Audyt bezpieczeństwa Systemu URBANCARD Wrocławska Karta Miejska (CUI-ZZ.3200.3.2020)
| Publication date | 2020-06-30 |
| End date | 2020-07-10 00:00:00 |
| Instytucja | Centrum Usług Informatycznych we Wrocławiu |
| Miejscowość | Wrocław |
| Województwo | dolnośląskie |
| Branża |
|
Szczegóły |
|
| Numer ogłoszenia | 556291-N-2020 |
| Document type | ZP-400 |
| Cpv code | 728100001 |
| BZP | Zobacz |
Przedmiot zamówienia
| 3.2. Przedmiotem zamówienia jest usługa audytu bezpieczeństwa Systemy URBANCARD Wrocławska Karta Miejska. Audytowi bezpieczeństwa podlegać będą wszystkie elementy infrastrukturalne składające się na całość rozwiązania Systemu URBANCARD Wrocławska Karta Miejska tj. serwery, serwery aplikacji, aplikacje, serwery bazodanowe, urządzenia końcowe, ruch sieciowy, systemy operatorskie. 3.2.1. W ramach umowy Wykonawca opracuje harmonogram oraz przedstawi raport z audytu. 3.2.2. Raport i omówienie wyników audytu nastąpi w miejscu wskazanym przez Zamawiającego tj. Warszawa, Wrocław. 3.2.3. Zakres audytu: I. SYSTEMY OPERACYJNE Weryfikacja prawidłowości instalacji i parametryzacji systemów operacyjnych w kontekście zapewnienie odpowiedniego poziomu bezpieczeństwa (szczegółowy zakres weryfikacji – w Załączniku nr 1 do projektu umowy), II. BAZY DANYCH Weryfikacja prawidłowości instalacji i parametryzacji używanego RDBMS w kontekście zapewnienie odpowiedniego poziomu bezpieczeństwa i dostępności przechowywanych danych (szczegółowy zakres weryfikacji i analizy – w Załączniku nr 1 do projektu umowy), III. APLIKACJE Weryfikacja prawidłowości implementacji aplikacji systemu centralnego ze szczególnym uwzględnieniem elementów bezpośrednio wpływających na poziom bezpieczeństwa i stabilność systemu (szczegółowy zakres weryfikacji i analizy – w Załączniku nr 1 do projektu umowy), IV. SIEĆ Weryfikacja zasad utrzymania sieci, architektury i bezpieczeństwa (szczegółowy zakres analizy – w Załączniku nr 1 do projektu umowy), V. Weryfikacja testów penetracyjnych Weryfikacja zdolności podmiotu do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania. Weryfikacja kompletności dokumentacji. Weryfikacja wyników wykonanych testów penetracyjnych w oparciu o metodyki: - OWASP TOP 10 (Open Web Application Security Project TOP 10 vulnerabilities) - W zakresie: bezpieczeństwa aplikacji webowych - W zakresie bezpieczeństwa aplikacji mobilnych: Top 10 Mobile Risks, OWASP ASVS (Application Security Verification Standard Project) - W zakresie: bezpieczeństwa aplikacji webowych (testy blackbox), - W zakresie: ogólnego prowadzenia prac audytowych. VI. Zgodność z obowiązującymi Planem Ciągłości Działania Systemu oraz Politykami Bezpieczeństwa Systemu - sprawdzenie dokumentacji w zakresie polityk bezpieczeństwa oraz Planów Ciągłości Działania Systemu URBANCARD Wrocławska Karta Miejska. - weryfikacja kompletności dostarczonej dokumentacji, wywiad z osobami zaangażowanymi. VII. Zgodność z obowiązującymi przepisami bezpieczeństwa danych osobowych i Polityk Bezpieczeństwa Zakres obejmuje: - sprawdzenie zgodności Systemu pod kątem obowiązujących rozporządzeń Parlamentu Europejskiego i Rady nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (inaczej ogólne rozporządzenie o ochronie danych osobowych - RODO), - sprawdzenie zgodności Systemu pod kątem obowiązujących Polityk Bezpieczeństwa przetwarzania danych w Systemie oraz na urządzeniach końcowych, - sprawdzenie procedur bezpieczeństwa dostępów podmiotów zewnętrznych, - wypełnienie ankiety dotyczącej ochrony danych osobowych stanowiącej załącznik do zakresu audytu. 