Achiziție - Servicii de dezvoltare a soluției complexe care include componentă tehnică și de program destinate creării cheilor publice și private, și creării, verificării, validări a serviciilor de încredere calificate
Achiziție Serviciul Tehnologia Informaţiei şi Securitate Cibernetică
Informație generală
Servicii de dezvoltare a soluției complexe care include componentă tehnică și de program destinate creării cheilor publice și private, și creării, verificării, validări a serviciilor de încredere calificate
Surse de finanțare
suma planificată 15,416,667.00 MDL
Detalii achiziție
| Valoare | CPV | Titlu achiziției | Cantitate | Livrare |
|---|---|---|---|---|
| 15,416,667.00 MDL | 48810000-9 | Servicii de dezvoltare a soluției complexe care include componentă tehnică și de program destinate creării cheilor publice și private, și creării, verificării, validări a serviciilor de încredere calificate | 1 Bucata | Lot anulat |
Documente
Persoană de contact
Clarificări
În secțiunea Licență din caietul de sarcini, este menționată o licență perpetuă, cu un număr de utilizatori de 2 milioane și tranzacții nelimitate. Totuși, având în vedere că sunt solicitate servicii de dezvoltare pentru componente tehnice și de program, solicităm clarificarea modului în care se vor aplica aceste licențe în contextul componentelor dezvoltate la cerere. Această ambiguitate poate fi interpretată greșit de către ofertanți, creând confuzii în ceea ce privește costurile și modelul de licențiere aplicabil.
Astfel de omisiuni sau lipsa clarității în descrierea cerințelor contravin principiilor esențiale ale transparenței, egalității de tratament și competiției corecte prevăzute de legislația privind achizițiile publice. Neconformitatea acestui aspect cu cerințele legale poate afecta întregul proces de achiziție și poate duce la depunerea unor oferte eronate sau incomplete.
Vă solicităm să revizuiți în întregime caietul de sarcini, clarificând explicit termenii de licențiere, în special în contextul serviciilor de dezvoltare solicitate, pentru a respecta în totalitate principiile legale și a asigura un proces competitiv echitabil.
Licența perpetua presupune funcționarea acestei pe întreagă perioada de viața a soluției solicitate, aceasta condiția este obligatorie pentru asigurare independenței funcționării soluției și raționalizării cheltuielilor pentru întreținerea și mentenanța a acestei. Număr utilizatorilor indicat este necesar pentru determinarea capacității tehnice de stocare a cheilor private/publice a utilizatorilor serviciilor de încredere. Reieșind din interesul utilizatorilor în adopția serviciilor de încredere calificate fără utilizarea tokenelor sau dispozitivelor puse la dispoziție de operatorii de telefonie mobilă, numărul utilizatorilor și tranzacțiilor este argumentat.
“Componentele și soluția în general trebuie să fie în conformitate cu standardelor internaționale inclusiv cu FIPS 140-2 sau de CommonCriteria, precum și la nivel UE” — Există cerințe suplimentare de conformitate care nu sunt menționate în document? Vor fi actualizări a standardelor în viitorul apropiat? Cine va fi responsabil de monitorizare si actualizare a acestor prevederi?
Cerința menționată este stabilită de pct. 72 din Regulamentul privind activitatea prestatorilor de servicii de încredere calificați, aprobat prin Hotărârea Guvernului nr. 184/2023. Totodată, potrivit pct. 71 din același regulament funcționarea standardelor naționale și a specificațiilor tehnice TIC este realizată în conformitate cu Legea nr. 20/2016 cu privire la standardizarea națională. Suplimentar, conform pct. 51 din regulamentul menționat, confirmarea corespunderii dispozitivelor de creare a semnăturilor electronice sau a sigiliilor electronice, a dispozitivelor de verificare a semnăturilor electronice sau a sigiliilor electronice și/sau a produselor cu cerințele stabilite de cadrul normativ se realizează prin avizarea acestora de către organul de supraveghere și control (Serviciul de Informații și Securitate al RM).
“Soluția trebuie să ofere capacitatea de a configura branding la nivel de organizație” — Aceasta cerința presupune doar configurarea de logo si gama de culori?
Capacitatea de a configura branding la nivel de organizație, din compartimentul „Portal de organizare” se referă la capacitatea personalizării portalului de utilizare, inclusiv unor mecanisme de personalizare a amprentei digitale pe documentul electronic, ca rezultat a aplicării semnăturii sau sigiliului electronic.
