• Nie Znaleziono Wyników

WZÓR UMOWY NA WYKONANIE TESTÓW PENETRACYJNYCH przygotowany dla uczestników XIII Forum Bezpieczeństwa i Audytu IT SEMAFOR

N/A
N/A
Info
Pobierz
Protected

Academic year: 2022

Share "WZÓR UMOWY NA WYKONANIE TESTÓW PENETRACYJNYCH przygotowany dla uczestników XIII Forum Bezpieczeństwa i Audytu IT SEMAFOR"

Copied!
16
0
0

Ładowanie.... (Zobacz pełny tekst teraz)

Pobierz teraz ( 16 Stron )

Pełen tekst

(1)

WZÓR UMOWY NA WYKONANIE TESTÓW PENETRACYJNYCH przygotowany dla uczestników

XIII Forum Bezpieczeństwa i Audytu IT SEMAFOR

Niniejszy dokument przeznaczony jest dla uczestników prelekcji, jako uzupełniajacy materiał szkoleniowy służący lepszemu zrozumieniu kwestii poruszanych w jej ramach – prosimy o nieudostępnianie go osobom trzecim.

Wzór umowy przedstawiony poniżej nie jest kompletną umową, lecz bazą dla jej przygotowania, zawierającą najbardziej typowe postanowienia umowy na wykonanie pentestów. Powinien on zostać uzupełniony o postanowienia dotyczące konkrenego stanu faktycznego i oczekiwań stron.

Wzór umowy został przygotowany w sposób uniwersalny, z uwzględnieniem postanowień korzystnych zarówno dla zleceniodawcy, jak i zleceniobiorcy.

W poszczególnych sekcjach zwracamy przy tym uwagę także na aspekty szczególnie ważne dla jednej ze stron umowy.

Umowa dotyczy przeprowadzenia testów penetracyjnych aplikacji, jednak sygnalizujemy w niej również inne kwestie istotne także z perspektywy innych umów IT, takie jak zasady odpowiedzialności czy potwierdzenie należytego wykonania umowy.

Poniższa umowa została stworzona z myślą o sektorze prywatnym i nie uwzględnia odrębności wynikających z regulacji dotyczących sektora publicznego, w szczególności ustawy Prawo zamówień publicznych.

W umowie zostały zawarte komentarze wyjasniające intencje wprowadzanych postanowień i okoliczności na które należy zwrócić szczególną uwagę.

(2)

2 UMOWA

zawarta w dniu _____ w ____ pomiędzy:

________________________, zwaną/ym dalej Zleceniodawcą,

a

________________________ , zwaną/ym dalej Zleceniobiorcą,

łącznie zwane „Stronami”.

§ 1 Przedmiot Umowy

1. Na podstawie niniejszej Umowy Zleceniodawca zleca, a Zleceniobiorca przyjmuje zlecenie wykonania usługi przeprowadzenia testów bezpieczeństwa („Testy”) środowiska testowego systemu/ aplikacji/ strony internetowej/ platformy [__________]

(„System”) na warunkach i zasadach określonych w niniejszej Umowie.

2. W ramach realizacji przedmiotu Umowy, o którym mowa w ust. 1, Zleceniobiorca zobowiązuje się zwłaszcza do:

1) wykonania Testów zgodnie ze szczegółowymi wymaganiami określonymi w § 2 Umowy, celem zidentyfikowania wszelkich istniejących podatności Systemu;

2) sporządzenia i przekazania Zleceniodawcy raportu zawierającego opracowanie wyników Testów, a także zalecenia i rekomendacje służące wyeliminowaniu wykrytych podatności i mające na celu poprawę stosowanych przez Zleceniodawcę zabezpieczeń Systemu („Raport”);

3) przeniesienia autorskich praw majątkowych do Raportu i wszelkich innych materiałów opracowanych dla Zleceniodawcy, stanowiących utwory w rozumieniu prawa autorskiego;

4) zachowania w poufności informacji uzyskanych w ramach realizacji Umowy na zasadach określonych w § 11 Umowy.

3. W zamian za wykonanie usługi, o której mowa w ust. 1, Zleceniodawca zobowiązuje się zapłacić Zleceniobiorcy wynagrodzenie w kwocie i na zasadach okreslonych w § 7 Umowy.

4. Zleceniodawca potwierdza, iż jest świadomy, że należyta realizacja Umowy może wymagać ingerencji w System przez Zleceniobiorcę oraz osoby działające w jego imieniu, a także przełamania zabezpieczeń Systemu. Zleceniodawca wyraża wobec tego zgodę na takie działania Zleceniobiorcy, udzielając mu jednocześnie prawa dostępu do systemu informatycznego w rozumieniu rozdziału XXXIII kodeksu karnego, wyłącznie w celu realizacji niniejszej Umowy i w zakresie w niej wskazanym.

(3)

3 Określenie przedmiotu umowy jest jej najbardziej istotnym elementem. W tym paragrafie należy

sprecyzować zakres świadczeń, do których zobowiązany jest Zleceniobiorca. Przedmiot umowy będzie warunkował jej charakter oraz inne postanowienia.

Umowa, której przedmiotem są testy penetracyjne, powinna zawierać przede wszystkim zobowiązanie Zleceniobiorcy do przeprowadzenia takich testów w zamian za określone wynagrodzenie. Może ona wskazywać również inne obowiązki Zleceniobiorcy, dotyczące sporządzenia raportu końcowego z zaleceniami dla Zleceniodawcy, przekazanie dokumentacji, przeniesienia praw autorskich do raportu – szerzej opisane w dalszych paragrafach Umowy.

