Zmluva o dielo č. Z-029.10.1012.00 uzatvorená podľa § 536 až § 565 Obchodného zákonníka v platnom znení Zmluvné strany Objednávateľ :
Národná banka Slovenska Imricha Karvaša 1 813 25 Bratislava
Zastúpený : IČO : DIČ: IČ DPH :
30844789 2020815654 SK2020815654 (ďalej len „ objednávateľ“ ) a
Zhotoviteľ :
Deloitte Audit s.r.o. Digital Park II, Einsteinova 23 Bratislava 851 01 Slovenská republika
Štatutárny orgán: IČO : DIČ:
31 343 414 2020325516
Reg.:
Okresný súd Bratislava I, Oddiel: Sro, Vložka č.: 4444/B (ďalej len „zhotoviteľ “ )
Čl. I 1.1
Zhotoviteľ vyhlasuje, a)
že je právnickou osobou riadne založenou a zapísanou podľa slovenského právneho poriadku v obchodnom registri vedeným Okresným súdom Bratislava I, Oddiel: Sro, Vložka č.: 4444/B, alebo fyzickou osobou oprávnenou podnikať v danej oblasti podľa platných zákonov.
b)
že má plné právo a spôsobilosť uzavrieť túto zmluvu a plniť záväzky v nej obsiahnuté. Čl. II
2.1
Úvod
Predmet zmluvy
Predmetom plnenia tejto zmluvy je záväzok zhotoviteľa vykonať bezpečnostné testovanie perimetra a vypracovať príslušnú dokumentáciu podľa špecifikácie uvedenej v Prílohe č. 1 tejto zmluvy. Čl. III Všeobecné podmienky plnenia
3.1
Zhotoviteľ sa zaväzuje vykonať bezpečnostné testovanie, vypracovať a odovzdať objednávateľovi príslušnú dokumentáciu (v ďalšom aj „realizácia projektu“) podľa špecifikácie v časti Príloha č.1 tejto zmluvy v termínoch podľa harmonogramu uvedeného v časti Príloha č.2 tejto zmluvy.
3.2
Lehota na realizáciu jednotlivých fáz projektu nesmie prekročiť: 3.2.1
3 kalendárne týždne pre fázu A,
3.2.2
1 kalendárny týždeň pre fázu B.
3.3
Lehoty uvedené v článku III bode 3.2 tejto zmluvy začínajú plynúť dňom písomného oznámenia objednávateľa (aj e-mailom) o pripravenosti na vykonanie príslušnej fázy zhotoviteľovi a nezahŕňajú čas potrebný na pripomienkovanie dokumentácie objednávateľom ani čas potrebný na zapracovanie pripomienok zhotoviteľom, v súlade s ostatnými ustanoveniami tejto zmluvy.
3.4
V prípade, že objednávateľ neoznámi svoju pripravenosť na vykonanie fázy A zhotoviteľovi do 12 kalendárnych mesiacov od podpisu zmluvy, zhotoviteľ nie je povinný vykonať fázu A bezpečnostného testovania. Objednávateľ nie je povinný realizovať fázu A bezpečnostného testovania.
3.5
V prípade, že objednávateľ neoznámi svoju pripravenosť na vykonanie fázy B zhotoviteľovi do 6 kalendárnych mesiacov od ukončenia (vrátane pripomienkovania dokumentácie a zapracovania pripomienok) fázy A, zhotoviteľ nie je povinný vykonať fázu B bezpečnostného testovania. Objednávateľ nie je povinný realizovať fázu B bezpečnostného testovania.
3.6
Zhotoviteľ sa zaväzuje vyhotoviť požadovanú dokumentáciu v písomnej forme a v elektronickej forme na vhodnom médiu vo formátoch aplikačných programov Microsoft Word a Microsoft Excel (ďalej „elektronická forma“) a v slovenskom jazyku.
3.7
Zhotoviteľ je povinný v elektronickej forme písomne odovzdať objednávateľovi na pripomienkovanie príslušnú dokumentáciu v deň ukončenia každej fázy realizácie projektu.
3.8
Objednávateľ do 7 kalendárnych dní od odovzdania príslušnej dokumentácie písomne doručí zhotoviteľovi zoznam pripomienok (aj e-mailom).
