Prezes Zarządu - dr n. med. Andrzej Siwiec zwanym dalej „Zamawiającym”

Załącznik Nr 4 do Zapytania Ofertowego Nr 27/2017

UMOWA CP/DA /2017/W

Zawarta w dniu ... pomiędzy Centrum Pediatrii im. Jana Pawła II w Sosnowcu Spółka z ograniczoną odpowiedzialnością, 41-218 Sosnowiec, ul. Zapolskiej 3, działającym na podstawie KRS nr 0000532342, posiadające numer NIP 644-35-08 -924, numer REGON 276240724

reprezentowanym przez :

Prezes Zarządu - dr n. med. Andrzej Siwiec zwanym dalej „Zamawiającym”

a

...

...

reprezentowane przez

... ...

zwanym dalej „Wykonawcą”

Podstawą zawarcia umowy jest udzielenie zamówienia publicznego w trybie art. 4 pkt 8 ustawy z dnia 29 stycznia 2004r. – Prawo zamówień publicznych ( Dz. U z 2013, poz.907 ze zm.). Zapytanie ofertowe oraz oferta Wykonawcy stanowią integralną część niniejszej umowy.

§ 1

Przedmiot umowy

1. Przedmiotem niniejszej umowy jest określenie praw i obowiązków Zamawiającego i Wykonawcy w zakresie wykonania przez Wykonawcę na rzecz Zamawiającego usługi polegającej na przeprowadzeniu zewnętrznego audytu bezpieczeństwa teleinformatycznego z wykorzystaniem testów penetracyjnych systemu IT Wykonawcy.

2. W ramach Przedmiotu umowy Wykonawca podejmie działania ukierunkowane na wykonanie podstawowych metod oceny stanu technicznego zabezpieczenia zasobów systemu informatycznego Zamawiającego za pomocą:

a. testów kontrolnych w celu sprawdzenia poprawności instalacji i konfiguracji systemu,

b. testów penetracyjnych w celu identyfikacji słabych punktów systemu zabezpieczeń i symulacji włamań,

c. analizy systemowej zabezpieczeń w celu teoretycznej i praktycznej oceny bezpieczeństwa systemu informatycznego Zleceniodawcy.

3. Celem czynności opisanych w ust. 2 powyżej jest doskonalenie praktycznej oceny poziomu bezpieczeństwa zasobów informatycznych systemu w zdefiniowanej przez Zamawiającego całości pod kątem szczelności i odporności na nieupoważnione ingerencje w działanie systemu z obszaru sieci zewnętrznej.

4. Strony oświadczają, iż:

a. są uprawnione do zawarcia niniejszej Umowy, a także, że do jej zawarcia nie są wymagane, żadne zgody ani zezwolenia, które nie zostały dołączone,

b. zawarcie niniejszej Umowy nie jest, ani nie będzie sprzeczne z bezwzględnie

obowiązującymi przepisami prawa w dniu zawarcia niniejszej Umowy, ani też

z prawomocnym orzeczeniem sądu powszechnego, sądu polubownego lub

decyzjami administracyjnymi wydanymi przez urzędy państwowe lub inne organy jak również, że nie toczy się jakiekolwiek postępowanie, które mogłoby doprowadzić do wydania takiego orzeczenia bądź decyzji.

§ 2

Szczegółowy zakres zlecenia

1. Szczegółowy zakres zlecenia obejmuje kompleksową realizację działań i dzieli się na następujące etapy prac:

a. wykonanie testów penetracyjnych, b. analiza bezpieczeństwa zewnętrznego,

c. opracowanie zaleceń w zakresie bezpieczeństwa systemów informatycznych.

