2015

Smlouva o dílo č. smlouvy Objednatele: č. smlouvy Zhotovitele:

OS 8003/2015

uzavřená v souladu ustanoveními § 2586 odst. 2 a násl. zákona č. 89/2012 Sb., občanského zákoníku, ve znění pozdějších předpisů, jakož i v souladu se zákonem č. 121/2000 Sb., o právu autorském, ve znění pozdějších předpisů: Článek 1 Smluvní strany

1.1 Objednatel: Název: Sídlo: IČO: DIČ SK: IČ DPH: Banka:

Slovenská technická univerzita v Bratislave (STU) Vazovova 5, 812 43 Bratislava, Slovenská republika 003 97 687 20 20 84 52 55 SK 20 20 84 52 55 Štátna pokladnica, Radlinského ulica 32, 810 05 Bratislava 15, Slovenská republika SWIFT: SPSRSKBAXXX IBAN: SK7981800000007000240727 Statutární orgán: prof. Ing. Robert Redhammer, PhD., rektor Právna forma: Verejnoprávna inštitúcia zriadená podľa zákona č. 131/2002 o vysokých školách Z.z. a o zmene a doplnení niektorých zákonov v znení neskorších predpisov jako verejná vysoká škola (dále jen „Objednatel“) a 1.2 Zhotovitel: Název: Sídlo: IČO: DIČ: Banka:

IS4U, s.r.o. (IS4U) U Vodárny 3032/2a, 616 00 Brno, Česká republika 292 05 336 CZ 292 05 336 Raiffeisenbank a.s., č. u. 5128744001/5500 IBAN CZ90 5500 0000 0051 2874 4001 SWIFT RZBCCZPP Společnost je plátce DPH Statutární orgán: Ing. Tomáš Majer, jednatel (dále jen „Zhotovitel“) uzavírají smlouvu o dílo (dále jen „smlouva“) tohoto obsahu: Článek 2 Předmět smlouvy Dohodnutým předmětem plnění Zhotovitele podle této smlouvy je dopracování funkcionalit do řešení Akademický informační systém (dále jen AIS) podporujících zvýšení bezpečnosti použití AIS v prostředí Objednatele pomocí dvouúrovňové autentizace a dodávka hardwarového vybavení v podobě čipových karet, čteček a obálek pro tisk PIN kódů. Zadání a termíny realizace jednotlivých částí projektu jsou stanoveny v příloze č. 1 této smlouvy. Předmět smlouvy zahrnuje: a)

Realizace projektu dvouúrovňové autentizace v prostředí Akademického informačního systému instalovaného na STU v Bratislavě v části Záznamník učitele v souladu s Přílohami 1 a 2 této smlouvy.

b)

Dodávka hardwarového vybavení v souladu s rozpočtem projektu uvedeným v Příloze č. 2 této smlouvy.

c)

Školení klíčových uživatelů systému na nově vytvořené aplikace a doporučené postupy - proškolení nových funkcí implementovaných na základě této smlouvy.

d)

Akceptační období - činnost k ověření shody chování nových aplikací a postupů s uživatelskou dokumentací systému, - činnost k prověření správné součinnosti nových funkcí a postupů se stávajícím systémem.

e)

Zkušební provoz nově vytvořených aplikací a postupů s rutinním využitím systému v provozu Objednatele - řádný, plnohodnotný provoz s reálnými daty Objednatele, probíhající za zvýšené pozornosti obou smluvních stran.

Článek 3 Dohodnutá doba plnění Zhotovitel se zavazuje zhotovit jednotlivé části díla dle harmonogramu uvedeném v Příloze č. 1 této smlouvy resp. v těchto klíčových termínech: a) zahájení provádění díla

nejpozději do 31. 7. 2015 včetně,

b) předání díla Objednateli, zahájení akceptace

nejpozději do 28. 9. 2015 včetně,

c) ukončení akceptačního období Objednatelem

nejpozději do 28. 10. 2015 včetně,

to vše za podmínky podpisu této smlouvy

nejpozději 31. 7. 2015 včetně.

Článek 4 Místo plnění Místem plnění je sídlo Objednatele uvedené v záhlaví této smlouvy.