Warto również zwrócić uwagę, że precyzyjne określenie przedmiotu i zakresu testów penetracyjnych jest istotne dla obu Stron:

• Zleceniodawca precyzyjnie określa swoje wymagania, których wykonanie może później zweryfikować;

• Zleceniobiorca uzyskuje potwierdzenie zakresu granic dozwolonej przez Zleceniodawcę ingerencji w zarządzane przez niego systemy i aplikacje, co ma istotne znaczenie z perspektywy odpowiedzialności karnej. Udzielenie zgody Zleceniodawcy na podjęcie konkretnych działań, które w normalnych warunkach mogą stanowić czyny zabronione, spowoduje uchylenie ich bezprawności, dzięki czemu Zleceniobiorca nie zostanie pociągnięty do odpowiedzialności karnej (o ile jego działania nie przekroczą zakresu wskazanego w Umowie).

§ 2 Obowiązki Zleceniobiorcy

1. Zleceniobiorca oświadcza, że ma świadomość tego, że celem przeprowadzenia Testów jest zidentyfikowanie wszelkich podatności i zagrożeń mających wpływ na bezpieczeństwo testowanego Systemu, w tym zwłaszcza na jego odporność na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych w nim danych lub związanych z nimi zadań realizowanych przez System.

2. Mając na uwadze zakres prac Zleceniobiorcy i ich cel określony w ust. 1, Zleceniobiorca zobowiązuje się w szczególności do:

1) wykonania Umowy z należytą starannością, z uwzględnieniem zawodowego i profesjonalnego charakteru prowadzonej przez Zleceniobiorcę działalności;

2) zapewnienia właściwego nadzoru i koordynacji działań związanych z realizacją Umowy w celu osiągnięcia wymaganej jakości oraz terminowości prac realizowanych w jej ramach;

3) bieżącego udzielania Zleceniodawcy wyjaśnień i informacji o sposobie realizacji Testów;

4) niezwłocznego informowania Zleceniodawcy o wszelkich okolicznościach, które mogą negatywnie wpłynąć na prawidłową realizację Testów.

3. Testy będą przeprowadzane na środowisku testowym udostępnionym przez Zleceniodawcę.

(4)

4 4. Testy zostaną przeprowadzone przez Zleceniobiorcę metodą * white box / **grey box/

***black box, z uwzględnieniem podatności bezpieczeństwa wynikających z list OWASP Top 10 Risks oraz 2019 CWE Top 25 Most Dangerous Software Errors.

5. Zleceniobiorca przeprowadzi Testy zgodnie z najnowszymi wersjami standardów np.:

1) OWASP Application Security Verification Standard;

2) Open Source Security Testing Methodology Manual (OSSTMM);

3) Penetration Testing Execution Standard (PTES);

6. Szczegółowe scenariusze Testów oraz metodologia zostały wskazane w Załączniku nr [___].

7. Wyniki Testów zostaną zaprezentowane Zleceniodawcy w formie Raportu, w którym Zleceniobiorca wskaże:

1) rezultaty przeprowadzonych Testów, tj. zwłaszcza wykryte podatności ze wskazaniem ich potencjalnego wpływu na bezpieczeństwo Systemu i przetwarzanych w nim danych;

2) wnioski, zalecenia i rekomendacje mające na celu usunięcie podatności i poprawę zabezpieczeń stosowanych przez Zleceniodawcę.

Sekcja zawierająca obowiązki Zleceniobiorcy jest szczególnie istotna dla Zleceniodawcy, który powinien konkretnie określić oczekiwania wobec Zleceniobiorcy. W tym zakresie warto zwłaszcza podkreślić profesjonalny charakter prowadzonej przez niego działalności i odwołać się do norm i standardów branżowych, które powinien uwzględnić.

Omawiany paragraf może również określać konkretne wymagania wobec samej procedury Testów, w tym:

1) systemy oraz aplikacje, które będą podlegać Testom;

2) zasięg i zakres Testów, którym poddawane będą systemy i aplikacje;

3) sposób przeprowadzenia Testów (np. testy typu black box, grey box oraz white box);

4) scenariusze przeprowadzenia testów penetracyjnych;

5) środowisko, na którym będą przeprowadzane Testy systemów i aplikacji (w przypadku testów na środowisku produkcyjnym, warto zwrócić w Umowie uwagę na dookreślenie dopuszczalnej niedostępności testowanych systemów);

6) wymogi wobec raportu podsumowującego wyniki Testów, w tym jego konkretne elementy (np. rekomendacje dotyczące usunięcia luk).

Szczegóły w powyższym zakresie mogą zostać opisane w załączniku do Umowy, stanowiącym jej integralną część.

(5)

5

§ 3 Obowiązki Zleceniodawcy

1. Zleceniodawca zobowiązuje się współdziałać ze Zleceniobiorcą przy wykonywaniu Umowy w zakresie niezbędnym do jej prawidłowej realizacji.

2. Zleceniodawca zobowiązuje się zwłaszcza:

1) udostępnić Zleceniobiorcy informacje, dokumenty, oprogramowanie, infrastrukturę, w tym zwłaszcza [__można uszczegółowić__];

2) umożliwić realizację Testów w sposób zdalny, w siedzibie Zleceniobiorcy, a jeśli nie będzie to możliwe – udzielić upoważnionym pracownikom lub współpracownikom Zleceniobiorcy dostępu do siedziby Zleceniodawcy.

3. W przypadku, gdyby niezbędnym dla realizacji Umowy okazało się udostępnienie przez Zleceniodawcę innych informacji, dokumentów, oprogramowania, infrastruktury czy zasobów, Zleceniobiorca zgłosi Zleceniodawcy taką konieczność, wskazując jakie dodatkowe zasoby uznaje za konieczne oraz jaki jest cel ich wykorzystania.

Choć oczywistym jest, że najwięcej obowiązków na podstawie umowy o przeprowadzenie testów penetracyjnych będzie miał Zleceniobiorca, to w praktyce często obowiązki nakładane są również na Zleceniodawcę. Działanie Zleceniodawcy jest bowiem często niezbędne dla zapewnienia prawidłowej realizacji umowy.

