Usługa zabezpieczenia kanału dostępowego i końcówek użytkowników Nowej Bankowości Elektronicznej.

Narodowy Bank Polski, Departament Koordynacji i Realizacji Zakupów
ul. Świętokrzyska 11/21
Warszawa
00-919
Polska
Osoba do kontaktów: Izabela Wiśniewska
Tel.: +48 221852359
E-mail: DKRZprzetargi@nbp.pl
Faks: +48 221851211
Kod NUTS: PL127

Adresy internetowe:

Główny adres: www.nbp.pl

Nieograniczony, pełny i bezpośredni dostęp do dokumentów zamówienia można uzyskać bezpłatnie pod adresem: www.nbp.pl

Więcej informacji można uzyskać pod adresem podanym powyżej

Oferty lub wnioski o dopuszczenie do udziału w postępowaniu należy przesyłać na adres podany powyżej

Podmiot prawa publicznego

Inna działalność: polityka pieniężna

Usługa zabezpieczenia kanału dostępowego i końcówek użytkowników Nowej Bankowości Elektronicznej.

Numer referencyjny: DKRZ-WPI-IW-243-116/16..............................................................................

Usługi

Przedmiotem zamówienia jest realizacja usługi zabezpieczenia kanału dostępowego i końcówek użytkowników Nowej Bankowości Elektronicznej, która będzie zapewniała ochronę przed skutkami działania złośliwego oprogramowania na komputerze klienta.

Razem z systemem wymagane jest wykonanie usługi wdrożenia oraz przygotowanie dokumentacji powykonawczej, a także przeszkolenie z wdrożonego produktu dla co najmniej 6 pracowników wskazanych przez Zamawiającego.

To zamówienie podzielone jest na części: nie

Kod NUTS: PL

Główne miejsce lub lokalizacja realizacji:

Narodowy Bank Polski, 00-919 Warszawa, ul. Świętokrzyska 11/21.

Przedmiotem zamówienia jest realizacja usługi zabezpieczenia kanału dostępowego i końcówek użytkowników Nowej Bankowości Elektronicznej, która będzie zapewniała ochronę przed skutkami działania złośliwego oprogramowania na komputerze klienta.

Główne funkcjonalności usługi to:

— wykrywanie złośliwego oprogramowania po stronie klienta, bez instalacji u niego dedykowanego oprogramowania. Wykrywane powinno być złośliwe oprogramowanie wykorzystywane do przekierowywania użytkowników na fałszywe strony z aplikacją bankową oraz do wykonywania ataków typu ManInTheMiddle, ManInTheBrowser,

— analiza danych odbywa się wyłącznie w ramach infrastruktury informatycznej Banku i klienta,

— brak wymogu dokonywania zmian w infrastrukturze webaplikacji lub kodzie webaplikacji

— możliwość szybkiego wyłączenia mechanizmów ochrony w celu rozwiązania (troubleshooting-u) ewentualnych problemów w działaniu aplikacji bankowej,

— wykrywanie modyfikacji danych wprowadzanych przez użytkownika do aplikacji (analiza integralności danych w komunikacji klient – serwer),

— wykrywanie modyfikacji danych wyświetlanych użytkownikowi przez aplikacje (analiza integralności danych w komunikacji serwer – klient),

— szyfrowanie danych wprowadzonych w polach formularza logowania do aplikacji na poziomie przeglądarki klienta, niezależnie od szyfrowania w warstwie sieciowej (SSL/TLS),

— szyfrowanie danych wprowadzanych w polach dowolnie wybranego formularza aplikacji na poziomie przeglądarki klienta, niezależnie od szyfrowania w warstwie sieciowej (SSL/TLS),

— wykrywanie prób wykonania transakcji przez zautomatyzowany skrypt lub inne złośliwe oprogramowanie,

— wykrywanie prób ataków phishingowych. Dostarczenie informacji o użytkowniku, który padł ofiarą ataku (skompromitował dane logowania) oraz adresie fałszywej strony aplikacji,

— wykrywanie anomalii zachowania w obrębie przeglądarki,

— mechanizm detekcji stosowany w usłudze nie może w żaden sposób wpływać na użytkownika końcowego i jego subiektywne wrażenia podczas korzystania z aplikacji (np. poprzez widoczne w przeglądarce oznaki obecności rozwiązania),

— możliwość definiowania alertów wysyłanych w czasie rzeczywistym, pozwalających na minimum wysłanie wiadomości e-mail pod dowolnie zdefiniowany adres w przypadku wykrycia niepożądanego ruchu,

— możliwość przekazywania alertów w czasie rzeczywistym do rozwiązania typu SIEM,

— możliwość automatycznego tworzenia i wysyłania raportów, informujących o statystykach i trendach.

