M825. Onderhandelingsprocedure met voorafgaande bekendmaking

Maria-Theresiastraat 1 1000 BRUSSEL

Oproep tot kandidaatstelling: Fedict/2013/M825 Onderhandelingsprocedure met voorafgaande bekendmaking

DC2.0 - Fedict Infrastructure Services Platform

Ontvangst van de aanvragen tot deelneming: e-tendering: toegestaan Locatie:

Fedict Maria-Theresiastraat 1 1000 Brussel Zaal Robert Cailliau (2e verdieping)

Tijdstip: 11 juni 2013 om 14.00 u

FEDICT/2013/M825: DC2.0 - Fedict Infrastructure Services Platform

De aanvragen tot deelneming worden vóór de opening ervan ofwel per schrijven (een aangetekend schrijven wordt aanbevolen) opgezonden naar, ofwel persoonlijk neergelegd bij Fedict ter attentie van, de dienst procurement. Fedict staat het gebruik van elektronische middelen (via e-Tendering) toe voor het indienen van de aanvragen tot deelneming.

De aanvragen tot deelneming die niet met elektronische middelen worden opgesteld dienen te voldoen aan onderstaande bepalingen. Omslag De aanvraag tot deelneming wordt in een omslag gestoken die wordt gesloten. Op deze omslag dienen de volgende vermeldingen te worden aangebracht: het nummer van het bestek: Fedict/2013/M825; datum en uur van de opening van de aanvragen tot deelneming: 11 juni 2013 om14.00 u. Deze omslag wordt gestoken in een tweede omslag met de volgende vermeldingen1: “aanvraag tot deelneming: Fedict/2013/M825” in de linkerbovenhoek; op de plaats waar het adres van de bestemming moet worden vermeld: Fedict Ter attentie van de dienst Procurement Maria-Theresiastraat 1 1000 BRUSSEL De aanvraag tot deelneming dient in drievoud ingediend te worden. Tevens dient een exemplaar op elektronische drager ingediend te worden (USB, CD-Rom,…).

De aanvragen tot deelneming met elektronische middelen opgesteld dienen te beantwoorden aan de eisen van art.81 ter §§ 1 en 2 en art.81 quater §1, 1°, 2°, 3° en 4° van het KB van 8 januari 1996. https://eten.publicprocurement.be/ Er wordt in e-Tendering geen gebruik gemaakt van: de dubbele elektronische zending; het forum voor de informatie aan de inschrijvers.

1

Het spreekt vanzelf dat deze richtlijnen slechts moeten gevolgd worden indien de verzending van de kandidatuur gebeurt via de Post. Deze richtlijnen worden evenwel ook aanbevolen in de andere gevallen, om te vermijden dat een kandidatuur per ongeluk zou worden geopend.

2


De inschrijver dient zijn elektronische aanvraag tot deelneming op te laden in e-Tendering, in het Nederlands of in het Frans. De internetsite waarborgt de naleving van de voorwaarden van artikel 81 ter van het KB van 8 januari 1996. Er dient opgemerkt te worden dat het versturen van een aanvraag tot deelneming per e-mail niet aan deze voorwaarden voldoet. Daarom wordt het niet toegestaan op deze wijze aanvragen tot deelneming in te dienen. e-Tendering is de module binnen de Belgische e-Procurement omgeving, www.publicprocurement.be, die het aanbestedende overheden mogelijk maakt elektronische aanvragen tot deelneming te ontvangen van ondernemingen. Deze aanvragen tot deelneming worden ook elektronisch geopend tijdens openingssessies. https://eten.publicprocurement.be/etendering/home.do Bij openbare openingssessies kan het proces-verbaal ook meteen geconsulteerd worden. Wat u als onderneming nodig hebt en hoe het systeem werkt, kan u terugvinden in onderstaande brochure. Checklist ondernemingen (.pdf) Opgelet: voor het ondertekenen van uw aanvraag tot deelneming heb je een elektronische handtekening nodig. Voorzieningen voor het werken met een Belgische eID: •

een eID kaartlezer (al standaard op bepaalde laptops en toetsenborden of te kopen (http://cardreaders.be);

•

de eID software (gratis via http://eid.belgium.be) moet geïnstalleerd zijn op uw pc;

•

pincode van eID niet vergeten !;

•

voor het digitaal ondertekenen van aanvragen tot deelneming kunt u eveneens gebruik maken van een Certipost gekwalificeerd e-token.

De veiligheidskopie Om bepaalde problemen die zich kunnen voordoen bij de verzending, de ontvangst of de opening van met elektronische middelen ingediende aanvragen tot deelneming te verhelpen, geeft de aanbestedende overheid aan de inschrijvers de toestemming om zowel een aanvraag tot deelneming met elektronische middelen in te dienen als een veiligheidskopie die is opgesteld met elektronische middelen of op papier. Deze veiligheidskopie wordt in een definitief gesloten omslag gestoken waarop duidelijk "veiligheidskopie" wordt vermeld en wordt binnen de opgelegde ontvangsttermijn ingediend.

3


Deze kopie mag enkel worden geopend in geval van een tekortkoming bij de verzending, de ontvangst of de opening van de met elektronische middelen ingediende aanvraag tot deelneming. Ze vervangt in dat geval definitief het met elektronische middelen ingediende document.

Tijdstip en neerlegging van de aanvragen tot deelneming Op 11 juni 2013 om 14.00 u zal in de vergaderzaal Robert Cailliau in de kantoren van Fedict, Maria-Theresiastraat 1, 1000 Brussel, worden overgegaan tot de opening van de aanvragen tot deelneming ingediend voor deze opdracht. Enkel afgevaardigden van firma’s die een aanvraag tot deelneming hebben ingediend mogen deze zitting bijwonen.

Bijkomende inlichtingen omtrent de juridisch administratieve inhoud van deze oproep tot kandidaatstelling kunnen bekomen worden bij: Björn Maras, [email protected], 02/212 95 24.

Bijkomende inlichtingen omtrent de technische inhoud van deze oproep tot kandidaatstelling kunnen bekomen worden bij: Dimitri Hiernaux, [email protected], 02/212 95 10.

4


Aanvraag tot deelneming De onderneming (volledige benaming)

adres (straat, postnr. en gemeente)

Met ondernemingsnummer

Ingeschreven bij de RSZ onder nummer

en waarvoor Mijnheer/Mevrouw (naam en functie)

gedomicilieerd op het adres (straat , postnr. en gemeente, land)

als kandidaat of gevolmachtigde optreedt en hieronder ondertekent,

5


stelt zich kandidaat tot deelname aan de opdracht Fedict/2013/M825 voor volgende perceel of percelen:

Perceel

Beschrijving perceel

Deelname*

1

Basic cloud services

Ja / Nee

2

Standby cloud provider

Ja / Nee

3

Managed database services

Ja / Nee

4

Cloud broker service

Ja / Nee

5

Workload monitoring service

Ja / Nee

6

Consolidated reporting service

Ja / Nee

7

Local infrastructure services

Ja / Nee

8

Virtualised security infrastructure

Ja / Nee

9

VM Encryption technology

Ja / Nee

* Doorhalen wat niet van toepassing is.