3.2.4. Audyt o wspomnianym zakresie odbędzie się zgodnie ze standardami opisującymi przebieg procesu testowania bezpieczeństwa systemów IT oraz obszarów systemowych podlegających weryfikacji. 3.2.5. Prezentacja i omówienie metodyki audytu w formie warsztatów. 3.2.6. Szkolenia zamknięte we Wrocławiu dla 6 osób zgodne z następującymi zagadnieniami: CERTIFIED ETHICAL HACKER v10 WYKŁAD + WARSZTATY: 1: Wprowadzenie do etycznego hakingu (Introduction to Ethical Hacking) 2: Zbieranie informacji o ataku (Footprinting and Reconnaissance) 3: Skanowanie sieci (Scanning Networks) 4: Enumeracja (Enumeration) 5: Analiza podatności (Vulnerability Analysis) 6: Hackowanie systemu (System Hacking) 7: Złośliwe oprogramowanie (Malware Threats) 8: Monitorowanie i przechwytywanie danych (Sniffing) 9: Inżynieria społeczna – socjotechniki (Social Engineering) 10: Ataki DDoS (Denial-of-Service) 11: Przejęcie/przechwytywanie sesji (Session Hijacking) 12: Omijanie IDS, zapór Firewall i Honeypots (Evading IDS, Firewalls, and Honeypots) 13: Hakowanie serwerów sieciowych (Hacking Web Servers) 14: Hakowanie aplikacji internetowych (Hacking Web Applications) 15: Ataki przez zapytania w SQL (Injection SQL) 16: Hakowanie sieci bezprzewodowych (Hacking Wireless Networks) 17: Hakowanie mobilnych platform (Hacking Mobile Platforms) 18: Hakowanie Internetu Rzeczy (IoT Hacking) 19: Bezpieczeństwo chmury (Cloud Computing) 20: Kryptografia (Cryptography). 3.3. Szczegółowy opis przedmiotu zamówienia i wymagania do niego znajdują się w projekcie umowy (wraz z jej załącznikami) stanowiącym Załącznik nr 8 do SIWZ. 3.4. Dodatkowe wymagania Zamawiający wymaga, aby Wykonawca złożył wraz ofertą wypełniony: 3.4.1. Załącznik nr 9 do SIWZ – Ankieta dla podmiotu przetwarzającego dane (procesora). Ankieta będzie podlegała ocenie w ramach kryterium oceny ofert określonego w rozdziale 13 SIWZ. Ankieta stanowi treść oferty i nie podlega uzupełnianiu na podstawie art. 26 ust.3 ustawy Pzp. 3.5. Warunki płatności: szczegółowe warunki i sposób płatności zostały określone w projekcie umowy stanowiącym Załącznik nr 8 do SIWZ. Zamawiający nie przewiduje możliwości prowadzenia rozliczeń w walutach obcych. Wszelkie rozliczenia pomiędzy Wykonawcą a Zamawiającym będą dokonywane w złotych polskich (PLN). 3.11. Podwykonawstwo W przypadku powierzenia realizacji zamówienia Podwykonawcom, Wykonawca zobowiązany jest do wskazania w formularzu ofertowym (Załącznik nr 1 do SIWZ) tej części zamówienia, której realizację powierzy Podwykonawcy oraz, o ile jest to wiadome, podania wykazu proponowanych Podwykonawców. W przypadku braku takiego oświadczenia Zamawiający uzna, iż Wykonawca będzie realizował zamówienie bez udziału Podwykonawców. 3.12. Wymagania w zakresie zatrudnienia: 1. Zamawiający nie precyzuje wymagań, o których mowa w art. 29 ust. 3a ustawy Pzp. 2. Zamawiający nie precyzuje wymagań, o których mowa w art. 29 ust. 4 ustawy Pzp. |
Dodatkowe informacje
| GuidZP400 | be2290d4-44ce-49ac-aac9-4b5e6a241768 |
| Biuletyn | 556291-N-2020 |
| Zamawiajacy nazwa | Centrum Usług Informatycznych we Wrocławiu |
| Regon | 22287361000000 |
| Zamawiajacy adres ulica | Namysłowska |
| Zamawiajacy adres numer domu | 8 |
| Zamawiajacy miejscowosc | Wrocław |
| Zamawiajacy kod pocztowy | 50-304 |
| Zamawiajacy panstwo | Polska |
| Zamawiajacy wojewodztwo | dolnośląskie |
| Zamawiajacy telefon | 71 777 90 23, |
| Zamawiajacy fax | - |
