Achiziție - Servicii de dezvoltare a soluției complexe care include componentă tehnică și de program destinate creării cheilor publice și private, și creării, verificării, validări a serviciilor de încredere calificate
Achiziție Serviciul Tehnologia Informaţiei şi Securitate Cibernetică
Informație generală
Servicii de dezvoltare a soluției complexe care include componentă tehnică și de program destinate creării cheilor publice și private, și creării, verificării, validări a serviciilor de încredere calificate
Surse de finanțare
suma planificată 15,416,667.00 MDL
Detalii achiziție
| Valoare | CPV | Titlu achiziției | Cantitate | Livrare |
|---|---|---|---|---|
| 15,416,667.00 MDL | 48810000-9 | Servicii de dezvoltare a soluției complexe care include componentă tehnică și de program destinate creării cheilor publice și private, și creării, verificării, validări a serviciilor de încredere calificate | 1 Bucata | Lot anulat |
Documente
Persoană de contact
Clarificări
cernta:Soluția trebuie să:
• Suportă mai multe sisteme de operare, inclusiv Microsoft Server și diverse distribuții Linux
• Ofere compatibilitate cu o gamă largă de baze de date, inclusiv Microsoft SQL Server, Oracle, PostgreSQL, MySQL și Percona-XtraDB-Cluster
• Asigure securitatea datelor cu modulele de securitate hardware (HSM) precum Utimaco CP5, Thales Luna și Entrust nShield
este un abus vadit!, va rugam sa revizuiti in totalitate cerinta!
Compatibilitatea cu sisteme informaționale existente în cadrul infrastructurii informaționale existente guvernamentale, inclusiv cu module de securitate hardware este cerința indispensabilă, care va asigura integrarea și interconectarea cu funcționalul existent a PKI.
Stimate Autoritate Contractanta. In urma informațiilor apărute pe rețele de socializare cu învinuiri că prezentă procedura de achiziție încalcă mai multe prevederi legale, solicităm să precizați și să demonstrați cum pentru aceasta achiziție este respectat cadrul legal și anume pct. 1 din Regulament cu privire la modul de planificare a contractelor de achiziții publice aprobat prin HG 1419/2016 care prevede că ”autoritatea contractantă este obligată să planifice contracte de achiziții publice, care urmează a fi încheiate ca rezultat al desfășurării procedurilor de achiziție publică, cu respectarea principiilor asigurării concurenței, eficienței, transparenței, tratamentului egal, nediscriminării şi nedivizării acestora”.
Or potrivit pct. 4 sbpct. 4) și sbpct. 5) din HG 544/2019 cu privire la unele măsuri de organizare a procesului de achiziții în domeniul tehnologiei informației și comunicațiilor autoritatea contractantă urmează să elaboreze planul general de achiziții pentru tehnologii informaționale și comunicații, respectând principiul reflectării tuturor tipurilor de achiziții, indiferent de sursa și tipul de finanțare sau achiziție, precum și va coordona cu Instituția publică „Agenția de Guvernare Electronică” și va aviza planul generale de achiziții pentru tehnologii informaționale și comunicații și modificările operate la acestea, precum și va asigura publicarea planurilor aprobate pe pagina oficială.