Razem z systemem wymagane jest wykonanie usługi wdrożenia oraz przygotowanie dokumentacji powykonawczej, a także przeszkolenie z wdrożonego produktu dla co najmniej 6 pracowników wskazanych przez Zamawiającego.

Cena nie jest jedynym kryterium udzielenia zamówienia; wszystkie kryteria są wymienione tylko w dokumentacji zamówienia

Okres w miesiącach: 12

Niniejsze zamówienie podlega wznowieniu: nie

Przewidywana minimalna liczba: 3

Maksymalna liczba: 12

Obiektywne kryteria wyboru ograniczonej liczby kandydatów:

1) Jeżeli liczba Wykonawców, którzy złożyli wniosek o dopuszczenie do udziału w postępowaniu i spełniają warunki udziału w postępowaniu nie przekroczy 12, Zamawiający zaprosi do dialogu konkurencyjnego wszystkich Wykonawców, którzy spełniają warunki udziału w postępowaniu.

2) Jeżeli liczba Wykonawców, którzy złożyli wniosek o dopuszczenie do udziału w postępowaniu i spełniają warunki udziału w postępowaniu, będzie większa niż 12, Zamawiający zaprosi do dialogu konkurencyjnego 12 Wykonawców, którzy otrzymali najwyższa ocenę spełniania warunków udziału w postępowaniu.

W takim przypadku przy wyborze Wykonawców, którzy zostaną zaproszeni do dialogu konkurencyjnego Zamawiający będzie kierował się liczbą należycie wykonanych usług, spełniających warunki, o których mowa w Sekcji III.1.3) ust. 1 lit. b) ogłoszenia w następujący sposób:

— za każde dodatkowe zamówienie powyżej liczby wymaganej warunkiem, o którym mowa w Sekcji III.1.3) ust. 1 lit. b) ogłoszenia Wykonawca otrzyma 2 pkt, przy czym punktacji będzie podlegać nie więcej niż 10 dodatkowych zamówień.

3) W przypadku, gdy po przeprowadzeniu selekcji, o której mowa w pkt. 2 powyżej, na pozycji 12 uplasuje się dwóch lub więcej Wykonawców o takiej samej liczbie punktów, Zamawiający zaprosi do dialogu konkurencyjnego tego Wykonawcę, którego wartość zamówień podlegających ocenie w ramach kryteriów selekcji jest najwyższa.

Dopuszcza się składanie ofert wariantowych: nie

Opcje: nie

Zamówienie dotyczy projektu/programu finansowanego ze środków Unii Europejskiej: nie

1. Wstępny harmonogram postępowania:

1) otwarcie wniosków – 3.10.2016,

2) zaproszenie do dialogu – 28.10.2016,

3) zaproszenie do złożenia ofert – 25.11.2016,

4) otwarcie ofert – 6.12.2016,

5) wybór najkorzystniejszej oferty – 12.12.2016.

2. Termin związania ofertą – 60 dni.

3. Zamawiający żąda wniesienia wraz z ofertą wadium w wysokości 20 000 PLN (słownie: dwadzieścia tysięcy złotych).

Wykaz i krótki opis warunków:

Zgodnie z przepisami art. 22 ust. 1 ustawy Pzp – o udzielenie zamówienia mogą ubiegać się Wykonawcy, którzy:

1) nie podlegają wykluczeniu na podstawie art. 24 ust. 1 i ust. 5 w zakresie pkt. 1, 2, 4, 5, 6, 7, 8 wskazanych w dokumentach zamówienia zamieszczonych na stronie internetowej Zamawiającego, w Rozdz. IV „Informacje i wymagania dotyczące prowadzonego postępowania”,

2) spełniają warunki udziału w postępowaniu, określone przez Zamawiającego w niniejszym ogłoszeniu o zamówieniu.

Wykaz i krótki opis kryteriów kwalifikacji:

Zamawiający nie dokonuje opisu kryteriów kwalifikacji dotyczących sytuacji ekonomicznej i finansowej.

Wykaz i krótki opis kryteriów kwalifikacji:

1. Wykonawca jest zobowiązany wykazać, że w okresie 3 lat przed upływem terminu składania wniosków o dopuszczenie do udziału w postępowaniu, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie, należycie wykonał co najmniej:

a) 2 zamówienia (umowy), dotyczące wdrożenia systemu ochrony/zabezpieczenia systemu bankowości elektronicznej lub innych aplikacji internetowych*, w ramach którego to zamówienia Wykonawca świadczył także usługę wsparcia serwisowego dla wdrożonego systemu, na dzień składania wniosków o dopuszczenie do udziału w postępowaniu, przez okres co najmniej 10 miesięcy;

oraz

b) 2 zamówienia (umowy), które swoim zakresem obejmowały wdrożenie systemu zabezpieczeń informatycznych**, a wartość każdego zamówienia wynosiła nie mniej niż 600 000 PLN brutto ***.

