Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
Rámcová smlouva
Penetrační testy webových aplikací
RÁMCOVÁ SMLOUVA
Penetrační testy webových aplikací
uzavřená níže uvedeného dne, měsíce a roku podle § 1746 odst. 2 zákona č. 89/2012 Sb., občanského
zákoníku, ve znění pozdějších předpisů
ČI. 1. Smluvní strany
1.1. Plzeňský kraj
se sídlem: Škroupova 18, 306 13 Plzeň
IČO: 70890366
DIČ: CZ70890366
zastoupený: Bc. Josefem Bernardem, hejtmanem Plzeňského kraje
na základě Podpisového a kompetenčního řádu Plzeňského kraje a Krajského úřadu Plzeňského kraje
k podpisu oprávněn Mgr. Jiří Leščinský, ředitel, Krajský úřad Plzeňského kraje
bankovní spojení: Raiffeisenbank a.s., pobočka Plzeň
č.ú.: 1083003606/5500
kontaktní osoba: Ing. Jiří Lohr, vedoucí oddělení správy serverů a sítě, odbor informatiky KÚPK
telefon:
(dále jen „objednatel", „zadavatel")
1.2. HACKER Consulting s.r.o.
se sídlem: Luběnice 65, 783 46 Těšetice
IČO: 02835312
DIČ: CZ02835312
zapsaná v obchodním rejstříku vedeném Krajským soudem v Ostravě, spisová značka C 58705
bankovní spojení: Fio banka
účtu:
(dále jen „dodavatel, poskytovatel")
1
Y...
Rámcová smlouvo
Penetrační testy webových aplikací
1.2.1. Cílem uzavřené smlouvy je poskytování definovaných služeb penetračních testů na základě
dílčích objednávek poskytovatelem objednateli za řádně smluvenou cenu.
1.2.2. Metodikou pro provádění penetračních testů je metodika OWASP (www.owasp.org - Open
Web Application Security Project).
1.2.3. Cílem provádění penetračních testů je odhalení zranitelností webových aplikací v datových
centrech Plzeňského kraje a na základě zjištění těchto zranitelností jejich odstraňování a tím
zvyšování bezpečnosti takových aplikací.
ČI. 2. Předmět smlouvy
2.1.1. Předmětem smlouvy je poskytování úplatných služeb
• Prvního penetračního testu,
• Opakovaného penetračního testu
• a test individuálních zranitelností
na základě dílčích objednávek. Dále jen („penetrační testy" nebo „testy").
ČI. 3. Cena, maximální rozsah plnění a platební podmínky
3.1.1. Smluvní strany se dohodly, že hodinová sazba odměny za každou dokončenou hodinu služeb
dle této smlouvy činí částku 900,- Kč bez DPH.
3.1.2. Na základě této smlouvy mohou být odebrány služby uvedené v předmětu smlouvy v součtu
maximálně do výše 396 000,- Kč bez DPH.
3.1.3. Dodavatel není oprávněn požadovat po objednateli poskytnutí zálohy.
3.1.4. Dodavatel na sebe bere odpovědnost za to, že sazba a výše daně z přidané hodnoty bude
stanovena v souladu s platnými právními předpisy.
3.1.5. Daň z přidané hodnoty bude připočtena kceně za službu ve výši dle právní úpravy platné ke
dni uskutečnění zdanitelného plnění.
3.1.6. Sjednaná cena za služby uvedená v článku 3.1.2 této smlouvy je cenou nejvýše přípustnou,
kterou je možné překročit pouze v případě zvýšení sazby DPH, a to tak, že dodavatel ke
sjednané ceně bez DPH připočítá DPH v procentní sazbě odpovídající zákonné úpravě účinné
k datu uskutečnitelného zdanitelného plnění.
3.1.7. Cena za služby bude hrazena na základě faktur vystavených dodavatelem.
2
Rámcová smlouvo
Penetrační testy webových aplikací
3.1.8. Faktury na zaplacení sjednaných cen je dodavatel oprávněn vystavit nejdříve následující den
po dni obdržení potvrzení o provedené akceptaci penetračního testu od kontaktní osoby
objednatele.