3.9
Zhotoviteľ do 7 kalendárnych dní od prijatia objednávateľom doručených pripomienok zapracuje pripomienky do dokumentácie, vyhotoví popis zapracovania pripomienok a písomne ho odovzdá spolu s upravenou dokumentáciou objednávateľovi.
3.10
Objednávateľ do 7 kalendárnych dní od prijatia popisu zapracovania pripomienok písomne akceptuje spôsob zapracovania alebo písomne požiada (aj e-mailom) o nápravu zapracovania pripomienok, ktorú zhotoviteľ vykoná podľa článku III bodu 3.9 tejto zmluvy.
3.11
Ak objednávateľ nepožiada v stanovenej lehote o nápravu, má sa za to, že ide o konečnú verziu príslušnej dokumentácie pre danú fázu. Objednávateľ a zhotoviteľ následne podpíšu Akceptačný protokol bezpečnostného testovania pre danú fázu, uvedený v časti Príloha č. 4 tejto zmluvy.
3.12
Objednávateľ má právo použiť dodanú dokumentáciu alebo jej časti pre svoje potreby a pre tieto potreby ju poskytnúť tretím stranám.
3.13
Objednávateľ poskytne zhotoviteľovi potrebnú súčinnosť pri realizácii projektu a to najmä poskytnutím dokumentácie alebo informácií relevantných k bezpečnostnému testovaniu, ako aj vytvorením technických podmienok pre vykonanie bezpečnostného testovania (pričom predmet testovania bude prevádzkovaný v prostredí NBS).
3.14
Zhotoviteľ sa zaväzuje oboznámiť objednávateľa o technických detailoch plánovaných testov (najmä s ohľadom na možný dopad na iné IT komponenty objednávateľa) a následne vykonávať výlučne také testy, ktoré objednávateľ schválil a v časoch, ktoré objednávateľ určil.
3.15
Zhotoviteľ sa zaväzuje, že bezpečnostné testy budú vykonávať výlučne pracovníci zhotoviteľa uvedení v časti Príloha č.3 tejto zmluvy.
3.16
Zhotoviteľ sa zaväzuje pri realizácii projektu rešpektovať požiadavky uvedené v časti Príloha č.1 tejto zmluvy.
3.17
Objednávateľ poskytne dokumentáciu alebo informácie výlučne pracovníkom zhotoviteľa uvedeným v časti Príloha č.3 tejto zmluvy.
3.18
Zhotoviteľ sa zaväzuje kontaktovať výlučne zamestnancov objednávateľa, ktorí sú uvedení v časti Príloha č.3 tejto zmluvy. Čl. IV Povinnosť zmluvných strán
Povinnosti zhotoviteľa 4.1 Zhotoviteľ je povinný najneskôr do 5 pracovných dní od podpísania tejto zmluvy písomne stanoviť oprávnenú osobu (resp. osoby) na účely konania pri vzájomnom styku zmluvných strán vo veciach podľa tejto zmluvy. Zmena oprávnenej osoby musí byť zaslaná druhej strane formou doporučeného listu podpísaného štatutárnym orgánom zhotoviteľa alebo ním stanovenými osobami na základe osobitnej plnej moci najneskôr 5 pracovných dní pred vykonaním zmien. 4.2
Zhotoviteľ je povinný zabezpečiť, aby jeho pracovníci pri plnení tejto zmluvy v objektoch objednávateľa dodržiavali všetky všeobecne záväzné predpisy, vzťahujúce sa k vykonávaniu činností, hlavne predpisy súvisiace s bezpečnosťou práce a požiarnou bezpečnosťou, interné predpisy objednávateľa, najmä predpisy týkajúce sa vstupu do objektov a bezpečnosti systémov objednávateľa, s ktorými ich objednávateľ zoznámi, a aby sa riadili organizačnými pokynmi oprávnených pracovníkov objednávateľa.
4.3
Zhotoviteľ je povinný zabezpečiť, aby prístup k dôvernými informáciám a údajom objednávateľa pri plnení tejto zmluvy mali výlučne pracovníci uvedení v Prílohe č. 3 tejto zmluvy a to v rozsahu, v akom tieto informácie a údaje potrebujú k plneniu tejto zmluvy.
4.4
Zhotoviteľ je povinný po skončení projektu odstrániť zo svojich informačných prostriedkov dôverné informácie objednávateľa, týkajúce sa predmetu tejto zmluvy.
