Informacje o przetargu
Świadczenie usługi testów bezpieczeństwa w okresie 18 miesięcy.
ROZWIŃ
Opis przedmiotu przetargu: Testy bezpieczeństwa obszaru aplikacji Web,
Zamawiający:
Centralny Ośrodek Informatyki
| Adres: | Aleje Jerozolimskie 132-136, 02-305 Warszawa, woj. mazowieckie |
|---|---|
| Dane kontaktowe: | email: zamowienia.publiczne@coi.gov.pl tel: +48222502883 fax: +48222502987 |
Dane postępowania
| ID postępowania: | 2024/BZP 00499871/01 | ||
|---|---|---|---|
| Data publikacji zamówienia: | 2024-09-13 | Termin składania wniosków: | 2024-10-02 |
| Rodzaj zamówienia: | usługi | Tryb& postępowania [PN]: | Przetarg nieograniczony |
| Czas na realizację: | 18 miesięcy | Wadium: | - |
| Oferty uzupełniające: | TAK | Oferty częściowe: | NIE |
| Oferty wariantowe: | NIE | Przewidywana licyctacja: | NIE |
| Ilość części: | 3 | Kryterium ceny: | 33% |
| WWW ogłoszenia: | www.coi.gov.pl | Informacja dostępna pod: | www.coi.gov.pl |
| Okres związania ofertą: | 0 dni | ||
Kody CPV
| 72800000-8 | Usługi audytu komputerowego i testowania komputerów | |
| 79212000-3 | Usługi audytu |
Wyniki
| Nazwa części | Wykonawca | Wartość |
|---|---|---|
| Testy bezpieczeństwa obszaru aplikacji Web, | Exatel S.A. Warszawa | 166 050,00 |
Barometr Ryzyka NadużyćRaport końcowy na temat potencjalnego ryzyka nadużyć dla wskazanej części wyniku postępowania przetargowego.
| Dane ogłoszenia o wyniku: Data udzielenia: 2025-05-19 Dotyczy cześci nr: 1 Kody CPV: 79212000 Ilość podmiotów składających się na wykonawcę: 1 Kwota oferty w PLN: 166 050,00 zł Minimalna złożona oferta: 111 585,00 zł Ilość złożonych ofert: 9 Ilość ofert odrzuconych przez zamawiającego: 4 Minimalna złożona oferta: 111 585,00 zł Maksymalna złożona oferta: 273 983,00 zł | |
| Nazwa części | Wykonawca | Wartość |
| Testy bezpieczeństwa obszaru aplikacji mobilnych, | SEQRED International Sp. z o.o. Warszawa | 105 165,00 |
Barometr Ryzyka NadużyćRaport końcowy na temat potencjalnego ryzyka nadużyć dla wskazanej części wyniku postępowania przetargowego.
| Dane ogłoszenia o wyniku: Data udzielenia: 2025-05-19 Dotyczy cześci nr: 2 Kody CPV: 79212000 Ilość podmiotów składających się na wykonawcę: 1 Kwota oferty w PLN: 105 165,00 zł Minimalna złożona oferta: 52 688,00 zł Ilość złożonych ofert: 8 Ilość ofert odrzuconych przez zamawiającego: 3 Minimalna złożona oferta: 52 688,00 zł Maksymalna złożona oferta: 136 991,00 zł | |
| Nazwa części | Wykonawca | Wartość |
| Testy bezpieczeństwa infrastruktury | Optima Partners Sp. z o.o. sp. k. Warszawa | 78 375,00 |
Barometr Ryzyka NadużyćRaport końcowy na temat potencjalnego ryzyka nadużyć dla wskazanej części wyniku postępowania przetargowego.
| Dane ogłoszenia o wyniku: Data udzielenia: 2025-05-19 Dotyczy cześci nr: 3 Kody CPV: 79212000 Ilość podmiotów składających się na wykonawcę: 1 Kwota oferty w PLN: 78 375,00 zł Minimalna złożona oferta: 78 375,00 zł Ilość złożonych ofert: 9 Ilość ofert odrzuconych przez zamawiającego: 2 Minimalna złożona oferta: 78 375,00 zł Maksymalna złożona oferta: 136 991,00 zł | |
| Ogłoszenie nr 2024/BZP 00499871 z dnia 2024-09-13 |
Ogłoszenie o zamówieniu
Usługi
Świadczenie usługi testów bezpieczeństwa w okresie 18 miesięcy.
SEKCJA I - ZAMAWIAJĄCY
1.1.) Rola zamawiającego
Postępowanie prowadzone jest samodzielnie przez zamawiającego
1.2.) Nazwa zamawiającego: CENTRALNY OŚRODEK INFORMATYKI
1.4) Krajowy Numer Identyfikacyjny: REGON 100999489
1.5) Adres zamawiającego
1.5.1.) Ulica: Aleje Jerozolimskie 132-136
1.5.2.) Miejscowość: Warszawa
1.5.3.) Kod pocztowy: 02-305
1.5.4.) Województwo: mazowieckie
1.5.5.) Kraj: Polska
1.5.6.) Lokalizacja NUTS 3: PL911 - Miasto Warszawa
1.5.9.) Adres poczty elektronicznej: coi@cyfra.gov.pl
1.5.10.) Adres strony internetowej zamawiającego: www.coi.gov.pl
1.6.) Rodzaj zamawiającego: Zamawiający publiczny - jednostka sektora finansów publicznych - instytucja gospodarki budżetowej
1.7.) Przedmiot działalności zamawiającego: Inna działalność
Informatyzacja i Teleinformatyka
SEKCJA II – INFORMACJE PODSTAWOWE
2.1.) Ogłoszenie dotyczy:
Zamówienia publicznego
2.2.) Ogłoszenie dotyczy usług społecznych i innych szczególnych usług: Nie
2.3.) Nazwa zamówienia albo umowy ramowej:
Świadczenie usługi testów bezpieczeństwa w okresie 18 miesięcy.
