ČJ Praha Počet listů: 6 DS, EZAK

POLICEJNÍ PREZIDIUM ČESKÉ REPUBLIKY

Odbor veřejných zakázek

Č.j. PPR-19172-342/ČJ-2013-990640

Praha 9.4.2015 Počet listů: 6 DS, EZAK

Dodatečné informace č. 12 k uveřejněné zadávací dokumentaci Dodatečné informace č. 12 k uveřejněné zadávací dokumentaci veřejné zakázky „Radiostanice – uživatelské datové terminály a obslužný software“ uveřejněné ve Věstníku veřejných zakázek pod Evidenčním číslem VZ 500600 dne 20.1.2015. V souladu s § 49 odst. 2 zákona č. 137/2006 Sb., o veřejných zakázkách, ve znění pozdějších předpisů (dále jen „zákon“) zadavatel poskytuje dodavatelům tyto dodatečné informace k zadávacím podmínkám: Dotaz č. 1: 1. V příloze č. 5 Zadávací dokumentace (ZD), Katalog požadovaných funkcionalit, část „Základní bezpečnostní funkce MDM“ Zadavatel uvádí „Možnost nastavení tzv. „kioskového módu“, ve kterém jsou povoleny jen vybrané aplikace (například Lustrace, Kontrola, Messaging, Telefon, SMS a Email)“. 1.1. Uchazeč žádá Zadavatele o upřesnění aplikace Email, zda zadavatel očekává, že bude přístup k E-mailu řešen pomocí nechráněné aplikace, která je součástí základního vybavení UDT (nativní klient), nebo zda Zadavatel vyžaduje řešit přístup k E-mailu pomocí zabezpečené, heslem chráněné aplikace s centrálně nastavitelnou úrovní bezpečnostních pravidel, která by byla součástí dodávaného MDM systému. Odpověď na dotaz 1: Pro uložení messaging dat včetně emailu je požadováno zabezpečené úložiště – šifrovaný kontejner na UDT. Zabezpečení messaging aplikace musí být spravovatelné z MDM serveru. Zda se bude jednat o aplikaci nativní nebo ne, není rozhodující – musí však být zabezpečená. Dotaz č. 2: 2. V příloze č. 5 Zadávací dokumentace (ZD), Katalog požadovaných funkcionalit, část „Doplňkové funkce MDM“ Zadavatel uvádí „Vytvoření šifrovaného tunelu mezi mobilním zařízením a definovaným interním síťovým segmentem. Možnost využití tohoto tunelu vlastními aplikacemi i aplikacemi třetích stran“ 2.1. Uchazeč předpokládá, že Zadavatel očekává řešení této funkcionality přímo prostředky Signature Not dodávaného MDM (vlastní funkcionalita/modul pro Tunneling, případně App wrapping apod.), Verified prosíme o potvrzení.

Digitally signed by Ing. Vladimír Odpověď na dotaz č. 2: Kaliba Ano, technologie pro vytvoření zabezpečeného tunelu mezi UDT a interní sítí musí být součástí Date: 2015.04.09 řešení MDM. 12:33:59 +02:00 MINISTERSVO VNITRA ČR poštovní schránka 160 160 41 Praha 6 Tel.: +420 974 835 653 Fax: +420 974 835 643 Email: [email protected]