Povinnosti a práva objednávateľa 4.5 Objednávateľ je povinný najneskôr do 5 pracovných dní od podpísania tejto zmluvy písomne stanoviť oprávnenú osobu (resp. osoby) na účely konania pri vzájomnom styku zmluvných strán vo veciach podľa tejto zmluvy. Zmena oprávnenej osoby musí byť
zaslaná druhej strane formou doporučeného listu podpísaného zástupcom objednávateľa, ktorý podpísal zmluvu v mene objednávateľa alebo ním stanovenými osobami na základe osobitnej plnej moci najneskôr 5 pracovných dní pred vykonaním zmeny. 4.6
Objednávateľ má právo kontrolovať pracovníkov zhotoviteľa pri činnostiach v rámci plnenia predmetu zmluvy vykonávaných v priestoroch objednávateľa. Čl. V
5.1
Cena predmetu zmluvy
Cena za zhotovenie a dodanie predmetu podľa tejto zmluvy je nemenná: Cena za realizáciu fázy A bezpečnostného testovania perimetra: 12 000,00 € bez DPH (slovom dvanásťtisíc EUR) Cena za realizáciu fázy B bezpečnostného testovania perimetra: 6 500,00 € DPH (slovom šesťtisícpäťsto EUR)
5.2
Zhotoviteľ sa zaväzuje počas 12 mesiacov od začiatku realizácie fázy A bezpečnostného testovania poskytnúť objednávateľovi na objednávku úhrnom v celých hodinách 15 konzultačných hodín v jednotkovej cene za jednu konzultačnú hodinu: 100 EUR bez DPH (slovom sto EUR za jednu celú konzultačnú hodinu) pri realizácii projektov na základe vykonaného bezpečnostného testovania. Konzultácie smú poskytnúť výlučne pracovníci zhotoviteľa uvedení v časti Príloha č.3 tejto zmluvy a to do 14 kalendárnych dní od doručenia písomnej objednávky na konzultáciu zhotoviteľovi. Skutočný počet čerpaných konzultačných hodín v rámci jednej objednávky, musí byť písomne potvrdený zástupcami oboch zmluvných strán, ktorí sa konzultácie zúčastnili. Zhotoviteľ bude objednávateľovi fakturovať na základe objednávky len skutočne vyčerpaný počet celých konzultačných hodín uvedenou hodinovou sadzbou za jednu konzultačnú hodinu. Objednávateľ nie je povinný vyčerpať konzultačné hodiny v plnom rozsahu, prípadne nemusí čerpať konzultačné hodiny vôbec. Čl. VI Platobné podmienky
6.1
Cenu za realizáciu fázy A projektu uvedenej v článku V bode 5.1 tejto zmluvy bude v prípade, že fáza A bude realizovaná, zhotoviteľ fakturovať na základe akceptačného protokolu bezpečnostného testovania pre fázu A, podpísaného zástupcami obidvoch strán. V prípade, že fáza A nebude (v súlade článkom III bodom 3.4 tejto zmluvy) realizovaná, zhotoviteľ nebude cenu za fázu A fakturovať.
6.2
Cenu za realizáciu fázy B projektu uvedenej v článku V bode 5.1 tejto zmluvy bude v prípade, že fáza B bude realizovaná, zhotoviteľ fakturovať na základe akceptačného protokolu bezpečnostného testovania pre fázu B, podpísaného zástupcami obidvoch strán. V prípade, že fáza B nebude (v súlade s článkom III bodom 3.5 tejto zmluvy) realizovaná, zhotoviteľ nebude cenu za fázu B fakturovať.
6.3
Pre platbu podľa článku VI bodu 6.1 a 6.2 tejto zmluvy zhotoviteľ vyhotoví faktúru a doručí ju objednávateľovi najneskôr do 7 kalendárnych dní odo dňa podpísania akceptačného protokolu bezpečnostného testovania pre príslušnú fázu. Faktúra je splatná do 14 kalendárnych dní od dňa jej doručenia objednávateľovi bezhotovostným prevodom
na účet zhotoviteľa. Za deň splnenia peňažného záväzku sa považuje deň odpísania dlžnej sumy z účtu objednávateľa v prospech zhotoviteľa. 6.4
Cenu za poskytnuté konzultačné hodiny podľa článku V bodu 5.2 tejto zmluvy bude zhotoviteľ fakturovať na základe objednávky objednávateľa. Zhotoviteľ vyhotoví faktúru a doručí ju objednávateľovi najneskôr do 7 kalendárnych dní od konania konzultácie. Faktúra je splatná do 14 kalendárnych dní odo dňa jej doručenia objednávateľovi bezhotovostným prevodom na účet zhotoviteľa. Za deň splnenia peňažného záväzku sa považuje deň odpísania dlžnej sumy z účtu objednávateľa v prospech zhotoviteľa.