Článek 5 Cena díla Cena díla uvedeného v čl. 2 této smlouvy se sjednává dohodou a činí bez daně z přidané hodnoty za: 1.

služby dle č. 2

82 013 EUR

Daň z přidané hodnoty bude účtována v souladu s obecně závaznými právními předpisy platnými v okamžiku fakturace. Platba bude provedena v měně Euro.

Článek 6 Platební podmínky 1.

Zhotoviteli vzniká právo fakturovat řádně akceptované dílo, formou podpisu akceptačního protokolu nebo akceptace ze strany Objednatele jiným způsobem (email, helpdesk), ve dvou částech: -

54 000 EUR bez DPH z ceny dle čl. 5. Splatnost faktury je 30 kalendářních dnů ode dne jejího vystavení.

-

28 013 EUR bez DPH z ceny dle čl. 5. Splatnost faktury je 180 kalendářních dnů ode dne jejího vystavení. Původní výše druhé části fakturace 27 197 EUR byla navýšena vzhledem k odložené splatnosti o 3 % z ceny.

2

Článek 7 Organizace a řízení provádění díla 1.

Objednatel pověřuje organizací a řízením provádění díla: Zhotovitel pověřuje organizací a řízením provádění díla:

prof. Ing. Pavol Horváth, Ph.D. Ing. Tomáš Majer

Objednatel a Zhotovitel mohou zrušit pověření jmenovaných osob jen písemně a současně pověřit organizací a řízením provádění díla jinou osobu. O změně pověření jsou smluvní strany povinny se písemně informovat. 2.

Pověřené osoby budou požadavky na druhou smluvní stranu předávat primárně v příslušném helpdeskovém kanále Objednatele či emailem. Článek 8 Práva a povinnosti Objednatele

1.

Objednatel má právo: - vyžadovat plnění povinností Zhotovitele.

2.

Objednatel je povinen: - poskytovat vzájemnou součinnost Zhotoviteli, - zamezit provedení modifikace dodaného softwaru, změny parametrů, struktury databáze a naplnění základních číselníků v rozporu s dokumentací, - převzít předmět plnění uvedený v čl. 2 dle termínů v čl. 3 a v Příloze 1 i s vadami a nedodělky nebránícími použití díla obvyklým způsobem. Článek 9 Práva a povinnosti Zhotovitele

1.

Zhotovitel má právo: - vyžadovat plnění povinností Objednatele, - použít nově vyvinuté části AIS i v jiných instalacích AIS na vlastní nebo cizí univerzitě.

2.

Zhotovitel je povinen: - dodat předmět této smlouvy dle čl. 2 a dle termínů v čl. 3 a v Příloze č. 1. Článek 10 Odpovědnost za vady

1.

Zhotovitel odpovídá za vady, které má dílo v době jeho předání a za vady zjištěné Objednatelem po předání, jestliže byly způsobeny porušením povinnosti Zhotovitele po dobu platnosti této smlouvy.

2.

Zhotovitel neodpovídá za vady díla, jestliže byly způsobeny použitím věcí a podkladů Objednatele.

3.

Objednatel je oprávněn reklamovat vady díla vůči Zhotoviteli písemně nebo prostřednictvím helpdeskového kanálu na instalaci http://support.is4u.cz/stu/ bez zbytečného odkladu po jejich zjištění. V reklamaci popíše, kde se vady nacházejí a jak se projevují.

4.

Zhotovitel je povinen reklamované vady odstranit bezplatně v dále uvedených lhůtách podle jejich druhu takto: Vada těžká (brání základnímu používání díla) Zahájení odstraňování vady Zprovoznění (alespoň náhradním řešením)

nejpozději do 24 h od nahlášení nejpozději do 3 dnů od nahlášení

Vada lehká (zásadně nebrání používání díla, působí však provozní potíže Zahájení odstraňování vady nejpozději do 1 týdne od nahlášení Zprovoznění (alespoň náhradním řešením) nejpozději do 3 týdnů od nahlášení

3

Článek 11 Prodlení 1.

Je-li Zhotovitel v prodlení s plněním předmětu díla dle čl. 3 a Přílohy č. 1 a s odstraňováním vad dle čl. 10 je Objednatel oprávněn účtovat poplatek z prodlení za každý den prodlení ve výši 0,01 % z ceny předmětu plnění.