2.4.) Identyfikator postępowania: ocds-148610-04318554-d5af-4b7e-82f9-14bc08d73e1f
2.5.) Numer ogłoszenia: 2024/BZP 00499871
2.6.) Wersja ogłoszenia: 01
2.7.) Data ogłoszenia: 2024-09-13
2.8.) Zamówienie albo umowa ramowa zostały ujęte w planie postępowań: Tak
2.9.) Numer planu postępowań w BZP: 2024/BZP 00225888/04/P
2.10.) Identyfikator pozycji planu postępowań:
1.3.1 Świadczenie usługi testów bezpieczeństwa
2.11.) O udzielenie zamówienia mogą ubiegać się wyłącznie wykonawcy, o których mowa w art. 94 ustawy: Nie
2.14.) Czy zamówienie albo umowa ramowa dotyczy projektu lub programu współfinansowanego ze środków Unii Europejskiej: Nie
2.16.) Tryb udzielenia zamówienia wraz z podstawą prawną
Zamówienie udzielane jest w trybie podstawowym na podstawie: art. 275 pkt 1 ustawy
SEKCJA III – UDOSTĘPNIANIE DOKUMENTÓW ZAMÓWIENIA I KOMUNIKACJA
3.1.) Adres strony internetowej prowadzonego postępowania
https://ezamowienia.gov.pl/mp-client/search/list/ocds-148610-04318554-d5af-4b7e-82f9-14bc08d73e1f3.2.) Zamawiający zastrzega dostęp do dokumentów zamówienia: Nie
3.4.) Wykonawcy zobowiązani są do składania ofert, wniosków o dopuszczenie do udziału w postępowaniu, oświadczeń oraz innych dokumentów wyłącznie przy użyciu środków komunikacji elektronicznej: Tak
3.5.) Informacje o środkach komunikacji elektronicznej, przy użyciu których zamawiający będzie komunikował się z wykonawcami - adres strony internetowej: https://www.coi.gov.pl/zamowienia-publiczne
3.6.) Wymagania techniczne i organizacyjne dotyczące korespondencji elektronicznej: W postępowaniu o udzielenie
zamówienia publicznego komunikacja między Zamawiającym a wykonawcami odbywa się:
1) przy użyciu Platformy e-Zamówienia, która jest dostępna pod adresem https://ezamowienia.gov.pl.
lub
2) drogą elektroniczną na adres poczty elektronicznej: zamowienia.publiczne@coi.gov.pl
3.8.) Zamawiający wymaga sporządzenia i przedstawienia ofert przy użyciu narzędzi elektronicznego modelowania danych budowlanych lub innych podobnych narzędzi, które nie są ogólnie dostępne: Nie
3.12.) Oferta - katalog elektroniczny: Nie dotyczy
3.14.) Języki, w jakich mogą być sporządzane dokumenty składane w postępowaniu:
polski
3.15.) RODO (obowiązek informacyjny): Określone w pkt 27 Rozdziału I SWZ - "Ochrona danych osobowych"
3.16.) RODO (ograniczenia stosowania): Określone w pkt 27 Rozdziału I SWZ - "Ochrona danych osobowych"
SEKCJA IV – PRZEDMIOT ZAMÓWIENIA
4.1.) Informacje ogólne odnoszące się do przedmiotu zamówienia.
