Zamawiający informuje, że w ramach realizacji projektu pt. WDROŻENIE E-USŁUG ŚWIADCZONYCH PRZEZ TOWARZYSTWO BUDOWNICTWA SPOŁECZNEGO WROCŁAW SP. Z O.O. o nr RPDS.02.01.02-02-0014/21 poszukuje Wykonawcy do wykonania następujących czynności:

1. Przedmiotem zamówienia jest przeprowadzenie testów bezpieczeństwa i audytu systemów informatycznych na zgodność z wymaganiami Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 w sprawie ochrony osób fizycznych (RODO), ustawy z dnia 10 maja 2018 o ochronie danych osobowych oraz rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności oraz zgodnych z warunkami uczestnictwa w programie RPO-WD 2014-2020 w zakresie E-usług publicznych, konkurs w ramach Osi priorytetowej 2 Technologie informacyjno-komunikacyjne, Działanie 2.1. E-usługi publiczne, Poddziałanie 2.1.2 E-usługi publiczne – ZIT WROF, Nr naboru RPDS.02.01.02-IZ.00-02-409/20.

Przygotowanie dokumentów instruktażowych dla potencjalnych klientów e-usług wdrażanych przez TBS Wrocław Sp. z o .o.

2. Zakres systemów informatycznych obejmuje systemy i usługi wdrożone w ramach projektu pn. „Wdrożenie E-Usług Świadczonych Przez Towarzystwo Budownictwa Społecznego Wrocław Sp. z o.o.” i obejmuje w szczególności:

1) Zintegrowane Oprogramowanie System5 wdrażane na podstawie zawartej umowy z dnia 17.08.2022 z firmą SACER s.c., z siedzibą: 81-342 Gdynia, ul. Waszyngtona 34/36 ,NIP 586-005-22-23, REGON 190604940 wyłonionej w drodze postępowania ZZP.360.14.2022

Oprogramowanie to, zgodnie z wymaganiami Opisu Przedmiotu Zamówienia, zawiera w sobie przedmiotowe systemy w ramach modułów które wymagane były w projekcie „Wdrożenie E-Usług Świadczonych Przez Towarzystwo Budownictwa Społecznego Wrocław Sp. z o.o.”, a którymi są: System Zarządzania Organizacją (ERP) wraz z portalem do świadczenia usług drogą elektroniczną (eBOK), System Obiegu Dokumentów (EOD) wraz z integracją ePUAP oraz 16 e-usług publicznych wraz z udostępnionymi aplikacjami mobilnymi.

2) System wydruku i skanowania wraz z modułem OCR.

3) Wdrożone rozwiązania techniczne dotyczące serwerowni w tym systemów zabezpieczeń, systemów operacyjnych oraz składowania danych.

3. Szczegółowe wymagania audytu i testów bezpieczeństwa:

Przeprowadzony audyt obejmie w szczególności analizę stanu faktycznego przetwarzania i ochrony danych osobowych w zakresie zabezpieczeń fizycznych oraz weryfikację:

1) zdefiniowania celów dla przetwarzania danych osobowych oraz sposobu ich komunikowania podmiotom przetwarzania danych

2) procedur zatwierdzania, stosowania oraz przeglądu odpowiednich klauzul informacyjnych podczas zbierania danych osobowych

3) oświadczeń woli (w tym zgody osoby, której dane dotyczą, na przetwarzanie danych),

4) umów powierzenia przetwarzania danych osobowych,

5) procedury mającej na celu projektowanie, zatwierdzanie, przegląd przed zastosowaniem klauzul i

6) umów dot. powierzenia przetwarzania

7) procedury nadawania upoważnień dla osób przetwarzających dane osobowe wraz z treścią

8) upoważnienia

9) oświadczenia o zachowaniu w poufności przetwarzanych danych

10) ewidencji osób upoważnionych do przetwarzania danych

11) wytycznych dla systemów informatycznych przetwarzających dane osobowe oraz nadzór nad

12) realizacją określonych wymogów,

13) wdrożonych zabezpieczeń w obszarze IT,

14) innych procedur zarządzania systemami informatycznymi,

15) procedur w zakresie zapewnienia ciągłości działania systemów informatycznych,

16) sposobu nadawania uprawnień do pracy w systemach informatycznych,

17) częstotliwości i sposobu zmiany haseł przez użytkowników,

18) polityki bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym służącym do

19) przetwarzania danych osobowych.

Testy bezpieczeństwa dotyczyć będą obszarów aplikacji internetowych realizujących e-usługi oraz sieć lokalną, a w szczególności:

1) audyt kodu aplikacji,

2) testy penetracyjne

a. test serwera WWW,

b. test aplikacji w dostępie publicznym,

c. test aplikacji po uwierzytelnieniu,

d. test interfejsów bazy danych.

3) testy penetracyjne sieci lokalnej

a. test penetracyjny punktu styku z Internetem

b. kontrolowana próba obejścia zabezpieczeń,

c. testy uwierzytelnienia sieciowego,

d. testy penetracyjne OS.

Celem ww. prac jest identyfikacja możliwie jak największej podatności mogących stanowić zagrożenie dla bezpieczeństwa przetwarzanych i przechowywanych danych, a w przypadku stwierdzenia poważnych odstępstw od standardów wskazanie zaleceń i wykonanie retestów

4. Szczegóły dotyczące dokumentacji i raportów po audytowych

1) Zamawiający oczekuje przygotowania raportu w zakresie wymienionych w pkt. 3 obszarów ze wskazaniem zidentyfikowanych zagrożeń wraz ze wskazaniem kierunków doskonalenia.

2) Opracowania materiałów instruktażowych dla potencjalnych klientów e-usług wdrażanych przez TBS Wrocław Sp. z o .o. w przywołanym projekcie. Zakres merytoryczny materiałów będzie dodatkiem do instrukcji użytkownika poszczególnych e-usług i powinien uświadamiać zagrożenia oraz korzyści wynikające ze stosowania takich rozwiązań, zawierać praktyczne rady i wskazówki do bezpiecznego korzystania z takiego kanału komunikacji oraz budowania świadomości społeczeństwa informacyjnego.

Materiały te mają mieć postać elektroniczną i oprócz dodatku do instrukcji użytkownika e-usług stanowić wkład do szkoleń, prelekcji i warsztatów organizowanych przez TBS Wrocław Sp. z o.o.. Opracowana dokumentacja nie może posiadać żadnych ograniczeń licencyjnych i umożliwiać bez ograniczeń publikację on-line poprzez strony i portale Zamawiającego.

Zamawiający będzie wymagał zawarcia umowy NDA.