| Zamawiajacy email | cui@cui.wroclaw.pl, |
| Zamieszczanie obowiazkowe | 1 |
| Ogloszenie dotyczy | 1 |
| Czy finansowane z unii | 2 |
| Czy ubiegac zaklady pracy | 2 |
| Minimalny procent zatrudnienia | 0% |
| Informacje dodatkowe zamawiajacy | Informacje podstawowe dotyczące przetwarzania Twoich danych osobowych Administrator Danych Osobowych (ADO) Administratorem Twoich danych osobowych jest Gmina Wrocław - Centrum Usług Informatycznych we Wrocławiu. Możesz się z nami skontaktować w następujący sposób: • listownie na adres: ul. Namysłowska 8, 50-304 Wrocław • przez e-mail: sekretariat@cui.wroclaw.pl • telefonicznie: +48 71 777 90 32 Inspektor Ochrony Danych Wyznaczyliśmy Inspektora Ochrony Danych. Inspektor to Osoba, z którą możesz się kontaktować we wszystkich sprawach dotyczących przetwarzania Twoich danych osobowych oraz korzystania z przysługujących Ci praw związanych z przetwarzaniem danych. Możesz się z nim kontaktować w następujący sposób: • listownie na adres: ul. Namysłowska 8, 50-304 Wrocław • przez e-mail: iod@cui.wroclaw.pl • telefonicznie: +48 71 777 90 32. Cele przetwarzania Twoich danych osobowych Będziemy przetwarzać Twoje dane w celu związanym z postępowaniem o udzielenie zamówienia publicznego. Obowiązek podania przez Ciebie danych osobowych bezpośrednio Ciebie dotyczących jest wymogiem ustawowym określonym w przepisach ustawy z dnia 29 stycznia 2004 r. – Prawo zamówień publicznych (Dz. U. z 2018 r. poz. 1986), dalej „ustawa Pzp”, związanym z udziałem w postępowaniu o udzielenie zamówienia publicznego; konsekwencje niepodania określonych danych wynikają z ustawy Pzp; Podstawa prawna przetwarzania Twoich danych osobowych Będziemy przetwarzać Twoje dane osobowe na podstawie art. 6 ust. 1 lit. C RODO oraz ustawy Pzp Okres przechowywania Twoich danych osobowych Twoje dane osobowe będą przetwarzane przez Centrum Usług Informatycznych we Wrocławiu przez minimum 5 lat, następnie Archiwum Państwowe po ekspertyzie dokumentów może podjąć decyzję o ich zniszczeniu lub przekwalifikować na kategorię A i wtedy Twoje dane osobowe będą przetwarzane przez Centrum Usług Informatycznych we Wrocławiu przez 25 lat od stycznia kolejnego roku po zakończeniu Twojej sprawy a następnie zostaną przekazane do Archiwum Państwowego we Wrocławiu, gdzie będą przetwarzane wieczyście. Odbiorcy Twoich danych osobowych Twoje dane zostaną udostępnione podmiotom lub osobom, którym udostępniona zostanie dokumentacja postępowania w oparciu o art. 8 oraz art. 96 ust. 3 ustawy Pzp, a także podmiotom upoważnionym na podstawie przepisów prawa. Twoje prawa związane z przetwarzaniem danych osobowych Przysługują Ci następujące prawa związane z przetwarzaniem danych osobowych: • prawo dostępu do Twoich danych osobowych na podstawie art. 15 RODO, • prawo żądania sprostowania i uzupełnienia niekompletnych Twoich danych osobowych na podstawie art. 16 RODO 1, • prawo żądania ograniczenia przetwarzania Twoich danych osobowych na podstawie art. 18 RODO z zastrzeżeniem przypadków, o których mowa w art. 18 ust. 2 RODO 2, W odniesieniu do Twoich danych osobowych decyzje nie będą podejmowane w sposób zautomatyzowany, stosowanie do art. 22 RODO. Aby skorzystać z powyższych praw, skontaktuj się z Inspektorem Ochrony Danych (dane kontaktowe powyżej). Prawo wniesienia skargi W przypadku nieprawidłowości przy przetwarzaniu Twoich danych osobowych, przysługuje Ci także prawo wniesienia skargi do organu nadzorczego zajmującego się ochroną danych