W interesie Zleceniodawcy będzie sprecyzowanie dokładnego zakresu współdziałania, jakiego oczekuje Zleceniobiorca celem prawidłowej realizacji Umowy – aby nie powstały w tym zakresie wątpliwości w toku jej realizacji.

Zleceniobiorca powinien z kolei zapewnić możliwość uzyskania od Zleceniodawcy dodatkowych informacji – jeżeli w toku realizacji Umowy okażą się one konieczne dla prawidłowego wykonania Testów.

§ 4 Termin realizacji

1. Zleceniobiorca zrealizuje całość prac przewidzianych niniejszą Umową w terminie [____] dni roboczych od dnia udostępnienia Systemu będącego przedmiotem Testów.

ewentualnie:

1. Zleceniobiorca zobowiązuje się zrealizowac całość prac przewidzianych niniejszą Umową do dnia [____], przy czym:

1) Testy Systemu zostaną zakończone najpóźniej w dniu [___];

2) kompletny Raport zostanie przekazany Zleceniodawcy do dnia [___]

2. Zleceniobiorca oświadcza, iż ma świadomość tego, że terminowość wykonania Testów zakończonych dostarczeniem Raportu ma kluczowe znaczenie dla Zleceniodawcy.

W związku z tym Zleceniobiorca zobowiązuje się dochować terminów wskazanych powyżej, a także informować o wszystkich sytuacjach mogących przyczynić się do przekroczenia założonych terminów.

(6)

6 Wskazanie w Umowie konkretnego terminu realizacji prac pozwoli zweryfikować, czy

Zleceniobiorca wykonał ją prawidłowo, co będzie mieć wpływ na jego ewentualną odpowiedzialność odszkodowawczą i kary umowne. Dlatego też termin realizacji powinien zostać określony w sposób jak najbardziej precyzyjny, który pozwoli na uniknięcie sporów dotyczących tej kwestii (np. poprzez określenie konkretnej daty przedstawienia wyników Testów lub terminu).

Harmonogram można dostosować do konkretnych oczekiwań Stron, wprowadzając podział na etapy (np. w odniesieniu do różnych systemów, które mają być przedmiotem Testów) i określając ich zakres.

§ 5 Potwierdzenie należytego wykonania Testów

1. Prawidłowa realizacja przedmiotu Umowy przez Zleceniobiorcę zostanie potwierdzona podpisanym przez obie Strony protokołem odbioru prac („Protokół”).

2. Wraz z przekazaniem Raportu w terminie wskazanym w § 5 Umowy, Zleceniobiorca przekaże Zleceniodawcy Protokół.

3. W terminie 5 dni roboczych od dnia przedstawienia Zleceniodawcy Raportu wraz z Protokołem, Zleceniodawca podpisze Protokół, akceptując tym samym prawidłowość wykonanych prac, lub zgłosi w Protokole uzasadnione zastrzeżenia, wskazując swoje uwagi.

4. Zleceniobiorca zobowiązany jest uwzględnić zgłoszone zastrzeżenia i uwagi w Raporcie w terminie 5 dni od dnia ich zgłoszenia. Jeśli zgłoszone zastrzeżenia i uwagi będą wymagać powtórnego przeprowadzenia choćby części Testów, Zleceniobiorca poinformuje o tym Zleceniodawcę.

5. Po powtórnym przekazaniu Raportu, zastosowanie znajdą postanowienia ust. 2 – 4 powyżej, z tym że procedura zgłoszenia uwag określona w ust. 2 - 4 będzie przeprowadzona nie wiecej niż 3 razy - po uwzględnieniu przez Zleceniobiorcę uwag zgłoszonych przez Zleceniodawcę w ramach trzeciej iteracji, Raport i Protokól uznaje się za zakceptowany przez Zleceniodawcę.

3 warianty dotyczące milczącego odbioru:

„pełny” milczący odbiór:

* W przypadku braku jakiegokolwiek oświadczenia ze strony Zleceniodawcy w terminie, o którym mowa w ust. 3, Protokół uważa się za zaakceptowany bez zastrzeżeń.

milczący odbiór z wezwaniem:

** W przypadku braku jakiegokolwiek oświadczenia ze strony Zleceniodawcy w terminie, o którym mowa w ust. 3, Zleceniobiorca może wezwać Zleceniodawcę do zgłoszenia uwag lub akceptacji Raportu w terminie nie krótszym niż 5 dni roboczych pod rygorem uznania Protokołu za zaakceptowany bez zastrzeżeń.

brak milczącego odbioru:

(7)

7

*** Brak jakiegokolwiek oświadczenia ze strony Zleceniodawcy w terminie, o którym mowa w ust. 3 nie będzie uważany za akceptację Raportu bez zastrzeżeń.

6. Zaakceptowany przez Zleceniodawcę Protokół stanowić będzie podstawę do płatności wynagrodzenia przysługującego Zleceniobiorcy z tytułu realizacji Umowy.

Procedura odbiorowa ma na celu potwierdzenie należytej realizacji Umowy i jest często wykorzystywana celem uruchomienia procedury wypłaty wynagrodzenia Zleceniobiorcy.

Z perspektywy Zleceniodawcy, istotne jest zapewnienie możliwości zgłaszania uwag do prac wykonanych prac Zleceniobiorcę (w tym określenie konkretnych terminów na uwzględnienie uwag) i uzależnienie zapłaty wynagrodzenia od zatwierdzenia protokołu odbioru.

Zleceniobiorca z kolei, może zwrócić uwagę na ograniczenie możliwości zgłaszania uwag przez Zleceniodawcę do wykonanych prac do kilku iteracji (np. do 2, 3 iteracji).

