bip2.opi.org.pl · Web viewwykażą, że w okresie ostatnich trzech lat przed upływem terminu...

SPECYFIKACJA ISTOTNYCH WARUNKÓW ZAMÓWIENIA

NA

wykonanie usługi audytu bezpieczeństwa systemów teleinformatycznych w OPI PIB

(znak sprawy: audyt-300-2018)

Zatwierdzam:

dr Olaf GajlDyrektorOśrodka Przetwarzania Informacji - Państwowego Instytutu Badawczego

1. NAZWA I ADRES ZAMAWIAJĄCEGOOśrodek Przetwarzania Informacji – Państwowy Instytut Badawczy z siedzibą w Warszawie, adres: 00-608 Warszawa, al. Niepodległości 188B, wpisany do rejestru przedsiębiorców KRS przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XII Wydział Gospodarczy KRS pod nr 0000127372, NIP: 525-000-91-40.

2. TRYB UDZIELENIA ZAMÓWIENIA

Postępowanie o udzielenie zamówienia prowadzone jest w trybie przetargu nieograniczonego, na podstawie ustawy z dnia 29 stycznia 2004 r. Prawo zamówień publicznych (Dz. U. z 2017 r., poz. 1579 z późn. zm.), zwanej dalej „ustawą” lub „ustawą Pzp”, o wartości szacunkowej poniżej kwoty określonej w przepisach wydanych na podstawie art. 11 ust. 8 ustawy Prawo zamówień publicznych.

3. POSTANOWIENIA OGÓLNE

3.1 Przedmiotem zamówienia jest wykonanie usługi audytu bezpieczeństwa systemów teleinformatycznych w OPI PIB w 4 etapach.Szczegółowy opis przedmiotu zamówienia określony jest w załączniku nr 1 do SIWZ.

3.2 Zamawiający nie dopuszcza składania ofert częściowych. 3.3 Zamawiający nie dopuszcza składania ofert wariantowych.3.4 Zamawiający nie przewiduje udzielenia zamówień określonych w art. 67 ust. 1 pkt 6 ustawy.3.5 Zamawiający dopuszcza powierzenie części zamówienia Podwykonawcy. W przypadku, gdy

Wykonawca zamierza wykonać część zamówienia przy udziale Podwykonawcy, zobowiązany jest do podania w składanej ofercie części zamówienia, tj. rodzaju powierzanej czynności, której wykonanie zamierza powierzyć Podwykonawcy oraz firm Podwykonawcy.

3.6 Zamawiający nie przewiduje ustanowienia dynamicznego systemu zamówień ani podpisania umowy ramowej.

3.7 Zamawiający informuje, iż zgodnie z art. 24 aa ustawy, w pierwszej kolejności dokona oceny ofert a następnie zbada czy Wykonawca, którego oferta została oceniona jako najkorzystniejsza według kryteriów oceny ofert określonych w SIWZ, nie podlega wykluczeniu oraz spełnia warunki udziału w postępowaniu.

4. TERMIN WYKONANIA ZAMÓWIENIA

Zamawiający informuje, że usługa realizowana będzie w 4 etapach w terminach:- do 8 tygodni od daty zawarcia umowy – etap 1 (Etap ZSUN II) - do 14 tygodni od daty zawarcia umowy – etap 2 (Etap ZSUN I/OSF)- do 23 tygodni od daty zawarcia umowy – etap 3 (Etap Polski MOOC, POL-on, ORPPD, PBN, JSA)- do 23 tygodni od daty zawarcia umowy – etap 4 (Etap testów kontrolnych)

5. WARUNKI UDZIAŁU W POSTĘPOWANIU

W postępowaniu mogą wziąć udział Wykonawcy, którzy:

5.1 Nie podlegają wykluczeniu z postępowania: 5.1.1 na podstawie art. 24 ust. 1 pkt 12 – 23 ustawy;5.1.2 na podstawie art. 24 ust. 5 pkt 1 ustawy.

5.2 Spełniają warunki udziału w postępowaniu w zakresie: 5.2.1 kompetencji lub uprawnień do prowadzenia określonej działalności zawodowej,

o ile wynika to z odrębnych przepisów;

2

5.2.2 sytuacji ekonomicznej lub finansowej;5.2.3 zdolności technicznej lub zawodowej.

6. OPIS SPEŁNIANIA WARUNKÓW UDZIAŁU W POSTĘPOWANIU

Ocena spełniania warunków udziału w postępowaniu zostanie dokonana na podstawie dokumentów, wymienionych w pkt 8 SIWZ według kryteriów „spełnia/ nie spełnia”.

6.1 Za spełniających warunek posiadania niezbędnej zdolności technicznej lub zawodowej Zamawiający uzna Wykonawców, którzy:

6.1.1. wykażą, że w okresie ostatnich trzech lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy, to w tym okresie wykonali należycie, a w przypadku świadczeń okresowych lub ciągłych również wykonują, co najmniej 5 audytów określonych przedmiotem zamówienia, tj. wykonali testy penetracyjne oraz testy konfiguracji sieci i systemów teleinformatycznych, których wartość każdego z nich wyniosła co najmniej 200 000 zł (dwieście tysięcy).

Jeżeli w dokumentach składanych w celu potwierdzenia spełniania warunków udziału w postępowaniu, kwoty będą wyrażane w walucie obcej, kwoty te zostaną przeliczone na PLN wg średniego kursu PLN w stosunku do walut obcych ogłaszanego przez Narodowy Bank Polski (Tabela A kursów średnich walut obcych) w dniu opublikowania ogłoszenia o zamówieniu w Biuletynie Zamówień Publicznych.

6.1.2. skierują do realizacji zamówienia zespół audytowy składający się z co najmniej 5 osób z których, każda z osób spełnia następujące wymagania:a) posiada wykształcenie wyższe techniczne,b) posiada co najmniej 5 letnie doświadczenie w realizacji audytów bezpieczeństwa

systemów teleinformatycznych określonych przedmiotem zamówienia,c) wykonała co najmniej 3 audyty systemów teleinformatycznych, w tym co najmniej 1

audyt w sposób hybrydowy tj. automatycznie i manualnie, przy czym wartość poszczególnego audytu wynosiła co najmniej 200 000 złotych,

6.1.3. osoby wchodzące w skład zespołu audytowego, o których mowa w pkt 6.1.2 SIWZ powinny posiadać następujący certyfikat (jedna osoba = jedna certyfikat):a) jedna osoba posiadająca aktualny certyfikat Certified Information Systems Auditor (CISA)

wydany przez ISACA lub równoważny,b) jedna osoba posiadająca aktualny certyfikat Certified Information Security Professional

(CISSP) wydany przez ISC2 lub równoważny,c) jedna osoba posiadająca aktualny certyfikat Offensive Security Certified Professional

(OSCP) lub równoważny,d) jedna osoba posiadająca aktualny certyfikat Certified Ethical Hacker (CEH) lub

równoważny,e) jedna osoba posiadająca aktualny certyfikat GIAC Exploit Researcher and Advanced

Penetration Tester (GXPN) lub równoważny.

Za „równoważne” Zamawiający uzna certyfikaty odpowiadające zakresem co najmniej zakresowi certyfikatów wskazanych powyżej.

6.2. Wykonawcy mogą wspólnie ubiegać się o udzielenie zamówienia na zasadach określonych w art. 23 ustawy. W takim przypadku warunek określony w pkt 6.1.1 SIWZ ma spełnić co najmniej jeden z członków konsorcjum samodzielnie.

6.3. Za spełniających warunek określony w pkt 6.1 SIWZ Zamawiający uzna również Wykonawców, którzy polegać będą na zdolności technicznej lub zawodowej innych podmiotów, niezależnie od charakteru prawnego łączących go z nim stosunków prawnych.

3

Uwaga: w przypadku korzystania ze zdolności technicznych lub zawodowych od kilku podmiotów trzecich, warunek określony w pkt 6.1.1. SIWZ musi spełniać samodzielnie co najmniej jeden podmiot trzeci, na którego zasoby Wykonawca się powołuje.

7. BRAK PODSTAW DO WYKLUCZENIA:

Wykonawcy ubiegający się o udzielenie przedmiotowego zamówienia zobowiązani są do wykazania braku podstaw do wykluczenia z powodu niespełniania warunków, o których mowa w art. 24 ust. 1 pkt. 12 – 23 oraz art. 24 ust. 5 pkt 1 ustawy Pzp.

8. WYKAZ OŚWIADCZEŃ LUB DOKUMENTÓW WYMAGANYCH W POSTĘPOWANIU:

Razem z ofertą Wykonawcy dostarczają:

8.1 aktualne na dzień składania ofert oświadczenie w zakresie wskazanym przez Zamawiającego w pkt 6 SIWZ na załączniku nr 2 do SIWZ, stanowiące wstępne potwierdzenie, że Wykonawca spełnia warunki udziału w postępowaniu;

8.2 aktualne na dzień składania ofert oświadczenie w zakresie wskazanym przez Zamawiającego w pkt 7 SIWZ na załączniku nr 3 do SIWZ, stanowiące wstępne potwierdzenie, że Wykonawca nie podlega wykluczeniu.

8.3 Wykonawca, który polega na zdolnościach innych podmiotów, musi udowodnić Zamawiającemu, że realizując zamówienie, będzie dysponował niezbędnymi zasobami tych podmiotów, w szczególności przedstawiając zobowiązanie tych podmiotów do oddania mu do dyspozycji niezbędnych zasobów na potrzeby realizacji zamówienia.

8.4 W celu oceny czy Wykonawca polegając na zdolnościach innych podmiotów będzie dysponował zasobami w stopniu umożliwiającym należyte wykonanie zamówienia oraz oceny czy stosunek łączący Wykonawcę z innymi podmiotami gwarantuje rzeczywisty dostęp do ich zasobów Zamawiający żąda przedstawienia dowodów, które określają w szczególności:

a) zakres dostępnych Wykonawcy zasobów innego podmiotu,b) sposób wykorzystania zasobów innego podmiotu przez Wykonawcę przy wykonywaniu

zamówienia,c) zakres i okres udziału innego podmiotu przy wykonywaniu zamówienia,d) czy podmiot, na zdolnościach którego Wykonawca polega w odniesieniu do warunków

udziału w postępowaniu dotyczących wykształcenia, kwalifikacji zawodowych lub doświadczenia, zrealizuje usługi, których wskazane zdolności dotyczą.

8.5 W przypadku wspólnego ubiegania się o zamówienie przez Wykonawców, oświadczenia o których mowa w pkt 8.1 i 8.2 składa każdy z Wykonawców wspólnie ubiegających się o zamówienie. Oświadczenia te potwierdzają spełnianie warunków udziału w postępowaniu oraz brak podstaw wykluczenia w zakresie, w którym każdy z Wykonawców wykazuje spełnianie warunków udziału w postępowaniu oraz brak podstaw wykluczenia. W przypadku Wykonawców wspólnie ubiegających się o udzielenie zamówienia wymagane jest ustanowienie Pełnomocnika do reprezentowania ich w postępowaniu i/lub zawarcia umowy w sprawie zamówienia publicznego.

8.6 Zgodnie z art. 26 ust. 2 ustawy Zamawiający przed udzieleniem zamówienia, wezwie Wykonawcę, którego oferta została najwyżej oceniona, do złożenia w wyznaczonym, nie krótszym niż 5 dni terminie, aktualnych na dzień złożenia oświadczeń i dokumentów potwierdzających spełnianie warunków udziału w postępowaniu oraz brak podstaw wykluczenia, o których mowa w pkt. 8.7 SIWZ.

4

8.7 Wykaz oświadczeń lub dokumentów, jakie na wezwanie Zamawiającego ma dostarczyć Wykonawca, którego oferta została oceniona jako najkorzystniejsza: 8.7.1 odpis z właściwego rejestru lub centralnej ewidencji i informacji o działalności

gospodarczej, jeżeli odrębne przepisy wymagają wpisu do rejestru lub ewidencji, w celu wykazania braku podstaw do wykluczenia w oparciu o art. 24 ust. 5 pkt 1 ustawy – w przypadku, gdy Zamawiający może uzyskać dokument, o którym mowa w zdaniu poprzednim, w sposób określony w art. 26 ust. 6 ustawy, Zamawiający samodzielnie pozyska ten dokument, bez wzywania Wykonawcy do jego złożenia;

8.7.2 wykaz usług wykonanych, a w przypadku świadczeń okresowych lub ciągłych również wykonywanych, w okresie ostatnich trzech lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie, wraz z podaniem ich wartości, przedmiotu, dat wykonania i podmiotów, na rzecz których usługi zostały wykonane, oraz załączeniem dowodów określających czy te usługi zostały wykonane lub są wykonywane należycie, przy czym dowodami, o których mowa, są referencje bądź inne dokumenty wystawione przez podmiot, na rzecz którego usługi były wykonywane, a jeżeli z uzasadnionej przyczyny o obiektywnym charakterze Wykonawca nie jest w stanie uzyskać tych dokumentów - oświadczenie Wykonawcy. W przypadku świadczeń okresowych lub ciągłych nadal wykonywanych referencje bądź inne dokumenty potwierdzające ich należyte wykonywanie powinny być wydane nie wcześniej niż 3 miesiące przed upływem terminu składania ofert. Wzór wykazu usług stanowi załącznik nr 5 do SIWZ;

8.7.3 wykaz osób, skierowanych przez Wykonawcę do realizacji zamówienia publicznego, w szczególności odpowiedzialnych za świadczenie usług, wraz z informacjami na temat ich kwalifikacji zawodowych, uprawnień, doświadczenia i wykształcenia niezbędnych do wykonania zamówienia publicznego, a także zakresu wykonywanych przez nie czynności, oraz informacją o podstawie dysponowania tymi osobami sporządzone według wzoru, który stanowi Załącznik nr 6 do SIWZ;

8.8 Jeżeli Wykonawca ma siedzibę lub miejsce zamieszkania poza terytorium Rzeczypospolitej Polskiej, zamiast dokumentów, o których mowa w pkt 8.7.1 SIWZ składa dokument lub dokumenty wystawione w kraju, w którym ma siedzibę lub miejsce zamieszkania potwierdzające, że nie otwarto jego likwidacji ani nie ogłoszono upadłości.

8.9 Dokument lub dokumenty, o których mowa w pkt 8.8 SIWZ, powinny być wystawione nie wcześniej niż 6 miesięcy przed upływem terminu składania ofert albo wniosków o dopuszczenie do udziału w postępowaniu.

8.10 Jeżeli w kraju, w którym Wykonawca ma siedzibę lub miejsce zamieszkania, nie wydaje się dokumentów, o których mowa w pkt 8.8 SIWZ, zastępuje się je dokumentem zawierającym odpowiednio oświadczenie Wykonawcy, ze wskazaniem osoby albo osób uprawnionych do jego reprezentacji, złożone przed notariuszem lub przed organem sądowym, administracyjnym albo organem samorządu zawodowego lub gospodarczego właściwym ze względu na siedzibę lub miejsce zamieszkania Wykonawcy. Przepis pkt 8.9 SIWZ stosuje się.

8.11 Zgodnie z art. 24 ust. 11 ustawy Wykonawca, w terminie 3 dni od zamieszczenia na stronie internetowej informacji, o której mowa w art. 86 ust. 5 ustawy, przekazuje Zamawiającemu oświadczenie o przynależności lub braku przynależności do tej samej grupy kapitałowej, o której mowa w art. 24 ust. 1 pkt 23 ustawy. Wraz ze złożeniem oświadczenia, Wykonawca może przedstawić dowody, że powiązania z innym Wykonawcą nie prowadzą do zakłócenia konkurencji w postępowaniu o udzielenie zamówienia. Wzór oświadczenia o przynależności lub braku przynależności do tej samej grupy kapitałowej, o której mowa w art. 24 ust. 1 pkt 23 ustawy stanowi załącznik nr 8 do SIWZ.

5

9. POZOSTAŁE DOKUMENTY 9.1. wypełniony „Formularz oferty” - załącznik nr 4 do SIWZ;9.2. w przypadku, gdy ofertę w imieniu Wykonawcy podpisuje pełnomocnik, do oferty należy załączyć

pełnomocnictwo określające jego zakres i podpisane przez osoby uprawnione do reprezentacji Wykonawcy; pełnomocnictwo należy złożyć w oryginale albo kopii potwierdzonej za zgodność z oryginałem przez notariusza.

9.3. Oświadczenia, o których mowa w pkt 8 SIWZ zgodnie z rozporządzeniem Ministra Rozwoju z dnia 26 lipca 2016r. dotyczące Wykonawcy, składane są w oryginale.

9.4. Dokumenty, o których mowa w pkt 8 SIWZ zgodnie z rozporządzeniem Ministra Rozwoju z dnia 26 lipca 2016 r., inne niż oświadczenia, o których mowa w pkt 9.3 SIWZ, składane są w oryginale lub kopii poświadczonej za zgodność z oryginałem.

9.5. Poświadczenia za zgodność z oryginałem dokonuje odpowiednio Wykonawca, podmiot, na którego zdolnościach polega Wykonawca, Wykonawcy wspólnie ubiegający się o udzielenie zamówienia publicznego albo Podwykonawca, w zakresie dokumentów, które każdego z nich dotyczą.

