ZAPYTANIE OFERTOWE RFP (REQUEST FOR

(1)

Warszawa, dnia 26.01.2022 r.

Bank Ochrony Środowiska S.A.

Biuro Zakupów

ZAPYTANIE OFERTOWE RFP (REQUEST FOR PROPOSAL)

Niniejszy dokument (zwany dalej „RFP”) jest własnością BOŚ S.A. w Warszawie i nie może być kopiowany oraz w jakikolwiek sposób rozpowszechniany bez zgody właściciela. Dokument został opracowany do użytku wewnętrznego i może być wykorzystywany tylko na użytek procedury wyboru oferty.

Bank Ochrony Środowiska S.A. (zwany dalej „Bankiem”) z siedzibą w Warszawie, ul. Żelazna 32, 00-832 Warszawa, zaprasza do złożenia oferty na zakup narzędzi sprzedaży online.

I. PRZEDMIOT RFP

1. Przedmiotem zamówienia jest zakup narzędzi sprzedaży online.

2. Bank dopuszcza składanie ofert częściowych:

• Usługa open bankingu,

• Onboarding,

• Podpis elektroniczny.

3. Opis przedmiotu zakupu stanowi Załącznik nr 1 do RFP.

4. IPU stanowi Załącznik nr 2 do RFP.

5. Formularz cenowy stanowi Załącznik nr 3 do RFP

6. Oświadczenie o przestrzeganiu zasad ESG Załącznik nr 4 do RFP.

II. WYMAGANIA WOBEC OFERTY

1. Oferta oraz wszelka dokumentacja złożona w toku postępowania powinna być sporządzona w języku polskim.

2. Oferta powinna zawierać spis treści, a wszystkie strony oferty wraz z załącznikami powinny być ponumerowane w sposób ciągły oraz podpisane przez osoby uprawnione do składania oświadczeń woli w imieniu oferenta na podstawie załączonego do oferty odpisu z KRS lub pełnomocnictwa.

Oferta wraz z załącznikami powinna zostać przesłana do dnia 07.02.2022 r. do godz. 12:00 w wersji elektronicznej w formacie pdf zabezpieczonej hasłem na adres oferty@bosbank.pl oraz karol.gajewski@bosbank.pl. Hasło powinno zostać przesłane na te same adresy po godzinie 12:00 tego samego dnia. W tytule wiadomości zawierającej ofertę winien być dopisek „zakup narzędzi sprzedaży online”.

III. MODYFIKACJA WARUNKÓW RFP

1. Bank zastrzega sobie możliwość modyfikacji treści RFP w trakcie dalszego postępowania ofertowego.

2. Wprowadzone do RFP modyfikacje zostaną zamieszczone na stronie internetowej Banku i przesłane Oferentom ujawnionym w trakcie procesu zakupowego. Będą one wiążące przy składaniu ofert.

3. Jeżeli będzie to niezbędne dla wprowadzenia zmian w ofercie wynikających z modyfikacji RFP, Zamawiający wydłuży termin do złożenia oferty, zamieszczając informację na stronie internetowej Banku oraz zawiadamiając o tym wszystkich oferentów, którzy ujawnili się w trakcie trwania procesu zakupowego.

(2)

IV. OPIS WARUNKÓW UDZIAŁU W POSTĘPOWANIU 1. O udzielenie zamówienia mogą ubiegać się oferenci, którzy:

1) Złożą ofertę zgodnie z RFP;

2) Skutecznie wdrożyli rozwiązania na polskim rynku bankowym zakończone notyfikacją do KNF (min. 1) nie starsze niż 2019 r. – dla każdej części osobno;

3) Zagwarantują zgodność rozwiązań z wytycznymi KNF i Stanowiskiem Pełnomocnika Rządu ds. Cyberbezpieczeństwa w sprawie zdalnej identyfikacji tożsamości subskrybentów usług zaufania – dla każdej części osobno;

4) Zagwarantują, że procesy będą odbywały się całkowicie automatyczne (bez udziału pracownika Banku) – dla każdej części osobno.

2. Bank może pominąć złożoną ofertę, jeżeli oferent:

1) zaoferował niejednoznaczne warunki realizacji przedmiotu postępowania pod względem jakościowym, terminowym lub cenowym lub zdaniem Banku oferta przekracza możliwości organizacyjne lub wykonawcze oferenta;

2) złożył ofertę nieodpowiadającą warunkom formalnym i/lub merytorycznym określonym w RFP;

3) znajduje się w sytuacji ekonomicznej uniemożliwiającej, zdaniem Banku rzetelne wykonanie przedmiotu postępowania lub niesie ryzyko braku ciągłości obsługi Banku.

3. Bank Ochrony Środowiska S.A. zastrzega, że jedynym sposobem przyjęcia oferty i dokonanie zakupu jest zawarcie przez Bank umowy. Żadna informacja czy deklaracja ze strony Banku na etapie przygotowania i prowadzenia postępowania ofertowego nie stanowi obietnicy lub zobowiązania do zawarcia umowy.

V. ELEMENTY SKŁADOWE OFERTY 1. Do oferty należy dołączyć następujące dokumenty:

1) Formularz cenowy - zgodny ze wzorem stanowiącym Załącznik nr 3 do RFP;

2) aktualny odpis z właściwego dla danego podmiotu rejestru (np. KRS), wystawiony nie wcześniej niż 3 miesiące przed złożeniem go w Banku;

3) imienne pełnomocnictwo do działania w imieniu oferenta osób podpisujących ofertę, o ile upoważnienie do działania w imieniu oferenta nie wynika z przepisów prawa lub innych dokumentów;

4) oświadczenie, że oferent zapoznał się z warunkami postępowania ofertowego zawartymi w RFP i akceptuje te warunki, w tym IPU;

5) oświadczenie, że oferent w ciągu ostatnich trzech lat wywiązał się z zobowiązań wynikających z udzielonych mu zamówień;

6) oświadczenie że oferent posiada potencjał ekonomiczny i techniczny niezbędny do wykonania przedmiotu umowy;

7) oświadczenie o przestrzeganiu „Standardów postępowania dla dostawców Banku Ochrony Środowiska S.A.”;

8) projekt umowy uwzględniający IPU;

9) wykaz zrealizowanych działających wdrożeń (dla każdej części) na potwierdzenie spełnienia wymagań określonych w Rozdziale IV ust. 1 pkt 2 wraz z dokumentami potwierdzającymi ich wdrożenie bez uwag, np. referencje, protokoły odbioru, itp.

10) dokumenty (dla każdej części osobno) na potwierdzenie spełnienia wymagań określonych w Rozdziale IV ust. 3 i 4.

11) szczegółową specyfikację techniczną pozwalającą na dokonanie weryfikacji spełnienia wymagań określonych w Załączniku nr 1 do RFP – dla każdej części osobno, z uwzględnieniem szczególnie tych, które będą dostępne dla jak największej grupy

(3)

12) oświadczenie, że oferent będzie związany ofertą przez okres 90 dni od terminu złożenia ofert;

2. Wszystkie załączniki do oferty pochodzące od osób trzecich muszą być złożone w formie scanów oryginałów lub kserokopii poświadczonych za zgodność z oryginałem przez osoby (osobę) uprawnione(ą) do podpisania oferty, z dopiskiem „za zgodność z oryginałem”.

3. Prosimy również o wskazanie osoby w Państwa firmie, z którą Bank będzie się kontaktował w sprawie oferty oraz we wszelkich innych sprawach organizacyjnych. Prosimy o podanie następujących danych tej osoby:

• imię i nazwisko,

• stanowisko służbowe,

• telefon kontaktowy,

• email.

VI. ZASADY POSTĘPOWANIA

1. Oferent ponosi wszelkie koszty związane z przygotowaniem i złożeniem oferty, jak również związane z udziałem w postępowaniu, a Bank nie będzie w żadnym razie zobowiązany do zwrotu tych kosztów, bez względu na przebieg postępowania ofertowego i jego wynik.

2. Oferenci mogą składać pytania związane z RFP w formie elektronicznej dotyczące postępowania na adresy: oferty@bosbank.pl oraz karol.gajewski@bosbank.pl w terminie do 3 dni od dnia otrzymania RFP. Bank zamieści jedną zbiorczą odpowiedź na złożone pytania na stronie internetowej Banku i poinformuje wszystkich oferentów, którzy ujawnili się w trakcie procesu zakupowego.

3. Oferenci zobowiązani są bezwzględnie do nieudostępniania osobom trzecim wszelkich informacji zawartych w RFP oraz uzyskanych w toku dalszego postępowania bez pisemnej zgody Banku. Oferenci zobowiązani są do wykorzystywania powyższych informacji wyłącznie dla należytego wykonania czynności związanych z postępowaniem ofertowym. Oferenci nie mogą w szczególności udostępniać RFP osobom trzecim w celu wzięcia przez nie udziału w postępowaniu.

4. Bank zastrzega sobie prawo swobodnego wyboru oferty w oparciu o kryteria, które nie są ujawniane oferentom. Wszystkie elementy mające wpływ na wybór oferty zostały określone w RFP i Formularzu cenowym.

5. Bank zastrzega sobie prawo zakończenia procedury wyboru bez wyboru którejkolwiek oferty bez podania przyczyn, a także możliwość rozpoczęcia nowej procedury wyboru dla wybranych oferentów lub prowadzenia dodatkowych negocjacji z niektórymi oferentami i z tego tytułu nie przysługuje oferentom jakiekolwiek roszczenie przeciwko Bankowi.