Referitor la cerința ca Modulul SAM să realizeze următorii algoritmi: RSA 2048, 3072, 4096, 8192, ECDSA 256, 384, 521, SHA-256, SHA-384, SHA-512, vă rugăm să ne precizați dacă aceste specificații au fost stabilite ținând cont de tendințele actuale și de evoluțiile anticipate în domeniul PKI pe termen mediu și lung, având în vedere tranziția către algoritmi post-cuantici și cerințele viitoare de securitate?
Algoritmii incluși în caietul de sarcini acoperă maximum posibil funcționalul infrastructurii cheilor publice și a fost determinat inclusiv ținând cont de tendințele actuale și de evoluțiile anticipate în domeniul PKI.
Our company, based in Tallinn and with extensive experience in public procurement procedures both in Estonia and across other EU member states, has conducted a thorough analysis of the terms of reference. We would like to highlight some significant concerns that cast doubt on the transparency and fairness of this procurement process.
Firstly, we have identified that certain requirements in the document are drafted in a manner that can lead to confusion and misinterpretation, particularly regarding the solution’s compatibility with current standards and technologies. For instance, the specifications related to compatibility with various operating systems and databases lack precise details regarding the supported versions or interoperability requirements. This ambiguity allows room for subjective interpretation and may favor specific bidders over others, thereby violating the principle of equal opportunity.
Secondly, we noticed that the requirements regarding integration with the specified hardware security modules (HSM) are insufficiently detailed, leaving critical aspects concerning compliance with relevant European and international standards unclear. Furthermore, the exact manner in which these modules will interact with the broader infrastructure remains ambiguous. Such an approach could jeopardize the security and functionality of the final solution, which are paramount to the success of any large-scale project.
Given these observations, we strongly recommend a comprehensive revision of the terms of reference. It is crucial that the requirements are articulated with clarity and precision, and that the project timelines are realistic. We suggest setting a development and implementation period of at least 6-9 months. Such a revision would ensure fair and transparent competition while guaranteeing the delivery of a compliant and effective solution.
În scopul asigurării posibilității participării mai multor ofertanți, liberalizând tehnologiile utilizate de către aceștia, caietul de sarcini include strict necesar pentru acoperirea necesităților. Totodată, stabilirea unor tehnici, versiuni și cerințe va crea situația de favorizarea a unui anumit ofertant, faptul neacceptabil pentru autoritatea care respectă prevederile cadrului normativ în domeniul achizițiilor publice. De remarcat faptul că, caiet de sarcini și documentația aferentă a fost avizată de către Ministerul Dezvoltării Economice, Serviciul de Informații și Securitate și Agenția de Guvernare electronică.
Va rugam sa raspundeti la intrebari clar, demonstrind transparenta si corectitudine. Raspunsurile dvs vagi din nou demonstreaza intentia dvs de a juca dupa regulile unora. Conducerea, vine si pleaca, dar angajatii de rind, membrii grupului de lucru, vor trebui sa raspunda, in primul rind. Prin aceasta va indemn la corectitudine si transparenta! Atunci cind nu stii cum sa procedezi cind cineva preseaza, si da indicatii, procedeaza conform legii! Prin raspunsul dvs atenerior ati mentionat ca caietul de sarcini nu vavorizeaza nici un producator, fapt care din nou, constient raspundeti conform indicatiilor, dar nu conform legii!
Acest asa numit caiet de sarcini reprezinta un shopping list de la ascertia.com, dar nicidecum un caiet de sarcini cu cerinte prescriptive. Ati mentionat ca documentatia aferenta si caietul de sarcini a fost avizata cu 3 autoritati publice, avind in vedere ca vorbim de bani publici, vorbim de transparenta, va rugam sa publicati toate aceste avize.
Conținutul demersului nu include întrebare. Totodată, avizele autorităților la caiet de sarcini nu constituie partea a achiziției. Avizele, precum și altă informația necesară poate fi prezentată la solicitarea oficială în adresa STISC.
Care este sensul păstrării cerinței de certificare cumulativă a modulului SAM Common Criteria EAL4+ și EN 419 241 1 & 2 dacă Regulamentul aprobat prin HG 184 din 2023 la pct. 72 prevede necesitatea certificării soluției pentru unul din standard? De ce nu poate fi soluția certificate conform altor standard din listă? Solicităm crearea condițiilor egale pentru toți potențialii operatori care dispun de soluții certificate conform altor standard.
