zgoda
Ta strona używa plików cookie w celu usprawnienia i ułatwienia dostępu do serwisu, prowadzenia danych statystycznych oraz wsparcia usług społecznościowych. Dalsze korzystanie z tej witryny oznacza akceptację tego stanu rzeczy.
Możesz samodzielnie decydować o tym czy, jakie i przez jakie witryny pliki cookie mogą być zamieszczana na Twoim urządzeniu. Przeczytaj: jak wyłączyć pliki cookie. Szczgółowe informacje na temat wykorzystania plików cookie znajdziesz w Polityce Prywatności.

Informacje o przetargu

  • Przetargi i zamówienia
  • Szczegóły
  • Informacje o przetargu

Audyt bezpieczeństwa Systemu URBANCARD Wrocławska Karta Miejska (CUI-ZZ.3200.3.2020)

ROZWIŃ

Opis przedmiotu przetargu: 3.2. Przedmiotem zamówienia jest usługa audytu bezpieczeństwa Systemy URBANCARD Wrocławska Karta Miejska. Audytowi bezpieczeństwa podlegać będą wszystkie elementy infrastrukturalne składające się na całość rozwiązania Systemu URBANCARD Wrocławska Karta Miejska tj. serwery, serwery aplikacji, aplikacje, serwery bazodanowe, urządzenia końcowe, ruch sieciowy, systemy operatorskie. 3.2.1. W ramach umowy Wykonawca opracuje harmonogram oraz przedstawi raport z audytu. 3.2.2. Raport i omówienie wyników audytu nastąpi w miejscu wskazanym przez Zamawiającego tj. Warszawa, Wrocław. 3.2.3. Zakres audytu: I. SYSTEMY OPERACYJNE Weryfikacja prawidłowości instalacji i parametryzacji systemów operacyjnych w kontekście zapewnienie odpowiedniego poziomu bezpieczeństwa (szczegółowy zakres weryfikacji – w Załączniku nr 1 do projektu umowy), II. BAZY DANYCH Weryfikacja prawidłowości instalacji i parametryzacji używanego RDBMS w kontekście zapewnienie odpowiedniego poziomu bezpieczeństwa i dostępności przechowywanych danych (szczegółowy zakres weryfikacji i analizy – w Załączniku nr 1 do projektu umowy), III. APLIKACJE Weryfikacja prawidłowości implementacji aplikacji systemu centralnego ze szczególnym uwzględnieniem elementów bezpośrednio wpływających na poziom bezpieczeństwa i stabilność systemu (szczegółowy zakres weryfikacji i analizy – w Załączniku nr 1 do projektu umowy), IV. SIEĆ Weryfikacja zasad utrzymania sieci, architektury i bezpieczeństwa (szczegółowy zakres analizy – w Załączniku nr 1 do projektu umowy), V. Weryfikacja testów penetracyjnych Weryfikacja zdolności podmiotu do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania. Weryfikacja kompletności dokumentacji. Weryfikacja wyników wykonanych testów penetracyjnych w oparciu o metodyki: - OWASP TOP 10 (Open Web Application Security Project TOP 10 vulnerabilities) - W zakresie: bezpieczeństwa aplikacji webowych - W zakresie bezpieczeństwa aplikacji mobilnych: Top 10 Mobile Risks, OWASP ASVS (Application Security Verification Standard Project) - W zakresie: bezpieczeństwa aplikacji webowych (testy blackbox), - W zakresie: ogólnego prowadzenia prac audytowych. VI. Zgodność z obowiązującymi Planem Ciągłości Działania Systemu oraz Politykami Bezpieczeństwa Systemu - sprawdzenie dokumentacji w zakresie polityk bezpieczeństwa oraz Planów Ciągłości Działania Systemu URBANCARD Wrocławska Karta Miejska. - weryfikacja kompletności dostarczonej dokumentacji, wywiad z osobami zaangażowanymi. VII. Zgodność z obowiązującymi przepisami bezpieczeństwa danych osobowych i Polityk Bezpieczeństwa Zakres obejmuje: - sprawdzenie zgodności Systemu pod kątem obowiązujących rozporządzeń Parlamentu Europejskiego i Rady nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (inaczej ogólne rozporządzenie o ochronie danych osobowych - RODO), - sprawdzenie zgodności Systemu pod kątem obowiązujących Polityk Bezpieczeństwa przetwarzania danych w Systemie oraz na urządzeniach końcowych, - sprawdzenie procedur bezpieczeństwa dostępów podmiotów zewnętrznych, - wypełnienie ankiety dotyczącej ochrony danych osobowych stanowiącej załącznik do zakresu audytu. 3.2.4. Audyt o wspomnianym zakresie odbędzie się zgodnie ze standardami opisującymi przebieg procesu testowania bezpieczeństwa systemów IT oraz obszarów systemowych podlegających weryfikacji. 3.2.5. Prezentacja i omówienie metodyki audytu w formie warsztatów. 3.2.6. Szkolenia zamknięte we Wrocławiu dla 6 osób zgodne z następującymi zagadnieniami: CERTIFIED ETHICAL HACKER v10 WYKŁAD + WARSZTATY: 1: Wprowadzenie do etycznego hakingu (Introduction to Ethical Hacking) 2: Zbieranie informacji o ataku (Footprinting and Reconnaissance) 3: Skanowanie sieci (Scanning Networks) 4: Enumeracja (Enumeration) 5: Analiza podatności (Vulnerability Analysis) 6: Hackowanie systemu (System Hacking) 7: Złośliwe oprogramowanie (Malware Threats) 8: Monitorowanie i przechwytywanie danych (Sniffing) 9: Inżynieria społeczna – socjotechniki (Social Engineering) 10: Ataki DDoS (Denial-of-Service) 11: Przejęcie/przechwytywanie sesji (Session Hijacking) 12: Omijanie IDS, zapór Firewall i Honeypots (Evading IDS, Firewalls, and Honeypots) 13: Hakowanie serwerów sieciowych (Hacking Web Servers) 14: Hakowanie aplikacji internetowych (Hacking Web Applications) 15: Ataki przez zapytania w SQL (Injection SQL) 16: Hakowanie sieci bezprzewodowych (Hacking Wireless Networks) 17: Hakowanie mobilnych platform (Hacking Mobile Platforms) 18: Hakowanie Internetu Rzeczy (IoT Hacking) 19: Bezpieczeństwo chmury (Cloud Computing) 20: Kryptografia (Cryptography). 3.3. Szczegółowy opis przedmiotu zamówienia i wymagania do niego znajdują się w projekcie umowy (wraz z jej załącznikami) stanowiącym Załącznik nr 8 do SIWZ. 3.4. Dodatkowe wymagania Zamawiający wymaga, aby Wykonawca złożył wraz ofertą wypełniony: 3.4.1. Załącznik nr 9 do SIWZ – Ankieta dla podmiotu przetwarzającego dane (procesora). Ankieta będzie podlegała ocenie w ramach kryterium oceny ofert określonego w rozdziale 13 SIWZ. Ankieta stanowi treść oferty i nie podlega uzupełnianiu na podstawie art. 26 ust.3 ustawy Pzp. 3.5. Warunki płatności: szczegółowe warunki i sposób płatności zostały określone w projekcie umowy stanowiącym Załącznik nr 8 do SIWZ. Zamawiający nie przewiduje możliwości prowadzenia rozliczeń w walutach obcych. Wszelkie rozliczenia pomiędzy Wykonawcą a Zamawiającym będą dokonywane w złotych polskich (PLN). 3.11. Podwykonawstwo W przypadku powierzenia realizacji zamówienia Podwykonawcom, Wykonawca zobowiązany jest do wskazania w formularzu ofertowym (Załącznik nr 1 do SIWZ) tej części zamówienia, której realizację powierzy Podwykonawcy oraz, o ile jest to wiadome, podania wykazu proponowanych Podwykonawców. W przypadku braku takiego oświadczenia Zamawiający uzna, iż Wykonawca będzie realizował zamówienie bez udziału Podwykonawców. 3.12. Wymagania w zakresie zatrudnienia: 1. Zamawiający nie precyzuje wymagań, o których mowa w art. 29 ust. 3a ustawy Pzp. 2. Zamawiający nie precyzuje wymagań, o których mowa w art. 29 ust. 4 ustawy Pzp.