10. INFORMACJA O SPOSOBIE POROZUMIEWANIA SIĘ ZAMAWIAJĄCEGO Z WYKONAWCAMI ORAZ PRZEKAZYWANIA OŚWIADCZEŃ LUB DOKUMENTÓW

W przedmiotowym postępowaniu oświadczenia, wnioski, zawiadomienia oraz informacje Zamawiający i Wykonawcy przekazują pisemnie, faksem lub e-mailem.

11. OSOBA UPRAWNIONA DO POROZUMIEWANIA SIĘ Z WYKONAWCAMI

Monika Jeżewska – w godz. 8.15 - 16.15 w dni robocze, fax. (022) 825 33 19, e-mail: [email protected]

12. TERMIN ZWIĄZANIA OFERTĄ

Termin związania ofertą wynosi 30 dni. Bieg terminu rozpoczyna się wraz z upływem terminu składania ofert.

13. OPIS SPOSOBU PRZYGOTOWANIA OFERT

13.1 Wykonawca winien dokładnie zapoznać się ze wszystkimi postanowieniami SIWZ. 13.2 Treść oferty musi odpowiadać treści SIWZ i być zgodna z powszechnie obowiązującymi

przepisami prawa.13.3 Wykonawca może złożyć tylko jedną ofertę, zawierającą jedną, jednoznacznie opisaną

propozycję. Złożenie większej ilości ofert lub złożenie oferty zawierającej propozycje alternatywne spowoduje odrzucenie wszystkich ofert złożonych przez Wykonawcę.

13.4 Ofertę składa się, pod rygorem nieważności, w formie pisemnej.13.5 Oferta powinna być czytelna, napisana w języku polskim, na maszynie do pisania lub ręcznie

długopisem lub nieścieralnym atramentem, może mieć także postać wydruku komputerowego.13.6 Dokumenty sporządzone w języku obcym są składane wraz z tłumaczeniem na język polski.13.7 Zamawiający może żądać przedstawienia oryginału lub notarialnie poświadczonej kopii

dokumentu, gdy złożona przez Wykonawcę kopia dokumentu będzie nieczytelna lub będzie budzić wątpliwości co do jej prawdziwości.

13.8 Zaleca się, aby każda kartka oferty była ponumerowana kolejnymi numerami, a w Formularzu oferty winna być umieszczona informacja z ilu kolejno ponumerowanych kartek składa się oferta wraz z załącznikami.

13.9 Zaleca się, aby kartki oferty były trwale ze sobą połączone (np. zbindowane, zszyte), z zastrzeżeniem sytuacji opisanej w pkt 13.14.

6

13.10 Wszelkie zmiany w tekście oferty (poprawki, przekreślenia, dopiski) muszą być podpisane lub parafowane przez Wykonawcę.

13.11 Do Formularza oferty należy dołączyć wszystkie oświadczenia i dokumenty wymagane postanowieniami pkt 8.1 - 8.4 SIWZ. Zamawiający dopuszcza złożenie oferty na formularzach sporządzonych przez Wykonawcę, pod warunkiem, że ich treść, odpowiadać będzie formularzom określonym przez Zamawiającego.

13.12 Formularz oferty oraz załączniki muszą być wypełnione i podpisane przez Wykonawcę lub upełnomocnionego przedstawiciela Wykonawcy.

13.13 Wszystkie wymagane SIWZ dokumenty muszą być złożone w oryginale lub kopii. Każda strona dokumentu złożonego w formie kopii musi być opatrzona klauzulą: „ZA ZGODNOŚĆ Z ORYGINAŁEM” i podpisana przez Wykonawcę lub upełnomocnionego przedstawiciela Wykonawcy.

13.14 Informacje składane w trakcie postępowania, co do których Wykonawca nie później niż w dniu składania ofert wykaże, że stanowią tajemnicę przedsiębiorstwa w rozumieniu przepisów o zwalczaniu nieuczciwej konkurencji, Wykonawca zastrzega, że nie mogą być udostępniane innym uczestnikom postępowania, oznaczając je klauzulą: Dokument stanowi tajemnicę przedsiębiorstwa w rozumieniu art. 11 ust. 4 ustawy o zwalczaniu nieuczciwej konkurencji (tj. Dz. U. z 2018r. poz. 419 ze zm.). Informacje te winny być umieszczone w innej osobnej wewnętrznej kopercie, odrębnie od pozostałych informacji zawartych w ofercie. Kartki należy ponumerować w taki sposób, aby umożliwić ich dopasowanie do pozostałej części oferty (należy zachować ciągłość numeracji kartek oferty). W szczególności, zgodnie z art. 8 ust. 3 zd. 2 ustawy Wykonawca nie może zastrzec informacji, o których mowa w art. 86 ust. 4 ustawy.

13.15 Ofertę należy umieścić w zamkniętej kopercie oznaczonej w następujący sposób: „Ośrodek Przetwarzania Informacji – Państwowy Instytut Badawczy,

al. Niepodległości 188B, 00-608 WarszawaOferta na wykonanie usługi audytu bezpieczeństwa systemów teleinformatycznych

w OPI PIB(znak sprawy: audyt-300-2018)

Nie otwierać przed 26 października 2018 r. godz. 12:15"13.16 Przed upływem terminu składania ofert, Wykonawca może wprowadzić zmiany do złożonej

oferty lub wycofać ofertę. Zmiany lub wycofanie winny być doręczone Zamawiającemu na piśmie przed upływem terminu składania ofert. Oświadczenie o wprowadzeniu zmian lub wycofaniu winno być opakowane tak, jak oferta, a koperta zawierać dodatkowe oznaczenie wyrazami odpowiednio: „ZMIANA” lub „WYCOFANIE”.

13.17 Wykonawca nie może wycofać oferty i wprowadzić jakichkolwiek zmian w treści oferty po upływie terminu składania ofert.

13.18 Wykonawca poniesie wszystkie koszty związane z przygotowaniem i złożeniem oferty.13.19 W przypadku nieprawidłowego zaadresowania lub złożenia oferty Zamawiający nie ponosi

odpowiedzialności za skutki, jakie mogą powstać w wyniku błędnego skierowania (np. zaadresowania) przesyłki.

14. MIEJSCE ORAZ TERMIN SKŁADANIA I OTWARCIA OFERT

14.1 Ofertę należy złożyć w siedzibie Zamawiającego, al. Niepodległości 188B w Warszawie, parter (Kancelaria). Oferty można składać wyłącznie w godzinach 8.15 - 16.15.

14.2 Termin składania ofert upływa dnia 26 października 2018 r. o godzinie 12:00. Oferty złożone po tym terminie zostaną zwrócone niezwłocznie Wykonawcom.

14.3 Zamawiający otworzy oferty w obecności Wykonawców, którzy zechcą przybyć w dniu, w którym upływa termin składania ofert, 26 października 2018, o godz. 12:15 do siedziby Zamawiającego, al. Niepodległości 188B, Warszawa, pok. 253, p. II.

7

14.4 Bezpośrednio przed otwarciem ofert Zamawiający poda kwotę, jaką zamierza przeznaczyć na sfinansowanie zamówienia.

14.5 Podczas otwarcia ofert Zamawiający poda informacje zgodnie z art. 86 ust. 4 ustawy. Informacje te zostaną odnotowane w protokole postępowania.

15. OPIS SPOSOBU OBLICZENIA CENY

15.1 Wykonawca określi ceny brutto za realizację przedmiotu zamówienia opisanego w załączniku nr 1 do SIWZ, według wzoru stanowiącego załącznik nr 4 do SIWZ „Formularz oferty”.

15.2 W przypadku wystąpienia omyłki rachunkowej Zamawiający dokona właściwego obliczenia z uwzględnieniem konsekwencji rachunkowych dokonanych poprawek, zgodnie ze sposobem liczenia wskazanym w formularzu oferty. W przypadku omyłki w pkt 1 Formularza oferty za prawidłową Zamawiający uzna wartość brutto za dany etap.

15.3 Cena podana przez Wykonawcę musi zawierać wszelkie podatki (w tym VAT), opłaty i inne pozostałe obciążenia związane z realizacją zamówienia.

15.4 Cena oferty musi być wyrażona w złotych polskich, z dokładnością do dwóch miejsc po przecinku.

15.5 Podczas oceny oraz porównywania ofert złożonych w postępowaniu, Zamawiający będzie brał pod uwagę jedynie ceny brutto podane w Formularzu oferty.

15.6 Jeżeli zostanie złożona oferta, której wybór prowadzić będzie do powstania obowiązku podatkowego Zamawiającego zgodnie z przepisami o podatku od towarów i usług, Zamawiający w celu oceny takiej oferty doliczy do przedstawionej w niej ceny podatek od towarów i usług, który będzie miał obowiązek rozliczyć zgodnie z obowiązującymi przepisami. Wykonawca składając ofertę informuje Zamawiającego, czy wybór oferty będzie prowadzić do powstania u Zamawiającego obowiązku podatkowego, wskazując nazwę (rodzaj) towaru lub usługi, których dostawa lub świadczenie będzie prowadzić do jego powstania, oraz wskazując ich wartość bez kwoty podatku.

16. OPIS KRYTERIÓW, KTÓRYMI ZAMAWIAJĄCY BĘDZIE SIĘ KIEROWAŁ PRZY WYBORZE OFERTY, WRAZ Z PODANIEM ZNACZENIA TYCH KRYTERIÓW ORAZ SPOSOBU OCENY OFERT

16.1 Przy wyborze najkorzystniejszej oferty Zamawiający będzie się kierował następującym kryterium:

Cena oferty brutto - 100 %Punkty w niniejszym kryterium zostaną przyznane wg następującego wzoru:

Najniższa oferowana cena brutto -------------------------------------------------------- x 100

Cena brutto oferty badanej

16.2 W oparciu o powyższe kryterium zostanie sporządzone zestawienie oceny ofert. Punkty będą liczone z dokładnością do dwóch miejsc po przecinku. Za najkorzystniejszą zostanie uznana oferta, która uzyska najwyższą końcową ocenę oferty.

16.3 Jeżeli zostanie złożona oferta, której wybór prowadzić będzie do powstania obowiązku podatkowego Zamawiającego zgodnie z przepisami o podatku od towarów i usług, Zamawiający w celu oceny takiej oferty doliczy do przedstawionej w niej ceny podatek od towarów i usług, który będzie miał obowiązek rozliczyć zgodnie z obowiązującymi przepisami. Wykonawca składając ofertę informuje Zamawiającego, czy wybór oferty będzie prowadzić do

8

powstania u Zamawiającego obowiązku podatkowego, wskazując nazwę (rodzaj) towaru lub usługi, których dostawa lub świadczenie będzie prowadzić do jego powstania, oraz wskazując ich wartość bez kwoty podatku.

16.4 Zamawiający nie przewiduje wyboru najkorzystniejszej oferty z zastosowaniem aukcji elektronicznej.

17. INFORMACJE O FORMALNOŚCIACH, JAKIE POWINNY ZOSTAĆ DOPEŁNIONE PO WYBORZE OFERTY W CELU ZAWARCIA UMOWY W SPRAWIE ZAMÓWIENIA PUBLICZNEGO

17.1. Zamawiający wymaga od wybranego Wykonawcy zamówienia zawarcia umowy w sprawie

zamówienia publicznego na warunkach określonych we wzorze umowy stanowiącym załącznik nr 7 do SIWZ.

17.2. Po dokonaniu wyboru oferty najkorzystniejszej, a przed zawarciem umowy, Wykonawca, którego oferta zostanie uznana za najkorzystniejszą będzie zobowiązany do przedłożenia:a) kserokopie certyfikatów wymagane dla poszczególnych członków zespołu audytowego , b) oryginału lub kopii poświadczonej za zgodność z oryginałem przez Wykonawcę bądź

upełnomocnionego przedstawiciela Wykonawcy, umowy regulującej współpracę tych Wykonawców, w przypadku wykonawców wspólnie ubiegający się o udzielenie zamówienia publicznego, których oferta zostanie uznana za najkorzystniejszą.

18. POUCZENIE O ŚRODKACH OCHRONY PRAWNEJ PRZYSŁUGUJĄCYCH WYKONAWCY W TOKU POSTĘPOWANIA O UDZIELENIE ZAMÓWIENIA

Środki ochrony prawnej, które przysługują Wykonawcy, a także innemu podmiotowi, który ma lub miał interes w uzyskaniu zamówienia oraz poniósł lub może ponieść szkodę w wyniku naruszenia przez Zamawiającego przepisów ustawy, są określone w Dziale VI ustawy Pzp.

19. KLAUZULA INFORMACYJNA Z ART. 13 RODO

19.1. Zgodnie z art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1), dalej „RODO”, informuję, że:

19.1.1. Administratorem danych osobowych jest Ośrodek Przetwarzania Informacji – Państwowy Instytut Badawczy z siedzibą w Warszawie przy al. Niepodległości 188B, 00-608 Warszawa, wpisany do Rejestru Przedsiębiorców prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, Wydział XII Gospodarczy Krajowego Rejestru Sądowego, pod nr KRS 0000127372, REGON: 006746090, NIP: 525-000-91-40.

19.1.2. W sprawach związanych z Pani/Pana danymi proszę kontaktować się z Inspektorem Ochrony Danych, kontakt pisemny za pomocą poczty tradycyjnej na adres OPI PIB, al. Niepodległości 188B, 00-608 Warszawa; e-mail: [email protected];

19.1.3. Pani/Pana dane osobowe przetwarzane będą na podstawie art. 6 ust. 1 lit. c RODO w celu związanym z postępowaniem o udzielenie zamówienia publicznego; audyt-300-2018, w trybie przetargu nieograniczonego;

19.1.4. odbiorcami Pani/Pana danych osobowych będą osoby lub podmioty, którym udostępniona zostanie dokumentacja postępowania w oparciu o art. 8 oraz art. 96 ust. 3 ustawy z dnia 29 stycznia 2004 r. – Prawo zamówień publicznych (Dz. U. z 2017 r. poz. 1579 ze zm.), dalej „ustawa Pzp”;

19.1.5. Pani/Pana dane osobowe będą przechowywane, zgodnie z art. 97 ust. 1 ustawy Pzp, przez okres 4 lat od dnia zakończenia postępowania o udzielenie zamówienia, a jeżeli czas

9

trwania umowy przekracza 4 lata, okres przechowywania obejmuje cały czas trwania umowy;

19.1.6. obowiązek podania przez Panią/Pana danych osobowych bezpośrednio Pani/Pana dotyczących jest wymogiem ustawowym określonym w przepisach ustawy Pzp, związanym z udziałem w postępowaniu o udzielenie zamówienia publicznego; konsekwencje niepodania określonych danych wynikają z ustawy Pzp;

19.1.7. w odniesieniu do Pani/Pana danych osobowych decyzje nie będą podejmowane w sposób zautomatyzowany, stosowanie do art. 22 RODO;

19.1.8. posiada Pani/Pan:a) na podstawie art. 15 RODO prawo dostępu do danych osobowych Pani/Pana dotyczących*;b) na podstawie art. 16 RODO prawo do sprostowania Pani/Pana danych osobowych **;c) na podstawie art. 18 RODO prawo żądania od administratora ograniczenia przetwarzania danych

osobowych z zastrzeżeniem przypadków, o których mowa w art. 18 ust. 2 RODO ***; d) prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uzna Pani/Pan,

że przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy RODO;19.1.9. nie przysługuje Pani/Panu:

a) w związku z art. 17 ust. 3 lit. b, d lub e RODO prawo do usunięcia danych osobowych;b) prawo do przenoszenia danych osobowych, o którym mowa w art. 20 RODO;c) na podstawie art. 21 RODO prawo sprzeciwu, wobec przetwarzania danych osobowych, gdyż

podstawą prawną przetwarzania Pani/Pana danych osobowych jest art. 6 ust. 1 lit. c RODO.

* Wyjaśnienie: informacja w tym zakresie jest wymagana, jeżeli w odniesieniu do danego administratora lub podmiotu przetwarzającego istnieje obowiązek wyznaczenia inspektora ochrony danych osobowych.

** Wyjaśnienie: skorzystanie z prawa do sprostowania nie może skutkować zmianą wyniku postępowaniao udzielenie zamówienia publicznego ani zmianą postanowień umowy w zakresie niezgodnym z ustawą Pzp oraz nie może naruszać integralności protokołu oraz jego załączników.

*** Wyjaśnienie: prawo do ograniczenia przetwarzania nie ma zastosowania w odniesieniu do przechowywania, w celu zapewnienia korzystania ze środków ochrony prawnej lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii Europejskiej lub państwa członkowskiego.

ZAŁĄCZNIKI DO SIWZ:Nr 1: Opis przedmiotu zamówieniaNr 2: Oświadczenie dotyczące spełniania warunków udziału w postępowaniu Nr 3: Oświadczenie dotyczące przesłanek wykluczenia z postępowania Nr 4: Formularz oferty Nr 5: Wykaz usługNr 6: Wykaz osóbNr 7: Wzór umowyNr 8: Oświadczenie o przynależności lub braku przynależności do tej samej grupy kapitałowej

10

ZAŁĄCZNIK NR 1 DO SIWZ

OPIS PRZEDMIOTU ZAMÓWIENIAwykonanie usługi audytu bezpieczeństwa systemów teleinformatycznych

w OPI PIB

Kody CPV79212000-3 - usługi audytu72800000-8 – usługi audytu komputerowego i testowania komputerów

1. Wstęp

Niniejszy dokument precyzuje wymagania dotyczące przedmiotu zamówienia poprzez określenie: a) celu przedmiotu zamówienia. b) wymagań w zakresie usług realizowanych w ramach przedmiotu zamówienia, c) wymagań w zakresie produktów, które mają być wytworzone w związku z realizacją

przedmiotu zamówienia, d) wymagań w zakresie formuły realizacyjnej,e) systemów teleinformatycznych objętych usługą, f) miejsca realizacji zamówienia.