2.

Je-li Objednatel v prodlení s úhradou dle čl. 6 této smlouvy, je Zhotovitel oprávněn účtovat poplatek z prodlení za každý den prodlení ve výši 0,01 % z ceny předmětu plnění.

3.

Smluvní strana není v prodlení, pokud druhá smluvní strana svým jednáním znemožnila plnění ve sjednaném termínu a pokud nemožnost plnění ve sjednaném termínu nastala z objektivních důvodů, zejména vyšší mocí.

Článek 12 Odstoupení od smlouvy 1.

Od této smlouvy může odstoupit Objednatel z důvodu porušení smlouvy Zhotovitelem, zejména z důvodu: - zastavení či přerušení prací Zhotovitelem z důvodů ležících na straně Zhotovitele, - prodlení Zhotovitele se splněním termínu dokončení díla delším než 30 kalendářních dnů, - prodlení Zhotovitele se odstraněním vad a nedodělků delším než 30 kalendářních dnů.

2.

Od této smlouvy může odstoupit Zhotovitel z důvodu porušení smlouvy Objednatelem, zejména z důvodu: - neposkytnutí součinnosti Objednatele, - provedení modifikace dodaného softwaru, změny parametrů, struktury databáze a naplněných číselníků ze strany Objednatele, - nepřevzetí předmětu plnění uvedeného v čl. 2 v souladu s termíny dle čl. 3. písm. b) a c).

3.

Odstoupení od smlouvy je oprávněn provést pouze statutární orgán smluvní strany. Odstoupení je účinné dnem doručení doporučeně podaného písemného vyhotovení druhé smluvní straně.

4.

Odstoupí-li některá smluvní strana od této smlouvy, vrátí si smluvní strany vzájemně vše, co plnily od podpisu posledního akceptačního protokolu dle čl. 6 odst. 1.

Článek 13 Ochrana informací a práv k duševnímu vlastnictví 1.

Objednatel a Zhotovitel se zavazují neposkytovat informace svěřené druhou smluvní stranou třetí osobě a nevyužijí těchto informací pro jiné účely než pro plnění předmětu této smlouvy.

2.

Zhotovitel prohlašuje, že je vlastníkem duševních práv k SW určeného k rozšíření AIS požívajících ochrany dle zákona č. 121/2000 Sb.

3.

Zhotovitel je povinný při implementaci dodatečných funkcí AIS na STU zachovávat mlčenlivost při styku s osobními údaji zaměstnanců a studentů STU v souladu s ustanovením zákona č. 428/2002 Z.z., o Ochraně osobních údajů.

Článek 14 Závěrečná ustanovení 1.

Tato smlouva nabývá platnosti a účinnosti dnem jejího podpisu oprávněnými zástupci obou smluvních stran.

4

2.

Vztahy mezi smluvními stranami se řídí českým právním řádem. Ve věcech smlouvou výslovně neupravených se právní vztahy z ní vznikající a vyplývající řídí příslušnými ustanoveními občanského zákoníku, a ostatními obecně závaznými právními předpisy.

3.

Veškeré změny či doplnění smlouvy lze učinit pouze na základě písemné dohody smluvních stran. Takové dohody musí mít podobu datovaných, číslovaných a oběma smluvními stranami podepsaných dodatků smlouvy.

4.

Vztahuje-li se důvod neplatnosti jen na některé ustanovení smlouvy, je neplatným pouze toto ustanovení, pokud z jeho povahy, obsahu anebo z okolností, za nichž bylo sjednáno, nevyplývá, že jej nelze oddělit od ostatního obsahu smlouvy.

5.

Smluvní strany berou na vědomí, že dle ust. § 5a odst. 1 a odst. 4 zákona č. 211/2000 Z.z., o slobodnom prístupe k informáciám, ve znění pozdějších předpisů, se v případě této smlouvy jedná o povinně zveřejňovanou smlouvu, která se zveřejňuje v Centrálním registru smluv vedeném Úřadem vlády SR (dále jen CRZ).

6.

Tato smlouva nabývá platnosti dnem podepsání oběma smluvními stranami.

7.

Tato smlouva je účinná dnem následujícím po dni jejího zveřejnění v CRZ ve smyslu ust. § 47a zákona č. 40/1964 Z.z., Občiansky zákonník, ve znění pozdějších zákonů, zejména pak zákona č. 546/2010 Z.z.