6.5
V prípade, že faktúry nebudú obsahovať všetky údaje podľa zákona č. 222/2004 Z.z. o dani z pridanej hodnoty v znení neskorších predpisov, resp. nebude po stránke vecnej alebo formálnej správne vystavená, objednávateľ ju vráti zhotoviteľovi na prepracovanie a nová lehota splatnosti začne plynúť dňom doručenia prepracovanej faktúry objednávateľovi. Čl. VII Miesto plnenia zmluvy
7.1
Miestom plnenia zmluvy, bezpečnostného testovania sú priestory zhotoviteľa.
7.2
Miestom dodania príslušnej dokumentácie bezpečnostného testovania, v listinnej aj elektronickej forme, sú priestory objednávateľa na Ul. Imricha Karvaša č. 1, Bratislava. Čl. VIII Zmluvné pokuty a úroky z omeškania
8.1
Ak dôjde k omeškaniu zhotoviteľa pri realizácii jednotlivých fáz projektu v termínoch dohodnutých podľa článku III bodu 3.1 a 3.2 tejto zmluvy, je objednávateľ oprávnený účtovať zhotoviteľovi zmluvnú pokutu vo výške 300,00 EUR (tristo EUR), za každý kalendárny deň omeškania.
8.2
Zmluvnú pokutu podľa článku VIII bodu 8.1 tejto zmluvy za omeškanie zhotoviteľa nie je možné účtovať v prípade, že omeškanie zhotoviteľa je spôsobené neposkytnutím dostatočnej súčinnosti zo strany objednávateľa (napr. nevytvorením časových a technických podmienok pre vykonanie testovania alebo neposkytnutím relevantných podkladov a dokumentácie) alebo vyššou mocou, čo sú okolnosti nepredvídateľné a neodvrátiteľné ani jednou zo zmluvných strán (napr. prírodné katastrofy, vojny, plošné výpadky energie, ktoré môžu mať vplyv na realizáciu projektu).
8.3
V prípade omeškania objednávateľa s platením faktúry podľa článku VI bodu 6.3 a 6.4 tejto zmluvy je zhotoviteľ oprávnený účtovať objednávateľovi úroky z omeškania vo výške 0,05% z neuhradenej čiastky za každý deň omeškania.
8.4
V prípade omeškania zhotoviteľa s platením faktúr vystavených podľa článku VIII bodu 8.1 tejto zmluvy alebo článku XI bodu 11.2 tejto zmluvy je objednávateľ oprávnený účtovať zhotoviteľovi úroky z omeškania vo výške 0,05% z neuhradenej čiastky za každý deň omeškania.
8.5
Zmluvné pokuty a úroky z omeškania podľa tejto zmluvy sa nezapočítavajú na úhradu škôd, ktoré by stranám vznikli porušením zmluvných povinností.
8.6
Zmluvné pokuty podľa článku VIII tejto zmluvy sa fakturujú zmluvnými stranami priebežne a sú splatné do 14 kalendárnych dní odo dňa doručenia faktúry druhej zmluvnej strane. Čl. IX Odstúpenie od zmluvy
9.1
Objednávateľ je oprávnený odstúpiť od zmluvy v súlade s §344 a nasl. Obchodného zákonníka.
9.2
Za podstatné porušenie zmluvy zhotoviteľom sa považuje, ak nastane ktorýkoľvek z nižšie uvedených prípadov:
a)
Zhotoviteľ mešká s realizáciou niektorej z fáz projektu o viac ako 4 kalendárne týždne, a túto skutočnosť nenapraví ani do 5-tich pracovných dní po doručení písomného oznámenia objednávateľa zhotoviteľovi,
b)
Dokumentácia neobsahuje všetky informácie požadované v časti Príloha č.1 tejto zmluvy,
c)
Zhotoviteľ dokumentácii nezapracoval pripomienky objednávateľa.
pričom jednotlivé prípady porušenia záväzkov uvedených v článku IX bode 9.2 písm. a) – c) tejto zmluvy sa považujú za podstatné porušenie zmluvy a za nesplnenie záväzku ako celku. 9.3
Odstúpením od zmluvy zmluva zaniká, keď prejav vôle oprávnenej strany odstúpiť od zmluvy je doručený druhej strane. Po tejto dobe nemožno účinky odstúpenia od zmluvy odvolať alebo meniť bez súhlasu druhej strany.