4.1.1.) Przed wszczęciem postępowania przeprowadzono konsultacje rynkowe: Nie
4.1.2.) Numer referencyjny: COI-ZAK.262.49.2024
4.1.3.) Rodzaj zamówienia: Usługi
4.1.4.) Zamawiający udziela zamówienia w częściach, z których każda stanowi przedmiot odrębnego postępowania: Nie
4.1.8.) Możliwe jest składanie ofert częściowych: Tak
4.1.9.) Liczba części: 3
4.1.10.) Ofertę można składać na wszystkie części
4.1.11.) Zamawiający ogranicza liczbę części zamówienia, którą można udzielić jednemu wykonawcy: Tak
4.1.12.) Maksymalna liczba części, jaka może zostać udzielona jednemu wykonawcy: 1
4.1.13.) Zamawiający uwzględnia aspekty społeczne, środowiskowe lub etykiety w opisie przedmiotu zamówienia: Nie
4.2. Informacje szczegółowe odnoszące się do przedmiotu zamówienia:
Część 1
4.2.2.) Krótki opis przedmiotu zamówienia
Testy bezpieczeństwa obszaru aplikacji Web,
4.2.6.) Główny kod CPV: 79212000-3 - Usługi audytu
4.2.7.) Dodatkowy kod CPV:
72800000-8 - Usługi audytu komputerowego i testowania komputerów
4.2.8.) Zamówienie obejmuje opcje: Nie
4.2.10.) Okres realizacji zamówienia albo umowy ramowej: 18 miesiące
4.2.11.) Zamawiający przewiduje wznowienia: Nie
4.2.13.) Zamawiający przewiduje udzielenie dotychczasowemu wykonawcy zamówień na podobne usługi lub roboty budowlane: Nie
4.3.) Kryteria oceny ofert:
4.3.1.) Sposób oceny ofert: Określone w pkt. 20. Rozdziału I SWZ - "Opis kryteriów oceny ofert, wraz z podaniem wag tych kryteriów, i sposobu oceny ofert"
4.3.2.) Sposób określania wagi kryteriów oceny ofert: Punktowo
4.3.3.) Stosowane kryteria oceny ofert: Wyłącznie kryterium ceny
Kryterium 1
4.3.5.) Nazwa kryterium: Cena
4.3.6.) Waga: 100
4.3.10.) Zamawiający określa aspekty społeczne, środowiskowe lub innowacyjne, żąda etykiet lub stosuje rachunek kosztów cyklu życia w odniesieniu do kryterium oceny ofert: Nie
Część 2
4.2.2.) Krótki opis przedmiotu zamówienia
Testy bezpieczeństwa obszaru aplikacji mobilnych,
4.2.6.) Główny kod CPV: 79212000-3 - Usługi audytu
4.2.7.) Dodatkowy kod CPV:
72800000-8 - Usługi audytu komputerowego i testowania komputerów
4.2.8.) Zamówienie obejmuje opcje: Nie
4.2.10.) Okres realizacji zamówienia albo umowy ramowej: 18 miesiące
4.2.11.) Zamawiający przewiduje wznowienia: Nie
4.2.13.) Zamawiający przewiduje udzielenie dotychczasowemu wykonawcy zamówień na podobne usługi lub roboty budowlane: Nie
4.3.) Kryteria oceny ofert:
4.3.1.) Sposób oceny ofert: Określone w pkt. 20. Rozdziału I SWZ - "Opis kryteriów oceny ofert, wraz z podaniem wag tych kryteriów, i sposobu oceny ofert"
4.3.2.) Sposób określania wagi kryteriów oceny ofert: Punktowo
4.3.3.) Stosowane kryteria oceny ofert: Wyłącznie kryterium ceny
Kryterium 1
4.3.5.) Nazwa kryterium: Cena
4.3.6.) Waga: 100
4.3.10.) Zamawiający określa aspekty społeczne, środowiskowe lub innowacyjne, żąda etykiet lub stosuje rachunek kosztów cyklu życia w odniesieniu do kryterium oceny ofert: Nie
Część 3
4.2.2.) Krótki opis przedmiotu zamówienia
Testy bezpieczeństwa infrastruktury
4.2.6.) Główny kod CPV: 79212000-3 - Usługi audytu
4.2.7.) Dodatkowy kod CPV:
72800000-8 - Usługi audytu komputerowego i testowania komputerów
4.2.8.) Zamówienie obejmuje opcje: Nie
4.2.10.) Okres realizacji zamówienia albo umowy ramowej: 18 miesiące
4.2.11.) Zamawiający przewiduje wznowienia: Nie
4.2.13.) Zamawiający przewiduje udzielenie dotychczasowemu wykonawcy zamówień na podobne usługi lub roboty budowlane: Nie
4.3.) Kryteria oceny ofert:
4.3.1.) Sposób oceny ofert: Określone w pkt. 20. Rozdziału I SWZ - "Opis kryteriów oceny ofert, wraz z podaniem wag tych kryteriów, i sposobu oceny ofert"
4.3.2.) Sposób określania wagi kryteriów oceny ofert: Punktowo
4.3.3.) Stosowane kryteria oceny ofert: Wyłącznie kryterium ceny
Kryterium 1
4.3.5.) Nazwa kryterium: Cena
4.3.6.) Waga: 100
4.3.10.) Zamawiający określa aspekty społeczne, środowiskowe lub innowacyjne, żąda etykiet lub stosuje rachunek kosztów cyklu życia w odniesieniu do kryterium oceny ofert: Nie
SEKCJA V - KWALIFIKACJA WYKONAWCÓW
5.1.) Zamawiający przewiduje fakultatywne podstawy wykluczenia: Tak
5.2.) Fakultatywne podstawy wykluczenia:
Art. 109 ust. 1 pkt 1
Art. 109 ust. 1 pkt 2 lit a
Art. 109 ust. 1 pkt 2 lit b
Art. 109 ust. 1 pkt 2 lit c
Art. 109 ust. 1 pkt 3
Art. 109 ust. 1 pkt 4
Art. 109 ust. 1 pkt 8
Art. 109 ust. 1 pkt 10
5.3.) Warunki udziału w postępowaniu: Tak
5.4.) Nazwa i opis warunków udziału w postępowaniu.
O udzielenie zamówienia publicznego może ubiegać się Wykonawca, który spełnia warunek udziału w postępowaniu dotyczący zdolności technicznej lub zawodowej, tj.:1. w zakresie części I
Wykonawca w okresie ostatnich trzech lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie - wykonał a w przypadku świadczeń powtarzających się lub ciągłych należycie wykonuje co najmniej 2 usługi przeprowadzenia testów bezpieczeństwa obszaru aplikacji Web, o wartości co najmniej 50 000,00 zł brutto (słownie: pięćdziesiąt tysięcy złotych 00/100) każda. Poprzez jedną usługę Zamawiający rozumie usługę realizowaną lub zrealizowaną w ramach jednej umowy.