8.

Smluvní strany berou na vědomí, že zveřejnění smlouvy v CRZ v souladu a v rozsahu dle zákona č. 211/2000 Z. z., o slobodnom prístupe k informáciám, ve znění pozdějších předpisů, není porušením nebo ohrožením obchodního tajemství. Smluvní strany tímto vyjadřují svůj souhlas se zveřejněním této smlouvy v CRZ v plném rozsahu.

9.

Nedílnou součástí této smlouvy jsou následující přílohy: a. Příloha č. 1 – Zadání a harmonogram realizace projektu, b. Příloha č. 2 – Rozpočet projektu

10.

Smlouva se vyhotovuje ve 4 (čtyřech) stejnopisech, z nichž každý má platnost originálu. Každá ze smluvních stran obdrží po 2 (dvou) stejnopisech.

11.

Smluvní strany prohlašují, že si smlouvu před jejím podpisem přečetly a s jejím obsahem bez výhrad souhlasí. Smlouva je vyjádřením jejich pravé, skutečné, svobodné a vážné vůle. Na důkaz pravosti a pravdivosti těchto prohlášení připojují oprávnění zástupci smluvních stran své vlastnoruční podpisy.

V Bratislavě dne 31. 7. 2015

V Brně dne 31. 7. 2015

…………………………………………………………………..

…………………………………………………………..

prof. Ing. Robert Redhammer, PhD., rektor Objednatel

Ing. Tomáš Majer, jednatel Zhotovitel

5

Příloha č. 1 – Zadání a harmonogram realizace projektu Zvyšování zabezpečení AIS s využitím PKI a čipových karet Úvod Definované části Akademického informačního systému budou dostupné pouze s využitím dvoufaktorového ověření uživatele pomocí přístupového jména a hesla a certifikátu uloženého na kontaktní čipové kartě. Pro potřeby vydávání certifikátů bude zřízena Certifikační Autorita, která bude doplněna desktopovou aplikací pro správu čipové karty do prostředí Microsoft Windows 7, Microsoft Windows 8 nebo Microsoft Windows 10. Součástí nasazení Certifikační Autority a režimu zvyšování zabezpečení AIS je třeba přijmout příslušnou vnitřní legislativu na základě dodaných podkladů dodavatele, zajistit proškolení klíčových pracovníků centrálního pracoviště, správy AIS, výpočetních center fakult, a následně zpracovat metodické pokyny pro pracoviště vydávající, blokující či zneplatňující karty. Životní cyklus čipové karty Čipové karty s kontaktním a bezkontaktním čipem budou dodávány ve variantách: bílá, s předtiskem ITIC a s předtiskem ISIC. Na čipové kartě s předtiskem ISIC již bude v její bezkontaktní části nahrána dopravní aplikace společnosti TransData. Karty budou dodávány s jednotným PIN a PUK. Na centrálním pracovišti STU bude probíhat personalizace karet (tisk, jméno a příjmení držitele, fotografie atd.). Na tomto pracovišti bude také prováděna inicializace karty. Pomocí desktopové aplikace bude na kartě vygenerován privátní a veřejný klíč, a veřejný klíč bude předán certifikační autoritě UIS, která jej podepíše. Aplikace vygeneruje PIN a PUK, zapíše je na kartu, a obsluha tyto údaje z aplikace vytiskne na speciální PIN formulář. PIN formuláře budou součástí dodávky. Vydání karty s certifikátem musí být vázáno na ověření identity uživatele oproti dokladu totožnosti. Aktivace bezkontaktního čipu bude provedena obsluhou při předání karty, a informace o tomto bude přenesena do AIS. Certifikát na kartě je platný již od svého generování, přičemž AIS také uchová informaci o prvním použití karty. Před prvním použitím kontaktní čipové karty v počítači je třeba provést instalaci ovladačů. Tuto instalaci provádí příslušné Výpočetní centrum fakulty nebo Centrum výpočetní techniky pro ostatní pracoviště. Ovladače budou dostupné ke stažení na veřejně přístupném místě, v úvahu tedy připadá i samoinstalace uživatelem dle návodů, které budou dodány pro operační systémy Microsoft Windows 7, Microsoft Windows 8.1 a Microsoft Windows 10. Jestliže dojde v průběhu užívání karty k jejímu zablokování opakovaným zadáním špatného PIN kódu, musí se držitel karty dostavit na centrální pracoviště, kde obsluha provede odblokování karty pomocí PUK, který uživatel musí znát. Pokud uživatel nebude PUK znát, je nutná reinicializace celé karty vč. vytvoření nového certifikátu. V případě znalosti PIN nebo PUK ze strany uživatele lze v budoucnosti uvažovat o decentralizaci aplikace pro změnu PIN karty přímo uživatelem v prostředí Windows 7, Windows 8 nebo Windows 10. V případě ztráty či odcizení karty uživatel kontaktuje pověřené pracovníky (osobně, e-mailem nebo telefonicky), kteří provedou blokaci karty. S blokací karty bude zveřejněna informace o neplatnosti certifikátu pomocí CRL. V případě nalezení karty nebude již možné zneplatněný certifikát odblokovat. V takovém případě musí být na kartu vygenerován nový certifikát, a pak lze kartu dále používat. Toto generování bude provádět pouze centrální pracoviště pomocí desktopové aplikace. Při ztrátě nároku na příslušný typ karty (např. student přestane studovat, ale nadále bude zaměstnancem s nižším typem karty z hlediska licence) nedojde k okamžitému zneplatnění certifikátu, ale začne běžet lhůta (7 dní), po kterou je certifikát stále platný – v případě manuálního prodloužení platnosti karty je tak možné přerušit uvedenou lhůtu a zabránit zneplatnění certifikátu a návštěvě centrálního pracoviště. Změny v aplikacích AIS Pro vybrané aplikace ze Záznamníku učitele bude vyžadováno dvoufaktorové ověření uživatele. Uživatelským jménem a heslem přihlášený uživatel bude při prvním přístupu k zabezpečené aplikaci nebo její části přesměrován do nápovědné aplikace, kde mu budou k dispozici návody pro práci s čipovou kartou. Pokud uživatel bude chtít přejít do zabezpečené aplikace, bude vyzván k vložení karty do čtečky a k zadání PIN. Bez jeho zadání není možné