2. Cel audytu

1. Pozyskanie informacji na temat istniejących podatności i słabości w obszarze bezpieczeństwa audytowanych systemów teleinformatycznych, sieci i środowiska informatycznego, w którym funkcjonują.

2. Wiarygodna ocena bezpieczeństwa zasobów systemów teleinformatycznych.3. Rekomendacja rozwiązań w zakresie utrzymania wysokiego poziomu bezpieczeństwa

systemów teleinformatycznych.

3. Przedmiot zamówienia

Usługa audytu bezpieczeństwa systemów teleinformatycznych i sieci wskazanych w rozdziale 4 niniejszego opisu przedmiotu zamówienia powinna obejmować 4 (cztery) etapy działania określone w następujący sposób:

1. Etap ZSUN II (etap 1)

W ramach etapu ZSUN II wykonawca powinien wykonać:

Testy penetracyjne, w ramach których powinna zostać wykonana symulacja włamań do systemów oraz sieci i zidentyfikowane słabe punkty systemu zabezpieczeń prowadzony metodą blackbox (bez znajomości kodów źródłowych ani konfiguracji aplikacji)

11

Usługa powinna obejmować następujący zakres zadań:

o wykorzystanie manualnych oraz automatycznych metod prowadzenia audytu,

o detekcja błędów aplikacyjnych (kilka testów na każdą z poniższych klas): SQL injection. XML injection. XXE (XML eXternal Entity). XSS (Cross Site Scripting) – błędy typu reflected oraz stored. Detekcja zabezpieczeń na podatność CSRF (Cross Site Request Forgery). Broken Authentication and Session Management (badanie losowości ID sesji, próba

detekcji składni nazywania cookie sesyjnego, sprawdzenie bezpieczeństwa budowy formularza logowania).

Authorization Bypass (próby dostępu do zasobów bez uwierzytelnienia użytkownika). Code Execution (próby wykonania wrogiego kodu na serwerze). Information Leakage (próby detekcji wycieku istotnych informacji – technicznych

i biznesowych – z serwera). Insecure Communications (np. dostęp do istotnych danych – np. konta administracyjnego

bez szyfrowania). Source Disclosure (próby prowadzące do ujawnienia kodów źródłowych wykorzystanego

oprogramowania). Path Traversal. Open Redirection. Denial of Service (DoS). File Inclusion. Response Splitting. Deserialization of untrusted data. Testy web serwera obejmujące m.in.:

Bezpieczeństwo skonfigurowanego mechanizmu SSL Dostępność komunikatów o błędach Analiza podatności występujących w zainstalowanej wersji serwera Dostępność nadmiarowych metod HTTP

analiza metod uwierzytelniania, w ramach którego wykonane zostaną w szczególności następujące czynności:

weryfikacja certyfikatów SSL, weryfikacja kanałów komunikacyjnych.

oraz innych ataków zdefiniowanych na najnowszej dostępnej liście podatności OWASPo analizę urządzeń zewnętrznych.o Raport z wykonanych czynności audytowych w ramach etapu I zgodny z zakresem określonym

w pkt 5 lit. a), b) i c)

2. Etap ZSUN I/OSF (etap II)

W ramach etapu ZSUN I/OSF wykonawca powinien wykonać:

12













oraz innych ataków zdefiniowanych na najnowszej dostępnej liście podatności OWASPo analizę urządzeń zewnętrznych.o Raport z wykonanych czynności audytowych w ramach etapu II zgodny z zakresem określonym

w pkt 5 lit. a), b) i c).

3. Etap Polski MOOC, POL-on, ORPPD, PBN, JSA (etap III)

13

W ramach etapu Polski MOOC, POL-on, ORPPD, PBN, JSA wykonawca powinien wykonać:













oraz innych ataków zdefiniowanych na najnowszej dostępnej liście podatności OWASPo analizę urządzeń zewnętrznych.o Raport z wykonanych czynności audytowych w ramach etapu III zgodny z zakresem określonym

w pkt 5 lit. a), b) i c)

14

4. Etap testów kontrolnych (etap IV)

Testy kontrolne, w ramach których należy sprawdzić poprawność instalacji i konfiguracji systemów teleinformatycznych, analiza systemowa stosowanych zabezpieczeń systemów teleinformatycznych wykazująca, w szczególności czy zastosowane w ich produkcji technologie są odpowiednie, czy systemy nie są narażone na podatności, czy istnieją nowsze bezpieczniejsze narzędzia w tym zakresie, kontekście najnowszych rozwiązań teleinformatycznych wykorzystywanych w utrzymaniu wysokiego poziomu bezpieczeństwa systemów teleinformatycznych, w szczególności chroniących przed zagrożeniami wynikającymi z cyberataków.

Działania dla Etapu testów kontrolnych (etap IV).

W przypadku Etapu testów kontrolnych (etap IV) Wykonawca powinien wykonać następujące czynności:

1. analizę dokumentacji eksploatacyjnej (technicznej) systemów informatycznych i sieci (pod względem kompatybilności obszarów stron),

2. analizę obszaru technicznego systemów informatycznych oraz środowiska informatycznego, w którym zlokalizowane są systemy,

3. analizę poprawności i kompletności ustanowionych zabezpieczeń i technicznych środków ochrony dla systemów informatycznych i środowiska informatycznego w którym zlokalizowane są systemy,

4. sprawdzenie skuteczności (efektywność) zastosowanych zabezpieczeń, technicznych, środków ochrony i mechanizmów kontrolnych stosowanych w systemach informatycznych,

5. analizę systemów informatycznych pod względem co najmniej takich kategorii zagrożeń jak:a) ataki sieciowe,b) zagrożenia transmisji danych,c) zagrożenia aplikacyjne,d) zagrożenia komunikacyjne,e) awarie techniczne,f) błąd ludzki,g) zagrożenia kryptograficzne.

6. raport z wykonanych czynności audytowych w ramach etapu IV zgodny z zakresem określonym w pkt 5 lit. a), b) i c).

Usługa w ramach etapu testów kontrolnych powinna obejmować następujący zakres zadań:

a) audyt warstwy sieciowej , w ramach którego wykonane zostaną w szczególności następujące czynności: o analiza topologii sieci,o weryfikacja podziału LAN na strefy sieciowe (w tym wykorzystanie firewalli oraz

VLAN/PVLAN),o określenie usług działających w sieci LAN,

15

o poszukiwanie podatności w kilku wybranych podsieciach (przykładowo: detekcja nieaktualnego oprogramowania, możliwość dostępu do wybranych usług z domyślnym hasłem / bez hasła),

o weryfikacja dostępnych mechanizmów uwierzytelniania dostępnych w sieci,o weryfikacja mechanizmów ochronnych w warstwie 2 i 3 modelu OSI,o weryfikacja podstawowych zasad bezpieczeństwa na wybranych kilku stacjach roboczych

(udostępnione usługi, poziom dostępu zapewniany dla użytkowników, dostępność oprogramowania klasy antywirus/ antymalware, sposoby aktualizacji systemu, itp),

o weryfikacja dostępu do Internetu z LAN,o szczegółowa analiza wybranej komunikacji sieciowej,o weryfikacja zasad utrzymania sieci,o wskazanie potencjalnych, dodatkowych metod ochrony sieci,o wykrycie sieci bezprzewodowych (802.11 a/b/g/n/ac) w kilku wybranych miejscach,o określenie typu zabezpieczeń wykrytych sieci (Open System, WEP, WPA, WPA-PSK,

WPA2, WPA2 Enterprise z serwerem RADIUS lub AES ),o w przypadku wykrycia sieci klasy Open – próba podłączenia się do Access point,o w przypadku wykrycia sieci z zabezpieczeniami WEP – próba złamania klucza

szyfrującego i uzyskania dostępu do sieci,o w przypadku wykrycia sieci z zabezpieczeniami WPA-PSK, WPA2, WPA2 Enterprise

z serwerem RADIUS lub AES – próba złamania klucza szyfrującego (metoda: brute force),o weryfikacja trybu ogłaszania SSID oraz wartości SSID,o próba wykrycia producenta urządzenia Access Point,o określenie wykorzystanych mechanizmów uwierzytelniania stron (na podstawie

przekazanych danych dostępowych),o sprawdzenie wykorzystania mechanizmów uwierzytelniania oferowanych przez standard

802.1X.,o określenie skalowalności sieci pod względem bezpieczeństwa przy wzroście aktywnych

klientów (w zakresie bezpieczeństwa i dystrybucji dostępu).b) audyt warstwy systemów operacyjnych (serwery, macierze, biblioteki ), w ramach którego

wykonane zostaną w szczególności następujące czynności:o wskazanie zaleceń hardeningowych dla systemu operacyjnego - zwiększających jego

bezpieczeństwo,o sprawdzenie udostępnionych usług sieciowych,o sprawdzenie podziału przestrzeni dyskowej na odpowiednie strefy,o sprawdzenie wdrożenia dodatkowych metod ochrony (np.: dodatkowe mechanizmy

ochronne zaimplementowane na poziomie kernela, system antywirusowy, itp),o sprawdzenie przynależności użytkowników do grupy administratorzy,o sprawdzenie uprawnień do najistotniejszych zasobów,o sprawdzenie wdrożonego mechanizmu instalacji aktualizacji,o sprawdzenie wdrożonego mechanizmu kopii zapasowych,o sprawdzenie wdrożonego systemu logowania zdarzeń,o sprawdzenie zabezpieczenia systemu w fazie boot,o sprawdzenie wykorzystywanego sposobu zarządzania systemem,o sprawdzenie polityk GPO na serwerach,

16

o sprawdzenie kwestii organizacyjnych i proceduralnych: zarządzanie systemem operacyjnym (poziom administratora), prawami dostępu dla użytkowników do plików i katalogów systemu, logowanie zdarzeń i accunting; kopie zapasowe i odtworzeniowe systemów, awarie i procedury awaryjne, kontrola wewnętrzna. Badanie podatności na ataki (ARP Poisoning, Network Based Testing i Host Based testing), weryfikacja bezpieczeństwa konfiguracji systemu, badanie aktualności oprogramowania systemowego.

c) audyt warstwy bazodanowej , w ramach którego wykonane zostaną w szczególności następujące czynności:o wykonanie ataku Sniffing, Scanning (skanowanie portów usług bazodanowych i próba

pozyskania haseł metodą brute force), Spoofing, Hijacking, Dos, Buffer Overflow,o możliwość realizacji kodu po stronie serwera lub klienta,o sprawdzenie metod szyfrowania danych,o weryfikacja procedur przechowywania haseł dostępowych,o badanie bazy automatycznym analizatorem,o wskazanie metod zmniejszających ryzyko wycieku danych z bazy danych,o sprawdzenie wdrożenia podstawowych zasad hardeningowych bazy (np.: dostępność

domyślnych użytkowników guest, partycjonowanie bazy, składowanie logów, logowanie nietypowych zdarzeń, dostępność wybranych niebezpiecznych procedur /funkcji składowanych),

o sprawdzenie komunikacji z klientem bazodanowym - wykorzystanie mechanizmów kryptograficznych (logowanie się klienta oraz transfer danych),

o ogólna recenzja architektury bazy (wykorzystane mechanizmy autoryzacji oraz uwierzytelniania; segmentacja uprawnień, wykorzystanie widoków; wykorzystanie procedur składowanych),

o weryfikacja sposobu wykonywania kopii zapasowych,o analiza sposobu udostępnienia RDBMS na poziomie sieciowym.

d) testy penetracyjne wewnątrz mające na celu zidentyfikowanie możliwości przeprowadzenia włamania wewnątrz siedziby Zamawiającego,o rekonesans dotyczący publicznych adresów IP Zamawiającego,o rekonesans dotyczący publicznych aplikacji webowych Zamawiającego (również

„ukrytych”),o rekonesans relacyjnych baz danych,o poszukiwanie istotnych, technicznych informacji o Zamawiającym dostępnych publicznie

(OSINT),o skanowanie podatności w udostępnionych usługach sieciowych,o lokalizacja podatności w udostępnionych aplikacjach webowych (np. próby ominięcia

ekranów logowania, kradzież danych z aplikacji).o po przejęciu kontroli nad co najmniej jednym z systemów – próba eskalacji ataku na

pozostałe maszyny, systemy w LAN,e) weryfikację ochrony przed oprogramowaniem szkodliwym,f) dokonanie próby przejęcia kontroli nad kontami użytkowników,g) dokonanie próby wykonania nieautoryzowanych operacji bezpośrednio na bazie danych,

17

h) proces identyfikacji podatności systemów i sieci na ataki typu: DoS, DDos, SQL Injection, Sniffing, Spoffing, XSS, Hijacking, Backdoor, Flooding, Password (próba pozyskania haseł metodą brute force ) i inne,

4. Systemy teleinformatyczne objęte przedmiotem zamówienia

7 (siedem) systemów teleinformatycznych świadczących usługi dla potrzeb szkolnictwa wyższego.

1. Usługi powstałe w wyniku projektu ZSUN II , a mianowicie:

a) Model wymiany danych – wewnętrzny system integracji systemów oparty na Apache Kafka (stan na 2018-09-24)

szacunkowa liczba unikalnych podstron / formularzy: brak formularzy

technologia wykonania systemu: Apache Kafka, Java, Spring

liczba różnych grup użytkowników (o różnych uprawnieniach): brak użytkowników, integracja pomiędzy systemami, zabezpieczenie SSL

liczba linii kodu źródłowego: około 5 584 bez kodu Open Source Apache Kafka

b) Moduł centralnego logowania (MCL) oparty o system KeyCloak – https://mcl.opi.org.pl (stan na 2018-09-24):

szacunkowa liczba unikalnych podstron / formularzy: 4

technologia wykonania systemu: KeyCloak Java, Spring Security, LDAP, MySQL

liczba różnych grup użytkowników (o różnych uprawnieniach): MLC zajmuje się wyłącznie autentykacją, natomiast uprawnienia są sprawdzane w systemach dziedzinowych.

liczba linii kodu źródłowego: około 5 000 bez kodu Open Source

c) Portal obywatelski wraz z własnym CMS (stan na 2018-09-24)


technologia wykonania systemu: Angular, TypeScript, Java, Lucene, ElasticSearch, Oracle

liczba różnych grup użytkowników (o różnych uprawnieniach):tylko użytkownicy anonimowi

liczba linii kodu źródłowego: 17 534

d) Hurtowania i BI w technologii Oracle (stan na 2018-09-24)

szacunkowa liczba unikalnych podstron / formularzy: bez ograniczeń – odpowiada liczbie utworzonych raportów

technologia wykonania systemu: Oracle, Oracle Business Intelligence EE, Oracle Data Integrator, Hadoop danych

liczba różnych grup użytkowników (o różnych uprawnieniach): 50 imiennych użytkowników Oracle Business Intelligence, liczba uprawnień nie jest możliwa do oszacowania będą tworzone w zależności od potrzeb

liczba linii kodu źródłowego: około 3000

e) Usługi udostępniania danych (REST) - http://u2.opi.org.pl (stan na 2018-09-24)

szacunkowa liczba unikalnych podstron / formularzy: 2 metody REST

18

http://u2.opi.org.pl/

https://mcl.opi.org.pl/

technologia wykonania systemu: Java, Spring Boot, Oracle, Elasticsearch, Hadoop

liczba różnych grup użytkowników (o różnych uprawnieniach): tylko użytkownicy anonimowi


f) Usługi edycji danych (REST) - https://polon.nauka.gov.pl/opi-ws (stan na 2018-09-24)

szacunkowa liczba unikalnych podstron / formularzy: około 150 metod REST i SOAP

technologia wykonania systemu: Java, Spring, Apache Cxf

liczba różnych grup użytkowników (o różnych uprawnieniach): 134 (te same co w systemie POL-on)


2. ZSUN I / OSF - https://osf.opi.org.pl/app/adm/start.do (stan na 2018-09-24)


technologia wykonania systemu: Java 8, większość systemu w Struts 1.3 + JSP, niektóre nowe fragmenty w JSF2/EJB/CDI + PrimeFaces, WildFly 10, Oracle 12c

liczba różnych grup użytkowników (o różnych uprawnieniach): 35

liczba linii kodu źródłowego: około 4,5mln

3. Polski MOOC – https://www.polskimooc.pl (stan na 2018-09-24)

szacunkowa liczba unikalnych podstron / formularzy: 15 (jeśli przez unikalną rozumiemy unikalny typ)

technologia wykonania systemu: Open Edx, Python

liczba różnych grup użytkowników (o różnych uprawnieniach): 4 (Gość, Zarejestrowany student, Zarejestrowany członek kadry kursy, Administrator)

liczba linii kodu źródłowego: Trudne do oszacowania (197 573 pliki / 4,3 GB)

4. POL-on - https://polon.nauka.gov.pl/ (stan na 2018-09-24)


technologia wykonania systemu: Java, Jsf (Richfaces), Angular (Dart), Hibernate, Jdbc, Spring, Spring Web Flow, Oracle



5. ORPPD - https://polon.nauka.gov.pl/orpd/login (stan na 2018-09-24)


technologia wykonania systemu: Java, Spring, ElasticSearch, JSP + Java Script, MongoDB



6. PBN - https://pbn.nauka.gov.pl/ (stan na 2018-09-24)


19

https://pbn.nauka.gov.pl/

https://polon.nauka.gov.pl/orpd/login

https://polon.nauka.gov.pl/

https://www.polskimooc.pl/

https://osf.opi.org.pl/app/adm/start.do

https://polon.nauka.gov.pl/opi-ws/

technologia wykonania systemu: Java (JSF/Spring/Primefaces) + Javascript, Java EE (Spring) + Freemaker + Javascript, Java EE (JSP)

Bazy danych: Mongo, Postgresqlliczba różnych grup użytkowników (o różnych uprawnieniach): 7

liczba linii kodu źródłowego: 250 tyś. linii kodu Java + 75 tyś. Javascript + 250 tyś. pozostałych

7. JSA (stan na 2018-09-24)

a. Frontend aplikacji


technologia wykonania systemu: Angular, Typescript


liczba linii kodu źródłowego:42 000

b. Backend aplikacji

technologia wykonania systemu: Java, Scala, Elasticsearch, Postgres, MongoDB, Spring, Spring Boot, ActiveMQ, Wildfly



Docelowe adresy URL zostaną podane po podpisaniu umowy.