Warto, aby Strony uregulowały również kwestię milczącego odbioru prac (por. ust. 6 powyżej), tj. określiły w Umowie co oznaczać będzie brak przekazania uwag lub informacji o akceptacji prac przez Zleceniodawcę. Przedstawiliśmy 3 propozycje w tym zakresie:

* korzystna dla Zleceniobiorcy

** kompromisowa

*** korzystniejsza dla Zleceniodawcy

§ 6 Prawa własności intelektualnej [Przeniesienie praw autorskich na rzecz Zleceniodawcy]

1. Zleceniobiorca przenosi na Zleceniodawcę autorskie prawa majątkowe do Raportu oraz innych wytworzonych w ramach realizacji Umowy i przekazanych Zleceniodawcy utworów, bez żadnych ograniczeń czasowych lub terytorialnych, na wszystkich polach eksploatacji znanych w dniu zawierania Umowy, w tym w szczególności na następujących polach eksploatacji:

1) w zakresie utrwalania i zwielokrotniania utworu – wytwarzanie dowolnej ilości egzemplarzy utworu, w tym techniką drukarską, reprograficzną, zapisu magnetycznego oraz techniką cyfrową, w tym wprowadzania do pamięci komputera;

2) w zakresie obrotu oryginałem lub egzemplarzami, na których utwór utrwalono - wprowadzanie do obrotu, użyczenie lub najem oryginału lub egzemplarzy;

3) w zakresie rozpowszechniania utworu w sposób inny niż podany w pkt 3) – publiczne wystawienie, wyświetlanie, odtworzenie, a także publiczne udostępnienie utworu w taki sposób, aby każdy mógł mieć do niego dostęp w miejscu i czasie przez siebie wybranym.

2. Wraz z nabyciem autorskich praw majątkowych, o którym mowa w ust. 1 powyżej, Zleceniodawca nabywa także prawo do wykonywania zależnych praw autorskich oraz prawo do udzielania zezwoleń na wykonywanie zależnych praw autorskich poprzez

(8)

8 rozporządzanie i korzystanie na wszystkich polach eksploatacji wymienionych w ust. 1

pkt 1) – 2) powyżej.

3. Przeniesienie autorskich praw majątkowych nastąpi z chwilą 2 warianty:

* zaakceptowania przez Zleceniodawcę Protokołu, o którym mowa w § 5 ust. 1 Umowy.

lub

** przekazania Zleceniodawcy danego utworu.

4. Jeżeli Raport lub inne utwory zostaną przekazane Zleceniodawcy na nośnikach, Zleceniodawca nabywa własność nośników, na których je utrwalono.

5. Strony zgodnie ustalają, że przeniesienie przez Zleceniobiorcę na Zleceniodawcę praw, o których mowa powyżej, nastąpi w ramach wynagrodzenia określonego w § 7 Umowy.

[Udzielenie licencji Zleceniobiorcy]

6. Z momentem udostępnienia Systemu, Zleceniodawca udzieli Zleceniobiorcy niewyłącznej licencji na korzystanie z Systemu, w zakresie opisanym Umową i załącznikami do Umowy.

7. Licencja uprawnia Zleceniobiorcę do korzystania z Systemu wyłącznie w celu i w zakresie niezbędnym dla prawidłowej realizacji Umowy, poprzez trwałe lub czasowe zwielokrotnianie Systemu w całości lub w części jakimikolwiek środkami i w jakiejkolwiek formie, w tym zwielokrotnianie dokonywane podczas wprowadzania, wyświetlania, stosowania, przekazywania lub przechowywania.

8. Licencja zostaje udzielona na czas oznaczony odpowiadający czasowi trwania Umowy, co oznacza że licencja wygasa z momentem wykonania lub rozwiązania Umowy.

9. Zleceniobiorca uprawniony jest do udzielenia sublicencji wyłącznie na rzecz podwykonawców zaakceptowanych przez Zleceniodawcę zgodnie z § 8 Umowy.

Postanowienia tego paragrafu są istotne zarówno dla Zleceniodawcy, jak i Zleceniobiorcy.

Wprowadzenie postanowień dotyczących przeniesienia autorskich praw majątkowych jest standardem rynkowym w przypadku tworzenia dedykowanych produktów, w tym dokumentów.

W przypadku raportu z testów penetracyjnych jest to tym bardziej uzasadnione, że Zleceniobiorca nie powinien korzystać z opracowanego raportu na potrzeby inne niż związane z realizacją Umowy – zawiera on bowiem informacje poufne Zleceniodawcy.

W interesie obu Stron pozostaje także wprowadzenie postanowień licencyjnych dotyczących testowanego Systemu – Zleceniobiorcy zależeć będzie na potwierdzeniu zakresu uprawnień, natomiast Zleceniodawcy – na podkreśleniu, że są one przyznawane wyłączenie w celu realizacji Umowy i mają ograniczony zakres oraz termin.

(9)

9

§ 7 Wynagrodzenie

1. Tytułem wynagrodzenia za realizację Umowy, Zleceniodawca zapłaci Zleceniobiorcy kwotę wynoszącą [_____] (słownie: [_____]) złotych polskich netto.

2. Wynagrodzenie stanowi całość wynagrodzenia Zleceniobiorcy w związku z realizacją Umowy, w tym realizacji poszczególnych obowiązków Zleceniobiorcy, zwłaszcza w zakresie przeniesienia autorskich praw majątkowych.

3. Do kwoty wynagrodzenia zostanie doliczony podatek od towarów i usług według obowiązujących w tym zakresie przepisów.

4. Strony ustalają termin płatności wynagrodzenia na 14 (słownie: czternaście) dni od otrzymania przez Zleceniodawcę prawidłowo wystawionej faktury VAT, do której załącznikiem będzie Protokół zaakceptowany przez Strony bez zastrzeżeń.