6. Bank może zwrócić się do oferenta z prośbą o uzupełnienie lub modyfikację oferty.

7. Oferent może zmienić lub wycofać złożoną ofertę pod warunkiem, że pisemne zawiadomienie o zmianie lub wycofaniu oferty Bank otrzyma przed upływem terminu wyznaczonego na składanie ofert.

8. Po złożeniu ofert dokonana będzie ich ocena. W przypadkach, gdy dla zrozumienia lub oceny nadesłanej oferty konieczne będą dodatkowe wyjaśnienia, Bank będzie kontaktował się z oferentem. Bank przewiduje w szczególności możliwość zaproszenia przedstawicieli oferenta na spotkania w aplikacji Teams w celu prezentacji oferty.

9. Postępowanie jest zgodne z przepisami kodeksu cywilnego oraz wewnętrznymi regulacjami Banku. Do postępowania nie ma zastosowania prawo zamówień publicznych.

10. Z oferentami Bank przeprowadzi negocjacje. Sposób i zakres prowadzenia negocjacji będzie uzależniony od etapu postępowania.

11. Ze strony Banku za kontakt z oferentami odpowiada:

• Karol Gajewski, tel.515 111 587, email karol.gajewski@bosbank.pl.

(4)

Lista załączników

Załącznik nr 1 – Opis przedmiotu zakupu Załącznik nr 2 – IPU

Załącznik nr 3 – Formularz cenowy

Załącznik nr 4 – Standardy postępowania dla dostawców Banku Ochrony Środowiska S.A.

Dyrektor Biura Zakupów Dariusz Kaźmierczyk

(5)

5

Załącznik nr 1 do RFP Opis przedmiotu zakupu

OPIS PRZEDMIOTU ZAMÓWIENIA – NARZĘDZIA SPRZEDAŻY ONLINE

• Usługa open bankingu

• Onboarding

• Podpis elektroniczny

I. Wymagania biznesowe do RFP dotyczące usługi open bankingu 1. Warunki dopuszczające do złożenia oferty

a) Udane i działające wdrożenie w procesie bankowym na rynku Polskim (min. 1) b) Zgodność rozwiązań z wytycznymi KNF i Stanowiskiem Pełnomocnika Rządu ds.

Cyberbezpieczeństwa w sprawie zdalnej identyfikacji tożsamości subskrybentów usług zaufania

c) Procesy całkowicie automatyczne (bez udziału pracownika Banku) 2. Narzędzie powinno zapewniać:

a) dostęp do kompletnych i aktualnych danych transakcyjnych Klienta z innych banków, instytucji finansowych

b) umożliwić pobranie danych dla co najmniej ROR w PLN klienta c) kategoryzację poszczególnych transakcji przy wykorzystaniu etykiet,

d) możliwość wykorzystania informacji grupowanych po etykietach do modelu scoringowego,

e) automatyzacja procesu pobierania danych i ujednolicenie formatu danych,

f) możliwość wskazywania właściciela głównego od współwłaściciela rachunku oraz możliwość weryfikacji i potwierdzenia deklarowanego dochodu Klienta.

g) badać płatności i dochody na poziomie transakcji,

h) weryfikować, czy udzielenie kredytu danej osobie jest obarczone ryzykiem czy nie i) na podstawie historycznych danych transakcyjnych analizować  w jakich

okolicznościach dana osoba potrzebowała pieniędzy i jak wydano pożyczkę, j) integracja przez API.

3. Pożądane jest aby narzędzie zapewniało obsługę usługi PIS:

a) inicjowanie transakcji płatniczej zlecanej w imieniu klienta i transfer środków do BOŚ. Bank powinien mieć możliwość parametryzowania warunków płatności, b) integracja przez API.

4. Dane wymagane do liczenia scoringu:

a) Data transakcji b) Data księgowania

c) Typ operacji (z uwzględnieniem strony transakcji – WN i MA) d) Etykieta

e) Kontrahent (Odbiorca i Płatnik) f) Tytuł operacji

g) Kwota i waluta transakcji

5. Dane które będą zwracane przez narzędzie powinny być przekazywane w ujednoliconym formacie.

(6)

6. Otrzymane dane powinny być opatrywane etykietami danych transakcyjnych, co pozwali na łatwiejsze odnajdywanie transakcji stanowiących przychody, kredyty, alimenty, powtarzające się zobowiązania pieniężne.

7. Zakres danych o rachunku:

a) Typ rachunku (co najmniej ROR w PLN)

b) Nazwa Klienta (z uwzględnieniem polskich znaków) c) Identyfikator Klienta       

d) Obywatelstwo       

e) Rodzaj dok. tożsamości       f) Nr dok. tożsamości     

g) Nr PESEL

h) Data urodzenia i kraj pochodzenia       i) Relacja do rachunku  

j) Telefon       k) E-mail l) Adres

m) Nr rachunku w formacie NRB (lub IBAN)

n) Historia rachunku za okres co najmniej 12 miesięcy, o) Nazwa rachunku      

p) Bank klienta    q) Waluta        r) Data otwarcia s) Saldo

t) Dostępne środki

II. Wymagania biznesowe do RFP dotyczące onboardingu 1. Warunki dopuszczające:

a) Udane i działające wdrożenie w procesie bankowym na rynku Polskim (min. 1) b) Dostępność foto-wideo weryfikacji w ramach usługi i OCR dokumentu tożsamości c) Zgodność rozwiązań z wytycznymi KNF i Stanowiskiem Pełnomocnika Rządu ds.

Cyberbezpieczeństwa w sprawie zdalnej identyfikacji tożsamości subskrybentów usług zaufania

d) Procesy całkowicie automatyczne (bez udziału pracownika Banku) 2. Narzędzie powinno zapewnić:

a) Weryfikację tożsamości na podstawie zdjęcia / „oglądu” twarzy i zdjęcia dowodu (porównanie)

b) Weryfikację i przekazanie dokumentów w 1 miejscu na jednym kroku (zdjęcie dowodu oraz potwierdzenie poprawnej weryfikacji tożsamości powinno się zapisywać w miejscu wskazanym przez Bank (Konieczne jest zapewnienie archiwum w którym będą gromadzone dokumenty oraz informacje o potwierdzeniu dokonania weryfikacji tożsamości klienta)

c) Moduł OCR

d) Możliwość pakietowania plików do jednego PDF

e) Możliwość weryfikacji tożsamości więcej niż jednego wnioskującego

f) 2 możliwe rodzaje dokumentów do autoryzacji / weryfikacji: Dowód osobisty lub Paszport

g) Integracje poprzez API

h) identyfikacja przez onboarding w procesie zdalnym musi gwarantować twardą weryfikację tożsamości (rekomendacja KNF),

(7)

7 i) dostęp do wszystkich nowych rodzajów weryfikacji tożsamości, które mogą się

pojawić w toku rozwoju takiej usługi

j) sprawdzenie klienta i informacji zawartych w jego dokumencie tożsamości – w bazach danych, jak np. w:

• Rejestrze Dowodów Osobistych,

• Rejestrze Paszportów,

• Rejestrze PESEL,

k) Możliwość przeprowadzenia wideoweryfikacji na smartfonie poprzez przesłanie linku, na podany przez klienta nr telefonu,

l) Pewność że w towarzystwie subskrybenta nie przebywają osoby trzecie podczas dokonywania wideoweryfikacji oraz pewność braku jakiejkolwiek ingerencji osób trzecich

m) Reguły monitorujące poprawność przebiegu wideoweryfikacji – w tym możliwość zdefiniowanie schematu kryteriów koniecznych do śledzenia automatycznej wideoweryfikacji i możliwość redefiniowania schematu

n) Możliwość prezentacji dokumentu tożsamości do kamery pod wieloma kątami z wielu stron oraz okazywania krawędzi dokumentu w dużym powiększeniu w celu weryfikacji jego autentyczności,

o) zweryfikowanie autentyczności dokumentu tożsamości oraz integralności danych,

• porównanie zdjęć z dowodu tożsamości bezpośrednio z wizerunkiem klienta oraz

• ze zdjęciem twarzy (wykluczenie występowania na dokumentach dodatkowych elementów – np. naklejone zdjęcie)Możliwość pozostawienia w archiwach usługodawcy (jako materiału dowodowego) zapisu całej wideorozmowy przez okres określony w art. 17 ust. 2 Ustawy i zapewnienie zapisowi konserwacji zapewniającej integralność i dostępność przez okres przechowywania.