Zamawiający:
Centrum Usług Informatycznych we Wrocławiu
Adres: Namysłowska 8, 50-304 Wrocław, woj. dolnośląskie
Dane kontaktowe: email: cui@cui.wroclaw.pl
tel: 71 777 90 23
fax: 71 777 75 65
Dane postępowania
ID postępowania: 556291-N-2020
Data publikacji zamówienia: 2020-06-30
 Termin składania wniosków: 2020-07-10   
Rodzaj zamówienia: usługi
 Tryb& postępowania [PN]: Przetarg nieograniczony
Czas na realizację: 142 dni
 Wadium: -
Oferty uzupełniające: TAK Oferty częściowe: NIE
Oferty wariantowe: NIE Przewidywana licyctacja: NIE
Ilość części: 1 Kryterium ceny: 0%
WWW ogłoszenia: Informacja dostępna pod:
Okres związania ofertą: 30 dni
Kody CPV
72810000-1 Usługi audytu komputerowego
Wyniki
Nazwa części Wykonawca Wartość
Audyt bezpieczeństwa Systemu URBANCARD Wrocławska Karta Miejska (CUI-ZZ. 3200.3.2020) TESTARMY GROUP SA
Wrocław		 60 010,00
0,63
Barometr Ryzyka Nadużyć

Raport końcowy na temat potencjalnego ryzyka nadużyć dla wskazanej części wyniku postępowania przetargowego.


Kliknij we wskaźnik by poznać szczegóły
Dane ogłoszenia o wyniku:
Data udzielenia:
2020-09-03
Dotyczy cześci nr:
0
Kody CPV:
72810000
Ilość podmiotów składających się na wykonawcę:
1
Kwota oferty w PLN:
60 010,00 zł
Minimalna złożona oferta:
55 350,00 zł
Ilość złożonych ofert:
7
Ilość ofert odrzuconych przez zamawiającego:
2
Minimalna złożona oferta:
55 350,00 zł
Maksymalna złożona oferta:
1 072 664,00 zł
Publikacja BZP / TED


Ogłoszenie nr 556291-N-2020 z dnia 30.06.2020 r.

Centrum Usług Informatycznych we Wrocławiu: Audyt bezpieczeństwa Systemu URBANCARD Wrocławska Karta Miejska (CUI-ZZ.3200.3.2020)
OGŁOSZENIE O ZAMÓWIENIU - Usługi
Zamieszczanie ogłoszenia: Zamieszczanie obowiązkowe
Ogłoszenie dotyczy: Zamówienia publicznego
Zamówienie dotyczy projektu lub programu współfinansowanego ze środków Unii Europejskiej
Nie

Nazwa projektu lub programu
O zamówienie mogą ubiegać się wyłącznie zakłady pracy chronionej oraz wykonawcy, których działalność, lub działalność ich wyodrębnionych organizacyjnie jednostek, które będą realizowały zamówienie, obejmuje społeczną i zawodową integrację osób będących członkami grup społecznie marginalizowanych
Nie

Należy podać minimalny procentowy wskaźnik zatrudnienia osób należących do jednej lub więcej kategorii, o których mowa w art. 22 ust. 2 ustawy Pzp, nie mniejszy niż 30%, osób zatrudnionych przez zakłady pracy chronionej lub wykonawców albo ich jednostki (w %)
SEKCJA I: ZAMAWIAJĄCY
Postępowanie przeprowadza centralny zamawiający
Nie
Postępowanie przeprowadza podmiot, któremu zamawiający powierzył/powierzyli przeprowadzenie postępowania
Nie
Informacje na temat podmiotu któremu zamawiający powierzył/powierzyli prowadzenie postępowania:
Postępowanie jest przeprowadzane wspólnie przez zamawiających
Nie

Jeżeli tak, należy wymienić zamawiających, którzy wspólnie przeprowadzają postępowanie oraz podać adresy ich siedzib, krajowe numery identyfikacyjne oraz osoby do kontaktów wraz z danymi do kontaktów:

Postępowanie jest przeprowadzane wspólnie z zamawiającymi z innych państw członkowskich Unii Europejskiej
Nie
W przypadku przeprowadzania postępowania wspólnie z zamawiającymi z innych państw członkowskich Unii Europejskiej – mające zastosowanie krajowe prawo zamówień publicznych:
Informacje dodatkowe: Informacje podstawowe dotyczące przetwarzania Twoich danych osobowych Administrator Danych Osobowych (ADO) Administratorem Twoich danych osobowych jest Gmina Wrocław - Centrum Usług Informatycznych we Wrocławiu. Możesz się z nami skontaktować w następujący sposób: • listownie na adres: ul. Namysłowska 8, 50-304 Wrocław • przez e-mail: sekretariat@cui.wroclaw.pl • telefonicznie: +48 71 777 90 32 Inspektor Ochrony Danych Wyznaczyliśmy Inspektora Ochrony Danych. Inspektor to Osoba, z którą możesz się kontaktować we wszystkich sprawach dotyczących przetwarzania Twoich danych osobowych oraz korzystania z przysługujących Ci praw związanych z przetwarzaniem danych. Możesz się z nim kontaktować w następujący sposób: • listownie na adres: ul. Namysłowska 8, 50-304 Wrocław • przez e-mail: iod@cui.wroclaw.pl • telefonicznie: +48 71 777 90 32. Cele przetwarzania Twoich danych osobowych Będziemy przetwarzać Twoje dane w celu związanym z postępowaniem o udzielenie zamówienia publicznego. Obowiązek podania przez Ciebie danych osobowych bezpośrednio Ciebie dotyczących jest wymogiem ustawowym określonym w przepisach ustawy z dnia 29 stycznia 2004 r. – Prawo zamówień publicznych (Dz. U. z 2018 r. poz. 1986), dalej „ustawa Pzp”, związanym z udziałem w postępowaniu o udzielenie zamówienia publicznego; konsekwencje niepodania określonych danych wynikają z ustawy Pzp; Podstawa prawna przetwarzania Twoich danych osobowych Będziemy przetwarzać Twoje dane osobowe na podstawie art. 6 ust. 1 lit. C RODO oraz ustawy Pzp Okres przechowywania Twoich danych osobowych Twoje dane osobowe będą przetwarzane przez Centrum Usług Informatycznych we Wrocławiu przez minimum 5 lat, następnie Archiwum Państwowe po ekspertyzie dokumentów może podjąć decyzję o ich zniszczeniu lub przekwalifikować na kategorię A i wtedy Twoje dane osobowe będą przetwarzane przez Centrum Usług Informatycznych we Wrocławiu przez 25 lat od stycznia kolejnego roku po zakończeniu Twojej sprawy a następnie zostaną przekazane do Archiwum Państwowego we Wrocławiu, gdzie będą przetwarzane wieczyście. Odbiorcy Twoich danych osobowych Twoje dane zostaną udostępnione podmiotom lub osobom, którym udostępniona zostanie dokumentacja postępowania w oparciu o art. 8 oraz art. 96 ust. 3 ustawy Pzp, a także podmiotom upoważnionym na podstawie przepisów prawa. Twoje prawa związane z przetwarzaniem danych osobowych Przysługują Ci następujące prawa związane z przetwarzaniem danych osobowych: • prawo dostępu do Twoich danych osobowych na podstawie art. 15 RODO, • prawo żądania sprostowania i uzupełnienia niekompletnych Twoich danych osobowych na podstawie art. 16 RODO 1, • prawo żądania ograniczenia przetwarzania Twoich danych osobowych na podstawie art. 18 RODO z zastrzeżeniem przypadków, o których mowa w art. 18 ust. 2 RODO 2, W odniesieniu do Twoich danych osobowych decyzje nie będą podejmowane w sposób zautomatyzowany, stosowanie do art. 22 RODO. Aby skorzystać z powyższych praw, skontaktuj się z Inspektorem Ochrony Danych (dane kontaktowe powyżej). Prawo wniesienia skargi W przypadku nieprawidłowości przy przetwarzaniu Twoich danych osobowych, przysługuje Ci także prawo wniesienia skargi do organu nadzorczego zajmującego się ochroną danych osobowych, tj. Prezesa Urzędu Ochrony Danych Osobowych. Wyjaśnienie1: skorzystanie z prawa do sprostowania nie może skutkować zmianą wyniku postępowania o udzielenie zamówienia publicznego ani zmianą postanowień umowy w zakresie niezgodnym z ustawą Pzp oraz nie może naruszać integralności protokołu oraz jego załączników. Wyjaśnienie2: prawo do ograniczenia przetwarzania nie ma zastosowania w odniesieniu do przechowywania, w celu zapewnienia korzystania ze środków ochrony prawnej lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii Europejskiej lub państwa członkowskiego. Wszystkie informacje na temat przetwarzania danych osobowych i praw podmiotu danych można znaleźć na stronie BIP www.bip.cui.wroclaw.pl w zakładce - Ochrona Danych Osobowych. Zgodnie z ustawą z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE)2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)- dalej ”RODO” Zamawiający informuje, że: a) w przypadku gdy wykonanie obowiązków zamawiającego w związku z realizacja prawa osoby, której dane dotyczą, o których mowa w art. 15 ust. 1-3 RODO (prawo dostępu do danych): - w trakcie prowadzonego postępowania o udzielenie zamówienia publicznego, wymagałoby niewspółmiernie dużego wysiłku, zamawiający może żądać od osoby, której dane dotyczą, wskazania dodatkowych informacji mających na celu sprecyzowanie żądania, w szczególności podania nazwy lub daty postępowania o udzielenie nin. zamówienia publicznego. - po zakończeniu postępowania o udzielenie zamówienia publicznego, wymagałoby niewspółmiernie dużego wysiłku, zamawiający może żądać od osoby, której dane dotyczą wskazania dodatkowych informacji mających w szczególności na celu sprecyzowanie nazwy lub daty zakończonego postępowania o udzielenie zamówienia. wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 RODO (prawo do ograniczonego przetwarzania danych), nie ogranicza przetwarzania danych osobowych do czasu zakończenia postępowania o udzielenie nin. zamówienia. Wszystkie informacje na temat przetwarzania danych osobowych i praw podmiotu danych można znaleźć na stronie BIP www.bip.cui.wroclaw.pl w zakładce - Ochrona Danych Osobowych.
I. 1) NAZWA I ADRES: Centrum Usług Informatycznych we Wrocławiu, krajowy numer identyfikacyjny 22287361000000, ul. Namysłowska  8 , 50-304  Wrocław, woj. dolnośląskie, państwo Polska, tel. 71 777 90 23, , e-mail cui@cui.wroclaw.pl, , faks -.
Adres strony internetowej (URL):
Adres profilu nabywcy:
Adres strony internetowej pod którym można uzyskać dostęp do narzędzi i urządzeń lub formatów plików, które nie są ogólnie dostępne
I. 2) RODZAJ ZAMAWIAJĄCEGO: Inny (proszę określić):
Jednostka organizacyjna
I.3) WSPÓLNE UDZIELANIE ZAMÓWIENIA (jeżeli dotyczy):
Podział obowiązków między zamawiającymi w przypadku wspólnego przeprowadzania postępowania, w tym w przypadku wspólnego przeprowadzania postępowania z zamawiającymi z innych państw członkowskich Unii Europejskiej (który z zamawiających jest odpowiedzialny za przeprowadzenie postępowania, czy i w jakim zakresie za przeprowadzenie postępowania odpowiadają pozostali zamawiający, czy zamówienie będzie udzielane przez każdego z zamawiających indywidualnie, czy zamówienie zostanie udzielone w imieniu i na rzecz pozostałych zamawiających):
I.4) KOMUNIKACJA:
Nieograniczony, pełny i bezpośredni dostęp do dokumentów z postępowania można uzyskać pod adresem (URL)
Nie

Adres strony internetowej, na której zamieszczona będzie specyfikacja istotnych warunków zamówienia
Nie
http://bip.cui.wroclaw.pl/?app=przetargi

Dostęp do dokumentów z postępowania jest ograniczony - więcej informacji można uzyskać pod adresem
Nie

Oferty lub wnioski o dopuszczenie do udziału w postępowaniu należy przesyłać:
Elektronicznie
Tak
adres
https://cui-pzp.logintrade.net/platforma-zakupowa.html

Dopuszczone jest przesłanie ofert lub wniosków o dopuszczenie do udziału w postępowaniu w inny sposób:
Tak
Inny sposób:
Zamawiający dopuszcza złożenie oferty w formie pisemnej. Adres: Centrum Usług Informatycznych we Wrocławiu, ul. Namysłowska , 50-304 Wrocław, Sekretariat IV piętro
Wymagane jest przesłanie ofert lub wniosków o dopuszczenie do udziału w postępowaniu w inny sposób:
Nie
Inny sposób:

Adres:

Komunikacja elektroniczna wymaga korzystania z narzędzi i urządzeń lub formatów plików, które nie są ogólnie dostępne
Nie
Nieograniczony, pełny, bezpośredni i bezpłatny dostęp do tych narzędzi można uzyskać pod adresem: (URL)
SEKCJA II: PRZEDMIOT ZAMÓWIENIA

II.1) Nazwa nadana zamówieniu przez zamawiającego: Audyt bezpieczeństwa Systemu URBANCARD Wrocławska Karta Miejska (CUI-ZZ.3200.3.2020)
Numer referencyjny: CUI-ZZ.3200.3.2020
Przed wszczęciem postępowania o udzielenie zamówienia przeprowadzono dialog techniczny
Nie

II.2) Rodzaj zamówienia: Usługi
II.3) Informacja o możliwości składania ofert częściowych
Zamówienie podzielone jest na części:
Nie
Oferty lub wnioski o dopuszczenie do udziału w postępowaniu można składać w odniesieniu do:

Zamawiający zastrzega sobie prawo do udzielenia łącznie następujących części lub grup części:

Maksymalna liczba części zamówienia, na które może zostać udzielone zamówienie jednemu wykonawcy:



II.4) Krótki opis przedmiotu zamówienia (wielkość, zakres, rodzaj i ilość dostaw, usług lub robót budowlanych lub określenie zapotrzebowania i wymagań ) a w przypadku partnerstwa innowacyjnego - określenie zapotrzebowania na innowacyjny produkt, usługę lub roboty budowlane: 3.2. Przedmiotem zamówienia jest usługa audytu bezpieczeństwa Systemy URBANCARD Wrocławska Karta Miejska. Audytowi bezpieczeństwa podlegać będą wszystkie elementy infrastrukturalne składające się na całość rozwiązania Systemu URBANCARD Wrocławska Karta Miejska tj. serwery, serwery aplikacji, aplikacje, serwery bazodanowe, urządzenia końcowe, ruch sieciowy, systemy operatorskie. 3.2.1. W ramach umowy Wykonawca opracuje harmonogram oraz przedstawi raport z audytu. 3.2.2. Raport i omówienie wyników audytu nastąpi w miejscu wskazanym przez Zamawiającego tj. Warszawa, Wrocław. 3.2.3. Zakres audytu: I. SYSTEMY OPERACYJNE Weryfikacja prawidłowości instalacji i parametryzacji systemów operacyjnych w kontekście zapewnienie odpowiedniego poziomu bezpieczeństwa (szczegółowy zakres weryfikacji – w Załączniku nr 1 do projektu umowy), II. BAZY DANYCH Weryfikacja prawidłowości instalacji i parametryzacji używanego RDBMS w kontekście zapewnienie odpowiedniego poziomu bezpieczeństwa i dostępności przechowywanych danych (szczegółowy zakres weryfikacji i analizy – w Załączniku nr 1 do projektu umowy), III. APLIKACJE Weryfikacja prawidłowości implementacji aplikacji systemu centralnego ze szczególnym uwzględnieniem elementów bezpośrednio wpływających na poziom bezpieczeństwa i stabilność systemu (szczegółowy zakres weryfikacji i analizy – w Załączniku nr 1 do projektu umowy), IV. SIEĆ Weryfikacja zasad utrzymania sieci, architektury i bezpieczeństwa (szczegółowy zakres analizy – w Załączniku nr 1 do projektu umowy), V. Weryfikacja testów penetracyjnych Weryfikacja zdolności podmiotu do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania. Weryfikacja kompletności dokumentacji. Weryfikacja wyników wykonanych testów penetracyjnych w oparciu o metodyki: - OWASP TOP 10 (Open Web Application Security Project TOP 10 vulnerabilities) - W zakresie: bezpieczeństwa aplikacji webowych - W zakresie bezpieczeństwa aplikacji mobilnych: Top 10 Mobile Risks, OWASP ASVS (Application Security Verification Standard Project) - W zakresie: bezpieczeństwa aplikacji webowych (testy blackbox), - W zakresie: ogólnego prowadzenia prac audytowych. VI. Zgodność z obowiązującymi Planem Ciągłości Działania Systemu oraz Politykami Bezpieczeństwa Systemu - sprawdzenie dokumentacji w zakresie polityk bezpieczeństwa oraz Planów Ciągłości Działania Systemu URBANCARD Wrocławska Karta Miejska. - weryfikacja kompletności dostarczonej dokumentacji, wywiad z osobami zaangażowanymi. VII. Zgodność z obowiązującymi przepisami bezpieczeństwa danych osobowych i Polityk Bezpieczeństwa Zakres obejmuje: - sprawdzenie zgodności Systemu pod kątem obowiązujących rozporządzeń Parlamentu Europejskiego i Rady nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (inaczej ogólne rozporządzenie o ochronie danych osobowych - RODO), - sprawdzenie zgodności Systemu pod kątem obowiązujących Polityk Bezpieczeństwa przetwarzania danych w Systemie oraz na urządzeniach końcowych, - sprawdzenie procedur bezpieczeństwa dostępów podmiotów zewnętrznych, - wypełnienie ankiety dotyczącej ochrony danych osobowych stanowiącej załącznik do zakresu audytu. 3.2.4. Audyt o wspomnianym zakresie odbędzie się zgodnie ze standardami opisującymi przebieg procesu testowania bezpieczeństwa systemów IT oraz obszarów systemowych podlegających weryfikacji. 3.2.5. Prezentacja i omówienie metodyki audytu w formie warsztatów. 3.2.6. Szkolenia zamknięte we Wrocławiu dla 6 osób zgodne z następującymi zagadnieniami: CERTIFIED ETHICAL HACKER v10 WYKŁAD + WARSZTATY: 1: Wprowadzenie do etycznego hakingu (Introduction to Ethical Hacking) 2: Zbieranie informacji o ataku (Footprinting and Reconnaissance) 3: Skanowanie sieci (Scanning Networks) 4: Enumeracja (Enumeration) 5: Analiza podatności (Vulnerability Analysis) 6: Hackowanie systemu (System Hacking) 7: Złośliwe oprogramowanie (Malware Threats) 8: Monitorowanie i przechwytywanie danych (Sniffing) 9: Inżynieria społeczna – socjotechniki (Social Engineering) 10: Ataki DDoS (Denial-of-Service) 11: Przejęcie/przechwytywanie sesji (Session Hijacking) 12: Omijanie IDS, zapór Firewall i Honeypots (Evading IDS, Firewalls, and Honeypots) 13: Hakowanie serwerów sieciowych (Hacking Web Servers) 14: Hakowanie aplikacji internetowych (Hacking Web Applications) 15: Ataki przez zapytania w SQL (Injection SQL) 16: Hakowanie sieci bezprzewodowych (Hacking Wireless Networks) 17: Hakowanie mobilnych platform (Hacking Mobile Platforms) 18: Hakowanie Internetu Rzeczy (IoT Hacking) 19: Bezpieczeństwo chmury (Cloud Computing) 20: Kryptografia (Cryptography). 3.3. Szczegółowy opis przedmiotu zamówienia i wymagania do niego znajdują się w projekcie umowy (wraz z jej załącznikami) stanowiącym Załącznik nr 8 do SIWZ. 3.4. Dodatkowe wymagania Zamawiający wymaga, aby Wykonawca złożył wraz ofertą wypełniony: 3.4.1. Załącznik nr 9 do SIWZ – Ankieta dla podmiotu przetwarzającego dane (procesora). Ankieta będzie podlegała ocenie w ramach kryterium oceny ofert określonego w rozdziale 13 SIWZ. Ankieta stanowi treść oferty i nie podlega uzupełnianiu na podstawie art. 26 ust.3 ustawy Pzp. 3.5. Warunki płatności: szczegółowe warunki i sposób płatności zostały określone w projekcie umowy stanowiącym Załącznik nr 8 do SIWZ. Zamawiający nie przewiduje możliwości prowadzenia rozliczeń w walutach obcych. Wszelkie rozliczenia pomiędzy Wykonawcą a Zamawiającym będą dokonywane w złotych polskich (PLN). 3.11. Podwykonawstwo W przypadku powierzenia realizacji zamówienia Podwykonawcom, Wykonawca zobowiązany jest do wskazania w formularzu ofertowym (Załącznik nr 1 do SIWZ) tej części zamówienia, której realizację powierzy Podwykonawcy oraz, o ile jest to wiadome, podania wykazu proponowanych Podwykonawców. W przypadku braku takiego oświadczenia Zamawiający uzna, iż Wykonawca będzie realizował zamówienie bez udziału Podwykonawców. 3.12. Wymagania w zakresie zatrudnienia: 1. Zamawiający nie precyzuje wymagań, o których mowa w art. 29 ust. 3a ustawy Pzp. 2. Zamawiający nie precyzuje wymagań, o których mowa w art. 29 ust. 4 ustawy Pzp.

II.5) Główny kod CPV: 72810000-1
Dodatkowe kody CPV:


II.6) Całkowita wartość zamówienia (jeżeli zamawiający podaje informacje o wartości zamówienia):
Wartość bez VAT:
Waluta:

(w przypadku umów ramowych lub dynamicznego systemu zakupów – szacunkowa całkowita maksymalna wartość w całym okresie obowiązywania umowy ramowej lub dynamicznego systemu zakupów)

II.7) Czy przewiduje się udzielenie zamówień, o których mowa w art. 67 ust. 1 pkt 6 i 7 lub w art. 134 ust. 6 pkt 3 ustawy Pzp: Nie
Określenie przedmiotu, wielkości lub zakresu oraz warunków na jakich zostaną udzielone zamówienia, o których mowa w art. 67 ust. 1 pkt 6 lub w art. 134 ust. 6 pkt 3 ustawy Pzp:
II.8) Okres, w którym realizowane będzie zamówienie lub okres, na który została zawarta umowa ramowa lub okres, na który został ustanowiony dynamiczny system zakupów:
miesiącach:    lub dniach:
lub
data rozpoczęcia:   lub zakończenia: 30.11.2020