5. Numer rachunku bankowego Zleceniobiorcy zostanie oznaczony w treści faktury VAT i będzie tożsamy z numerem rachunku wskazanym jako rachunek Zleceniobiorcy w wykazie podmiotów zarejestrowanych jako podatnicy VAT, prowadzonym w postaci elektronicznej przez Szefa Krajowej Administracji Skarbowej.

6. Zleceniodawca zastrzega sobie prawo do zapłaty wynagrodzenia wynikającego z niniejszej Umowy przy wykorzystaniu mechanizmu podzielonej płatności, zgodnie z art. 108a ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług.

7. Zleceniodawca jest uprawniony do potrącania jakichkolwiek kwot należnych mu od Zleceniobiorcy z wynagrodzeniem przysługującym Zleceniobiorcy z tytułu realizacji niniejszej Umowy, niezależnie od wymagalności lub zaskarżalności tych kwot.

8. Za dzień zapłaty wynagrodzenia Strony uznają datę *wpływu środków na rachunek bankowy Zleceniobiorcy / **datę obciążenia należnością rachunku bankowego Zleceniodawcy.

9. W wypadku opóźnienia w zapłacie wynagrodzenia, Zleceniobiorca ma prawo żądać od Zleceniodawcy zapłaty odsetek ustawowych.

opcjonalnie, jeśli ma zastosowanie: Zleceniodawca oświadcza, że jest dużym przedsiębiorcą w rozumieniu ustawy z dnia 8 marca 2013 r. o przeciwdziałaniu nadmiernym opóźnieniom w transakcjach handlowych.

Umowa powinna regulować sposób zapłaty wynagrodzenia Zleceniobiorcy po ukończeniu prowadzonych przez niego prac – zwłaszcza jeśli chodzi o termin zapłaty oraz sposób zapłaty – Umowa może bowiem zakładać kilka płatności, które będą należne po poszczególnych etapach prac.

Należy zwrócić uwagę na obowiązki wynikające z przepisów prawa w zakresie:

– białej listy podatników VAT (ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług);

– mechanizmu split payment (ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług);

– terminów płatności i wymaganych oświadczeń, np. dotyczących statusu dużego podatnika (ustawa z dnia 8 marca 2013 r. o przeciwdziałaniu nadmiernym opóźnieniom w transakcjach handlowych).

(10)

10

§ 8 Personel i podwykonawcy

1. Zleceniobiorca w terminie 5 dni od dnia zawarcia Umowy przekaże Zleceniodawcy listę pracowników oraz współpracowników wyznaczonych do realizacji Umowy.

Zleceniobiorca poinformuje Zleceniodawcę o jakichkolwiek zmianach w składzie personelu wyznaczonego do realizacji Umowy najpóźniej w terminie 2 dni od ich zaistnienia.

2. Zleceniobiorca jest uprawniony do powierzenia wykonania części zobowiązań wynikających z niniejszej Umowy swoim podwykonawcom. Celem usunięcia wątpliwości Strony potwierdzają, że za podwykonawców na gruncie Umowy nie uważają osób prowadzących działalność gospodarczą, stale współpracujących ze Zleceniobiorcą na podstawie umowy cywilnoprawnej.

3. Warunkiem powierzenia prac do realizacji podwykonawcom jest uzyskanie zgody Zleceniodawcy na zaangażowanie konkretnego podwykonawcy oraz wskazanie listy osób wyznaczonych przez tego podwykonawcę do realizacji Umowy.

Postanowienia tej sekcji powinny przede wszystkim określać, na jakich warunkach korzystanie z usług podwykonawców przez Zleceniobiorcę zostało dopuszczone przez Zleceniodawcę.

W przypadku umów w zakresie cyberbezpieczeństwa, zwykle w interesie Zleceniodawcy będzie bowiem pozostawać ograniczenie kręgu osób, które uzyskają dostęp do poufnych informacji dotyczących systemów IT – co można uzyskać np. poprzez:

– nałożenie na Zleceniobiorcę obowiązku uzyskania akceptacji na zaangażowanie danego podwykonawcy bądź

– wskazanie w umowie prawa sprzeciwu na realizację prac przez podwykonawcę (jeśli nie jest wymagana uprzednia zgoda, a jedynie zgłoszenie informacji o zaangażowaniu podwykonawców).

§ 9 Odpowiedzialność i kary umowne

1. Zleceniobiorca ponosi wobec Zleceniodawcy odpowiedzialność na zasadach ogólnych wynikających z kodeksu cywilnego.

2. Zleceniodawca ma prawo żądać od Zleceniobiorcy zapłaty kar umownych w następujących przypadkach:

1) w przypadku zwłoki Zleceniobiorcy w wykonaniu Umowy w terminie określonym w § 4 ust. 1 Umowy, Zleceniodawca naliczy Zleceniobiorcy karę umową w wysokości [_____] zł za każdy rozpoczęty dzień zwłoki;

2) w przypadku rozwiązania przez Zleceniodawcę Umowy z przyczyn opisanych w § 10 ust. 1 pkt 1) i 2) Umowy, Zleceniodawca naliczy Zleceniobiorcy karę umowną w wysokości [_____] zł;

3) w przypadku naruszenia przez Zleceniobiorcę postanowień dotyczących poufności informacji określonych w § 11 Umowy, Zleceniodawca naliczy Zleceniobiorcy karę umowną w wysokości [______] zł za każdy przypadek naruszenia.

(11)

11 3. Postanowienia ust. 3 powyżej nie naruszają uprawnień Zleceniodawcy do dochodzenia

odszkodowania przewyższającego wysokość kar umownych na zasadach ogólnych.