osobowych, tj. Prezesa Urzędu Ochrony Danych Osobowych. Wyjaśnienie1: skorzystanie z prawa do sprostowania nie może skutkować zmianą wyniku postępowania o udzielenie zamówienia publicznego ani zmianą postanowień umowy w zakresie niezgodnym z ustawą Pzp oraz nie może naruszać integralności protokołu oraz jego załączników. Wyjaśnienie2: prawo do ograniczenia przetwarzania nie ma zastosowania w odniesieniu do przechowywania, w celu zapewnienia korzystania ze środków ochrony prawnej lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii Europejskiej lub państwa członkowskiego. Wszystkie informacje na temat przetwarzania danych osobowych i praw podmiotu danych można znaleźć na stronie BIP www.bip.cui.wroclaw.pl w zakładce - Ochrona Danych Osobowych. Zgodnie z ustawą z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE)2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)- dalej ”RODO” Zamawiający informuje, że: a) w przypadku gdy wykonanie obowiązków zamawiającego w związku z realizacja prawa osoby, której dane dotyczą, o których mowa w art. 15 ust. 1-3 RODO (prawo dostępu do danych): - w trakcie prowadzonego postępowania o udzielenie zamówienia publicznego, wymagałoby niewspółmiernie dużego wysiłku, zamawiający może żądać od osoby, której dane dotyczą, wskazania dodatkowych informacji mających na celu sprecyzowanie żądania, w szczególności podania nazwy lub daty postępowania o udzielenie nin. zamówienia publicznego. - po zakończeniu postępowania o udzielenie zamówienia publicznego, wymagałoby niewspółmiernie dużego wysiłku, zamawiający może żądać od osoby, której dane dotyczą wskazania dodatkowych informacji mających w szczególności na celu sprecyzowanie nazwy lub daty zakończonego postępowania o udzielenie zamówienia. wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 RODO (prawo do ograniczonego przetwarzania danych), nie ogranicza przetwarzania danych osobowych do czasu zakończenia postępowania o udzielenie nin. zamówienia. Wszystkie informacje na temat przetwarzania danych osobowych i praw podmiotu danych można znaleźć na stronie BIP www.bip.cui.wroclaw.pl w zakładce - Ochrona Danych Osobowych. |
| Rodzaj zamawiajacego | 8 |
| Rodzaj zamawiajacego inny | Jednostka organizacyjna |
| Zamieszczona bedzie specyfikacja | http://bip.cui.wroclaw.pl/?app=przetargi |
| Czy oferty wnioski dostepne | 1 |
| Oferty wnioski dostepne | https://cui-pzp.logintrade.net/platforma-zakupowa.html |
| Czy dopuszczone wymagane przeslanie ofert | 1 |
| Dopuszczone wymagane przeslanie ofert inny | Zamawiający dopuszcza złożenie oferty w formie pisemnej. Adres: Centrum Usług Informatycznych we Wrocławiu, ul. Namysłowska , 50-304 Wrocław, Sekretariat IV piętro |
| Nazwa nadana zamowieniu | Audyt bezpieczeństwa Systemu URBANCARD Wrocławska Karta Miejska (CUI-ZZ.3200.3.2020) |
| Numer referencyjny | CUI-ZZ.3200.3.2020 |
| Rodzaj zamowienia | 2 |
| Okreslenie przedmiotu | 3.2. Przedmiotem zamówienia jest usługa audytu bezpieczeństwa Systemy URBANCARD Wrocławska Karta Miejska. Audytowi bezpieczeństwa podlegać będą wszystkie elementy infrastrukturalne składające się na całość rozwiązania Systemu URBANCARD Wrocławska Karta Miejska tj. serwery, serwery aplikacji, aplikacje, serwery bazodanowe, urządzenia końcowe, ruch sieciowy, systemy operatorskie. 3.2.1. W ramach umowy Wykonawca opracuje harmonogram oraz przedstawi raport z audytu. 3.2.2. Raport i omówienie wyników audytu nastąpi w miejscu wskazanym przez Zamawiającego tj. Warszawa, Wrocław. 