* Przez aplikację internetową Zamawiający rozumie aplikacją webową – np. system bankowości internetowej lub inny system transakcyjny realizujący usługę w architekturze klient-serwer z wykorzystaniem sieci Internet lub inny system, który do realizacji swojej funkcjonalności wymaga dostępu do sieci Internet gdzie dostęp do danych, przetwarzanie danych oraz realizacja logiki biznesowej realizowana jest za pomocą kodu aplikacyjnego uruchamianego na serwerze z wykorzystaniem dostępu do sieci Internet, a interfejs aplikacji dla użytkownika/klienta dostępny jest za pomocą przeglądarki internetowej.

** Przez system zabezpieczeń informatycznych Zamawiający rozumie np. systemy klasy Next Generation Firewall, Next Generation Intrusion Prevention System, system klasy anty APT, WAF, NAV lub systemy analityczne dla wspomagania procesu zarządzania ryzykiem związanym z wykrywaniem i zapobieganiem nadużyć (fraud detection).

*** W przypadku, gdy wartość zamówienia (umowy) wyrażona jest w innej walucie niż w złotych polskich, Zamawiający dokona przeliczenia wartości wykonanego zamówienia w innej walucie na złote polskie – na podstawie średniego kursu złotego w stosunku do walut obcych określonego w Tabeli Kursów Narodowego Banku Polskiego, obowiązującego na dzień publikacji ogłoszenia o przedmiotowym zamówieniu w Dzienniku Urzędowym Unii Europejskiej.

2. Wykonawca jest zobowiązany wykazać, że dysponuje osobami skierowanymi do realizacji zamówienia, w tym:

a) co najmniej 1 osobą, która wykaże się co najmniej 3 letnim doświadczeniem w realizacji projektów bezpieczeństwa informatycznego jako kierownik zespołu wdrożeniowego, posiadającą kompetencje z obszaru bezpieczeństwa IT, potwierdzone co najmniej jednym z certyfikatów: CISSP, CISA, EC-Council Cenrtified Ethical Hacker CEH, Offensive Security OSCP lub innym równoważnym dokumentem**** potwierdzającym posiadane kompetencje;

b) co najmniej 2 osobami, które będą uczestniczyć we wdrożeniu systemu (przeznaczonego do ochrony/zabezpieczenia systemu bankowości elektronicznej lub innych aplikacji internetowych), będą wykonywać usługę wsparcia i utrzymania ww. systemu oraz które posiadają kwalifikacje zawodowe w zakresie instalacji i wdrożenia zaoferowanego przez Wykonawcę systemu potwierdzone stosownym certyfikatem lub zaświadczeniem o odbyciu szkolenia w tym zakresie lub innym równoważnym dokumentem**** potwierdzającym posiadane kwalifikacje zawodowe.

****Pod pojęciem dokumentu równoważnego Zamawiający rozumie inny dokument/certyfikat o charakterze specjalistycznym/profesjonalnym, wydany przez producenta systemu bezpieczeństwa lub inny podmiot akredytowany, potwierdzający kompetencje z obszaru bezpieczeństwa IT.

Wykonawca w celu potwierdzenia spełniania warunków udziału w postępowaniu, może polegać na zdolnościach technicznych lub zawodowych innych podmiotów, niezależnie do charakteru prawnego łączących go z nim stosunków prawnych, na zasadach określonych w art. 22a ustawy.

1. Warunki realizacji umowy zostaną określone w Specyfikacji Istotnych Warunków Zamówienia po przeprowadzeniu dialogu konkurencyjnego.

2. Zamawiający przewiduje możliwość udzielania zaliczki na zasadach określonych w art. 151 a ustawy Pzp.

Dialog konkurencyjny

Zamówienie jest objęte Porozumieniem w sprawie zamówień rządowych: tak

Data: 03/10/2016

Czas lokalny: 11:00

Data: 25/11/2016

Polski

Okres w miesiącach: 2 (od ustalonej daty składania ofert)

Jest to zamówienie o charakterze powtarzającym się: nie

Akceptowane będą faktury elektroniczne

Stosowane będą płatności elektroniczne

1. Zamawiający nie dzieli dialogu na etapy, w celu ograniczenia liczby rozwiązań, które będą przedmiotem dialogu w kolejnych etapach.

2. Zamawiający nie przewiduje przyznania nagród dla Wykonawców, którzy podczas dialogu przedstawili rozwiązania stanowiące podstawę do składania ofert.