6


Alle briefwisseling betreffende de onderhavige opdracht moet worden gestuurd naar: (straat, postnr. en gemeente, telefoonnummer, faxnummer en e-mailadres)

De kandidaat voegt bij zijn kandidatuur alle vereiste inlichtingen, documenten en verklaringen die gevraagd worden ter beoordeling van zijn eigen situatie zoals gevraagd in punt 2.1 (enkel de documenten welke Fedict niet zelf kosteloos via digitale weg kan opvragen) en ter beoordeling van de financiële draagkracht en de technische capaciteit zoals gevraagd in punten 2.2 en 2.3. van onderhavig document.

Gedaan te ………………..op …………………2013

De inschrijver of zijn gevolmachtigde (naam, functie, handtekening)

7


Maria-Theresiastraat 1 1000 BRUSSEL

Selectieleidraad die integraal deel uitmaakt bij de publicatie van de overheidsopdracht: Fedict/2013/M825

Oproep tot kandidaatstelling: Fedict/2013/M825 Onderhandelingsprocedure met voorafgaande bekendmaking

DC2.0 - Fedict Infrastructure Services Platform

8


1. BESCHRIJVING VAN DE OPDRACHT 1.1 Context Fedict wenst een bestek te publiceren waarmee zijn infrastructuurdiensten zullen vernieuwd worden. Dit bestek vervangt een groot deel van het huidige DCE bestek (referentie: Fedict/2006/GB/175/B). Het nieuwe contract heeft een looptijd van 5 jaar. Fedict heeft momenteel 2 data centers waarin 56 fysieke servers zijn gehost. Deze servers zijn in grote mate gevirtualiseerd (300 à 350 virtuele machines). Op deze infrastructuur draaien een 13-tal applicaties waaronder enkele zeer business kritische zoals de Federal Service Bus (FSB) en de Federal Authentication Service (FAS).

1.2 Visie en doelstellingen Met dit bestek wil Fedict op een eenvoudige wijze toegang verlenen tot kwalitatief hoogstaande en veilige cloud diensten, en dit aan applicatiebeheerders en hun partners. De gewenste functionaliteit kan gerealiseerd worden met private cloud technologie of public cloud2 technologie (via een Virtual Private Cloud3 model). Ook een hybride oplossing is mogelijk. Naast Fedict kunnen ook andere federale overheidsdiensten beroep doen op de diensten beschreven in dit bestek. Fedict heeft de intentie alle bestaande DCE applicaties te migreren naar het in dit bestek beschreven cloud platform. Fedict kiest expliciet voor de cloud-benadering om de volgende redenen: •

Door de grotere schaal waarop IaaS cloud diensten geleverd worden, kan een veel uniformere behandeling gegarandeerd worden, met striktere procedures, waardoor de veiligheid beter gegarandeerd kan worden. Certificatie van de infrastructuurlaag wordt voor Fedict eenvoudiger, want dit wordt door de cloud operator verzorgd.

•

Fedict verwacht van de cloud operator dat hij een volledig redundante structuur gebruikt. Deze is gespreid over minimaal 2 locaties en op voldoende afstand van elkaar, opdat milieu-en/of andere rampen of gebeurtenissen zoals het onbeschikbaar worden van nutsvoorzieningen geen invloed hebben op de werking van de diensten. Daarenboven kan Fedict door het ‘pay-per-use’ cloud model een tweede cloud operator als standby operator aanwijzen en inschakelen in geval

2 http://csrc.nist.gov/publications/nistpubs/800-146/sp800-146.pdf 3 Voor de definitie wordt verwezen naar de beschrijving in perceel 1.

9


van nood. Deze extra beschikbaarheidsgarantie vraagt geen of slechts beperkte investeringen, wat in een niet-cloud model niet mogelijk zou zijn. •

Onmiddellijke beschikbaarheid van infrastructuurresources: in het vorige statische DCE model was capaciteitsuitbreiding steeds zeer omslachtig en tijdrovend. Fedict wenst nu het element van de infrastructuur/gebouwen die de technische oplossingen hosten, te vermijden. Wij verwachten van de cloud operatoren die inschrijven op dit bestek dat ze steeds voldoende vrije capaciteit hebben zodat we steeds een optimale time-to-market kunnen aanbieden.

•

Schaalbaarheid: in piekperioden kan het nodig zijn de rekencapaciteit dynamisch te verhogen zodat de antwoordtijden voor onze gebruikers steeds aanvaardbaar blijven. Dit moet zowel horizontaal als verticaal kunnen (meer machines vs. krachtigere machines). Een ander voorbeeld waarvoor schaalbaarheid nuttig is, is het tijdelijk opzetten en weer afbouwen van testen acceptatieomgevingen.

•

Flexibiliteit: door het self-service model kunnen applicatiebeheerders zelf hun virtuele applicatiesilo opbouwen, zonder significante vertragingen veroorzaakt door manuele uitvoering van het huidige model.

•

Verhoogde, meetbare en gegarandeerde service levels: Fedict wenst hogere service levels aan te kunnen bieden aan haar klanten dan tot op heden. Tevens dient het mogelijk te zijn in ‘real time’ te kunnen rapporteren over de kwaliteit van de dienstverlening.

•

‘Pay-per-use’ -model: kosten van services moeten worden berekend per gebruik met (mogelijks) variabele gebruikseenheden (uur/dag/week/maand).

•

‘Always on’-model: de services zijn 24/7 beschikbaar. Hetzelfde geldt voor de support. De infrastructuurdiensten zijn zo ontworpen dat, indien de applicatiebeheerder dit wenst, de applicaties ‘always on’ kunnen zijn. Dit impliceert de afwezigheid van ‘vaste’ onderhoudsvensters waardoor de klantendiensten niet beschikbaar zijn.

•

Security is kritisch voor de dienstverlening: de toekomstige oplossing dient te voldoen aan de vigerende, en bij uitbreiding, toekomstige wetgevingen en EU richtlijnen (privacywetgeving, classificatie, meldingsplicht, CERT,…), ondersteund door de nodige maatregelen opdat de confidentialiteit, integriteit, beschikbaarheid en niet weerlegbaarheid gegarandeerd is.4

4

Bibliografie (geen exhaustieve lijst): http://www.privacycommission.be/sites/privacycommission/files/documents/CONS_kb_uitvoering_privacywet_13 _02_2001.pdf http://www.privacycommission.be/sites/privacycommission/files/documents/richtlijn_2002_58_eg.pdf http://www.privacycommission.be/sites/privacycommission/files/documents/richtlijn_2009_136_eg.pdf http://register.consilium.europa.eu/pdf/en/09/st03/st03674.en09.pdf http://www.edri.org/edri-gram/number7.2/international-standards-data-protection http://www.enisa.europa.eu/activities/risk-management/emerging-and-future-risk/deliverables/security-andresilience-in-governmental-clouds/ http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-risk-assessment/ http://csrc.nist.gov/publications/nistpubs/800-144/SP800-144.pdf