2. Wykonawca zobowiązuje się do:

a. dochowania najwyższej staranności w zakresie świadczenie usług objętych niniejszą Umową;

b. zapewnienia wykwalifikowanego personelu, przy pomocy którego będzie wykonywał czynności objęte niniejszą Umową;

c. przestrzegania regulacji dotyczących ochrony danych osobowych, w których posiadanie może wejść w związku z zawarciem i wykonywaniem Umowy, oraz zapewnienia odpowiednich środków ochrony w tym zakresie, uniemożliwiających utratę, ujawnienie, udostępnienia lub przetwarzanie tych danych;

3. Zamawiający zobowiązuje się dostarczyć Wykonawcy wszelkie posiadane przez niego informacje, dane i dokumenty niezbędne dla wykonania Umowy, współdziałać w wykonaniu Umowy i terminowo zapłacić wynagrodzenie, o którym mowa w § 3 ust.1 Umowy.

4. W celu prawidłowej realizacji Umowy Zamawiający zobowiązuje się utrzymywać bieżące kontakty z przedstawicielami Wykonawcy

5. Osobami odpowiedzialnymi za utrzymanie bieżących kontaktów między stronami Umowy są:

a. ze strony Zamawiającego: ………..

b. ze strony Wykonawcy: ………

6. Zamawiający zobowiązuje się do niezwłocznego powiadamiania Wykonawcy o wszelkich zdarzeniach, które w ocenie Zamawiającego mają znaczenie dla prawidłowego wykonywania przez Wykonawcę swoich obowiązków.

7. Zamawiający zobowiązuje się ponadto do zapewnienia Wykonawcy warunków niezbędnych do realizacji Umowy, jeżeli bez zapewnienia tych warunków Umowa nie może być wykonywana lub nie może być wykonywana w sposób należyty.

W szczególności Zamawiający zobowiązany jest do zapewnienia:

a. pisemnie upoważnionym przedstawicielom Wykonawcy zdalnego dostępu do systemu informatycznego, w którym zainstalowane są składniki oprogramowania z wykorzystaniem połączeń internetowych;

b. wydania pisemnie upoważnionym przedstawicielom Wykonawcy stosownego upoważnienia od administratora danych osobowych, jeżeli będzie to konieczne z uwagi na zakres wykonywanych czynności;

8. Usługi objęte niniejszą Umową świadczone będą w następującym miejscu: ul. G.

Zapolskiej 3, 41-218 Sosnowiec (dalej: „Lokalizacja”).Strony postanawiają, iż zmiana

lokalizacji w stosunku do Lokalizacji wskazanej w zdaniu pierwszym nie wymaga

sporządzenia aneksu do Umowy. Zmiana Lokalizacji bądź też wprowadzenie nowych

Lokalizacji przeprowadzana jest poprzez oświadczenie Zamawiającego przekazane Wykonawcy w formie pisemnej, w formie faksu lub e-mail na wskazane adresy dla komunikacji z co najmniej 7 dniowym wyprzedzeniem.

9. Wykonawca jest upoważniony do zlecania zobowiązań przyjętych Umową na rzecz podwykonawców, wyłącznie po uzyskaniu pisemnej zgody Zamawiającego.

§ 3 Wynagrodzenie

1. Z tytułu realizacji umowy Wykonawcy przysługiwać będzie wynagrodzenie ryczałtowe w wysokości ………. zł netto (słownie: ………),

……… zł brutto (słownie: ………). Do wynagrodzenia doliczony został podatek od towarów i usług w wysokości wynikającej z obowiązujących przepisów prawa.

2. Wynagrodzenie, o którym mowa w ust. 1 będzie płatne w terminie do 30 dni od dnia otrzymania przez Zamawiającego prawidłowo wystawionej faktury. Za termin płatności przyjmuje się dzień obciążenia rachunku bankowego Zamawiającego należną Wykonawcy kwotą.

3. W przypadku opóźnienia w dokonaniu płatności Wykonawca może obciążyć Zamawiającego ustawowymi odsetkami za opóźnienie.

§ 4

Obowiązywanie umowy

1. Przedmiot umowy wraz z Raportem wykonany zostanie i przekazany Zamawiającemu w terminie do 21 dni kalendarzowych od podpisania umowy.