5. Wymagania w zakresie dokumentów dostarczonych w związku z wykonanymi usługami

W wyniku realizacji prac, opisanych w punkcie 3 Wykonawca dostarczy, następujące produkty: a) raport po każdym zrealizowany etapie z przeprowadzonego audytu bezpieczeństwa

systemów, który zawierać będzie: zakres, metodykę i opis przeprowadzonych prac, opis przyjętego modelu oceny luk i podatności, listę wykrytych podatności i zagrożeń bezpieczeństwa, w poszczególnych warstwach

wskazanych w pkt 1 części opisującej przedmiot zamówienia, w tym szczegółowy opis wykrytych luk i podatności, klasyfikację poziomu wykrytych luk i podatności, szczegółowe zalecenia, dotyczące usunięcia zidentyfikowanych zagrożeń, analizę wykrytych ryzyk pod kątem bezpieczeństwa informacji, opis sposobu weryfikacji istnienia wykrytych luk i podatności.

listę dodatkowych zaleceń wynikających z możliwych do zastosowania mechanizmów bezpieczeństwa.

b) raport oceny dokumentacji eksploatacyjnej systemów informatycznych wraz z rekomendacjami,

c) informację na temat narzędzi audytowych potrzebnych do realizacji wewnętrznych audytów bezpieczeństwa,

20

6. Miejsce realizacji zamówienia

Czynności audytu będą wykonywane w siedzibie Zamawiającego lub w miejscach przez niego wskazanych. Zadania Wykonawcy w zakresie opracowania niezbędnej dokumentacji będą realizowane w siedzibie Wykonawcy.

21


OŚWIADCZENIE WYKONAWCY DOTYCZĄCE SPEŁNIANIA WARUNKÓW UDZIAŁU W POSTĘPOWANIU

składane na podstawie art. 25a ust. 1 ustawy z dnia 29 stycznia 2004 r. Prawo zamówień publicznych (dalej jako: ustawa Pzp),

..........................................................................................................................................................(nazwa i siedziba Wykonawcy)

Na potrzeby postępowania o udzielenie zamówienia publicznego pn. wykonanie usługi audytu bezpieczeństwa systemów teleinformatycznych w OPI PIB (znak sprawy: audyt-300-2018), prowadzonego przez Ośrodek Przetwarzania Informacji - Państwowy Instytut Badawczy, oświadczam, co następuje:

INFORMACJA DOTYCZĄCA WYKONAWCY:

Oświadczam, że spełniam warunki udziału w postępowaniu określone przez Zamawiającego w pkt 6 SIWZ.

........................................... dn. ........................ ..................................................................... (miejscowość) podpis Wykonawcy1 lub upełnomocnionego

przedstawiciela (przedstawicieli) Wykonawcy

INFORMACJA W ZWIĄZKU Z POLEGANIEM NA ZASOBACH INNYCH PODMIOTÓW:

Oświadczam, że w celu wykazania spełniania warunków udziału w postępowaniu, określonych przez Zamawiającego w pkt 6 SIWZ polegam na zasobach następującego/ych podmiotu/ów:

………………….........................................................…………………………………………………………………………..………

w następującym zakresie: …………………………………………………………………………………………………….…………….. (wskazać podmiot i określić odpowiedni zakres dla wskazanego podmiotu).

........................................... dn. ........................ ..................................................................... (miejscowość) podpis Wykonawcy lub upełnomocnionego przedstawiciela (przedstawicieli) Wykonawcy

1 w przypadku Wykonawców występujących wspólnie składa każdy z Wykonawców, w zakresie, w którym każdy z Wykonawców wykazuje spełnianie warunków udziału w postępowaniu

OŚWIADCZENIE DOTYCZĄCE PODANYCH INFORMACJI:

Oświadczam, że wszystkie informacje podane w powyższych oświadczeniach są aktualne i zgodne z prawdą oraz zostały przedstawione z pełną świadomością konsekwencji wprowadzenia Zamawiającego w błąd przy przedstawianiu informacji.

........................................... dn. ........................ ..................................................................... (miejscowość) podpis Wykonawcy lub upełnomocnionego przedstawiciela (przedstawicieli) Wykonawcy

23


OŚWIADCZENIE WYKONAWCY DOTYCZĄCE PRZESŁANEK WYKLUCZENIA Z POSTĘPOWANIA

składane na podstawie art. 25a ust. 1 ustawy z dnia 29 stycznia 2004 r. Prawo zamówień publicznych (dalej jako: ustawa Pzp),

..........................................................................................................................................................(nazwa i siedziba Wykonawcy)

Na potrzeby postępowania o udzielenie zamówienia publicznego pn. wykonanie usługi audytu bezpieczeństwa systemów teleinformatycznych w OPI PIB (znak sprawy: audyt-300-2018), prowadzonego przez Ośrodek Przetwarzania Informacji - Państwowy Instytut Badawczy, oświadczam, co następuje:

OŚWIADCZENIE DOTYCZĄCE WYKONAWCY:

1) Oświadczam, że nie podlegam wykluczeniu z postępowania na podstawie art. 24 ust 1 pkt 12-23 ustawy Pzp.

2) Oświadczam, że nie podlegam wykluczeniu z postępowania na podstawie art. 24 ust. 5 pkt 1 ustawy Pzp.

........................................... dn. ........................ ..................................................................... (miejscowość) podpis Wykonawcy2 lub upełnomocnionego


Oświadczam, że zachodzą w stosunku do mnie podstawy wykluczenia z postępowania na podstawie art. …………………….……. ustawy Pzp (podać mającą zastosowanie podstawę wykluczenia spośród wymienionych w art. 24 ust. 1 pkt 13-14, 16-20 lub art. 24 ust. 5 pkt 1 ustawy Pzp). Jednocześnie oświadczam, że w związku z ww. okolicznością, na podstawie art. 24 ust. 8 ustawy Pzp podjąłem następujące środki naprawcze:

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………..…………………...........…………………………………………………

........................................... dn. ........................ ................................................................. (miejscowość) podpis Wykonawcy lub upełnomocnionego


2 w przypadku Wykonawców występujących wspólnie składa każdy z Wykonawców

24

OŚWIADCZENIE DOTYCZĄCE PODMIOTU, NA KTÓREGO ZASOBY POWOŁUJE SIĘ WYKONAWCA:

Oświadczam, że w stosunku do następującego/ych podmiotu/tów, na którego/ych zasoby powołuję się w niniejszym postępowaniu, tj.: …….………………………………………………………………………………………………. (podać pełną nazwę/firmę, adres, a także w zależności od podmiotu: NIP/PESEL, KRS/CEiDG) nie zachodzą podstawy wykluczenia z postępowania o udzielenie zamówienia.



OŚWIADCZENIE DOTYCZĄCE PODANYCH INFORMACJI:

Oświadczam, że wszystkie informacje podane w powyższych oświadczeniach są aktualne i zgodne z prawdą oraz zostały przedstawione z pełną świadomością konsekwencji wprowadzenia Zamawiającego w błąd przy przedstawianiu informacji.



25

ZAŁĄCZNIK NR 4 DO SIWZFORMULARZ OFERTY

……………………………………………………………………………………………………………………………………………………..

………………………………………………………………………………………………………………………………………………………(nazwa (firma) dokładny adres oraz NIP Wykonawcy/Wykonawców);

w przypadku składania oferty przez podmioty występujące wspólnie podać nazwy (firmy), dokładne adresy i NIP-y wszystkich podmiotów składających wspólną ofertę)

Składając ofertę w postępowaniu o udzielenie zamówienia publicznego prowadzonym w trybie przetargu nieograniczonego na wykonanie usługi audytu bezpieczeństwa systemów teleinformatycznych w OPI PIB (znak sprawy: audyt-300-2018), oświadczamy:

1. OFERUJEMY wykonanie przedmiotu zamówienia w zakresie objętym SIWZ za:

L.p. Przedmiot zamówieniaWartość

brutto (zł)

1 2 3

1. Etap I – ZSUN II

2. Etap II – ZSUN I/OSF

3. Etap III – Polski MOOC, POL-on, ORPPD, PBN, JSA

4. Etap IV – testów kontrolnych

Wartość łącznie

Wartość oferty słownie: ………………………………………………………………………………………………………..

2. OŚWIADCZAMY, że sposób reprezentacji spółki / konsorcjum* dla potrzeb niniejszego zamówienia jest następujący: ……………………………………………………………………………………………………

..................................................................................................................................................

.(Wypełniają jedynie przedsiębiorcy składający wspólną ofertę: spółki cywilne lub konsorcja)

3. OŚWIADCZAMY, że zobowiązujemy się do realizowania przedmiotu zamówienia w terminie zgodnie z pkt 4 SIWZ.

26

2. OŚWIADCZAMY, że wypełniliśmy obowiązki informacyjne przewidziane w art. 13 lub art. 14 RODO 3 wobec osób fizycznych, od których dane osobowe bezpośrednio lub pośrednio pozyskaliśmy w celu ubiegania się o udzielenie zamówienia publicznego w niniejszym postępowaniu.

W przypadku, gdy Wykonawca nie przekazuje danych osobowych innych niż bezpośrednio jego dotyczących lub zachodzi wyłączenie stosowania obowiązku informacyjnego, stosownie do art. 13 ust. 4 lub art. 14 ust. 5 RODO treści oświadczenia Wykonawca nie składa (usunięcie treści oświadczenia np. przez jego wykreślenie).

4. OŚWIADCZAMY, że zapoznaliśmy się z SIWZ, wszystkimi zmianami oraz wyjaśnieniami SIWZ, dokonanymi przed terminem składania ofert i uznajemy się za związanych określonymi w niej postanowieniami i zasadami postępowania.

5. OŚWIADCZAMY, że zapoznaliśmy się z wzorem umowy, który stanowi załącznik nr 7 do SIWZ i zobowiązujemy się w przypadku wyboru naszej oferty do zawarcia umowy w siedzibie Zamawiającego, w terminie przez niego wyznaczonym.

6. UWAŻAMY się za związanych niniejszą ofertą na czas wskazany w SIWZ, czyli przez okres 30 dni od upływu terminu składania ofert.

7. ZAMÓWIENIE zamierzamy zrealizować sami/ z udziałem Podwykonawców4: (wskazać nazwę Podwykonawcy/ Podwykonawców): …………………………………………………………………………, przy realizacji następującego zakresu:……………………………………………………………….…………………………………

8. OŚWIADCZAM, że jako Wykonawca jestem małym/ średnim przedsiębiorcą:

TAK NIE

Zgodnie z definicją zawartą w zaleceniu Komisji Europejskiej z dnia 6 maja 2003 r. dotyczącym definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw (Dz. Urz. UE L 124 z 20.5.2003, str. 36), małe przedsiębiorstwo to przedsiębiorstwo, które zatrudnia mniej niż 50 osób i którego roczny obrót lub roczna suma bilansowa nie przekracza 10 mln EUR, zaś średnie przedsiębiorstwa to przedsiębiorstwa, które nie są mikroprzedsiębiorstwami ani małymi przedsiębiorstwami i które zatrudniają mniej niż 250 osób i których roczny obrót nie przekracza 50 mln EUR lub roczna suma bilansowa nie przekracza 43 mln EUR.

9. Wszelką korespondencję w sprawie niniejszego postępowania należy kierować na nasz adres:

............................................................................................................................................................

nr tel.: ......................................., fax.: ...................................., e-mail : ………………..………………………..

10. OFERTĘ niniejszą składamy na ................. kolejno ponumerowanych stronach.

11. ZAŁĄCZNIKAMI do niniejszej oferty, stanowiącymi jej integralną część są:

1.............................................................................................

2.............................................................................................

3.............................................................................................

................................ dn. ........................ ..................................................................................... podpis Wykonawcy5 lub upełnomocnionego


3 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1). 4 niepotrzebne skreślić5 w przypadku Wykonawców występujących wspólnie podpisuje pełnomocnik

27


(pieczęć Wykonawcy)

WYKAZ WYKONANYCH USŁUG

Składając ofertę w postępowaniu o udzielenie zamówienia publicznego prowadzonym w trybie przetargu nieograniczonego na wykonanie usługi audytu bezpieczeństwa systemów teleinformatycznych w OPI PIB (znak sprawy: audyt-300-2018) oświadczamy, że wykonaliśmy/wykonujemy następujące zamówienia:

L.P.

Przedmiot zamówienia(opis pozwalający na ocenę

spełnienia warunku udziału w postępowaniu określonego w pkt

6.1.1 SIWZ)

Wartośćzamówienia

Data wykonaniaODBIORCY

(nazwa i adres Zamawiającego)

1 2 3 4 5

1.

2.

3.

Załączamy dokumenty zgodnie z wymogiem zawartym w pkt 8.7.2. SIWZ

.................................. dn. ........................... . .................................................. podpis Wykonawcy6 lub upełnomocnionego przedstawiciela (przedstawicieli) Wykonawcy

6 w przypadku Wykonawców występujących wspólnie podpisuje pełnomocnik

28


(pieczęć Wykonawcy) 7

WYKAZ OSÓB

Składając ofertę w postępowaniu o udzielenie zamówienia publicznego, prowadzonym w trybie przetargu nieograniczonego na wykonanie usługi audytu bezpieczeństwa systemów teleinformatycznych w OPI PIB (znak sprawy: audyt-300-2018), oświadczamy, że do realizacji zamówienia skierujemy następujące osoby:

Nazwisko i imięZakres

wykonywanych czynności

Kwalifikacje zawodowe, uprawnienia i doświadczenie

Podstawa dysponowania

osobą1. 2. 3. 4.

a) posiada wykształcenie wyższe techniczne,b)posiada co najmniej 5 letnie doświadczenie w realizacji audytów bezpieczeństwa systemów teleinformatycznych określonych przedmiotem zamówienia,c)wykonała co najmniej 3 audyty systemów teleinformatycznych, w tym co najmniej 1 audyt w sposób hybrydowy tj. automatycznie i manualnie, przy czym wartość poszczególnego audytu wynosiła co najmniej 200 000 złotych:1) ……………………………………………2) ……………………………………………..3) ……………………………………………d) posiada aktualny certyfikat Certified Information Systems Auditor (CISA) wydany przez ISACA lub równoważny,…………………………………………………….a) posiada wykształcenie wyższe techniczne,b)posiada co najmniej 5 letnie doświadczenie w realizacji audytów bezpieczeństwa systemów teleinformatycznych określonych przedmiotem zamówienia,c)wykonała co najmniej 3 audyty systemów teleinformatycznych, w tym co najmniej 1 audyt w sposób hybrydowy tj. automatycznie i manualnie, przy czym wartość poszczególnego audytu wynosiła co najmniej 200 000 złotych:1) ……………………………………………2) ……………………………………………..3) ……………………………………………d) posiada aktualny certyfikat Certified Information Security Professional (CISSP) wydany przez ISC2 lub równoważny,…………………………………………………….a) posiada wykształcenie wyższe techniczne,b)posiada co najmniej 5 letnie doświadczenie w realizacji audytów bezpieczeństwa systemów teleinformatycznych określonych przedmiotem zamówienia,c)wykonała co najmniej 3 audyty systemów teleinformatycznych, w tym co najmniej 1 audyt w sposób hybrydowy tj. automatycznie i manualnie, przy czym wartość poszczególnego audytu wynosiła co najmniej 200 000 złotych:

7 w przypadku Wykonawców występujących wspólnie pieczęć pełnomocnika

29

1) ……………………………………………2) ……………………………………………..3) ……………………………………………d) posiada aktualny certyfikat Offensive Security Certified Professional (OSCP) lub równoważny,…………………………………………………….a) posiada wykształcenie wyższe techniczne,b)posiada co najmniej 5 letnie doświadczenie w realizacji audytów bezpieczeństwa systemów teleinformatycznych określonych przedmiotem zamówienia,c)wykonała co najmniej 3 audyty systemów teleinformatycznych, w tym co najmniej 1 audyt w sposób hybrydowy tj. automatycznie i manualnie, przy czym wartość poszczególnego audytu wynosiła co najmniej 200 000 złotych:1) ……………………………………………2) ……………………………………………..3) ……………………………………………d) posiada aktualny certyfikat Certified Ethical Hacker (CEH) lub równoważny,…………………………………………………….a) posiada wykształcenie wyższe techniczne,b)posiada co najmniej 5 letnie doświadczenie w realizacji audytów bezpieczeństwa systemów teleinformatycznych określonych przedmiotem zamówienia,c)wykonała co najmniej 3 audyty systemów teleinformatycznych, w tym co najmniej 1 audyt w sposób hybrydowy tj. automatycznie i manualnie, przy czym wartość poszczególnego audytu wynosiła co najmniej 200 000 złotych:1) ……………………………………………2) ……………………………………………..3) ……………………………………………d) posiada aktualny certyfikat GIAC Exploit Researcher and Advanced Penetration Tester (GXPN) lub równoważny.…………………………………………………….