3.1.9. Splatnost faktur činí 30 dnů ode dne jejich prokazatelného doručení na adresu sídla
objednatele nebo na elektronickou podatelnu posta@plzensky-kraj.cz.
3.1.10. Faktura bude mít náležitosti daňového dokladu dle platných právních předpisů (zákona č.
563/1991 Sb., o účetnictví, v platném znění a zákona č. 235/2004 Sb., o dani z přidané hodnoty,
v platném znění).
3.1.11. V případě, že faktura - daňový doklad nebude obsahovat stanovené náležitosti nebo v něm
nebudou správně uvedené údaje, je objednatel oprávněn ji vrátit ve lhůtě splatnosti zpět
dodavateli s uvedením chybějících náležitostí nebo nesprávných údajů. V takovém případě
přeruší běh lhůty splatnosti a nová lhůta splatnosti počne běžet doručením opravené faktury
- daňového dokladu.
3.1.12. Po vzniku práva fakturovat je dodavatel povinen vystavit a objednateli předat fakturu.
3.1.13. Cena bude dodavateli zaplacena bezhotovostní formou převodem na jeho bankovní účet.
Faktura je považována za proplacenou okamžikem odepsání příslušné částky z účtu
objednatele ve prospěch účtu dodavatele.
3.1.14. Dodavatel souhlasí s tím, aby subjekty oprávněné dle zák. č. 320/2001 Sb., o finanční kontrole
ve veřejné správě a o změně některých zákonů (zákon o finanční kontrole), ve znění pozdějších
předpisů, provedly finanční kontrolu závazkového vztahu vyplývajícího ze smlouvy s tím, že se
dodavatel podrobí této kontrole, a bude spolupůsobit jako osoba povinná ve smyslu ust. § 2
písm. e) uvedeného zákona při výkonu finanční kontroly prováděné v souvislosti s úhradou
služeb z veřejných výdajů.
ČI. 4. Doba trvání smlouvy
4.1.1. Smlouva se uzavírá na dobu neurčitou a nabývá platnosti dnem jejího podpisu poslední smluvní
stranou, účinnosti smlouva nabývá dnem jejího uveřejnění v informačním systému Registru
smluv.
4.1.2. Objednatel i poskytovatel jsou oprávněni tuto smlouvu vypovědět, a to na základě písemné
výpovědi, prokazatelně doručené druhé smluvní straně. Výpovědní lhůta činí 2 kalendářní
měsíce a začíná běžet od prvního dne kalendářního měsíce následujícího po měsíci, v němž
byla výpověď doručena druhé smluvní straně.
ČI. 5. Místo plnění
5.1.1. Místem poskytování služeb je sídlo objednatele na adrese Škroupova 18, Plzeň.
3
Rámcová smlouva
Penetrační testy webových aplikací
5.1.2. Za účelem provádění služeb na základě této rámcové smlouvy bude s dodavatelem uzavřena
samostatná smlouva o vzdáleném přístupu k HW a SW prostředí jednotlivých aplikací
objednatele.
ČI. 6. Realizace poskytování služeb, práva a povinnosti
smluvních stran
6.1. Objednávka poskytnutí služeb penetračních testů
6.1.1. Součástí objednávky bude vždy uvedení:
A) požadovaného typu služby,
B) určení aplikace pro testování s jednoduchým popisem aplikace a údaji potřebnými pro
přístup k aplikaci
C) datum vystavení této objednávky.
6.1.2. Objednávka je považována za vystavenou dnem jejího odeslání emailem kontaktní osobou
objednatele.
6.1.3. V případě potřeby testování aplikace formou vzdáleného přístupu zajistí vzdálený přístup pro
dodavatele kontaktní osoba objednatele současně s podáním objednávky na základě této
smlouvy.
6.2. Přijetí objednávky a návrh termínů realizace testů
6.2.1. Kontaktní osoba dodavatele potvrdí kontaktní osobě objednatele nejpozději do 5 pracovních
dnů od přijetí objednávky a současně navrhne termíny provedení testů.