Jeżeli Wykonawca będzie powoływał się na wykonywaną obecnie usługę testów bezpieczeństwa, to wartość już wykonanej części zamówienia w zakresie usługi testów bezpieczeństwa, na dzień składania ofert nie może być mniejsza niż 50 000,00 zł
2. w zakresie części II
Wykonawca w okresie ostatnich trzech lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie - wykonał a w przypadku świadczeń powtarzających się lub ciągłych należycie wykonuje co najmniej 2 usługi przeprowadzenia testów bezpieczeństwa obszaru aplikacji mobilnych, o wartości co najmniej 30 000,00 zł brutto (słownie: trzydzieści tysięcy złotych 00/100) każda. Poprzez jedną usługę Zamawiający rozumie usługę realizowaną lub zrealizowaną w ramach jednej umowy.
Jeżeli Wykonawca będzie powoływał się na wykonywaną obecnie usługę testów bezpieczeństwa, to wartość już wykonanej części zamówienia w zakresie usługi testów bezpieczeństwa, na dzień składania ofert nie może być mniejsza niż 30 000,00 zł
3. w zakresie części III
Wykonawca w okresie ostatnich trzech lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie - wykonał a w przypadku świadczeń powtarzających się lub ciągłych należycie wykonuje co najmniej 2 usługi przeprowadzenia testów bezpieczeństwa obszaru infrastruktury, o wartości co najmniej 20 000,00. zł brutto (słownie: dwadzieścia tysięcyzłotych 00/100) każda. Poprzez jedną usługę Zamawiający rozumie usługę realizowaną lub zrealizowaną w ramach jednej umowy.
Jeżeli Wykonawca będzie powoływał się na wykonywaną obecnie usługę testów bezpieczeństwa, to wartość już wykonanej części zamówienia w zakresie usługi testów bezpieczeństwa, na dzień składania ofert nie może być mniejsza niż 20 000,00 zł
4. Wykonawca musi dysponować zespołem audytowym dla części I:
Składającym się z 6 osób, przy czym każda z nich musi posiadać co najmniej jeden z poniższych certyfikatów, z zastrzeżeniem, że zespół audytowy musi posiadać co najmniej dwa różne certyfikaty spośród niżej wymienionych:
1. aktualny certyfikat Offensive Security Certified Professional (OSCP) lub równoważny, który pokrywa obszary:
• Bezpieczeństwo ofensywne,
• Techniki przełamywania zabezpieczeń sieciowych, systemów operacyjnych oraz oprogramowania,
• Narzędzia bezpieczeństwa,
• Techniki wykrywania błędów oprogramowania,
2. Aktualny certyfikat eLearnSecurity Web application Penetration Tester (EWPT) lub równoważny, który pokrywa obszary:
• Procesy i metodologie testów penetracyjnych,
• Analiza i inspekcja aplikacji WEB,
• Gromadzenie informacji,
• Zarządzanie podatnościami WEB aplikacji,
• OWASP Testing Guide / OWASP Top 10,
• Manualne potwierdzenie podatności XSS, SQLi itd.,
• Zaawansowana raportowanie i remediacja,
3. Aktualny certyfikat eLearn Security Web application Penetration Tester eXtreme (EWPTX) lub równoważny, który pokrywa obszary:
• Procesy i metodologie testów penetracyjnych,
• Analiza i kontrola aplikacji WEB,
• Zaawansowane umiejętności raportowania i działań naprawczych,
• Zaawansowana wiedz i umiejętności omijania podstawowych oraz zaawansowanych filtrów XSS, SQLi itd.,
• Zaawansowana znajomość różnych systemów zarządzania bazami danych,
• Umiejętność przygotowania własnego exploita, gdy gotowe narzędzia zawodzą,
4. Aktualny certyfikat Offensive Security Certified Expert (OSCE) lub równoważny, który pokrywa obszary:
• Ataki na aplikacje webowe (min. XSS/LFI),
• Analiza i wstrzykiwanie kodu złośliwego w pliki wykonywalne PE,
• Omijanie systemów antywirusowych,
• Omijanie mechanizmów zabezpieczenia pamięci,
• Fuzzing, konstruowanie exploitów 0-day,
• Obchodzenie zabezpieczeń,
• Atakowanie infrastruktury sieciowej,
5. Aktualny certyfikat Certified Ethical Hacker (CEH) lub równoważny, który pokrywa obszary:
• Analiza oraz ocena ryzyka danych oraz systemów,
• Kontrola bezpieczeństwa, wykrywanie oraz zapobieganie atakom,
• Znajomość narzędzia, systemów, programów,
• Znajomość procedur oraz metodologii,
• Znajomość Regulacji i polityk.
