Dotyczy: przetargu nieograniczonego: przygotowanie i przeprowadzenie szkoleń z zakresu przeprowadzenia testów bezpieczeństwa oprogramowania, numer sprawy 17/3/23/16. ODPOWIEDŹ NA ZAPYTANIE DO SPECYFIKACJI ISTOTNYCH WARUNKÓW ZAMÓWIENIA Informuję, że do Zamawiającego w w/w postępowaniu wpłynęły zapytania do SIWZ. Zgodnie z art. 38 ust. 2 ustawy z dnia 29 stycznia 2004 r. Prawo zamówień publicznych (Dz. U. z 2015 r. poz. 2164 z późn. zm.) Zamawiający przedstawia poniżej ich treść wraz z odpowiedziami: Pytanie nr 1 SIWZ, pkt. 6, ppkt 1b. jakiego dowodu należytego wykonania Offensive Security Penetration Testing with Kali Linux spodziewa się Zamawiający skoro szkolenie to jest oryginalnym produktem firmy Offsec Services Ltd. i jest szkoleniem wyłącznie w trybie online, organizowanym, przeprowadzonym i egzaminowanym wyłącznie przez tą firmę? Wykonawca może co najwyżej sprzedać Zamawiającemu dostęp online do tego szkolenia a nie je zorganizować i przeprowadzić. Wnosimy: a) zgodnie z art. 7 PZP o usunięciu zapisu o obowiązku wykazania należytego przygotowania i przeprowadzenia tego szkolenia; b) zgodnie z art. 22 ust. 4 PZP wprowadzenie zapisu obowiązku wykazania przez Wykonawcę posiadania zasobu w postaci 1 osoby z certyfikatem OSCP (Offensive Security Certified Proffessional) lub wyższym; c) zgodnie z art. 22 ust. 4 PZP o odpowiednia zmianę załącznika nr 6 (wykaz osób, które będą uczestniczyć w wykonywaniu zamówienia) dodanie trenera konsultującego wykonanie online szkolenia Offensive Security Penetration Testing with Kali Linux posiadającego certyfikat OSCP lub wyższy; d) zgodnie z art. 22 ust. 4 PZP o odpowiednią zmianę załącznika 7 (Wykaz wykonanych usług) wykreślenie pkt. 1,,dla szkolenia z zakresu Offensive Security - Penetration Testing with Kali Linux (online szkolenie w trybie e-learning): wraz z tabelą; e) zgodnie z art. 22 ust. 4 PZP o odpowiednia zmianę punktacji w kryterium,,doświadczenie Wykonawcy w prowadzeniu szkoleń odpowiadających przedmiotowi zamówienia : Grupa I: za osobę z certyfikatem OSCP 5 pkt. Odpowiedź nr 1 Zamawiający utrzymuje zapisy w SIWZ o przygotowaniu szkolenia. Za przygotowanie szkolenia Zamawiający rozumie opracowanie zakresu tematycznego szkolenia (dostarczenie Zamawiającemu szczegółowego harmonogramu poszczególnych szkoleń) natomiast za przeprowadzenie szkolenia Zamawiający rozumie: 1) dostarczenie kont dostępowych umożliwiających logowanie do portalu edukacyjnego Offensive Security zawierającego materiały szkoleniowe, tj. materiały edukacyjne producenta (ebook oraz filmy instruktażowe), tematyczne dla danego szkolenia, dla wszystkich uczestników szkolenia; 2) dostarczenie zestawu plików konfiguracyjnych na potrzeby zdalnego dostępu z wykorzystaniem usługi szyfrowanego połączenia sieciowego VPN (ang.: Virtual Private Network) umożliwiającego dostęp do zdalnego laboratorium Offensive Security Lab, na okres 90 dni dla wszystkich uczestników szkolenia.
