6
Załącznik nr 1 – Istotne dla Zamawiającego postanowienia, które zostaną wprowadzone w treści umowy.
UMOWA
zawarta w dniu ……… w Rybniku pomiędzy:
Powiatowym Urzędem Pracy w Rybniku, ul. Jankowicka 1, 44-200 Rybnik (NIP: 6422658110) reprezentowanym przez :
mgr Annę Michalczyk – Dyrektora Powiatowego Urzędu Pracy w Rybniku zwanym dalej ZAMAWIAJĄCYM
a
………..
………..
zwanym dalej WYKONAWCĄ
w rezultacie dokonania wyboru oferty w postępowaniu przedmiotowym o udzielenie zamówienia publicznego, którego wartość szacunkowa nie przekracza wyrażonej w złotych równowartości kwoty 30.000,00 EURO.
§ 1
1. Przedmiotem zamówienia jest przeprowadzenie audytu bezpieczeństwa danych osobowych, audytu legalności oprogramowania (83 stacji roboczych i 4 serwerów) oraz audytu teleinformatycznego zgodnie ze szczegółowym opisem przedmiotu zamówienia zawartym w niniejszym paragrafie.
2. Audyt bezpieczeństwa danych osobowych obejmuje:
1) Kontrolę zabezpieczeń fizycznych i środowiskowych:
a. weryfikację zabezpieczeń wejścia/wyjścia,
b. weryfikację systemów zabezpieczeń pomieszczeń i urządzeń,
c. analizę planu pomieszczeń biurowych będących w użytkowaniu PUP w celu rozpoznania stref,
d. weryfikację obszarów publicznie dostępnych, e. weryfikację lokalizacji i ochrony sprzętu.
2) Testy socjotechniczne:
a. próby pozyskania poufnych informacji od użytkowników,
b. próby umieszczenia szkodliwego oprogramowania na stacjach roboczych, c. próby uzyskania dostępu do danych poufnych u użytkowników,
7
d. sprawdzenie sposobu przechowywania haseł przez użytkowników (zasada czystego biurka i czystego ekranu),
e. weryfikacja ochrony powierzonego sprzętu i dokumentacji.
3) Weryfikację dokumentacji Polityki Bezpieczeństwa Danych Osobowych oraz Instrukcji ochrony danych osobowych, Instrukcji określającej sposób zarządzania systemem informatycznym i Instrukcji postępowania w sytuacjach naruszenia ochrony danych osobowych, w tym określenie zbiorów przetwarzanych danych osobowych.
4) Weryfikację rejestracji zbiorów danych osobowych w GIODO.
5) Podsumowanie oraz wnioski z przeprowadzonych badań:
a. sporządzenie raportu zawierającego zalecenia poaudytowe,
b. wykrycie braków oraz przedstawienie propozycji zmian zapisów w instrukcjach oraz Polityce Bezpieczeństwa Danych Osobowych, zgodnie z ustawą o ochronie danych osobowych, rozporządzeniem z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012 r. poz. 526 ze zm.).
6) Szkolenie w siedzibie Zamawiającego 20 - osobowej grupy pracowników z ochrony i bezpieczeństwa przetwarzania danych osobowych w szczególności w następującym zakresie:
- omówienie podstawowych zasad bezpieczeństwa informacji i wypełniania procedur dotyczących pracowników wynikających z aktów wewnętrznych obowiązujących u Zamawiającego,
- zagrożenia związane z przetwarzaniem informacji,
- odpowiedzialność za naruszenie Polityki Bezpieczeństwa Danych Osobowych, - zasady zgłaszania i procedury reagowania na incydenty.
3. Audyt legalności oprogramowania obejmuje:
1) Skanowanie komputerów i serwerów pod kątem zainstalowanego oprogramowania oraz plików multimedialnych.
2) Przygotowanie i przekazanie poufnego raportu wstępnego o stanie legalności oprogramowania po pierwszym skanowaniu (spis zainstalowanego oprogramowania oraz zapisanych plików multimedialnych) w ciągu 10 dni roboczych od dnia rozpoczęcia audytu.
3) Inwentaryzację dokumentacji licencyjnej przedstawionej przez Zamawiającego:
a. sporządzenie spisu posiadanych licencji w formacie *.xls,
b. segregacja dowodów licencyjnych (faktury zakupu, oryginalne nośniki, certyfikaty autentyczności, umowy licencyjne),
c. stworzenie kompletów dokumentacji licencyjnej do całości oprogramowania zainstalowanego na poszczególnych stacjach roboczych.