W rubryce „kwalifikacje zawodowe i doświadczenie” należy podać informacje pozwalające stwierdzić czy Wykonawca spełnia warunek określony w pkt 6.1.2 i 6.1.3 SIWZ.

.................................. dn. ............................ .................................................. podpis Wykonawcy8 lub upełnomocnionego przedstawiciela (przedstawicieli) Wykonawcy

8 w przypadku Wykonawców występujących wspólnie podpisuje pełnomocnik

30


WZÓR UMOWY

(Umowa Nr …......... / 2018)

zawarta w Warszawie, dnia ………………. 2018 r. pomiędzy:

Ośrodkiem Przetwarzania Informacji – Państwowym Instytutem Badawczym, z siedzibą w Warszawie (00-608), przy al. Niepodległości 188b, wpisanym do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000127372, NIP: 525-000-91-40, REGON: 006746090, reprezentowanym przez ………………………………………..

zwanym „Zamawiający”a………………………………………reprezentowanym/ą przez: …………………………….zwaną „Wykonawca”łącznie zwanymi dalej „Stronami”o następującej treści:Niniejsza umowa zawarta jest w wyniku postępowania o udzielenie zamówienia publicznego o symbolu: ……………. prowadzonego w trybie przetargu nieograniczonego na zasadach określonych w ustawie z dnia 29 stycznia 2004 Prawo zamówień publicznych (Dz. U. z 2017 r., poz. 1579 z późn. zm.), dalej „Pzp” oraz zgodnie z ofertą Wykonawcy z dnia…………

§ 1 Przedmiot umowy1. Przedmiotem niniejszej Umowy jest świadczenie usługi audytu w zakresie bezpieczeństwa

systemów teleinformatycznych i sieci informatycznej Zamawiającego, w tym przeprowadzenie testów penetracyjnych, wskazanie podatności i słabości audytowanych systemów teleinformatycznych, sieci i środowiska informatycznego, w którym funkcjonują oraz opracowanie raportu.

2. Przedmiot Umowy będzie realizowany przez Wykonawcę w języku polskim.3. Szczegółowy opis Przedmiotu Umowy, w tym etapy jego realizacji, zakres wykonywanych

czynności w ramach poszczególnych etapów, wykaz audytowanych systemów oraz produkty które powinny powstać powstałe w wyniku audytu i w związku z jego wykonywaniem określone zostały w opisie przedmiotu zamówienia (OPZ) stanowiącym załącznik nr 1.

4. Przedmiot umowy będzie realizowany w 4 (czterech) Etapach. Zakres poszczególnych Etapów określa załącznik nr 1. Na potrzeby Umowy nazwy etapów określone w OPZ oznacza się odpowiednio, jako Etapy od I- IV.

§ 2 Zasady współpracy1. Strony Umowy zobowiązują się do pełnej współpracy w ramach realizowanej Umowy, opartej na

wzajemnym zaufaniu.2. W związku z intencją Stron, Wykonawca zobowiązuje się świadczyć usługi objęte Umową z

należytą starannością, wymaganą od profesjonalisty przy świadczeniu usług tego rodzaju, zgodnie z obowiązującymi przepisami prawa, zobowiązując się w szczególności do składania wszelkich wyjaśnień w odpowiedzi na składane zapytania przez Zamawiającego w trakcie realizacji zlecenia.

31

3. W trakcie prac Strony mogą korespondować i przekazywać informacje za pomocą poczty elektronicznej w sposób określony w § 13 ust. 1.

4. Zamawiający, w każdym czasie ma prawo do zgłaszania uwag, poprawek, zaleceń i modyfikacji w zakresie Przedmiotu Umowy, w szczególności dotyczących jakości świadczonych usługi, które Wykonawca zobowiązany będzie uwzględniać i zastosować w ramach Umowy.

5. Wykonawca jest zobowiązany w terminie 3 dni od zawarcia Umowy do przedstawienia Zamawiającemu planu realizacji Przedmiotu umowy (wykonanie poszczególnych Etapów), uwzględniając jednocześnie terminy wskazane przez Zamawiającego na realizację poszczególnych Etapów określone w § 4. Z wyłączeniem Etapu I i Etapu II, istnieje możliwość korekty planów realizacji o czym Wykonawca powinien poinformować Zamawiającego najpóźniej na 5 dni przed rozpoczęciem kolejnego Etapu. Korekta planów nie może wpływać na ostateczny termin zakończenia danego etapu.

6. Czynności audytowe zostaną wykonane w oparciu o przedstawioną przez Wykonawcę metodykę przyjętą i powszechnie stosowaną dla tego rodzaju usług, wskazaną przez Wykonawcę w ofercie.

7. Czynności audytowe w zakresie w jakim będą prowadzone w siedzibie Zamawiającego przy Al. Niepodległości 188b i 186 w Warszawie, będą realizowane w dni robocze od poniedziałku do piątku w godz. 8:00 – 16:00. Strony mogą ustalać indywidualny czas wykonywania czynności audytowych inny niż określony w zdaniu poprzednim.

8. Wykonawca zobowiązuje się wykonać Usługę, zgodnie z obowiązującymi przepisami prawa, treścią i celem Umowy, przy zachowaniu najwyższej staranności, uwzględniając zawodowy charakter prowadzonej działalności, zgodnie z zasadami współczesnej wiedzy, w szczególności wiedzy technicznej, zarządczej i prawnej dotyczącej przedmiotu umowy, stosowanymi normami i metodami prowadzenia audytów w tym obszarze.

9. W przypadku wykonywania czynności, które mogą wpłynąć na pracę audytowanych systemów lub innych systemów i sieci Zamawiającego, Wykonawca zgłosi taki fakt na przynajmniej 2 dni robocze przed planowanym terminem prac, celem uzyskania akceptacji Zamawiającego.

10. Przy wykonywaniu Umowy, Wykonawca zobowiązuje się przestrzegać odpowiedniej organizacji prac związanych z realizacją Umowy tak, aby zapewnić jej terminowe wykonanie oraz delegować do prac osoby posiadające niezbędne uprawnienia i kwalifikacje, zgodnie ze złożoną ofertą.

11. W przypadku powierzenia wykonania części Przedmiotu Umowy podwykonawcom, Wykonawca odpowiada za czynności wykonane przez podwykonawców oraz ich personel jak za działania i zaniechania własne. Wykonawca nie może bez uprzedniej pisemnej zgody Zamawiającego powierzyć podwykonawcom wykonania całości lub części prac określonych Umową.

12. Wykonawca, jego podwykonawcy oraz personel, odpowiedzialni za realizację obowiązków wynikających z Umowy zobowiązani są do przestrzegania wszystkich wewnętrznych przepisów, postanowień, regulaminów i zasad organizacyjnych i porządkowych obowiązujących w siedzibie Zamawiającego.

13. Przedmiot Umowy będzie wykonany przez osoby wskazane w Ofercie Wykonawcy. Wykonawca odpowiada na zasadzie ryzyka za dobór osób do zespołu audytowego z uwzględnieniem ich kwalifikacji i doświadczenia, niezbędnych do wykonania Przedmiotu Umowy określonych w OPZ.

14. Zmiana osób wskazanych w Ofercie Wykonawcy może nastąpić jedynie za uprzednią pisemną zgodą Zamawiającego, przy czym osoby zastępujące osoby zmieniane będą musiały posiadać kwalifikacje i doświadczenie nie mniejsze niż określone w OPZ dla członków zespołu audytowego. Na potwierdzenie tego faktu Wykonawca przedłoży stosowne oświadczenia/ dokumenty potwierdzające posiadanie kwalifikacji przez osoby działające w zastępstwie w wykonywaniu przedmiotu umowy.

15. Wykonawca ponosi pełną odpowiedzialność za nadzór nad zespołem audytowym i jego pracami.16. Warunkiem przystąpienia przez Wykonawcę do realizacji Umowy jest złożenie przez osoby

wyznaczone przez niego do realizacji Umowy oświadczenia o bezstronności, niezależności oraz poufności, stanowiącego załącznik nr 2 do Umowy.

32

17. Wykonawca będzie informował każdorazowo Zamawiającego o dacie rozpoczęcia czynności audytowych w siedzibie Zamawiającego w terminie nie krótszym niż 2 dni robocze przed ich rozpoczęciem.

18. Po każdym Etapie Wykonawca zobowiązany będzie do sporządzenia raportu i przedstawienia jego treści oraz produktów określonych w OPZ dla danego Etapu Zamawiającemu. Dokumentacja w zakresie określonym w zdaniu poprzednim zostanie dostarczona Zamawiającemu w formie pisemnej z podpisem Wykonawcy oraz na nośniku cyfrowym w wersji PDF oraz Word (edytowalnej).

19. Zamawiający ma 5 dni na weryfikację otrzymanych materiałów. Weryfikacja Zamawiającego rozpocznie się w momencie dostarczenia przez Wykonawcę kompletu materiałów.

20. Niezgłoszenie uwag i zastrzeżeń, w terminie o którym mowa w ust. 19, oznacza wykonanie Etapu i uprawnia Strony do podpisania Protokołu Odbioru Częściowego, a w przypadku gdy jest to ostatni etap Przedmiotu Umowy do podpisania Protokołu Odbioru Końcowego.

21. Zamawiający zastrzega sobie prawo monitorowania staranności realizacji Przedmiotu Umowy przez upoważnionego przedstawiciela Zamawiającego na każdym jej etapie. Celem kontroli będzie potwierdzenie realizacji Przedmiotu Umowy zgodnie ze złożoną Ofertą Wykonawcy oraz Umową.

§ 3 Prawa i obowiązki stron1. Wykonawca wykorzystując swoje doświadczenie i wiedzę, zobowiązuje się do realizacji prac

zgodnie z przedmiotem i warunkami niniejszej Umowy. W szczególności:a) Wykonawca przypisze do realizacji Umowy odpowiednio wykwalifikowanych konsultantów,b) Wykonawca wyznaczy kierunek prac w całym przedsięwzięciu, jak i w poszczególnych jego

etapach oraz będzie koordynował działania podejmowane w ramach wykonania Umowy, w szczególności Wykonawca zobowiązuje się na bieżąco informować Zamawiającego o zakresie koniecznych do wykonania usługi danych, informacji i dokumentów,

c) Wykonawca będzie nadzorował cały proces realizacji Przedmiotu Umowy i raportował do Koordynatora Projektu ze strony Zamawiającego o zdarzeniach, które mogą zakłócić wykonanie przedmiotu Umowy,

d) Wykonawca powołuje stanowisko Kierownika Projektu nadzorującego całość prac objętych niniejszą Umową ze strony Wykonawcy,

2. Zamawiający na potrzeby realizacji Przedmiotu Umowy wskazuje Koordynatora Projektu koordynującego prace objęte niniejszą Umową ze strony Zamawiającego.

3. Koordynator Projektu odpowiada za organizację pracy po stronie Zamawiającego, w tym w szczególności za sprawne przekazywanie dokumentów i informacji, zapewnienie dostępu do systemów teleinformatycznych, infrastruktury informatycznej, organizację spotkań, możliwość prowadzenia wizji lokalnych, dostępność osób wskazanych przez Wykonawcę.

4. Zamawiający zapewni konsultantom Wykonawcy niezbędną pomoc w zakresie realizacji Przedmiotu Umowy, w szczególności terminowe, kompletne i adekwatne dostarczanie niezbędnych do wykonania Umowy informacji, dokumentów, dostęp do systemów teleinformatycznych, zasobów, pomieszczeń oraz zapewni wymagane uczestnictwo osób, zgodnie ze wskazaniami zgłoszonymi przez konsultantów Wykonawcy.

5. Zamawiający zapewni terminowe wywiązywanie się swoich pracowników biorących udział w pracach, z zadań wyznaczonych wspólnie przez Koordynatora Projektu, Konsultantów Wykonawcy oraz Kierownika Projektu.

6. Zamawiający gwarantuje, iż informacje, o które zwróci się Wykonawca w ramach stosowanych narzędzi audytowych i w tym celu udostępniane przez pracowników Zamawiającego lub podmioty trzecie współpracujące z Zamawiającym są rzetelne, dokładne, zgodne z prawdą i niewprowadzające w błąd w żadnym istotnym aspekcie.

7. Konsultantom Wykonawcy towarzyszyć będą osoby wyznaczone przez Zamawiającego.8. Wykonawca będzie współdziałać z Zamawiającym przy tworzeniu i realizacji szczegółowych

harmonogramów warunkujących wykonanie poszczególnych Etapów Przedmiotu Umowy, z tym

33

zastrzeżeniem, że zakres prac przewidziany na poszczególne Etapy musi być wykonany zawsze w terminie przewidzianym dla danego etapu.

9. Zamawiający w razie potrzeby, w miarę swoich możliwości, udostępni Wykonawcy na czas wykonywania prac pomieszczenia biurowe, w celu realizacji Przedmiotu Umowy w siedzibie Zamawiającego.

§ 4 Terminy1. Przedmiot Umowy będzie wykonywany w etapach, dla których wykonania Zamawiający

przewiduje następujące terminy realizacji:a) Etap 1 w terminie do 8 tygodni od dnia zawarcia Umowy , w sposób określony w ust. 2,b) Etap 2 w terminie do 14 tygodni od dnia zawarcia Umowy, w sposób określony w ust.2,c) Etap 3 w terminie do 23 tygodni od dnia zawarcia Umowy, w sposób określony w ust.2,d) Etap 4 w terminie do 23 tygodni od dnia zawarcia Umowy, w sposób określony w ust.2,

2. Wykonawca przystąpi do rozpoczęcia realizacji prac objętych przedmiotem Umowy w ciągu 3 dni od daty zawarcia Umowy.

3. Szczegółowe terminy realizacji poszczególnych działań w ramach etapów ustalane są wspólnie przez Kierownika Projektu i Koordynatora po stronie Zamawiającego. Szczegółowe harmonogramy muszą się mieścić w terminach wskazanych w ust. 1.

4. W przypadku opóźnień w realizacji Przedmiotu Umowy z przyczyn leżących po stronie Zamawiającego, terminy realizacji usług, w tym dostarczenia kontraktowych wyników prac mogą ulec przedłużeniu o czas trwania opóźnień na podstawie decyzji Wykonawcy.

5. W przypadku opóźnień w realizacji Przedmiotu Umowy z przyczyn zawinionych przez Wykonawcę, Zamawiający ma prawo, po pisemnym wyznaczeniu dodatkowego terminu i nie dotrzymaniu go przez Wykonawcę, odstąpić od Umowy w całości lub w części.

6. W przypadku opóźnień w realizacji Przedmiotu Umowy z przyczyn zawinionych przez Zamawiającego, Wykonawca ma prawo, po pisemnym wyznaczeniu dodatkowego odpowiedniego terminu i niedotrzymaniu go przez Zamawiającego, odstąpić od Umowy w całości lub części.

7. Całkowite wykonanie Przedmiotu umowy, nastąpi nie później niż do upływu 23 tygodni od daty zawarcia Umowy. Termin, o którym mowa w zdaniu poprzednim zostanie zachowany, jeżeli Wykonawca do tego dnia wykona prawidłowo Przedmiot umowy i Strony podpiszą Protokół Odbioru Końcowego bez zastrzeżeń.

§ 5 Zobowiązanie do poufności1. Wykonawca zobowiązuje się zachować w tajemnicy i nie ujawniać ani nie wykorzystywać bez

pisemnej zgody Zamawiającego żadnych informacji uzyskanych od Zamawiającego otrzymanych: ustnie, w formie dokumentu, pliku komputerowego i na innych nośnikach informacji, w szczególności o Zamawiającym i podmiotach z nim współpracujących. Obowiązek określony w zdaniu pierwszym dot. w szczególności informacji pozyskanych w trakcie czynności audytowych, informacji technicznych, technologicznych, organizacyjnych, personalnych, pracowniczych, nie wyłączając wszelkich innych informacji na temat Zamawiającego, pozyskanych w związku z wykonywaniem Umowy.

2. Wykonawcy nie wolno bez uprzedniej zgody Zamawiającego wyrażonej na piśmie udostępniać osobom trzecim żadnych informacji i materiałów dostarczonych przez Zamawiającego, powstałych we współpracy z Zamawiającym lub wykonanych samodzielnie przez Wykonawcę na rzecz Zamawiającego podczas wykonywania Umowy.

3. Wykonawcy nie wolno w sposób nieuprawniony wejść do zasobów danych Zamawiającego (nie dotyczy testów penetracyjnych black box wykonywanych w ramach czynności audytowych). Zabronione jest również udostępnienie i wykonywanie jakichkolwiek kopii danych i informacji o Zamawiającym bez jego wiedzy i pisemnej zgody.