5. Wykonawca musi dysponować zespołem audytowym dla części II:
Składającym się z 3 osób, przy czym każda z nich musi posiadać co najmniej jeden z poniższych certyfikatów, z zastrzeżeniem, że zespół audytowy musi posiadać co najmniej dwa różne certyfikaty spośród niżej wymienionych:
. aktualny certyfikat Offensive Security Certified Professional (OSCP) lub równoważny, który pokrywa obszary:
• Bezpieczeństwo ofensywne,
• Techniki przełamywania zabezpieczeń sieciowych, systemów operacyjnych oraz oprogramowania,
• Narzędzia bezpieczeństwa,
• Techniki wykrywania błędów oprogramowania,
2. Aktualny certyfikat eLearnSecurity Mobile Application Penetration Tester (eMAPT) lub równoważny, który pokrywa obszary:
• Zbieranie informacji,
• Inżynieria wsteczna dla aplikacji Android,
• Wykorzystanie podatności w systemie Android,
• Stosowanie zasad bezpieczeństwa,
• Wady logiczne,
• Szyfrowanie i kryptografia,
• Identyfikacja podatnych implementacji,
3. Aktualny certyfikat eLearnSecurity Web application Penetration Tester (EWPT) lub równoważny, który pokrywa obszary:
• Procesy i metodologie testów penetracyjnych,
• Analiza i inspekcja aplikacji WEB,
• Gromadzenie informacji,
• Zarządzanie podatnościami WEB aplikacji,
• OWASP Testing Guide / OWASP Top 10,
• Manualne potwierdzenie podatności XSS, SQLi itd.,
• Zaawansowana raportowanie i remediacja,
4. Aktualny certyfikat eLearn Security Web application Penetration Tester eXtreme (EWPTX) lub równoważny, który pokrywa obszary:
• Procesy i metodologie testów penetracyjnych,
• Analiza i kontrola aplikacji WEB,
• Zaawansowane umiejętności raportowania i działań naprawczych,
• Zaawansowana wiedz i umiejętności omijania podstawowych oraz zaawansowanych filtrów XSS, SQLi itd.,
• Zaawansowana znajomość różnych systemów zarządzania bazami danych,
• Umiejętność przygotowania własnego exploita, gdy gotowe narzędzia zawodzą,
5. Aktualny certyfikat Offensive Security Certified Expert (OSCE) lub równoważny, który pokrywa obszary:
• Ataki na aplikacje webowe (min. XSS/LFI),
• Analiza i wstrzykiwanie kodu złośliwego w pliki wykonywalne PE,
• Omijanie systemów antywirusowych,
• Omijanie mechanizmów zabezpieczenia pamięci,
• Fuzzing, konstruowanie exploitów 0-day,
• Obchodzenie zabezpieczeń,
• Atakowanie infrastruktury sieciowej,
6. Aktualny certyfikat Certified Ethical Hacker (CEH) lub równoważny, który pokrywa obszary:
• Analiza oraz ocena ryzyka danych oraz systemów,
• Kontrola bezpieczeństwa, wykrywanie oraz zapobieganie atakom,
• Znajomość narzędzia, systemów, programów,
• Znajomość procedur oraz metodologii,
• Znajomość Regulacji i polityk.
6. Wykonawca musi dysponować zespołem audytowym dla części III:
Składającym się z 3 osób, przy czym każda z nich musi posiadać co najmniej jeden z poniższych certyfikatów, z zastrzeżeniem, że zespół audytowy musi posiadać co najmniej dwa różne certyfikaty spośród niżej wymienionych :
1. Aktualny certyfikat Offensive Security Certified Professional (OSCP) lub równoważny, który pokrywa obszary:
• Bezpieczeństwo ofensywne,
• Techniki przełamywania zabezpieczeń sieciowych, systemów operacyjnych oraz oprogramowania,
• Narzędzia bezpieczeństwa,
• Techniki wykrywania błędów oprogramowania,
2. Aktualny certyfikat eLearnSecurity Web application Penetration Tester (EWPT) lub równoważny, który pokrywa obszary:
• Procesy i metodologie testów penetracyjnych,
• Analiza i inspekcja aplikacji WEB,
• Gromadzenie informacji,
• Zarządzanie podatnościami WEB aplikacji,
• OWASP Testing Guide / OWASP Top 10,
• Manualne potwierdzenie podatności XSS, SQLi itd.,
• Zaawansowana raportowanie i remediacja,
3. Aktualny certyfikat eLearn Security Web application Penetration Tester eXtreme (EWPTX) lub równoważny, który pokrywa obszary:
• Procesy i metodologie testów penetracyjnych,
• Analiza i kontrola aplikacji WEB,
• Zaawansowane umiejętności raportowania i działań naprawczych,
• Zaawansowana wiedz i umiejętności omijania podstawowych oraz zaawansowanych filtrów XSS, SQLi itd.,
• Zaawansowana znajomość różnych systemów zarządzania bazami danych,
• Umiejętność przygotowania własnego exploita, gdy gotowe narzędzia zawodzą,
4. Aktualny certyfikat Offensive Security Certified Expert (OSCE) lub równoważny, który pokrywa obszary:
• Ataki na aplikacje webowe (min. XSS/LFI),
• Analiza i wstrzykiwanie kodu złośliwego w pliki wykonywalne PE,
• Omijanie systemów antywirusowych,
• Omijanie mechanizmów zabezpieczenia pamięci,
• Fuzzing, konstruowanie exploitów 0-day,
• Obchodzenie zabezpieczeń,
• Atakowanie infrastruktury sieciowej,
5. Aktualny certyfikat Certified Ethical Hacker (CEH) lub równoważny, który pokrywa obszary:
• Analiza oraz ocena ryzyka danych oraz systemów,
• Kontrola bezpieczeństwa, wykrywanie oraz zapobieganie atakom,
• Znajomość narzędzia, systemów, programów,
• Znajomość procedur oraz metodologii,
• Znajomość Regulacji i polityk.