4. Wysokość naliczonych na podstawie Umowy kar umownych nie przekroczy

* kwoty [____]

alternatywnie

** wysokości wynagrodzenia należnego Zleceniobiorcy z tytułu niniejszej Umowy.

Strony ponoszą odpowiedzialność za realizację postanowień umownych na zasadach ogólnych, które wynikają z przepisów Kodeksu cywilnego.

Zasady tej odpowiedzialności mogą jednak zostać zmodyfikowane odpowiednimi postanowienia umownymi w sposób:

– ograniczający odpowiedzialność np. poprzez wskazanie limitu odpowiedzialności albo zmodyfikowanie przypadków za które odpowiada Zleceniobiorca (przy czym, nie jest możliwe wyłączenie odpowiedzialności za szkodę wyrządzoną umyślnie);

– rozszerzający odpowiedzialność, np. poprzez wskazanie że Zleceniobiorca odpowiada na zasadzie ryzyka (niezależnie od tego czy ponosi winę, czy nie).

W przypadku zastrzeżenia kar umownych, warto pamiętać o określeniu ich limitu (aby Zleceniobiorca znał ich górną granicę), a także wprowadzić postanowienie dotyczące odszkodowania uzupełniającego (bez niego nie jest możliwe dochodzenie tego odszkodowania przed sądem).

§ 10 Rozwiązanie Umowy

1. Zleceniodawca może wypowiedzieć niniejszą Umowę ze skutkiem natychmiastowym jedynie z ważnych powodów, za które Strony uważają w szczególności:

1) zwłoka Zleceniobiorcy w realizacji Umowy w terminie określonym w § 4 ust. 1 Umowy, która przekracza 15 dni roboczych;

2) istotne naruszenie przez Zleceniobiorcę warunków realizacji Umowy, w szczególności w zakresie sposobu realizacji Testów określonego w § 2 Umowy, zaangażowania podwykonawców, ochrony informacji poufnych;

3) realne ryzyko powstania po stronie Zleceniodawcy poważnej szkody w przypadku dalszej realizacji Umowy.

2. Zleceniobiorca może wypowiedzieć niniejszą Umowę ze skutkiem natychmiastowym jedynie z ważnych powodów, za które Strony uważają w szczególności brak współdziałania Zleceniodawcy, który uniemożliwia prawidłową realizację Umowy, pod warunkiem, iż Zleceniobiorca wezwał Zleceniodawcę do współdziałania określając konkretnie jego zakres i termin na wykonanie czynności, a termin ten upłynał bezskutecznie.

3. Każda ze Stron może wypowiedzieć Umowę z zachowaniem 14-dniowego terminu wypowiedzenia.

(12)

12 4. W terminie 5 dni roboczych od dnia złożenia oświadczenia o wypowiedzeniu:

1) Zleceniobiorca zniszczy wszelkie materiały otrzymane od Zleceniodawcy, na zasadach okreslonych w § 11 ust. 5 poniżej;

2) Strony sporządzą protokół ustalający stan zaawansowania prac na moment rozwiązania Umowy.

5. Mimo wypowiedzenia Umowy, w mocy pozostają postanowienia dotyczące zasad zachowania poufności, określone w § 11 Umowy.

W umowie warto dookreślić podstawy wypowiedzenia Umowy, a także wskazać na termin wypowiedzenia (np. skutek natychmiastowy lub konkretny termin liczony w dniach/miesiącach).

Warto również już w umowie określić exit plan – postanowienia na wypadek rozwiązania Umowy.

Jeśli pomiędzy Stronami dochodzi do sporu, takie postanowienia pomogą jasno wyznaczyć obowiązki Stron w tym zakresie.

§ 11 Zasady ochrony Informacji poufnych

1. Pod pojęciem informacji poufnych Strony rozumieją jakiekolwiek informacje nieujawnione wcześniej do publicznej wiadomości, mające wartość gospodarczą, przekazane w jakiejkolwiek formie Zleceniobiorcy lub uzyskane przez Zleceniobiorcę w trakcie lub w związku z realizacją Umowy, a dotyczące wszelkich aspektów działalności Zleceniodawcy, w tym zwłaszcza zasad działania oraz sposobu zabezpieczenia Systemu, w tym jego podatności i luk w zakresie bezpieczeństwa („Informacje poufne”).

2. Zleceniobiorca zobowiązuje się do zachowania w tajemnicy, na zasadach określonych w niniejszym paragrafie, Informacji poufnych w trakcie realizacji Umowy, a także przez okres 5 lat od dnia jej wykonania lub rozwiązania.

3. Zleceniobiorca podejmie w stosunku do Informacji poufnych co najmniej takie same środki ostrożności oraz takie same środki zabezpieczające, jak te stosowane przez Zleceniobiorcę w stosunku do jego własnych informacji poufnych, zapewniające odpowiednią ochronę w szczególności przeciwko nieupoważnionemu dostępowi, ujawnieniu, kopiowaniu lub wykorzystaniu.

4. Zobowiązanie do zachowania poufności nie dotyczy informacji:

1) które w momencie ujawnienia są powszechnie znane, poza przypadkami, gdy ujawnienie takie nastąpiło z naruszeniem przepisów prawa lub postanowień niniejszego paragrafu;

2) które w czasie obowiązywania zobowiązania do zachowania poufności, o którym mowa w ust. 2 powyżej, stały się informacjami powszechnie znanymi, poza przypadkami, gdy ujawnienie takie nastąpiło z naruszeniem przepisów prawa lub postanowień niniejszego paragrafu;

(13)

13 3) które zostały ujawnione na podstawie bezwzględnie obowiązujących przepisów

prawa (np. na żądanie sądu, organów ścigania) uprawnionym organom, wyłącznie wobec tych uprawnionych organów;

4) które zostaną ujawnione przez Zleceniobiorcę po uprzednim uzyskaniu pisemnej zgody Zleceniodawcy pod rygorem nieważności – wyłącznie w zakresie uzyskanej zgody i wyłącznie wobec tych osób, wobec których zgoda Zleceniodawcy została udzielona.

