Grįžti į sąrašą

VP-3449 Elektroninio statinių techninės priežiūros žurnalo priežiūros paslaugos

Išanalizuota

Valstybės įmonė Turto bankas (PV)

80 000
Atviras konkursasCPV: 72261000 - Programinės įrangos palaikymo paslaugos
ID: 71586492026-03-31 05:10
Atidaryti CVP IS

Aprašymas

Perkamos Elektroninio statinių techninės priežiūros žurnalo (ETPŽ), sukurto ARKANCE Lithuania platformos pagrindu, priežiūros, palaikymo ir vystymo paslaugos. Pirkimo tikslas – užtikrinti nepertraukiamą ETPŽ veikimą. Paslaugos apims programinės įrangos licencijavimą, integracinių sąsajų priežiūrą, atnaujinimus, klaidų šalinimą, konsultacijas ir sistemos tobulinimą.

Kvalifikaciniai reikalavimai

  • 1Tiekėjas nekelia grėsmės nacionaliniam saugumui. Perkančioji organizacija, įrašyta į Saugiojo tinklo naudotojų sąrašą, įsigydama prekių ar paslaugų, kurių BVPŽ kodai nurodyti LR Viešųjų pirkimų įstatymo 92 straipsnio 13 dalyje numatytame sąraše, laiko, kad tiekėjas turi interesų, galinčių kelti grėsmę nacionaliniam saugumui, ir draudžia pirkime dalyvauti tiekėjams, jų subtiekėjams ar ūkio subjektams, kurių pajėgumais remiamasi, kurie patys ar juos kontroliuojantys asmenys yra registruoti (jeigu tiekėjas, jo subtiekėjas, ūkio subjektas, kurio pajėgumais remiamasi, ar kontroliuojantis asmuo yra fizinis asmuo – nuolat gyvenantis ar turintis pilietybę) šio įstatymo 92 straipsnio 14 dalyje numatytame sąraše nurodytose valstybėse ar teritorijose.
  • 2Tiekėjas per paskutinius 3 metus arba per laiką nuo įregistravimo dienos (jei veikla vykdoma trumpiau) yra tinkamai įvykdęs ar vykdantis bent 1 (vieną) arba kelias sutartis, susijusias su elektroninio techninės priežiūros žurnalo priežiūros, palaikymo ir vystymo paslaugas, kurių bendra vertė ne mažesnė kaip 40 000,00 Eur be PVM. Jei teikiama informacija apie vykdomą sutartį, laikoma, kad tiekėjo patirtis atitinka keliamą reikalavimą, jei vykdomos sutarties įvykdyta dalis per pastaruosius 3 metus arba per laiką nuo tiekėjo įregistravimo dienos (jeigu tiekėjas vykdė veiklą mažiau nei 3 metus) yra ne mažesnė kaip 40 000,00 Eur be PVM.
  • 3Tiekėjas turi būti siūlomos licencijuotos programinės įrangos gamintojas arba oficialus gamintojo partneris, turintis teisę diegti, prižiūrėti, palaikyti ar licencijuoti siūlomą programinę įrangą.
  • 4Tiekėjas turi turėti ar pasitelkti specialistus, kurie vykdys sutartį (projekto vadovas ir programuotojas turi būti skirtingi specialistai (tas pats asmuo abiejų pozicijų užimti negali)): Projekto vadovas - bent 1 (vienas) projekto vadovas, turintis ne mažesnę kaip 3 (trejų) metų projektų vadovo (ar valdymo) darbo patirtį informacinių sistemų palaikymo ir (ar) diegimo ir (ar) modifikavimo srityje ir turintis vadovavimo patirtį ne mažiau kaip 1 (vienai) sutarčiai (projektui) informacinių technologijų srityje. Programuotojas - bent 1 (vienas) specialistas, turintis ne mažesnę kaip 3 (trejų) metų darbo patirtį informacinių sistemų programavimo srityje ir dalyvavęs ne mažiau kaip 1 (vienoje) informacinių technologijų srityje įvykdytoje (baigtoje) sutartyje (projekte).

Techniniai reikalavimai

ETPŽ tobulinimo paslaugos

  • 1Planuojama įsigyti Sistemos tobulinimo paslaugas, kurios neturėtų viršyti 400 darbo valandų.
  • 2Vystymo darbai apima sistemos tobulinimo, naujų funkcijų kūrimo ir integravimo paslaugas, t. y. tokias veiklas, kaip analizė, projektavimas, programavimas, diegimas, dokumentacijos rengimas.

Asmens duomenų tvarkymo saugumas

  • 1Duomenų tvarkytojas duomenų valdytojo vardu asmens duomenų tvarkymo metu atlieka šiuos veiksmus: Elektroninio statinių techninės priežiūros žurnale susipažįsta su asmens duomenimis, tik tokia apimtimi kiek tai reikalinga Pagrindinėje sutartyje nurodytoms paslaugoms atlikti; keičia asmens duomenis, tik tokia apimtimi ir tokiomis sąlygomis kaip tai nustatyta Pagrindinėje sutartyje; duomenų tvarkytojui draudžiama kaupti, saugoti, kopijuoti, platinti ar kitaip tvarkyti Pagrindinės sutarties vykdymo metu sužinotus asmens duomenis.
  • 2Duomenų tvarkytojo pagalbinėse sistemose (pvz. užklausų valdymo sistema, el. pašto sistema ir kompiuterinės darbo vietos): leidžiama susipažinti ar kaupti asmens duomenis, kurie buvo perduoti duomenų tvarkytojui atskiru duomenų valdytojo pranešimu, siekiant tinkamai valdyti ir administruoti Pagrindinėje sutartyje nurodytas paslaugas.
  • 3Asmens duomenų tvarkymui nustatomas aukščiausias saugumo lygis.
  • 4Nustatyti ir dokumentuoti aiškūs asmens duomenų apsaugos principai.
  • 5Nustatyta ir dokumentuota prieigos prie asmens duomenų kontrolės ir valdymo politika.
  • 6Nustatytas reagavimo į asmens duomenų saugos incidentus planas.
  • 7Duomenų tvarkytojo darbuotojai įpareigoti saugoti duomenų valdytojo asmens duomenis.
  • 8Įdiegta ir įgyvendinta prieigų kontrolės sistema, leidžianti kontroliuoti prieigą prie informacinių sistemų kaupiančių duomenų valdytojų sistemų.
  • 9Kompiuterinių darbo vietų ir tarnybinių stočių duomenų kaupikliai, kuriuose kaupiami, saugomi ar kitaip tvarkomi duomenų valdytojo perduoti asmens duomenys, turi būti pilnai šifruojami.
  • 10Nuotoliniam prisijungimui prie Kompiuterinių darbo vietų ir informacinių sistemų infrastruktūros, naudojami tik duomenų valdytojo pateikti prisijungimo būdai.
  • 11Duomenų valdytojo atstovams nuotolinei prieigai prie duomenų tvarkytojo pagalbinių sistemų naudojami tik saugūs, šifruoti komunikaciniai kanalai (pvz., TLS1.2).
  • 12Esant galimybei prieigai prie duomenų tvarkytojo pagalbinių sistemų naudojami kelių faktorių autentifikavimas.
  • 13Saugoti ir neatskleisti duomenų valdytojo suteiktų prisijungimo duomenų.
  • 14Kompiuterinėse darbo vietose įdiegta ir nuolat naujinama antivirusinė programinė įranga, užtikrinanti kompiuterinių darbo vietų apsaugą nuo kenkėjiškos programinės įrangos.
  • 15Reguliariai diegiami kompiuterinių darbo vietų operacinių sistemų naujinimai.
  • 16Duomenų tvarkytojas neturi teisės atlikti asmens duomenų perdavimo į trečiąją valstybę ar tarptautinėms organizacijoms ir neturi teisės leisti nuotolinės prieigos prie duomenų valdytojo asmens duomenų iš trečiųjų valstybių ar tarptautinių organizacijų, išskyrus atvejus, jei dėl to šalys iš anksto raštu susitartų kitaip.
  • 17Pasibaigus Pagrindinei sutarčiai duomenų tvarkytojas privalo ne vėliau kaip per 30 kalendorinių dienų panaikinti arba kitaip sugadinti be galimybės atstatyti duomenų valdytojo pateiktus ar sužinotus asmens duomenis; asmens duomenys turi būti panaikinti iš pagalbinių informacinių sistemų, kompiuterinių darbo vietų bei jų atsarginių kopijų.

Klaidų valdymas ir reakcijos laikai

  • 1Turi būti parengtos prieinamos ir Perkančiajai organizacijai tinkamos informavimo apie ETPŽ klaidas ir netikslumus, jų registravimo ir taisymo veiksmų būseną priemonės (suderinti telefono numeriai, el. pašto adresai, Paslaugų teikėjo nutolusios prieigos aptarnavimo tarnybos informacinė sistema (Help Desk)).
  • 2Paslaugų teikėjas savo užfiksuotus ETPŽ eksploatavimo sutrikimus ir neatitikimus turi registruoti klaidų registravimo sistemoje.
  • 3Paslaugų teikėjas turi užtikrinti papildomą galimybę apie klaidas informuoti el. paštu. Tokiu atveju informaciją apie klaidą į klaidų registravimo sistemą įveda Paslaugų teikėjo atstovai.
  • 4Visos ETPŽ veikimo klaidos, trikdžiai, problemos (klaidos), klasifikuojamos į kritines ir nekritines. Kritinė klaida – kai naudotojas negali vykdyti numatytų būtinų funkcijų ir nežinomas joks kitas alternatyvus šios funkcijos vykdymas. Nekritinė klaida – kai kliudo vykdyti būtinas funkcijas, tačiau yra žinomas alternatyvus funkcijos vykdymas arba kai sukelia sunkumus naudojantis sistema, bet neturi įtakos ETPŽ funkcijų veikimui ir nedaro jokio kito poveikio ETPŽ.
  • 5Sprendimą, kokio tipo klaida yra nustatyta, priima Perkančiosios organizacijos paskirti atsakingi asmenys.
  • 6Paslaugų teikėjas privalo išanalizuoti klaidas, pateikti klaidų šalinimo aprašymą pagal šiuos grafikus (reakcijos laikus): kritinės klaidos atveju - ne vėliau kaip per 3 darbo valandas; nekritinės klaidos atveju - ne vėliau kaip per 16 darbo valandų.
  • 7Klaidų šalinimo terminai turi būti ne ilgesni kaip: kritinės klaidos atveju - ne vėliau kaip per 8 darbo valandas; nekritinės klaidos atveju – ne vėliau kaip per 24 darbo valandas (terminas pradedamas skaičiuoti nuo informavimo apie klaidą pateikimo diegėjui momento).
  • 8Esant rizikai, kad klaida negali būti pašalinta per nustatytus terminus, Paslaugų teikėjas turi apie tai nedelsiant informuoti Perkančiąją organizaciją ir talkinti pastarajai vykdant veiklos tęstinumo planą.
  • 9Informacija apie pašalintas ar pataisytas klaidas turi būti atnaujinama ir pateikiama ne rečiau kaip kartą per mėnesį. Ataskaitoje turi būti: per ataskaitinį laikotarpį užregistruotos klaidos ir/ar jų būsenos; per ataskaitinį laikotarpį atlikti pataisymai ir/ar pakeitimai.

Informacijos ir IT saugumo reikalavimai

  • 1Paslaugų teikėjo veiksmai, atliekami jungiantis ir prisijungus prie Turto banko IT, gali būti stebimi ir įrašomi, o įrašai saugomi neilgiau nei galioja sutartis su Paslaugų teikėju.
  • 2Paslaugų teikėjas privalo užtikrinti ir kontroliuoti, kad jo darbuotojų ir kitų pasitelktų šalių veiksmai, naudojama programinė ir aparatinė įranga nepažeis, neteisėtai nekeis ar kitaip nesutrikdys Turto banko IT veiklos, nebus nesankcionuotai atskleista konfidenciali ar komercinę (gamybos) paslaptį sudaranti informacija, asmens duomenys ar padaryta žala Turto bankui arba tretiesiems asmenims.
  • 3Paslaugų teikėjas privalo nedelsiant, bet ne vėliau kaip per 24 val. pranešti el. paštu infosauga@turtas.lt apie visus pastebėtus ar įtariamus informacijos saugos incidentus ir įvykius, bei Reikalavimų laikymosi pažeidimus (net jei jų faktas dar nėra patvirtintas).
  • 4Jeigu incidentas įvyko Paslaugų teikėjo infrastruktūroje, jis turi imtis priemonių incidento suvaldymui ar galimų pasekmių sumažinimui (pvz. nedelsiant pakeisti prarastus slaptažodžius ar kreiptis dėl jų pakeitimo ir pan.).
  • 5Turi būti naudojama gamintojų palaikoma aparatinė įranga, užtikrinant savalaikį naujausių aparatinės programinės įrangos saugos pataisų diegimą.
  • 6Turi būti įdiegta antivirusinė programinė įranga, užtikrinant, kad antivirusinės programinės įrangos naujinimai būtų diegiami ne rečiau kaip kartą per parą.
  • 7Turi būti nuolat diegiamos operacinės sistemos ir naudojamos programinės įrangos gamintojų išleistos kritinės ir svarbios saugos pataisos.
  • 8Naudotojo ir administratorių paskyros turi būti atskirtos, t.y. administratorių paskyros naudojamos tik konfigūravimo ir kitiems administratoriaus teisių reikalaujantiems veiksmams atlikti.
  • 9Turi būti aktyvuotas automatinis naudotojo paskyros užrakinimas, įsijungiantis ne vėliau kaip po 15 min. naudotojo neveiklumo.
  • 10Turi būti įjungta ir naudojama kompiuterinės darbo vietos ugniasienė.
  • 11Kompiuterinės darbo vietos vidinė atmintis turi būti užšifruota (pvz.: naudojant „Bitlocker“ arba lygiavertę programinę įrangą).
  • 12Naudojamos išorinės atminties laikmenos turi būti šifruojamos (pvz.: naudojant „Bitlocker“ arba lygiavertę programinę įrangą).
  • 13Paslaugų teikėjas turi imtis deramų priemonių užtikrinant, kad Turto banko IT aptarnavimui naudojama programinė įranga yra saugi ir tinkamai licencijuota. Draudžiama naudoti nelegalią, nelicencijuotą programinę įrangą.
  • 14Turto bankas turi teisę, be išankstinio perspėjimo, blokuoti Paslaugų teikėjo turimą prieigą prie Turto banko IT ar naudojamus įrenginius, jei nustatyta, kad Paslaugų teikėjo veiksmai ar naudojami įrenginiai kelia grėsmę Turto banko informacijai, neatitinka Reikalavimų nuostatų arba Paslaugų teikėjo darbuotojų ar jo pasitelktų tiekėjų arba subtiekėjų darbuotojų elgesys Turto banko IT infrastruktūroje kelia įtarimų arba gali sukelti grėsmes Turto banko informacijai arba IT.
  • 15Prieš suteikiant prieigą prie Turto banko IT, Turto bankas turi teisę patikrinti Paslaugų teikėjo darbo priemonių, su kuriomis ketinama jungtis prie Turto banko IT, atitiktį Reikalavimų nuostatoms.
  • 16Kiekvienam Paslaugų teikėjo arba jo subtiekėjo darbuotojui, jei neriboja techninės galimybės, suteikiamas unikalus, asmeninis prisijungimo prie Turto banko IT vardas.
  • 17Paslaugų teikėjas privalo įpareigoti savo darbuotojus saugoti jiems suteiktus prisijungimo duomenis, neperduoti jiems suteiktų prieigos teisių kitiems asmenims, įskaitant ir kitą Paslaugų teikėjo personalą. Paslaugų teikėjo arba jo subtiekėjo darbuotojai negali naudotis kitiems asmenims išduotais prisijungimo duomenimis.
  • 18Paslaugų teikėjas, kurdamas slaptažodžius (net ir laikinus), privalo laikytis šių reikalavimų: slaptažodžius draudžiama sudarinėti naudojant lengvai nuspėjamas sekas (pvz. qwerty, ABC123 ir pan.) ar naudoti asmeninio pobūdžio informaciją (pvz. gimimo data, šeimos narių vardai ir pan.); slaptažodžius turi sudaryti ne mažiau kaip 12 simbolių, kurių sudarymui turi būti panaudotos didžiosios ir mažosios raidės, skaičiai bei specialieji simboliai; slaptažodžiai turi būti keičiami ne rečiau kaip kartą per tris mėnesius. Keičiant slaptažodį, turi būti užtikrinta, kad naujo slaptažodžio negalima nuspėti, žinant prieš tai buvusį slaptažodį.
  • 19Prisijungimo slaptažodžiai gali būti saugomi ar esant būtinybei, perduodami tik šifruotu pavidalu, naudojant specialią slaptažodžių saugojimui skirtą programinę įrangą (pvz.: KeePass arba lygiavertę). Draudžiama saugoti ar perduoti prisijungimo slaptažodžius nešifruotus, užrašytus atviru tekstu.
  • 20Draudžiama prieigai prie Turto banko IT naudojamus slaptažodžius naudoti kitur.
  • 21Kai dėl techninių ar organizacinių ribojimų būtina taikyti slaptažodžių sudėtingumo išimtis, turi būti gautas Turto banko darbuotojo, atsakingo už kibernetinę saugą, patvirtinimas ir įgyvendintos pateiktos papildomos priemonės skirtos sumažinti informacijos saugos rizikas, kylančias dėl išimties.
  • 22Nuotolinei prieigai prie Turto banko IT galima naudoti tik Turto banko suteiktus prisijungimo metodus ir priemones. Savavališka nuotolinė prieiga prie Turto banko IT griežtai draudžiama. Nuotolinė prieiga suteikiama griežtai tik tais atvejais, kai tai yra būtina tiesioginių pareigų atlikimui arba tai yra numatyta paslaugų teikimo sutartyje.
  • 23Nuotolinis prisijungimas prie Turto banko IT per viešuosius tinklus (internetą), realizuojamas tik naudojant Turto banko VPN arba taikant kelių faktorių autentifikacijos principą, papildomai patvirtinant besijungiančiojo asmens tapatybę naudojant mobiliojo ryšio telefono numerį ar kitą kelių faktorių autentifikavimo priemonę.
  • 24Nesankcionuotas Turto banko VPN prisijungimas ar jo panaudojimas ne atitinkamoje sutartyje numatytais tikslais griežtai draudžiamas.
  • 25VPN naudotojai atsako už tai, kad tretieji asmenys VPN prisijungimo sesijos metu neprieitų prie Turto banko IT.
  • 26Nuotolinė prieiga suteikiama Paslaugų teikėjui arba jo subtiekėjui tik: pateikus nuotolinės prieigos gavėjo pasirašytą konfidencialumo pasižadėjimą; pateikus Paslaugų teikėjo įgalioto asmens užpildytą nuotolinės prieigos prie Turto banko išteklių užsakymo formą; nuotolinės prieigos užsakymą patvirtinus Turto banko darbuotojui, atsakingam už kibernetinį saugumą, ir suteikus prisijungimo duomenis; ne ilgesniam nei paslaugoms suteikti reikalinga terminui, bet ne ilgiau nei 1 metai, kuriam praėjus, procedūra kartojama.

Paslaugų teikimo bendrieji reikalavimai

  • 1Paslaugos turi būti teikiamos 24 mėn. nuo sutarties pasirašymo datos.
  • 2Priežiūros paslaugos turi būti teikiamos lietuvių kalba.

ETPŽ priežiūros ir palaikymo paslaugos

  • 1Sistemos (ETPŽ) programinės įrangos licencijos suteikimas, užtikrinant neribotą programinės įrangos naudojimą.
  • 2Integracinės sąsajos priežiūra su Perkančiosios organizacijos Nekilnojamo turto valdymo sistema tiek iš jos, tiek ir iš ETPŽ pusės.
  • 3Kvalifikuoto elektroninio parašo sistemos integracijos priežiūra iš ETPŽ pusės.
  • 4ETPŽ naudojamos sisteminės ir taikomosios programinės įrangos, įskaitant bet neapsiribojant programinės įrangos bibliotekas, įskiepius ir kitus komponentus, periodinis atnaujinimas.
  • 5ETPŽ programinės įrangos veikimo stebėsena.
  • 6ETPŽ programinės įrangos klaidų ir netikslumų registravimas.
  • 7ETPŽ programinės įrangos klaidų ar netikslumų taisymas ir atliktų pataisymų testavimas.
  • 8ETPŽ sisteminės ir taikomosios programinės įrangos nustatymų keitimas ir jos veikimo optimizavimas pagal apkrovos rodiklius.
  • 9ETPŽ audito žurnalų analizė siekiant aptikti galimas ETPŽ veikimo ir saugos problemas.
  • 10Išgadintų (sugadintų) duomenų atstatymas, kai gedimo priežastis yra Diegėjo pateiktos programinės įrangos netinkamas veikimas.
  • 11Programinės įrangos naujumo garantijos ir techninio aptarnavimo (vadovaujantis programinės įrangos gamintojo nustatytomis techninės priežiūros taisyklėmis) vykdymo metu Paslaugų teikėjas turi teikti pagalbą šalinant licencijuotos ir Paslaugų teikėjo prižiūrimos standartinės programinės įrangos bei naudojamos platformos problemas, apie kurias praneša Pirkėjo darbuotojai.
  • 12ETPŽ naudotojų ir administratorių instrukcijų ir interaktyvios naudotojų pagalbos (kontekstinės pagalbos) tikslinimas pagal atliktus ETPŽ programinės įrangos pakeitimus.
  • 13Konsultacijos telefonu ir elektroniniu paštu su programinės įrangos naudojimu, sutrikimais, modifikavimu susijusiais klausimais, teikiamos darbo laiku nuo 8.00 iki 17.00. Numatomas ETPŽ naudotojų, kuriems bus teikiamos konsultacijos skaičius – 2 žmonės.

Dokumentai16

  • 4.4 Sut priedas Asmens duomenų tvarkymo sutartis.docx
  • 4.5 Sut. priedas Minimalūs informacijos saugos reikalavimai.pdf
  • 5 priedas Veiklos partnerio pažinimo anketa.docx
  • 0 Atviro konkurso sąlygos.docx
  • 1 priedas Techninė specifikacija.docx
  • 2 priedas Pasiūlymo forma.docx
  • espd-request.xml
  • README.txt
  • 7158649_Contract notice - general directive, standard regime_0.pdf
  • 1275_7158649.pdf
  • 4.3 Sut. priedas Bendrosios tipinės paslaugų sutarties sąlygos.docx
  • 6 priedas Tiekėjo deklaracija dėl atitikimo nacionalinio saugumo reikalavimams.docx
  • 7 priedas Tiekėjo patirties or specialistų kvalifikacijos informacija.docx
  • espd-request.pdf
  • 4 priedas Sutarties projektas.docx
  • 2_c4t_7158649_1.xml
tendis.lt · Sukurta recodin.lt