Grįžti į sąrašą

(VPP-211) BONUS IS - Licencinio, techninio palaikymo ir vystymo paslaugos

Išanalizuota

AB "Amber Grid"

Skelbiamos derybos pagal PĮCPV: 72261000 - Programinės įrangos palaikymo paslaugos
ID: 72207282026-04-03 10:57
Atidaryti CVP IS

Aprašymas

Perkamos AB "Amber Grid" naudojamos Personalo valdymo informacinės sistemos (BONUS IS) licencinio, techninio palaikymo ir vystymo paslaugos. Šios paslaugos apima programinės įrangos licencijų administravimą, klaidų ir saugumo pažeidžiamumų valdymą, naujo funkcionalumo kūrimą, esamo tobulinimą bei išplėstines paslaugas, tokias kaip darbuotojų mokymai, procesų analizė ir IT infrastruktūros konsultacijos.

Kvalifikaciniai reikalavimai

  • 1Tiekėjas turi būti programinės įrangos (BONUS) gamintojas arba gamintojo įgaliotas atstovas turintis teisę atlikti siūlomos programinės įrangos vystymą, bei turėti galimybę kreiptis į gamintojo IT pagalbos centrą.
  • 2Sutarties vykdymo laikotarpiu tiekėjo arba jo pasitelkto subtiekėjo, arba ūkio subjekto, kurio pajėgumais remiamasi, darbuotojui (-ams), tiesiogiai vykdantiems pirkimo sutartį, taikomos bent viena iš šių šeimos ir darbo įsipareigojimų derinimo priemonių: lankstus darbo grafikas, individualus darbo laiko režimas, suskaidytos darbo dienos laiko režimas, nuotolinis darbas, sutrumpinta 32 (trisdešimt dviejų) valandų per savaitę darbo laiko norma, galimybė, esant poreikiui, atsivesti vaiką (įvaikį, globotinį, rūpintinį) į darbovietę ar suteikiama kompensacija už vaiko (įvaikio, globotinio, rūpintinio) priežiūros paslaugas, bent viena papildoma laisva diena per metus, suteikiama kompensacija atlygiui, kurį darbuotojas moka ateinančiam slaugytojui ar individualios priežiūros darbuotojui už šeimos narių ar kartu gyvenančių asmenų, kuriems nustatyta nuolatinė slauga ar priežiūra, slaugą / priežiūrą tuo metu, kuomet jis/ji dirba.
  • 3Sutarties vykdymo laikotarpiu tiekėjas arba subtiekėjas, arba ūkio subjektas, kurio pajėgumais remiamasi, savo darbuotojui (-ams), tiesiogiai vykdantiems pirkimo sutartį, taiko bent vieną priemonę, skirtą psichologinio smurto prevencijai užtikrinti ir aktyvių veiksmų pagalbai asmenims, patyrusiems psichologinį smurtą, suteikti: tiekėjas tiesiogiai pirkimo sutartį vykdančius darbuotojus draudžia papildomu sveikatos draudimu, kuris apima ir individualių konsultacijų su psichiatru bei psichoterapeutu paslaugas; tiekėjas yra sudaręs sutartį su psichologines paslaugas teikiančia įmone, kuri teikia konsultacijas darbuotojams, tiesiogiai vykdantiems pirkimo sutartį.
  • 4Tiekėjas privalo užtikrinti, kad Tiekėjas/ Tiekėjų grupės nariai ir jo pasitelkiami Subtiekėjai bei Ūkio subjektai, kurių pajėgumais remiamasi, būtų susipažinę su 2025 m. rugpjūčio 1 d. EPSO-G valdybos patvirtintu EPSO-G įmonių grupės partnerių etikos kodeksu ir 2023 m. birželio 29 d. EPSO-G valdybos patvirtinta EPSO-G įmonių grupės antikorupcinės veiklos politika prieš pradėdami vykdyti Sutartį.