3.2.3. Zakres audytu: I. SYSTEMY OPERACYJNE Weryfikacja prawidłowości instalacji i parametryzacji systemów operacyjnych w kontekście zapewnienie odpowiedniego poziomu bezpieczeństwa (szczegółowy zakres weryfikacji – w Załączniku nr 1 do projektu umowy), II. BAZY DANYCH Weryfikacja prawidłowości instalacji i parametryzacji używanego RDBMS w kontekście zapewnienie odpowiedniego poziomu bezpieczeństwa i dostępności przechowywanych danych (szczegółowy zakres weryfikacji i analizy – w Załączniku nr 1 do projektu umowy), III. APLIKACJE Weryfikacja prawidłowości implementacji aplikacji systemu centralnego ze szczególnym uwzględnieniem elementów bezpośrednio wpływających na poziom bezpieczeństwa i stabilność systemu (szczegółowy zakres weryfikacji i analizy – w Załączniku nr 1 do projektu umowy), IV. SIEĆ Weryfikacja zasad utrzymania sieci, architektury i bezpieczeństwa (szczegółowy zakres analizy – w Załączniku nr 1 do projektu umowy), V. Weryfikacja testów penetracyjnych Weryfikacja zdolności podmiotu do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania. Weryfikacja kompletności dokumentacji. Weryfikacja wyników wykonanych testów penetracyjnych w oparciu o metodyki: - OWASP TOP 10 (Open Web Application Security Project TOP 10 vulnerabilities) - W zakresie: bezpieczeństwa aplikacji webowych - W zakresie bezpieczeństwa aplikacji mobilnych: Top 10 Mobile Risks, OWASP ASVS (Application Security Verification Standard Project) - W zakresie: bezpieczeństwa aplikacji webowych (testy blackbox), - W zakresie: ogólnego prowadzenia prac audytowych. VI. Zgodność z obowiązującymi Planem Ciągłości Działania Systemu oraz Politykami Bezpieczeństwa Systemu - sprawdzenie dokumentacji w zakresie polityk bezpieczeństwa oraz Planów Ciągłości Działania Systemu URBANCARD Wrocławska Karta Miejska. - weryfikacja kompletności dostarczonej dokumentacji, wywiad z osobami zaangażowanymi. VII. Zgodność z obowiązującymi przepisami bezpieczeństwa danych osobowych i Polityk Bezpieczeństwa Zakres obejmuje: - sprawdzenie zgodności Systemu pod kątem obowiązujących rozporządzeń Parlamentu Europejskiego i Rady nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (inaczej ogólne rozporządzenie o ochronie danych osobowych - RODO), - sprawdzenie zgodności Systemu pod kątem obowiązujących Polityk Bezpieczeństwa przetwarzania danych w Systemie oraz na urządzeniach końcowych, - sprawdzenie procedur bezpieczeństwa dostępów podmiotów zewnętrznych, - wypełnienie ankiety dotyczącej ochrony danych osobowych stanowiącej załącznik do zakresu audytu. 3.2.4. Audyt o wspomnianym zakresie odbędzie się zgodnie ze standardami opisującymi przebieg procesu testowania bezpieczeństwa systemów IT oraz obszarów systemowych podlegających weryfikacji. 3.2.5. Prezentacja i omówienie metodyki audytu w formie warsztatów. 3.2.6. Szkolenia zamknięte we Wrocławiu dla 6 osób zgodne z następującymi zagadnieniami: CERTIFIED ETHICAL HACKER v10 WYKŁAD + WARSZTATY: 1: Wprowadzenie do etycznego hakingu (Introduction to Ethical Hacking) 2: Zbieranie informacji o ataku (Footprinting and Reconnaissance) 3: Skanowanie sieci (Scanning Networks) 4: Enumeracja (Enumeration) 5: Analiza podatności (Vulnerability Analysis) 6: Hackowanie systemu (System Hacking) 7: Złośliwe oprogramowanie (Malware Threats) 8: Monitorowanie i przechwytywanie danych (Sniffing) 9: Inżynieria społeczna – socjotechniki (Social Engineering) 10: Ataki DDoS (Denial-of-Service) 11: Przejęcie/przechwytywanie sesji (Session Hijacking) 12: Omijanie IDS, zapór Firewall i Honeypots (Evading IDS, Firewalls, and Honeypots) 13: Hakowanie serwerów sieciowych (Hacking Web Servers) 14: Hakowanie aplikacji internetowych (Hacking Web Applications) 15: Ataki przez zapytania w SQL (Injection SQL) 16: Hakowanie sieci bezprzewodowych (Hacking Wireless Networks) 17: Hakowanie mobilnych platform (Hacking Mobile Platforms) 18: Hakowanie Internetu Rzeczy (IoT Hacking) 19: Bezpieczeństwo chmury (Cloud Computing) 20: Kryptografia (Cryptography). 