6

použít certifikát na kartě. Bez správného ověření certifikátu karty mu bude přístup do příslušné aplikace nebo její části odepřen. Vstup do vybraných aplikací evidence karet pro centrální pracoviště (výroba, aktivace) bude vždy vyžadovat dvoufaktorové ověření. Změna hesla uživatele s vydanou čipovou kartou bude možná rovněž jen po dvoufaktorovém ověření pomocí kontaktní čipové karty. Po prvním povýšení úrovně zabezpečení bude uživatel v tomto režimu setrvávat, dokud jeho nečinností nedojde k vypršení stanovené doby nečinnosti (navrhujeme 10 minut), dokud nebude vyjmuta karta ze čtečky nebo dokud uživatel neprovede odhlášení ze systému. Pro přechodové období je pro každého uživatele zvlášť možné nastavit, v jakém režimu je vyžadováno použití kontaktní čipové karty. Ve striktním režimu je nutné použít karty vždy, když uživatel přistupuje do zabezpečené aplikace. V přechodném režimu si může uživatel vybrat, zda kartu použije či nikoli (aplikace bude uživatele upozorňovat, že v uvedeném místě je vhodné – a od stanoveného data nezbytné – použít kartu s certifikátem). Přechodný režim se povoluje na pevné, předem dané časové období při výrobě karty. Přechodný režim lze také použít při nahlášení ztráty karty a její blokaci, a to do doby, než bude vydána karta nová. Přechod do tohoto režimu však vyžaduje ověření identity uživatele oproti dokladu na centrálním pracovišti (telefonická nebo e-mailová blokace znemožní zneužití karty, ale také přístup uživatele do systému – je nezbytné zabránit podvodu využívajícího telefonické zablokování karty cizího uživatele za účelem snížení úrovně zabezpečení, a následné zneužití např. znalosti hesla tohoto uživatele). Aplikace pro evidenci karet v UIS bude evidovat, kteří uživatelé mají vydány kontaktní čipové karty, a pouze pro tyto uživatele platí dvoufaktorové ověření. Uživatelé, kterým karta nebyla zatím vydána, budou pracovat s UIS standardním způsobem ověřeným pouze jménem a heslem. Pro využití institutu delegování práv a superpráva budou uživatelé, na které byla práva delegována, či uživatelé, kteří využijí superprávo, nuceni použít svou vlastní čipovou kartu pro přístup k zabezpečené aplikaci. Toto vyžaduje nutnost vybavit kontaktními čipovými kartami s platným certifikátem ty uživatele, kteří běžně superprávem disponují nebo kteří běžně vykonávají činnosti učitelů v režimu delegování – např. sekretariáty, a měli by přistupovat k zabezpečeným aplikacím. Nutnost použití kontaktní čipové karty se bude vztahovat i na testovací a vývojovou instalaci AIS a v rámci úplnosti je režim kontaktní čipové karty vyžadován také po pracovnících centrálního pracoviště, správy AIS a vývoje společnosti IS4U. Vybrané zabezpečené aplikace Níže následuje seznam aplikací přístupných pouze se zvýšenou úrovní zabezpečení.    