3) zapewnienie podejścia wszystkich uczestników szkolenia do egzaminu Offensive Security Certified Professional (OSCP) dla uczestników szkolenia 4) wydanie uczestnikom szkoleń stosownych zaświadczeń (certyfikatów) o ukończeniu szkolenia; 5) prowadzenia wymaganej przez Zamawiającego dokumentacji, w tym list obecności uczestników oraz Arkuszy Indywidualnej Oceny Szkolenia 6) przygotowanie protokołów z przeprowadzonych szkoleń ad a) Zgodnie z 1 ust. 1 pkt. 3) Rozporządzenia Prezesa Rady Ministrów z dnia 19 lutego 2013 r. w sprawie rodzajów dokumentów, jakich może żądać Zamawiający od Wykonawcy oraz form, w jakich te dokumenty mogą być składane (Dz. U. z 2013 r. poz. 231), w celu oceny spełnienia przez wykonawcę warunków, o których mowa w art. 22 ust. 1 ustawy z dnia 29 stycznia 2004 r. Prawo zamówień publicznych (t.j. Dz.U. z 2015 r. poz. 2164) Zamawiający może żądać m.in. wykazu wykonanych usług w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy w tym okresie, wraz z podaniem ich wartości, przedmiotu, dat wykonania i podmiotów, na rzecz których usługi zostały wykonane oraz załączeniem dowodów, czy zostały wykonane należycie. Zgodnie z 1 ust. 2 i 3 w/w Rozporządzenia Prezesa Rady Ministrów Zamawiający dopuszcza następujące dowody: - poświadczenie, - oświadczenie Wykonawcy, jeżeli z uzasadnionych przyczyn o obiektywnym charakterze wykonawca nie jest w stanie uzyskać w/w poświadczenia, wraz z uzasadnieniem tych przyczyn. W przypadku, gdy Zamawiający jest podmiotem, na rzecz, którego usługi wskazane w wykazie wykonanych usług, zostały wcześniej wykonane, Wykonawca nie ma obowiązku przedkładania w/w dowodów. ad b) Zamawiający utrzymuje zapisy w SIWZ i nie wymaga od Wykonawcy posiadania zasobu w postaci trenera konsultującego (wspierającego) wykonanie szkolenia online. ad c) Z uwagi na powyższe Zamawiający utrzymuje zapisy w SIWZ- załącznik nr 6 do SIWZ. ad d) Z uwagi na powyższe Zamawiający utrzymuje zapisy w SIWZ - załącznik nr 7 do SIWZ. ad e) Z uwagi na powyższe Pytanie nr 2 SIWZ, pkt. 6, ppkt 1 b. Jakiego dowodu należytego wykonania szkolenia Cracking the Perimeter online Security Training spodziewa się Zamawiający skoro szkolenie to jest oryginalnym produktem firmy Offsec Services Ltd. i jest szkoleniem wyłącznie w trybie online, organizowanym, przeprowadzonym i egzaminowanym wyłącznie przez tą firmę? Wykonawca może co najwyżej sprzedać Zamawiającemu dostęp online do tego szkolenia a nie je zorganizować i przeprowadzić. a) zgodnie z art. 7 PZP o usunięciu zapisu o obowiązku wykazania należytego przygotowania i przeprowadzenia tego szkolenia;
b) zgodnie z art. 22 ust. 4 PZP wprowadzenie zapisu obowiązku wykazania przez Wykonawcę posiadania zasobu w postaci 1 osoby z certyfikatem OSCE (Offensive Security Certified Expert); c) zgodnie z art. 22 ust. 4 PZP o odpowiednia zmianę załącznika nr 6 (wykaz wykonanych usług) dodanie trenera konsultującego wykonanie online szkolenia Cracking the Perimeter online Security Training posiadającego certyfikat OSCE; d) zgodnie z art. 22 ust. 4 PZP o odpowiednią zmianę załącznika 7 (Wykaz wykonanych usług) wykreślenie pkt. 1 dla szkolenia z zakresu Cracking the Perimeter online Security Training (online szkolenie w trybie e-learning): wraz z tabelą; e) zgodnie z art. 22 ust. 4 PZP o odpowiednia zmianę punktacji w kryterium, doświadczenie Wykonawcy w prowadzeniu szkoleń odpowiadających przedmiotowi zamówienia : Grupa II: za osobę z certyfikatem OSCE 5 pkt. Odpowiedź nr 2 Zamawiający utrzymuje zapisy w SIWZ o przygotowaniu szkolenia. Za przygotowanie szkolenia Zamawiający rozumie opracowanie zakresu tematycznego szkolenia (dostarczenie Zamawiającemu szczegółowego harmonogramu poszczególnych szkoleń) natomiast za przeprowadzenie szkolenia Zamawiający rozumie: 1) dostarczenie kont dostępowych umożliwiających logowanie do portalu edukacyjnego Offensive Security zawierającego materiały szkoleniowe, tj. materiały edukacyjne producenta (ebook oraz filmy instruktażowe), tematyczne dla danego szkolenia, dla wszystkich uczestników szkolenia; 2) dostarczenie zestawu plików konfiguracyjnych na potrzeby zdalnego dostępu z wykorzystaniem usługi szyfrowanego połączenia sieciowego VPN (ang.: Virtual Private Network) umożliwiającego dostęp do zdalnego laboratorium Offensive Security Lab, na okres 60 dni dla wszystkich uczestników szkolenia. 3) zapewnienie podejścia wszystkich uczestników szkolenia do egzaminu Offensive Security Certified Expert (OSCE) dla uczestników szkolenia. 4) wydanie uczestnikom szkoleń stosownych zaświadczeń (certyfikatów) o ukończeniu szkolenia; 5) prowadzenia wymaganej przez Zamawiającego dokumentacji, w tym list obecności uczestników oraz Arkuszy Indywidualnej Oceny Szkolenia 6) przygotowanie protokołów z przeprowadzonych szkoleń ad a) Zgodnie z 1 ust. 1 pkt. 3) Rozporządzenia Prezesa Rady Ministrów z dnia 19 lutego 2013 r. w sprawie rodzajów dokumentów, jakich może żądać Zamawiający od Wykonawcy oraz form, w jakich te dokumenty mogą być składane (Dz. U. z 2013 r. poz. 231), w celu oceny spełnienia przez wykonawcę warunków, o których mowa w art. 22 ust. 1 ustawy z dnia 29 stycznia 2004 r. Prawo zamówień publicznych (t.j. Dz.U. z 2015 r. poz. 2164) Zamawiający może żądać m.in. wykazu wykonanych usług w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy w tym okresie, wraz z podaniem ich wartości, przedmiotu, dat wykonania i podmiotów, na rzecz których usługi zostały wykonane oraz załączeniem dowodów, czy zostały wykonane należycie. Zgodnie z 1 ust. 2 i 3 w/w Rozporządzenia Prezesa Rady Ministrów Zamawiający dopuszcza następujące dowody: - poświadczenie, - oświadczenie Wykonawcy, jeżeli z uzasadnionych przyczyn o obiektywnym charakterze wykonawca nie jest w stanie uzyskać w/w poświadczenia, wraz z uzasadnieniem tych przyczyn.