3.3. Szczegółowy opis przedmiotu zamówienia i wymagania do niego znajdują się w projekcie umowy (wraz z jej załącznikami) stanowiącym Załącznik nr 8 do SIWZ. 3.4. Dodatkowe wymagania Zamawiający wymaga, aby Wykonawca złożył wraz ofertą wypełniony: 3.4.1. Załącznik nr 9 do SIWZ – Ankieta dla podmiotu przetwarzającego dane (procesora). Ankieta będzie podlegała ocenie w ramach kryterium oceny ofert określonego w rozdziale 13 SIWZ. Ankieta stanowi treść oferty i nie podlega uzupełnianiu na podstawie art. 26 ust.3 ustawy Pzp. 3.5. Warunki płatności: szczegółowe warunki i sposób płatności zostały określone w projekcie umowy stanowiącym Załącznik nr 8 do SIWZ. Zamawiający nie przewiduje możliwości prowadzenia rozliczeń w walutach obcych. Wszelkie rozliczenia pomiędzy Wykonawcą a Zamawiającym będą dokonywane w złotych polskich (PLN). 3.11. Podwykonawstwo W przypadku powierzenia realizacji zamówienia Podwykonawcom, Wykonawca zobowiązany jest do wskazania w formularzu ofertowym (Załącznik nr 1 do SIWZ) tej części zamówienia, której realizację powierzy Podwykonawcy oraz, o ile jest to wiadome, podania wykazu proponowanych Podwykonawców. W przypadku braku takiego oświadczenia Zamawiający uzna, iż Wykonawca będzie realizował zamówienie bez udziału Podwykonawców. 3.12. Wymagania w zakresie zatrudnienia: 1. Zamawiający nie precyzuje wymagań, o których mowa w art. 29 ust. 3a ustawy Pzp. 2. Zamawiający nie precyzuje wymagań, o których mowa w art. 29 ust. 4 ustawy Pzp. |
| Cpv glowny przedmiot | 72810000-1 |
| Szacunkowa wartosc zamowienia calosc | 0,00 |
| Data zakonczenia | 2020-11-30T00:00:00+01:00 |
| Informacje na temat katalogow | 3.4. Dodatkowe wymagania Zamawiający wymaga, aby Wykonawca złożył wraz ofertą wypełniony: 3.4.1. Załącznik nr 9 do SIWZ – Ankieta dla podmiotu przetwarzającego dane (procesora). Ankieta będzie podlegała ocenie w ramach kryterium oceny ofert określonego w rozdziale 13 SIWZ. Ankieta stanowi treść oferty i nie podlega uzupełnianiu na podstawie art. 26 ust.3 ustawy Pzp. |
| Zdolnosc techniczna okreslenie warunkow | Zamawiający wyznacza szczegółowy warunek w tym zakresie tj.: Zamawiający stwierdzi, iż Wykonawca spełnił warunek udziału w postępowaniu, jeśli wykaże on, że w okresie ostatnich trzech lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie, wykonał z należytą starannością, co najmniej 10 audytów (1 audyt = 1 system) systemów IT, z których każdy (łącznie lit.a) do lit.c)) polegał na co najmniej: a) przeprowadzeniu testów operacyjnych, baz danych, aplikacji, sieci, b) badaniu aplikacji pod kątem podatności na ataki (m.in. weryfikacja mechanizmów autoryzacji i uwierzytelnienia, zarządzania sesją, mechanizmów kryptograficznych, konfiguracji systemu, analiza nagłówków wysyłanych przez serwer, analiza plików cookie, skryptów javascript, elementów RIA aplikacji webowych (pliki SWF, aplety Java), wadliwe zapytania protokołu HTTP itp.),c) analizy podatności i zagrożeń. UWAGA: Zamawiający uzna