II.9) Informacje dodatkowe: 3.4. Dodatkowe wymagania Zamawiający wymaga, aby Wykonawca złożył wraz ofertą wypełniony: 3.4.1. Załącznik nr 9 do SIWZ – Ankieta dla podmiotu przetwarzającego dane (procesora). Ankieta będzie podlegała ocenie w ramach kryterium oceny ofert określonego w rozdziale 13 SIWZ. Ankieta stanowi treść oferty i nie podlega uzupełnianiu na podstawie art. 26 ust.3 ustawy Pzp.
SEKCJA III: INFORMACJE O CHARAKTERZE PRAWNYM, EKONOMICZNYM, FINANSOWYM I TECHNICZNYM
III.1) WARUNKI UDZIAŁU W POSTĘPOWANIU
III.1.1) Kompetencje lub uprawnienia do prowadzenia określonej działalności zawodowej, o ile wynika to z odrębnych przepisów
Określenie warunków:
Informacje dodatkowe
III.1.2) Sytuacja finansowa lub ekonomiczna
Określenie warunków:
Informacje dodatkowe
III.1.3) Zdolność techniczna lub zawodowa
Określenie warunków: Zamawiający wyznacza szczegółowy warunek w tym zakresie tj.: Zamawiający stwierdzi, iż Wykonawca spełnił warunek udziału w postępowaniu, jeśli wykaże on, że w okresie ostatnich trzech lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie, wykonał z należytą starannością, co najmniej 10 audytów (1 audyt = 1 system) systemów IT, z których każdy (łącznie lit.a) do lit.c)) polegał na co najmniej: a) przeprowadzeniu testów operacyjnych, baz danych, aplikacji, sieci, b) badaniu aplikacji pod kątem podatności na ataki (m.in. weryfikacja mechanizmów autoryzacji i uwierzytelnienia, zarządzania sesją, mechanizmów kryptograficznych, konfiguracji systemu, analiza nagłówków wysyłanych przez serwer, analiza plików cookie, skryptów javascript, elementów RIA aplikacji webowych (pliki SWF, aplety Java), wadliwe zapytania protokołu HTTP itp.),c) analizy podatności i zagrożeń. UWAGA: Zamawiający uzna warunek za spełniony jeżeli przeprowadzenie co najmniej 10 audytów systemów IT zostało wykonane w ramach jednej umowy lub umów odrębnych. Dla oceny spełniania warunku niezbędne jest zatem wskazanie umowy/umów i wskazanie ilości audytów objętych usługą. Doświadczenie wykonawców nie sumuje się, co oznacza że: - w przypadku Wykonawców ubiegających się wspólnie o udzielenie zamówienia, powyższy warunek musi zostać spełniony w całości przez jednego z Wykonawców ubiegających się wspólnie o udzielenie zamówienia. - w przypadku gdy Wykonawca, przy spełnianiu warunku, powołuje się na potencja podmiotu trzeciego, podmiot trzeci musi samodzielnie spełnić powyższy warunek. W przypadku złożenia przez Wykonawcę (w celu oceny spełnienia warunków udziału w postępowaniu) oświadczeń lub dokumentów zawierających dane wyrażone w walucie innej niż PLN, Zamawiający jako kurs przeliczeniowy waluty przyjmie średni kurs NBP obowiązujący w dniu zamieszczenia ogłoszenia o zamówieniu w Biuletynie Zamówień Publicznych.
Zamawiający wymaga od wykonawców wskazania w ofercie lub we wniosku o dopuszczenie do udziału w postępowaniu imion i nazwisk osób wykonujących czynności przy realizacji zamówienia wraz z informacją o kwalifikacjach zawodowych lub doświadczeniu tych osób:
Informacje dodatkowe:
III.2) PODSTAWY WYKLUCZENIA
III.2.1) Podstawy wykluczenia określone w art. 24 ust. 1 ustawy Pzp
III.2.2) Zamawiający przewiduje wykluczenie wykonawcy na podstawie art. 24 ust. 5 ustawy Pzp Nie Zamawiający przewiduje następujące fakultatywne podstawy wykluczenia:







III.3) WYKAZ OŚWIADCZEŃ SKŁADANYCH PRZEZ WYKONAWCĘ W CELU WSTĘPNEGO POTWIERDZENIA, ŻE NIE PODLEGA ON WYKLUCZENIU ORAZ SPEŁNIA WARUNKI UDZIAŁU W POSTĘPOWANIU ORAZ SPEŁNIA KRYTERIA SELEKCJI
Oświadczenie o niepodleganiu wykluczeniu oraz spełnianiu warunków udziału w postępowaniu
Tak
Oświadczenie o spełnianiu kryteriów selekcji
Nie
III.4) WYKAZ OŚWIADCZEŃ LUB DOKUMENTÓW , SKŁADANYCH PRZEZ WYKONAWCĘ W POSTĘPOWANIU NA WEZWANIE ZAMAWIAJACEGO W CELU POTWIERDZENIA OKOLICZNOŚCI, O KTÓRYCH MOWA W ART. 25 UST. 1 PKT 3 USTAWY PZP:
III.5) WYKAZ OŚWIADCZEŃ LUB DOKUMENTÓW SKŁADANYCH PRZEZ WYKONAWCĘ W POSTĘPOWANIU NA WEZWANIE ZAMAWIAJACEGO W CELU POTWIERDZENIA OKOLICZNOŚCI, O KTÓRYCH MOWA W ART. 25 UST. 1 PKT 1 USTAWY PZP
III.5.1) W ZAKRESIE SPEŁNIANIA WARUNKÓW UDZIAŁU W POSTĘPOWANIU:
Wykaz usług wykonanych, a w przypadku świadczeń okresowych lub ciągłych również wykonywanych, w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie, wraz z podaniem ich przedmiotu, dat wykonania i podmiotów, na rzecz których usługi zostały wykonane, oraz załączeniem dowodów określających, czy te usługi zostały wykonane lub są wykonywane należycie – potwierdzające spełnienie warunku opisanego w rozdziale 5 pkt 5.2.3. SIWZ – wzór stanowi Załącznik nr 6 do SIWZ. Dowodami, o których mowa w zdaniu poprzednim, są referencje bądź inne dokumenty wystawione przez podmiot, na rzecz którego usługi były wykonywane, a w przypadku świadczeń okresowych lub ciągłych są wykonywane, a jeżeli z uzasadnionej przyczyny o obiektywnym charakterze Wykonawca nie jest w stanie uzyskać tych dokumentów – oświadczenie Wykonawcy; UWAGA: w przypadku świadczeń okresowych lub ciągłych nadal wykonywanych referencje bądź inne dokumenty potwierdzające ich należyte wykonywanie powinny być wydane nie wcześniej niż 3 miesiące przed upływem terminu składania ofert.
III.5.2) W ZAKRESIE KRYTERIÓW SELEKCJI:
III.6) WYKAZ OŚWIADCZEŃ LUB DOKUMENTÓW SKŁADANYCH PRZEZ WYKONAWCĘ W POSTĘPOWANIU NA WEZWANIE ZAMAWIAJACEGO W CELU POTWIERDZENIA OKOLICZNOŚCI, O KTÓRYCH MOWA W ART. 25 UST. 1 PKT 2 USTAWY PZP
III.7) INNE DOKUMENTY NIE WYMIENIONE W pkt III.3) - III.6)
6.4. Wykonawca składa w terminie 3 dni od dnia zamieszczenia na stronie internetowej Zamawiającego informacji z otwarcia ofert, o której mowa w art. 86 ust 5 ustawy Pzp, w formie pisemnej oświadczenie o przynależności lub braku przynależności do tej samej grupy kapitałowej (wzór – Załącznik nr 4 do SIWZ). W przypadku przynależności do tej samej grupy kapitałowej, wraz ze złożeniem oświadczenia, Wykonawca może przedstawić dowody, że powiązania z innym Wykonawcą nie prowadzą do zakłócenia konkurencji w postępowaniu.
SEKCJA IV: PROCEDURA
IV.1) OPIS
IV.1.1) Tryb udzielenia zamówienia: Przetarg nieograniczony
IV.1.2) Zamawiający żąda wniesienia wadium:
Nie
Informacja na temat wadium