Totodată, pct. 8 din Metodologia de coordonare a achizițiilor în domeniul tehnologiei informației și comunicațiilor aprobată prin HG 544/2019 cu privire la unele măsuri de organizare a procesului de achiziții în domeniul tehnologiei informației și comunicațiilor, obligă că autoritățile/instituțiile inclusiv și Instituția Publică Serviciul Tehnologia Informației și Securitate Cibernetică:
1) vor iniția achiziții în domeniul TIC în strictă conformitate cu limitele bugetare planificate și aprobate, în baza Planului general de achiziții aprobat de Agenție, în corespundere cu prevederile prezentei Metodologii;
2) înainte de lansarea procesului de achiziție, indiferent de categoria de risc a acesteia, vor coordona oportunitatea achiziției cu Agenția, care va decide în acest sens și va înainta recomandări în privința justificării și argumentării oportunității achiziției;
3) înainte de lansarea procesului de achiziție, indiferent de categoria de risc a acesteia, vor asigura coordonarea cu Agenția a documentației aferente procesului de achiziție (anunț, caiet de sarcini, criterii de calificare, termene de referință, sarcină/specificație tehnică etc.);
4) pentru achizițiile din categoriile de risc I, II și III, vor asigura implicarea obligatorie a reprezentantului desemnat al Agenției în întreg procesul de achiziție, cu atragerea acestuia în grupul de lucru pentru desfășurarea achiziției. Prin derogare, Agenția poate recomanda, la etapa de coordonare menționată la subpct. 1), implicarea obligatorie a reprezentantului desemnat al Agenției în grupul de lucru pentru desfășurarea achiziției și pentru achizițiile din categoria de risc IV, în funcție de particularitățile achiziției, impactul social etc.;
Ca urmare, solicităm respectuos să prezentați documente sau link-uri la aceste documente care ar confirma ca procedura curentă de achiziție este:
Planificată, iar Planul este coordonat cu Instituția publică „Agenția de Guvernare Electronică” și publicat pe pagina oficiala a autorității contractante,
Oportunitatea acestei achiziției este coordonată cu Instituția publică „Agenția de Guvernare Electronică”, care a decis în acest sens și a înaintat recomandări în privința justificării și argumentării oportunității acestei achiziției,
Documentația aferentă procesului de achiziție (anunț, caiet de sarcini, criterii de calificare, termene de referință, sarcină/specificație tehnică etc.) coordonată cu Instituția publică „Agenția de Guvernare Electronică”,
Nume și Prenume a reprezentantului Instituției publică „Agenția de Guvernare Electronică” care este atras în grupul de lucru pentru desfășurarea achiziției.
În cazul lipsei confirmărilor din partea autorității contractante prezentă procedura de achiziție publică urmează a fi anulată în conformitatea cu art. 71 subpct. g) din Legea 131/2015 cu privire la achiziții publice care prevede anularea procedurii în cazul existenții abaterii grave de la prevederile legale care afectează rezultatul procedurii de atribuire sau face imposibilă încheierea contractului. Prin abateri grave de la prevederile legale se înțelege faptul că pe parcursul analizei, evaluării şi/sau finalizării procedurii de atribuire se constată erori sau omisiuni, autoritatea contractantă aflîndu-se în imposibilitatea de a adopta măsuri corective fără ca acestea să conducă la încălcarea principiilor prevăzute la art. 7.
Conținutul demersului nu include întrebare. Totodată, avizele autorităților la caiet de sarcini nu constituie partea a achiziției. Avizele, precum și altă informația necesară poate fi prezentată la solicitarea oficială în adresa STISC.
“Posibilitatea integrării în infrastructura cheilor publice și servicii de marcare temporală existente” — Aceste servicii au documentație si suport pentru integrare si documentația configurării existente?
Serviciile care urmează a fi integrate în soluția solicitată au API (Application Programming Interface) pentru integrarea în cadrul altor interfețe, totodată interconectarea tehnică a componentelor hardware și software a infrastructurii cheilor publice include și necesitatea utilizării bibliotecilor, protocoalelor și setărilor suplimentare. Documentația de configurare a componentelor infrastructurii cheilor publice gestionate de către STISC, acoperă nevoile pentru interconectarea și integrarea.
“Oferirea mediului de testare (pre-producție) și mediului de producție și mediul de recuperare în caz de dezastru” — Cine asigura aceste medii, ofertantul sau beneficiarul?
Caietul de sarcini este orientat pentru a fi utilizat de către ofertanți, astfel, punerea la dispoziție a mediilor de testare și de producție este cerință pentru ofertanți.
“Acceptă mai multe tipuri de flux de lucru hibrid, în serie de semnături (de exemplu, un flux de lucru care definește o ordine de secvență pentru semnatarii unui document, un flux de lucru în care fiecare semnatar semnează „copia sa” a documentului sau o combinație a ambelor)” — fluxurile vor fi predefinite la dezvoltare ca hard-code, sau se cere ca ele se fie configurabile si dinamice?
Lipsa unor specificații exprese presupune necesitatea acoperirii scenariilor în care fluxurile sunt predefinite și scenarii în care fluxurile pot fi customizate (personalizate).
“Ofere posibilitatea de a configura gateway-uri de plată” — Cate gateway-uri de plata se planifica de a fi integrate? Se cunoaște care vor fi ele?