2. Odbiór czynności będących przedmiotem umowy odbędzie się na podstawie Protokołu przekazania/odbioru Raportu.

3. Datę podpisania przez Zamawiającego Protokołu, o którym mowa w ust. 2 niniejszego paragrafu traktuje się jako datę prawidłowego wykonania umowy i odbioru usługi.

§ 5

Testy penetracyjne sieci Zamawiającego

1. Celem Usługi w zakresie realizacji testów penetracyjnych - stanowiących podstawowy sposób analizy bezpieczeństwa systemu informatycznego - jest dokonanie praktycznej oceny poziomu bezpieczeństwa zasobów informatycznych systemu w zdefiniowanej przez Zamawiającego części, pod kątem szczelności i odporności na nieupoważnione ingerencje w działanie systemu z obszaru sieci wewnętrznej i Internetu. Ponadto celem Usługi jest identyfikacja jak największej liczby podatności stanowiących lub mogących stanowić zagrożenie dla bezpieczeństwa przetwarzanych, przesyłanych i przechowywanych informacji oraz danych, a także usług biznesowych realizowanych przez system Zamawiającego.

2. Zamawiający oświadcza, iż jest świadomy, iż przeprowadzone przez Wykonawcę

testy penetracyjne nie będą się ograniczać jedynie do sprawdzenia zewnętrznej

warstwy aplikacji widocznej dla użytkowania, ale wymagają również ingerencji w

oprogramowanie komputerowe Zamawiającego.

3. Zamawiający w związku z realizacją usług objętych niniejszą Umowa, w tym w szczególności w zakresie realizacji testów penetracyjnych, wyraża zgodę i udziela prawa dostępu - w rozumieniu art. 267, 268, 268a, 269, 269, 269b ustawy z dnia 6 czerwca 1997 roku - Kodeks karny (Dz. U. 2016 poz.1137) – do sieci informatycznej Zamawiającego. Zgoda i udzielenie prawa dostępu do sieci informatycznej ma charakter bezwarunkowy i nieodwołalny w okresie obowiązywania umowy. Skutkiem udzielonej zgody, jak i udzielonego prawa dostępu do sieci jest uchylenie odpowiedzialności karnej Wykonawcy w związku z realizacją Usługi.

§ 6

Przeniesienie praw autorskich do Raportu

1. Potwierdzeniem wykonania Przedmiotu Umowy w zakresie realizacji testów penetracyjnych będzie raport opisujący rzeczywisty stan zabezpieczenia zasobów systemu informatycznego (dalej: „Raport”). Raport będzie zawierał szczegółowy opis wszystkich zidentyfikowanych podatności wraz z wynikami analizy zagrożeń.

Wykonawca dostarczy jeden egzemplarz Raportu w języku polskim w formie drukowanej oraz elektronicznej w formacie umożliwiającym edycję.

2. Wykonawca przenosi bez odrębnego wynagrodzenia na Zamawiającego autorskie prawa majątkowe do opracowanego Raportu z przeprowadzonych testów penetracyjnych na wszystkich znanych polach eksploatacji, a w szczególności:

a. utrwalanie,

b. trwałe zwielokrotnianie każdą możliwą techniką, w szczególności poprzez drukowanie, wykonywanie odbitek, przy użyciu nośników magnetycznych, magnetooptycznych, cyfrowych, technik video, techniką komputerową lub przy pomocy rzutnika,

c. wgranie raportów do pamięci trwałej komputera, przesyłanie za pomocą sieci multimedialnej, komputerowej i teleinformatycznej, w tym Internetu,

d. nadawanie, remitowanie, publiczne udostępnianie opracowań w taki sposób, aby każdy mógł mieć do niego dostęp w miejscu i czasie przez siebie wybranym.