Všechny aplikace Záznamníku učitele Všechny aplikace Správy karet (mimo aplikace Ověření platnosti identifikačních karet) Všechny aplikace Závěrečných prací Změna hesla

7

Harmonogram prací Označení části projektu

Kdo

Termín

Zahájení provádění díla

IS4U

31. 7. 2015

Dodání 15 testovacích sad karta + čtečka

IS4U

31. 7. 2015

Příprava prostředí pro ověření funkce kontaktního čipu

IS4U

31. 7. 2015

Ověření správné funkce bezkontaktního čipu a kontaktního čipu na různých OS

STU

14. 8. 2015

Ověření správného potisku karet

STU

14. 8. 2015

Dodávka podkladů pro úpravu vnitrouniverzitní legislativy

IS4U

14. 8. 2015

Implementace obecného mechanismu dodatečného ověření uživatele

IS4U

21. 8. 2015

Doplnění zabezpečeného režimu do vyjmenovaných aplikací

IS4U

28. 8. 2015

Dodávka PIN formulářů pro ověření tisku na tiskárnách STU

IS4U

28. 8. 2015

Ověření PIN formulářů na tiskárnách STU

STU

9. 9. 2015

Implementace Certifikační Autority STU propojené a ovládané z AIS

IS4U

18. 9. 2015

Implementace desktopové aplikace

IS4U

18. 9. 2015

Předání díla Objednateli

IS4U, STU

18. 9. 2015

Dodávka čipových karet, čteček a PIN formulářů

IS4U

21. 9. 2015

Školení uživatelů

IS4U, STU

od 21. 9. 2015

Implementace vnitrouniverzitní legislativy

STU

25. 9. 2015

Zahájení zkušebního provozu, vydávání karet a zahájení akceptace

STU

28. 9. 2015

Ukončení akceptačního období Objednatelem

STU

28. 10. 2015

8

Příloha č. 2 – Rozpočet projektu Položkový rozpočet projektu je rozdělen do 2 oddělených částí: 1.

Implementační náklady Název impl. části

Náročnost (h)

Cena Kč

Cena EUR

Rozšíření session o úrovně ověření

40

50 000

1 845

Úpravy aplikací, zejména Záznamník učitele a Změna hesla

40

50 000

1 845

8

10 000

369

Ověřovací aplikace PKI

30

37 500

1 384

Návody pro instalaci a použití

30

37 500

1 384

Certifikační Autorita STU

120

150 000

5 535

.NET aplikace pro inicializaci karty

120

150 000

5 535

CELKEM

388

485 000

17 897

Úprava evidence karet v UIS

2.

Hardwarové náklady

Název položky

Počet

Jednot. cena Kč

Celkem cena Kč

Jednot. cena EUR

Celkem cena EUR

ID Core, DESfire EV1 8k bílá

2 100

374

785 400

13,80

28 980

900

382

343 800

14,10

12 690

PC USB Twin (čtečka)

3 000

184

552 000

6,79

20 370

PIN obálka

3 000

11,4

34 200

0,42

1 260

ID Core, DESfire EV1 8k, potisk ofset 4/4

CELKEM

1 715 400

9

63 300