9.4
V prípade nepodstatného porušenia zmluvy môže druhá zmluvná strana odstúpiť od tejto zmluvy, ak zmluvná strana, ktorá zmluvnú povinnosť porušila ju nesplní ani v dodatočnej písomne dohodnutej lehote. Odstúpenie od tejto zmluvy je možné výlučne písomnou formou a jeho účinky nastanú dňom jeho doručenia druhej zmluvnej strane. Čl. X
10.1
Zodpovednosť za škody
Každá zo strán nesie zodpovednosť za škody v zmysle ustanovení Obchodného zákonníka a v zmysle príslušných všeobecne záväzných právnych predpisov. Čl. XI Povinnosť mlčanlivosti
11.1
Dôvernými informáciami a údajmi objednávateľa sa rozumejú informácie a údaje o infraštruktúre alebo častiach infraštruktúry IT prostredia NBS, vrátane konfigurácie, zabezpečenia, spôsobu prevádzky a súvisiacich prevádzkových postupov. Dôvernými informáciami a údajmi objednávateľa sa ďalej rozumejú podrobnosti a výsledky vykonaných bezpečnostných testov a analýz pri realizácii projektu, vrátane súvisiacej dokumentácie.
11.2
Obe zmluvné strany berú na vedomie, že prídu do styku s dôvernými informáciami a údajmi druhej zmluvnej strany. Týmto sa zaväzujú dodržať utajenie informácií a zamedziť zneužitiu týchto informácií vo svoj prospech alebo prospech tretích osôb svojím zavinením. Zhotoviteľ sa zaväzuje zabezpečiť, aby v súvislosti s realizáciou dodávky nedošlo k zneužitiu dát objednávateľa a rovnako sa zaväzuje k takému konaniu, ktoré bude minimalizovať kontakt s dátami na mieru čo najnižšiu, avšak postačujúcu k riadnemu plneniu tejto zmluvy. Povinnosť mlčanlivosti nezaniká ani po ukončení tejto zmluvy, nie je možné sa jej nijako zbaviť. V prípade porušenia tohto záväzku je zhotoviteľ povinný uhradiť objednávateľovi ním zavinenú preukázateľnú škodu. V prípade, že škodu nie je možné finančne vyjadriť (napr. § 17, 44 Obchodného zákonníka), je zhotoviteľ povinný uhradiť objednávateľovi zmluvnú pokutu vo výške 20.000,- EUR (slovom dvadsaťtisíc EUR) za každý dokázaný prípad zneužitia interných informácií a údajov. Táto zmluvná pokuta je splatná do 30 dní od písomného oznámenia objednávateľa o zistení porušenia záväzku podľa tohto bodu zhotoviteľovi.
11.3
Týmto záväzkom mlčanlivosti nie je dotknuté zverejnenie tejto zmluvy ako povinne zverejňovanej zmluvy. Čl. XII Záverečné ustanovenia
12.1
Vzťahy medzi zmluvnými stranami, ktoré táto zmluva výslovne neupravuje, sa riadia ustanoveniami Obchodného zákonníka a všeobecne záväznými právnymi predpismi slovenského právneho poriadku. Prípadné súdne spory vzniknuté z tejto zmluvy bude riešiť príslušný súd Slovenskej republiky, ak sa zmluvné strany osobitne písomne nedohodnú na riešení sporu v rozhodcovskom konaní.
12.2
Zmluvné strany zhodne vyhlasujú, že táto zmluva nebola uzatvorená v tiesni, ani za nápadne nevýhodných podmienok pre niektorú zo zmluvných strán, že zmluvná voľnosť zmluvných strán nie je obmedzená, že sa s touto zmluvou dôkladne oboznámili, rozumejú jej, súhlasia s ňou a prostredníctvom svojich oprávnených zástupcov túto zmluvu podpísali na znak toho, že zodpovedá ich slobodnej a vážnej vôli.
12.3
Táto zmluva je vyhotovená v šiestich exemplároch vlastnoručne podpísaných zmluvnými stranami, z ktorých dva exempláre dostane zhotoviteľ a štyri exempláre dostane objednávateľ.