3. Przeniesienie praw autorskich nastąpi w dniu przyjęcia opracowanego Raportu z przeprowadzonych testów przez Wykonawcę tj. podpisania przez Strony bez zastrzeżeń Protokołu przekazania/odbioru Raportu.

§7

Poufność informacji

1. W związku z zawarciem niniejszej Umowy, Wykonawca będzie miał dostęp do informacji poufnych stanowiących tajemnicę przedsiębiorstwa Zamawiającego.

2. Przez informacje poufne rozumie się wszelkie informacje stanowiące tajemnicę przedsiębiorstwa Zamawiającego, w tym przekazane ustnie lub utrwalone w dowolnej formie, pisemnej, graficznej lub w formie danych zawartych na nośnikach, ujawnione w trakcie realizacji Umowy lub w związku z tą Umową oraz informacje do których Wykonawca mimowolnie uzyskał dostęp, a dotyczące w szczególności:

a. know – how, projektów, specyfikacji, dokumentów oraz wszelkich danych handlowych, finansowych, organizacyjnych, technicznych, technologicznych, i innych,

b. danych stanowiących tajemnicę prawnie chronioną, które obejmują w

szczególności dane osobowe klientów i pracowników Zamawiającego,

c. danych personalnych, ekonomicznych i prawnych Zamawiającego,

d. wszelkich informacji dotyczących Zamawiającego nie podanych do wiadomości publicznej, a uzyskanych teraz lub w przyszłości w związku z podjętą współpracą.

3. W razie otrzymania informacji poufnych Wykonawca zobowiązuje się:

a. traktować informacje poufne zgodnie z ich specyfiką i chronić je w należyty sposób przynajmniej w tym samym stopniu w jakim Zamawiający chroni swoje własne informacje tego typu,

b. wykorzystywać wszelkie informacje poufne uzyskane w trakcie realizacji Umowy oraz w związku ze współpracą wyłącznie dla celów określonych i w zakresie uzgodnionym przez Strony,

c. nie kopiować ani w żaden inny sposób nie powielać informacji poufnych Zamawiającego, chyba że potrzeba taka wynikać będzie ze współpracy pomiędzy Stronami,

d. przekazywać informacje poufne tylko pracownikom lub podwykonawcom, których obowiązki wynikające ze współpracy pomiędzy Stronami wymagają takiej wiedzy, co oznacza bezwzględny zakaz przekazania tych informacji osobom trzecim bez pisemnej zgody Zamawiającego,

e. w trybie niezwłocznym poinformować Zamawiającego, jeżeli występuje podejrzenie, że Wykonawca będzie zmuszony do ich ujawnienia na mocy decyzji administracyjnych lub orzeczeń sądowych.

4. Wykonawca zobowiązany jest do zwrotu wszelkich materiałów, w jakiejkolwiek formie, razem ze wszelkimi kopiami oraz opracowaniami, autoryzowanymi bądź nie.

5. Strony nie mają obowiązku utrzymywania poufnego charakteru informacji w stosunku do:

a. informacji, która jest lub stanie się ogólnodostępna, ale nie na skutek jej ujawnienia przez Stronę otrzymującą lub któregokolwiek z jej pracowników lub kontrahentów,

b. informacji, która wcześniej potwierdzona jest na piśmie jako informacja jawna, c. informacji, której ujawnienie wymagane jest przepisami prawa.

§ 8

Przetwarzanie danych osobowych Zamawiającego

1. Zamawiający oświadcza, że jest administratorem danych osobowych w rozumieniu art. 6 Ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 roku (dalej jako:

„Ustawa”), do których należą w szczególności: dane pacjentów i pracowników Centrum Pediatrii.

2. Zamawiający oświadcza, że przetwarza dane osobowe zgodnie z aktami powszechnie obowiązującego prawa, w tym zgodnie z art. 23 i 27 Ustawy.

3. Zamawiający oświadcza, że w pełni realizuje odpowiednią ochronę danych osobowych zgodnie z dyspozycją art. 36-39 Ustawy oraz przepisami wykonawczymi wydanymi na podstawie art. 39a Ustawy.