Techniniai reikalavimai

Vystymo paslaugos

  • 1Vystymo paslaugos apima IT sistemos modifikavimą, naujo funkcionalumo kūrimą, esamo funkcionalumo keitimą ar tobulinimą, taip pat papildomų funkcijų, modulių, veiksmų, ataskaitų sukūrimą, poreikio projektavimą, prototipo kūrimą, instrukcijų paruošimą.
  • 2Intelektinės nuosavybės teisės į Vystymo paslaugų metu sukurtą programinį kodą, techninę dokumentaciją ir kitus autorinius darbus, po visiško atsiskaitymo už suteiktas paslaugas, išimtinai priklauso Užsakovui, kai Sistema yra Užsakovo nuosavybė.
  • 3Intelektinės nuosavybės išimtinai priklauso Paslaugų teikėjui, kai Sistema yra Tiekėjo komercinis produktas ir sukurtas programinis kodas yra neatsiejama ir integruota pagrindinės Sistemos dalis. Tiekėjas suteikia Užsakovui neišimtinę, neterminuotą, neatšaukiamą ir nemokamą licenciją naudoti šiuos sukurtus pakeitimus ir papildymus savo vidinėje veikloje.
  • 4Jei Vystymo paslaugų metu sukuriamas atskiras, savarankiškas sprendimas, kuris nėra integruota Sistemos dalis, intelektinės nuosavybės teisės lieka Paslaugų teikėjo nuosavybe. Tiekėjas suteikia Užsakovui neišimtinę, neterminuotą, neatšaukiamą ir mokamą licenciją naudoti šiuos sukurtus pakeitimus ir papildymus savo vidinėje veikloje.
  • 5Užsakovas pateikia Tiekėjui užpildytą Vystymo paslaugų užsakymo formą per Tiekėjo pagalbos sistemą, kuri turi leisti Užsakovui sekti užsakymų vykdymo eigą ir generuoti ataskaitas.
  • 6Tiekėjas atlieka pirminį poreikio vertinimą (įskaičiuotą į Techninio palaikymo paslaugos kainą), kurio metu pateikiamas siūlomo sprendimo aprašymas, preliminarus detalios analizės etapui reikalingų valandų skaičius, preliminari bendra planuojamų darbų apimtis valandomis ir preliminarus darbų atlikimo terminas.
  • 7Gavęs Užsakovo patvirtinimą tęsti darbus, Tiekėjas per 15 darbo dienų atlieka detalią Užsakymo analizę ir pateikia Vystymo darbų įvertinimą, kuriame nurodoma detalus siūlomo sprendimo aprašymas, analizės etapui panaudotų valandų skaičius, bendra planuojama darbų apimtis, bendra paslaugų kaina, darbų atlikimo terminas, galimos rizikos ir priklausomybės (su rizikos rezervu).
  • 8Tiekėjas pradeda teikti vystymo paslaugas tik po to, kai abiejų Šalių įgaliotų asmenų pasirašomas Paslaugų užsakymo aktas, kuriuo patvirtinamas susitarimas dėl darbų turinio, apimties, terminų ir maksimalios planuojamos projekto kainos.
  • 9Užsakovas apmoka už faktiškai suteiktas paslaugas, tačiau faktinė darbų kaina negali viršyti Paslaugų užsakymo akte nurodytos kainos daugiau nei 10%, nebent didesnis viršijimas buvo iš anksto raštu suderintas.
  • 10Vykdymo etapai apima analizės, projektavimo, kūrimo ir testavimo etapus. Rastos klaidos taisomos Tiekėjo sąnaudomis.
  • 11Pateikimas testavimui (UAT): atsakinga šalis įdiegia pakeitimus į Užsakovo testavimo aplinką (UAT) ir informuoja Užsakovo atstovą apie pasirengimą testavimui.
  • 12Užsakovas per 5 (penkias) darbo dienas atlieka testavimą ir pateikia patvirtinimą arba detalų rastų klaidų ar neatitikimų sąrašą. Tiekėjas privalo ištaisyti klaidas per 5 (penkias) darbo dienas, jeigu nesutariama kitaip, ir pakartotinai pateikti funkcionalumą testavimui.
  • 13Užsakovas įdiegia pakeitimus į darbinę (Production) aplinką tik patvirtinus, kad sprendimas testinėje aplinkoje yra ištestuotas ir priimtinas.
  • 14Tiekėjas privalo atnaujinti ir pateikti Užsakovui techninę dokumentaciją (techninę specifikaciją, diegimo instrukcijas, sistemos priežiūros dokumentaciją (priežiūros vadovą), vartotojo dokumentaciją (vartotojo vadovą, mokomąją medžiagą)).
  • 15Tiekėjas privalo pateikti programinį kodą, kai Sistemos savininkas yra Užsakovas.

Saugumo reikalavimai

  • 1Tiekėjas apie jo paties identifikuotą ar ne iš Užsakovo sužinotą Sistemos saugumo pažeidžiamumą informaciją Užsakovui teikia po saugumo pažeidžiamumo pašalinimo arba kartu su pašalinimo priemonėmis. Pažeidžiamumai šalinami per protingą terminą.
  • 2Saugumo pažeidžiamumų šalinimo terminai nustatomi pagal jų kritiškumo lygį, vertinamą pagal CVSS v4.0 (ar naujesnę versiją), vadovaujantis nvd.nist.gov arba cve.org šaltiniais.
  • 3Tiekėjas, sužinojęs apie didelį kibernetinio saugumo incidentą, privalo nedelsdamas (bet ne vėliau kaip per 24 val.) pateikti Užsakovui ankstyvą įspėjimą ir nedelsdamas (bet ne vėliau kaip per 60 val.) pranešimą su pradiniu incidento vertinimu ir įsilaužimo įrodymais (jei tokių yra). Ne vėliau kaip per 3 savaites nuo ankstyvo perspėjimo dienos Tiekėjas pateikia išsamią ataskaitą.
  • 4Tiekėjas, sužinojęs apie kitokį kibernetinio saugumo incidentą, privalo nedelsdamas (bet ne vėliau kaip per 72 val.) pateikti Užsakovui pranešimą su pradiniu vertinimu ir įsilaužimo įrodymais (jei tokių yra), ir ne vėliau kaip per 3 savaites pateikti galutinę ataskaitą.
  • 5Pranešimai teikiami už sutarties vykdymą atsakingiems Užsakovo darbuotojams arba el. paštu cyber@ambergrid.lt. Informacija turi būti autentiška ir, jei prašoma, užšifruota.
  • 6Tiekėjas pareiškia ir garantuoja, kad nei jis, nei jo pasitelkiami subrangovai nėra kilę iš valstybių, kurios kelia grėsmę LR nacionaliniam saugumui. Griežtai draudžiama naudoti Elementus, kurių gamintojai, tiekėjai, paslaugų teikėjai ar galutiniai naudos gavėjai yra registruoti, valdomi ar kontroliuojami šalyse, įtrauktose į nepatikimų sąrašus (pvz., Rusijos Federacija, Baltarusijos Respublika, Kinijos Liaudies Respublika).
  • 7Tiekėjas įsipareigoja aktyviai stebėti šių įsipareigojimų vykdymą viso Sutarties galiojimo metu. Užsakovui pareikalavus, Tiekėjas privalo pateikti raštišką patvirtinimą dėl atitikties ir informaciją (pvz., SBOM) apie Sistemos komponentų kilmę ir gamintojus.
  • 8Tiekėjas įsipareigoja laikytis gerųjų programinės įrangos kūrimo saugumo praktikų (angl. Secure Coding) ir užtikrinti, kad sukurtas produktas atitiktų galiojančius teisės aktus, įskaitant LR asmens duomenų teisinės apsaugos įstatymą.
  • 9Kuriant ar modifikuojant sprendimus, Tiekėjas privalo vadovautis šiomis pripažintomis metodikomis ir standartais: OWASP Top 10, OWASP Secure Coding Practices, CWE/SANS Top 25, Bendrosios CIS Controls rekomendacijos.
  • 10Tiekėjas privalo naudoti tik naujausias, gamintojo palaikomas programinės įrangos ir jos komponentų versijas. Jei gamintojas teikia ilgalaikio palaikymo (LTS) versijas, vystymas privalo būti atliekamas jų pagrindu.
  • 11Tiekėjas privalo užtikrinti, kad paslaugų teikimui būtų naudojama tik leistina ir licencijuota aparatinė ir programinė įranga, turinti galiojančias licencijas, atitinkančias naudojimo paskirtį ir apimtį, ir suderinta su Užsakovu.
  • 12Užsakovui pareikalavus, Tiekėjas privalo pateikti raštišką deklaraciją, patvirtinančią atitiktį saugaus vystymo reikalavimams.
  • 13Prieigą prie Užsakovo informacijos gali turėti tik iš anksto su Užsakovu suderintas ir patvirtintas Tiekėjo personalo sąrašas. Apie komandos narių pasikeitimus privaloma informuoti.
  • 14Tiekėjas užtikrina saugią fizinę ir skaitmeninę darbo aplinką, įskaitant „švaraus stalo“ politiką ir galiojančią, patikimo gamintojo antivirusinę sistemą darbuotojų įrenginiuose.
  • 15Apie bet kokius įtariamus ar įvykusius duomenų saugumo incidentus Tiekėjas privalo nedelsdamas informuoti Užsakovą ir imtis protingų priemonių situacijai suvaldyti.
  • 16Tiekėjo darbuotojams suteikiamos tik minimalios prieigos teisės, būtinos jų funkcijoms atlikti.
  • 17Kiekvienam darbuotojui sukuriama unikali, vardinė prieigos paskyra, galiojanti tik sutarties vykdymo laikotarpiu. Draudžiamos bendros („shared“) ir svečio („guest“) paskyros.
  • 18Visi standartiniai (gamintojo) slaptažodžiai prieš eksploatavimą pakeičiami. Slaptažodžiai negali būti saugomi ar perduodami atviru tekstu. Laikini slaptažodžiai privalo būti perduodami tik saugiais, šifruotais kanalais, pageidautina atskirai nuo naudotojo tapatybės.
  • 19Visi sistemoje saugomi slaptažodžiai turi būti sūdomi ir maišomi (angl. salted and hashed), naudojant vieną iš šių stiprių, standartus atitinkančių algoritmų: Argon2 arba PBKDF2.
  • 20Administratoriaus funkcijos atliekamos atskiru admin vardu, nenaudojamu kasdieniam darbui.
  • 21Prisijungimo ekrane nematomas paskutinio naudotojo vardas.
  • 22Tiekėjas įsipareigoja nenaudoti, nekopijuoti ir nesaugoti daugiau Užsakovo informacijos, nei yra būtina sutarties tikslams pasiekti.
  • 23Visa Užsakovo informacija, laikinai saugoma Tiekėjo įrenginiuose, privalo būti užšifruota (pvz., BitLocker, FileVault).
  • 24Visi duomenys, perduodami tinklais, privalo būti šifruojami naudojant saugius protokolus (pvz., TLS 1.3, SFTP, VPN).
  • 25Griežtai draudžiama Užsakovo informaciją tvarkyti naudojant asmenines el. pašto dėžutes, nepatvirtintas debesijos paslaugas ar asmenines laikmenas.
  • 26Tiekėjas įsipareigoja užtikrinti, kad visi Užsakovo duomenys bus saugomi ir tvarkomi tik Europos Sąjungos (ES) / Europos Ekonominės Erdvės (EEE) valstybių narių teritorijoje arba šalyse, kurioms Europos Komisija yra priėmusi sprendimą dėl tinkamo duomenų apsaugos lygio. Bet koks duomenų perdavimas už šių jurisdikcijų ribų yra galimas tik gavus išankstinį raštišką Užsakovo sutikimą.
  • 27Užsakovas užtikrina, kad, pasibaigus sutarčiai, visos Tiekėjo personalui suteiktos prieigos prie Užsakovo sistemų ir duomenų yra visam laikui panaikinamos ne vėliau kaip per 24 valandas.
  • 28Visa Užsakovo informacija saugiai perduodama Užsakovui sutartu formatu.
  • 29Užsakovui pareikalavus, Tiekėjas privalo pateikti raštišką patvirtinimą (sunaikinimo aktą), kad visa Užsakovo informacija buvo sunaikinta. Fiziniai dokumentai sunaikinami naudojant dokumentų naikiklį, atitinkantį P-4 saugumo lygį pagal ISO 21964 / DIN 66399 standartą.
  • 30Užsakovas pasilieka teisę, iš anksto įspėjęs per protingą terminą, atlikti Tiekėjo taikomų saugumo priemonių auditą. Tiekėjas įsipareigoja bendradarbiauti su Užsakovu ir (arba) jo pasitelktais atstovais audito atlikimo metu.

Išplėstinės paslaugos

  • 1Išplėstinės paslaugos apmokamos pagal faktiškai suteiktą valandų kiekį, taikant Sutartyje nustatytą valandinį įkainį.
  • 2Paslaugų apimtis apima: naujų darbuotojų apmokymą dirbti su Sistema arba esamų darbuotojų kvalifikacijos kėlimą, paruošiant mokomąją medžiagą; Užsakovo poreikio analizę Sistemos vystymui ir (arba) kitoms paslaugoms suteikti; konsultacines paslaugas dėl IT infrastruktūros priežiūros, naudojamų serverių, SQL ir kitų infrastruktūros sprendimų; Užsakovo naudojamų parametrų konfigūravimą dėl LR įstatymų pasikeitimo (be programavimo); Sistemos diegimo paslaugas ir konfigūravimą, susijusį su Užsakovo turima Sistema (be vystymo paslaugos); Sistemos testavimo paslaugas; greitaveikos testavimą ir optimizavimo paslaugas; projekto valdymą; paslaugas, susijusias su BDAR ar kitų asmens duomenų saugumą reglamentuojančių teisės aktų taikymu; infrastruktūros saugumo auditą dėl BDAR taikymo.
  • 3Užsakovas registruoja poreikį Tiekėjo pagalbos sistemoje. Tiekėjas įvertina užklausą ir pateikia preliminarų valandų įvertį.
  • 4Paslaugos apmokamos pagal faktiškai sugaištą laiką (fiksuojant 15 minučių tikslumu), tačiau faktinis laikas negali viršyti preliminaraus įverčio daugiau nei 10%, nebent didesnis viršijimas buvo iš anksto raštu suderintas.

Dokumentacijos reikalavimai

  • 1Perdavimo–priėmimo aktai teikiami užbaigus Vystymo paslaugų užsakymą arba pasibaigus ataskaitiniam laikotarpiui.
  • 2Naudojimosi instrukcijos Vystymo paslaugoms turi būti parengtos sukūrus naują ar pakeitus esamą funkcionalumą, nebent būtų sutarta kitaip. Instrukcijos turi būti pakankamo detalumo, kad apmokytas vartotojas galėtų savarankiškai naudotis funkcionalumu.
  • 3Mėnesinė techninio palaikymo ataskaita teikiama pagal nustatytą tvarką.
  • 4Kreipinių sprendimo ataskaita: išsprendus kiekvieną užregistruotą klaidą (incidentą) ar problemą, Tiekėjas pagalbos sistemoje arba el. paštu kas mėnesį pateikia informaciją apie sprendimą, nurodydamas faktinį sprendimo laiką ir jį palygindamas su nustatytais terminais, vėlavimo atveju – nurodyti vėlavimo priežastį.
  • 5Licencinio palaikymo informacija pateikiama pagal Užsakovo poreikį ir privaloma tvarka, be atskiro Užsakovo prašymo, ne vėliau kaip prieš 90 (devyniasdešimt) kalendorinių dienų iki Sistemos licencijos palaikymo galiojimo pabaigos, Tiekėjas pateikia informaciją apie turimų licencijų būklę, galiojimo terminus ir informuoja apie būtinus atnaujinimus ar gamintojo pakeitimus.
  • 6Visi Tiekėjo rengiami ir teikiami dokumentai (techniniai aprašymai, vartotojo instrukcijos ir kt.) privalo atitikti šiuos reikalavimus: parengti taisyklinga lietuvių kalba, elektroniniu formatu (pvz., PDF, MS Word); turi būti išlaikyta vienoda dokumentų struktūra ir stilius; visos specifinės sąvokos, santrumpos ir žymėjimai turi būti paaiškinti dokumento pradžioje esančiame 'Terminų žodynėlyje'; dokumentacijoje naudojamos sąvokos turi turėti tą pačią prasmę visame dokumente ir susijusiuose dokumentuose; dokumentacija turi būti rengiama vadovaujantis galiojančiais LR teisės aktais, reglamentuojančiais valstybės informacinių sistemų kūrimą ir dokumentavimą; kiekvienas dokumentas privalo turėti unikalų versijos numerį ir versijų istorijos lentelę.
  • 7Tiekėjas yra atsakingas už pateikiamos informacijos teisingumą, išsamumą ir reguliarų atnaujinimą pasikeitus IT sistemai.

Techninio palaikymo paslaugos

  • 1Techninio palaikymo paslaugos teikiamos už fiksuotą mėnesinį mokestį ir apima Sistemos klaidų ir saugumo pažeidžiamumų šalinimą bei reagavimą nustatytais terminais.
  • 2Į techninio palaikymo mokestį neribojant valandų skaičiaus įeina: konsultavimas Sistemos naudojimo klausimais nuotoliniu būdu ir telefonu; konsultavimas dėl identifikuotų incidentų ir klaidų sprendimo; Sistemos naujinimas (instaliavimas testinėje aplinkoje); duomenų tikrinimas, tvarkymas; pirminė/preliminari analizė; pasiūlymo rengimas; garantinis aptarnavimas.
  • 3Paslaugos teikiamos Užsakovo darbo valandomis.
  • 4Visi Tiekėjo veiksmai turi būti vykdomi pagal iš anksto su Užsakovu suderintas ir patvirtintas saugumo bei procesų valdymo procedūras.
  • 5Tiekėjui gali būti suteikta saugi nuotolinė prieiga (pvz., VPN) prie Sistemos testavimo aplinkos terminuotam darbų vykdymui. Prieiga prie gamybinės aplinkos suteikiama tik išimtiniais atvejais, incidentų analizės ir šalinimo tikslais, konkrečiam laikotarpiui.
  • 6Tiekėjas gali, bet nėra įpareigojamas užtikrinti nuolatinę prižiūrimos Sistemos esminių komponentų ir SSL/TLS sertifikatų stebėseną per Užsakovo pateiktą Zabbix monitoringo sistemą. Stebimi parametrai apima aplikacijos ir duomenų bazės paslaugų veikimą, serverio resursų (CPU, RAM, disko vietos) panaudojimą, svarbiausių aplikacijos procesų būseną, Sistemoje naudojamų SSL/TLS sertifikatų galiojimo laiką.
  • 7Jei standartiniai Zabbix stebėjimo šablonai netinka, Tiekėjas gali paruošti ir įdiegti specifinius stebėjimo šablonus, suderinus su Užsakovu.
  • 8Užsakovo Zabbix stebėjimo sistema gali būti sukonfigūruota siųsti automatinius pranešimus (alertus) apie sutrikimus Tiekėjo nurodytais kanalais.
  • 9Techninio palaikymo paslaugos apima Sistemos veikimo klaidų ir saugumo pažeidžiamumų valdymą ir šalinimą, problemų valdymą (pasikartojančių klaidų priežasties analizę ir ilgalaikių sprendimų paiešką) bei nuolatinį techninės ir vartotojo konfigūracijų dokumentacijos atnaujinimą.
  • 10Visi Užsakovo kreipiniai (klaidos, paslaugų ar pakeitimų užklausos) turi būti registruojami Tiekėjo pagalbos sistemoje. Ši sistema privalo leisti registruoti kreipinius per WEB sąsają (HTTPS) bei užtikrinti Užsakovui galimybę matyti kreipinio statusą realiu laiku.
  • 11Gavęs kreipinį, Tiekėjas jį išanalizuoja ir, jei reikalinga, perklasifikuoja kaip klaidą arba vystymo paslaugą.
  • 12Tiekėjas pradeda klaidos sprendimo darbus nedelsiant po analizės, nelaukdamas atskiro Užsakovo patvirtinimo, ir aktyviai informuoja Užsakovą apie sprendimo eigą ir statuso pasikeitimus.
  • 13Pašalinęs klaidą, Tiekėjas informuoja Užsakovą apie atliktą sprendimą ir pateikia jį patvirtinimui. Užsakovas per 3 (tris) darbo dienas patikrina, ar klaida yra išspręsta.
  • 14Problemos tyrimas inicijuojamas, kai Tiekėjas nustato pasikartojančias klaidas arba kai klaida reikalauja gilesnės analizės. Tiekėjas atlieka šakninės priežasties analizę (RCA) ir, jei įmanoma, identifikuoja laikinąjį sprendimą.
  • 15Nustačius šakninę priežastį ir radus laikiną sprendimą, Problemos įrašas tampa Žinomos Klaidos įrašu. Tiekėjas privalo palaikyti Žinomų klaidų registrą (KEDB).
  • 16Bet koks modifikuotas ar atnaujintas IT sistemos kodas ar konfigūracija pirmiausia turi būti pilnai ištestuotas Tiekėjo vidinėje aplinkoje.
  • 17Po sėkmingo vidinio testavimo, pakeitimai įdiegiami į Užsakovo testavimo aplinką (UAT) ir Užsakovo atstovas informuojamas apie pasirengimą testavimui.
  • 18Užsakovui patvirtinus, kad pakeitimai veikia tinkamai, atsakinga šalis suderinus tinkamą laiką, pakeitimus įdiegia į darbinę aplinką (angl. Production).
  • 19Reakcijos laikas kritinei klaidai ir kritiniam saugumo pažeidžiamumui: 2 darbo valandos. Sprendimo laikas: 4 darbo valandos.
  • 20Reakcijos laikas nekritinei klaidai ir nekritiniam saugumo pažeidžiamumui: 2 darbo valandos. Sprendimo laikas: 12 darbo valandų.
  • 21Reakcijos laikas smulkiai klaidai ir smulkiam saugumo pažeidžiamumui: 8 darbo valandos. Sprendimo laikas: 30 darbo dienų.
  • 22Reakcijos laikas konsultavimui telefonu ir nuotoliniu būdu: 6 darbo valandos. Sprendimo laikas: 24 darbo valandos.
  • 23Avarinio atkūrimo laiko tikslas (RTO) ≤ 4 valandos. Atkūrimo taško tikslas (RPO) ≤ 24 valandos.
  • 24Tiekėjas kiekvieną mėnesį, ne vėliau kaip iki 5 (penktos) darbo dienos, kartu su sąskaita faktūra pateikia Užsakovui praėjusio mėnesio techninio palaikymo paslaugų ataskaitą.
  • 25Ataskaitą sudaro detalus kreipinių sąrašas, kuriame nurodoma kreipinio ID, sukūrimo data ir laikas, problemos aprašymas, prioritetas, būsena, sprendimo data ir laikas, sprendimui skirtas laikas (faktinės valandų sąnaudos).

Licencinio palaikymo paslaugos

  • 1Licencinio palaikymo paslauga – tai periodinė, prenumeratos pagrindu teikiama paslauga, kuria Tiekėjas įsipareigoja užtikrinti, kad Užsakovo naudojama Sistema išliktų aktuali, saugi ir palaikoma gamintojo.
  • 2Licencinio palaikymo paslaugos tikslas – suteikti Užsakovui teisę gauti ir naudoti naujausias Sistemos versijas, apimančias funkcinius bei nefunkcinius patobulinimus, saugumo atnaujinimus, klaidų pataisymus bei pakeitimus, būtinus Sistemos atitikčiai aktualiems LR ir ES teisės aktams užtikrinti.
  • 3Sistemos licencija yra neterminuota (angl. perpetual).
  • 4Aktyvi licencinio palaikymo prenumerata suteikia teisę į Sistemos naujų versijų pateikimą ir naujinimą dėl LR įstatymų pasikeitimo, IT sistemos gamintojo atliktų patobulinimų, atnaujintų IT sistemos versijų, susijusių su klaidų taisymu, ir IT sistemos suderinamumo užtikrinimo su aplinka.
  • 5Tiekėjas įsipareigoja teikti pataisymus, šalinančius identifikuotus Sistemos saugumo pažeidžiamumus.
  • 6Suteikiama teisė gauti individualius pataisymus (angl. Hotfixes), skirtus spręsti kritines Sistemos veikimo klaidas.
  • 7Gamintojas siekia užtikrinti, kad naujesnės Sistemos versijos išliktų suderinamos su atnaujintomis trečiųjų šalių platformomis (pvz., operacinėmis sistemomis, duomenų bazių valdymo sistemomis, naršyklėmis).
  • 8Tiekėjas privalo informuoti Užsakovą apie planuojamas išleisti naujas Sistemos versijas, saugumo atnaujinimus ir jų svarbą.
  • 9Tiekėjas atsako už naujų Sistemos versijų ir pataisymų paketų perdavimą Užsakovui kartu su diegimo instrukcijomis ir išleidimo pastabomis (angl. Release Notes), kuriose aprašomi pakeitimai.

Duomenų saugumo techninės priemonės

  • 1Tvarkytojas turi įdiegti prieigų kontrolės sistemą, kuri taikoma visiems IT sistemos naudotojams. Prieigų kontrolės sistema turi leisti kurti, patvirtinti, peržiūrėti ir panaikinti naudotojų paskyras.
  • 2Negalima naudoti bendrų paskyrų keliems vartotojams. Jei tai neišvengiama, turi būti užtikrinta, kad visi bendros paskyros naudotojai turi vienodus vaidmenis ir atsakomybes bei yra įdiegtas tinkamas konkretaus vartotojo veiksmų atsekamumo mechanizmas.
  • 3Minimalus reikalavimas naudotojui prisijungti prie IT sistemos – naudotojo prisijungimo vardas ir slaptažodis (sudaromas atsižvelgiant į tam tikrą kompleksiškumo lygį). Prieigų kontrolės sistema turi turėti galimybę aptikti ir neleisti naudoti slaptažodžių, kurie neatitinka tam tikro kompleksiškumo lygio. Naudotojo slaptažodžiai turi būti saugomi naudojant kodavimo formą (angl. hash form).
  • 4Techninių žurnalų įrašai turi būti įgyvendinti kiekvienai IT sistemai ar aplikacijai, naudojamai Duomenims tvarkyti ir turi fiksuoti visą įmanomą prieigų prie Duomenų informaciją (pvz., datą, laiką, peržiūrėjimo, keitimo, panaikinimo veiksmus).
  • 5Techninių žurnalų įrašai turi turėti laiko žymas ir būti apsaugoti nuo galimo sugadinimo, suklastojimo ar neautorizuotos prieigos. IT sistemose naudojami laiko apskaitos mechanizmai turi būti sinchronizuoti pagal bendrą laiko atskaitos šaltinį.
  • 6Duomenų bazės ir taikomųjų programų tarnybinės stotys turi būti sukonfigūruotos taip, kad veiktų naudodamos atskiras paskyras su priskirtomis žemiausiomis operacinės sistemos (OS) privilegijomis. Jose turi būti tvarkomi tik tie Duomenys, kurie yra reikalingi darbui, atitinkančiam Duomenų tvarkymo tikslus.
  • 7Darbuotojams ir kitiems naudotojams negalima turėti galimybės išjungti ar apeiti, išvengti IT sistemų saugos nustatymų. Antivirusinės taikomosios programos ir jų informacijos apie virusus duomenų bazės turi būti nuolat atnaujinamos.
  • 8Naudotojams negalima turėti privilegijų (teisių) diegti, šalinti, administruoti neautorizuotą programinę įrangą.
  • 9IT sistemos turi turėti nustatytą sesijos laiką, t. y. naudotojui esant neaktyviam sistemoje nustatytą laiką, jo sesija privalo būti nutraukta. Kritiniai operacinės sistemos saugos atnaujinimai privalo būti diegiami reguliariai ir nedelsiant.
  • 10Visais atvejais, kai prieiga prie naudojamų IT sistemų yra vykdoma internetu, ryšys turi būti šifruojamas kriptografiniais protokolais (pvz. TLS/SSL).
  • 11Duomenų atsarginės kopijos ir jų atstatymo procedūros privalo būti apibrėžtos, dokumentuotos ir aiškiai susietos su vaidmenimis ir pareigomis. Atsarginių kopijų laikmenoms privalo būti užtikrintas pakankamas fizinis aplinkos ir patalpų saugos lygis. Atsarginių kopijų darymo procesas turi būti stebimas, siekiant užtikrinti užbaigtumą ir išsamumą. Pilnos atsarginės kopijos privalo būti daromos reguliariai.
  • 12Mobiliųjų, nešiojamųjų įrenginių administravimo procedūros privalo būti nustatytos ir dokumentuotos, aiškiai aprašant tinkamą tokių įrenginių naudojimą. Mobilieji ir nešiojamieji įrenginiai, kuriais bus naudojamasi darbui su Tvarkytojo informacinėmis sistemomis, prieš naudojimąsi turi būti užregistruoti ir autorizuoti. Jie turi būti pakankamo prieigos kontrolės procedūrų lygio, kaip ir kita naudojama įranga Duomenims tvarkyti.
  • 13Tvarkytojo informacinėse sistemose naudojama programinė įranga (Duomenims tvarkyti) turi atitikti programinės įrangos saugos gerąją praktiką, programinės įrangos kūrime taikomą saugos gerąją praktiką, programinės įrangos kūrimo struktūras ir standartus (pvz., Agile, OWASP ir kt.).
  • 14Duomenų naikinimas, šalinimas: Elektroninė informacija ir duomenys turi būti sunaikinami neatkuriamai. Popieriniai dokumentai ir nešiojamos laikmenos turi būti susmulkinamos.
  • 15Turi būti įgyvendinta fizinė aplinkos, patalpų, kuriose yra IT sistemų infrastruktūra, apsauga nuo neautorizuotos prieigos.

Bendrieji paslaugų teikimo reikalavimai

  • 1Sutartis sudaroma 24 (dvidešimt keturių) mėnesių laikotarpiui. Pasibaigus šiam terminui, Sutartis yra automatiškai pratęsiama kitiems 12 (dvylikos) mėnesių laikotarpiui, nebent viena iš šalių praneša apie norą ją nutraukti.
  • 2Tiekėjas privalo užtikrinti, kad pakeitimų kūrimas, testavimas ir diegimas vyktų naudojant mažiausiai tris atskiras ir logiškai izoliuotas aplinkas: Kūrimo (DEV), Testavimo (TEST) ir Gamybinę (PROD).
  • 3Pakeitimų diegimas privalo vykti nuosekliai per aplinkas: DEV -> TEST -> PROD.
  • 4Diegimas iš TEST į PROD galimas tik sėkmingai praėjus testavimo procesą ir gavus raštišką Užsakovo patvirtinimą.
  • 5Diegimą į PROD aplinką atlieka Užsakovas.
  • 6Duomenų srautas tarp aplinkų leidžiamas tik viena kryptimi: iš PROD į TEST ir iš TEST į DEV.
  • 7Gamybinėje (PROD) aplinkoje esantys asmens duomenys privalo būti nuasmeninti (anonimizuoti) prieš perkeliant juos į žemesnes (TEST) aplinkas.
  • 8Už duomenų nuasmeninimą ir perkėlimą į TEST aplinką atsako Užsakovas.
  • 9Kūrimo (DEV) aplinka turi būti Tiekėjo vidinėje infrastruktūroje, su prieiga suteikta tik Tiekėjo kūrėjų ir testuotojų komandai, naudojant sintetinius arba nuasmenintus duomenis. Griežtai draudžiama naudoti realius gamybinės aplinkos asmens duomenis.
  • 10Testavimo (TEST / UAT) aplinka turi būti Užsakovo prižiūrima, kiek įmanoma tikslesnė gamybinės (PROD) aplinkos kopija, naudojanti naujausią nuasmenintą gamybinės aplinkos duomenų bazės kopiją, su griežtai kontroliuojama prieiga.
  • 11Gamybinė (PROD) aplinka turi būti Užsakovo prižiūrima, su griežtai kontroliuojama ir registruojama prieiga, suteikiama tik autorizuotiems asmenims, atliekantiems palaikymo ir administravimo darbus, laikantis mažiausių teisių principo.
  • 12Paslaugos teikiamos nuotoliniu būdu. Šalims suderinus, paslaugas galima teikti Tiekėjo ar Pirkėjo patalpose.
  • 13Tiekėjas privalo naudoti versijų kontrolės sistemą (pvz., Private Git, Azure DevOps Server, ar kitą analogišką), užtikrinančią kodo pokyčių sekimą, auditą ir atkuriamumą.
  • 14Kiekvienas kodo pakeitimas turi būti dokumentuotas su aiškiu kodo pakeitimo aprašymu (angl. commit), nurodančiu atliktus pakeitimus ir jų priežastis.
  • 15Privaloma naudoti aiškią šakų valdymo strategiją (pvz., Git Flow, trunk-based development), užtikrinančią saugų vystymą ir testavimą atskirose šakose.
  • 16Kodo saugojimo infrastruktūra (saugykla) turi būti apsaugota nuo neautorizuotos prieigos, naudojant dviejų žingsnių autentifikaciją (MFA) ir prieigos teisių valdymą pagal vaidmenis (RBAC).
  • 17Kodo saugyklos turi būti reguliariai daromos atsarginės kopijos ir periodiškai tikrinamas jų atkuriamumas.
  • 18Kodo saugykla turi būti dislokuota tik Europos ekonominės erdvės (EEE) teritorijoje.
  • 19Paslaugų Tiekėjas privalo užtikrinti, kad saugyklose nebūtų laikomi slaptažodžiai, API raktai ar kiti jautrūs duomenys (angl. secrets) atviru tekstu – tam turi būti naudojami slaptų raktų valdymo sprendimai (pvz., HashiCorp Vault, Azure Key Vault ar analogiški).

Duomenų saugumo organizacinės priemonės

  • 1Tvarkytojas privalo turėti Duomenų ir jų tvarkymo saugumo politiką, kuri periodiškai peržiūrimas ir prireikus atnaujinama.
  • 2Su Duomenų tvarkymu susiję vaidmenys ir atsakomybės turi būti aiškiai apibrėžti ir paskirstyti. Keičiantis vaidmenims, turi būti aiškiai apibrėžtas darbuotojų teisių ir pareigų atšaukimas taikant atitinkamas perdavimo ar perleidimo procedūras.
  • 3Kiekvienam vaidmeniui, susijusiam su Duomenų tvarkymu, turi būti priskirtos konkrečios prieigos kontrolės teisės, vadovaujantis „būtina žinoti“ (angl. need to know) principu.
  • 4Tvarkytojas turi turėti IT išteklių (naudojamų asmens duomenims tvarkyti) registrą (techninės, programinės ir tinklo įrangos sąrašą). IT išteklių registras turi apimti bent IT išteklių tipą ir vietą. Šio registro tvarkymas turi būti priskirtas konkrečiam asmeniui.
  • 5Tvarkytojas turi užtikrinti, kad visi esminiai IT sistemų keitimai būtų stebimi ir registruojami konkretaus asmens (pvz., IT arba saugos specialisto). Programinės įrangos kūrimas turi būti atliekamas specialioje aplinkoje, kuri nėra prijungta prie IT sistemų, naudojamų tvarkant Duomenis.
  • 6Testuojant sistemas, naudojami tik testiniai duomenys, o kai tai neįmanoma, turi būti taikomos atitinkamai papildomos Duomenų apsaugos priemonės.
  • 7Kai Tvarkytojas pasitelkia kitus Subtvarkytojus, jis privalo turėti nustatytas ir dokumentuotas gaires ir procedūras, reguliuojančias Subtvarkytojų parinkimą bei jų atliekamų Duomenų tvarkymą. Šios procedūros turi privalomai nustatyti ne mažesnį Duomenų apsaugos lygį nei taikomas pagal šį Susitarimą.
  • 8Tvarkytojas privalo turėti reagavimo į saugumo incidentus ir pažeidimus planą, kuris užtikrintų veiksmingą incidentų, susijusių su Duomenų saugumu, valdymą bei apimtų pranešimų pateikimo Valdytojui ir, esant poreikiui, kompetentingoms institucijoms bei duomenų subjektams, tvarką. Visi Duomenų saugumo pažeidimai turi būti fiksuojami (dokumentuojami).
  • 9Tvarkytojas turi nustatyti pagrindines procedūras, kurių reikia laikytis saugumo incidento ar Duomenų saugumo pažeidimo atveju, kad būtų užtikrintas reikiamas Duomenų tvarkymo IT sistemomis tęstinumas ir prieinamumas.
  • 10Tvarkytojas turi užtikrinti, kad visi darbuotojai suprastų savo atsakomybes ir įsipareigojimus, susijusius su Duomenų tvarkymu. Vaidmenys ir atsakomybės turi būti aiškiai išdėstyti darbuotojui prieš pradedant vykdyti jam paskirtas funkcijas ir darbus.
  • 11Darbuotojai, kurių darbas susiję su Duomenų tvarkymu, turi būti periodiškai mokomi apie atitinkamus duomenų saugumo reikalavimus ir teisinius įpareigojimus.

Dokumentai19

  • Skelbiamos derybos SPS.docx
  • espd-request.xml
  • espd-request.pdf
  • README.txt
  • SPS 3 priedas. Techninė specifikacija.pdf
  • 1_Bendrosios sutaries sąlygos.pdf
  • 2_Specialiosios_sutarties_sąlygos.docx
  • 4_Konfidencialumo-susitarimas.docx
  • 5_Trisale sutartis.pdf
  • SPS 6 priedas. Konfidenciali informacija.docx
  • SPS 7 priedas. Konfidencialumo isipareigojimas.docx
  • SPS 8 priedas Nacionalinio saugumo reikalavimų atitikties deklaracija.docx
  • 7220728_National Contract notice or Design Contest notice - sectoral directive, standard regime_0.pdf
  • 1362_7220728.pdf
  • Skelbiamos derybos BPS.pdf
  • SPS 1 priedas. Pirminio Galutinio pasiūlymo forma_.docx
  • 3_Asmens_duomenu_tvarkymo_susitarimas.docx
  • SPS 5 priedas. Informacija apie Subtiekėjus.docx
  • 2_c4t_7220728_1.xml
tendis.lt · Sukurta recodin.lt