IV.1.3) Przewiduje się udzielenie zaliczek na poczet wykonania zamówienia:
Nie
Należy podać informacje na temat udzielania zaliczek:

IV.1.4) Wymaga się złożenia ofert w postaci katalogów elektronicznych lub dołączenia do ofert katalogów elektronicznych:
Nie
Dopuszcza się złożenie ofert w postaci katalogów elektronicznych lub dołączenia do ofert katalogów elektronicznych:
Nie
Informacje dodatkowe:

IV.1.5.) Wymaga się złożenia oferty wariantowej:
Nie
Dopuszcza się złożenie oferty wariantowej
Nie
Złożenie oferty wariantowej dopuszcza się tylko z jednoczesnym złożeniem oferty zasadniczej:

IV.1.6) Przewidywana liczba wykonawców, którzy zostaną zaproszeni do udziału w postępowaniu
(przetarg ograniczony, negocjacje z ogłoszeniem, dialog konkurencyjny, partnerstwo innowacyjne)
Liczba wykonawców  
Przewidywana minimalna liczba wykonawców
Maksymalna liczba wykonawców  
Kryteria selekcji wykonawców:

IV.1.7) Informacje na temat umowy ramowej lub dynamicznego systemu zakupów:
Umowa ramowa będzie zawarta:

Czy przewiduje się ograniczenie liczby uczestników umowy ramowej:

Przewidziana maksymalna liczba uczestników umowy ramowej:

Informacje dodatkowe:

Zamówienie obejmuje ustanowienie dynamicznego systemu zakupów:

Adres strony internetowej, na której będą zamieszczone dodatkowe informacje dotyczące dynamicznego systemu zakupów:

Informacje dodatkowe:

W ramach umowy ramowej/dynamicznego systemu zakupów dopuszcza się złożenie ofert w formie katalogów elektronicznych:

Przewiduje się pobranie ze złożonych katalogów elektronicznych informacji potrzebnych do sporządzenia ofert w ramach umowy ramowej/dynamicznego systemu zakupów:

IV.1.8) Aukcja elektroniczna
Przewidziane jest przeprowadzenie aukcji elektronicznej (przetarg nieograniczony, przetarg ograniczony, negocjacje z ogłoszeniem) Nie
Należy podać adres strony internetowej, na której aukcja będzie prowadzona:

Należy wskazać elementy, których wartości będą przedmiotem aukcji elektronicznej:
Przewiduje się ograniczenia co do przedstawionych wartości, wynikające z opisu przedmiotu zamówienia:

Należy podać, które informacje zostaną udostępnione wykonawcom w trakcie aukcji elektronicznej oraz jaki będzie termin ich udostępnienia:
Informacje dotyczące przebiegu aukcji elektronicznej:
Jaki jest przewidziany sposób postępowania w toku aukcji elektronicznej i jakie będą warunki, na jakich wykonawcy będą mogli licytować (minimalne wysokości postąpień):
Informacje dotyczące wykorzystywanego sprzętu elektronicznego, rozwiązań i specyfikacji technicznych w zakresie połączeń:
Wymagania dotyczące rejestracji i identyfikacji wykonawców w aukcji elektronicznej:
Informacje o liczbie etapów aukcji elektronicznej i czasie ich trwania:

Czas trwania:

Czy wykonawcy, którzy nie złożyli nowych postąpień, zostaną zakwalifikowani do następnego etapu:
Warunki zamknięcia aukcji elektronicznej:

IV.2) KRYTERIA OCENY OFERT
IV.2.1) Kryteria oceny ofert:
IV.2.2) Kryteria
KryteriaZnaczenie
Cena za przeprowadzenie audytu (Pp)60,00
Termin realizacji audytu (Pt)30,00
Aktywizacja osób niepełnosprawnych (Pa )5,00
Środki techniczne i organizacyjne Wykonawcy spełniające wymagania art. 28 RODO (PR)5,00

IV.2.3) Zastosowanie procedury, o której mowa w art. 24aa ust. 1 ustawy Pzp (przetarg nieograniczony)
Tak
IV.3) Negocjacje z ogłoszeniem, dialog konkurencyjny, partnerstwo innowacyjne
IV.3.1) Informacje na temat negocjacji z ogłoszeniem
Minimalne wymagania, które muszą spełniać wszystkie oferty:

Przewidziane jest zastrzeżenie prawa do udzielenia zamówienia na podstawie ofert wstępnych bez przeprowadzenia negocjacji
Przewidziany jest podział negocjacji na etapy w celu ograniczenia liczby ofert:
Należy podać informacje na temat etapów negocjacji (w tym liczbę etapów):

Informacje dodatkowe


IV.3.2) Informacje na temat dialogu konkurencyjnego
Opis potrzeb i wymagań zamawiającego lub informacja o sposobie uzyskania tego opisu:

Informacja o wysokości nagród dla wykonawców, którzy podczas dialogu konkurencyjnego przedstawili rozwiązania stanowiące podstawę do składania ofert, jeżeli zamawiający przewiduje nagrody:

Wstępny harmonogram postępowania:

Podział dialogu na etapy w celu ograniczenia liczby rozwiązań:
Należy podać informacje na temat etapów dialogu:


Informacje dodatkowe:

IV.3.3) Informacje na temat partnerstwa innowacyjnego
Elementy opisu przedmiotu zamówienia definiujące minimalne wymagania, którym muszą odpowiadać wszystkie oferty:

Podział negocjacji na etapy w celu ograniczeniu liczby ofert podlegających negocjacjom poprzez zastosowanie kryteriów oceny ofert wskazanych w specyfikacji istotnych warunków zamówienia:

Informacje dodatkowe:

IV.4) Licytacja elektroniczna
Adres strony internetowej, na której będzie prowadzona licytacja elektroniczna:
Adres strony internetowej, na której jest dostępny opis przedmiotu zamówienia w licytacji elektronicznej:
Wymagania dotyczące rejestracji i identyfikacji wykonawców w licytacji elektronicznej, w tym wymagania techniczne urządzeń informatycznych:
Sposób postępowania w toku licytacji elektronicznej, w tym określenie minimalnych wysokości postąpień:
Informacje o liczbie etapów licytacji elektronicznej i czasie ich trwania:
Czas trwania:

Wykonawcy, którzy nie złożyli nowych postąpień, zostaną zakwalifikowani do następnego etapu:
Termin składania wniosków o dopuszczenie do udziału w licytacji elektronicznej:
Data: godzina:
Termin otwarcia licytacji elektronicznej:
Termin i warunki zamknięcia licytacji elektronicznej:

Istotne dla stron postanowienia, które zostaną wprowadzone do treści zawieranej umowy w sprawie zamówienia publicznego, albo ogólne warunki umowy, albo wzór umowy:

Wymagania dotyczące zabezpieczenia należytego wykonania umowy:

Informacje dodatkowe:
IV.5) ZMIANA UMOWY
Przewiduje się istotne zmiany postanowień zawartej umowy w stosunku do treści oferty, na podstawie której dokonano wyboru wykonawcy: Tak
Należy wskazać zakres, charakter zmian oraz warunki wprowadzenia zmian:
Zamawiający przewiduje możliwość zmiany postanowień zawartej umowy, w stosunku do treści oferty, na podstawie której zostanie dokonany wybór Wykonawcy, zgodnie z § 9 projektu umowy stanowiącego Załącznik nr 8 do SIWZ.
IV.6) INFORMACJE ADMINISTRACYJNE