4. Wykonawca po zakończeniu realizacji Umowy ma obowiązek zwrócić Zamawiającemu w ciągu 14 dni, nie pozostawiając sobie żadnych kopii wszelkie dokumenty, pliki, materiały w posiadanie, których wszedł wykonując Umowę. Wykonawca ma również obowiązek usunięcia,

34

bez prawa do pozostawiania sobie kopii, powyższych materiałów zapisanych w postaci elektronicznej na dowolnych nośnikach.

5. Wykonawca ma obowiązek pouczyć swoich pracowników, a także wszelkie osoby związane z działalnością Wykonawcy na podstawie umowy o pracę, powołania lub umowy cywilnoprawnej, które mają dostęp do danych Zamawiającego o zobowiązaniach wobec Zamawiającego wynikających z powyższych postanowień. Wykonawca odpowiada za naruszenia osób określonych powyżej jak za swoje własne. Wykonawca zobowiązany jest do zabezpieczenia posiadanych dokumentów, a także jakichkolwiek nośników informacji na których znajdują się dane Zamawiającego przed dostępem osób postronnych i przed kradzieżą.

6. Obowiązek zachowania poufności informacji obowiązuje Wykonawcę przez cały okres współpracy z Zamawiającym oraz przez okres 5 lat po zakończeniu tej współpracy, liczonych od dnia podpisania Protokołu Odbioru Końcowego, bez zastrzeżeń. Zamawiający może zwolnić Wykonawcę z obowiązku zachowania poufności przed upływem tego okresu składając stosowane oświadczenie w tym zakresie w formie pisemnej.

7. Odstępstwo od zasady zachowania w poufności pozyskanych informacji, o których mowa w ust. 1 jest dozwolone jedynie w przypadku żądania ich przez uprawnione organy, działające na podstawie obowiązujących przepisów prawa.

8. W przypadku naruszenia przez Wykonawcę zobowiązań wynikających z zapisów niniejszego paragrafu dotyczących zachowania w poufności informacji, o których mowa w ust. 1, Zamawiający będzie miał prawo do żądania natychmiastowego zaniechania naruszenia i usunięcia jego skutków.

9. Niezależnie od uprawnienia przysługującego Zamawiającemu w ust. 8 w razie naruszenia obowiązków, wynikających z niniejszego paragrafu Wykonawca zapłaci Zamawiającemu karę umowną w wysokości 15 000 zł (słownie: piętnaście tysięcy złotych) za każdy stwierdzony przypadek naruszenia. Jeżeli szkoda poniesiona przez Zamawiającego przewyższy wysokość zastrzeżonej kary, może on dochodzić pozostałej części odszkodowania.

§ 6 Wynagrodzenie i zasady płatności1. Z zastrzeżeniem uprawnień Zamawiającego do potrącenia kar umownych określonych

w Umowie, Zamawiający za prawidłowe wykonanie w całości Przedmiotu Umowy zapłaci Wykonawcy wynagrodzenie łączne w kwocie ………………………… zł brutto (słownie: …………………………………………………………………………………………… złotych brutto).

2. Wynagrodzenie, o którym mowa w ust. 1 będzie płatne w częściach, po prawidłowym wykonaniu każdego z Etapów Przedmiotu Umowy, w następujący sposób:

a) za wykonanie Etapu 1 w kwocie ……….. brutto,b) za wykonanie Etapu 2 w kwocie ……….. brutto,c) za wykonanie Etapu 3 w kwocie ……….. brutto,d) za wykonanie Etapu 4 w kwocie ……….. brutto,

3. Kwoty części wynagrodzenia wskazane w ust. 2 zawierają podatek od towarów i usług zgodny ze stawką obowiązująca w chwili wystawienia faktury.

4. Płatności będą realizowane w ciągu 14 dni od dnia otrzymania prawidłowo wystawionej faktury VAT na rachunek Wykonawcy w nich wskazany. Podstawą wystawienia faktur za poszczególne części wynagrodzenia będzie każdorazowo podpisany przez strony Protokół Odbioru Częściowego bez zastrzeżeń, a w przypadku odbioru etapu 4 Protokół Odbioru Końcowego.

5. Niezapłacenie faktury w terminie określonym w ust. 4 skutkować będzie naliczeniem odsetek ustawowych naliczanych od kwoty tej części wynagrodzenia za którą nastąpiło opóźnienie w płatności.

6. W przypadku odstąpienia od realizacji Umowy na podstawie postanowień § 12 Umowy, Wykonawcy przysługuje prawo do wynagrodzenia w wysokości proporcjonalnej do zakresu wykonanych prac. W takim wypadku Wykonawca przedstawi szczegółowy zakres i wycenę zrealizowanych prac.

35

7. Wykonanie przedmiotu umowy jest finansowane ze środków Unii Europejskiej w ramach Europejskiego Funduszu Rozwoju Regionalnego, Programu Operacyjnego Polska Cyfrowa 2014-2020 oraz z budżetu państwa oraz ze środków OPI PIB.

1.§ 7 Czas trwania umowy

1. Niniejsza Umowa wchodzi w życie z dniem jej zawarcia. Umowa zostaje zawarta z dniem złożenia podpisów przez obie Strony.

2. Umowa zostaje zawarta na czas wykonania przedmiotu Umowy.3. Umowa może zostać natychmiast rozwiązana przez każdą ze Stron w przypadku:

a) rażącego naruszenia postanowień Umowy przez drugą Stronę, b) istotnego utrudniania realizacji Umowy przez pracowników drugiej Strony.

4. Postanowienia § 5 obowiązują przez czas w nich określony po zakończeniu Umowy.

§ 8 Autorskie prawa1. W ramach otrzymanego wynagrodzenia, Wykonawca przenosi na Zamawiającego, autorskie

prawa majątkowe do Utworów powstałych w związku z realizacją Przedmiotu Umowy.2. Przeniesienie autorskich praw majątkowych następuje na wszystkich istniejących w dniu

zawarcia Umowy polach eksploatacji, w szczególności – w zależności od rodzaju utworu – na polach eksploatacji określonych odpowiednio w art. 50 i 74 ustawy o prawie autorskim i prawach pokrewnych, w tym: a) w zakresie utrwalania i zwielokrotniania Utworu – wytwarzanie każdą znaną techniką

egzemplarzy utworu, w tym techniką drukarską, cyfrową, reprograficzną, zapisu magnetycznego,

b) w zakresie obrotu oryginałem oraz egzemplarzami, na których Utwór utrwalono – wprowadzenie do obrotu, użyczenie lub najem oryginału oraz egzemplarzy,

c) w zakresie rozpowszechniania Utworu w sposób inny niż opisany w pkt. b) powyżej – publiczne wykonanie, wystawienie, wyświetlenie, odtworzenie oraz nadawanie i remitowanie, a także publiczne udostępnianie utworu w taki sposób, aby każdy mógł mieć do niego dostęp w miejscu i czasie przez siebie wybranym,

d) modyfikacja Utworu,e) wprowadzanie do pamięci komputera,f) tłumaczenie, przystosowanie modyfikacji oraz dokonywanie innych zmian.

3. Przeniesienie autorskich praw majątkowych do Utworów jak i własność nośników, na których zostały one utrwalone następuje z chwilą wydania Utworów Zamawiającemu.

4. Przeniesienie praw autorskich majątkowych nie będzie w żaden sposób ograniczone czasowo ani terytorialnie.

5. Przeniesienie praw autorskich, obejmuje również przeniesienie prawa do korzystania i rozporządzania opracowaniami Utworów (wykonywania praw zależnych).

6. W przypadku gdyby do powstałego, w ramach wykonywania Przedmiotu Umowy, Utworu powstały autorskie prawa majątkowe wspólne – przysługujące współautorom Utworu, przeniesienie praw autorskich majątkowych zgodnie z postanowieniami niniejszego paragrafu dotyczyć będzie udziału Wykonawcy w tych prawach, z zastrzeżeniem postanowień ust. 7.

7. Wykonawca zobowiązuje się, że najpóźniej z chwilą przekazania Utworu Zamawiającemu, przysługiwać Wykonawcy będzie pełnia praw autorskich majątkowych do Utworu przekazywanego oraz, że będzie posiadał prawa do udzielenia zgód i zezwoleń, o których mowa w ust. 8.

8. Wykonawca z chwilą przekazania Zamawiającemu Utworu, udziela Zamawiającemu zezwolenia na korzystanie z utworu w całości lub w dowolnych fragmentach (częściach) jak również zezwolenia na dokonywanie zmian w treści i formie Utworu oraz na korzystanie z Utworu bez wskazania jego twórcy. Zezwolenia mają charakter bezterminowy i nieodwołalny.

9. Przyjęcie Utworów następuje z chwilą ich przekazania Zamawiającemu.10. Wykonawca zobowiązuje się w imieniu osób fizycznych wykonujących Przedmiot Umowy do

36

niewykonywania przez nie osobistych praw autorskich do utworów powstałych w wyniku realizacji Umowy.

§ 9 Klauzula informacyjna1. Zamawiający oświadcza, iż jest administratorem danych osobowych w rozumieniu

Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej RODO, w odniesieniu do danych osobowych osób fizycznych reprezentujących Wykonawcę oraz osób fizycznych wskazanych przez Wykonawcę jako osoby do kontaktu/ koordynatorzy/ osoby odpowiedzialne za wykonanie niniejszej Umowy.

2. Zamawiający oświadcza, że wyznaczył inspektora ochrony danych, z którym można kontaktować się w sprawach związanych z przetwarzaniem danych osobowych na adres poczty elektronicznej: [email protected]

3. Dane osobowe osób, o których mowa w ust. 1, będą przetwarzane przez Zamawiającego na podstawie art. 6 ust.1 lit. b) RODO jedynie w celu i zakresie niezbędnym do wykonania postanowień niniejszej Umowy w kategorii danych identyfikacyjnych i kontaktowych.

4. Dane osobowe osób, o których mowa w ust. 1, nie będą przekazywane podmiotom trzecim o ile nie będzie się to wiązało z koniecznością wynikającą z realizacji niniejszej Umowy.

5. Dane osobowe osób, o których mowa w ust. 1, będą przetwarzane przez okres 10 lat od końca roku kalendarzowego w którym niniejsza Umowa została wykonana, chyba że niezbędny będzie dłuższy okres przetwarzania np.: z uwagi na obowiązki archiwizacyjne, dochodzenie roszczeń itp.

6. Osobom, o których mowa w ust. 1, przysługuje prawo do żądania od administratora danych dostępu do ich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub wniesienia sprzeciwu wobec ich przetwarzania, a także prawo do przenoszenia danych.

7. Osobom, o których mowa w ust. 1, w związku z przetwarzaniem ich danych osobowych przysługuje prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

8. Podanie danych osobowych, o których mowa w ust. 1, jest wymagane do zawarcia Umowy, odmowa podania danych osobowych skutkuje niemożnością zawarcia i realizacji Umowy. Wniesienie żądania usunięcia lub ograniczenia przetwarzania może skutkować (według wyboru zamawiającego) rozwiązaniem niniejszej Umowy z winy Wykonawcy. Wniesienie przez wyżej opisaną osobę fizyczną żądania jak w zdaniu drugim skutkuje obowiązkiem Wykonawcy niezwłocznego wskazania innej osoby w jej miejsce.

9. Wykonawca zobowiązuje się poinformować osoby fizyczne nie podpisujące niniejszej Umowy, o których mowa w ust. 1, o treści niniejszego paragrafu.

10. Wykonawca zobowiązany jest do zawarcia z Zamawiającym umowy powierzenia przetwarzania danych w brzmieniu określonym w załączniku nr 3 do Umowy w przypadku zaistnienia konieczności dostępu Wykonawcy, w trakcie realizacji Umowy, do danych osobowych Zamawiającego. Strony zobowiązują się zawrzeć ww. umowę przed uzyskaniem przez Wykonawcę dostępu do danych osobowych, o których mowa powyżej.

§ 10 Rozstrzygnięcie sporówSpory związane z wykonaniem Umowy, a nie rozwiązane przez Strony na drodze ugodowej, będą rozstrzygane przez sąd powszechny właściwy miejscowo dla siedziby Zamawiającego.

§ 11 Odpowiedzialność1. Wykonawca ponosi względem Zamawiającego odpowiedzialność z tytułu niewykonania lub

nienależytego wykonania Umowy na zasadach ogólnych, w szczególności określonych przepisami kodeksu cywilnego, z zastrzeżeniem poniższych postanowień niniejszego paragrafu.

2. W każdym przypadku, w którym dany etap nie zostanie zaakceptowany z powodu niewykonania całości lub części prac przewidzianych dla niego lub ich nienależytego wykonania, Zamawiający

37

może żądać od Wykonawcy zapłaty kary umownej w wysokości 10% wynagrodzenia brutto, określonego w § 6 dla tego etapu.

3. Za każdy dzień opóźnienia w realizacji prac lub obowiązków określonych Umową dla danego etapu lub terminem wyznaczonym przez Zamawiającego niezależnie od kary przewidzianej w ust. 2 Zamawiający może żądać od Wykonawcy zapłaty kary umownej w wysokości 1% tej części wynagrodzenia brutto, określonego w § 6, która przysługuje za ten etap, licząc w zależności od rodzaju naruszonego terminu od następnego dnia po dniu upływu tego terminu.

4. W każdym przypadku, w którym Zamawiający na podstawie Umowy lub z mocy obowiązujących przepisów prawa (to jest w szczególności w sytuacjach zwłoki Wykonawcy w wykonaniu jego zobowiązań umownych oraz w razie wadliwego wykonywania prac objętych Umową) ma prawo do odstąpienia od umowy lub jej rozwiązania z przyczyn leżących po stronie Wykonawcy i skorzysta z prawa odstąpienia od umowy lub jej rozwiązania, to może również żądać od Wykonawcy zapłaty kary umownej w wysokości 15 % wynagrodzenia, o którym mowa w § 6 ust. 1.

5. Zamawiający może żądać kary umownej w wysokości 0,3 % wynagrodzenia w każdym przypadku stwierdzenia naruszenia przez Wykonawcę postanowień umownych, z zastrzeżeniem ust. 2, 3 i 4 oraz § 5 ust. 9.

6. Kary umowne mogą zostać potrącone przez Zamawiającego z wynagrodzenia Wykonawcy, na co Wykonawca wyraża zgodę.

7. Strony mogą dochodzić na zasadach ogólnych odszkodowań przewyższających zastrzeżone na ich rzecz kary umowne.

§ 12 Odstąpienie od umowy1. Zamawiający będzie mógł odstąpić od Umowy:

a) w przypadku, gdy Wykonawca nie rozpoczął wykonywania Umowy i jej nie realizuje przez okres dłuższy niż 10 dni roboczych od daty zawarcia Umowy lub w każdym przypadku, gdy zaprzestał realizacji Umowy i jej nie realizuje przez okres dłuższy niż 15 dni – w każdym czasie, jednak nie później niż w terminie 15 dni liczonych od dnia spełnienia się wskazanych przesłanek uprawniających do odstąpienia dla danego przypadku,

b) w przypadku, gdy stwierdzi rażącą niezgodność Przedmiotu Umowy z OPZ, aktualnym stanem prawnym oraz wymaganiami określonymi w Umowie, natomiast Wykonawca nie usunie tych uchybień w przeciągu 5 dni od ich pisemnego zgłoszenia – w każdym czasie, jednak nie później niż w terminie 20 dni liczonych od dnia spełnienia się przesłanek uprawniających do odstąpienia dla danego przypadku,

c) w przypadku, gdy nie zaakceptuje Protokołu Odbioru Częściowego lub Końcowego z powodu niewykonania całości lub części prac przez Wykonawcę i Wykonawca pomimo wezwania nie wykona ich w terminie 10 dni od dnia wezwania do ich wykonania – w każdym czasie, jednak nie później niż w terminie 20 dni liczonych od dnia spełnienia się przesłanek uprawniających do odstąpienia dla danego przypadku,

d) w przypadku nie wykonania przez Wykonawcę Przedmiotu umowy w terminie przewidzianym Umową na jego wykonanie i pomimo wezwania Wykonawca nie wykonał go w terminie 5 dni od dnia wezwania – w każdym czasie jednak nie później niż w terminie do 20 dni liczonych od dnia spełnienia się przesłanek uprawniających do odstąpienia dla danego przypadku,

e) w każdym czasie, gdy wystąpi istotna zmiana okoliczności, powodująca, że wykonanie Umowy nie leży w interesie publicznym, czego nie można było przewidzieć w chwili zawarcia Umowy i OPI PIB oświadczy o odstąpieniu od umowy w terminie 30 dni od dnia powzięcia wiadomości o tych okolicznościach.

2. Zamawiający ma prawo rozwiązać Umowę w trybie natychmiastowym w przypadku:a) rażącego naruszenia postanowień Umowy,b) opóźnień w realizacji prac w stosunku do przyjętych przez Umowę lub Strony terminów

trwających dłużej niż 10 dni.

38

§ 13 Osoby wskazane do realizacji przedmiotu umowy oraz adresy do doręczeń

1. Strony wyznaczają następujące osoby:a) Koordynator Projektu ze strony Zamawiającego:

……………………, tel. kom. …………………., , e-mail: …………………………………….b) Kierownik Projektu ze strony Wykonawcy:

…………………………, tel. …………………………………, fax ……………………………., tel. kom. ……………………, e-mail: ………………………..

2. Zmiana osób, o których mowa w ust. 1 nie powoduje zmiany Umowy w rozumieniu § 14 ust. 1 i odbywa się poprzez zawiadomienie drugiej Strony.