4. Zamawiający jako administrator danych osobowych, powierza, zgodnie z art. 31 ust. 1 Ustawy, Wykonawcy przetwarzanie danych osobowych wyłącznie w związku i w celu wykonania niniejszej Umowy.

5. Wykonawca nie ponosi żadnej odpowiedzialności za treść danych otrzymywanych i przechowanych przez Zamawiającego.

6. Wykonawca zobowiązuje się do zachowania w tajemnicy wszelkich informacji,

danych oraz materiałów uzyskanych w związku z zawarciem niniejszej Umowy.

7. Obowiązek zachowania tajemnicy, o którym mowa w ust. 5 obejmuje także wszystkich uczestników procesu realizacji niniejszej Umowy.

8. W przypadku zakończenia obowiązywania Umowy, Wykonawca jest zobowiązany do trwałego zniszczenia wszelkich kopii danych będących w jego posiadaniu oraz podjęcia stosownych działań w celu wyeliminowania możliwości dalszego przetwarzania danych osobowych powierzonych na podstawie niniejszej Umowy.

9. W przypadku naruszenia zapisów Ustawy przez Wykonawcę zobowiązuje się on do pokrycia szkód, nałożonych kar i roszczeń osób trzecich wynikających z ich naruszenia.

§ 9

Odpowiedzialność

1. Strony zgodnie ustalają, iż prawidłowa realizacja Przedmiotu umowy nie będzie stanowić naruszenia tajemnicy przedsiębiorstwa Zamawiającego w rozumieniu art. 11 ustawy o zwalczaniu nieuczciwej konkurencji.

2. Wykonawca w ramach realizacji niniejszej Umowy odpowiedzialny jest w stosunku do Zamawiającego za pośrednie, uboczne lub następcze szkody, wliczając w to bez ograniczeń – utratę korzyści, zysków, renomy, reputacji lub strat i wydatków wynikających z roszczeń Zamawiającego lub osób trzecich.

3. Wykonawca może także zostać pociągnięty do odpowiedzialności za straty i szkody, jeżeli straty te i szkody wynikają z faktu nie wykrycia przez Wykonawcę zagrożenia dla bezpieczeństwa przetwarzanych, przesyłanych i przechowywanych informacji oraz danych, a także usług realizowanych przez Zamawiającego.

§ 10

Postanowienia ogólne

1. Wszelkie zmiany niniejszej Umowy wymagają dla swej ważności formy pisemnej.

2. Strony zobowiązują się do polubownego rozstrzygania wszelkich sporów wynikłych z Umowy. W przypadku, gdyby Strony nie osiągnęły porozumienia w drodze ugody, spór zostanie rozstrzygnięty przez sąd powszechny właściwy dla siedziby Zamawiającego, chyba że właściwość innego sądu wynikać będzie z bezwzględnie obowiązujących przepisów prawa.

3. W przypadku, gdy którekolwiek postanowienie niniejszej Umowy jest albo stanie się nieważne lub nieskuteczne, nie ma to wpływu na skuteczność pozostałych jej postanowień. W takim przypadku strony zobowiązują się zastąpić nieważne postanowienia takimi postanowieniami, które w swej treści najbardziej będą odpowiadać zamierzonym celom Umowy. Dotyczy to również sytuacji, gdy w umowie ujawni się luka prawna albo gdy postanowienie Umowy okaże się niewykonalne.

4. W sprawach nieuregulowanych Umową mają zastosowanie przepisy Kodeksu cywilnego, ustawy z dnia 4 lutego 1994 r. - o prawie autorskim i prawach pokrewnych oraz inne przepisy mające związek z Przedmiotem Umowy.

5. Umowę sporządzono w 2 jednobrzmiących egzemplarzach, po 1 dla każdej ze Stron.

Wykonawca Zamawiający