Cantitatea gatewey-urilor este dependentă de nivelul de extindere a soluției și nu este cazul să fie stabilit numărul gateway-urilor planificate. Este necesară existența posibilității configurării acestor.
“Asigurarea integrității jurnalelor de evenimente pentru orice tip de investigație (forensics)” — se referă la o metoda sau format anume de jurnalizare? Va rugam sa da-ti mai multe detalii.
Se referă la procedura de asigurare a integrității jurnalelor de evidențe, care trebuie sa garanteze faptul că datele din registrele sunt prezente, disponibile și integre.
“Furnizeze un raport sigilat de dovezi ale fluxului de lucru care curprinde fiecare detaliu al procesului de semnătură” — Ce presupune “un raport sigilat de dovezi”. Se refera la jurnalizarile de audit, sau e ceva mai complex?
Funcția dată se referă la fluxurile de lucru și procese, ceea ce presupune existența funcționalului de evidența a faptului că documentul electronic a fost expediat, semnat, vizualizat, contrasemnat.
“Oferere capabilități avansate de raportare” — Cate rapoarte trebuie sa fie disponibile? Capabilitati avansate se referă la construire dinamica a rapoartelor sau doar filtrări predefinite a datelor?
Portalul administratorului trebuie să ofere mecanisme suficiente pentru realizarea evidenței evenimentelor în mediul administrat, precum și posibilitatea raportării acestor. Stabilirea expresă a numărului de rapoarte este irațională or aceasta este dependentă de intensificarea utilizării soluției, numărului utilizatorilor și numărului tranzacțiilor efectuate.
Va rugam sa specificati daca exista deja echipamente specifice la sediul Beneficiarului - care sunt aceatea si ce caracteristici au si daca acestea trebuie integrate in solutia ofertata?
Beneficiarul, în calitate de prestator de servicii de încredere, care realizează gestionarea infrastructurii cheilor publice guvernamentale, care include componentelor hardware și software variate, inclusiv module de securitate hardware (inclusiv HSM Utimaco CryptoServer, Thales Luna, Entrust), dispozitive de creare a semnăturii electronice (ePass, CryptoMate, Thales -Safenet).
va rugam sa clarificați următoarea cerință:Soluția trebuie să vină cu sau să se integreze cu MobileCA pentru a genera Certificat pentru dispozitive mobile pentru a semna SAD.
ce presupune? va referiți la inteligenta artificiala?
Cerința menționată se referă la funcționalul creării cheilor și a semnăturii electronice aplicate prin intermediul operatorului de telefonie mobilă. Reieșind din faptul că tehnologia creării cheilor și semnăturii electronice, precum și funcționarea infrastructura cheilor publice pentru creare cheilor și semnăturii electronice mobile este diferită de cea în baza de token și card, este necesară existenței în soluția a mecanismului care va asigura integrarea, interconectarea soluțiilor existente sau să ofere un mecanism propriu de crearea certificatelor.
Cu referire la cerinta: Modulul SAM trebuie să fie certificat în Common Criteria EAL4+ și EN 419 241 1 & 2.
Intrebare: In scopul asigurarii unei achizitii transparente, abstractizindu-ne de cele ce se vehiculeaza in presa, rugam sa precizati de ce s-a solicitat "Common Criteria EAL4+ și EN 419 241 1 & 2" ? cind conform cadrului european, poate fi sau?
va rugam substituirea sintagmei "si" cu "si/sau"
Cerința menționată este stabilită de pct. 72 din Regulamentul privind activitatea prestatorilor de servicii de încredere calificați, aprobat prin Hotărârea Guvernului nr. 184/2023. Common Criteria EAL4+ este rezultatul certificării în standardul ISO/IEC 15408:2020 Tehnologia informației. Tehnici de securitate. Criterii de evaluare a securității IT, părțile 1-5.
Menționăm, în scopul adoptării la viitor a soluției la nivel UE, caietul de sarcini prevede și necesitatea îndeplinirii de către SAM a cerințelor FIPS 140-2 Nivel 3, Regulamentul eIDAS, EN 419 241-1 & 2, TS 119 4-1, TS 119 4-2, TS 119 432.
Stimata Autoritate,
va rugam sa ne clarificati si sa ne informati daca au fost respectate toate procedurile de organizare si publicare a acestei achizitii, prezentind toate documentele mentionate in intrebarea anterioara, la care v-ati eschivat sa raspundet.