5.5.) Zamawiający wymaga złożenia oświadczenia, o którym mowa w art.125 ust. 1 ustawy: Tak
5.6.) Wykaz podmiotowych środków dowodowych na potwierdzenie niepodlegania wykluczeniu: w celu potwierdzenia spełniania warunków udziału w postępowaniu określonych w pkt 8.1. SWZ:
a. wykazu usług (sporządzonego wg wzoru stanowiącego załącznik nr 3 do Formularza Oferty) wykonanych, a w przypadku świadczeń powtarzających się lub ciągłych również wykonywanych, w okresie ostatnich trzech lat, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie, wraz z podaniem ich wartości, przedmiotu, dat wykonania i podmiotów, na rzecz których usługi zostały wykonane lub są wykonywane, oraz załączeniem dowodów określających, czy te usługi zostały wykonane lub są wykonywane należycie, przy czym dowodami, o których mowa, są referencje bądź inne dokumenty sporządzone przez podmiot, na rzecz którego usługi zostały wykonane, a w przypadku świadczeń powtarzających się lub ciągłych są wykonywane, a jeżeli wykonawca z przyczyn niezależnych od niego nie jest w stanie uzyskać tych dokumentów – oświadczenie wykonawcy; w przypadku świadczeń powtarzających się lub ciągłych nadal wykonywanych referencje bądź inne dokumenty potwierdzające ich należyte wykonywanie powinny być wystawione w okresie ostatnich 3 miesięcy;
b. wykazu osób (sporządzonego wg wzoru stanowiącego załącznik nr 3a do Formularza Oferty).
w celu potwierdzenia braku podstaw do wykluczenia:
1) oświadczenia o aktualności informacji zawartych w oświadczeniu, o którym mowa w art. 125 ust. 1 ustawy, sporządzonym zgodnie z wzorem stanowiącym załącznik nr 5 do Formularza Oferty.
5.7.) Wykaz podmiotowych środków dowodowych na potwierdzenie spełniania warunków udziału w postępowaniu: oświadczenia o aktualności informacji zawartych w oświadczeniu, o którym mowa w art. 125 ust. 1 ustawy, sporządzonym zgodnie z wzorem stanowiącym
załącznik do Formularza Oferty
5.8.) Wykaz przedmiotowych środków dowodowych:
Zamawiający nie wymaga załączenia do oferty przedmiotowych środków dowodowych.5.9.) Zamawiający przewiduje uzupełnienie przedmiotowych środków dowodowych: Nie
SEKCJA VI - WARUNKI ZAMÓWIENIA
6.1.) Zamawiający wymaga albo dopuszcza oferty wariantowe: Nie
6.3.) Zamawiający przewiduje aukcję elektroniczną: Nie
6.4.) Zamawiający wymaga wadium: Nie
6.5.) Zamawiający wymaga zabezpieczenia należytego wykonania umowy: Nie
6.6.) Wymagania dotyczące składania oferty przez wykonawców wspólnie ubiegających się o udzielenie zamówienia:
Wykonawcy wspólnie ubiegający się o udzielenie niniejszego zamówienia ustanawiają pełnomocnika do reprezentowania ich w niniejszym postępowaniu albo reprezentowania ich w postępowaniu i zawarcia umowy w sprawie zamówienia publicznego.Za Wykonawców wspólnie ubiegających się o udzielenie zamówienia uznaje się wspólników spółki cywilnej.
Wszelka korespondencja Wykonawców wspólnie ubiegających się o udzielenie zamówienia prowadzona będzie wyłącznie z ustanowionym pełnomocnikiem.
Wykonawcy wspólnie ubiegający się o udzielenie zamówienia składają oświadczenie, o którym mowa w pkt 10.1. powyżej oddzielnie dla każdego z Wykonawców wspólnie ubiegających się
o udzielenie zamówienia. Oświadczenia te potwierdzają brak podstaw do wykluczenia oraz spełnianie warunków udziału w postępowaniu w zakresie, w jakim każdy z wykonawców wykazuje spełnianie warunków udziału w postępowaniu.
6.7.) Zamawiający przewiduje unieważnienie postępowania, jeśli środki publiczne, które zamierzał przeznaczyć na sfinansowanie całości lub części zamówienia nie zostały przyznane: Tak
SEKCJA VII - PROJEKTOWANE POSTANOWIENIA UMOWY
7.1.) Zamawiający przewiduje udzielenia zaliczek: Nie
7.3.) Zamawiający przewiduje zmiany umowy: Tak
7.4.) Rodzaj i zakres zmian umowy oraz warunki ich wprowadzenia:
Rodzaj i zakres zmian umowy został określony w Rozdziale III SWZ - Projektowane Postanowienia Umowy7.5.) Zamawiający uwzględnił aspekty społeczne, środowiskowe, innowacyjne lub etykiety związane z realizacją zamówienia: Nie
SEKCJA VIII – PROCEDURA
8.1.) Termin składania ofert: 2024-10-02 11:00
8.2.) Miejsce składania ofert: platforma ezamówienia
8.3.) Termin otwarcia ofert: 2024-10-02 13:00
8.4.) Termin związania ofertą: do 2024-10-31
SEKCJA IX – POZOSTAŁE INFORMACJE
I. Wykonawca, który polega na zdolnościach lub sytuacji podmiotów udostępniających zasoby, przedstawia wraz zoświadczeniem, o którym mowa w pkt. 10.1. Instrukcji dla Wykonawców- Rozdział I SWZ, także oświadczenie podmiotu
udostępniającego zasoby, potwierdzające brak podstaw wykluczenia tego podmiotu oraz odpowiednio spełnienie warunków
udziału w postępowaniu, w zakresie w jakim Wykonawca powołuje się na jego zasoby.