Dotaz č. 3: V příloze č. 5 ZD Zadavatel uvádí schéma nazvané „MDM Common Network Infrastructure“, ve kterém je popsáno obecné schéma architektury MDM, které však vychází ze zastaralého modelu MDM využívajícího pouze komponenty v DMZ. 3.1. Uchazeč žádá Zadavatele, aby uvedl, že schéma „MDM Common Network Infrastructure“ je pouze obecné, a že je možno využít k splnění předmětu dodávky i řešení využívající pokročilejší architekturu obsahující Endpoint komponenty v Internal Network umožňující zvýšení bezpečnosti interních dat (tj. např. nevyžadují přenášení citlivých dat AD/LDAP serveru do DMZ apod.). Odpověď na dotaz č. 3: Uvedené schéma je obecné, jiná architektura nasazení je možná. Uvedené schéma však reflektuje rezervovanou infrastrukturu zadavatele pro nasazení řešení MDM. V případě, že k provozu řešení MDM bude potřeba více serverů, musí být zahrnuty do dodávky, včetně HW i všeho potřebného SW. Dotaz č. 4: V příloze č. 6 ZD Zadavatel uvádí výchozí podmínku testů: „Testovací pracoviště pověřené Zadavatelem, připraví virtualizační platformu na fyzickém hardware (notebook) umožňující běh serverové části (image) poskytnuté uchazečem s podporou OVF 1.0, 1.1 a 2.0. Virtualizační platforma bude disponovat připojením do sítě Internet s aktivním firewallem. Firewall bude nastaven tak, aby umožňoval pouze přímé propojení mezi UDT a serverovou částí (simulace funkčnosti v intranetu).“ A dále v poznámce „Virtualizační platforma a Firewall - Notebook s Windows 7 SP1 PROFF, trial verze VMWARE Workstation 10 a trial verze KerioCONTROL 8.4“. 4.1. Uchazeč žádá Zadavatele, aby uvedl parametry (zejména výkonnostní) testovacího Notebooku. Odpověď na dotaz č. 4: Předpokladem je notebook nebo stolní počítač,16GB RAM, CPU Core i7, čtyřjádrový procesor, min.2GHz, HDD 500GB. Parametry mohou být upřesněny nezávislým pracovištěm provádějícím testy. Dotaz č. 5: V příloze č. 6 ZD Zadavatel uvádí výchozí podmínku testů „Uchazeč předloží prototyp serverové části software jako virtuální image ve formátu OVF s nainstalovaným operačním systémem, funkční serverovou částí prototypu systému Messaging a funkční serverovou částí prototypu systému MDM. Předpokládá se, že serverová část systému bude mít jeden nebo více komunikačních portů TCP nebo UDP pro službu Messaging, jeden nebo více komunikačních portů pro službu MDM a jeden testovací komunikační port (např. 80/TCP = HTTP) na kterém bude dostupná testovací statická WEB stránka pro ověření funkčnosti siťového propojení z webového prohlížeče UDT.“ 5.1. Uchazeč nepovažuje za realistické instalovat funkční serverovou část MDM využívajícího pokročilou architekturu s prvky v DMZ, s bezpečnou databází a prvky v interní síti na Notebook s desktopovým operačním systémem, respektive vypovídací hodnota ověřování funkcionalit při takovémto způsobu instalace by byla minimální, protože by byla značně omezena možnost instalace serverové části způsobem respektujícím odpovídajícím nárokům na bezpečnost informací v síti (například bezpečný způsob umístění MDM Komponent v DMZ vyžaduje zabezpečit tyto komponenty Public Trusted Certifikátem, v rámci virtuálních serverů na desktop prostředí by bylo nutné simulovat DMZ a síťové prostředí…) Uchazeč proto žádá Zadavatele, aby umožnil uchazečům jako prototyp MDM využít vlastní serverové prostředí, k němuž předá v rámci zkoušky přístupy zástupcům Zadavatele a jehož koncepce architektury bude podporovat minimálně stejnou úroveň architektonické koncepce, jako je uvedeno na schématu „MDM Common Network Infrastructure“ v Příloze č. 5 ZD. Odpověď na dotaz č. 5: Zadavatel zvolil pro testovací prostředí platformu VMWARE, právě proto, že k žádné instalaci serverového SW na desktopový operační systém nebude docházet. Dle zadání testů dodá uchazeč kompletní obraz serverové části (operační systém a aplikace) a je zcela na uchazeči, jaký operační 2 MINISTERSVO VNITRA ČR poštovní schránka 160 160 41 Praha 6 Tel.: +420 974 835 653 Fax: +420 974 835 643 Email: [email protected]