warunek za spełniony jeżeli przeprowadzenie co najmniej 10 audytów systemów IT zostało wykonane w ramach jednej umowy lub umów odrębnych. Dla oceny spełniania warunku niezbędne jest zatem wskazanie umowy/umów i wskazanie ilości audytów objętych usługą. Doświadczenie wykonawców nie sumuje się, co oznacza że: - w przypadku Wykonawców ubiegających się wspólnie o udzielenie zamówienia, powyższy warunek musi zostać spełniony w całości przez jednego z Wykonawców ubiegających się wspólnie o udzielenie zamówienia. - w przypadku gdy Wykonawca, przy spełnianiu warunku, powołuje się na potencja podmiotu trzeciego, podmiot trzeci musi samodzielnie spełnić powyższy warunek. W przypadku złożenia przez Wykonawcę (w celu oceny spełnienia warunków udziału w postępowaniu) oświadczeń lub dokumentów zawierających dane wyrażone w walucie innej niż PLN, Zamawiający jako kurs przeliczeniowy waluty przyjmie średni kurs NBP obowiązujący w dniu zamieszczenia ogłoszenia o zamówieniu w Biuletynie Zamówień Publicznych. |
| Czy oswiadczenie niepodleganiu wykluczenia | 1 |
| Zakresie warunkow udzialu | Wykaz usług wykonanych, a w przypadku świadczeń okresowych lub ciągłych również wykonywanych, w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie, wraz z podaniem ich przedmiotu, dat wykonania i podmiotów, na rzecz których usługi zostały wykonane, oraz załączeniem dowodów określających, czy te usługi zostały wykonane lub są wykonywane należycie – potwierdzające spełnienie warunku opisanego w rozdziale 5 pkt 5.2.3. SIWZ – wzór stanowi Załącznik nr 6 do SIWZ. Dowodami, o których mowa w zdaniu poprzednim, są referencje bądź inne dokumenty wystawione przez podmiot, na rzecz którego usługi były wykonywane, a w przypadku świadczeń okresowych lub ciągłych są wykonywane, a jeżeli z uzasadnionej przyczyny o obiektywnym charakterze Wykonawca nie jest w stanie uzyskać tych dokumentów – oświadczenie Wykonawcy; UWAGA: w przypadku świadczeń okresowych lub ciągłych nadal wykonywanych referencje bądź inne dokumenty potwierdzające ich należyte wykonywanie powinny być wydane nie wcześniej niż 3 miesiące przed upływem terminu składania ofert. |
| Inne dokumenty niewymienione | 6.4. Wykonawca składa w terminie 3 dni od dnia zamieszczenia na stronie internetowej Zamawiającego informacji z otwarcia ofert, o której mowa w art. 86 ust 5 ustawy Pzp, w formie pisemnej oświadczenie o przynależności lub braku przynależności do tej samej grupy kapitałowej (wzór – Załącznik nr 4 do SIWZ). W przypadku przynależności do tej samej grupy kapitałowej, wraz ze złożeniem oświadczenia, Wykonawca może przedstawić dowody, że powiązania z innym Wykonawcą nie prowadzą do zakłócenia konkurencji w postępowaniu. |
| Zastosowanie procedury pzp | 1 |
| Zmiana umowy | 1 |
| Zmiana umowy tekst | Zamawiający przewiduje możliwość zmiany postanowień zawartej umowy, w stosunku do treści oferty, na podstawie której zostanie dokonany wybór Wykonawcy, zgodnie z § 9 projektu umowy stanowiącego Załącznik nr 8 do SIWZ. |
| IV 4 4 data | 2020-07-10T00:00:00+02:00 |
| IV 4 4 godzina | 10:00 |
| IV 4 4 jezyki | język polski |
| IV 4 5 okres | 30 |
| IV 4 17 | 1 |
Criterion
| Kryteria | Termin realizacji audytu (Pt) |
| Znaczenie | 30,00 |
| Kryteria | Aktywizacja osób niepełnosprawnych (Pa ) |
| Znaczenie | 5,00 |
| Kryteria | Środki techniczne i organizacyjne Wykonawcy spełniające wymagania art. 28 RODO (PR) |
| Znaczenie | 5,00 |
| Kryteria | Cena za przeprowadzenie audytu (Pp) |
| Znaczenie | 60,00 |