12.4
Neoddeliteľnou súčasťou tejto zmluvy sú jej prílohy:
Príloha č.1:
Požiadavky na bezpečnostné testovanie.
Príloha č.2:
Rámcový plán bezpečnostného testovania.
Príloha č.3:
Kontaktné osoby objednávateľa a pracovníci zhotoviteľa podieľajúci sa na realizácii predmetu plnenia.
Príloha č.4:
Akceptačný protokol bezpečnostného testovania.
12.5
Túto zmluvu je možné zrušiť, meniť a dopĺňať len písomnými dodatkami k zmluve na základe dohody zmluvných strán, podpísanými oboma zmluvnými stranami.
12.6
Táto zmluva (vrátane jej prípadných dodatkov) patrí medzi povinne zverejňované zmluvy podľa ustanovení § 5a zákona o slobodnom prístupe k informáciám (zákona č. 211/2000 Z. z. v znení neskorších predpisov) v spojení s ustanoveniami § 1 ods. 2 Obchodného zákonníka (zákona č. 513/1991 Zb. v znení neskorších predpisov) a s ustanoveniami § 47a Občianskeho zákonníka (zákona č. 40/1964 Zb. v znení neskorších predpisov). Zhotoviteľ súhlasí so zverejnením tejto zmluvy (vrátane jej prípadných dodatkov) a faktúr zhotoviteľa doručených objednávateľovi, pričom zhotoviteľ tiež disponuje písomným súhlasom inej dotknutej osoby (osoby konajúcej za zhotoviteľa) na zverejnenie jej údajov v tejto zmluve a vo faktúrach zhotoviteľa, a to zverejnenie objednávateľom počas trvania jeho povinnosti podľa § 5a ods. 1 a 6 a § 5b zákona o slobodnom prístupe k informáciám; tento súhlas možno odvolať len po predchádzajúcom písomnom súhlase objednávateľa.
12.7
Táto zmluva nadobúda platnosť a je pre zmluvné strany záväzná odo dňa jej podpísania oprávnenými zástupcami oboch zmluvných strán; ak oprávnení zástupcovia oboch zmluvných strán nepodpíšu túto zmluvu v ten istý deň, tak rozhodujúci je deň neskoršieho podpisu. Táto zmluva nadobúda účinnosť dňom nasledujúcim po dni jej zverejnenia na webovom sídle (internetovej stránke) objednávateľa [§ 47a ods. 1 Občianskeho zákonníka v spojení s § 5a ods. 1 a 6 zákona o slobodnom prístupe k informáciám].
12.8
Objednávateľ potvrdzuje, že zvážil riziká, a zhotoviteľa oprávňuje vykonať plnenie v zmysle tejto zmluvy. Objednávateľ ako osoba, ktorá je vlastníkom počítačových systémov a aplikácií, ktoré majú byť predmetom služieb bezpečnostného testovania, alebo ktorá je ako správca náležite oprávnená riadiť prístup k týmto systémom (ďalej len „systémy objednávateľa“), týmto udeľuje zhotoviteľovi, jej subdodávateľom a ich zamestnancom a zástupcom (osobám uvedeným v Prílohe č. 3 tejto zmluvy), ktorí budú členmi tímu pracujúceho na zákazke, oprávnenie a súhlas, aby sa pokúsili získať prístup k definovaným systémom objednávateľa. Objednávateľ potvrdzuje, že takéto konanie alebo pokus o takéto konanie nebude predstavovať porušenie zákona č. 300/2006 Z. z. Trestný zákon v znení neskorších predpisov ani iných platných právnych predpisov vo vzťahu k definovaným programom a údajom objednávateľa alebo tretích strán v súlade s článkom III bod 3.14 tejto zmluvy. Klient týmto potvrdzuje a súhlasí, že uvedené oprávnenie a súhlas v súvislosti s výkonom služieb bezpečnostného testovania v zmysle zmluvy a jej príloh udelil slobodne, dobrovoľne a vážne. Platnosť oprávnenia na prístup k definovaným sieťovým zdrojom objednávateľa a systémom začína prvým dňom jednotlivých fáz projektu uvedených v článku III v bodoch 3.2 a 3.3 tejto zmluvy a vyprší hneď po tom, ako zhotoviteľ predloží dohodnutú dokumentáciu o bezpečnostnom testovaní, alebo po uplynutí príslušnej lehoty príslušnej fázy projektu uvedenej v článku III v bode 3.2 tejto zmluvy, alebo na základe písomnej žiadosti objednávateľa podľa toho, čo nastane skôr.