Interesul cetățeanului și direcția de dezvoltare a digitalizării tinde spre creare mecanismului în care nu este necesară păstrarea datelor de creare a semnăturii electronice la dispozitiv personal, fie token, card sau SIM. În acest, sens este oportună implementarea unei soluției remote/cloud protejate certificate. Astfel, conformitate cu aceste două standarde face posibilă crearea și prelucrarea sigură a cheilor în cloud. Corespunderea cu alte standarde la fel este inclusă în caiet de sarcini.
De menționat, crearea unei soluției sigure și protejate, care să corespundă cerințelor inclusiv europene este o prioritate pentru STISC.
Cum va fi abordată testarea soluției înainte de implementarea finală? Există un plan detaliat de testare? Din ce înțelegem prin soluția livrată se creare a sute sau mii de semnături pe secundă. Dacă se vrea să se facă lucrurile profesionist trebuie să fie realizate teste de perfomanță și aplicată o etapă de optimizare. Cine va fi responsabil pentru teste?
Etapa de testarea soluției este inclusă în caiet de sarcini, desfășurarea acestei va fi realizată în conformitate cu prevederile cadrului normativ și standardelor în domeniul fără a periclita funcționarea infrastructurii existente.
Care sunt livrabilele specifice ale proiectului? Ce criterii de acceptanță vor fi utilizate pentru validarea acestora?
Specificații explicite sunt detaliat descrise în caiet de sarcini.
Există așteptări privind propunerea unor soluții inovative? Cum ar fi tratată implementarea unor soluții care se bazează pe conceptul de SplitKey sau alte tehnologii avansate?
Ofertele prezentate trebuie să corespundă condițiilor prezentate în caietul de sarcini. Fiecare ofertă va fi examinată în conformitate cu prevederile cadrului normativ în domeniul.
Va rugam sa ne clarificati, ce are infrastructura existenta cu solutia care doriti sa o procurati daca se solicita o solutie ce include toate componentele?
de ce se face referinta, daca tehnologiile moderne permit crearea aplicatiilor cloud-native, care nu sunt dependente de sistemele de operare?
va rugam sa eliminati aceste prevederi lipsite de sens si argumente tehnologice.
La moment, lipsește un instrument care va integra concomitent: crearea, verificarea și validarea semnăturii electronice, management, măcar primitiv al documentelor electronice, management al cheilor publice/private. Suplimentar, extinderea funcționalității și modului de aplicarea a infrastructurii cheilor publice, presupune dezvoltarea și implementarea sigiliul electronic.
La cerințele de la API-ul Mobile Application Interfaces aplicația GHESAR_MoldSign_2024 este dezvoltată sau urmează? Este proprietatea companiei cu același nume? Dacă da cum se va realiza conlucrarea cu aceasta?
Versiunea finala a caietului de sarcini nu include acest component.
Va rugam sa ne clarificati, ce are infrastructura existenta cu solutia care doriti sa o procurati daca se solicita o solutie ce include toate componentele?
de ce se face referinta, daca tehnologiile moderne permit crearea aplicatiilor cloud-native, care nu sunt dependente de sistemele de operare?
va rugam sa eliminati aceste prevederi lipsite de sens si argumente tehnologice.
Conținutul demersului nu include întrebare. Totodată, procesul de achiziție este realizat cu respectarea cadrului normativ în domeniul achiziției publice.
Există cerințe specifice pentru mentenanța și suportul tehnic post-implementare? Cine va fi responsabil pentru actualizările de securitate și cum vor fi gestionate acestea?
Cadrul normativ în domeniul achiziției limitează pe beneficiar achiziționarea serviciilor de mentenanță pe o perioadă îndelungată.
Va rugam sa ne clarificati, ce are infrastructura existenta cu solutia care doriti sa o procurati daca se solicita o solutie ce include toate componentele?
de ce se face referinta, daca tehnologiile moderne permit crearea aplicatiilor cloud-native, care nu sunt dependente de sistemele de operare?
va rugam sa eliminati aceste prevederi lipsite de sens si argumente tehnologice.
Modul de funcționare, standardele de referință și cerințe de funcționare sunt incluse în caietul de sarcini. Totodată, tehnologia utilizată urmează să acopere maximum necesar pentru prestarea serviciilor de încredere calificate.