Centrum Usług Informatycznych we Wrocławiu ogłasza przetarg
- Adres: 50-304 Wrocław, Namysłowska
- Województwo: dolnośląskie
- Telefon/fax: tel. 71 777 90 23, , fax. -
- Data zamieszczenia: 2020-06-30
- Zamieszczanie ogłoszenia: obowiązkowe
Sekcja I - Zamawiający
- I.1. Nazwa i adres: Centrum Usług Informatycznych we Wrocławiu
Namysłowska 8
50-304 Wrocław, woj. dolnośląskie
tel. 71 777 90 23, , fax. -
REGON: 22287361000000 - I.2. Rodzaj zamawiającego: Jednostka organizacyjna
Sekcja II - Przedmiot zamówienia, przetargu
- II.1. Określenie przedmiotu zamówienia
- II.1.1. Nazwa nadana zamówieniu przez zamawiającego:
Audyt bezpieczeństwa Systemu URBANCARD Wrocławska Karta Miejska (CUI-ZZ.3200.3.2020) - II.1.2. Rodzaj zamówienia:
- II.1.3. Określenie przedmiotu oraz wielkości lub zakresu zamówienia:
3.2. Przedmiotem zamówienia jest usługa audytu bezpieczeństwa Systemy URBANCARD Wrocławska Karta Miejska. Audytowi bezpieczeństwa podlegać będą wszystkie elementy infrastrukturalne składające się na całość rozwiązania Systemu URBANCARD Wrocławska Karta Miejska tj. serwery, serwery aplikacji, aplikacje, serwery bazodanowe, urządzenia końcowe, ruch sieciowy, systemy operatorskie. 3.2.1. W ramach umowy Wykonawca opracuje harmonogram oraz przedstawi raport z audytu. 3.2.2. Raport i omówienie wyników audytu nastąpi w miejscu wskazanym przez Zamawiającego tj. Warszawa, Wrocław. 3.2.3. Zakres audytu: I. SYSTEMY OPERACYJNE Weryfikacja prawidłowości instalacji i parametryzacji systemów operacyjnych w kontekście zapewnienie odpowiedniego poziomu bezpieczeństwa (szczegółowy zakres weryfikacji – w Załączniku nr 1 do projektu umowy), II. BAZY DANYCH Weryfikacja prawidłowości instalacji i parametryzacji używanego RDBMS w kontekście zapewnienie odpowiedniego poziomu bezpieczeństwa i dostępności przechowywanych danych (szczegółowy zakres weryfikacji i analizy – w Załączniku nr 1 do projektu umowy), III. APLIKACJE Weryfikacja prawidłowości implementacji aplikacji systemu centralnego ze szczególnym uwzględnieniem elementów bezpośrednio wpływających na poziom bezpieczeństwa i stabilność systemu (szczegółowy zakres weryfikacji i analizy – w Załączniku nr 1 do projektu umowy), IV. SIEĆ Weryfikacja zasad utrzymania sieci, architektury i bezpieczeństwa (szczegółowy zakres analizy – w Załączniku nr 1 do projektu umowy), V. Weryfikacja testów penetracyjnych Weryfikacja zdolności podmiotu do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania. Weryfikacja kompletności dokumentacji. Weryfikacja wyników wykonanych testów penetracyjnych w oparciu o metodyki: - OWASP TOP 10 (Open Web Application Security Project TOP 10 vulnerabilities) - W zakresie: bezpieczeństwa aplikacji webowych - W zakresie bezpieczeństwa aplikacji mobilnych: Top 10 Mobile Risks, OWASP ASVS (Application Security Verification Standard Project) - W zakresie: bezpieczeństwa aplikacji webowych (testy blackbox), - W zakresie: ogólnego prowadzenia prac audytowych. VI. Zgodność z obowiązującymi Planem Ciągłości Działania Systemu oraz Politykami Bezpieczeństwa Systemu - sprawdzenie dokumentacji w zakresie polityk bezpieczeństwa oraz Planów Ciągłości Działania Systemu URBANCARD Wrocławska Karta Miejska. - weryfikacja kompletności dostarczonej dokumentacji, wywiad z osobami zaangażowanymi. VII. Zgodność z obowiązującymi przepisami bezpieczeństwa danych osobowych i Polityk Bezpieczeństwa Zakres obejmuje: - sprawdzenie zgodności Systemu pod kątem obowiązujących rozporządzeń Parlamentu Europejskiego i Rady nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (inaczej ogólne rozporządzenie o ochronie danych osobowych - RODO), - sprawdzenie zgodności Systemu pod kątem obowiązujących Polityk Bezpieczeństwa przetwarzania danych w Systemie oraz na urządzeniach końcowych, - sprawdzenie procedur bezpieczeństwa dostępów podmiotów zewnętrznych, - wypełnienie ankiety dotyczącej ochrony danych osobowych stanowiącej załącznik do zakresu audytu. 3.2.4. Audyt o wspomnianym zakresie odbędzie się zgodnie ze standardami opisującymi przebieg procesu testowania bezpieczeństwa systemów IT oraz obszarów systemowych podlegających weryfikacji. 3.2.5. Prezentacja i omówienie metodyki audytu w formie warsztatów. 3.2.6. Szkolenia zamknięte we Wrocławiu dla 6 osób zgodne z następującymi zagadnieniami: CERTIFIED ETHICAL HACKER v10 WYKŁAD + WARSZTATY: 1: Wprowadzenie do etycznego hakingu (Introduction to Ethical Hacking) 2: Zbieranie informacji o ataku (Footprinting and Reconnaissance) 3: Skanowanie sieci (Scanning Networks) 4: Enumeracja (Enumeration) 5: Analiza podatności (Vulnerability Analysis) 6: Hackowanie systemu (System Hacking) 7: Złośliwe oprogramowanie (Malware Threats) 8: Monitorowanie i przechwytywanie danych (Sniffing) 9: Inżynieria społeczna – socjotechniki (Social Engineering) 10: Ataki DDoS (Denial-of-Service) 11: Przejęcie/przechwytywanie sesji (Session Hijacking) 12: Omijanie IDS, zapór Firewall i Honeypots (Evading IDS, Firewalls, and Honeypots) 13: Hakowanie serwerów sieciowych (Hacking Web Servers) 14: Hakowanie aplikacji internetowych (Hacking Web Applications) 15: Ataki przez zapytania w SQL (Injection SQL) 16: Hakowanie sieci bezprzewodowych (Hacking Wireless Networks) 17: Hakowanie mobilnych platform (Hacking Mobile Platforms) 18: Hakowanie Internetu Rzeczy (IoT Hacking) 19: Bezpieczeństwo chmury (Cloud Computing) 20: Kryptografia (Cryptography). 3.3. Szczegółowy opis przedmiotu zamówienia i wymagania do niego znajdują się w projekcie umowy (wraz z jej załącznikami) stanowiącym Załącznik nr 8 do SIWZ. 3.4. Dodatkowe wymagania Zamawiający wymaga, aby Wykonawca złożył wraz ofertą wypełniony: 3.4.1. Załącznik nr 9 do SIWZ – Ankieta dla podmiotu przetwarzającego dane (procesora). Ankieta będzie podlegała ocenie w ramach kryterium oceny ofert określonego w rozdziale 13 SIWZ. Ankieta stanowi treść oferty i nie podlega uzupełnianiu na podstawie art. 26 ust.3 ustawy Pzp. 3.5. Warunki płatności: szczegółowe warunki i sposób płatności zostały określone w projekcie umowy stanowiącym Załącznik nr 8 do SIWZ. Zamawiający nie przewiduje możliwości prowadzenia rozliczeń w walutach obcych. Wszelkie rozliczenia pomiędzy Wykonawcą a Zamawiającym będą dokonywane w złotych polskich (PLN). 3.11. Podwykonawstwo W przypadku powierzenia realizacji zamówienia Podwykonawcom, Wykonawca zobowiązany jest do wskazania w formularzu ofertowym (Załącznik nr 1 do SIWZ) tej części zamówienia, której realizację powierzy Podwykonawcy oraz, o ile jest to wiadome, podania wykazu proponowanych Podwykonawców. W przypadku braku takiego oświadczenia Zamawiający uzna, iż Wykonawca będzie realizował zamówienie bez udziału Podwykonawców. 3.12. Wymagania w zakresie zatrudnienia: 1. Zamawiający nie precyzuje wymagań, o których mowa w art. 29 ust. 3a ustawy Pzp. 2. Zamawiający nie precyzuje wymagań, o których mowa w art. 29 ust. 4 ustawy Pzp. - II.1.4. Wspólny Słownik Zamówień (CPV): 72810000-1
- II.1.5. Czy dopuszcza się złożenie oferty częściowej: nie
Sekcja III - Informacje o charakterze prawnym, ekonomicznym, finansowym i technicznym
- III.2. Warunki udziału
- Informacja o oświadczeniach i dokumentach, jakie mają dostarczyć wykonawcy w celu potwierdzenia spełniania warunków udziału w postępowaniu: 6.4. Wykonawca składa w terminie 3 dni od dnia zamieszczenia na stronie internetowej Zamawiającego informacji z otwarcia ofert, o której mowa w art. 86 ust 5 ustawy Pzp, w formie pisemnej oświadczenie o przynależności lub braku przynależności do tej samej grupy kapitałowej (wzór – Załącznik nr 4 do SIWZ). W przypadku przynależności do tej samej grupy kapitałowej, wraz ze złożeniem oświadczenia, Wykonawca może przedstawić dowody, że powiązania z innym Wykonawcą nie prowadzą do zakłócenia konkurencji w postępowaniu.
Sekcja IV - Procedura przetargowa
- IV.1. Tryb udzielenia zamówienia
- IV.1.1. Tryb udzielenia zamówienia: przetarg nieograniczony
- IV.2. Kryteria oceny ofert
- IV.2.2. Wykorzystana będzie aukcja elektroniczna: nie
- IV.3. Informacje administracyjne
- IV.3.5. Termin związania ofertą:
Zobacz następny przetargZobacz poprzedni przetargPobierz ofertę w pliku pdfPowrót na stronę główną