II. Jeżeli oświadczenie Wykonawcy na wykazanie spełniania warunków udziału w postępowaniu oraz braku podstaw do
wykluczenia, o którym mowa w art. 125 ust. 1 ustawy Pzp lub podmiotowe środki dowodowe budzą wątpliwości
Zamawiającego, może on zwrócić się bezpośrednio do właściwego podmiotu, który jest w posiadaniu informacji lub
dokumentów istotnych w tym zakresie, o przedstawienie takich informacji lub dokumentów.
III. W kwestiach nieuregulowanych w SWZ zastosowanie mają przepisy Rozporządzenia Ministra Rozwoju, Pracy i
Technologii z dnia 23 grudnia 2020 r. w sprawie podmiotowych środków dowodowych oraz innych dokumentów lub
oświadczeń, jakich może żądać zamawiający od wykonawcy (tekst jednolity: Dz. U. z 2020 r. poz. 2415)
| Ogłoszenie nr 2024/BZP 00523082 z dnia 2024-10-01 |
Ogłoszenie o zmianie ogłoszenia
Świadczenie usługi testów bezpieczeństwa w okresie 18 miesięcy.
SEKCJA I - ZAMAWIAJĄCY
1.1.) Nazwa zamawiającego: CENTRALNY OŚRODEK INFORMATYKI
1.3.) Krajowy Numer Identyfikacyjny: REGON 100999489
1.4.) Adres zamawiającego:
1.4.1.) Ulica: Aleje Jerozolimskie 132-136
1.4.2.) Miejscowość: Warszawa
1.4.3.) Kod pocztowy: 02-305
1.4.4.) Województwo: mazowieckie
1.4.5.) Kraj: Polska
1.4.6.) Lokalizacja NUTS 3: PL911 - Miasto Warszawa
1.4.9.) Adres poczty elektronicznej: coi@cyfra.gov.pl
1.4.10.) Adres strony internetowej zamawiającego: www.coi.gov.pl
1.5.) Rodzaj zamawiającego: Zamawiający publiczny - jednostka sektora finansów publicznych - instytucja gospodarki budżetowej
1.6.) Przedmiot działalności zamawiającego: Inna działalność
Informatyzacja i Teleinformatyka
SEKCJA II – INFORMACJE PODSTAWOWE
2.1.) Numer ogłoszenia: 2024/BZP 00523082
2.2.) Data ogłoszenia: 2024-10-01
SEKCJA III ZMIANA OGŁOSZENIA
3.2.) Numer zmienianego ogłoszenia w BZP: 2024/BZP 00499871
3.3.) Identyfikator ostatniej wersji zmienianego ogłoszenia: 01
3.4.) Identyfikator sekcji zmienianego ogłoszenia:
SEKCJA VIII - PROCEDURA3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:
8.1. Termin składania ofert Przed zmianą:
2024-10-02 11:00
Po zmianie:
2024-10-07 11:00
3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:
8.3. Termin otwarcia ofert Przed zmianą:
2024-10-02 13:00
Po zmianie:
2024-10-07 13:00
3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:
8.4. Termin związania ofertą Przed zmianą:
2024-10-31
Po zmianie:
2024-11-05
| Ogłoszenie nr 2024/BZP 00530959 z dnia 2024-10-04 |
Ogłoszenie o zmianie ogłoszenia
Świadczenie usługi testów bezpieczeństwa w okresie 18 miesięcy.
SEKCJA I - ZAMAWIAJĄCY
1.1.) Nazwa zamawiającego: CENTRALNY OŚRODEK INFORMATYKI
1.3.) Krajowy Numer Identyfikacyjny: REGON 100999489
1.4.) Adres zamawiającego:
1.4.1.) Ulica: Aleje Jerozolimskie 132-136
1.4.2.) Miejscowość: Warszawa
1.4.3.) Kod pocztowy: 02-305
1.4.4.) Województwo: mazowieckie
1.4.5.) Kraj: Polska
1.4.6.) Lokalizacja NUTS 3: PL911 - Miasto Warszawa
1.4.9.) Adres poczty elektronicznej: coi@cyfra.gov.pl
1.4.10.) Adres strony internetowej zamawiającego: www.coi.gov.pl
1.5.) Rodzaj zamawiającego: Zamawiający publiczny - jednostka sektora finansów publicznych - instytucja gospodarki budżetowej
1.6.) Przedmiot działalności zamawiającego: Inna działalność
Informatyzacja i Teleinformatyka
SEKCJA II – INFORMACJE PODSTAWOWE
2.1.) Numer ogłoszenia: 2024/BZP 00530959
2.2.) Data ogłoszenia: 2024-10-04
SEKCJA III ZMIANA OGŁOSZENIA
3.2.) Numer zmienianego ogłoszenia w BZP: 2024/BZP 00499871
3.3.) Identyfikator ostatniej wersji zmienianego ogłoszenia: 01
3.4.) Identyfikator sekcji zmienianego ogłoszenia:
SEKCJA VIII - PROCEDURA3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:
8.1. Termin składania ofert Przed zmianą:
2024-10-07 11:00
Po zmianie:
2024-10-09 11:00
3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:
8.3. Termin otwarcia ofert Przed zmianą:
2024-10-07 13:00
Po zmianie:
2024-10-09 13:00
3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:
8.4. Termin związania ofertą Przed zmianą:
2024-11-05
Po zmianie:
2024-11-07
| Ogłoszenie nr 2025/BZP 00236319 z dnia 2025-05-19 |
Ogłoszenie o wyniku postępowania
Usługi
Świadczenie usługi testów bezpieczeństwa w okresie 18 miesięcy.