10


Het bestek beschrijft zowel de ‘Infrastructure as a Service’ (IaaS) cloud diensten, als de ’Database as a Service’ diensten, gevirtualiseerde security infrastructuur en extra diensten die rapportering en autoscaling moeten vereenvoudigen. De veiligheid van onze applicaties en de privacy van de gegevens kunnen slechts in beperkte mate door de IaaS laag gegarandeerd worden. Om deze reden bevat dit bestek ook percelen die beveiligings- en encryptietechnologie beschrijven. Deze beveiligingtsechnologieën zullen door de applicatiebeheerders gebruikt kunnen worden om hun applicaties extra te beveiligen. De encryptie- en signing sleutels zullen nooit in de cloud bewaard worden. Er wordt een Hardware Security Module (HSM) netwerkdienst voorzien die deze sleutels in de Fedict datacenters houdt. Om zich te beschermen tegen gevaren van lock-in bij de gekozen cloud provider zal Fedict ook een standby cloud operator aanwijzen. In crisissituaties (bijvoorbeeld bij het wegvallen van de primaire operator) zullen alle diensten naar de standby operator gemigreerd worden. Deze backup operator zal ook op regelmatige tijdstippen gebruikt worden voor disaster-recovery oefeningen. Tevens kan de standby operator gebruikt worden om gegevens (geëncrypteerd) bij te houden, hetgeen een migratie in noodsituaties moet versnellen. Teneinde de migratie tussen primaire- en standby operator eenvoudig en snel te houden neemt Fedict nog volgende additionele maatregelen: •

Fedict kiest eventueel een cloud-broker dienst die kan gebruikt worden om de configuraties provider-onafhankelijk te houden.

•

Fedict wenst met dit bestek ook een externe firewall en loadbalancer dienst in gebruik te nemen. Deze dienst zal vanuit de bestaande Fedict datacenters verzorgd wordt. Hierdoor kan gegarandeerd worden dat de publieke IP adressen behouden worden bij migratie naar een andere cloud provider (voor de applicaties waarvoor dit nodig is).

11


1.3 Scope van de diensten Fedict wenst in de toekomst de onderstaande diensten aan haar klanten aan te kunnen bieden. Dit is de zogenaamde ‘service catalogue’: 1. 2. 3. 4.

Compute (percelen 1 en 2) Network (percelen 1, 2 en 7) Storage (percelen 1 en 2) Database services (percelen 1, 2 en 3) •

DB2

•

Microsoft SQL Server

•

Oracle

• Postgres Plus 5. Authorative DNS service (percelen 1 en 2) 6. Workload monitoring service (perceel 5).

Het betreft voor de duidelijkheid alleen bovenstaande infrastructuurdiensten en niet de applicaties die hierop draaien. De applicaties blijven de verantwoordelijkheid van de applicatiebeheerders.

1.4 Structuur van het bestek Het bestek als volgt opgedeeld: Bestek DC2.0 Perceel

Beschrijving perceel

1

Basic cloud services

2

Standby cloud provider

3

Managed database services

4

Cloud broker service

5

Workload monitoring service

6

Consolidated reporting service

7

Local infrastructure services

12


8

Virtualised security infrastructure

9

VM Encryption technology

De ingebruikname van de nieuwe diensten is voorzien uiterlijk 15 februari 2014.

13


2. SELECTIE VAN DE KANDIDATUREN 2.1. Uitsluitingscriteria Fedict zal per perceel alle kandidaten selecteren die voldoen aan de hierna vermelde uitsluitingscriteria en de selectiecriteria inzake de financiële draagkracht en technische bekwaamheid. Enkel de geselecteerde kandidaten zullen later in het bezit gesteld worden van het bestek en uitgenodigd worden een offerte in te dienen. De kandidaturen worden geselecteerd op basis van de hierna vermelde selectiecriteria. Door het indienen van een kandidatuur dient duidelijkheid verschaft te worden dat de inschrijver zich niet in één van de onderstaande uitsluitingsgevallen bevindt. De inlichtingen of documenten die Fedict kosteloos via elektronische middelen bij de gegevensbeheerder kan opvragen, zal door Fedict zelf worden opgevraagd. Dit betreft momenteel de volgende documenten in het kader van deze opdracht: - RSZ-attest; - niet-falingsattest. Alle andere dan bovenvermelde attesten dienen ter staving toegevoegd te worden aan de kandidatuur. Dit betreft volgende documenten: 1. Uittreksel uit het strafregister voor de rechtspersoon en de bestuurder(s) 2. Attesten inzake directe belastingen en BTW De inschrijver dient tevens een kopij van de statuten bij zijn inschrijving te voegen waaruit de handtekeningbevoegdheid voor de inschrijver kan opgemaakt worden. Indien voor meerdere percelen ingeschreven wordt volstaat het de gevraagde documenten inzake uitsluitingscriteria eenmalig toe te voegen. Eerste uitsluitingscriterium § 1. De Belgische inschrijver die personeel tewerkstelt dat is onderworpen aan de wet van 27 juni 1969 tot herziening van de besluitwet van 28 december 1944 betreffende de sociale zekerheid der arbeiders moet in orde zijn met zijn verplichtingen ten overstaan van de Rijksdienst voor Sociale Zekerheid.

14


Hij wordt geacht in orde te zijn met voormelde verplichtingen indien blijkt dat hij daags vóór de uiterste datum voor de ontvangst van de offertes: 1. aan de Rijksdienst voor Sociale Zekerheid al de vereiste aangiften heeft toegezonden, tot en met diegenen die slaan op het voorlaatste afgelopen kalenderkwartaal voor de ontvangst van de offertes en 2. op deze aangiften geen verschuldigde bedragen van meer dan 2.500 euro moet vereffenen, tenzij hij voor die schuld uitstel van betaling heeft waarvan hij de termijnen strikt in acht neemt. Evenwel zelfs wanneer zijn schuld aan bijdragen groter is dan 2.500 euro, zal de inschrijver in orde beschouwd worden indien hij, alvorens de beslissing tot het gunnen van de opdracht wordt genomen, aantoont dat hij, ten laatste daags voor de uiterste ontvangst van de offertes op een aanbestedende overheid in de zin van artikel 4, §1 en & 2, 1° tot 8° en 10°, van de wet of op een overheidsbedrijf in de zin van artikel 26 van die wet, één of meer schuldvorderingen bezit die zeker, opeisbaar zijn en vrij van elke verbintenis tegenover derden zijn en waarvan het bedrag op 2.500 euro na, ten minste gelijk is aan de achterstallige bedragen.

§ 2. Ten laatste daags voor de uiterste datum voor de ontvangst van de offertes moet de buitenlandse inschrijver: 1. voldaan hebben aan de verplichtingen inzake betaling van de bijdragen aan de sociale zekerheid, in overeenstemming met de bepalingen van het land waarin hij gevestigd is; 2. in orde zijn met de bepalingen van §1, indien hij personeel tewerkstelt dat onderworpen is aan de wet van 27 juni 1969 tot herziening van de besluitwet van 28 december 1944 betreffende de sociale zekerheid er arbeiders.

§ 3. Fedict kan in welk stadium van de procedure ook, met alle middelen die zij dienstig acht, inlichtingen inwinnen over de stand van zaken van betaling van de bijdragen voor de sociale zekerheid van om het even welke inschrijver.