6.2.2. V případě potřeby objednatele na doplnění dalších relevantně potřebných informací
k řádnému provedení služby testů je kontaktní osoba dodavatele oprávněna si takové
informace vyžádat ve lhůtě pro potvrzení přijetí objednávky dle ustanovení článku 7.2.1. této
smlouvy.
6.2.3. Penetrační testy budou prováděny po vzájemné dohodě od 06:00 do 23:00 hodin jakýkoliv den
v týdnu.
6.2.4. Kontaktní osoba objednatele do 5 pracovních dnů od obdržení navrhovaných termínů potvrdí
dodavateli vybraný termín realizace testů, doplní případné vyžádané relevantní potřebné
informace pro provedení testů.
6.2.5. Objednávka s hodnotou předmětu plnění vyšší než 50.000 Kč bez DPH, akceptovaná
oprávněnou osobou dodavatele, bude objednatelem zveřejněna v informačním systému
Registru smluv v souladu se zákonem č. 340/2015 Sb., o registru smluv.
4
Rámcová smlouvo
Penetrační testy webových aplikací
6.3. Průběh realizace penetračních testů
6.3.1. O zahájení i ukončení provádění testů je kontaktní osoba dodavatele povinna vždy informovat
kontaktní osobu objednatele, a to vždy v okamžiku jejich zahájení a v okamžiku jejich ukončení
v předem dohodnutých termínech.
6.3.2. Testy musí být nedestruktivní. V případě výpadku (nedostupnosti) testované aplikace nebo
jejího poškození je kontaktní osoba dodavatele povinna bezprostředně kontaktovat kontaktní
osobu objednatele. Kontaktní osoby jsou v takovém případě oprávněny dohodnout další
postup takového testu a to včetně změn nebo prodloužení termínů.
6.4. Zpráva o penetračním testu
6.4.1. Zpráva o provedeném penetračním testu definovaná dle jednotlivého typu penetračního testu
musí být předána kontaktní osobě objednatele ve lhůtě 30 pracovních dnů od ukončení
provádění testu.
6.4.2. Zpráva bude obsahovat popis a shrnutí výsledků jednotlivých testů, identifikace zranitelností a
jejich nebezpečnosti, doporučení nápravných opatření a bude zaslána buď ve formátu PDF a
elektronicky podepsána kontaktní osobou, nebo bude zaslána e-mailem s
elektronickým podpisem kontaktní osoby.
6.4.3. V případě zjištění zranitelnosti budou Zprávy o penetračních testech sloužit k prokázání těchto
zranitelností dodavatelům aplikací za účelem zajištění jejich bezpečnosti.
6.5. Potvrzení (akceptace) realizovaného penetračního testu
6.5.1. Kontaktní osoba objednatele do 5 pracovních dnů ode dne doručení Zprávy o penetračním
testu kontaktní osobě dodavatele
A) elektronicky potvrdí a akceptuje Zprávu o penetračním testu
B) nebo zašle připomínky a požadavky na dopracování a uvedení Zprávy o penetračním testu
do souladu s touto smlouvou, resp. konkrétní objednávkou. V případě potvrzení
(akceptace) Zprávy o penetračním testu je dodavatel oprávněn následující den po doručení
tohoto potvrzení vystavit fakturu za realizované plnění.
6.5.2. V případě obdržení připomínek a požadavků na dopracování a uvedení Zprávy o penetračním
testu do souladu s touto smlouvou, resp. objednávkou, je dodavatel povinen provést nápravu
do 5 pracovních dnů ode dne odeslání připomínek a požadavků kontaktní osobou objednatele.
6.5.3. Proces připomínek a požadavků na dopracování Zprávy o penetračním testu může být
opakován, vždy v termínu 5 pracovních dnů od vyjádření konkrétní kontaktní osoby smluvní
strany, nedohodnou-li si kontaktní osoby termín jiný.
5
Rámcová smlouva
Penetrační testy webových aplikací
ČI. 7. Odstoupení od smlouvy
7.1.1. Smluvní strany jsou oprávněny od smlouvy ihned odstoupit v případě závažného porušení
povinnosti vyplývající z této smlouvy druhou smluvní stranou. Odstoupení je účinné jeho
doručením druhé smluvní straně.