SEKCJA I - ZAMAWIAJĄCY
1.1.) Rola zamawiającego
Postępowanie prowadzone jest samodzielnie przez zamawiającego1.2.) Nazwa zamawiającego: CENTRALNY OŚRODEK INFORMATYKI
1.4) Krajowy Numer Identyfikacyjny: REGON 100999489
1.5) Adres zamawiającego
1.5.1.) Ulica: Aleje Jerozolimskie 132-136
1.5.2.) Miejscowość: Warszawa
1.5.3.) Kod pocztowy: 02-305
1.5.4.) Województwo: mazowieckie
1.5.5.) Kraj: Polska
1.5.6.) Lokalizacja NUTS 3: PL911 - Miasto Warszawa
1.5.9.) Adres poczty elektronicznej: coi@cyfra.gov.pl
1.5.10.) Adres strony internetowej zamawiającego: www.coi.gov.pl
1.6.) Adres strony internetowej prowadzonego postępowania:
https://ezamowienia.gov.pl/mp-client/search/list/ocds-148610-04318554-d5af-4b7e-82f9-14bc08d73e1f1.7.) Rodzaj zamawiającego: Zamawiający publiczny - jednostka sektora finansów publicznych - instytucja gospodarki budżetowej
1.8.) Przedmiot działalności zamawiającego: Inna działalność
Informatyzacja i Teleinformatyka
SEKCJA II – INFORMACJE PODSTAWOWE
2.1.) Ogłoszenie dotyczy:
Zamówienia publicznego
2.2.) Ogłoszenie dotyczy usług społecznych i innych szczególnych usług: Nie
2.3.) Nazwa zamówienia albo umowy ramowej:
Świadczenie usługi testów bezpieczeństwa w okresie 18 miesięcy.2.4.) Identyfikator postępowania: ocds-148610-04318554-d5af-4b7e-82f9-14bc08d73e1f
2.5.) Numer ogłoszenia: 2025/BZP 00236319
2.6.) Wersja ogłoszenia: 01
2.7.) Data ogłoszenia: 2025-05-19
2.8.) Zamówienie albo umowa ramowa zostały ujęte w planie postępowań: Tak
2.9.) Numer planu postępowań w BZP: 2024/BZP 00225888/04/P
2.10.) Identyfikator pozycji planu postępowań:
1.3.1 Świadczenie usługi testów bezpieczeństwa
2.11.) Czy zamówienie albo umowa ramowa dotyczy projektu lub programu współfinansowanego ze środków Unii Europejskiej: Nie
2.13.) Zamówienie/umowa ramowa było poprzedzone ogłoszeniem o zamówieniu/ogłoszeniem o zamiarze zawarcia umowy: Tak
2.14.) Numer ogłoszenia: 2024/BZP 00499871
SEKCJA III – TRYB UDZIELENIA ZAMÓWIENIA LUB ZAWARCIA UMOWY RAMOWEJ
3.1.) Tryb udzielenia zamówienia wraz z podstawą prawną Zamówienie udzielane jest w trybie podstawowym na podstawie: art. 275 pkt 1 ustawy
SEKCJA IV – PRZEDMIOT ZAMÓWIENIA
4.1.) Numer referencyjny: COI-ZAK.262.49.2024
4.2.) Zamawiający udziela zamówienia w częściach, z których każda stanowi przedmiot odrębnego postępowania: Nie
4.3.) Wartość zamówienia: 490216,50 PLN
4.4.) Rodzaj zamówienia: Usługi
Część 1
4.5.1.) Krótki opis przedmiotu zamówienia
Testy bezpieczeństwa obszaru aplikacji Web,4.5.3.) Główny kod CPV: 79212000-3 - Usługi audytu
4.5.4.) Dodatkowy kod CPV:
72800000-8 - Usługi audytu komputerowego i testowania komputerów
4.5.5.) Wartość części: 241879,50 PLN
Część 2
4.5.1.) Krótki opis przedmiotu zamówienia
Testy bezpieczeństwa obszaru aplikacji mobilnych,4.5.3.) Główny kod CPV: 79212000-3 - Usługi audytu
4.5.4.) Dodatkowy kod CPV:
72800000-8 - Usługi audytu komputerowego i testowania komputerów
4.5.5.) Wartość części: 125552,25 PLN
Część 3
4.5.1.) Krótki opis przedmiotu zamówienia
Testy bezpieczeństwa infrastruktury4.5.3.) Główny kod CPV: 79212000-3 - Usługi audytu
4.5.4.) Dodatkowy kod CPV:
72800000-8 - Usługi audytu komputerowego i testowania komputerów