účtu musí mít uživatel alespoň jeden aktivní vztah s JU případně
alespoň jedno absolvované studium.
• Pro založení účtu musí být hostovská identita aktivní.
• Mimo základní atributů řídí ldM správu organizačních jednotek v závislosti na
vztazích uživatele.
3.3.12. Specifika integrace se systémem EVIDENCE BUDOV
• ldM ze systému přebírá data o budovách a místnostech.
3.3.13. Specifika integrace se systémem MAILSERVER FPR
• ldM v systému řídí nastavení e-mailových schránek (přesměrování, ruzné typy
notifikací o došlé poště) pro uživatele z Přírodovědecké fakulty.
• Technicky realizováno prostřednictvím vzdáleného spouštění bash skriptu.
3.3.14. Specifika integrace se systémem MAILSERVER FZS
• ldM v systému řídí nastavení e-mailových schránek {přesměrování, ruzné typy
notifikací o došlé poště) pro uživatele ze Zdravotně sociální fakulty.
• Technicky realizováno prostřednictvím vzdáleného spouštění bash skriptu.
3.4 Podporované procesy
Kapitola popisuje procesy podporované řešením ldM.
3.4.1. Řízení přístupů
ldM řídí přístupy pouze na úroveň založení/ nezaložení (nebo blokace) účtu. ldM neřídí
přiřazení práv v jednotlivých systémech.
Právo na zřízení účtu nebo vedení aktivního účtu v daném systému vždy určují
dedikované validační podmínky.
3.4.2. Blokování identity
Správce ldM má možnost vybranou identitu zablokovat. Zablokované identitě jsou s
okamžitou platností zakázány přístupy do všech integrovaných systému. Správce ldM
má možnost blokaci identity kdykoliv zrušit.
Správce ldM má rovněž možnost vybrané identitě zablokovat přístup na WiFI (zámek
pro systém RADIUS).
3.4.3. Pseudonymizace
ldM pro každou identitu vypočítává datum uchování. Po uplynutí této doby dochází k
pseudonymizaci identity, tedy ke smazání vybraných údaju. Tato změna je následně
propagována do cílových systému. V rámci procesu psedonymizace jsou z identity
odstraněny osobní údaje (vybrané atributy jsou zahashovány}.
3.4.4. Skartace
Po uplynutí definované doby dochází pro pseudonymizované identity ke skartaci. Před
samotou skartací identity dochází ke skartování souvisejících objektu (např. PPV, studia,
linky, auditní logy).
3.4.5. Slučování identit
Správce ldM má za předpokladu splnění definovaných podmínek {např. nesmí existovat
vazby na stejný zdrojový systém) možnost provést sloučení dvou duplicitních identit.
Výsledkem bude jedna ponechaná identita s přenesenými atributy a druhá identita
označena jako duplicitní. Tyto změny jsou následně v rámci standardního provisioningu
propagovány do cílových systémů.
3.4.6. Nastavení úvodního hesla identity
ldM při vytváření nové identity generuje náhodné heslo, které není uživateli sděleno.
Uživatel provede samoobslužné nastavení úvodního hesla bez znalosti původního hesla
prostřednictvím ověření přes externí ldP {NIA, BankiD).
3.4.7. Reset hesla identity
ldM umožňuje provést samoobslužný reset hesla identita prostřednictvím ověření přes
externí ldP {NIA, BankiD). Po úspěšném ověření je uživateli umožněno nastavit nové
heslo.
3.4.8. Expirace uživatelského hesla
ldM pro každou identitu řídí maximální platnost uživatelského hesla, přičemž po uplynutí
této doby dochází k expiraci. Doba expirace hesla od poslední změny je
konfigurovatelná a rovněž rozdílná pro změněné / implicitní heslo.
ldM zasílá uživateli upozornění na expiraci hesla vždy 30 dní, 7 dní a jeden den před
samotnou expirací.
3.4.9. Karenční lhůty
ldM pro každý typ identity umožňuje nastavit karenční lhůtu (ve dnech). Po ukončení
posledního vztahu identity přechází identita do karenční lhůty, která zajišťuje ponechání
vybraných účtů jako aktivních. Účty jsou ukončeny až po uplynutí karenční lhůty.
3.5. Integrace s externími ldP
Součástí ldM řešení je dedikovaná komponenta, tzv. autentizační brána, která
zprostředkovává ověření uživatelů proti externím ldP. Aktuálně jsou podporovány
následující externí ldP:
e NIA {SAML)
e BankiD {OIDC)
Ověření je pro uživatelé dostupné v rámci procesu nastavení úvodního hesla a procesu
resetu hesla.
3.6. Integrace se Shibboleth
Autentizační brána je rovněž využívána pro přihlášení do uživatelského rozhraní ldM,
kdy je autentizace delegována na Shibboleth provozovaný JU (integrace je založená na
SAML protokolu). Shibboleth dále deleguje autentizaci na Microsoft Entra, kde je mimo
jiné vynuceno využití druhého faktoru.