W przypadku, gdy Zamawiający jest podmiotem, na rzecz, którego usługi wskazane w wykazie wykonanych usług, zostały wcześniej wykonane, Wykonawca nie ma obowiązku przedkładania w/w dowodów. ad b) Zamawiający utrzymuje zapisy w SIWZ i nie wymaga od Wykonawcy posiadania zasobu w postaci trenera konsultującego (wspierającego) wykonanie szkolenia online. ad c) Z uwagi na powyższe Zamawiający utrzymuje zapisy w SIWZ- załącznik nr 6 do SIWZ. ad d) Z uwagi na powyższe Zamawiający utrzymuje zapisy w SIWZ - załącznik nr 7 do SIWZ. ad e) Z uwagi na powyższe Pytanie nr 3 Egzaminy na certyfikaty OSCP oraz OSCE są organizowane przez firmę Offsec Services Ltd. Wyłącznie w ciągu 90 dni od daty ukończenia kursów Cracking the Perimeter i Penetration Testing Training with Kali Linux odpowiednio. Prosimy o potwierdzenie, że Zamawiający nie oczekuje od Wykonawcy zorganizowania i przeprowadzenia tych egzaminów, lecz wyłącznie zapewnienia (sprzedaży) prawa do przystąpienia do tych egzaminów na zasadach określonych przez Offsec Services Ltd. Odpowiedź nr 3 Prawo do przystąpienia do egzaminu nabywa każdy uczestnik kursu wraz z wykupieniem szkolenia. W związku z powyższym, jeśli Wykonawca będzie pośredniczył w dokonaniu odpłatności i wspierał organizacyjnie cały proces szkolenia, to dotyczy to również przystąpienia do egzaminu (np. przypomnienie o terminie, w jakim należy przystąpić do egzaminu). Pytanie nr 4 Uważamy, że czas trwania szkolenia Reverse Engineering (2 dni) jest zdecydowanie za krótki w porównaniu do tematyki i programu szkolenia. W celu przeprowadzenia rzetelnego szkolenia proponujemy wydłużenie czasu trwania do 4 dni. Odpowiedź nr 4 Pytanie nr 5 Załącznik nr 6 zgodnie z art. 22 ust. 4 PZP wnosimy, o dokonanie zapisu Trener prowadzący szkolenie z zakresu Reverse Engineering inżynieria odwrotna oprogramowania (szkolenie stacjonarne), posiadający certyfikat OSCE Odpowiedź nr 5 Pytanie nr 6 Uważamy, że czas trwania szkolenia Analiza Malware (3 dni) jest zdecydowanie za krótki w porównaniu do tematyki i programu szkolenia. W celu przeprowadzenia rzetelnego szkolenia proponujemy wydłużenie czasu trwania do 5 dni. Odpowiedź nr 6
Pytanie nr 7 Załącznik nr 6 zgodnie z art. 22 ust. 4 PZP wnosimy, o dokonanie zapisu,,trener prowadzący szkolenie z zakresu Analizy Malware u Zaawansowany Reverse Engineering (szkolenie stacjonarne), posiadający certyfikat GREM GIAC Reverse Engineering Malware. Odpowiedź nr 7 Pytanie nr 8 Załącznik nr 1 (OPZ), pkt 5, ppkt. 4a szkolenia, materiały i egzamin Offensive Security Penetration Testing with Kali Linux oraz Cracking the Perimeter Online Security Training sa wyłącznie w języku angielskim. Wnosimy o usunięciu wymogu prowadzenia szkoleń w języku polskim dla 2 ww. kursów. Odpowiedź nr 8 Zamawiający dopuszcza szkolenia, materiały i egzamin z zakresu Offensive Security Penetration Testing with Kali Linux oraz Cracking the Perimeter Online Security Training w jęz. angielskim pod warunkiem braku dostępności wyżej wymienionych w języku polskim. Powyższe pytania wraz z udzielonymi odpowiedziami nie powodują zmian treści Specyfikacji Istotnych Warunków Zamówienia. Jednocześnie informuję, iż miejsce, termin składania i otwarcia ofert pozostają bez zmian. KOMENDANT - / - płk Zbigniew PODOSEK