Za objednávateľa Národná banka Slovenska
V Bratislave dňa
Za zhotoviteľa: Deloitte Audit s.r.o.
V Bratislave dňa
Príloha č. 1 k Zmluve o dielo č. Z-029.10.1012.00 Požiadavky na bezpečnostné testovanie perimetra Požiadavky podľa súťažných podkladov vo verejnom obstarávaní: B.2.2 Cieľ bezpečnostného testovania: B.2.2.1 Cieľom testovania je zhodnotiť úroveň bezpečnosti systémov a služieb na perimetri siete, identifikovať zraniteľnosti, vrátane návrhu opatrení na nápravu. B.2.2.2 Úspešný uchádzač vyhotoví požadovanú dokumentáciu v písomnej forme a v elektronickej forme na vhodnom médiu vo formátoch aplikačných programov Microsoft Word, Excel. B.2.3
Požiadavky na rozsah prác – fáza A (časový rozsah max. 3 týždne, začiatok realizácie do 3 mesiacov odo dňa nadobudnutia účinnosti zmluvy): B.2.3.1 identifikácia a enumerácia bezpečnostne relevantných informácií, zariadení a poskytovaných služieb na perimetri siete B.2.3.2 penetračné testovanie zariadení (ako sú smerovače, prepínače, firewally a pod.) a služieb (ako sú DNS, e-mail, web a pod.), vrátane zariadení a služieb identifikovaných úspešným uchádzačom počas testovania B.2.3.3 manuálne overenie všetkých identifikovaných zraniteľností (nielen výstup automatizovaného skenovania) B.2.3.4 testovanie DoS (denial of service) útokov (pre obstarávateľom určené komponenty) B.2.3.5 rozsah bezpečnostného testovania a dokumentácie pokrývajú minimálne relevantné časti OSSTMM v3 B.2.3.6 vypracovanie dokumentácie obsahujúcej najmä: zhodnotenie bezpečnosti systémov a služieb na perimetri popis vykonaných testov a ich výsledkov, vrátane časových údajov identifikácie zraniteľností (kedy test prebiehal) a vrátane popisu naplnenia požiadaviek na rozsah a spôsob testovania zhodnotenie jednotlivých zistení (s použitím škály Critical/High/Medium/Low/Informative, zohľadňujúcej potenciálne dopady zneužitia, potrebné schopností útočníka a pod.) konkrétne odporúčania na nápravu B.2.3.7 prezentácia výsledkov testovania v priestoroch obstarávateľa B.2.4 Požiadavky na rozsah prác – fáza B (časový rozsah max. 1 týždeň): B.2.4.1 preverenie perimetra z hľadiska (predtým) identifikovaných nedostatkov B.2.4.2 vypracovanie záverečného zhodnotenia bezpečnosti B.2.5 Spôsob realizácie testovania: B.2.5.1 Technické detaily testovania, teda čas, rozsah a spôsob vykonania konkrétnych testov, budú dohodnuté pred alebo počas realizácie projektu. B.2.5.2 Testovanie: black-box (úspešný uchádzač dostane k dispozícii výlučne rozsah IP adries, bez dodatočných informácií, dokumentácie a bez prihlasovacích informácií), z externého prostredia s využitím internetového pripojenia, nedeštruktívne. B.2.5.3 Testovanie bude vykonané nedeštruktívnym spôsobom, bez ovplyvnenia dostupnosti a služieb poskytovaných systémami verejného obstarávateľa, ako aj bez poškodenia údajov v týchto systémoch uložených alebo spracúvaných. B.2.5.5 Úspešný uchádzač použije na testovanie s použitím nástrojov potrebných pre výkon bezpečnostného testovania vlastné počítače. B.2.5.6 Úspešný uchádzač vykoná bezpečnostné testovanie vo svojich priestoroch. Doplnenie požiadaviek podľa návrhu vo verejnom obstarávaní: Pre vykonanie bezpečnostné testovanie perimetra požaduje zhotoviteľ od objednávateľa nasledovnú súčinnosť: Určenie kontaktnej osoby zodpovednej za koordináciu testovacieho procesu. Zoznam testovaných IP adries Koordináciu Denial of Service testovania zamestnancami NBS.