III. Wymagania biznesowe do RFP dotyczące podpisu elektronicznego

1. Warunki dopuszczające

a) Udane i działające wdrożenie w procesie bankowym na rynku Polskim (min. 1)

b) Dostępność zarówno podpisu zaawansowanego jak i kwalifikowanego w ramach usługi.

c) Procesy całkowicie automatyczne (bez udziału pracownika Banku) 2. Narzędzie powinno zapewnić:

a. tworzenie i weryfikację podpisów oraz pieczęci elektronicznych,

b. możliwość korzystania z obydwu rodzajów podpisów (elektroniczny podpis z 2- stopniową autoryzacją adresata i podpis kwalifikowany)

c. dokument przekazywany powinien mieć  walor tzw. “trwałego nośnika”, d. potwierdzenie pobrania przez klienta dokumentów na swoje urządzenie, e. szyfrowane archiwum, zapewniające najwyższe standardy bezpieczeństwa,

f. podpisany na platformie dokument potwierdzamy zaawansowaną pieczęcią elektroniczną,

g. zapewniają autentyczność pochodzenia dokumentu oraz jego integralność,

h. zawierane umowy i podpisywane dokumenty powinny być prawnie wiążące - spełniające wymogi określone w Kodeksie Cywilnym oraz w unijnym rozporządzeniu eIDAS,

i. możliwość składania podpisów w dowolnym czasie, z dowolnego miejsca na Ziemi, na każdym urządzeniu z dostępem do sieci Internet,

j. możliwość podpisywania dokumentów o dowolnej treści, bez względu na rodzaj pliku, w którym zostały zapisane. Dokumenty bindowane  do formatu .pdf i wyświetlane na

(8)

urządzeniu odbiorcy w wygodnej formie, bez względu na ilość nadanych stron i liczbę załączników,

k. integrację poprzez API,

l. potwierdzanie oryginalności podpisanego dokumentu za pomocą  dostarczanego weryfikatora

IV. Spełnienie wymagań prawnych

Rozwiązanie powinno być zgodne z poniższymi przepisami

1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),

2. Ustawa – Prawo bankowe, 3. Ustawa o usługach płatniczych,

4. Ustawa o usługach zaufania oraz identyfikacji elektronicznej,

5. Ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu,

6. Komunikat UKNF z 23.01 2020 r. dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej,

7. Komunikat UKNF z 05.2019 r. - Stanowisko UKNF dotyczące identyfikacji klienta i weryfikacji jego tożsamości w bankach oraz oddziałach instytucji kredytowych w oparciu o metodę wideoweryfikacji,

8. Projekt z 10.12.2021 r. wytycznych EBA w sprawie zdalnego onboardingu klientów,

9. Wytyczne Generalnego Inspektora Informacji Finansowej w sprawie identyfikacji klienta instytucji obowiązanej i weryfikacji jego tożsamości w sytuacji braku jego fizycznej obecności z dn. 22.08.2018 r.

V. Pozostałe:

1. Wymagania techniczne oraz infrastrukturalne zostaną przekazane tym oferentom, którzy potwierdzą skuteczne wdrożenie usługi /usług w sektorze bankowym.

2. Planowany termin wdrożenia dla wszystkich narzędzi / usług – czerwiec 2022.

3. Możliwe jest złożenie oferty na I, II lub III usługi /narzędzia.

4. Prosimy o określenie wszystkich możliwych modeli rozliczenia dla każdej z usług przy założeniu wariantów:

Wariant I (opłata per case)

a) AIS (open banking) – ok. 3 tys. /mc b) Onboarding – ok. 3 tys. /mc

c) Podpis elektroniczny – ok. 3 tys. zestawów dokumentów /mc

Wariat II (opłata per case)

a) AIS (open banking) – ok. 6 tys. /mc b) Onboarding – ok. 6 tys. /mc

c) Podpis elektroniczny – ok. 6 tys. zestawów dokumentów /mc

Wariat III (abonament m/c)

a) AIS (open banking) – bez limitu b) Onboarding – bez limitu

c) Podpis elektroniczny – bez limitu

(9)

9 5. Wymagane jest przeprowadzenie szkoleń dla określonej grupy pracowników banku dla

każdej z usług, które są przedmiotem złożonej oferty.

(10)

Załącznik nr 2 do RFP

IPU

IPU (ISTOTNE POSTANOWIENIA UMOWNE)

Bank informuje, że poniższe zapisy są materiałem wyjściowym i zawierającym minimum zapisów i zagadnień, które powinny znaleźć się w projekcie umowy/umów przygotowanych przez Oferentów w ramach postępowania zakupowego. Bank oczekuje rozbudowania tych zapisów. Szczególnie dotyczy to zasad wdrożenia, utrzymania oraz rozwoju.

PODSTAWOWE DEFINICJE

Oprogramowanie – oznacza chroniony prawem autorskim system informatyczny będący własnością Wykonawcy lub co do którego Wykonawca ma prawo udzielania dalszej licencji Oprogramowanie udostępnione jest w formule SaaS.

Wdrożenie – zapewnienie dostępu do Oprogramowania celem jego dalszej Integracji przez Zamawiającego z jego systemem. Ostatnim etapem Wdrożenia jest zapewnienie Zamawiającemu przez Wykonawcę dostępu do środowiska produkcyjnego uruchomionego dla Oprogramowania. Integracja wdrożonego Oprogramowania z systemem Zamawiającego leży po stronie Banku.

Odbiór Funkcjonalny – potwierdzenie przez Zamawiającego należytego wykonania Wdrożenia poprzez udostępnienie Zamawiającemu przez Wykonawcę środowiska produkcyjnego pozwalającego na produkcyjne korzystanie z Oprogramowania.

Odbiór Końcowy – Odbiór stanowiący potwierdzenie poprawnego funkcjonowania Oprogramowania oraz zakończenia Integracji przez Zamawiającego lub realizacji całości zobowiązań określonych w Zamówieniu.

Start Produkcyjny – uruchomienie produkcyjne Oprogramowania w pełnym zakresie umożliwiające dokonanie przez Zamawiającego Integracji w zakresie obejmującym funkcjonalności Oprogramowania.

Integracja – zakres czynności technicznych niezbędnych do realizacji przez Zamawiającego po zakończeniu Wdrożenia. Celem integracji Oprogramowania jest integracja z systemem Zamawiającego, w ramach którego Oprogramowania ma realizować swoje funkcje.

SaaS – usługi świadczone przez Wykonawcę polegające na umożliwieniu Zamawiającemu korzystania z Oprogramowania zgodnie z jego przeznaczeniem przy wykorzystaniu chmury obliczeniowej. W zakres modelu SaaS wchodzą Usługi Utrzymania. Świadczenie usług przez Wykonawcę rozpoczyna się z chwilą dokonania Odbioru Funkcjonalnego przez Zamawiającego.

Usługi Utrzymania – usługi mające na celu utrzymanie dostępności i poprawności działania Oprogramowania w celu świadczenia Usługi.

Usługi Rozwoju – niewchodzące w zakres Umowy usługi polegające na implementacji dodatkowych funkcjonalności wskazanych w Zamówieniu.

(11)

11 Zamówienie – zlecenie Usług Rozwoju, niewchodzące w zakres Umowy usługi polegające na implementacji dodatkowych funkcjonalności wskazanych w Zamówieniu.

PRZEDMIOT UMOWY

Udostępnienie i wdrożenie Oprogramowania (narzędzia sprzedaży online: usługa open bankingu, onboarding, podpis elektroniczny) oraz świadczenie usług w modelu SaaS, w tym Usług Utrzymania, a także świadczenie Usług Rozwoju, na podstawie odrębnych Zamówień.

Oferent zobowiązany jest przedstawić w ofercie planowany harmonogram realizacji zamówienia. Szczegółowy harmonogram zostanie ustalony na etapie sporządzania umowy.

WDROŻENIE

Wykonawca zobowiązuje się realizować Wdrożenie w terminach zgodnie z przyjętym Harmonogramem. Za dzień kompletnej i prawidłowej realizacji Wdrożenia Strony uważają dzień udostępnienia przez Wykonawcę środowiska produkcyjnego oraz podpisania przez Zamawiającego bez uwag protokołu Odbioru Funkcjonalnego.

PODWYKONAWCY

Wykonawca może korzystać ze świadczeń podmiotów trzecich jako swoich podwykonawców wyłącznie po uzyskaniu uprzedniej pisemnej zgody Zamawiającego. Za podwykonawcę nie są uważane osoby fizyczne świadczące pracę dla Wykonawcy na podstawie umów o świadczenie usług lub umów o dzieło, w tym również w ramach prowadzonej osobiście działalności gospodarczej, o ile wykonują swoją pracę wyłącznie osobiście.

ODBIÓR FUNKCJONALNY

1. Podstawą Odbioru Funkcjonalnego jest potwierdzenie prawidłowości wykonania wszystkich rezultatów prac przez Wykonawcę objętych Wdrożeniem. Strony ustalają, że Zamawiający nie może korzystać produkcyjnie z Oprogramowania przed dokonaniem Odbioru Funkcjonalnego.

2. Dokonanie Odbioru Funkcjonalnego jest równoznaczne z potwierdzeniem zdolności rezultatów prac do Startu Produkcyjnego. Start Produkcyjny wymaga odrębnej decyzji Zamawiającego, która zostanie wydana po stwierdzeniu przez Zamawiającego możliwości rozpoczęcia eksploatacji Oprogramowania.

ODBIÓR KOŃCOWY

1. Integracja Oprogramowania po zakończonym Wdrożeniu z Systemem Zamawiającego leży po stronie Zamawiającego.

2. Dokonanie Odbioru Końcowego jest równoznaczne z potwierdzeniem realizacji przez Wykonawcę obowiązków wynikających z Wdrożenia oraz udostępnienia Oprogramowania.