7.1.2. Za závažné porušení povinnosti dodavatele se rozumí prodlení dodavatele s plněním
povinností realizace služeb penetračních testů o více než 30 dní, pokud toto prodlení způsobil
dodavatel, a odmítnutí provedení služeb penetračních testů.
7.1.3. Závažným porušením povinnosti objednatele se rozumí prodlení objednatele s úhradou faktur
podle této smlouvy o více než 30 dní.
7.1.4. V případě odstoupení od smlouvy bude do 30 dnů provedeno vypořádání smluvních stran.
ČI. 8. Kontaktní osoby
8.1. Kontaktní osoby
8.1.1. Veškerá komunikace mezi smluvními stranami v záležitostech této smlouvy bude probíhat
prostřednictvím kontaktních osob. Každá smluvní strana jmenuje kontaktní osobu. Každá ze
smluvních stran má právo změnit jí jmenovanou kontaktní osobu, je však povinna vyrozumět
o každé změně druhou smluvní stranu. Změna kontaktní osoby je vůči druhé straně účinná
teprve okamžikem prokazatelného doručení takového vyrozumění.
Kontaktní osobou za objednatele ie:
Ing. Jiří Lohr
Odbor informatiky
Krajský úřad Plzeňského kraje
a i I:
telefon
Kontaktní osobou za poskytovatele ie:
email:
8.1.2. Komunikace mezi kontaktními osobami bude uskutečňována v elektronické podobě (email
nebo telefonicky).
8.1.3. Veškerá komunikace mezi smluvními stranami bude činěna v písemné formě a doručena druhé
smluvní straně, přičemž písemná forma je zachována i v případě emailové zprávy.
6
Rámcová smlouvo
Penetrační testy webových aplikací
8.1.4. Kontaktní osoby se zavazují vzájemně spolupracovat a poskytovat si veškeré informace
potřebné pro řádné plnění svých závazků. Kontaktní osoby jsou povinny informovat druhou
smluvní stranu o veškerých skutečnostech, které jsou nebo mohou být důležité pro řádné
plnění této smlouvy.
ČI. 9. Mlčenlivost a ochrana informací
9.1.1. V souvislosti s poskytování služeb penetračních testů na základě této smlouvy se smluvní
strany zavazují zajistit utajení získaných důvěrných informací takovým způsobem, aby nemohlo
dojít k jejich zneužití smluvní stranou nebo třetí osobou. Smluvní strany jsou zároveň povinny
zajistit utajení získaných informací i u svých zaměstnanců, zástupců, jakož i spolupracujících
třetích stran a osob.
9.1.2. Smluvní strany se výslovně dohodly, že pokud získají od druhé smluvní strany informace,
o kterých vzhledem k povaze takových informací mohly předpokládat, že na jejich utajení má
druhá smluvní strana oprávněný zájem anebo které nejsou v obchodních kruzích běžně
dostupné (dále jen „důvěrné informace"), budou s těmito důvěrnými informacemi nakládat
jako s vlastním obchodním tajemstvím, aniž by bylo nutné takové informace jako „důvěrné"
vždy jednotlivě označovat. Výše uvedené nevylučuje možnost v jednotlivých případech při
zvýšeném zájmu toto označení pro jednotlivé informace použít.
9.1.3. Za důvěrné informace se bez ohledu na formu jejich zachycení považují rovněž veškeré
informace, které nebyly některou ze stran označeny jako veřejné a které se týkají plnění
smluvních a jinak dohodnutých povinností, které se týkají některé ze stran (zejména obchodní
tajemství, know-how atd.), anebo informace, pro nakládání s nimiž je platnými právními
předpisy stanoven zvláštní režim utajení (zejména tajemství státní, hospodářské, bankovní,
služební či ochrana osobních údajů).
9.1.4. Za důvěrné informace se dále považují takové informace, kterou jsou jako důvěrné výslovně
kteroukoli ze smluvních stran označeny.