Príloha č. 2 k Zmluve o dielo č. Z-029.10.1012.00 Rámcový plán pre bezpečnostné testovanie perimetra Deloitte vykoná bezpečnostné testovanie časti 2. – Bezpečnostné testovanie sieťového perimetra nasledovne : Názov etapy Plánovanie
Popis činností
Penetračné testovanie infraštruktúry DoS testoanie
Reporting Fázy A
Prezentácia výsledkov v NBS
Opakované testovanie
Úvodné stretnutie so zástupcami NBS Finalizácia plánu testovania Kontrola splnenia všetkých požiadaviek pre testovanie Penetračné testy na úrovni infraštruktúry podľa metodiky popísanej v sekcii Metodika DoS testy podľa metodiky popísanej v sekcii Metodika Príprava správy z testovania Fázy A podľa sekcie Štruktúra a príklad záverečnej správy a dokumentácie testovania Prezentácia výsledkov v NBS Workshop zameraný na rizikové oblasti a odstránenie zistených nedostatkov
Vykonanie opakovaných testov, preverenie upravenej aplikácie s pohľadu identifikovaných nedostatkov
Trvanie v dňoch 1
15 (3 týždne) – testy budú vykonávané paralelne s prípravou správy 5 (1 týždeň) paralelne s testovaním
Vstupy
Výstupy
Vstupy definované v časti Špecifikácia potrebnej súčinnosti NBS pri fáze A
Dokumentácia k otvoreniu projektu (zápis zo stretnutia, plán testov) Výstupy z testov Výstupy z testov
Kapacity NBS (čas a štruktúra) Sponzor projektu (1 hodina) Koordinátor projektu (5 hodín)2 hours) Koordinátor projektu (1 hodina/deň) Sieťový špecialisti počas DoS testovania (2x4 hodiny)
Správa z testovania Fázy A
1
Správa z testovania Fázy A
Zápis zo stretnutia
5 (1 týždeň) paralelne s reportingom
Bude určené na základe zistené
Výstupy z testov
Sponzor projektu (2 hodiny) Koordinátor projektu (2 hodiny) Zodpovedné osoby za jednotlivé rizikové oblasti (2 hodiny) Koordinátor projektu (1 hodina/deň)
Kapacity Deloitte
Názov etapy Záverečné hodnotenie Fáza B
Popis činností
Príprava záverečného zhodnotenia bezpečnosti aplikácie podľa sekcie Štruktúra a príklad záverečnej správy a dokumentácie testovania
Trvanie v dňoch 5 (1 týždeň) paralelne s testovaním
Vstupy Výstupy z opakovaných testov
Výstupy Správa z testovania Fázy B
Kapacity NBS (čas a štruktúra)
Kapacity Deloitte
Príloha č. 3 k Zmluve o dielo č. Z-029.10.1012.00 Kontaktné osoby objednávateľa a pracovníci zhotoviteľa podieľajúci sa na realizácii bezpečnostného testovania perimetra Za objednávateľa
Za zhotoviteľa:
Národná banka Slovenska Meno: Kontakt:
Meno: Kontakt:
Deloitte Audit s.r.o. Meno: Kontakt: Funkcia:
Manger
Meno: Kontakt: Funkcia:
Director
Meno: Kontakt: Funkcia:
Senior manager
Meno: Kontakt: Funkcia:
Manager
Meno: Kontakt: Funkcia:
Manager
Meno: Kontakt: Funkcia:
Senior Consultant
Meno: Kontakt: Funkcia:
Consultant
Meno: Kontakt: Funkcia:
Consultant
Príloha č. 4 k Zmluve o dielo č. Z-029.10.1012.00 Akceptačný protokol bezpečnostného testovania perimetra
Objednávateľ :
Národná banka Slovenska Imricha Karvaša 1 813 25 Bratislava
Zastúpený :
_____________________________________
Zhotoviteľ :
Deloitte Audit s.r.o
Zastúpený :
Objednávateľ potvrdzuje, že zhotoviteľ vykonal fázu A / fázu B 1 bezpečnostného testovania a odovzdal príslušnú dokumentáciu v požadovanom rozsahu.
V Bratislave dňa ……………………………….
_______________________________ Za zhotoviteľa odovzdal
1
nehodiace sa škrtnite
__________________________ Za objednávateľa prevzal