ŚWIADCZENIA USŁUG SAAS

1. Z chwilą dokonania przez Zamawiającego Odbioru Funkcjonalnego Wykonawca zobowiązuje się do rozpoczęcia świadczenia usług w modelu SaaS na rzecz Zamawiającego. Świadczenie usług w modelu SaaS będzie realizowane przy użyciu infrastruktury chmurowej.

(12)

2. Wykonawca gwarantuje, że będzie świadczyć usługi w modelu SaaS w sposób nieprzerwany i ciągły. Wykonawca nie może bez zgody Zamawiającego ograniczyć Zamawiającemu dostępu do Oprogramowania i świadczonych usług SaaS.

WYNAGRODZENIE

1. Wynagrodzenie za wdrożenie w wysokości: ……….. zł netto będzie płatne na podstawie faktury VAT wystawionej przez Wykonawcę w terminie 7 dni od dnia Odbioru Końcowego Wdrożenia.

2. Miesięcznie wynagrodzenie za udostępnienie Oprogramowania i świadczenie usług SaaS, w tym świadczenia Usług Utrzymania w wysokości ………. zł netto.

3. Wynagrodzenia za Usługi Rozwoju – określonego w Zamówieniu, przy czym jednolita stawka za osobogodzinę pracy (rozumiana jako jedna godzina pracy jednej osoby) przyjęta dla potrzeb danego Zamówienia nie może przekroczyć ………. zł netto.

4. Wynagrodzenie za Usługi SaaS stanowi całość wynagrodzenia Wykonawcy w związku z realizacją świadczenia usług w modelu SaaS, przy czym Wynagrodzenie za Usługi SaaS będzie naliczane od momentu Odbioru Końcowego i obejmuje swoim zakresem wynagrodzenie z tytułu udzielenia licencji i zapewnienia infrastruktury Chmurowej.

5. Wynagrodzenie za Usługi SaaS będzie płatne miesięcznie z dołu, na podstawie prawidłowo wystawionej faktury VAT, do której zostanie dołączony odpowiedni, zaakceptowany przez Zamawiającego raport ze świadczenia Usług Utrzymania.

6. Wynagrodzenie za Rozwój będzie płatne na podstawie faktury VAT wystawionej na podstawie protokołu Odbioru prac objętych danym Zamówieniem i na warunkach wskazanych w takim Zamówieniu.

7. Wynagrodzenie będzie płatne przelewem na rachunek bankowy nr ………..

uwzględniony w Wykazie podatników VAT na stronie Ministerstwa Finansów (na tzw.

White List), w terminie …… dni licząc od daty otrzymania prawidłowo wystawionej faktury.

W przypadku, gdy wskazany rachunek nie będzie znajdował się w Wykazie podatników VAT, Bank może nie dokonać płatności. W takim przypadku Bank nie będzie pozostawał w zwłoce.

8. Wykonawca dostarczy Zamawiającemu fakturę niezwłocznie po jej wystawieniu, w formie elektronicznej zgodnie z poniższymi warunkami:

a/ faktury będą przesyłane w formacie „Portable Document Format” (pdf),

b/ faktury będą przesyłane z następującego adresu poczty elektronicznej Wykonawcy:

wyceny@centerprint.pl na adres poczty elektronicznej Zamawiającego:

efaktury@bosbank.pl .

c/ przesłanie faktury na inny niż wskazany powyżej adres poczty elektronicznej Zamawiającego nie będzie uznane za skuteczne dostarczenie faktury do Zamawiającego.

9. Kwoty należne Wykonawcy są kwotami netto i nie zawierają podatku VAT, który zostanie doliczony zgodnie z obowiązującymi przepisami prawa w chwili wystawienia faktury VAT.

10. W przypadku wystąpienia opóźnień w zapłacie przez Zamawiającego należności wynikających z Umowy, Wykonawca naliczy odsetki ustawowe za opóźnienie w transakcjach handlowych.

KARY UMOWNE

1. W przypadku opóźnienia w dotrzymaniu terminu Odbioru Funkcjonalnego wskazanego w Harmonogramie Zamawiający może żądać od Wykonawcy zapłaty kary umownej w wysokości ……… % Wynagrodzenia za Wdrożenie za każdy rozpoczęty dzień opóźnienia.

(13)

13 2. W przypadku opóźnienia w dotrzymaniu terminu Odbioru Końcowego wskazanego w

Harmonogramie Zamawiający może żądać od Wykonawcy zapłaty kary umownej w wysokości ……… % Wynagrodzenia za Wdrożenie za każdy rozpoczęty dzień opóźnienia.

3. W przypadku naruszenia zasad ochrony lub przetwarzania danych osobowych opisanych w Umowie lub Umowie o przetwarzaniu danych osobowych lub naruszenia tajemnicy bankowej – Zamawiający może żądać od Wykonawcy zapłaty kary umownej w wysokości ……… zł netto za każdy przypadek naruszenia.

4. W przypadku naruszenia zasady ochrony Informacji Poufnych – w wysokości ………. zł netto za każdy przypadek naruszenia.

SLA

1. Wykonawca jest zobowiązany zapewnić przyjmowanie Zgłoszeń w sposób opisany w niniejszym Załączniku, w sposób ciągły 24h/7/365 dni.

2. W ramach Usług Utrzymania Wykonawca zobowiązuje się do niezwłocznego przekazywania Zamawiającemu informacji o dostępnych Aktualizacjach Oprogramowania. Strony potwierdzają, że w ramach zapewnienia Aktualizacji, kluczowym obowiązkiem Wykonawcy jest dostarczenie informacji o Aktualizacjach usuwających luki bezpieczeństwa Oprogramowania.

3. W przypadku opracowania zmian, o których mowa w poprzednim punkcie, Wykonawca dostarczy takie zmiany wraz z ich Dokumentacją, na następujących zasadach:

a) Wykonawca, przekazując zmianę, wskaże jej znaczenie (Aktualizacja poważna, krytyczna itp.),

b) dostarczenie zmiany nie może mieć żadnych negatywnych konsekwencji dla Zamawiającego, w szczególności nie wpływa w żaden sposób na zobowiązania Wykonawcy,

c) Oprogramowanie będzie objęte Usługami Utrzymania po zainstalowaniu opisanej powyżej Aktualizacji.

4. Priorytety błędów, czasy reakcji, czasy naprawy (parametry SLA)

Priorytet

Błędu Opis Czas

Naprawy Błąd

Krytyczny

Błąd ograniczający w sposób znaczący funkcjonowanie Oprogramowania (korzystanie z Usługi SaaS lub jego istotnych elementów (podstawowych funkcjonalności Oprogramowania), uniemożliwiający dalszą pracę całego Oprogramowania lub jego istotnych elementów w szczególności weryfikacji dokumentów lub osoby fizycznej.

Wobec powyższego funkcjonalności te obejmują:

a) dostępność usługi [...], b) dostępność [...] check,

c) możliwość wczytania zdjęć dokumentu, d) dostępność usługi ocr-api,

e) możliwość przeprowadzenia weryfikacji dokumentu.

4 h

Błąd Ważny (Wysoki)

Błąd ograniczający w sposób istotny funkcjonowanie elementów Oprogramowania, podczas gdy reszta elementów działa bez problemu, a tym samym w sporym stopniu ograniczający działanie Oprogramowania w skali

12 Godzin Roboczyc

h

(14)

pojedynczych użytkowników – inny niż Błąd Krytyczny. Wobec powyższego funkcjonalności te obejmują:

a) możliwość logowania się do Panelu Administratora, b) możliwość przeglądania szczegółów weryfikacji, c) możliwość zarządzania ustawieniami Konta.

Błąd Pozostały

(Niski)

Błąd niebędący Błędem Krytycznym lub Błędem Ważnym. 30 Godzin Roboczyc

h 5. Niezależnie od parametrów SLA (dotrzymanie Czasu Naprawy), Wykonawca gwarantuje,

że Dostępność będzie nie niższa niż 99,00% (słownie: dziewięćdziesiąt dziewięć procent) w skali miesiąca.

6. Kary umowne:

a) Wszystkie kary umowne określone poniżej są od siebie niezależne i należą się w pełnej wysokości, nawet w przypadku, gdy z powodu jednego zdarzenia naliczona jest więcej niż jedna kara.

b) Wykonawca zapłaci na rzecz Zamawiającego następujące kary umowne:

• za każdą rozpoczętą godzinę opóźnienia w dotrzymaniu Czasu Naprawy:

Błąd/Priorytet Kara umowna (brutto zł)

Błąd Krytyczny 1% Wynagrodzenia za Usługi SaaS Błąd Ważny 0,5% Wynagrodzenia za Usługi SaaS Błąd Pozostały 0,25% Wynagrodzenia za Usługi SaaS

• W przypadku niedotrzymania przez Wykonawcę gwarantowanego poziomu Dostępności Rozwiązania, Wykonawca zapłaci na rzecz Zamawiającego karę umowną w wysokości:

Poziom niedotrzymania Dostępności Kara umowna (brutto zł) Za każde kolejne niedotrzymanie 1% wymaganego

poziomu Dostępności

10% Wynagrodzenia za Usługi SaaS

• Opisana w powyższym punkcie kara umowna jest naliczana niezależnie i w pełnej wysokości za każdy miesiąc kalendarzowy, w którym Wykonawca nie dotrzymał gwarantowanego poziomu Dostępności (tj. co najmniej 99.00%), z osobna.