3.7. Uživatelské rozhraní
Řešení ldM poskytuje rozhraní pro uživatelský self-service. Autentizace uživatelů je
delegovaná na Shibboleth. Pro vybranou množinu uživatelů je dostupná formulářová
autentizace s využitím uživatelského jména a hesla. V případě přístupu z
mimouniverzitní sítě je aplikován další stupeň zabezpečení (CAPTCHA}. Uživatelské
rozhraní primárně podporuje následující případy užití:
• přihlášení uživatele do uživatelského rozhraní
• změna uživatelského hesla
• reset uživatelského hesla
• změna hesla pro RADIUS
• změna osobního emailu (+ následné ověření)
• nastavení e-mailových služeb
3.8. Administrátorské rozhraní
Řešení ldM poskytuje rozhraní pro správce ldM. Autentizace uživatelů je delegovaná na
Shibboleth. Správce v administrátorském rozhraní vždy vystupuje v jedné z
následujících autorizačních rolí, přičemž role vždy omezuje povolené případy užití:
• globální správce ldM
• lokální správce ldM
• auditor
• globální správce hostovských identit
• fakultní správce hostovských identit
Administrátorské rozhraní primárně podporuje následující případy užití:
• přihlášení správce ldM
• hledání v identitách a zobrazení detailu identity
• administrátorské zamknutí nebo odemknutí identity
• administrátorské zamknutí nebo odemknutí identity pro RADIUS
• vyvolání synchronizace daného uživatele
• sloučení duplicitních identit
• změna uživatelského jména identity
• resetování hesla identity na výchozí tvar
• změna osobního emailu identity
• změna korporátního emailu identity
• změna nastavení e-mailových služeb
• správa autorizačních rolí identity
• založení hostovské identity
• hledání v hostovských identitách a zobrazení detailu hostovské identity
• úprava atributů hostovské identity
• řízení rolí správců hostovských identit
3.9. Notifikace
V současnosti jsou nastaveny notifikace dle seznamu níže. Notifikace umožňují
dynamickou volbu adresáta i vkládání dynamického obsahu (např. atributy identit):
• Ověření osobního emailu
• Změna uživatelského hesla
• Chybějící identita v systému CŽV
• Nekonzistence identifikátorů mezi systémy
• Potenciální hrozba vytvoření duplicity
• úvodní notifikace pro uživatele
• úvodní notifikace pro účastníka celoživotního vzdělávání
• Chyba při synchronizaci uživatele
• Upozornění na blížící se konec platnosti hesla
• Blokace skartace uživatele
• Chyba synchronizace hesla z Active Directory
• Oznámení změny hesla identity
3.10. Komponenty řešení
Řešení ldM se skládá z několika základních artefaktů:
• Wren:IDM - základní platforma pro správu identit (vystupuje i v roli běhového
prostředí pro Wren:ICF konektory psané v jazyce Java)
• Orchitech Wren:IDM Extensions - knihovny s rozšiřujícími komponentami pro
Wren:ldM
• Orchitech JU ldM - knihovna přizpůsobení a zákaznické logiky implementující
ldM procesy JU
• PostgreSQL - provozní databáze pro Wren:IDM
• Nginx - reverzní proxy pro přístup k uživatelskému/ administrátorskému rozhraní
• AD Password Sync Plugin - plugin pro propagaci hesla z Active Directory do ldM
• Wren:IG - autentizační brána pro delegovanou autentizaci a ověření uživatelů
Příloha č. 3
Bezpečnostní pravidla Informačních a komunikačních technologií (ICT) pro práci v síti
Jihočeské univerzity (dále JU)
Přístup do sítě JU
• Přístup jiných subjektů (dále jen „druhá smluvní strana") k ICT JU je možný pouze na základě
smluvně ošetřeného vztahu s JU.
• Druhá smluvní strana je povinna dodržovat bezpečnostní pravidla ICT pro práci v síti JU a
nese v souladu s platnou legislativou a předpisy svůj díl odpovědnosti za nedodržení či
porušení pravidel, případně za škody vzniklé v důsledku bezpečnostních incidentů, které
zavinila.
• Všechny povolené způsoby přístupu, povolené časy pro přístup, přístupové údaje a přidělená
oprávnění musí být písemně dohodnuty mezi smluvními stranami. Tyto údaje jsou důvěrné a
jsou platné jen po dobu platnosti smlouvy.
• Druhá smluvní strana je odpovědná za používání jí přiděleného přístupu do sítě JU, za svou
činnost v síti JU a při práci s informacemi.
• Přistupovat k ICT JU mohou pouze poučení pracovníci druhé smluvní strany.
• Druhá smluvní strana zajistí před zahájením své činnosti poučení a proškolení všech svých
pracovníků a subdodavatelů, kteří budou přistupovat k ICT JU.
• Přístup a přístupová oprávnění jsou přidělena pouze v rozsahu nezbytně nutném pro výkon
smluvních závazků.
• Pracovníci druhé smluvní strany jsou povinni řídit se pokyny oprávněných osob a dalších
pracovníků oddělení Akademického počítačového střediska JU (dále jen APS) .