3. Wszelka korespondencja między Stronami w sprawach związanych z Umową będzie kierowana na poniższe adresy:a) do Zamawiającego: Al. Niepodległości 188b, 00-608 Warszawa.b) do Wykonawcy:……..

4. O ile Strony nie postanowią inaczej, wszelkie oficjalne lub istotne zawiadomienia i oświadczenia jednej Strony składane drugiej Stronie będą uznane za prawidłowo przekazane, jeśli zostaną sporządzone w formie pisemnej i doręczone osobiście za potwierdzeniem odbioru, za pośrednictwem listu poleconego z potwierdzeniem odbioru lub za pośrednictwem poczty kurierskiej.

5. W bieżących sprawach związanych z realizacją prac korespondencja między Stronami następować będzie w formie e-mailowej na adresy wskazane w ust. 1.

6. Strony zobowiązują się do informowania o zmianie adresów do doręczeń korespondencji. W przypadku niepoinformowania o zmianie adresu, korespondencję wysłaną na ostatni adres strony znany drugiej stronie uznaje się za skutecznie doręczoną w dacie jej nadania.

§ 14 Zmiany umowy1. Wszelkie zmiany treści Umowy, wymagają formy pisemnej pod rygorem nieważności

i dopuszczalne są w granicach uregulowań art. 144 ustawy Prawo zamówień publicznych.2. Zamawiający przewiduje możliwość zmiany postanowień niniejszej Umowy w zakresie

dotyczącym: 1) terminu realizacji umowy poprzez jego wydłużenie lub skrócenie odpowiednio o ilość dni,

o które zgodnie z niżej wymienionymi w lit. a) – f), okolicznościami, powodują konieczność przedłużenia lub skrócenia terminu,

2) wynagrodzenia Wykonawcy poprzez jego podwyższenie lub obniżenie odpowiednio do postanowień wskazanych w lit. a) - h) poniżej,

3) zakresu przedmiotu umowy poprzez jego zwiększenie lub zmniejszenie odpowiednio do postanowień wskazanych w lit. a) – d) poniżej,

w przypadkach, gdy: a) nastąpi zmiana powszechnie obowiązujących przepisów prawa w zakresie mającym wpływ na

realizację przedmiotu zamówienia, w tym zmiana skutkująca koniecznością zapewnienia zgodności Przedmiotu umowy ze zmienionym prawem,

b) zmiana wynika z decyzji Ministra Nauki i Szkolnictwa Wyższego i odnosi się do Przedmiotu Umowy, w zakresie w niej określonym,

c) gdy niezbędna jest zmiana zakresu Przedmiotu Umowy z uwagi na decyzje podjęte przez organ nadzorujący działalność Zamawiającego, w tym w szczególności zmniejszenie finansowania działalności Zamawiającego,

d) zmiana członków zespołu audytowego, wskazanych w ofercie w związku z przypadkami losowymi nie dającymi się wcześniej przewidzieć. W takiej sytuacji Wykonawca zobowiązany jest do zaproponowania członków zespołu spełniających wymagania określone w SIWZ. Zmiana ta w każdym przypadku wymaga akceptacji Zamawiającego w formie pisemnej.

39

e) w zakresie zmniejszenia wynagrodzenia brutto Wykonawcy; w przypadku zmiany zakresu Przedmiotu Umowy lub w przypadku, gdy nastąpiła zmiana wartości usług świadczonych przez Wykonawcę w ramach Umowy, a zmiana ta jest korzystna dla Zamawiającego,

f) w trakcie trwania czynności audytowych wystąpi konieczność zastosowania innej niż przyjęta metody działań audytowych lub wykorzystania innych niż przyjęte narzędzi audytowych do realizacji usługi, których zastosowanie będzie bardziej skuteczne ze względu na cel realizowanego audytu i nie będzie powodować wzrostu kosztu usługi. W takim przypadku termin dla poszczególnych etapów może zostać przesunięty nie dłużej niż 10 dni roboczych,

g) w zakresie wynagrodzenia brutto Wykonawcy, jeżeli zmiana polega na dostosowaniu wynagrodzenia Wykonawcy do aktualnie obowiązującej stawki podatku od towarów i usług,

h) zmiany mających wpływ na koszty wykonania zamówienia przez Wykonawcę i spowodowane są zmianą:

a. ustawowej stawki podatku od towarów i usług - wówczas w zależności od faktu, czy stawka została podwyższona czy zmniejszona - zmianie może ulec wynagrodzenie Wykonawcy – tj. odpowiednio: zostać zwiększone lub obniżone,

b. wysokości minimalnego wynagrodzenia za pracę albo wysokości minimalnej stawki godzinowej, ustalonych na podstawie przepisów ustawy z dnia 10 października 2002 r. o minimalnym wynagrodzeniu za pracę – wówczas w zależności od faktu udowodnienia przez Wykonawcę, iż zmiana ta wpływa na koszty wykonania Przedmiotu Umowy przez Wykonawcę - zmianie może ulec wynagrodzenie Wykonawcy. Ww. udowodnienie musi odnosić się do złożonej przez Wykonawcę oferty i zawierać szczegółowe uzasadnienie wysokości wynagrodzenia oraz przestawiać wpływ zmiany wysokości minimalnego wynagrodzenia za pracę albo wysokości minimalnej stawki godzinowej, ustalonych na podstawie przepisów ustawy z dnia 10 października 2002 r. o minimalnym wynagrodzeniu za pracę na wysokość wynagrodzenia Wykonawcy,

c. zasad podlegania ubezpieczeniom społecznym, ubezpieczeniu zdrowotnemu lub wysokości stawki składki na ubezpieczenia społeczne lub zdrowotne – wówczas w zależności od faktu udowodnienia przez Wykonawcę, iż zmiana ta wpływa na koszty wykonania Przedmiotu Umowy przez Wykonawcę - zmianie może ulec wynagrodzenie Wykonawcy. Ww. udowodnienie musi odnosić się do złożonej przez Wykonawcę oferty i zawierać szczegółowe uzasadnienie wysokości wynagrodzenia oraz przestawiać wpływ zmiany zasad podlegania ubezpieczeniom społecznym, ubezpieczeniu zdrowotnemu lub wysokości stawki składki na ubezpieczenia społeczne lub zdrowotne na wysokość wynagrodzenia Wykonawcy.

§ 15 Załączniki do umowyZałączniki do Umowy stanowią integralną część Umowy.

§ 16 Klauzula salwatoryjnaW przypadku uznania jakiegokolwiek sformułowania lub postanowienia niniejszej Umowy za niezgodne z prawem i uznania tego sformułowania lub postanowienia za nieważne, Strony zobowiązują się uzgodnić nowe sformułowanie lub postanowienie, którego znaczenie będzie najbardziej zbliżone do pierwotnej intencji Stron i zgodne z obowiązującymi przepisami prawa.

§ 17 Stosowanie prawaW sprawach nieuregulowanych postanowieniami niniejszej Umowy mają zastosowanie właściwe dla natury zdarzenia przepisy prawa, w szczególności przepisy kodeksu cywilnego, ustawy prawo zamówień publicznych oraz ustawy o prawie autorskim i prawach pokrewnych.

§ 18 Egzemplarze umowyNiniejsza Umowa sporządzona została w dwóch jednobrzmiących egzemplarzach po jednym dla każdej ze Stron.

40

Lista załączników do Umowy:

1. Opis przedmiotu zamówienia2. Oświadczenie o poufności3. Umowa powierzenia przetwarzania danych

Zamawiający Wykonawca

41

Załącznik nr 2 do umowy

Warszawa, dnia _______________________

OŚWIADCZENIE

Ja, ………………………………………………………….. niniejszym oświadczam, że zostałam/em zapoznana/y z obowiązującymi przepisami prawa oraz wewnętrznymi regulacjami OPI PIB dotyczącymi ochrony danych osobowych i bezpieczeństwa informacji i w związku z udziałem w realizacji umowy z dnia …………..zobowiązuję się do:10. zachowania w tajemnicy i nie ujawniania ani nie wykorzystywania bez pisemnej zgody OPI PIB

żadnych informacji (w tym danych osobowych) uzyskanych w trakcie działań i czynności audytowych, informacji technicznych, technologicznych, organizacyjnych, personalnych, pracowniczych i innych otrzymanych: ustnie, w formie dokumentu, pliku komputerowego i na innych nośnikach informacji, w szczególności o OPI PIB i podmiotach z nim współpracujących.

11. nieudostępniania bez uprzedniej zgody OPI PIB wyrażonej na piśmie osobom trzecim żadnych informacji i materiałów dostarczonych przez OPI PIB, powstałych we współpracy z OPI PIB lub wykonanych samodzielnie na rzecz OPI PIB podczas wykonywania Umowy.

12. nie wchodzenia w sposób nieuprawniony do zasobów danych OPI PIB (nie dotyczy testów penetracyjnych black box realizowanych w ramach czynności audytowych).

13. nie udostępniania i wykonywania jakichkolwiek kopii danych i informacji pochodzących z i na temat OPI PIB bez jego wiedzy i pisemnej zgody.

14. do zwrotu OPI PIB, bez wykonywania kopii, wszelkich dokumentów, plików i materiałów w posiadanie, których weszłam/wszedłem wykonując czynności audytowe.

15. do usunięcia, bez prawa do pozostawiania sobie kopii, powyższych dokumentów i materiałów zapisanych w postaci elektronicznej na dowolnych nośnikach.

16. do zabezpieczenia posiadanych dokumentów, a także jakichkolwiek nośników informacji na których znajdują się dane udostępnione przez OPI PIB przed dostępem osób postronnych, ich uszkodzeniem i kradzieżą.

17. do zachowania poufności informacji uzyskanych w trakcie trwania audytu przez cały okres współpracy z OPI PIB oraz przez okres 5 lat po zakończeniu tej współpracy, liczonych od dnia podpisania Protokołu Odbioru Końcowego, bez zastrzeżeń. Zamawiający może zwolnić Wykonawcę z obowiązku zachowania poufności przed upływem tego okresu składając stosowane oświadczenie w tym zakresie w formie pisemnej.

18. do korzystania ze sprzętu IT, w tym urządzeń mobilnych oraz oprogramowania zapewniających bezpieczeństwo informacji (legalność oprogramowania, szyfrowanie dysków i innych nośników danych),

19. nieudostępniania sprzętu wykorzystywanego przy realizacji umowy, w szczególności urządzeń mobilnych, osobom trzecim

Przyjmuję do wiadomości, iż postępowanie sprzeczne z powyższymi zobowiązaniami, może być uznane jako rażące naruszenie postanowień umownych uprawniające OPI PIB do rozwiązania umowy, naliczenia kar umownych i dochodzenia roszczeń odszkodowawczych. W każdym przypadku naruszenie powyższych zobowiązań może stanowić przestępstwo przeciwko ochronie informacji sankcjonowane przepisami kodeksu karnego.

______________________ Czytelny podpis osoby

upoważnionej

42

Załącznik nr 3 do umowy

Umowa Nr …......... / 2018dot. powierzenia przetwarzania danych osobowych (dalej: UPD)

zawarta dnia ………………….. w Warszawie pomiędzy:

Ośrodek Przetwarzania Informacji – Państwowy Instytut Badawczy z siedzibą w Warszawie, al. Niepodległości 188b, wpisany do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla m.st. Warszawy, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000127372, posiadający nr NIP 525 – 000 – 91 – 40 oraz nr REGON 006746090,

reprezentowany przez: dr Olafa Gajla - Dyrektora Instytutu

zwaną w dalszej części Umowy

„Administratorem” oraz……………………….. z siedzibą w …………………….., przy ul. ……………….., zarejestrowaną w Sądzie Rejonowym dla ………………….. w …………….., ………. Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem: ………………… posiadającą numer NIP: …………….., numer REGON: …………………………

(ew. zamieszkałym w ………………………………)

reprezentowanym przez:

……………………………………….

reprezentowanym przez:

zwaną w dalszej części Umowy „Podmiotem przetwarzającym”

§ 1Powierzenie przetwarzania danych osobowych

1. W związku z zawarciem i realizacją umowy nr ………………………. z dnia ………………………… 2018 r. dotyczącej wykonywania usługi audytu bezpieczeństwa systemów dla wskazanych systemów Administratora (dalej: Umowa), Administrator powierza Podmiotowi przetwarzającemu dane osobowe przetwarzane w tych systemach.

2. Przedmiotem przetwarzania są dane wskazane w ust. 1. Zakres danych osobowych wymienionych w ust. 1 może być w każdym czasie zmieniony, rozszerzony lub ograniczony przez Administratora, o czym poinformuje Podmiot przetwarzający w sposób określony w § 10 ust. 5.

3. Z tytułu wykonywania świadczeń określonych w UPD Podmiotowi przetwarzającemu nie przysługuje dodatkowe wynagrodzenie ponad to, które zostało określone w Umowie.

4. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone dane osobowe zgodnie z poleceniem Administratora, przestrzegając:1) postanowień UPD

2) postanowień Umowy,

43

3) obowiązujących przepisów regulujących kwestię ochrony danych osobowych; w szczególności Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: Rozporządzenie).

5.Administrator oświadcza, że jest uprawniony do przetwarzania w zakresie, w jakim powierzył je Podmiotowi przetwarzającemu.

6.Podmiot przetwarzający oświadcza, że w ramach prowadzonej działalności profesjonalnie zajmuje się przetwarzaniem danych osobowych objętych Umową, posiada w tym zakresie niezbędną wiedzę, odpowiednie środki techniczne i organizacyjne oraz daje rękojmię należytego wykonania postanowień UPD.

7.Poprzez zawarcie UPD Administrator poleca przetwarzanie danych osobowych Podmiotowi przetwarzającemu, a także każdej osobie działającej z upoważnienia Podmiotu przetwarzającego mającej dostęp do danych osobowych, co stanowi udokumentowane polecenie w rozumieniu art. 28 ust. 3 lit. a) w zw. z art. 29 RODO.

8.Przetwarzanie danych osobowych wskazanych w ust. 1 odbywa się w miejscu określonym w załączniku nr 1. Zawierając UPD, Administrator udziela wyraźnej zgody na przetwarzanie danych osobowych w miejscach wymienionych w załączniku nr 1 w przypadku Podmiotu przetwarzającego.

9.Jeżeli przetwarzanie danych osobowych będzie odbywać się poza Unią Europejską („UE”), takie przetwarzanie nastąpi wyłącznie w przypadku, gdy Administrator wyrazi uprzednią pisemną zgodę i pod warunkiem, że przetwarzanie będzie się odbywać w oparciu o odpowiednie środki bezpieczeństwa, które zapewnią odpowiedni poziom ochrony danych osobowych.

§ 2Charakter i cel przetwarzania danych

1. Administrator upoważnia Podmiot przetwarzający do przetwarzania w jego imieniu danych osobowych w celu i zakresie niezbędnym i koniecznym do realizacji Umowy, w szczególności obejmującym takie operacje jak dostęp do danych, korzystanie z danych wyłącznie na potrzeby realizacji Umowy, utrwalanie, przechowywanie, wykonywane w sposób zautomatyzowany za pośrednictwem systemów informatycznych wykorzystywanych w celu realizacji Umowy.

2. Charakter przetwarzania danych wynika z Umowy. W szczególności określony jest rolą Podmiotu przetwarzającego jako podmiotu realizującego w imieniu i na rzecz Administratora usługę audytu bezpieczeństwa systemów teleinformatycznych.

3. Przetwarzanie danych osobowych będzie dotyczyć następujących kategorii osób: osoby fizyczne których dane osobowe przetwarzane są w audytowanych systemach teleinformatycznych (szczegółowy zakres kategorii określa załącznik nr 1).

§ 3Obowiązki Podmiotu przetwarzającego

1. Podmiot przetwarzający zobowiązuje się:1) przy przetwarzaniu powierzonych danych osobowych na podstawie Umowy, zabezpieczyć je poprzez

stosowanie odpowiednich środków technicznych i organizacyjnych, zapewniający adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia, wykaz stosowanych środków technicznych i organizacyjnych na dzień zawarcia UPD stanowi załącznik nr 2,

2) nadać upoważnienia do przetwarzania danych osobowych wskazanych w § 1 ust. 1 UPD wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji Umowy i UPD,

3) prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych,

44

4) zapewnić zachowanie w tajemnicy przetwarzanych danych oraz sposobów ich zabezpieczenia przez osoby, które posiadają upoważnia do przetwarzania danych osobowych w celu realizacji Umowy lub UPD, zarówno w trakcie zatrudnienia lub współpracy z Podmiotem przetwarzającym jak i po ustaniu zatrudnienia lub współpracy,

5) udostępniać Administratorowi na jego żądanie wszelkie informacje niezbędne do wykazania spełnienia obowiązków wskazanych w przepisach RODO, innych powszechnie obowiązujących przepisach oraz w UPD,

6) stosować środki w celu zaradzenia naruszeniom ochrony danych osobowych oraz w stosownych przypadkach środki w celu zminimalizowania ich ewentualnych negatywnych skutków,

7) stosować się do pisemnych instrukcji wydanych przez Administratora w zakresie przetwarzania powierzonych danych osobowych, chyba że co innego wynika z wiążących Podmiot przetwarzający obowiązujących przepisów prawa. W tym drugim przypadku Podmiot przetwarzający informuje Administratora o przepisach prawnych i wynikających z nich obowiązkach,

8) dokumentować wszelkie naruszenia ochrony danych w tym ich okoliczności, skutki oraz podjęte działania zaradcze w sposób określony w § 7.