Tweede uitsluitingscriterium Is uitgesloten van deelname aan de gunningsprocedure de dienstverlener die een vonnis in kracht van gewijsde kreeg, waarvan de aanbestedende dienst op de hoogte is, voor volgende feiten:

15


1. deelname aan een criminele organisatie als bedoeld in artikel 324bis van het

strafwetboek; 2. omkoping als bedoeld in artikel 246 van het Strafwetboek; 3. fraude als bedoeld in artikel 1 van de overeenkomst aangaande de bescherming van de financiële belangen van de Europese Gemeenschappen, goedgekeurd door de wet van 17 februari 2002; 4. witwassen van geld als bedoeld in artikel 3 van de wet van 11 januari 1993 tot voorkoming van het gebruik van het financieel stelsel voor het witwassen van het geld en de financiering van terrorisme. Met het oog op de toepassing van deze paragraaf kan Fedict, wanneer er twijfels bestaan over de persoonlijke situatie van een dienstverlener, zich richten tot de bevoegde Belgische of buitenlandse autoriteiten om de informatie te bekomen die Fedict noodzakelijk acht in dit opzicht.

Derde uitsluitingscriterium De inschrijver mag niet in één van de volgende gevallen verkeren: 1. in staat van faillissement of van vereffening verkeren, zijn werkzaamheden hebben gestaakt of een gerechtelijk akkoord hebben bekomen, of in een overeenstemmende toestand verkeren als gevolg van een gelijkaardige procedure die bestaat in de nationale wetgevingen en reglementeringen; 2. aangifte hebben gedaan van zijn faillissement, een procedure van vereffening of gerechtelijk akkoord aanhangig hebben of een gelijkaardige procedure lopende hebben bestaande in de nationale wetgevingen en reglementeringen.

Vierde uitsluitingscriterium De inschrijver mag niet bij een vonnis dat in kracht van gewijsde is gegaan, veroordeeld zijn geweest voor een misdrijf dat zijn professionele integriteit aantast.

Vijfde uitsluitingscriterium De inschrijver mag niet bij zijn beroepsuitoefening een ernstige fout hebben begaan, vastgesteld op grond die de aanbestedende overheden aannemelijk kunnen maken.

16


Bovendien, verbindt de inschrijver, door de ondertekening van zijn aanvraag tot deelneming, zich tot het naleven van de normen bepaald in de basisconventies van de Internationale Arbeidsorganisatie (IAO), en in het bijzonder: 1. het verbod op dwangarbeid (verdrag nr. 29 betreffende de gedwongen of verplichte arbeid, 1930 en verdrag nr. 105 betreffende de afschaffing van de gedwongen arbeid, 1957); 2. het recht op vakbondsvrijheid (verdrag nr. 87 betreffende de vrijheid tot het oprichten van vakverenigingen en bescherming op het vakverenigingsrecht, 1948); 3. het recht van organisatie en collectief overleg (verdrag nr. 98 betreffende het recht op organisatie en collectief overleg, 1949); 4. het verbod op discriminatie inzake tewerkstelling en verloning (verdrag nr. 100 betreffende de gelijke verloning, 1951 en verdrag nr.111 betreffende discriminatie (beroep op beroepsuitoefening, 1958); 5. de minimumleeftijd voor kinderarbeid (verdrag nr.138 betreffende de minimumleeftijd, 1973), alsook het verbod op de ergste vormen van kinderarbeid (verdrag nr.182 over de ergste vormen van kinderarbeid, 1999). Het niet naleven van de hierboven vermelde verdragen zal dus worden beschouwd als een ernstige fout bij de beroepsuitoefening in de zin van artikel 69, 4°, van het KB van 8 januari 1996. De hogervermelde voorschriften zijn van toepassing ongeacht de andere voorschriften opgenomen in het artikel 69 van het hierboven vermeld besluit.

Zesde uitsluitingscriterium De inschrijver moet in orde zijn met de betaling van de verschuldigde directe belastingen en van de verschuldigde BTW.

Zevende uitsluitingscriterium De inschrijver mag zich niet in ernstige mate schuldig hebben gemaakt aan het afleggen van valse verklaringen bij het verstrekken van inlichtingen, opvorderbaar in het raam van deze opdracht.

2.2. Selectiecriteria inzake de financiële draagkracht van de inschrijver In het kader van deze opdracht moet de totale jaaromzet van de juridische entiteit die aanbiedt, voor de laatste drie boekjaren opgegeven worden.

17


Voor percelen 1 en 2 dient de totale omzet over de laatste drie boekjaren samen minstens € 15.000.000,00 te bedragen. Voor percelen 3 t/m 9 dient de totale omzet over de laatste drie boekjaren samen minstens € 5.000.000,00 te bedragen.

18


2.3. Selectiecriteria inzake de technische bekwaamheid van de inschrijver De kandidaat moet in zijn kandidatuur duidelijk het bewijs leveren dat hij technisch in staat is om de opdracht uit te voeren. Opmerking vooraf: de aanbieder erkent dat dit contract van het type ‘opdrachtencentrale’ is, waardoor andere Belgische overheidsdiensten de condities van dit contract kunnen hergebruiken voor hun bestellingen van de beschreven cloud diensten. Dit zal zeker de adoptie van cloud diensten binnen de overheid versnellen.

2.3.1. Perceel 1: Basic cloud services Introductie Dit perceel omvat de cloud IaaS infrastructuurdiensten (virtuele netwerken, virtuele machines en storage diensten), maar ook sommige databasediensten. Dit perceel van het bestek staat open voor cloud service providers die ‘Virtual Private Cloud’ (VPC) diensten kunnen leveren. Onder ‘Virtual Private Cloud’ verstaan we in dit bestek een ‘outsourced private cloud’5 maar waarbij sommige resources waaruit de private cloud samengesteld is op een dynamische manier uit een grotere pool van resources kunnen komen. De private clouds gebruiken adresranges die door Fedict of zijn partners vrij gekozen worden en bieden voldoende veiligheidsgaranties op gebied van scheiding van de netwerken. Klassieke ‘outsourced community cloud6’ oplossingen (waarbij de apparatuur meer statisch toegewezen is aan een groep klanten binnen de community) komen ook in aanmerking voor zover ze qua prijs en maturiteit competitief zijn. De volgende keuzes en afwegingen werden door Fedict gemaakt en hebben hun invloed op de gehanteerde selectie- en gunningscriteria:

5 6

•

Fedict gelooft in de voordelen van het cloud service model, en wil daar met dit bestek zoveel mogelijk gebruik van maken. Fedict gaat ervan uit dat een keuze voor een cloud dienst een uitgebreidere service catalogue, een hogere veiligheid en beschikbaarheid kan opleveren dan een vergelijkbare klassieke oplossing die on premises gebouwd wordt.