8
4) Weryfikację i porządkowanie oprogramowania:
a. porównanie zainstalowanego oprogramowania na poszczególnych stacjach ze spisem licencji,
b. omówienie rozbieżności między zainstalowanym oprogramowaniem, a posiadanymi licencjami oraz sporządzenie spisu oprogramowania do usunięcia lub uzupełnienia licencji,
c. usunięcie nielegalnego oprogramowania z komputerów, na które urząd nie posiada licencji oraz plików chronionych prawem autorskim (pliki muzyczne, filmy itp.),
d. zainstalowanie lub przeinstalowanie i konfiguracja oprogramowania jeżeli wersje aktualnie zainstalowane nie odpowiadają posiadanym przez Zamawiającego licencjom.
5) Ponowne skanowanie jednostek, weryfikacja dokumentacji i wdrożonych zasad zarządzania oprogramowaniem.
6) Przygotowanie metryk komputerów w formacie *.xls.
7) Potwierdzenie przeprowadzenia działań naprawczych.
8) Przygotowanie i przekazanie końcowego raportu wynikowego z przeprowadzonego audytu.
9) Wystąpienie do firmy Microsoft o wydanie certyfikatu “Microsoft Software Asset Management”.
10) Nadanie Urzędowi Certyfikatu Wykonawcy, potwierdzającego używanie jedynie legalnego oprogramowania.
4. Audyt teleinformatyczny obejmuje:
1) Analizę konfiguracji stacji roboczych i serwerów:
a. badanie i weryfikacja metod autoryzacji,
b. weryfikację zmian konfiguracyjnych i aktualizacji oprogramowania, c. weryfikacje zabezpieczeń przed złośliwym oprogramowaniem, d. weryfikację dostępności i ciągłości działania,
e. analizę systemu zarządzania kopiami zapasowymi, f. ocenę konfiguracji systemu operacyjnego,
g. badanie luk,
h. weryfikację zasad i procedur korzystania przez pracowników z internetu.
2) Testy penetracyjne urządzeń sieciowych:
a. skanowanie listy otwartych portów na urządzeniach sieciowych, b. analizę podatności urządzeń w infrastrukturze sieciowej,
c. zbadanie podatności styku sieci lokalnej z internetem na ataki z sieci zewnętrznej,
9
d. weryfikację poziomu bezpieczeństwa tunelu VPN zestawionego pomiędzy 2 routerami brzegowymi.
3) Podsumowanie oraz wnioski z przeprowadzonych badań:
a. sporządzenie raportu zawierającego zalecenia poaudytowe.
5. Oferta Wykonawcy z dnia ……. stanowi integralną część niniejszej umowy.
6. Miejsca przeprowadzania audytu: Powiatowy Urząd Pracy w Rybniku, ul. Jankowicka 1, 44-200 Rybnik oraz Lokalny Punkt Informacyjno-Konsultacyjny, ul. Wolności 2a, 44-230 Czerwionka-Leszczyny.
§ 2
1. Wykonawca zrealizuje przedmiot umowy, o którym mowa w § 1 niniejszej umowy w okresie od 12.10.2015 r. do 04.12.2015 r.
2. Termin uważa się za dotrzymany, gdy Zamawiający otrzyma raporty końcowe z wszystkich trzech audytów łącznie z Certyfikatem Wykonawcy, potwierdzającym używanie jedynie legalnego oprogramowania.
§3 1. Wynagrodzenie za przedmiot umowy wynosi :
a. brutto ………
b. (słownie: ………) w tym należny podatek VAT (23%)
2. Cena obejmuje całkowitą należność jaką Zamawiający zobowiązany jest zapłacić za przedmiot zamówienia, o którym mowa w § 1 umowy.
§4
1. Należność, o której mowa w § 3 zostanie uregulowana przez Zamawiającego w terminie 14 dni od dnia otrzymania prawidłowo wystawionej przez Wykonawcę faktury, po podpisaniu protokołu potwierdzającego odbiór raportów końcowych z wszystkich trzech audytów oraz Certyfikatu Wykonawcy, potwierdzającego używanie jedynie legalnego oprogramowania.
2. Strony uzgodniły, że zapłata należności będzie dokonana w formie przelewu na konto Wykonawcy wskazane na fakturze. Strony postanawiają, że zapłata następuje w dniu obciążenia rachunku bankowego Zamawiającego.
§5
1. Wykonawca zobowiązuje się do zachowania w tajemnicy wszelkich informacji otrzymanych podczas realizacji niniejszej umowy i do nieprzekazywania takich informacji osobom trzecim. Wykonawca zobowiązuje się również do niewykorzystywania takich informacji do jakichkolwiek innych celów niż wykonanie niniejszej umowy.
10
2. W razie naruszenia zasad powyższego zobowiązania Wykonawca przyjmuje na siebie pełną odpowiedzialność za działanie własne, swoich pracowników, podwykonawców, pełnomocników oraz osób działających w jego imieniu przy realizacji Umowy.