9.1.5. Smluvní strany jsou povinny zajistit utajení získaných důvěrných informací obvyklým
způsobem, není-li výslovně sjednáno jinak. Tato povinnost platí bez ohledu na ukončení
účinnosti této smlouvy. Strany jsou povinny zajistit utajení důvěrných informací i u svých
zaměstnanců, zástupců, a i jiných spolupracujících třetích stran, pokud jim takové informace
byly poskytnuty.
9.1.6. Porušení mlčenlivosti je považováno za závažné porušení smlouvy, na základě kterého je
možné od smlouvy odstoupit.
ČI. 10. Smluvní pokuty
10.1.1. Pro případ prodlení se zaplacením řádně fakturované ceny se objednatel zavazuje dodavateli
uhradit smluvní pokutu ve výši 0,01 % z fakturované ceny za každý den prodlení.
7
Rámcová smlouvo
Penetrační testy webových aplikací
10.1.2. Za prodlení poskytovatele s poskytnutím součinnosti pro naplánování data realizace
penetračního testu, se zahájením realizace penetračních testů vdaných termínech a se
zpracování Zprávy o provedeném penetračním testu se ustanovuje smluvní pokuta ve výši
1.000,- Kč za každý, byť jen započatý, den prodlení.
10.1.3. Pro každý zjištěný případ porušení mlčenlivosti a ochrany informací podle této smlouvy se
ustanovuje smluvní pokuta ve výši 100.000,- Kč.
10.1.4. Smluvní strany se zavazují k vyvinutí maximálního úsilí k předcházení škodám a k minimalizaci
vzniklých škod, zejména s ohledem na předmět plnění smlouvy. Poskytovatel služeb jako
odborník na problematiku penetračních testů je povinen dle této smlouvy upozornit na
skutečnosti, které by mohli vést ke vzniku škody kontaktní osobu zadavatele. Upozornění jej
však nezbavuje povinnosti maximálně předcházet škodám a jejich minimalizaci.
10.1.5. Zaplacením smluvní pokuty není dotčeno právo poškozené strany na náhradu škody.
10.1.6. Odstoupením od smlouvy se nedotýká nároku na zaplacení smluvní pokuty.
10.1.7. Žádná ze smluvních stran neodpovídá za škodu, která vznikla v důsledku věcně nebo jinak
chybného zadání, které obdržela od druhé smluvní strany. Žádná ze stran není odpovědná za
prodlení způsobené prodlením s plněním závazků druhé smluvní strany.
10.1.8. Výši smluvních pokut shodně považují obě smluvní strany za přiměřené. Smluvní pokuta je
splatná do 30-ti dnů od doručení jejího vyúčtování.
ČI. 11. Závěrečná ustanovení
11.1.1. Smluvní strany se dohodly uzavřít smlouvu podle § 1746 odst. 2 zákona č. 89/2012 Sb.,
Občanského zákoníku, ve znění pozdějších předpisů.
11.1.2. Právní vztahy touto smlouvou výslovně neupravené a z ní vyplývající nebo s ní související se
řídí příslušnými ustanoveními Občanského zákoníku.
11.1.3. Jakékoli změny či doplňky této smlouvy je možné platně učinit pouze formou písemných a
vzestupně číslovaných dodatků, podepsaných oprávněnými zástupci obou smluvních stran.
11.1.4. Smlouva se pořizuje ve čtyřech (4) vyhotoveních s platností originálu, z nichž objednatel i
dodavatel obdrží po podpisu každý dvě vyhotovení.
11.1.5. Smluvní strany berou na vědomí, že uzavřená smlouva včetně všech případných dodatků bude
uveřejněna v systému Registru smluv v souladu se zákonem č. 340/2015 Sb., o registru smluv,
v platném znění. Zveřejnění uzavřené smlouvy zajistí objednatel.
8
Rámcová smlouvo
Penetrační testy webových aplikací
11.1.6. Tato smlouva nabývá platnosti dnem jejího podpisu poslední smluvní stranou a účinnosti dnem
jejího zveřejnění v informačním systému Registru smluv.
11.1.7. Smluvní strany prohlašují, že smlouva byla sepsána dle jejich pravé a svobodné vůle, že si ji
před jejím podpisem přečetly a s celým jejím obsahem souhlasí.
Za objednatele Za poskytovatele
f/Zy/........... dne v