5. Po zrealizowaniu Umowy lub jej rozwiązaniu, Zleceniobiorca zobowiązuje się zniszczyć lub usunąć nieodwracalnie wszystkie pisemne i elektroniczne kopie materiałów zawierające Informacje poufne, a także trwale usunąć wszelkie Informacje poufne z systemu informatycznego. Na żądanie Zleceniodawcy, Zleceniobiorca złoży Zleceniodawcy pisemne oświadczenie potwierdzające zniszczenie lub usunięcie wszystkich kopii Informacji poufnych.

6. Zleceniobiorca oświadcza i zapewnia, że Informacje poufne będą wykorzystywane wyłącznie w związku z realizacją Umowy, przy czym:

1) Zleceniobiorca może udostępnić Informacje poufne swojemu personelowi oraz osobom wyznaczonym przez jego podwykonawców do realizacji Umowy po odebraniu pisemnego zobowiązania do nieujawniania Informacji poufnych na zasadach analogicznych do opisanych w niniejszym paragrafie,

2) Zleceniobiorca zobowiązuje się ograniczyć dostęp do Informacji poufnych w taki sposób, aby posiadali go wyłącznie ci członkowie personelu oraz osoby wyznaczone przez jego podwykonawców, które zostaną bezpośrednio zaangażowane w realizację Umowy.

7. Na każdorazowe żądanie Zleceniodawcy, Zleceniobiorca zobowiązany jest niezwłocznie przedstawić listę osób, które są uprawnione do dostępu do Informacji poufnych oraz treść pisemnych zobowiązań do zachowania w poufności Informacji poufnych podpisanych przez te osoby.

8. Zleceniobiorca zobowiązuje się ponadto do:

1) niewykorzystywania Informacji poufnych do celów innych, niż realizacja Umowy, w szczególności w prowadzonej przez Zleceniobiorcę działalności gospodarczej;

2) niekopiowania, nieutrwalania oraz niepowielania w jakikolwiek sposób Informacji poufnych w celach innych, niż związane z realizacją Umowy.

9. Zleceniodawca zastrzega sobie prawo do weryfikacji wykonania postanowień niniejszego paragrafu, a w szczególności do weryfikacji zastosowanych przez Zleceniobiorcę środków technicznych i organizacyjnych mających na celu ochronę Informacji poufnych.

10. W przypadku jakiegokolwiek ujawnienia, nieuprawnionego udostępnienia lub utraty Informacji poufnych, a także podejrzenia możliwości zaistnienia tych okoliczności, Zleceniobiorca zobowiązany jest do poinformowania o tym Zleceniodawcy na piśmie w terminie 1 dnia roboczego od dnia powzięcia wiadomości o tych okolicznościach oraz

(14)

14 podjęcia wszelkich niezbędnych działań w celu minimalizacji zakresu naruszenia oraz

szkód, które mogą powstać w wyniku ujawnienia, udostępnienia lub utraty Informacji poufnych.

Zobowiązanie do zachowania poufności (ang. Non-disclosure agreement, NDA) jest niezwykle istotnym elementem umowy o przeprowadzenie testów penetracyjnych systemów i aplikacji.

Ustanawiając konkretne wymagania oraz zasady ochrony informacji poufnych, prowadzi do zabezpieczenia przed nieuprawnionym rozpowszechnianiem i wykorzystywaniem informacji przekazanych drugiej stronie w ramach realizacji umowy.

W wyniku realizacji umowy może bowiem dojść do ujawnienia Zleceniobiorcy wielu danych stanowiących tajemnicę przedsiębiorstwa Zleceniodawcy, których rozpowszechnienie mogłoby wyrządzić Zleceniodawcy znaczne szkody. Istotą testów penetracyjnych jest przecież wykrycie luk i podatności testowanego systemu.

Wobec tego, należy zwrócić szczególną uwagę na:

• wskazanie czasu zobowiązania do zachowania poufności informacji;

• ograniczenie możliwości wykorzystania informacji poufnych przez Zleceniobiorcę;

• wskazanie wymaganych środków ochrony informacji (np. środków organizacyjnych dotyczących ujawnienia informacji personelowi lub środków technicznych).

Postanowienia o zachowaniu poufności mogą też chronić interesy Zleceniobiorcy, jeśli również on przekazuje informacje poufne lub tajemnicę swojego przedsiębiorstwa. W tym zakresie, umowa może przewidywać symetrię uprawnień i obowiązków.

§ 12 Dane osobowe

1. Należyte wykonanie Umowy nie wymaga powierzenia Zleceniobiorcy przetwarzania danych osobowych, co do których Zleceniodawcy przysługuje status administratora danych w rozumieniu przepisów o ochronie danych osobowych.

2. W przypadku, gdyby przetwarzanie ww. danych osobowych okazało się konieczne, Strony w ciągu 14 dni od zidentyfikowania takiej konieczności zawrą umowę powierzenia przetwarzania danych osobowych, zgodnie z obowiązującymi przepisami, określając podstawę powierzenia przetwarzania danych osobowych, a także cel i zakres takiego powierzenia.

3. Strony zobowiązane są do zapewnienia realizacji w imieniu i na rzecz drugiej ze Stron obowiązku informacyjnego z art. 14 RODO (obowiązek informacyjny wobec podmiotów danych pozyskanych od osoby trzeciej) zgodnie z treścią klauzul informacyjnych zawartych w Załączniku nr [__]. Obowiązek ten zostanie zrealizowany wobec osób wyznaczonych do realizacji Umowy, których dane są przekazywane drugiej ze Stron, co obejmuje zwłaszcza realizację tego obowiązku przez Zleceniobiorcę wobec jego personelu.