Wskazana kwota dotyczy miesięcznego Wynagrodzenia za Usługi SaaS brutto wskazanego w Umowie.

CZAS TRWANIA UMOWY Czas nieoznaczony.

OBSZAR OUTSOURCING:

Klauzule outsourcingowe oraz klauzule dotyczące podwykonawstwa, które powinny być zamieszczane w umowach outsourcingowych

(15)

15

§1.WYKAZ POSTANOWIEŃ UMOWNYCH ZAMIESZCZANYCH W UMOWACH OUTSOURCINGOWYCH 1. Strony oświadczają, że poddają się wszelkim nakazom i ograniczeniom wynikającym

z uznania, iż przedmiot Umowy obejmuje outsourcing czynności faktycznych związanych z działalnością bankową i w związku z tym do Umowy zastosowanie znajdują art. 6a ust. 1 pkt 2 ustawy – Prawo bankowe oraz inne regulacje wydane w tym zakresie przez uprawnione organy. W szczególności Strony zobowiązują się podejmować wszelkie działania w celu umożliwienia właściwemu organowi nadzoru finansowego (Komisji Nadzoru Finansowego) wykonywanie przysługujących mu uprawnień, w tym:

1) będą przekazywać organowi nadzoru finansowego wszelkie żądane informacje, wyjaśnienia i dokumenty w celu zapewnienia wykonywania przez organ nadzoru finansowego efektywnego nadzoru nad wykonywaniem czynności powierzonych Dostawcy na podstawie Umowy,

2) Dostawca będzie przekazywać Bankowi wszelkie żądane przez organ nadzoru finansowego informacje, wyjaśnienia i dokumenty związane z wykonywaniem Umowy,

3) w przypadku wydania przez organ nadzoru finansowego decyzji nakazującej Bankowi podjęcie działań zmierzających do zmiany lub rozwiązania Umowy, Bank może zmienić lub rozwiązać Umowę zgodnie z otrzymaną decyzją i we wskazanym w decyzji terminie, chociażby było to niezgodne z innymi postanowieniami Umowy.

2. Dostawca wykona wszystkie dotyczące go bezpośrednio obowiązki, wynikające z art. 6c ust. 8 ustawy – Prawo bankowe, jak również umożliwi Bankowi wykonanie związanych z tym obowiązków, m.in. umożliwi biegłemu rewidentowi wskazanemu przez organ nadzoru finansowego zbadanie swojej sytuacji finansowej, jeżeli z żądaniem zlecenia przez Bank dokonania takiego badania zwróci się organ nadzoru finansowego.

3. Dostawca stworzy warunki zapewniające wykonywanie przez organ nadzoru finansowego efektywnego nadzoru nad realizacją czynności powierzonych mu na podstawie Umowy, a w szczególności:

1) umożliwi w każdym czasie uprawnionym inspektorom nadzoru finansowego oraz osobom upoważnionym przez organ nadzoru finansowego przeprowadzenie kontroli w siedzibie Dostawcy i we wszystkich miejscach wykonywania czynności powierzonych mu na podstawie Umowy, w zakresie, który wynika z przedmiotu Umowy,

2) przekaże na żądanie kontrolerów, o których mowa w pkt 1, wszelkie informacje i dokumenty, które pozostają w kontrolowanym zakresie oraz niezwłocznie usunie stwierdzone nieprawidłowości i zrealizuje zalecenia pokontrolne.

4. Dostawca ponadto:

1) zapewni Bankowi możliwość dostępu do informacji o bieżącym funkcjonowaniu Dostawcy w zakresie związanym z wykonywaniem czynności powierzonych mu na podstawie Umowy,

2) zapewni Bankowi prawo do wykonania nadzoru w zakresie realizacji Umowy poprzez możliwość zlecenia lub przeprowadzania audytu sprawozdania finansowego Dostawcy oraz zapewni Bankowi dostęp do sprawozdań finansowych¹, 3) umożliwi wykonywanie obowiązków przez biegłego rewidenta upoważnionego do

badania sprawozdań finansowych Banku,

4) przekaże niezwłocznie na żądanie Banku pełne informacje i dokumenty, mające związek z realizacją postanowień Umowy,

1 Obowiązek dotyczy tylko podmiotów zobowiązanych do sporządzania sprawozdań finansowych na podstawie przepisów o rachunkowości.

(16)

5) umożliwi Bankowi dokonywanie w każdym czasie audytów i kontroli wewnętrznych, według obowiązujących w Banku procedur, w zakresie związanym z wykonywaniem czynności powierzonych mu na podstawie Umowy, w siedzibie Dostawcy i we wszystkich miejscach wykonywania tych czynności,

6) udostępni Bankowi informacje i dokumenty dotyczące stosowanych u Dostawcy zasad bezpieczeństwa, procedur i mechanizmów kontroli, a także umożliwi Bankowi weryfikację tych dokumentów,

7) będzie wykonywał swoje obowiązki umowne z uwzględnieniem Planu Awaryjnego Dostawcy zapewniającego ciągłe i niezakłócone wykonywanie czynności powierzonych mu na podstawie Umowy, stanowiącego Załącznik nr … do Umowy.

5. Kontrole i audyty, o których mowa ust. 3 i 4, mogą w szczególności dotyczyć przestrzegania przez Dostawcę zasad przetwarzania danych osobowych i innych informacji objętych tajemnicą bankową w zakresie związanym z Umową.

6. Kontrole i audyty, o których mowa ust. 3 i 4, mogą w szczególności być wykonywane przez Inspektora Ochrony Danych Banku.

7. Dostawca zobowiązuje się do udzielania wszelkich informacji wymaganych przez organ ds. restrukturyzacji i uporządkowanej likwidacji, w tym aktualizacji i uzupełnień informacji udostępnionych w planach restrukturyzacji i uporządkowanej likwidacji.

8. Dostawca zobowiązuje się do udzielenia Bankowi oraz ich wyznaczonym przedstawicielom:

1) pełnego dostępu do wszystkich odpowiednich lokali (np. siedziby firmy i centrów operacyjnych), w tym do pełnego zakresu odpowiednich urządzeń, systemów, sieci, informacji i danych wykorzystywanych do wykonywania funkcji zleconych na podstawie outsourcingu, w tym do powiązanych informacji finansowych, dotyczących personelu i audytorów zewnętrznych Dostawcy („prawa do dostępu i informacji”);

2) nieograniczonych praw w zakresie kontroli i audytu związanych z Umową („prawa do audytu”), aby umożliwić im monitorowanie Umowy oraz zapewnić zgodność ze wszystkimi obowiązującymi wymogami prawnymi i umownymi.

9. Dostawca oświadcza, iż został prawidłowo zarejestrowany oraz dysponuje wymaganymi zezwoleniami, środkami (w szczególności organizacyjnymi, finansowymi i informatycznymi), doświadczeniem, wiedzą i wykwalifikowanym personelem, co umożliwia mu prawidłowe i rzetelne wykonanie Umowy, w tym ochronę powierzonych danych osobowych i informacji objętych tajemnicą bankową.

10. Dostawca oświadcza, że żadna z osób wchodzących w skład jego organów statutowych lub mających wpływ na kluczowe decyzje podejmowane przez Dostawcę w związku z niniejszą Umową nie jest spokrewniona, ani nie pozostaje w bliskich relacjach z osobami wchodzącymi w skład organów statutowych Banku lub osobami zajmującymi stanowiska kierownicze, mającymi wpływ na decyzje podejmowane w związku z niniejszą Umową.

11. Dostawca oświadcza, że prowadzona przez niego działalność jest zgodna z zasadami dobrych praktyk i etyki zawodowej mającymi zastosowanie do Dostawcy.

12. Dostawca oświadcza, że działa w sposób etyczny i społecznie odpowiedzialny, a także przestrzega międzynarodowych norm dotyczących praw człowieka, ochrony środowiska oraz odpowiednich warunków pracy, w szczególności przestrzega zakazu pracy dzieci². 13. Dostawca oświadcza, że jego podwykonawca/podwykonawcy działa/działają w sposób

etyczny i społecznie odpowiedzialny, a także przestrzega/przestrzegają międzynarodowych norm dotyczących praw człowieka, ochrony środowiska oraz

2 Postanowienie stosowane w przypadku umów z dostawcami z państw trzecich.

(17)

17 odpowiednich warunków pracy, w szczególności przestrzega/przestrzegają zakazu pracy dzieci³.

14. Dostawca ponosi wobec Banku pełną odpowiedzialność za szkody wyrządzone klientom Banku wskutek niewykonania lub nienależytego wykonania Umowy przez Dostawcę.

Odpowiedzialności tej nie można wyłączyć ani ograniczyć, chociażby było to niezgodne z innymi postanowieniami Umowy.

15. Dostawca ponosi pełną odpowiedzialność za szkody wyrządzone Bankowi wskutek niewykonania lub nienależytego wykonania Umowy przez Dostawcę.

16. Żadne prawa ani obowiązki wynikające z Umowy nie mogą zostać przeniesione na osobę trzecią bez pisemnej zgody drugiej Strony. Dotyczy to także powierzenia przez Dostawcę osobie trzeciej wykonania części lub całości obowiązków Dostawcy określonych w Umowie („podoutsourcing”).