systém ve své image zvolí (předpokládá se, že serverový). Rovněž všechny další prerekvizity, jako jsou certifikáty, nutné komponenty, atd.musí být instalovatelné na tento server. Cílem testu je ověřit, že uchazeč je schopen nainstalovat a nakonfigurovat celý systém i v prostředí odběratele. Využití vlastní serverové infrastruktury v Internetu se nepřipouští. Dotaz č. 6: V příloze č. 6 ZD Zadavatel uvádí výchozí podmínku testů: „Testovací pracoviště pověřené Zadavatelem, připraví virtualizační platformu na fyzickém hardware (notebook) umožňující běh serverové části (image) poskytnuté uchazečem s podporou OVF 1.0, 1.1 a 2.0. Virtualizační platforma bude disponovat připojením do sítě Internet s aktivním firewallem. Firewall bude nastaven tak, aby umožňoval pouze přímé propojení mezi UDT a serverovou částí (simulace funkčnosti v intranetu).“ 6.1. Znamená to tedy že FW bude pouze mezi Vnější (Internet) a vnitřní sítí? A prostupy budou nadefinovány na základě komunikačních schémat dodaných dodavatelem mezi koncovým zařízením a MDM serverovými komponentami? Odpověď na dotaz č. 6: Ano. Dotaz č. 7: V příloze č. 6 ZD Zadavatel uvádí způsob testu MDM: „Automatické doručení nastavení zařízení na základě členství uživatele ve skupině LDAP - na testovací zařízení je doručeno zvolené libovolní nastavení na základě příslušnosti uživatele ke skupině. Po odebrání uživatele z dané skupiny bude nastavení automaticky odebráno z mobilního zařízení.“ 7.1. Uchazeč žádá Zavatele aby uvedl, zda předpokládá zprovoznění Active Directory v rámci testovacího prostředí (tj. opět ve virtuálních serverech provozovaných na testovacím Notebooku s desktopovým OS?), nebo zda vyžaduje připojení dodávaného MDM k Active Directory Zadavatele. Odpověď na dotaz č. 7: Simulaci členství ve skupině LDAP lze pro účely testů nahradit ruční úpravou příslušnosti uživatele ve skupině například v administrátorské konzoli MDM. Propojení proti externímu LDAP (např. MS Active Directory) zadavatel pro test nepožaduje, požaduje jej však pro produkční řešení. Dotaz č. 8: V příloze č. 6 ZD Zadavatel uvádí způsob testu MDM: „Distribuce certifikátu pro ověření uživatele na webovém serveru, automatické vystavení certifikátu - server MDM poskytne vlastní certifikační autoritu a také umožní napojení na externí certifikační autoritu. Pro daného uživatele/zařízení bude automaticky vystaven a doručen certifikát pro ověření“ 8.1. Vzhledem k tomu, že v jiných částech ZD Zadavatel jako součást funkčních požadavků na MDM uvádí (Příloha č. 5 ZD) „distribuce, obnova a odvolávání bezpečnostních certifikátů“, „Integrace s certifikační autoritou (PKI)“ předpokládáme, že Zadavatel v souladu s těmito požadavky očekává od uchazeče v rámci testů zprovoznění PKI infrastruktury na serverovém prostředí, která bude propojena s MDM v rámci serverového prostředí na testovacím Notebooku. Žádáme Zadavatele o potvrzení. Odpověď na dotaz č. 8: Interní CA musí být součástí image uchazeče. Z pohledu napojení na externí certifikační autoritu je pro zadavatele postačující test, kdy systém MDM připraví žádost o certifikát ve formátu PKCS#10 (Base 64 encoded) a tento bude ručně přenesen na CA, kterou zajistí testovací pracoviště a následně po vydání certifikátu ve formátu X.509 a jeho ručním nahrání do systému MDM bude doručen a instalován na mobilní zařízení. Druhou variantou je, že uchazeč dodá vlastní image s certifikační autoritou.