•

De geselecteerde inschrijvers zullen later in hun offerte aan moeten kunnen tonen dat ze voldoen aan de voorwaarden om compliant te zijn door middel van rapporten van onafhankelijke, derde partijen waarin onafhankelijke zekerheid wordt gegeven over de effectiviteit van minimaal de volgende processen: o Security management (minimaal logische en fysieke toegangsbeveiliging)

http://csrc.nist.gov/publications/nistpubs/800-146/sp800-146.pdf http://csrc.nist.gov/publications/nistpubs/800-146/sp800-146.pdf

19


o Change management. Deze zekerheid kan worden geboden onder de vorm van een SOC2 type 2 (ISAE3000), een PCI DSS 2.0 compliance rapport, ISO 27001, ISO 27002 certificatie en/of onder de vorm van een gelijkaardig extern audit rapport, waarbij minimaal volgende elementen dienen opgenomen te zijn: o een beschrijving van de geïmplementeerde architectuur m.b.t. de dienstverlening o een beschrijving van de interne controles m.b.t. de dienstverlening en de frequentie hiervan, en dit voor minimaal de eerder genoemde processen o een beoordeling van de effectiviteit van deze interne controles die garanties geven over de privacy, confidentialiteit, integriteit en beschikbaarheid o hoe de aanbieder de wijzigingen van de interne controles en/of wijzigingen aan zijn architectuur, locaties, enz., rapporteert en op welke wijze deze worden overgemaakt aan de afnemer van de diensten, in casu Fedict. •

Om optimaal van de voordelen van het cloud model te kunnen genieten wil Fedict zeker niet de diensten en operationele methodes van de dienstverlener aanpassen. We gaan er wel van uit dat de door de cloud aanbieder geleverde standaarddiensten en SLA’s aan onze vereisten voldoen. De cloud aanbieder aanvaardt echter dat sommige door Fedict opgelegde contractuele en in mindere mate servicevereisten incompatibel kunnen zijn met het standaard contract van de aanbieder.

•

De infrastructuur die alle hieronder beschreven diensten verzorgt is gespreid over minstens 2 datacenters, die voldoende geografisch gescheiden zijn, maar waarbij de ‘roundtrip time’ tussen 2 datacenters minder dan 2 ms bedraagt. Alle aangeboden diensten worden vanuit dezelfde cluster van datacenters verzorgd teneinde antwoordtijden optimaal te houden en de beschikbaarheid van totale applicatieketting zo hoog mogelijk te houden. De ‘roundtrip time’ tussen de datacenterlocaties en de belangrijkste Belgische aanbieders van netwerkdiensten (inclusief FedMAN) bedraagt minder dan 40 ms (de vertragingtijd van VDSL of andere last mile technieken niet inbegrepen). Fedict zal zijn applicaties actief-actief draaien in minstens 2 verschillende datacenters.

•

Daarenboven wil Fedict de disaster-bestendigheid nog meer verhogen en terzelfdertijd de projecten andere risico’s vermijden door een ander afgeleid perceel (2) toe te kennen aan een standby cloud provider. In een niet-cloud omgeving zou dit de kost verdubbelen maar bij een cloud benadering is de meerkost gering. Teneinde een vlotte overgang naar een andere aanbieder mogelijk te maken (met behoud van IP adressen) voorziet Fedict een redundante externe firewall-infrastructuur in zijn datacenters, van waaruit de beveiligde tunnels naar de cloud aanbieders gebouwd worden. Deze lokale infrastructuurdienst wordt beschreven in perceel 7 van dit bestek.

•

Fedict verwacht dat de aanbieder een vrije capaciteit zal aanhouden van minstens 5000 cores, 40 Terabyte vrije RAM capaciteit van en 100 middelgrote cloud databases.

•

Fedict verwacht dat de cloud aanbieder zeer veel aandacht besteed aan de veiligheid van de infrastructuurlaag en verwacht dat de aanbieder de nodige compliance met

20


veiligheidstandaarden kan aantonen voor zijn cloud diensten (zie eerder). De cloud aanbieder is verantwoordelijk voor de veiligheid van de infrastructuurlaag (datacenter, netwerk, fysische infrastructuur, hypervisor, storage, beheerslaag, databaselaag, …). Fedict en zijn onderaannemers blijven verantwoordelijk voor de applicatieveiligheid. Los van de veiligheidsmaatregelen die Fedict neemt moet de cloud aanbieder alle data als gevoelig (o.a. privacy) beschouwen, zelfs al zijn deze reeds geëncrypteerd. •

Fedict verwacht dat de cloud aanbieder voldoende schaal heeft, zodat de operationele resources (datacenters, personeel, infrastructuur, …) uitsluitend ingezet worden voor de globaal (lees voor alle klanten) aangeboden cloud diensten. De resources worden dus niet voor co-locatie, klantgerichte projecten, klantgerichte hosting of klantspecifieke apparatuur gebruikt.

•

Hoewel database as a service niet echt een infrastructuurdienst is heeft Fedict er toch voor gekozen enkele databasediensten op te nemen in dit perceel. De motivatie hiervoor is de uptime te maximaliseren (door de databases te laten leveren vanuit dezelfde datacenters als de applicatieservers).

Fedict verwacht dat voor haar eigen gebruik tegen begin 2014 een begincapaciteit van 500 VM’s zal nodig zijn (dit cijfer is louter indicatief en heeft geen contractuele waarde). Daarnaast kunnen ook andere overheidsdiensten gebruik gaan maken van dit contract, hetgeen de benodigde capaciteit nog zou kunnen verhogen. Fedict verwacht dat voor haar eigen gebruik tegen begin 2014 een begincapaciteit van 50 database instances zal nodig zijn, geclusterd of niet-geclusterd (dit cijfer is louter indicatief en heeft geen contractuele waarde). Het aandeel hiervan voor perceel 3 zal naar schatting 70% zijn. Daarnaast kunnen ook andere overheidsdiensten gebruik gaan maken van dit contract, hetgeen de benodigde capaciteit nog zou kunnen verhogen. We raden de kandidaten voor perceel 1 aan om zich ook kandidaat te stellen voor perceel 2 (indien ze daarvoor in aanmerking komen).

Selectiecriteria De aanbieder moet in zijn aanvraag tot deelneming aantonen dat hij voldoet aan onderstaande selectieeisen en bevestigt dit expliciet per criterium. Hij levert tevens waar gevraagd de nodige documenten ter staving: 1.

De diensten zullen geleverd worden vanuit een land dat EU Richtlijn 95/46 geïmplementeerd heeft en dat zich verbindt nieuwe Europese privacy wetgeving op elk moment onmiddellijk te implementeren vanaf het moment van inwerkingtreding. Voor zover dit van toepassing is op diensten leeft de dienstverlener dus ook nauwgezet de richtlijnen die daaruit voortvloeien na.

2.

De aanbieder moet kunnen aantonen dat het team dat de cloud operaties leidt bewezen heeft continu operationele ICT diensten voor een groot extern publiek te kunnen leveren. Met continu bedoelen we dat maintenance windows die de klantendiensten onbeschikbaar maken niet

21


aanvaard worden. Dit dient aangetoond te worden door minimaal 2 kernfuncties (niveau CTO, COO of equivalent op departementniveau) op te lijsten, en voor deze twee personen aan te duiden hoe zij in het verleden dergelijke ICT diensten hebben kunnen leveren. 3.