17. Bank może wyrazić zgodę na podoutsourcing, o ile:

1) nie naruszy to przepisów ustawy – Prawo bankowe oraz innych regulacji wydanych w zakresie outsourcingu przez uprawnione organy;

2) podwykonawca zobowiąże się do przestrzegania wszystkich obowiązujących przepisów prawa, wymogów regulacyjnych i zobowiązań wynikających z Umowy;

3) podwykonawca zobowiąże się do przyznania Bankowi i organowi nadzoru finansowego takich samych wynikających z Umowy praw dostępu i kontroli, co prawa przyznane przez Dostawcę.

18. Jeżeli proponowany podoutsourcing mógłby mieć istotny niekorzystny wpływ na umowę outsourcingu dotyczącą krytycznej lub istotnej funkcji lub mógłby doprowadzić do znacznego wzrostu ryzyka, lub gdyby nie zostały spełnione warunki określone w ust.

17, Bank jest uprawniony do odmowy wyrażenia zgody na podoutsourcing lub rozwiązania Umowy w trybie określonym w ust. 19.

19. Niezależnie od innych postanowień Umowy, Bank ma prawo do rozwiązania Umowy ze skutkiem natychmiastowym, z zachowaniem prawa do żądania naprawienia przez Dostawcę wszelkich szkód poniesionych przez Bank w przypadku:

1) gdy Dostawca narusza obowiązujące przepisy prawa, regulacje lub postanowienia umowne;

2) wykrycia przeszkód mogących zakłócić wykonywanie czynności będących przedmiotem outsourcingu;

3) istotnych zmian mających wpływ na umowę outsourcingu lub Dostawcę (np.

zmiana dotycząca podoutsourcingu lub zmiany podwykonawców);

4) wystąpienia słabości w zakresie zarządzania danymi lub informacjami poufnymi, osobowymi lub szczególnie chronionymi oraz w zakresie ich bezpieczeństwa;

5) gdy właściwy organ nadzoru Banku wyda nakaz np. w przypadku stwierdzenia przez ten organ, iż, z powodu umowy outsourcingu, nie jest już w stanie skutecznie nadzorować Banku.

§ 2. WYKAZ POSTANOWIEŃ STOSOWANYCH W PRZYPADKU UMÓW OUTSOURCINGOWYCH DOTYCZĄCYCH KRYTYCZNYCH LUB ISTOTNYCH FUNKCJI

1. Dostawca oświadcza, że czynności będące przedmiotem Umowy będą wykonywane na terenie ………….

3 Postanowienie stosowane w przypadku umów, w ramach których część lub całość obowiązków Dostawcy zostaje powierzona podwykonawcy lub podwykonawcom z państw trzecich.

(18)

2. Dostawca oświadcza, że dane osobowe i inne informacje objęte tajemnicą bankową będą przechowywane i przetwarzane na terenie …………. w sposób zabezpieczający przed dostępem osób nieupoważnionych.

3. Dostawca jest zobowiązany do uzyskania zgody Banku przed każdą planowaną zmianą lokalizacji, o której mowa w ust. 20 i 21.

4. Dostawca zobowiązuje się do informowania Banku o wszelkich zmianach, które mogą mieć istotny wpływ na jego zdolność do skutecznego wykonywania krytycznej lub istotnej funkcji zgodnie z uzgodnionymi gwarantowanymi poziomami usług oraz zgodnie z obowiązującymi przepisami i wymogami regulacyjnymi.

5. W przypadku niewypłacalności, restrukturyzacji i uporządkowanej likwidacji lub zaprzestania prowadzenia działalności przez Dostawcę Dostawca zobowiązuje się zapewnić Bankowi dostęp do danych stanowiących własność Banku.

6. Prawem właściwym dla Umowy jest prawo polskie.

7. Dostawca jest zobowiązany do nadzorowania usług, które zlecił na zasadzie podoutsourcingu, w celu zapewnienia, by wszystkie zobowiązania wynikające z Umowy były spełniane w sposób nieprzerwany⁴.

8. Dostawca jest zobowiązany do informowania Banku o istotnych zmianach dotyczących podoutsourcingu, w szczególności jeżeli może to mieć wpływ na zdolność Dostawcy do wywiązywania się z jego obowiązków wynikających z Umowy lub obejmuje planowane istotne zmiany podwykonawców. Powiadomienie powinno nastąpić z wyprzedzeniem umożliwiającym Bankowi przeprowadzenie oceny ryzyka w odniesieniu do proponowanych zmian oraz wniesienie wobec nich sprzeciwu, zanim zmiany wejdą w życie⁵.

9. Bankowi przysługuje prawo rozwiązania umowy w przypadku nieuzasadnionego podoutsourcingu, np. w przypadku, gdy podoutsourcing istotnie zwiększa ryzyko dla Banku lub w przypadku, gdy Dostawca podzleca wykonanie powierzonych usług bez powiadomienia o tym Banku⁶.

OBSZAR CYBERBEZPIECZEŃSTWO:

Zgodność rozwiązań z wytycznymi KNF i Stanowiskiem Pełnomocnika Rządu ds. Cyberbezpieczeństwa w sprawie zdalnej identyfikacji tożsamości subskrybentów usług zaufania

1. Wykonawca jest zobowiązany do wykonania prac z zachowaniem należytej staranności z uwzględnieniem zawodowego charakteru prowadzonej działalności gospodarczej, zgodnie z zasadami i stanem współczesnej wiedzy w zakresie nowoczesnych technologii informatycznych i telekomunikacyjnych z uwzględnieniem wymagań bezpieczeństwa z tego zakresu oraz zgodnie z obowiązującymi w Rzeczypospolitej Polskiej normami, zapisami Rekomendacji D Komisji Nadzoru Finansowego dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego oraz właściwymi przepisami prawa w zakresie ochrony informacji.

2. Wykonawca jest zobowiązany do bieżącej oceny oraz efektywnego zarządzania ryzykiem informacyjnym, które może mieć niekorzystny wpływ na bezpieczeństwo informacji dotyczących wykonania przedmiotu Umowy dot. m.in. przekazywania wewnątrz organizacji uprawnień do systemu informatycznego/aplikacji.

3. Jeżeli ocena ryzyka wykonana przez Wykonawcę wykryje istotne ryzyko informacyjne (tzn. zagrożenie bezpieczeństwa informacji), Wykonawca winien natychmiast podjąć

4 Postanowienie stosowane w przypadku podoutsourcingu krytycznych lub istotnych funkcji.

(19)

19 odpowiednie działania zapobiegawcze lub naprawcze, a także niezwłocznie poinformować Bank o planowanym lub realizowanym działaniu zapobiegawczym bądź naprawczym.

4. Wykonawca zobowiązuje się do przestrzegania określonych w Umowie wymagań Banku dotyczących warunków technicznych i organizacyjnych przetwarzania Informacji Poufnych oraz obowiązujących w Banku standardów bezpieczeństwa, o których zostanie powiadomiony przez Bank.

5. Wykonawca zobowiązuje się stosować fizyczne, techniczne i organizacyjne środki zabezpieczeń zgodnie z najlepszymi praktykami z zakresu bezpieczeństwa informacji, w tym:

a) przydzielania, rejestracji, anulowania i derejestracji indywidualnych praw dostępu użytkowników;

b) przydzielania uprawnień do systemów, zgodnie z zasadą „najniższego niezbędnego poziomu uprawnień” oraz monitorowania ich użytkowania;

c) przydzielania haseł i zarządzania ich użytkowaniem, a także monitorowania go, wymiany haseł i egzekwowania okresów ich ważności;

d) zapewnienia identyfikacji i uwierzytelniania użytkowników;

e) stosowania mechanizmów kontroli dostępu;

f) stosowania i egzekwowania procedur logowania i zapewniania, że nieaktywne sesje zostają w wyznaczonym terminie przerwane;

g) rejestrowania i regularnego wykonywania przeglądów zapisów przebiegu przetwarzania, w celu sprawdzenia, czy wszystkie działania są prowadzone zgodnie z wewnętrznymi procedurami kontroli dostępu i zatwierdzonymi wnioskami.

6. O ile zgodnie z Umową, Wykonawca będzie uprawniony do powierzenia wykonywania czynności podwykonawcy, Wykonawca zobowiązany jest zapewnić, żeby podwykonawcy byli w takim samym zakresie jak Wykonawca zobowiązani do spełnienia wymagań bezpieczeństwa określonych w Umowie. Jeśli zachodzi konieczność opracowania dla podwykonawcy specyficznych wymagań w zakresie bezpieczeństwa i zgodności z regulacjami w kontekście współpracy podwykonawcy z Wykonawcą, Wykonawca zasygnalizuje tę kwestię Bankowi w momencie występowania o zgodę na podjęcie współpracy z podwykonawcą.

7. Po wygaśnięciu Umowy, Wykonawca zobowiązuje się – zgodnie z wyborem Banku – do zwrotu Bankowi lub trwałego zniszczenia wszystkich Informacji Poufnych, jakie otrzymał z Banku lub do których uzyskał dostęp w związku z wykonywaniem Umowy, w tym także nośników elektronicznych, chyba że ich przechowywanie jest wymagane z uwagi na wskazane przez Wykonawcę bezwzględnie obowiązujące przepisy prawa lub konieczne do wykazania prawidłowości wykonania Umowy, a zachowane Informacje Poufne nie będą obejmować danych prawnie chronionych. Fakt trwałego zniszczenia informacji Wykonawca udokumentuje poprzez sporządzenie stosownego protokołu, który zostanie niezwłocznie udostępniony Bankowi na jego życzenie.