3 MINISTERSVO VNITRA ČR poštovní schránka 160 160 41 Praha 6 Tel.: +420 974 835 653 Fax: +420 974 835 643 Email: [email protected]

Dotaz č. 9: V kontextu na požadavky na MDM uvedené v Příloze č. 5 ZD („Požadavky na MDM systém“, „MDM Common Network Architecture“, „Katalog požadovaných funkcionalit“ a požadavky na testy v Příloze č. 6 ZD (tj. zprovoznění virtuální síťové infrastruktury a v rámci ní několika komponent včetně komponent v DMZ zabezpečených public trusted certifikáty, Active Directory, databáze, PKI) považujeme za nerealistické toto simulovat na Notebooku s desktopovým operačním systémem a navíc připravit takovouto konfiguraci tak, aby věrohodně simulovala prostředí, jehož instalaci Zadavatel očekává a to navíc v období 3 dnů, bez předchozí přípravy nebo koordinace prací s testovacím pracovištěm. 9.1. Uchazeč žádá Zadavatele, aby umožnil uchazečům využít jejich vlastní testovací prostředí MDM na plnohodnotném, předem připraveném serverovém prostředí, jehož serverové části jsou přímo instalovány v sídle uchazeče nebo jeho subdodavatele v ČR v Praze a k nimž je uchazeč nebo jeho subdodavatel schopen poskytnout Zadavateli a testovacím pracovníkům plný lokální i vzdálený přístup (tj. přístup na administrátorské úrovni k serverům i serverovým komponentám po dobu testů). Odpověď na dotaz č. 9: Použití serverů uchazeče (například v Internetu) mimo referenční testovací prostředí se nepřipouští. Cílem testů je mimo jiné ověřit, že je uchazeč plnohodnotně schopen připravit prostředí MDM v uzavřeném ekosystému zadavatele. Problematika napojení na LDAP a CA je popsána v odpovědích výše, žádné jiné serverové komponenty nejsou pro testy potřeba. Dotaz č. 10:

Odpověď na dotaz č. 10: Protokoly pro přenosy dat v bezdrátové rádiové síti standardu TETRAPOL nemá zadavatel k dispozici. Jednotlivé implementace vychází z tzv.specifikací PAS (Public Available Specifications) TETRAPOL (www.tetrapol.com). Výrobcem a dodavatelem technologie pro síť PEGAS je společnost Airbus Group (http://www.airbusgroup.com). Zadavatel ponechává volný prostor všem uchazečům pro implementaci softwarových modulů dle specifikace TETRAPOL. 4 MINISTERSVO VNITRA ČR poštovní schránka 160 160 41 Praha 6 Tel.: +420 974 835 653 Fax: +420 974 835 643 Email: [email protected]

Dotaz č. 11:

Odpověď na dotaz č. 11: Zadavatel obecně uvádí: „Veškeré požadavky uvedené v zadávací dokumentaci na uživatelskou aplikaci Messaging jsou platné a zadavatel trvá na jejich splnění. Energeticky náročný způsob přenosu dat (např. tzv.konstantní polling serveru ze strany klienta) se vylučuje (viz.požadavek na dobu práce přístroje na baterie. Modul Messaging musí samozřejmě rozpoznat stav „bez připojení sítě GSM“ (např. krátkodobý výpadek signálu) a veškeré zprávy korektně doručit po obnovení spojení. Dotaz č. 12: Dotaz / žádost č.3:

5 MINISTERSVO VNITRA ČR poštovní schránka 160 160 41 Praha 6 Tel.: +420 974 835 653 Fax: +420 974 835 643 Email: [email protected]

Odpověď na dotaz č. 12: a) Ano, realizace serverové části je nezbytnou součástí řešení. b) Ano, při dodržení všech požadavků uvedených v zadávací dokumentaci a zajištění robustnosti, bezpečnosti a udržitelnosti celého řešení. Uchazeč přebírá odpovědnost za bezpečnost a bezvadnou funkčnost řešení v produkčním nasazení na specifikovaném počtu klientů. Ostatní podmínky uvedené v zadávací dokumentaci č.j. PPR-19172-254/ČJ-2013-990640 a přílohách k této zadávací dokumentaci včetně dodatečných informací zůstávají beze změny. S pozdravem Ing. Vladimír Kaliba vedoucí odboru veřejných zakázek Policejního prezidia ČR

Zpracoval: Ing. Martin Šlemer Tel.: 974 835 754

6 MINISTERSVO VNITRA ČR poštovní schránka 160 160 41 Praha 6 Tel.: +420 974 835 653 Fax: +420 974 835 643 Email: [email protected]