IV.6.1) Sposób udostępniania informacji o charakterze poufnym (jeżeli dotyczy):

Środki służące ochronie informacji o charakterze poufnym

IV.6.2) Termin składania ofert lub wniosków o dopuszczenie do udziału w postępowaniu:
Data: 10.07.2020, godzina: 10:00,
Skrócenie terminu składania wniosków, ze względu na pilną potrzebę udzielenia zamówienia (przetarg nieograniczony, przetarg ograniczony, negocjacje z ogłoszeniem):
Nie
Wskazać powody:

Język lub języki, w jakich mogą być sporządzane oferty lub wnioski o dopuszczenie do udziału w postępowaniu
> język polski
IV.6.3) Termin związania ofertą: do: okres w dniach: 30 (od ostatecznego terminu składania ofert)
IV.6.4) Przewiduje się unieważnienie postępowania o udzielenie zamówienia, w przypadku nieprzyznania środków, które miały być przeznaczone na sfinansowanie całości lub części zamówienia: Tak
IV.6.5) Informacje dodatkowe:
ZAŁĄCZNIK I - INFORMACJE DOTYCZĄCE OFERT CZĘŚCIOWYCH






Ogłoszenie nr 540121458-N-2020 z dnia 07.07.2020 r.
Wrocław:
OGŁOSZENIE O ZMIANIE OGŁOSZENIA

OGŁOSZENIE DOTYCZY:
Ogłoszenia o zamówieniu
INFORMACJE O ZMIENIANYM OGŁOSZENIU

Numer:
556291-N-2020

Data:
30/06/2020
SEKCJA I: ZAMAWIAJĄCY
Centrum Usług Informatycznych we Wrocławiu, Krajowy numer identyfikacyjny 22287361000000, ul. Namysłowska  8, 50-304  Wrocław, woj. dolnośląskie, państwo Polska, tel. 71 777 90 23, e-mail cui@cui.wroclaw.pl, faks -.
Adres strony internetowej (url):
SEKCJA II: ZMIANY W OGŁOSZENIU

II.1) Tekst, który należy zmienić:


Miejsce, w którym znajduje się zmieniany tekst:


Numer sekcji:
IV.

Punkt:
6.2)

W ogłoszeniu jest:
Termin składania ofert lub wniosków o dopuszczenie do udziału w postępowaniu: Data: 2020-07-10, godzina: 10:00,

W ogłoszeniu powinno być:
Termin składania ofert lub wniosków o dopuszczenie do udziału w postępowaniu: Data: 2020-07-15, godzina: 10:00,

Ogłoszenie nr 510166460-N-2020 z dnia 03.09.2020 r.
Centrum Usług Informatycznych we Wrocławiu: Audyt bezpieczeństwa Systemu URBANCARD Wrocławska Karta Miejska (CUI-ZZ. 3200.3.2020)

OGŁOSZENIE O UDZIELENIU ZAMÓWIENIA - Usługi

Zamieszczanie ogłoszenia:
obowiązkowe

Ogłoszenie dotyczy:
zamówienia publicznego

Zamówienie dotyczy projektu lub programu współfinansowanego ze środków Unii Europejskiej

nie

Zamówienie było przedmiotem ogłoszenia w Biuletynie Zamówień Publicznych:
tak
Numer ogłoszenia: 556291-N-2020

Ogłoszenie o zmianie ogłoszenia zostało zamieszczone w Biuletynie Zamówień Publicznych:
tak
Numer ogłoszenia: 540121458-N-2020

SEKCJA I: ZAMAWIAJĄCY


I. 1) NAZWA I ADRES:
Centrum Usług Informatycznych we Wrocławiu, Krajowy numer identyfikacyjny 22287361000000, ul. Namysłowska  8, 50-304  Wrocław, woj. dolnośląskie, państwo Polska, tel. 71 777 90 23, e-mail cui@cui.wroclaw.pl, faks -.
Adres strony internetowej (url): www.bip.cui.wroclaw.pl

I.2) RODZAJ ZAMAWIAJĄCEGO:
Jednostki organizacyjne administracji samorządowej
SEKCJA II: PRZEDMIOT ZAMÓWIENIA

II.1) Nazwa nadana zamówieniu przez zamawiającego:

Audyt bezpieczeństwa Systemu URBANCARD Wrocławska Karta Miejska (CUI-ZZ. 3200.3.2020)

Numer referencyjny
(jeżeli dotyczy):
CUI-ZZ. 3200.3.2020

II.2) Rodzaj zamówienia:

Usługi

II.3) Krótki opis przedmiotu zamówienia
(wielkość, zakres, rodzaj i ilość dostaw, usług lub robót budowlanych lub określenie zapotrzebowania i wymagań )
a w przypadku partnerstwa innowacyjnego - określenie zapotrzebowania na innowacyjny produkt, usługę lub roboty budowlane:

3.2. Przedmiotem zamówienia jest usługa audytu bezpieczeństwa Systemy URBANCARD Wrocławska Karta Miejska. Audytowi bezpieczeństwa podlegać będą wszystkie elementy infrastrukturalne składające się na całość rozwiązania Systemu URBANCARD Wrocławska Karta Miejska tj. serwery, serwery aplikacji, aplikacje, serwery bazodanowe, urządzenia końcowe, ruch sieciowy, systemy operatorskie. 3.2.1. W ramach umowy Wykonawca opracuje harmonogram oraz przedstawi raport z audytu. 3.2.2. Raport i omówienie wyników audytu nastąpi w miejscu wskazanym przez Zamawiającego tj. Warszawa, Wrocław. 3.2.3. Zakres audytu: I. SYSTEMY OPERACYJNE Weryfikacja prawidłowości instalacji i parametryzacji systemów operacyjnych w kontekście zapewnienie odpowiedniego poziomu bezpieczeństwa (szczegółowy zakres weryfikacji – w Załączniku nr 1 do projektu umowy), II. BAZY DANYCH Weryfikacja prawidłowości instalacji i parametryzacji używanego RDBMS w kontekście zapewnienie odpowiedniego poziomu bezpieczeństwa i dostępności przechowywanych danych (szczegółowy zakres weryfikacji i analizy – w Załączniku nr 1 do projektu umowy), III. APLIKACJE Weryfikacja prawidłowości implementacji aplikacji systemu centralnego ze szczególnym uwzględnieniem elementów bezpośrednio wpływających na poziom bezpieczeństwa i stabilność systemu (szczegółowy zakres weryfikacji i analizy – w Załączniku nr 1 do projektu umowy), IV. SIEĆ Weryfikacja zasad utrzymania sieci, architektury i bezpieczeństwa (szczegółowy zakres analizy – w Załączniku nr 1 do projektu umowy), V. Weryfikacja testów penetracyjnych Weryfikacja zdolności podmiotu do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania. Weryfikacja kompletności dokumentacji. Weryfikacja wyników wykonanych testów penetracyjnych w oparciu o metodyki: - OWASP TOP 10 (Open Web Application Security Project TOP 10 vulnerabilities) - W zakresie: bezpieczeństwa aplikacji webowych - W zakresie bezpieczeństwa aplikacji mobilnych: Top 10 Mobile Risks, OWASP ASVS (Application Security Verification Standard Project) - W zakresie: bezpieczeństwa aplikacji webowych (testy blackbox), - W zakresie: ogólnego prowadzenia prac audytowych. VI. Zgodność z obowiązującymi Planem Ciągłości Działania Systemu oraz Politykami Bezpieczeństwa Systemu - sprawdzenie dokumentacji w zakresie polityk bezpieczeństwa oraz Planów Ciągłości Działania Systemu URBANCARD Wrocławska Karta Miejska. - weryfikacja kompletności dostarczonej dokumentacji, wywiad z osobami zaangażowanymi. VII. Zgodność z obowiązującymi przepisami bezpieczeństwa danych osobowych i Polityk Bezpieczeństwa Zakres obejmuje: - sprawdzenie zgodności Systemu pod kątem obowiązujących rozporządzeń Parlamentu Europejskiego i Rady nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (inaczej ogólne rozporządzenie o ochronie danych osobowych - RODO), - sprawdzenie zgodności Systemu pod kątem obowiązujących Polityk Bezpieczeństwa przetwarzania danych w Systemie oraz na urządzeniach końcowych, - sprawdzenie procedur bezpieczeństwa dostępów podmiotów zewnętrznych, - wypełnienie ankiety dotyczącej ochrony danych osobowych stanowiącej załącznik do zakresu audytu. 3.2.4. Audyt o wspomnianym zakresie odbędzie się zgodnie ze standardami opisującymi przebieg procesu testowania bezpieczeństwa systemów IT oraz obszarów systemowych podlegających weryfikacji. 3.2.5. Prezentacja i omówienie metodyki audytu w formie warsztatów. 3.2.6. Szkolenia zamknięte we Wrocławiu dla 6 osób zgodne z następującymi zagadnieniami: CERTIFIED ETHICAL HACKER v10 WYKŁAD + WARSZTATY: 1: Wprowadzenie do etycznego hakingu (Introduction to Ethical Hacking) 2: Zbieranie informacji o ataku (Footprinting and Reconnaissance) 3: Skanowanie sieci (Scanning Networks) 4: Enumeracja (Enumeration) 5: Analiza podatności (Vulnerability Analysis) 6: Hackowanie systemu (System Hacking) 7: Złośliwe oprogramowanie (Malware Threats) 8: Monitorowanie i przechwytywanie danych (Sniffing) 9: Inżynieria społeczna – socjotechniki (Social Engineering) 10: Ataki DDoS (Denial-of-Service) 11: Przejęcie/przechwytywanie sesji (Session Hijacking) 12: Omijanie IDS, zapór Firewall i Honeypots (Evading IDS, Firewalls, and Honeypots) 13: Hakowanie serwerów sieciowych (Hacking Web Servers) 14: Hakowanie aplikacji internetowych (Hacking Web Applications) 15: Ataki przez zapytania w SQL (Injection SQL) 16: Hakowanie sieci bezprzewodowych (Hacking Wireless Networks) 17: Hakowanie mobilnych platform (Hacking Mobile Platforms) 18: Hakowanie Internetu Rzeczy (IoT Hacking) 19: Bezpieczeństwo chmury (Cloud Computing) 20: Kryptografia (Cryptography). 3.3. Szczegółowy opis przedmiotu zamówienia i wymagania do niego znajdują się w projekcie umowy (wraz z jej załącznikami) stanowiącym Załącznik nr 8 do SIWZ. 3.4. Dodatkowe wymagania Zamawiający wymaga, aby Wykonawca złożył wraz ofertą wypełniony: 3.4.1. Załącznik nr 9 do SIWZ – Ankieta dla podmiotu przetwarzającego dane (procesora). Ankieta będzie podlegała ocenie w ramach kryterium oceny ofert określonego w rozdziale 13 SIWZ. Ankieta stanowi treść oferty i nie podlega uzupełnianiu na podstawie art. 26 ust.3 ustawy Pzp. 3.5. Warunki płatności: szczegółowe warunki i sposób płatności zostały określone w projekcie umowy stanowiącym Załącznik nr 8 do SIWZ. Zamawiający nie przewiduje możliwości prowadzenia rozliczeń w walutach obcych. Wszelkie rozliczenia pomiędzy Wykonawcą a Zamawiającym będą dokonywane w złotych polskich (PLN). 3.11. Podwykonawstwo W przypadku powierzenia realizacji zamówienia Podwykonawcom, Wykonawca zobowiązany jest do wskazania w formularzu ofertowym (Załącznik nr 1 do SIWZ) tej części zamówienia, której realizację powierzy Podwykonawcy oraz, o ile jest to wiadome, podania wykazu proponowanych Podwykonawców. W przypadku braku takiego oświadczenia Zamawiający uzna, iż Wykonawca będzie realizował zamówienie bez udziału Podwykonawców. 3.12. Wymagania w zakresie zatrudnienia: 1. Zamawiający nie precyzuje wymagań, o których mowa w art. 29 ust. 3a ustawy Pzp. 2. Zamawiający nie precyzuje wymagań, o których mowa w art. 29 ust. 4 ustawy Pzp.

II.4) Informacja o częściach zamówienia:


Zamówienie było podzielone na części:

nie

II.5) Główny Kod CPV:
72810000-1

SEKCJA III: PROCEDURA

III.1) TRYB UDZIELENIA ZAMÓWIENIA

Przetarg nieograniczony

III.2) Ogłoszenie dotyczy zakończenia dynamicznego systemu zakupów

nie

III.3) Informacje dodatkowe:

SEKCJA IV: UDZIELENIE ZAMÓWIENIA

NAZWA:
Audyt bezpieczeństwa Systemu URBANCARD Wrocławska Karta Miejska

IV.1) DATA UDZIELENIA ZAMÓWIENIA:
03/09/2020

IV.2) Całkowita wartość zamówienia

Wartość bez VAT
48789.00

Waluta
PLN

IV.3) INFORMACJE O OFERTACH
Liczba otrzymanych ofert:  7
w tym:
liczba otrzymanych ofert od małych i średnich przedsiębiorstw:  6
liczba otrzymanych ofert od wykonawców z innych państw członkowskich Unii Europejskiej:  0
liczba otrzymanych ofert od wykonawców z państw niebędących członkami Unii Europejskiej:  0
liczba ofert otrzymanych drogą elektroniczną:  7

IV.4) LICZBA ODRZUCONYCH OFERT:
2

IV.5) NAZWA I ADRES WYKONAWCY, KTÓREMU UDZIELONO ZAMÓWIENIA
Zamówienie zostało udzielone wykonawcom wspólnie ubiegającym się o udzielenie:
nie

Nazwa wykonawcy: TESTARMY GROUP SA
Email wykonawcy:
Adres pocztowy: ul. Petuniowa 9/5
Kod pocztowy: 53-238
Miejscowość: Wrocław
Kraj/woj.:

Wykonawca jest małym/średnim przedsiębiorcą:
tak
Wykonawca pochodzi z innego państwa członkowskiego Unii Europejskiej:
nie
Wykonawca pochodzi z innego państwa nie będącego członkiem Unii Europejskiej:
nie

IV.6) INFORMACJA O CENIE WYBRANEJ OFERTY/ WARTOŚCI ZAWARTEJ UMOWY ORAZ O OFERTACH Z NAJNIŻSZĄ I NAJWYŻSZĄ CENĄ/KOSZTEM


Cena wybranej oferty/wartość umowy
60010.47
Oferta z najniższą ceną/kosztem 55350.00
Oferta z najwyższą ceną/kosztem 1072664.55
Waluta: pln

IV.7) Informacje na temat podwykonawstwa

Wykonawca przewiduje powierzenie wykonania części zamówienia podwykonawcy/podwykonawcom
nie

Wartość lub procentowa część zamówienia, jaka zostanie powierzona podwykonawcy lub podwykonawcom:

IV.8) Informacje dodatkowe:


IV.9) UZASADNIENIE UDZIELENIA ZAMÓWIENIA W TRYBIE NEGOCJACJI BEZ OGŁOSZENIA, ZAMÓWIENIA Z WOLNEJ RĘKI ALBO ZAPYTANIA O CENĘ


IV.9.1) Podstawa prawna

Postępowanie prowadzone jest w trybie   na podstawie art.  ustawy Pzp.

IV.9.2) Uzasadnienie wyboru trybu

Należy podać uzasadnienie faktyczne i prawne wyboru trybu oraz wyjaśnić, dlaczego udzielenie zamówienia jest zgodne z przepisami.