De cloud aanbieder kan rapporten van onafhankelijke, derde partijen voorleggen die aantonen dat de aanbieder de veiligheids- en operationele procedures ernstig naleeft, zoals een SOC2 type 2, ISO 27001, ISO 27002, PCI DSS 2.0, e.d. Indien deze attesten nog niet kunnen voorgelegd worden moet aangetoond worden welk niveau kan bereikt worden tegen de door Fedict bepaalde gunningsdatum (intentie: oktober 2013). De aanbieder geeft aan over welke rapporten van onafhankelijke, derde partijen ze momenteel beschikt en over welke ze voor de gunnningsdatum zullen verkrijgen. Per rapport specificeert de aanbieder de scope van het rapport en vanaf wanneer en tot wanneer dit actief is. http://www.privacycommission.be/sites/privacycommission/files/documents/aanbeveling_01_2 013.pdf

4.

De aanbieder levert minimaal twee relevante referenties in het domein van het betreffende perceel, conform het model in bijlage.

2.3.2. Perceel 2: Standby cloud provider Introductie Dit perceel heeft dezelfde specificaties als perceel 1 met volgende verschillen: Bij falen van de diensten uit perceel 1 (bijvoorbeeld in geval van een ‘disaster’) zal Fedict zijn applicaties vanuit de infrastructuur uit perceel 2 hosten. •

In normale omstandigheden zal deze cloud provider slechts gebruikt worden voor: o Het bijhouden van (geëncrypteerde) data/VM images die van nut zullen zijn om snel de applicaties terug online te brengen indien de primaire aanbieder om diverse redenen de normale dienstverlening niet meer kan verzorgen met de nodige kwaliteit. o Het continu draaien van een (beperkt) aantal VM’s en databases die gebruikt worden om ook bij de standby provider een recente versie van de data te hebben (te beslissen per applicatie). o Het regelmatig uitvoeren disaster recovery oefeningen, waarin de applicaties ook op de infrastructuur van de aanbieder van perceel 2 opgebracht worden.

•

Perceel 2 moet onmiddellijk beschikbaar zijn vanaf de voorziene begindatum van het contract.

•

Enkel indien perceel 1 toegewezen wordt aan een zeer grote provider bestaat het risico dat bij grote catastrofes onvoldoende capaciteit ter beschikking is bij reserve providers. In dat geval kan

22


Fedict proactief een productiecapaciteit reserveren bij perceel 2 voor de meest kritische toepassingen. Fedict zal perceel 1 en perceel 2 niet met dezelfde partij sluiten omdat in dat geval de disaster-recovery doelstelling van dit bestek niet zou gehaald worden.


2.

Er gelden dezelfde selectiecriteria als voor perceel 1, maar met volgende bijkomende bepaling (die primeert op de bepalingen van perceel 1): •

De aanbieder van perceel 2 moet aantonen dat de beschreven diensten reeds commercieel beschikbaar zijn, of de aanbieder kan overtuigend aantonen dat de diensten zullen beschikbaar zijn bij indienen van de best and final offer.

•

Perceel 2 kan dus om die reden niet gebouwd worden in functie van dit bestek. Het gaat om een cloud dienst die onafhankelijk van de plannen van Fedict gebouwd werd, en die ruim voldoende capaciteit heeft om indien nodig alle Fedict applicaties te hosten.

De aanbieder levert minimaal twee relevante referenties in het domein van het betreffende perceel, conform het model in bijlage. Indien de aanbieder reeds voor perceel 1 de gevraagde referenties heeft toegevoegd, volstaan deze referenties ook voor perceel 2.

2.3.3. Perceel 3: Managed database services Introductie De standaard cloud-database diensten uit perceel 1 en perceel 2 zullen misschien niet aan de RPO / RTO en andere SLA vereisten voor kritische applicaties kunnen voldoen. In dit perceel beschrijven we daarom een dienstverlening die toelaat meer kritische databasediensten aan te kunnen bieden die beter voldoen aan de continuïteitsvereisten van Fedict en haar klanten. De volgende typen van databases moeten kunnen opgezet en onderhouden worden: • DB2 •

Microsoft SQL Server

•

Oracle

•

Postgres Plus.

23


De service aanbieder zal de databasedienst draaien bovenop de machines (VM’s) die door perceel 1 en perceel 2 geleverd worden. Post 1: De installatie, de configuratie, de monitoring en de exploitatie van ‘RDBMS’ producten zoals DB2, Microsoft SQL Server, Oracle, Postgres Plus. Post 2: Beheer van bestaande RDBMS software (inclusief licentie en product support) en de levering van de benodigde voor Post1 RDBMS software (inclusief licentie en product support) ter ondersteuning van de Fedict applicaties. Post 3: Het leveren van RDBMS product expert consultancy op afroep.

Fedict verwacht dat voor haar eigen gebruik tegen begin 2014 een begincapaciteit van 50 database instances zal nodig zijn, geclusterd of niet-geclusterd (dit cijfer is louter indicatief en heeft geen contractuele waarde). Het aandeel hiervan voor perceel 3 zal naar schatting 30% zijn. Daarnaast kunnen ook andere overheidsdiensten gebruik gaan maken van dit contract, hetgeen de benodigde capaciteit nog zou kunnen verhogen.


De diensten zullen geleverd worden vanuit een land dat EU Richtlijn 95/46 geïmplementeerd heeft en dat zich verbindt nieuwe Europese privacy wetgeving op elk moment te implementeren vanaf het moment van inwerkingtreding. Voor zover dit van toepassing is op IaaS diensten leeft de dienstverlener dus ook nauwgezet de richtlijnen die daaruit voortvloeien na.

2.

De aanbieder werkt volgens de ITILv3 standaarden. Dit kan bijvoorbeeld worden aangetoond via procesbeschrijvingen van de meest relevante processen (o.a. incident, problem en change management).

3.

RDBMS expertise: de aanbieder dient een lijst op te geven met RDBMS software die ondersteund wordt. Per ondersteunde RDBMS software dient het aantal personen dat als expert kan gelden opgegeven te worden (minimum 2 per RDBMS). De aanbieder heeft reeds meer dan 18 maanden RDBMS kennis onder de vorm van RDBMS engineers die binnen dit domein werkzaam zijn geweest bij bedrijven.

24


Ondersteunde RDBMS software

Aantal personen die als expert gelden voor deze RDBMS Software

Aantal maanden kennis

DB2 Microsoft SQL Server Oracle DB Postgres Plus

4.

De aanbieder levert twee relevante CV’s van personen met minstens 4 jaar ervaring met betrekking tot de uitbating (administratie) van databanken.

5.


2.3.4. Perceel 4: Cloud broker service Introductie Fedict kiest met dit bestek twee verschillende cloud providers via perceel 1 en perceel 2. Aangezien vandaag de interoperabiliteit tussen de dominante cloud platformen nog onvoldoende is kan het gebruik van een ‘cloud broker’ service de migratie naar een andere cloud provider aanzienlijk vereenvoudigen. Fedict wil deze dienst in een volledig vrij ‘pay-per-use’ model gebruiken en biedt geen garanties over de afname. Naast het argument van snelle migratie is de cloud broker service ook interessant in het kader van ‘service continuity’, namelijk indien de applicaties in noodsituaties zeer snel moeten gemigreerd worden naar een andere provider. Als blijkt dat de cloud-broker benadering de operationele kosten voor het testen van de disaster scenario’s aanzienlijk reduceert kan Fedict beslissen deze dienst op een bredere schaal in te zetten.

Selectiecriteria De aanbieder moet in zijn aanvraag tot deelneming aantonen dat hij voldoet aan onderstaande selectieeisen en bevestigt dit expliciet per criterium. Hij levert tevens waar gevraagd de nodige documenten ter staving:

25


1.

De aanbieder exploiteert bestaande operationele SaaS diensten in dit domein. Hij beschrijft kort welke operationele diensten reeds worden aangeboden en sinds wanneer. Minimaal 1 dienst is vereist en deze dient minimaal 9 maanden te zijn.

2.

De oplossing die zal voorgesteld worden in de offerte ondersteunt de belangrijkste cloud providers en private cloud technologieën. De aanbieder geeft in zijn aanvraag tot deelneming een overzicht van de cloud systemen en virtualisatietechnologieën die ondersteund worden.

3.

De aanbieder levert zijn diensten conform de EU Richtlijn 95/46 en verbindt zich ertoe de nieuwe Europese privacy wetgeving op elk moment te implementeren vanaf het moment van inwerkingtreding. Voor zover dit van toepassing is op SaaS diensten leeft de dienstverlener dus ook nauwgezet de richtlijnen die daaruit voortvloeien na.

4.


2.3.5. Perceel 5: Workload monitoring service Introductie Met dit perceel wil Fedict de gebruikers van dit bestek analysetools ter beschikking stellen die helpen bij de correcte dimensionering van de gebruikte cloud resources. Hiermee willen we: •

Vermijden dat applicatiebeheerders te veel resources toewijzen voor hun applicatie.

•

Performance problemen aantonen die te wijten zijn aan te weinig resources.

•

Een instrument leveren om de (auto-)scaling beter te ondersteunen (op een manier die onafhankelijk is van de gekozen cloud providers).


De aanbieder biedt operationele diensten aan in dit domein. Hij beschrijft kort welke operationele diensten reeds worden aangeboden en sinds wanneer. Minimaal 1 dienst is vereist en deze dient minimaal 9 maanden te zijn.

2.

De aanbieder moet aantonen dat zijn technologie/diensten compatibel zijn met de meest gebruikte cloud- en virtualisatietechnologieën. De aanbieder geeft een overzicht van de cloud systemen en virtualisatietechnologieën die ondersteund worden.

26


3.

De aanbieder levert zijn diensten conform de EU Richtlijn 95/46 en verbindt zich ertoe de nieuwe Europese privacy wetgeving op elk moment te implementeren vanaf het moment van inwerkingtreding. Voor zover dit van toepassing is op SaaS diensten leeft de dienstverlener dus ook nauwgezet de richtlijnen die daaruit voortvloeien na.

4.


2.3.6. Perceel 6: Consolidated reporting service Introductie De diverse gebruikers van perceel 1 en perceel 2 zullen voor de verschillende applicatie-silo’s meerdere accounts en meerdere virtuele clouds opbouwen. Daarenboven kan dit bestek ook hergebruikt worden door andere overheden. Dit perceel heeft tot doel een geconsolideerde rapportering te beschikking te stellen die een overzicht geeft over parameters zoals: •

de kosten van iedere applicatie-omgeving en de evolutie ervan

•

de hoeveelheid gebruikte resources en de evolutie hiervan (rekenkracht, geheugen, storage, databases, netwerk, …)

•

de beschikbaarheid van de subsystemen.

De consolidatie gaat over verschillende accounts, verschillende virtuele clouds en verschillende gebruikers van dit bestek (voor zover ze daarmee instemmen).


De aanbieder biedt operationele diensten aan in dit domein. Hij beschrijft kort welke operationele diensten reeds worden aangeboden en sinds wanneer. Minimaal 1 dienst is vereist en deze dient minimaal 9 maanden te zijn.

2.

De aanbieder moet aantonen dat zijn technologie/diensten compatibel zijn met de meest gebruikte cloud- en virtualisatietechnologieën. De aanbieder geeft een overzicht van de cloud systemen en virtualisatietechnologieën die ondersteund worden.

3.

De aanbieder levert zijn diensten conform de EU Richtlijn 95/46 en verbindt zich ertoe de nieuwe Europese privacy wetgeving op elk moment te implementeren vanaf het moment van

27


inwerkingtreding. Voor zover dit van toepassing is op SaaS diensten leeft de dienstverlener dus ook nauwgezet de richtlijnen die daaruit voortvloeien na. 4.


28


2.3.7. Perceel 7: Local infrastructure services Introductie Dit perceel omvat alle diensten waarvoor apparatuur in de FedMAN datacenters vereist is. Dit omvat de volgende diensten en bijhorende infrastructuur: •

Externe Firewall dienst: de dienstverlening omvat het opzetten en onderhouden van een firewall cluster (gespreid over de 2 Fedict datacenters) en het opzetten van de toegangsmethodes (webservices) waarmee de firewall regels en Ipsec tunnels kunnen opgezet en aangepast worden. In principe wordt de rulebase op geautomatiseerde manier door Fedict of zijn klanten en onderaannemers beheerd. Loadbalancing mogelijkheden in deze firewall infrastructuur is een bijkomend voordeel, voor zover deze functie de througput en prijs niet significant beïnvloed (dit zal worden gepreciseerd op basis van inputs van de negotiatiefase).

•

Sleutelbeheer (cluster van HSM’s voor veilig bijhouden van encryptie en signing sleutels).

De geselecteerde inschrijvers zullen later in hun offerte aan moeten kunnen tonen dat ze in staat binnen de 2 uur correct gekwalificeerd personeel ter plaatse te brengen (Brussel). Dit personeel is vertrouwd met de toekomstige infrastructuur. Selectiecriteria De aanbieder moet in zijn aanvraag tot deelneming aantonen dat hij voldoet aan onderstaande selectieeisen en bevestigt dit expliciet per criterium. Hij levert tevens waar gevraagd de nodige documenten ter staving: 1.

De aanbieder heeft relevante en recente ervaring (maximaal 18 maanden oud) met managed security diensten en systemen voor sleutelbeheer. De aanbieder levert minimaal twee relevante referenties in het domein van het betreffende perceel, conform het model in bijlage.

2.3.8. Perceel 8: Virtualised security infrastructure Introductie Hoewel de clouddiensten beschreven in perceel 1 en 2 basisdiensten voor load-balancing en firewalling omvatten, wenst Fedict voor de meeste publiek toegankelijke diensten extra virtual network security appliances te gebruiken. Daarnaast wenst Fedict ook voor kritische servers host based detectiemechanisme te installeren. Het gebruik van virtual network security appliances is daarenboven uiterst zinvol om bij een exit- of

29


disaster scenario de snelle migratie van een volledige infrastructuur naar een andere cloud operator te vergemakkelijken. Dit perceel omvat de volgende diensten: •

het leveren/aanmaken van VM images voor de beveiligingsappliances (en de licenties voor het gebruik hiervan)

•

het leveren van de host based intrusion detectiesoftware, inclusief enkele referentie OS images en licenties hiervoor

•

supportdienstverlening van hoog niveau

We verwachten dat de aangeboden oplossingen ondersteund worden door zoveel mogelijk cloud providers en hun onderliggende virtualisatietechnologie, zodat ondersteuning van de door Fedict gekozen cloud providers (perceel 1, 2) geen problemen met zich meebrengt. De volgende functies moeten ondersteund worden (onafhankelijk van het aantal VM images dat hiervoor nodig is):

Protectie van inkomende trafiek (hoofdzakelijk web applicaties) • Hacker detectie en preventie: dit kan als alternatief voor een klassieke web-application firewall of klassiek IPS gezien worden •

IPS functie

•

Virtuele firewall functie

•

Web-application firewall functie

•

Load balancing functie

•

Identity-aware reverse proxy functie met ondersteuning voor authenticatiestandaarden zoals SAML en OpenID (relying party gedeelte - SAML/OpenID validation en coarse access control, header insertion).

Fedict verwacht dat voor haar eigen gebruik tegen begin 2014 een begincapaciteit van 70 appliance sets zal nodig zijn (dit cijfer is louter indicatief en heeft geen contractuele waarde). Daarnaast kunnen ook andere overheidsdiensten gebruik gaan maken van dit contract, hetgeen de benodigde capaciteit nog zou kunnen verhogen. Protectie van uitgaande trafiek Outgoing proxy: de aangeboden netwerk-security oplossingen moeten ontworpen zijn voor gebruik in een redundante (actief-actief) datacenterstructuur (zowel L2 stretched als L3 routed) waarbij een dubbele ingave van de regels niet aanvaard wordt. Fedict verwacht dat voor haar eigen gebruik tegen begin 2014 een begincapaciteit van 13 appliances zal nodig zijn (dit cijfer is louter indicatief en heeft geen contractuele waarde). Daarnaast kunnen ook andere overheidsdiensten gebruik gaan maken van dit contract, hetgeen de benodigde capaciteit nog zou kunnen verhogen.

30


Host-based detectiesystemen Deze component zal in de kritische VM’s geïnstalleerd worden (typisch reeds deel uitmakend van het VM template) en zorgt ervoor dat verdachte operaties en file-systeemveranderingen gedetecteerd en gelogd worden. Dit omvat zowel interacties door de cloud operator, applicatiebeheerder en andere ongekende bronnen. Fedict verwacht dat voor haar eigen gebruik tegen begin 2014 een begincapaciteit van 500 subscriptions zal nodig zijn (dit cijfer is louter indicatief en heeft geen contractuele waarde). Daarnaast kunnen ook andere overheidsdiensten gebruik gaan maken van dit contract, hetgeen de benodigde capaciteit nog zou kunnen verhogen.

Selectiecriteria Dit perceel van het bestek staat open voor zowel ‘security appliance vendors’ die voor alle genoemde functies en courante cloud/virtualisatiesystemen een oplossing hebben als voor service providers die een best-of breed selectie van verschillende vendors (of open source oplossingen) kunnen ondersteunen. In ieder geval moet de aanbieder (in samenwerking met zijn technologieleveranciers) in staat zijn om de nodige images aan te passen zodat ze compatibel zijn met de door Fedict gekozen cloud providers. De aanbieder moet in zijn aanvraag tot deelneming aantonen dat hij voldoet aan onderstaande selectieeisen en bevestigt dit expliciet per criterium. Hij levert tevens waar gevraagd de nodige documenten ter staving: 1.

De aanbieder moet de nodige ervaring aantonen met virtuele security-appliances en het mappen op diverse cloud omgevingen. Dit kan bijvoorbeeld worden aangetoond door het oplijsten van partnerships met belangrijke security appliance vendors. De aanbieder heeft voldoende relevante referenties in dit domein. Er worden twee relevante referenties toegevoegd conform het model in bijlage waarin deze ervaring wordt aangetoond.

2.

De aanbieder moet de nodige ervaring met host-based security software aantonen. De aanbieder heeft voldoende relevante referenties in dit domein. De aanbieder levert minimaal twee relevante referenties in het domein van het betreffende perceel, conform het model in bijlage.

3.

De aanbieder heeft een supportorganisatie ter beschikking die kan omgaan met complexe softwaresystemen. Het is dus niet enkel een verkoopsorganisatie maar ze kan inspelen op de specifieke noden van Fedict. De aanbieder duidt aan hoeveel personen ze voor dit domein werkzaam hebben in België.

31


2.3.9. Perceel 9: VM Encryption technology Introductie Dit perceel gaat ervoor zorgen dat virtuele machines, hun gemonteerde volumes, hun templates en snapshots steeds in geëncrypteerde vorm bewaard worden. Fedict beschermt zich hiermee tegen het moedwillig of per vergissing bekijken/publiceren van gevoelige data in de VM templates en images. Wij herhalen hierbij dat de VM images in principe geen gevoelige data mogen bevatten. Dit perceel fungeert als een extra bescherming. De leverancier van dit perceel levert de encryptietechnologie die door Fedict en zijn partners zal gebruikt worden voor de encryptie van de VM’s uit perceel 1 en 2. Fedict kan vrij beslissen voor hoeveel VM’s deze technologie zal gebruikt worden. Fedict verwacht dat voor haar eigen gebruik tegen begin 2014 een begincapaciteit van 35% van de VM capaciteit zoals vermeld bij perceel 1 zal nodig zijn (dit cijfer is louter indicatief en heeft geen contractuele waarde). Daarnaast kunnen ook andere overheidsdiensten gebruik gaan maken van dit contract, hetgeen de benodigde capaciteit nog zou kunnen verhogen.



Gedaan te Brussel, 03 mei 2013

Jan Deprest, Voorzitter van het Directiecomité

32


Bijlage: Template voor referenties Vermeld twee relevante referenties in onderstaande tabel. Elk van de referenties dient te voldoen aan de volgende criteria:

Ref

•

De opdracht is recent: d.w.z. de opdracht is gestart en gerealiseerd in 2010 of later (JA/NEE).

•

De opdracht is in lijn met de beschrijving vermeld in het perceel.

•

De klant van de opgegeven referentie kan, al dan niet rechtstreeks, gecontacteerd worden door Fedict.

Projectnaam

Klant

Sector

Europees / niet Europees

1 2

Stel voor elk van de twee referenties een beschrijvende synthesenota op van maximum 2 pagina’s. De synthesenota’s dienen ingevuld te worden volgens onderstaande format: Ref

Projectnaam

Klant

Contactgegevens (naam, functie, adres, telefoonnummer) Uitvoeringsperiode (dd-mm-jjjj t/m dd-mm-jjjj) Omvang van de opdracht (EUR) Beschrijving van de opdracht Deployment model (alleen voor perceel 1 en 2): •

Private cloud (JA/NEE)

•

Community cloud (JA/NEE)

•

Public cloud (JA/NEE)

•

Hybrid cloud (JA/NEE)

33

M825. Onderhandelingsprocedure met voorafgaande bekendmaking

Recommend Documents