3. Wykonawca zobowiązuje się wykonać przedmiot umowy z należytą starannością zgodnie z przepisami i standardami uwzględniając całość wymagań stawianych przez Zamawiającego.
4. Wykonawca oświadcza, iż spełnia wymagania określone w art. 36 – 39a ustawy o ochronie danych osobowych dotyczące zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
5. Wykonawca oświadcza, iż sposób prowadzenia i zakres dokumentacji, o której mowa w art. 39a ustawy o ochronie danych osobowych oraz środki techniczne i organizacyjne zastosowane w celu zapewnienia ochrony przetwarzanych danych są zgodne z przepisami rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).
6. Wykonawca dostarczy Zamawiającemu wszystkie dokumenty (w tym raporty) w dwóch egzemplarzach w formie papierowej (podpisane przez osobę reprezentującą Wykonawcę) oraz postaci elektronicznej na nośniku CD/DVD w formacie MS Word i PDF. Wszystkie dokumenty muszą być sporządzone w języku polskim.
7. W przypadku rozwiązania lub wygaśnięcia umowy Wykonawca jest zobowiązany zwrócić Zamawiającemu wszelkie materiały jakie otrzymał od Zamawiającego w czasie trwania umowy, w tym ich wszystkie kopie.
§6
1. Wykonawca oświadcza, że przedmiot umowy będzie realizowany przez osoby wymienione w ofercie, pod rygorem możliwości rozwiązania umowy z winy Wykonawcy.
2. Wykonawca oświadcza, że posiada odpowiednie doświadczenie oraz wykwalifikowany i doświadczony zgodnie z wymogami stawianymi w zapytaniu ofertowym zespół, który zostanie oddelegowany do realizacji przedmiotu umowy.
§7
1. Zamawiający udostępni Wykonawcy posiadany sprzęt, systemy informatyczne, oprogramowanie oraz pomieszczenia niezbędne do wykonania usługi.
2. Termin i godziny wykonania usługi zostaną uzgodnione pomiędzy stronami umowy, jednakże musi się zawierać w przedziale od 12.10.2015 r. do 04.12.2015 r.
3. Zamawiający zobowiązuje się zapewnić współpracę swoich pracowników z Wykonawcą w zakresie realizacji przedmiotu umowy.
4. Zamawiający ma prawo zgłaszać w każdym czasie uwagi i zastrzeżenia dotyczące przeprowadzanych przez Wykonawcę działań, które Wykonawca winien niezwłocznie przeanalizować i uwzględnić, zawiadamiając Zamawiającego o podjętych działaniach.
11
§8
1. Zamawiający może rozwiązać umowę ze skutkiem natychmiastowym, jeżeli przyczyną wypowiedzenia są nadużycia lub inne rażące uchybienia w wykonaniu usługi dokonane przez Wykonawcę, w tym wykonywanie usługi przez niewykwalifikowaną kadrę.
2. Wykonawcy nie przysługuje żadne odszkodowanie, w tym z tytułu utraconych korzyści na skutek rozwiązania umowy w trybie ust.1.
§9
1. Wykonawca nie może bez zgody Zamawiającego powierzyć wykonania niniejszej umowy osobom trzecim.
2. Wykonawca odpowiada za działania osób, którymi się posłużył jak za działania własne.
§ 10
1. Wykonawca zapłaci Zamawiającemu kary umowne :
a) za każdy dzień opóźnienia w wykonaniu przedmiotu zamówienia w stosunku do terminu określonego w § 2 ust. 1 w wysokości 0,2 % ceny brutto określonej w § 3, b) z tytułu odstąpienia (rozwiązania) od umowy z przyczyn występujących po stronie Wykonawcy w wysokości 15 % ceny brutto określonej w § 3.
2. Zamawiający może dochodzić odszkodowania uzupełniającego na zasadach ogólnych.
3. Zamawiający jest upoważniony do potrącania kary umownej z należności Wykonawcy przysługującej mu za wykonanie przedmiotu zamówienia.
§11
Wierzytelność wynikająca z niniejszej umowy nie może być przedmiotem cesji bez zgody Zamawiającego.
§ 12
1. Wszelkie spory wynikłe na tle realizacji z niniejszej umowy będą rozstrzygane przez sąd właściwy dla siedziby Zamawiającego.
2. W sprawach nieuregulowanych niniejszą umową stosuje się przepisy Kodeksu Cywilnego.
3. Wszelkie zmiany niniejszej umowy wymagają formy pisemnej pod rygorem nieważności.
4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.
Załączniki:
- oferta Wykonawcy z dnia ….
- zapytanie ofertowe z dnia …..
Zamawiający: Wykonawca: