ZAŁĄCZNIK nr 3 Wzór umowy UMOWA nr. zawarta w dniu... w Radomiu pomiędzy Wodociągami Miejskimi w Radomiu Sp. z o.o. ul. Filtrowa 4, 26-600 Radom, NIP 796-010-15-60, Regon 670110416, Rejestr Sądowy: Sąd Rejonowy dla Miasta Stołecznego Warszawy XIV Wydział Gospodarczy Krajowego Rejestru Sądowego Nr KRS 0000033438, Kapitał Zakładowy 192 773 600,00 zł., zwanymi w umowie ZAMAWIAJĄCYM, reprezentowanymi przez Zarząd, w imieniu którego działają: 1. Prezes Zarządu - mgr inż. Leszek Trzeciak 2. Wiceprezes Zarządu - mgr inż. Paweł Olszewski a *... z siedzibą w.. przy ul.... zarejestrowaną w... NIP.. REGON reprezentowaną przez 1... *podmiotami działającymi wspólnie: 1.... z siedzibą w... przy ul... zarejestrowaną w... NIP.. REGON reprezentowaną przez.. 2.... z siedzibą w... przy ul.... zarejestrowaną w... NIP... REGON. reprezentowaną przez.. zwanym dalej WYKONAWCĄ* / WYKONAWCAMI*, została zawarta umowa o następującej treści: * - niepotrzebne skreślić 1 PODSTAWA ZAWARCIA UMOWY Niniejsza umowa jest następstwem wyboru przez Zamawiającego oferty Wykonawcy w postępowaniu na udzielenie zamówienia publicznego prowadzonym zgodnie z Regulaminem Udzielania Zamówień Publicznych o wartości szacunkowej nieprzekraczającej 30 tys. Euro z dnia 18.09.2017 r. 2 PRZEDMIOT UMOWY 1. Zamawiający powierza, a Wykonawca przyjmuje do wykonania zakres rzeczowy obejmujący dostawę, wdrożenie i uruchomienie zapory sieciowej nowej generacji pracującej w klastrze niezawodnościowym. 2. Szczegółowy zakres rzeczowy określa Opis przedmiotu zamówienia stanowiący zał. nr 1 do umowy. 3 TERMIN REALIZACJI 1. Termin realizacji przedmiotu umowy: 60 dni od daty podpisania umowy. 4 WYNAGRODZENIE I WARUNKI PŁATNOŚCI 1. Strony ustalają wynagrodzenie Wykonawcy zgodnie z przyjętą ofertą tj. Netto. zł. podatek VAT ( %). zł. 1
brutto. zł. (słownie:...zł ). 2. Przedmiot umowy będzie rozliczony jednorazową fakturą po zrealizowaniu przedmiotu umowy. Podstawą do wystawienia faktury VAT będzie protokół odbioru podpisany przez strony. 3. Wynagrodzenie za realizację przedmiotu umowy zostanie uregulowane przelewem na rachunek Wykonawcy. w terminie do 30 dni od daty wystawienia faktury, z tym że Wykonawca jest zobowiązany doręczyć fakturę nie później niż w terminie 14 dni od daty jej wystawienia. Dodatkowo Zamawiający wymaga, aby faktura zawierała numer niniejszej umowy. 4. Wynagrodzenie określone w ust. 1 obejmuje wszelkie koszty niezbędne do prawidłowej realizacji zamówienia, w tym koszty transportu, ubezpieczenia, uruchomienia, cła i podatki, naliczone według aktualnie obowiązujących przepisów, a także koszty pozostałych świadczeń wynikających z niniejszej umowy. 5. W przypadku zwłoki w zapłacie wynagrodzenia Zamawiający zapłaci Wykonawcy ustawowe odsetki za opóźnienie w transakcjach handlowych. 5 WARUNKI WYKONANIA UMOWY 1. Przekazanie przedmiotu umowy wraz z instalacją, uruchomieniem i konfiguracją nastąpi w siedzibie Zamawiającego co potwierdzone będzie protokołem odbioru podpisanym przez Strony. 2. Wykonawca jest zobowiązany do udzielenia bezpośrednim użytkownikom pomocy technicznej, wsparcia technicznego i przeprowadzenia szkolenia dla pracowników Zamawiającego z zakresu użytkowania sprzętu w docelowym miejscu instalacji. 3. Realizacja przedmiotu umowy nastąpi w dzień roboczy, tj. od poniedziałku do piątku w godzinach 7:00 15:00. 6 GWARANCJA 1. Wykonawca na dostarczony sprzęt udziela 12 - miesięcznej gwarancji. Termin liczony jest od daty podpisania protokołu odbioru. 2. Wykonawca zapewnia w okresie gwarancji pomoc techniczną w rozwiązywaniu problemów pojawiających się w trakcie użytkowania sprzętu. Koszty dojazdu i transportu w zakresie serwisu gwarancyjnego pokrywa Wykonawca. 3. Zgłoszenie awarii następować będzie za pomocą faksu, telefonu., drogą elektroniczną adres e-mail:... 4. Wszelkie wady, awarie sprzętu będą usuwane w terminie do pięciu dni roboczych po otrzymaniu zgłoszenia (przyjmowanie zgłoszeń w dni robocze w godzinach 7:00 15:00 telefonicznie, faksem lub e-mailem) od Zamawiającego. Za moment usunięcia wady, awarii strony uznają moment odbioru przez Zamawiającego sprzętu po naprawie gwarancyjnej. 5. W przypadku wystąpienia napraw gwarancyjnych, udzielona przez Wykonawcę gwarancja ulega przedłużeniu o czas wykonywania tych napraw. 6. Całość dostarczonego wraz z urządzeniem oprogramowania, baz danych (wirusów, zagrożeń itp.), wymaganych modułów oraz oprogramowania sprzętowego będzie objęta darmową aktualizacją do najnowszych dostępnych wersji przez cały określony w ust. 1 okres trwania gwarancji. Aktualne wersje oprogramowania muszą być możliwe do pobrania (tam gdzie to możliwe proces ten musi być zautomatyzowany) przez 2
Zamawiającego bezpośrednio z serwerów producenta bez udziału i pośrednictwa Wykonawcy. Pobieranie musi odbywać się bezpiecznym kanałem, uniemożliwiającym ingerencję osób trzecich. 7. W przypadku, gdy usunięcie awarii/wymiana sprzętu nie jest możliwe w określonym czasie, Wykonawca dostarczy oraz zainstaluje na czas dokonywania naprawy gwarancyjnej na własny koszt urządzenie o parametrach nie gorszych niż uszkodzony sprzęt. 7 NADZÓR NAD REALIZACJĄ PRZEDMIOTU UMOWY 1. Za realizację niniejszej umowy ze strony Zamawiającego odpowiedzialny jest, nr tel., nr faxu, e-mail:.. 2. Za realizację niniejszej umowy ze strony Wykonawcy odpowiedzialny jest, nr tel., nr faxu., e-mail:.. 8 KARY UMOWNE W razie niewykonania lub nienależytego wykonania umowy Strony zobowiązują się zapłacić kary umowne w następujących przypadkach i okolicznościach: 1. Wykonawca zapłaci Zamawiającemu kary umowne: a) w wysokości 6 % wynagrodzenia opisanego w 4 ust.1, gdy Zamawiający odstąpi od umowy z powodu okoliczności, za które odpowiada Wykonawca. b) w wysokości 0,2 % wynagrodzenia opisanego w 4 ust.1 za każdy dzień zwłoki w realizacji umowy. c) w przypadku opóźnienia usuwania wad lub usterek w stosunku do terminów określonych w umowie - w wysokości 0,2 % wartości przedmiotu umowy brutto, za każdy rozpoczęty dzień opóźnienia. 2. Zamawiający zapłaci Wykonawcy kary umowne: a) w wysokości 6 % wynagrodzenia opisanego w 4 ust.1, w razie odstąpienia od umowy przez Wykonawcę, z powodu okoliczności, za które ponosi odpowiedzialność Zamawiający. 3. Jeżeli wysokość zastrzeżonych kar umownych nie pokrywa poniesionej szkody, strony mogą dochodzić odszkodowania uzupełniającego. 9 ODSTĄPIENIE OD UMOWY 1. Zamawiający ma prawo odstąpić od umowy poza wypadkami wskazanymi w niniejszej umowie lub Kodeksie cywilnym, w terminie 30 dni od powzięcia wiadomości o zaistnieniu podstawy do odstąpienia w razie zaistnienia przesłanek: a) Wykonawca opóźnia się z realizacją jakichkolwiek obowiązków umownych w stosunku do terminów umownych, po bezskutecznym upływie 7 dni od daty wezwania Wykonawcy do ich wykonania, b) Gdy zostanie złożony wniosek o ogłoszenie upadłości Wykonawcy lub wniosek o wszczęcie postępowania restrukturyzacyjnego, c) Gdy zostanie dokonane zajęcie majątku Wykonawcy stopniu uniemożliwiającym wykonanie umowy, d) Wykonawca narazi Zamawiającego na szkodę, e) Wykonawca wykonuje swoje obowiązki w sposób nienależyty i pomimo wezwania Zamawiającego nie zmienia sposobu ich wykonywania, f) Wykonawca dopuszcza się rażącego zaniedbania obowiązków umownych lub wykonuje przedmiot umowy w sposób sprzeczny z jej postanowieniami. 3
2. Wykonawcy przysługuje prawo odstąpienia od umowy, jeżeli Zamawiający nie wywiązuje się z obowiązku zapłaty wynagrodzenia w terminie określonym w 4 ust. 2 niniejszej umowy. 10 LICENCJE NA OPROGRAMOWANIE 1. Wykonawca zapewnia, że dostarczone urządzenia posiadają stosowne oprogramowanie wymagane dla ich prawidłowej pracy. 2. Strony przyjmują, że z chwilą podpisania protokołu odbioru końcowego Wykonawca, w ramach wynagrodzenia przewidzianego postanowieniami niniejszej umowy, zapewni Zamawiającemu w możliwie najszerszym zakresie niewyłączną i nieograniczoną czasowo ani terytorialnie, licencje bądź sublicencje na korzystanie z oprogramowania, o którym mowa wyżej, na polach eksploatacji pozwalających na korzystanie z urządzeń zgodnie z przeznaczeniem. 4. Licencje/sublicencje będą udzielone na wersje oprogramowania stanowiącego przedmiot licencji aktualne (bieżące) w dacie ich udzielenia Zamawiającemu oraz na kolejne wersje oprogramowania stanowiącego przedmiot licencji (aktualizacje) instalowane w ramach aktualizacji oprogramowania w okresie.. miesięcy. 5. W przypadku zgłoszenia wobec Zamawiającego jakichkolwiek roszczeń z tytułu naruszenia praw osób trzecich, w tym z tytułu ochrony praw autorskich przysługujących twórcom oprogramowania bądź innym podmiotom uprawnionym do realizacji tych praw, Wykonawca zobowiązuje się zwolnić Zamawiającego z odpowiedzialności wynikającej z naruszeń oraz zwrócić Zamawiającemu wszelkie koszty, jakie poniesie Zamawiający w wyniku realizacji roszczeń osób trzecich. W przypadku dochodzenia na drodze sądowej przez osoby trzecie roszczeń wynikających z naruszenia ich praw, w tym w szczególności praw autorskich, przeciwko Zamawiającemu, Wykonawca będzie zobowiązany do przystąpienia w procesie po stronie Zamawiającego i podjęcia wszelkich czynności w celu zwolnienia Zamawiającego z udziału w postępowaniu. 11 POSTANOWIENIA KOŃCOWE 1. Umowa wchodzi w życie z dniem zawarcia. 2. Wszelkie zmiany niniejszej umowy wymagają zgody obu stron oraz pisemnego aneksu pod rygorem nieważności. 3. Umowa podlega prawu polskiemu i zgodnie z nim powinna być interpretowana. W sprawach nieuregulowanych niniejszą umową obowiązują przepisy zgodnie z Regulaminem Udzielania Zamówień Publicznych o wartości szacunkowej nieprzekraczającej 30 tys. euro z dn. 18.09.2017 r. oraz Kodeksu Cywilnego. 4. Ewentualne spory między Stronami wynikłe z niniejszej umowy będą rozstrzygane przez Sąd właściwy dla siedziby Zamawiającego. 5. Zamawiający i Wykonawca podejmą starania w celu polubownego rozstrzygnięcia wszelkich sporów powstałych między nimi, a wynikających z Umowy, na drodze bezpośrednich negocjacji. 6. Jeśli po 30 dniach od rozpoczęcia bezpośrednich negocjacji, Zamawiający i Wykonawca nie są w stanie polubownie rozstrzygnąć sporu, to każda ze Stron może poddać spór rozstrzygnięciu właściwemu sądowi powszechnemu. 7. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, jeden egzemplarz dla Wykonawcy oraz jeden egzemplarz dla Zamawiającego. 8. Integralną część umowy stanowi Załącznik nr 1 Opis przedmiotu zamówienia. ZAMAWIAJĄCY: WYKONAWCA: 4
Załącznik nr 1 do umowy Opis przedmiotu zamówienia I. Zapora sieciowa nowej generacji (Next Generation Firewall) 1. Zapora sieciowa typu Next Generation Firewall (NGFW) 2. Minimalna ilość interfejsów: a. 4 interfejsy 2,5GbE SFP b. 4 interfejsy 2,5 GbE c. 12 interfejsów RJ-45 Ethernet 10/100/1000 d. 2 interfejsy USB dla przyszłych potrzeb i do podłączenia modemu 3G e. 1 interfejs konsoli do zarządzania zaporą f. 1 interfejs RJ-45 Ethernet 10/100/1000 do zarządzania zaporą 3. Możliwość przypisania wielu interfejsów fizycznych do pojedynczej strefy bezpieczeństwa 4. Zapora powinna posiadać dysk SSD o pojemności przynajmniej 16GB z możliwością wymiany na większy. 5. Możliwość powiązania wielu interfejsów fizycznych w jeden port logiczny (agregacja portów) celem podniesienia wydajności połączeń oraz zapewnienia redundancji 6. Możliwość utworzenia przynajmniej 256 interfejsów logicznych VLAN, wsparcie dla standardu 802.1q 7. Obsługa nielimitowanej ilości hostów podłączonych w sieci chronionej 8. Minimalna ilość jednocześnie obsługiwanych połączeń: 1M 9. Możliwość obsłużenia przynajmniej 15000 nowych połączeń w ciągu 1 sekundy. 10. Przepustowość urządzenia pracującego w trybie stateful firewall: 3 Gbps dla ramki 1518B zgodnie z RFC 2544 11. Przepustowość urządzenia pracującego z włączonym mechanizmem IPS: 1.4 Gbps 12. Przepustowość urządzenia pracującego jako koncentrator VPN: 1.5 Gbps dla szyfrowania AES bez aktywnych usług UTM, zgodnie z RFC 2544 13. Przepustowość urządzenia DPI (z włączonymi wszystkimi usługami bezpieczeństwa antywirus, antyspyware, IPS, kontrola aplikacji) 600 Mbps 14. Minimalna ilość jednocześnie zestawionych tuneli site-site VPN (urządzenie urządzenie): 1000 15. Minimalna ilość licencji umożliwiających zestawienie połączeń client-site IPSec VPN (komputer urządzenie), dostępnych w pakiecie z urządzeniem: 50 z możliwością rozszerzenia do przynajmniej 1000. 16. Urządzenie powinno umożliwiać poddanie inspekcji zawartości ruchu szyfrowanego SSL/TLS poprzez jego odszyfrowanie i ponowne zaszyfrowanie zmienionym certyfikatem. Administrator powinien mieć możliwość tworzenia wyjątków do inspekcji ruchu SSL poprzez wykorzystanie kategorii stron np. wyłączenie z inspekcji kategorii zawierających strony bankowe i medyczne. 17. Wydajnośc urządzenia z włączoną funkcją inspekcji ruchu SSL/TLS powinna wynosić minimum 300 Mbps oraz obsłużyć 13500 połączeń. 18. Obsługa IPSec, ISAKMP/IKE, Radius, L2TP, PPPoE, PPTP 19. Zintegrowany serwer DHCP, umożliwiający przydzielanie adresów IP dla hostów znajdujących się w sieci chronionej, a także dla hostów połączonych poprzez VPN (dla tuneli nawiązanych w trybie site-site oraz client-site) 20. Wsparcie funkcjonalności IP Helper, lub IP Relay (przekazywanie komunikacji DHCP pomiędzy strefami bezpieczeństwa) 21. Uwierzytelnianie użytkowników w oparciu o wewnętrzną bazę użytkowników, oraz z wykorzystaniem zewnętrznych mechanizmów RADIUS/XAUTH, Active Directory, SSO, LDAP 22. Wsparcie dla Dynamicznego DNS tzw. DDNS 23. Zintegrowany mechanizm kontroli zawartości witryn pogrupowanych na kategorie tematyczne. 5
24. Mechanizm kontroli treści powinien mieć możliwość filtrowania stron tłumaczonych przez google translate (strony takie również powinny być poddane inpekcji, na takich samych zasadach jak strony na które użytkownik wchodzi bezpośrednio). 25. Administrator powinien mieć możliwośc tworzenia róznych akcji dla stron które zostały wychwycone przez filtr treści. Powinny być dostępne takie akcje jak: a. wyświetlenie strony blokady (z możliwością tworzenia kilku róznych stron) b. wyświetlenie strony blokady z możliwością podania hasła odblokowującego dostęp do zablokowanej strony c. wyświetlenie informacji z polityką bezpieczeństwa organizacji podczas wchodzenia na strony z danj kategorii. Używtkonik może wejść na stronę po akceptacji polityki. 26. Administrator powinien mieć możliwośc stworzenia polityki kontroli treści obejmującego np. strony z kategorii Multimedia i przydzielenia ograniczonego pasma dla stron w tej kategorii np. 5 Mbps 27. Zintegrowany mechanizm kontroli transmisji poczty elektronicznej w oparciu o zewnętrzne serwery RBL. 28. Zintegrowany mechanizm zabezpieczający bezprzewodową sieć LAN, umożliwiający szyfrowanie transmisji w połączeniach bezprzewodowych realizowanych pomiędzy dodatkowymi urządzeniami Access Point a stacjami roboczymi za pomocą IPSec VPN. System wspomagania uwierzytelniania bezprzewodowych stacji roboczych, oraz użytkowników, pozwalający na wdrożenie polityki dostępowej dla sieci. 29. Możliwość uruchomienia minimum dwóch łączy WAN - Zintegrowane funkcje Load- Balancing, oraz Failover. Funkcja Failover oparta o badanie stanu łącza i badanie dostępności hosta zewnętrznego. 30. Możliwość ograniczenia ruchu na zewnętrznej stacji roboczej podczas pracy zdalnej VPN (dostęp tylko do udostępnionych zasobów lub dostęp do udostępnionych zasobów oraz zasobów sieci Internet z uwzględnieniem filtrowania treści, mechanizmu IPS oraz ochrony przed wirusami i wszelkim innym oprogramowaniem złośliwym dla komputerów połączonych przez VPN) 31. Kontrola dostępności zestawionych tuneli VPN 32. Możliwość zarządzania urządzeniem z wykorzystaniem protokołów http, https, SSH i SNMP. 33. Konfiguracja oparta na pracy grupowej/obiektowej. Polityka bezpieczeństwa pozwalająca na całkowitą kontrolę nad dostępem do Internetu powinna być tworzona według reguł opartych o grupy i obiekty. 34. Przy tworzeniu reguł dostępowych zapewniona możliwość konfiguracji trzech typów reakcji: allow, deny, discard (zezwolić, zabronić, odrzucić) 35. Funkcja NAT oparta o reguły bezpieczeństwa. 36. NAT w wersji jeden-do-jeden, jeden-do-wielu, PAT, wiele-do-wielu, wiele-dojednego. Funkcje oparte o zaawansowaną konfigurację według reguł bezpieczeństwa (m.in. możliwość ograniczenia działania funkcji do niektórych hostów, możliwość translacji portów wyjściowych na inne docelowe) 37. Zintegrowany system skanowania antywirusowego na poziomie bramy internetowej skanowanie protokołów http, ftp, pop3, smtp, imap4, tcp stream. Możliwość filtrowania załączników poczty. Skanowanie również plików skompresowanych. 38. Zintegrowany system skanowania antyspyware 39. Zintegrowany system IPS (system wykrywania i blokowania wtargnięć) oparty o sygnatury ataków uwzględniające zagrożenia typu worm, Trojan, dziury systemowe, peer-to-peer, buffer overflow, komunikatory, niebezpieczne kody zawarte na stronach www. 40. System IPS musi używać algorytmu szeregowego przetwarzania. 41. Zintegrowany system zapory działającej w warstwie aplikacji, umożliwiający definiowanie własnych sygnatur aplikacji z wykorzystaniem ciągu znaków lub wyrażeń regularnych (regex). 42. Systemy skanowania IPS/Antywirus/Antyspyware muszą umożliwiać skanowanie ruchu w warstwie aplikacji a. Bazy w/w systemów muszą być aktualizowane co najmniej raz dziennie. 6
b. Administrator systemu musi mieć możliwość ręcznej aktualizacji sygnatur (online lub offline poprzez manualne zaimporotwanie sygnatur c. Administrator systemu musi mieć możliwośc skonfigurowania, którym portem i łączem urządzenie będzie się kontaktowało z serwerami backend w celu aktualizacji sygnatur. 43. System IPS/Antywirus/Antyspyware nie może posiadać ograniczeń związanych z rozmiarem skanowanych plików. 44. Skanowanie IPS/Antywirus/Antyspyware musi być możliwe między strefami bezpieczeństwa 45. Możliwość pełnej kontroli nad programami typu P2P, IM oraz aplikacjami multimedialnymi 46. Wsparcie mechanizmów QoS Priorytet pasma, maksymalizacja pasma, gwarancja pasma, DSCP, 802.1p 47. Wsparcie dla komunikacji VoIP - Pełne wsparcie dla SIP, H323v.1-5, zarządzanie pasmem (ruch wychodzący), VoIP over WLAN, śledzenie i monitorowanie połączeń 48. Urządzenie powinno mieć możliwość analizy behawioralnej (sandbox) minimum plików wykonywalnych PE, PDF, Office i aplikacji mobilnych. Sandbox powinien działać z wykorzystaniem minium 3 silników pochądzących od róznych producentów w celu zwiększenia skuteczności analizy sandbox. Analiza powinna być wykonywana równolegle na wszystkch silnikach. 49. Wymagane jest dostarczenie dodatkowego urządzenia pełniące funkcję standby w klastrze wysokiej dostępności (HA) z urządzeniem podstawowym. Urządzenie standby powinno mieć identyczne parametry wydajnościowe jak podstawowa jednostka. 50. Dostawa, wdrożenie, uruchomienie urządzenia oraz szkolenie pracowników Zamawiającego w cenie oferty. Wymagane licencje: 1. Subskrypcje pozwalające na aktualizację sygnatur aplikacji, IPS i wirusów oraz dostęp do bazy URL dla modułu kontroli aplikacji oraz zapewnienie wsparcia technicznego 24x7 na okres 1 roku. 2. Licencja na oprogramowanie służące do przechowywania logów z systemu firewall i generowania na ich podstawie raportów. W celach zapewnienia kompatybilności oprogramowanie powinno pochodzić od tego samego producenta co system firewall. Wymagana jest licencja, która pozwoli na korzystanie z oprogramowania przez okres 1 roku. ZAMAWIAJĄCY: WYKONAWCA: 7