(15)

15 Kwestię przetwarzania danych osobowych reguluje obecnie ogólne rozporządzenie o ochronie

danych (Rozporządzenie UE 2016/679, RODO), które przewiduje szereg, również w zakresie powierzenia przetwarzania danych (np. usługodawcy przeprowadzającemu testy bezpieczeństwa).

Prowadzenie testów penetracyjnych na systemie w wersji testowej zwykle nie będzie wymagać dostępu do danych osobowych, których administratorem jest Zleceniodawca.

Taka konieczność może jednak zaistnieć w sytuacji, kiedy testy będą prowadzone na środowisku produkcyjnym (np. dla prawidłowego wykonania testów zleceniobiorca będzie musiał uzyskać dostęp do baz danych klientów). W takim przypadku strony powinny zawrzeć umowę powierzenia przetwarzania danych, po zweryfikowaniu podstawy powierzenia oraz zakresu powierzanych danych.

§ 13 Koordynatorzy Umowy

1. Każda ze Stron powołuje swojego przedstawiciela do bieżących kontaktów, który będzie nadzorować sprawną realizację Umowy, zwanego dalej Koordynatorem:

1) Koordynatorem ze strony Zleceniodawcy jest [__], tel. [__], e-mail: [__];

2) Koordynatorem ze strony Zleceniobiorcy jest [__], tel. [__], e-mail: [__].

2. Zmiana osoby Koordynatora lub jego danych jest skuteczna dla drugiej Strony z chwilą jej powiadomienia i nie stanowi zmiany Umowy w drodze pisemnego aneksu.

3. Koordynatorzy są umocowani zwłaszcza do akceptacji Protokołu, o którym mowa w § 5 Umowy.

Aby uniknąć wątpliwości dotyczących ścieżki kontaktu w toku realizacji Umowy, warto wyznaczyć Koordynatorów Umowy, dookreślając jednocześnie zakres ich uprawnień.

§ 14 Postanowienia końcowe

1. Umowa jest zawarta zgodnie z prawem polskim. W zakresie nieuregulowanym Umową zastosowanie mają przepisy prawa polskiego.

2. Wszelkie spory powstałe w związku z Umową będą poddane pod rozstrzygnięcie sądowi powszechnemu właściwemu dla siedziby Zleceniodawcy.

3. Wszelkie zmiany Umowy wymagają zachowania formy pisemnej pod rygorem nieważności, z zastrzeżeniem tych postanowień Umowy, które wyraźnie przewidują, że ich zmiana nie wymaga dla swej skuteczności zmiany Umowy.

4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla Zleceniodawcy i Zleceniobiorcy.

5. W przypadku rozbieżności pomiędzy postanowieniami zamieszczonymi bezpośrednio w Umowie a postanowieniami załączników, pierwszeństwo mają postanowienia Umowy.

(16)

16 6. Integralną część Umowy stanowią następujące Załączniki:

[______]

[______]

Postanowienia końcowe w umowie o przeprowadzenie testów penetracyjnych nie będą szczególnie różniły się od postanowień innych umów z zakresu IT.

Warto zwrócić uwagę na kwestię jurysdykcji (sąd właściwy w razie sporu) oraz prawa właściwego (kiedy zawieramy umowę z kontrahentem spoza Polski). Istotne jest także określenie reguł na wypadek sprzeczności postanowień Umowy i załączników (do których dochodzi zwłaszcza w przypadku długich negocjacji lub przygotowania rozbudowanych umów).

Cytaty

Pobierz teraz ( PDF - 16 Stron - 425.39 KB )

Powiązane dokumenty

Na przyk³adzie utworów jury górnej–kredy dolnej zapadliska przedkarpackiego przedstawiono sposób wykorzystania danych statystycznych uzyskanych z testów DST w projektowaniu kolejnych testów

Mo¿liwoœæ zastosowania wyników testów do projektowania technologii badañ DST w rozpoznawanych z³o¿ach oraz podejmowanie decyzji technologicznych w trakcie udostêpniania

KATALOG TESTÓW

- arkusze testowe SPR Wersja dla ojców - arkusze testowe SPR Wersja dla matek - arkusze obliczeniowe SPR-2 Ocena Postaw Matki/Ojca. - arkusze pytań SPR-2

KATALOG TESTÓW

- arkusze testowe SPR Wersja dla ojców - arkusze testowe SPR Wersja dla matek - arkusze obliczeniowe SPR-2 Ocena Postaw Matki/Ojca. - arkusze pytań SPR-2

KATALOG TESTÓW

(adaptacji i arkusze wyników, podręcznika) zeszyty testowe Diana

KATALOG TESTÓW

CFT 1- R Neutralny Kulturowo Test Inteligencji Cattella CFT 3 Neutralny Kulturowo Test Inteligencji Cattella CFT 20- R Neutralny Kulturowo Test Inteligencji Cattella WS/ZF-R

Definicja i zakres testów ESC dla systemu ERTMS/ETCS poziom 2

- widoczne parametry: prędkość pociągu, pozycja pociągu, tryb urządzeń ETCS oraz operacyjny numer pociągu, - wyświetlone MA. 2 Dyżurny ruchu

ZESTAW TESTÓW

Przed przysta˛pieniem do udzielania odpowiedzi przeczytaj uwaz˙nie poniz˙szy tekst. Zestaw pytan´ obejmuje 21 zadan´ z zagadnien´ techniki. Odpowiedzi nalez˙y udzielac´

„Dostawa leków i testów”

… nie orzeczono wobec nas tytułem środka zapobiegawczego zakazu ubiegania się o zamówienia publiczne; *. … orzeczono wobec nas tytułem środka zapobiegawczego zakaz