• Činnost druhé smluvní strany v síti JU může být monitorována. Pověření pracovníci JU
mohou evidovat přístupy a ověřovat dodržování stanovených bezpečnostních pravidel.
Vzdálený přístup
• Vzdálený přístup do sítě JU je možný pouze dohodnutým způsobem z pracovní stanice, která
má aktivní a aktuální antivirovou ochranu a nainstalovány všechny bezpečnostní záplaty
operačního systému vydané výrobcem.
• Pro zvýšení bezpečnosti je vzdálený přístup povolen pouze pomocí VPN nebo jiným
bezpečným protokolem (např. ssh).
Fyzický přístup k ICT
• Fyzický přístup k prostředkům ICT je možný pouze na základě smluvního vztahu (servisní a
dodavatelské organizace, dohody o provedení práce apod.) nebo se souhlasem určené
odpovědné osoby, kterou může být ředitel Centra Informačních Technologií (dále CIT),
vedoucí oddělení APS nebo vlastník IT aktiva.
• Pohyb pracovníků druhých smluvních stran v prostorách serverovny (například za účelem
servisního zásahu, revize zařízení apod.) je možný pouze v doprovodu odpovědných
pracovníků oddělení APS a se souhlasem vedoucího oddělení APS.
• Pro práci v síti JU smí být použita pouze přidělená technika JU. Připojování cizí techniky do
vnitřní sítě JU je bez souhlasu správce systému zakázáno.
• Na přidělenou techniku nesmí být bez souhlasu pověřené osoby instalován nebo z ní
odebírán žádný software.
• Při opuštění pracoviště je vždy nutné provést vhodným způsobem jeho zajištění.
Ochrana dat a informačních aktiv
• Druhá smluvní strana odpovídá za všechna převzatá data (elektronická a tištěná), způsob
jejich použití a jejich ochranu před neoprávněným přístupem a zneužitím.
• Není-li ve smlouvě stanoveno jinak, před ukončením smluvního vztahu druhá smluvní strana
vrátí všechna převzatá data.
• Druhá smluvní strana je do protokolárního předání pracovníkům JU odpovědná za všechna
zpracovávaná aktiva a je povinna je odpovídajícím způsobem zabezpečit.
• Pracovní data se ukládají pouze na místa určená pověřenou osobou.
• Pokud druhá smluvní strana při práci v síti JU přijde do styku s osobními údaji dle zákona č.
101/2000 Sb. nebo jinými neveřejnými informacemi, je povinna o zjištěných skutečnostech
zachovávat mlčenlivost a zajistit jejich utajení.
• Nepotřebná data (elektronická, na mediích i papírová) musí být vždy neprodleně
zlikvidována.
• Druhá smluvní strana je povinna dodržovat zásady ochrany proti virům a škodlivým kódům.
• Všechny zásahy na serverech musí být předem odsouhlaseny správcem sítě JU a
zaznamenány stanoveným způsobem.
Bezpečnostní incidenty
• Druhá smluvní strana je povinna neprodleně hlásit odpovědným osobám porušení těchto
pravidel, všechny zjištěné neobvyklé události, které jsou nebo mohou být bezpečnostními
incidenty a zranitelná místa, a účinně pomáhat při jejich prošetřování a odstraňování.
• Druhá smluvní strana je povinna hlásit všechny zjištěné nedostatky nebo nesoulad se
skutečností.
• Druhé smluvní straně není povoleno řešení bezpečnostních incidentů a odstraňování
• nedostatků či nesouladů vlastními silami bez předchozího schválení bezpečnostním
správcem sítě JU.
Používání internetu
• Druhá smluvní strana může používat při práci v síti JU internet pouze pro pracovní účely při
dodržování všech bezpečnostních pravidel platných pro práci s internetem. Stahování
souborů, používání FTP a jiných služeb je možné jen po dohodě se správcem.
Tisk
• Pokud bude druhé smluvní straně umožněn tisk na tiskárnách JU, je povinna šetřit spotřební
materiál a tištěné dokumenty zabezpečit proti neoprávněnému přístupu jak během tisku, tak
i po jejich vytisknutí, a to až do jejich bezpečné likvidace.
Účty a hesla
• Druhá smluvní strana smí používat pouze jí přidělené přihlašovací účty. Tyto účty jsou
chráněny heslem.
• Heslo musí splňovat aktuální požadavky na kvalitu a platnost a musí být uchováno v tajnosti.
• Názvy přihlašovacích účtu a hesla nesmějí být sděleny žádné neoprávněné osobě.
• V případě porušení bezpečnostních pravidel mohou být druhé straně přístupové účty
zablokovány nebo zcela odebrány.
• Druhé smluvní straně je přísně zakázáno vykonávat jiné než dohodnuté činnosti, přistupovat
k jiným než povoleným prostředkům, serverům a datům nebo provádět jakékoli úkony
směřující k zjišťování rozsahu přidělených oprávnění, dostupnosti jiných síťových prostředků
a služeb a způsobech zabezpečení.