În procesul achiziției a fost respectat cadrul normativ în domeniul achizițiilor publice. De remarcat faptul că, caiet de sarcini și documentația aferentă a fost avizată de către Ministerul Dezvoltării Economice, Serviciul de Informații și Securitate și Agenția de Guvernare electronica. Totodată, avizele autorităților la caiet de sarcini nu constituie partea a achiziției. Avizele, precum și altă informația necesară poate fi prezentată la solicitarea oficială în adresa STISC.
În ce măsură este posibilă flexibilizarea cerințelor de certificare pentru SAM conform altor standarde acceptate internațional, în afara celor menționate în Regulament? Este permisă o soluție certificată conform unui alt standard din lista prevăzută în pct. 72 din HG 184/2023?
Corespunderea cu standarde prevăzute în lista în pct. 72 din Regulament aprobat prin HG 184/2023, nu sunt suficiente pentru asigurarea unui nivel corespunzător de protecție pentru tehnologia solicitată (remote/cloud). Menționăm, în scopul adoptării la viitor a soluției la nivel UE, caietul de sarcini prevede și necesitatea îndeplinirii de către SAM a cerințelor FIPS 140-2 Nivel 3, Regulamentul eIDAS, EN 419 241-1 & 2, TS 119 4-1, TS 119 4-2, TS 119 432.
Cine va suporta costurile asociate certificării SAM și HSM conform standardelor cerute? Este inclus acest aspect în bugetul proiectului?
Modul de funcționare, standardele de referință și cerințe de funcționare sunt incluse în caietul de sarcini. Totodată, tehnologia utilizată urmează să acopere maximum necesar pentru prestarea serviciilor de încredere calificate.
Aplicațiile vor trebui integrate cu alte sisteme guvernamentale ex. RSP, MPass, MSign, MConnect sau altele? Dacă da, ce specificații tehnice sunt disponibile pentru a asigura o integrare fluidă?
Caietul de sarcini, în ceea ce ține de interconectare și integrare, prevede :
- Posibilitatea integrării în infrastructura cheilor publice și servicii de marcare temporală existente;
- Posibilitatea interconectării și integrării cu componentele hardware existente (HSM) (inclusiv Utimaco CryptoServer CP5);
- Posibilitatea extinderii capacităților prin crearea și păstrarea cheilor publice și private a utilizatorilor semnăturii electronice în HSM/ cloud protejat;
- Existența posibilității de utilizare a tehnologiilor prin intermediul telefonului mobil
Ce nivel de detaliu este necesar pentru documentația tehnică a soluției? Există cerințe specifice pentru documentarea fluxurilor de lucru, procedurilor de securitate și integrării cu alte sisteme?
Documentarea trebuie să fie realizată în conformitate cu prevederile caietului de sarcini, cadrului normativ în domeniu și standardelor de referință.
Aplicațiile web, desktop și mobile trebuie să fie evaluată conform unuia din standardele de la pct. 73 din Regulament? De către cine ar trebui să fie evaluate?
Caiet de sarcini prevede necesitatea corespunderii soluției cu standarde inclusiv stabilite de cadrul normativ. Suplimentar, caietul de sarcini nu prevede procedura de evaluare.
Aplicația mobilă trebuie să fie compatibilă cu multiple platforme (iOS, Android)? Dacă da, există cerințe specifice pentru fiecare platformă în parte, mai ales în ceea ce privește integrarea cu elementele securizate disponibile pe fiecare dispozitiv?
În scopul asigurării posibilității participării mai multor ofertanți, excluzând favorizarea unor anumite companii și tehnologii pentru dezvoltarea ofertant trebuie să asigură disponibilitatea funcționării soluției general prin intermediul interfeței web și aplicației mobile (inclusiv pentru Android și iOS).
Pot fi generate certificate direct pe telefonul utilizatorului pentru autentificare securizată și protejarea cheii private? Ce standarde internaționale ar trebui să respecte tehnologia de generare a certificatelor pe dispozitive mobile?
Modul de funcționare și standardele de referință sunt incluse în caietul de sarcini. Totodată, tehnologia utilizată urmează să acopere maximum necesar pentru prestarea serviciilor de încredere calificate.