8. Wykonawca zobowiązany jest do stworzenia i utrzymywania aktualnej dokumentacji użytkowej oraz wydawania Bankowi jej aktualizacji, w terminach do dwóch tygodni po dokonaniu zmiany Systemu. Dokumentacja użytkowa będzie prowadzona przez Wykonawcę w formie elektronicznej, w języku polskim lub angielskim. Dokumentację użytkową w rozumieniu Umowy stanowią podręczniki użytkownika, szczegółowe opisy, instrukcje instalacji, administracji i obsługi Systemu. Wykonawca zobowiązany jest dostarczyć Dokumentację Użytkową w formie elektronicznej. Dokumentacja użytkowa odnosi się do aktualnego stanu technicznego i funkcjonalnego Oprogramowania.

(20)

9. Wykonawca zobowiązany jest posiadać aktualną i precyzyjną Dokumentację funkcjonalną, techniczną, eksploatacyjną i użytkową swojego środowiska teleinformatycznego w zakresie tych jego elementów, które wykorzystywane są na potrzeby świadczenia usług dla Banku. Dokumentacja powinna być aktualizowana niezwłocznie po wprowadzeniu zmian do środowiska teleinformatycznego Wykonawcy.

Wykonawca zobowiązany jest udostępnić Dokumentację niezwłocznie na życzenie Banku.

10. Bank jest operatorem usługi kluczowej oraz usługi cyfrowej w rozumieniu ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa („UOC”). W związku z faktem, że wykonywanie przez Wykonawcę Umowy i określonych w niej usług może mieć wpływ na odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych Banku i/lub danych przetwarzanych przez Wykonawcę dla Banku lub związanych z nimi usług oferowanych przez te systemy („Cyberbezpieczeństwo”), Wykonawca zobowiązuje się do wykonania wszelkich czynności umożliwiających prawidłowe wykonanie przez Bank zobowiązań Banku wynikających z UOC i innych mających zastosowanie przepisów prawa dotyczących cyberbezpieczeństwa.

11. Wykonawca oświadcza, że posiada udokumentowany i wdrożony proces zarządzania incydentami bezpieczeństwa rozumianymi jako zdarzenia, które mają lub mogą mieć niekorzystny wpływ na Cyberbezpieczeństwo, zdarzenia stanowiące naruszenie jednego z atrybutów bezpieczeństwa informacji tj. poufności, integralności, autentyczności lub dostępności informacji, a w szczególności każde zdarzenie dot. dostępu członka Personelu Wykonawcy niezwiązanego ze zleconymi w ramach umowy pracami („Incydent”). Proces obejmuje w szczególności zgłaszanie, rejestrowanie, obsługę oraz raportowanie Incydentów u Wykonawcy oraz do Banku. Wykonawca jest zobowiązany niezwłocznie po wykryciu Incydentu, podjąć kroki niezbędne dla ograniczenia jego skutków oraz niezwłocznie lecz nie później niż w terminie 2 godzin przekazać do Banku informację o wystąpieniu Incydentu wraz z opisem zastosowanych środków za pomocą poczty elektronicznej na adres: ___________________ oraz telefonicznie na numer: +48 ____________________ Zmiana ww. danych kontaktowych Banku nie stanowi zmiany Umowy i dla swojej skuteczności nie wymaga powiadomienia Wykonawcy na piśmie.

12. Informacja o wystąpieniu Incydentu powinna obejmować informacje określone poniżej:

a) informacje o zgłaszającym, w tym dane kontaktowe;

b) opis zgłoszenia (przyczyny zajścia, przebieg, skutki);

c) czas wystąpienia incydentu;

d) czas identyfikacji incydentu;

e) kategorię incydentu;

f) priorytet zgłoszenia (krytyczność);

g) czas zgłoszenia;

h) opis podjętych działań naprawczych;

i) informacje o osobach upoważnionych do obsługi incydentu;

j) status zgłoszenia;

k) informacje o ewentualnym zainteresowaniu incydentem ze strony mediów i/lub zaistniałych już doniesieniach medialnych (data, źródło), jeśli są znane Wykonawcy;

l) informacje o ewentualnych skargach kierowanych przez klientów Banku lub podmioty trzecie do organów ścigania i/lub innych organów nadzorczych, jeśli są znane Wykonawcy;

m) opis działań podjętych przez komórkę organizacyjną Wykonawcy odpowiedzialną za obsługę incydentu bezpieczeństwa;

(21)

21 n) decyzje do podjęcia przez Bank; oraz

o) inne informacje wskazane przez Bank.

13. O ile, Wykonawca na podstawie UOC nie będzie zobowiązany do bezpośredniego i samodzielnego zgłaszania Incydentów do odpowiednich organów i instytucji, Wykonawca nie będzie samodzielnie dokonywał takich zgłoszeń.

14. Po wyjaśnieniu Incydentu Wykonawca powinien dostarczyć do Banku raport podsumowujący. Raport z Incydentu powinien zawierać m.in. następujące informacje:

a) działania podjęte na poszczególnych etapach obsługi Incydentu;

b) obszary potencjalnych usprawnień wraz z planem działań związanych z wdrożeniem środków zmierzających do zapobiegania występowania podobnych incydentów w przyszłości.

15. W przypadku gdy Wykonawca korzysta z podwykonawców, Wykonawca zapewni, aby podwykonawcy zobowiązani zostali do:

a) przestrzegania określonych w Umowie wymogów dotyczących Cyberbezpieczeństwa tak jak Wykonawca;

b) powiadamiania bezpośrednio Banku o wystąpieniu Incydentu na takich samych zasadach jak zgodnie z Umowa ma to wykonywać Wykonawca;

c) przekazywania bezpośrednio Bankowi raportu podsumowującego, o którym mowa w ustępie 14 powyżej.

16. Ilekroć w tym i w poniższych ustępach dotyczących dostępu do zasobów informatycznych Banku jest mowa o członkach Personelu Wykonawcy należy przez nich rozumieć również inne osoby fizyczne, które zgodnie z Umową mogą działać w imieniu Wykonawcy.

17. Jeżeli w związku z realizacją przedmiotu Umowy, zaistnieje konieczność uzyskania przez Wykonawcę dostępu do zasobów informatycznych Banku (w tym dostępu zdalnego), takich jak sieć komputerowa, usługi sieciowe, serwery, Wykonawca zobowiązuje się:

a) nie wykorzystywać dostępu do zasobów informatycznych Banku w celu innym niż przewidzianym Umową;

b) w przypadku posiadania możliwości nawiązywania połączenia z infrastrukturą bankową przy użyciu własnego sprzętu, zabezpieczać sprzęt zgodnie z najlepszymi praktykami w zakresie bezpieczeństwa teleinformatycznego;

c) nie używać sprzętu lub oprogramowania zawierających wirusy lub błędy o charakterze destrukcyjnym dla zasobów informatycznych Banku.

18. Bank określi zasady dostępu Wykonawcy do zasobów informatycznych Banku oraz wskaże narzędzia i konfiguracje niezbędne do nawiązania połączenia z infrastrukturą bankową. W razie zaistnienia konieczności wprowadzenia zmian w narzędziach i konfiguracji, Bank poinformuje o tym Wykonawcę. W przypadku konieczności dostępu do środowisk produkcyjnych Bank przeanalizuje zasadność zastosowania dodatkowych zabezpieczeń w ramach dostępu do tych środowisk.

19. Członkowie Personelu Wykonawcy, którzy otrzymają login i hasło dostępu do zasobów informatycznych Banku (w tym dostępu zdalnego), nie mogą go udostępniać osobom trzecim.

20. Bank udzieli Wykonawcy i członkom Personelu Wykonawcy dostępu zdalnego do zasobów informatycznych Banku wyłącznie wtedy, gdy dostęp taki został przewidziany w Umowie oraz wyłącznie w zakresie niezbędnym do realizacji przedmiotu Umowy.

Warunkiem uzyskania dostępu zdalnego przez Wykonawcę i/lub członków Personelu Wykonawcy jest złożenie odpowiedniego oświadczenia w związku z korzystaniem z dostępu zdalnego do zasobów informatycznych Banku, według wzoru wskazanego przez Bank.

(22)

21. Bank może odmówić nadania Wykonawcy i/lub członkowi Personelu Wykonawcy dostępu do zasobów informatycznych Banku, w tym w szczególności dostępu zdalnego, bez wskazywania uzasadnienia. Bank nie będzie ponosił odpowiedzialności za odmowę nadania takiego dostępu.

22. Wykonawca niezwłocznie poinformuje Bank o konieczności odebrania uprawnień członkowi jego personelu, który w ramach usług świadczonych przez Wykonawcę dla Banku, uzyskał dostęp do zasobów informatycznych Banku, gdy tylko posiadanie takich uprawnień przez pracownika Wykonawcy stanie się bezzasadne, w szczególności na skutek zakończenia współpracy Wykonawcy z członkiem personelu, długotrwałej nieobecności członka Personelu Wykonawcy lub w związku z przeniesieniem go do innych obowiązków nie związanych ze świadczeniem usług dla Banku.