2. Podmiot przetwarzający pomaga Administratorowi:1) w miarę swoich możliwości, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się

z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia (Prawa osoby, której dane dotyczą),

2) w wywiązywaniu się z obowiązków określonych w art. 32-36 Rozporządzenia, w szczególności w przypadku stwierdzenia naruszenia zasad ochrony i przetwarzania powierzonych danych osobowych na podstawie Umowy, zgłasza je Administratorowi za pośrednictwem osób wskazanych w § 10 ust. 5 UPD niezwłocznie, jednak nie później niż w terminie 24 godzin od chwili stwierdzenia naruszenia, z uwzględnieniem postanowień ust. 1 pkt 8 i § 7).

3. Podmiot przetwarzający nie jest uprawniony do przekazywania informacji o naruszeniu ochrony powierzonych danych jakimkolwiek podmiotom bez uprzedniej konsultacji z Administratorem.

4. Podmiot przetwarzający jest zobowiązany do niezwłocznego poinformowania o wszelkich zgłoszeniach praw osób których dane dotyczą, jeżeli zgłoszenia te dotyczą powierzonych danych.

5. Podmiot przetwarzający po zakończeniu Umowy, nie później niż w ciągu 30 dni od jej zakończenia, jest zobowiązany do usunięcia lub zwrotu Administratorowi powierzonych danych osobowych, o ile przepis prawa powszechnie obowiązującego nie stanowi inaczej.

6. Podmiot przetwarzający nie ma prawa do wykorzystywania powierzonych danych w jakimkolwiek celu po wygaśnięciu, rozwiązaniu lub odstąpieniu od Umowy, z wyjątkiem usunięcia lub zwrotu Administratorowi; dane te stanowią tajemnicę przedsiębiorstwa Administratora.

7. Podmiot przetwarzający zobowiązany jest do złożenia pisemnego oświadczenia o zrealizowaniu ciążącego na nim zobowiązania o którym mowa w ust. 5 i 6, zgodnie z treścią określoną w protokole likwidacji (załącznik nr 3).

8. Podmiot przetwarzający będzie przetwarzał dane osobowe wyłącznie w celach dla których otrzymał instrukcje oraz w celu wypełnienia zobowiązań wynikających z UPD. Podmiot przetwarzający nie będzie wykorzystywać danych osobowych do innych celów.

9. Podmiot przetwarzający nie będzie przekazywał danych osobowych stronom trzecim, chyba że przekazanie to odbywa się zgodnie z instrukcjami Administratora w związku z realizacją Umowy lub gdy jest to konieczne

w celu wywiązania się z obowiązku prawnego.10. Podmiot przetwarzający nie będzie modyfikował danych osobowych bez instrukcji Administratora.11. Podmiot przetwarzający powinien prowadzić rejestr kategorii czynności przetwarzania dokonywanych

w imieniu Administratora, zgodnie z wymogami wynikającymi z RODO.

45

§ 4Prawo do kontroli

1. Administrator ma prawo kontroli (audytu), czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu danych spełniają postanowienia UPOD i RODO. W tym celu Podmiot przetwarzający umożliwia Administratorowi lub upoważnionemu przez Administratora audytorowi przeprowadzenie audytów, w tym inspekcji i przyczynia się do nich.

2. Administrator poinformuje Podmiot przetwarzający o zamiarze przeprowadzenia audytu. Podmiot przetwarzający wyznaczy terminy możliwych audytów w ciągu 14 dni roboczych od otrzymania powiadomienia. Prawo audytu dotyczy wyłącznie danych powierzonych przez Administratora oraz miejsca ich przetwarzania. Audyt może odbyć się w wyznaczonym przez Podmiot przetwarzający czasie i pod kontrolą wyznaczonej przez niego osoby. Jeżeli w ciągu 14 dni Podmiot przetwarzający nie wyznaczy terminów Administrator jest uprawniony do wskazania terminów audytów.

3. Niezależnie od postanowień ust. 2 Podmiot przetwarzający na każdy pisemny wniosek Administratora zobowiązany jest do udzielenia informacji dotyczących przetwarzania powierzonych mu danych osobowych w terminie 14 dni od dnia otrzymania takiego wniosku.

4. Podmiot przetwarzający udostępni Administratorowi informacje niezbędne do wykazania spełnienia obowiązku określonego w art. 28 Rozporządzenia.

5. Po stwierdzeniu przez Administratora naruszeń Umowy Podmiot przetwarzający jest zobowiązany do ich usunięcia w terminie i w sposób ustalony pomiędzy Stronami.

§5Podpowierzenie

1. Podmiot przetwarzający jest uprawniony do dalszego powierzania wskazanych w § 1 ust. 1 UPD danych osobowych w celu niezbędnym do wykonania Umowy lub UPD, podmiotom będącym podwykonawcami Podmiotu przetwarzającego, po uprzednim przekazaniu informacji o tych podmiotach i miejscu przetwarzania przez nich danych. Administrator podpisując UPD udziela Podmiotowi przetwarzającemu zgody na zaangażowanie podwykonawców wymienionych w załączniku nr 2. Podmiot przetwarzający zobowiązany jest przekazać Administratorowi informacje w zakresie wskazanym w załączniku nr 2 dotyczących podwykonawcy lub dalszych podwykonawców. W okresie obowiązywania UPD Podmiot przetwarzający, w razie potrzeby i w rozsądnym terminie przed dokonaniem zmiany, będzie ten załącznik aktualizował przesyłając jego treść Administratorowi w sposób określony w § 10 ust. 5, z zastrzeżeniem ust. 2.

2. Podmiot przetwarzający poinformuje Administratora na piśmie o wszelkich zmianach polegających na zastąpieniu lub dodaniu podwykonawców. Administrator danych może sprzeciwić się takim zmianom w formie pisemnej, w terminie 7 dni od pisemnego powiadomienia go o zaangażowaniu podwykonawców. W przypadku sprzeciwu Podmiot przetwarzający nie może skorzystać z takiego podwykonawcy.

3. Podmiot przetwarzający jest zobowiązany do zapewnienia, że podmioty wskazane w ust. 1 spełniają takie same wymagania i obowiązki ochrony danych osobowych, jak Podmiot przetwarzający, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków organizacyjnych i technicznych, aby przetwarzanie odpowiadało wymogom aktualnie obowiązujących przepisów prawa w zakresie ochrony danych osobowych.

4. Zaangażowanie podwykonawcy nie wpływa na obowiązki Podmiotu przetwarzającego względem Administratora. Za działania i zaniechania podwykonawców Podmiot przetwarzający odpowiada jak za działania i zaniechania własne. Dostęp do danych osobowych może zostać udzielony tylko wtedy, gdy podwykonawca przestrzega (lub zapewnia przestrzeganie) obowiązków wynikających z UPD. Podmiot

46

przetwarzający zawrze pisemną umowę z podwykonawcą, która będzie zgodna z prawem, odpowiednimi przepisami oraz UPD.

§ 6Odpowiedzialność

1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy oraz UPD, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.

2. Podmiot powierzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych osobowych przez Podmiot przetwarzający, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych, a także o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Podmiot przetwarzający, w szczególności prowadzonych przez organ nadzoru ochrony danych

3. Podmiot przetwarzający będzie chronił, zabezpieczał i zwolni Administratora z odpowiedzialności za wszelkie roszczenia, działania, szkody, straty, koszty i wydatki (w tym między innymi uzasadnione koszty obsługi prawnej, consultingowej i audytowej), wynikające z lub będące następstwem roszczeń jakiejkolwiek strony trzeciej wobec Administratora, wynikających z lub będących następstwem niespełnienia przez Podmiot przetwarzający jakichkolwiek obowiązków dotyczących ochrony powierzonych danych osobowych oraz wszelkich innych obowiązków nałożonych na niego na mocy UPD.

4. W przypadku jakichkolwiek roszczeń strony trzeciej Podmiot przetwarzający ma obowiązek poinformowania Administratora o wystąpieniu takiego roszczenia niezwłocznie nie później niż w ciągu 3 dni od momentu, w którym posiadł informację na temat wystąpienia roszczenia strony trzeciej.

5. W celu uniknięcia wątpliwości, Podmiot przetwarzający ponosi odpowiedzialność za działania swoich pracowników i innych osób oraz podmiotów, przy pomocy których przetwarza powierzone dane osobowe, czy też umożliwia im dostęp do powierzonych danych, w tym podwykonawców jak za własne działanie i zaniechanie.

6. Za szkody wyrządzone Administratorowi z tytułu przetwarzania danych osobowych w sposób naruszający przepisy o ochronie danych osobowych lub UPD Administrator może dochodzić od Podmiotu przetwarzającego odszkodowania na zasadach ogólnych, z zastrzeżeniem postanowień poniżej.

7. Za każde naruszenie postanowień UPD, zasad dotyczących przetwarzania i ochrony danych osobowych w niej określonych lub w powszechnie obowiązujących przepisach prawa, w tym RODO, Administrator może żądać od Podmiotu przetwarzającego kary umownej w wysokości 20 000 zł (słownie złotych: dwadzieścia tysięcy zł) za każdy przypadek naruszenia. Za przypadek naruszenia rozumie się w szczególności każde jednorazowe, niezgodne z prawem lub UPD przetwarzanie danych osobowych osoby fizycznej, której dane dotyczą. Administrator może dochodzić odszkodowania przewyższającego wysokość kar umownych.

8. Karę umowną Podmiot przetwarzający zobowiązany będzie zapłacić na wskazany przez Administratora rachunek bankowy przelewem, w terminie 7 dni od dnia doręczenia mu przez Administratora żądania zapłaty takiej kary umownej.

§ 7Naruszenie bezpieczeństwa danych

1. Podmiot przetwarzający wprowadzi i będzie utrzymywał techniczne i organizacyjne środki bezpieczeństwa - zgodne z obowiązującymi przepisami i regulacjami dotyczącymi prywatności i ochrony danych osobowych oraz z uwzględnieniem stanu wiedzy technicznej oraz ryzyka naruszenia praw lub wolności osób, których dane dotyczą - niezbędne do zapewnienia dostępności, integralności i poufności danych osobowych oraz ochrony przed utratą lub niezgodnym z prawem przetwarzaniem.

2. Podmiot przetwarzający powinien powiadomić Administratora niezwłocznie o naruszeniu danych nie później niż w ciągu 24 godzin od stwierdzenia naruszenia.

3. Powiadomienie, o którym mowa w ust. 2 powinno zawierać co najmniej:

47

a) charakter naruszenia danych, w tym, w miarę możliwości, kategorie i przybliżoną liczbę osób, których dane dotyczą oraz kategorie i przybliżoną liczbę danych osobowych, których to dotyczy,

b) nazwisko i dane kontaktowe Inspektora Ochrony Danych lub innej osoby wyznaczonej do kontaktu, od której można uzyskać więcej informacji,

c) prawdopodobne konsekwencje naruszenia danych osobowych,d) środki zastosowane lub proponowane przez Podmiot przetwarzający w celu zaradzenia naruszeniu

ochrony danych osobowych, w tym, w stosownych przypadkach, środki mające na celu złagodzenie jego ewentualnych negatywnych skutków.

4. Podmiot przetwarzający wspiera Administratora w wypełnianiu ciążącego na nim ustawowego obowiązku informacyjnego wobec organów nadzoru i/ lub osób , których dane dotyczą w przypadku naruszenia danych.

5. Podmiot przetwarzający powinien niezwłocznie poinformować Administratora w każdym przypadku, kiedy uzna, że przetwarzanie jest niezgodne z prawem.

§ 8Czas obowiązywania umowy

1. UPD obowiązuje przez okres obowiązywania Umowy oraz przez okres do 30 dni od jej zakończenia.2. Administrator jest uprawniony do rozwiązania UPD w trybie natychmiastowym, jeżeli zaistnieje chociażby

jedna z poniższych przesłanek:1) Podmiot przetwarzający nie wypełnia obowiązków wskazanych w RODO lub innych powszechnie

obowiązujących przepisach dotyczących ochrony danych osobowych,2) Podmiot przetwarzający nie wypełnia obowiązków wskazanych w UPD.

3. Zaistnienie podstaw do rozwiązania UPD bez wypowiedzenia stanowi podstawę do rozwiązania Umowy bez wypowiedzenia.

§ 9Poufność

1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).

2. Podmiot przetwarzający oświadcza, że z zastrzeżeniem § 5 UPD, w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie Umowy lub UPD, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub UPD.

3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych, w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.

4. W zakresie nieuregulowanym postanowienia Umowy dotyczące poufności stosuje się odpowiednio.

§ 10Postanowienia końcowe

1. Zmiana UPD wymaga formy pisemnej pod rygorem nieważności, z zastrzeżeniem zmian osób o których mowa w ust. 4.

2. Załączniki stanowią integralną część UPD.

3. Obowiązki informacyjne wynikające z UPD mogą być realizowane w formie elektronicznej.

4. Strony postanawiają, że osobami odpowiedzialnymi za realizację postanowień UPD, w tym uprawnionymi do kontaktu w zakresie realizacji praw osób których dane dotyczą oraz obowiązków wynikających z UPD jest:

48

a) ze strony Administratora – Tomasz Tołpa, e-mail [email protected] lub [email protected] b) ze strony Podmiotu przetwarzającego – ……………………………………………….….. e-mail: …………

5. UPD sporządzono w dwóch jednobrzmiących egzemplarzach.

6. Sądem właściwym dla rozpatrywania sporów jest sąd właściwy dla siedziby Administratora.

______________________ _______________________ Administrator Podmiot przetwarzający

Załącznik nr 1 – Podmiot przetwarzający, Dalsze podmioty przetwarzające i kolejne dalsze podmioty przetwarzające

Podmiot przetwarzający

Firma i adres Lokalizacja przetwarzania Świadczone usługi/cel

Dalsze Podmioty Przetwarzające

Firma i adres Lokalizacja przetwarzania Świadczone usługi/cel

Kolejne dalsze podmioty przetwarzające

Podmiot prawny powierzający

przetwarzanie

Firma i adres Lokalizacja przetwarzania

Kraj Świadczone usługi/cel

49

Załącznik nr 2 – wykaz stosowanych środków technicznych i organizacyjnych

………………………….

Załącznik nr 3 - wzór protokołu likwidacji

Protokół likwidacji zbioru danych/bazy danych/zasobu danych

______________________________

data i miejsce sporządzenia

Komisja likwidacyjna w składzie:

1. ……………………………..

2………………………………

3………………………………

W związku z zakończeniem realizacji umowy nr …………….. z dnia …………………………. 2018 roku pomiędzy Ośrodkiem przetwarzania Informacji – Państwowym Instytutem Badawczym (Zamawiającym) a ………………………………………….. (Wykonawca) i realizacją zobowiązań z niej wynikających w dniu ………………………………………… przeprowadzono likwidację zbioru danych/bazy danych/zasobu danych, tj:

……………………………………………

poprzez usunięcie wszystkich posiadanych plików z nośników cyfrowych na których były utrwalone.

(opis sposobu likwidacji zbioru danych)

Jednocześnie Wykonawca oświadcza, że nie pozostawił sobie żadnych danych, w tym ich kopii i na moment podpisania niniejszego protokołu nie posiada żadnych otrzymanych od Zamawiającego i utrwalonych w formie cyfrowej informacji, w tym danych osobowych oraz nie dysponuje ich kopiami. W przypadku, gdyby jednak posiadała takie informacje, zobowiązuje się do ich niezwłocznego trwałego usunięcia.

Podpisy członków komisji likwidacyjnej Pieczątka Wykonawcy

50


OŚWIADCZENIE O PRZYNALEŻNOŚCI LUB BRAKU PRZYNALEŻNOŚCI DO TEJ SAMEJ GRUPY KAPITAŁOWEJ, O KTÓREJ MOWA W ART. 24 UST. 1 PKT 23

USTAWY PZP

................................................pieczęć Wykonawcy

W związku ze złożoną ofertą w postępowaniu o udzielenie zamówienia publicznego prowadzonym w trybie przetargu nieograniczonego na wykonanie usługi audytu bezpieczeństwa systemów teleinformatycznych w OPI PIB (znak sprawy: audyt-300-2018), oświadczam, iż:

w rozumieniu ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (Dz. U. z 2018 r., poz. 798, z późn.zm.)

1) nie przynależę do tej samej grupy kapitałowej z pozostałymi Wykonawcami biorącymi udział w niniejszym postępowaniu9

2) przynależę do tej samej grupy kapitałowej, co Wykonawca5:

..................................................................................................................................................

.

W przypadku Wykonawców, którzy należąc do tej samej grupy kapitałowej, w rozumieniu ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (Dz. U. z 2018 r., poz. 798, z późn. zm.), złożyli odrębne oferty, zobligowani są złożyć wraz z niniejszym oświadczeniem dokumenty bądź informacje potwierdzające, że powiązania z innym Wykonawcą nie prowadzą do zakłócenia konkurencji w postępowaniu.

........................................... dn. ........................ ........................................................................ (miejscowość) podpis Wykonawcy10 lub upełnomocnionego


9niepotrzebne skreślić10 w przypadku Wykonawców występujących wspólnie składa każdy z Wykonawców oddzielnie

51

bip2.opi.org.pl · Web viewwykażą, że w okresie ostatnich trzech lat przed upływem terminu...

Documents

Transcript of bip2.opi.org.pl · Web viewwykażą, że w okresie ostatnich trzech lat przed upływem terminu...