3. Wykaz oświadczeń lub dokumentów potwierdzających spełnianie warunków udziału w postępowaniu oraz brak podstaw wykluczenia:

1) W zakresie potwierdzenia spełniania przez Wykonawcę warunków udziału w postępowaniu, Zamawiający żąda zgodnie z art. 26 ustawy Pzp następujących dokumentów:

a) wykazu, o którym mowa w par. 2 ust. 4 pkt 2 rozporządzenia Ministra Rozwoju z 26.7.2016 w sprawie rodzajów dokumentów, jakich może żądać zamawiający od wykonawcy w postępowaniu o udzielenie zamówienia (Dz.U. 2016 poz. 1126), zwanego dalej „rozporządzeniem ws dokumentów”,

b) wykazu, o którym mowa w par. 2 ust. 4 pkt 10 rozporządzenia ws dokumentów;

2) W zakresie braku podstaw do wykluczenia, Zamawiający żąda zgodnie z art. 26 ustawy Pzp i art. 24 ust. 11 ustawy Pzp następujących dokumentów:

a) oświadczeń i dokumentów, o których mowa w par. 5 pkt 1-9 rozporządzenia ws dokumentów,

b) oświadczenia, o którym mowa w par. 5 pkt 10 rozporządzenia ws dokumentów,

c) dokumentów i oświadczeń, o których mowa w par. 7 i 8 rozporządzenia ws dokumentów;

3) Do wniosku o dopuszczenie do udziału w postępowaniu należy dołączyć aktualny Jednolity Europejski Dokument Zamówienia, zgodnie z art. 25a i art. 22a ustawy Pzp;

4) Szczegółowe informacje na temat oświadczeń i dokumentów składanych przez Wykonawców na potwierdzenie spełniania warunków udziału w postępowaniu oraz braku podstaw wykluczenia zawiera dokumentacja zamówienia.

4. Zamawiający, zgodnie z treścią art. 60c ust. 1a ustawy Pzp, podaje kryteria oceny ofert w kolejności od najważniejszego do najmniej ważnego, tj.:

1) Cena brutto oferty,

2) Termin wykonania wdrożenia usługi będącej przedmiotem zamówienia,

3) Funkcjonalność.

Znaczenie powyższych kryteriów oceny ofert, Zamawiający określi w treści Specyfikacji istotnych warunków zamówienia po przeprowadzeniu dialogu konkurencyjnego.

5. Sposób porozumiewania się Zamawiającego z Wykonawcami oraz przekazywania oświadczeń i dokumentów został wskazany w dokumentach zamówienia zamieszczonych na stronie internetowej Zamawiającego, w Rozdz. VII „Informacje i wymagania dotyczące prowadzonego postępowania”.

6. Zamawiający udostępni Wykonawcy formularz Wniosku wraz z załącznikami w wersji edytowalnej, po otrzymaniu wniosku (prośby) przesłanego elektronicznie na adres: DKRZprzetargi@nbp.pl lub faksem na nr 22 185 12 11.

7. Opis sposobu przygotowania Wniosku o dopuszczenie do udziału w postępowaniu został określony w niniejszym ogłoszeniu oraz w dokumentach zamówienia zamieszczonych na stronie internetowej Zamawiającego, w Rozdz. IX „Informacje i wymagania dotyczące prowadzonego postępowania”.

8. Informacje dotyczące Wykonawców wspólnie ubiegających się o udzielenie zamówienia zostały wskazane w dokumentach zamówienia zamieszczonych na stronie internetowej Zamawiającego, w Rozdz. VIII „Informacje i wymagania dotyczące prowadzonego postępowania”.

Prezes Krajowej Izby Odwoławczej
ul. Postępu 17A
Warszawa
02-676
Polska
Tel.: +48 224587801
E-mail: uzp@uzp.gov.pl
Faks: +48 224587800

Adres internetowy:http://www.uzp.gov.pl

Prezes Krajowej Izby Odwoławczej
ul. Postępu 17A
Warszawa
02-676
Polska
Tel.: +48 224587801
E-mail: uzp@uzp.gov.pl
Faks: +48 224587800

Adres internetowy:http://www.uzp.gov.pl

Dokładne informacje na temat terminów składania odwołań:

Sposób oraz terminy składania odwołań w przedmiotowym postępowaniu zgodnie z przepisami Działu VI ustawy Pzp.

Prezes Krajowej Izby Odwoławczej
ul. Postępu 17A
Warszawa
02-676
Polska
Tel.: +48 224587801
E-mail: uzp@uzp.gov.pl
Faks: +48 224587800

Adres internetowy:http://www.uzp.gov.pl

02/09/2016