23. Wykonawca będzie niezwłocznie informował osobę odpowiedzialną za realizację umowy po stronie Banku o zauważonych nieprawidłowościach, błędach lub innych problemach związanych z funkcjonowaniem dostępu do zasobów informatycznych Banku, w tym w szczególności zdalnego dostępu.

24. Wykonawca zobowiązuje się w stosunku do Banku stosować następujące wytyczne przy realizacji przedmiotu Umowy w zakresie dostępu do zasobów informatycznych Banku:

25. czynności wykonywane przez członków Personelu Wykonawcy będą realizowane z uprawnieniami skonfigurowanymi zgodnie z zasadą minimalnych uprawnień koniecznych;

a) dostęp zdalny realizowany będzie w oparciu o ustaloną technologię na podstawie indywidualnie przypisanej nazwy użytkownika i hasła oraz ewentualnie dodatkowych mechanizmów uwierzytelniających;

b) nadanie nazw użytkowników i haseł członkom personelu Wykonawcy odbędzie się na podstawie dostarczonej przez Wykonawcę listy osób upoważnionych do wykonywania określonych czynności oraz wymogów przewidzianych powyżej;

c) nadanie dostępu do zasobów informatycznych Banku, w tym w szczególności dostępu zdalnego, członkom Personelu Wykonawcy wiąże się z monitorowaniem i/lub utrwaleniem czynności wykonywanych przez te osoby, o czym Wykonawca z odpowiednim wyprzedzeniem poinformuje członków Personelu Wykonawcy upoważnionych do wykonywania określonych czynności przewidzianych Umową.

26. Wykonawca nie może uzyskiwać dostępu do zasobów informacyjnych Banku w tym Informacji Poufnych Banku z pominięciem mechanizmów kontroli dostępu lub mechanizmów podziału lub ograniczenia uprawnień stosowanych przez Bank.

27. Wykonawca zobowiązuje się do nieumieszczania w rozwiązaniach, produktach prac, infrastrukturze i oprogramowaniu udostępnianych Bankowi w ramach Umowy funkcji umożliwiających uzyskanie dostępu do tych rozwiązań, produktów prac, infrastruktury i oprogramowania oraz rozwiązań teleinformatycznych Banku z pominięciem mechanizmów kontroli dostępu lub mechanizmów podziału lub ograniczenia uprawnień.

28.Wykonawca oświadcza, że rozwiązania, produkty prac, infrastruktura i oprogramowanie udostępniane Bankowi w ramach Umowy nie będą w chwili ich przekazania do Banku zawierały żadnych podatności, wirusów i szkodliwego oprogramowania. Jeśli się one pojawią Wykonawca niezwłocznie na własny koszt usunie je oraz naprawi szkody wywołane przez te podatności, wirusy lub błędy. Odpowiedzialność Wykonawcy za takie szkody nie podlega ograniczeniom a obowiązek usunięcia podatności, wirusów i błędów, o którym mowa powyżej trwa nawet po odebraniu przez Bank danego rozwiązania, produktu prac, infrastruktury lub oprogramowania i po wygaśnięciu Umowy.

(23)

23 OBSZAR TECHNOLOGII:

Wymagania dotyczące infrastruktury usług chmurowych L

p

Wymaganie Rekomendacj a zastosowania

Komentarz

1

Oferowane usługi hostowane powinny zapewniać posiadanie powszechnie uznanych i rozpowszechnionych

standardów i norm

potwierdzonych aktualnymi wynikami niezależnych audytów, w szczególności:

a ISO 20000 Opcjonalne

Możliwość niespełnienia tego wymagania lub jego części przez dostawcę usług chmurowych powinna wynikać z przeprowadzonej analizy ryzyka.

b ISO 27001 Wymagane

Komunikat UKNF dopuszcza możliwość niespełnienia tego wymagania lub jego części jeżeli wynika to z przeprowadzonej analizy ryzyka. Jednak norma 27001 zawiera podstawowe wymagania odnoszące się do bezpieczeństwa informacji, dlatego wskazane jest korzystanie z dostawców usług chmury obliczeniowej certyfikowanych na zgodność z niniejszą normą ISO.

c ISO 22301 Opcjonalne

d ISO 27017 Wymagane

Komunikat dopuszcza możliwość niespełnienia tego wymagania lub jego części jeżeli wynika to z przeprowadzonej analizy ryzyka. Jednak norma 27017 zawiera podstawowe wymagania odnoszące się do zabezpieczenia informacji dla usług w chmurze, dlatego wskazane jest korzystanie z dostawców usług chmury obliczeniowej certyfikowanej na zgodność z niniejszą normą ISO.

e ISO 27018 Wymagane

Komunikat dopuszcza możliwość niespełnienia tego wymagania lub jego części jeżeli wynika to z przeprowadzonej analizy ryzyka. Jednak norma 27018 zawiera podstawowe wymagania odnoszące się do dobrych praktyk zabezpieczania danych

(24)

osobowych w chmurze obliczeniowej, dlatego wskazane jest korzystanie z dostawców usług chmury obliczeniowej certyfikowanej na zgodność z niniejszą normą ISO.

f SOC 2 Opcjonalne

g

Spełnianie wymogów normy klasy 3 PN-EN 50600 lub ANSI/TIA-942 minimum Tier III, lub innego normatywu odpowiedniego i uznanego do oceny CPD lub zawierającego wymagania z nim związane

Wymagane

Możliwość niespełnienia tego wymagania lub jego części przez dostawcę usług chmurowych powinna wynikać z przeprowadzonej analizy ryzyka, jednakże wskazane jest korzystanie z dostawców usług chmury obliczeniowej którzy zobowiązują się do stosowania odpowiednich norm umożliwiających ocenę CPD.

2

Dostawca chmury musi zapewniać SLA na wszystkie oferowane usługi na poziomie minimum 99,5%.

Opcjonalne

Rekomendowane jest korzystanie z usług, które oferują wysokie parametry SLA, jednakże należy mieć na uwadze, że część usług chmurowych może charakteryzować się niższym SLA lub w ogóle go nie oferować. Ocena parametrów SLA i wybór konkretnych usług chmurowych będzie wykonywany pod kątem każdej aplikacji/systemu osobno. Pod uwagę należy również brać charakterystykę środowiska np.

środowiska testowe.

3

Dostęp do portalu

administracyjnego infrastruktury musi być możliwy z dowolnego miejsca poprzez przeglądarkę internetową (co najmniej połączenie szyfrowane SSL/TLS) bez konieczności instalowania dodatkowego oprogramowania.

Wymagane

Wskazane jest korzystanie z dostawców usług chmurowych, którzy oferują dostęp do portalu administracyjnego z wykorzystaniem szyfrowanego połączenia.

4

Możliwość zarządzania zasobami infrastruktury z portalu administracyjnego

zapewnionego przez dostawcę chmury.

Wymagane

Wskazane jest korzystanie z usług dostawców chmurowych, którzy udostępniają graficzny portal administracyjny do zarządzania powołanymi usługami.

5

Możliwość powoływania zasobów z wykorzystaniem IaC w technologii Terraform (Opcjonalne)

Wymagane

Tworzenie środowisk z wykorzystaniem Infrastructure as Code jest standardem rynkowym, szczególnie w przypadku dynamicznych środowisk w dużej skali.

6

Możliwość szyfrowania dysków

twardych kluczem

generowanym i zarządzanym przez klienta.

Wymagane

Ewentualne odstąpienie od spełniania tego wymagania lub jego części przez dostawcę usług chmurowych powinno wynikać z przeprowadzonej analizy ryzyka.

(25)

25 7

Informacje przetwarzane w chmurze obliczeniowej powinny być szyfrowane zarówno „at rest”

jak i „in transit”.

Wymagane

Ewentualne odstąpienie od spełniania tego wymagania lub jego części przez dostawcę usług chmurowych powinno wynikać z przeprowadzonej analizy ryzyka.

8

Możliwość szyfrowania z wykorzystaniem sprzętowych rozwiązań HSM powinny spełniać wymagania minimum FIPS10 140-2 Level 2 lub równoważne.

Opcjonalne

9

Dostawca usług chmury obliczeniowej zapewnia w swoim postępowaniu

udokumentowaną zasadę ochrony przetwarzanych przez Bank informacji przed nieautoryzowanym dostępem lub użyciem przez swoich pracowników lub poddostawców poprzez co najmniej:

a

domyślną zasadę braku dostępu do przetwarzanych informacji Banku;

Wymagane

Rodzaj i zakres wymaganego mechanizmu powinien wynikać z przeprowadzonej analizy ryzyka.

b

domyślną zasadę braku konta administracyjnego lub użytkownika na maszynach wirtualnych Banku lub w innych uruchamianych

usługach chmury

obliczeniowej;

Wymagane

c

zasadę „minimum

koniecznego” dla uprawnień serwisowych nadawanych wyłącznie w sytuacji konieczności wykonania czynności wymaganych przez podmiot nadzorowany (w tym również usunięcia usterek) oraz na czas ich trwania, przy czym realizacja czynności poprzedzona jest zleceniem Banku, a cały proces obsługi i wykonania czynności jest logowany.

Obowiązujące w tym zakresie procedury obsługi mogą być dodatkowo potwierdzone stosownym certyfikatem (np.

SOC 2 Type 2) wydanym przez niezależną jednostkę certyfikującą akredytowaną w europejskim systemie akredytacji;

Wymagane