Transcript Onderhandse aanbesteding pentest

Dienstencentrum Inkoop
Gezocht:
De beste leverancier voor
Pentest Gebiedsreferenda
voor Rotterdam
Meervoudig onderhandse
aanbesteding
Naam Project: Pen- en hacktest Gebiedreferenda
Nummer Project: 3-294-15
Gemeente Rotterdam
Cluster Dienstverlening
Pagina 1 van 20
Projectnaam: P e n - en hacktest gebiedsreferenda
Projectnummer: 3 - 2 9 4 - 1 5
Documentcode: Beschrijvend document_l
Datum 18-06-2015
Status: definitief
Dienstencentrum Inkoop
Inhoudsopgave
1. I n l e i d i n g 3
1.1. A a n b e s t e d e n d e dienst
1.1.1. C o n t a c t g e g e v e n s 3
3
1.2. A c h t e r g r o n d en aanleiding van de aanbesteding
3
1.3. B e s c h r i j v i n g van de opdracht en omvang van de overeenkomst4
1.3.1. S c o p e 4
1.3.2. O m v a n g 4
1.3.3. D o e l s t e l l i n g e n
4
1.4. O v e r e e n k o m s t 5
1.4.1. A a r d van de overeenkomst5
1.4.2. P a r t i j e n bij de overeenkomst5
1.5. S o c i a l return5
2. A a n b e s t e d i n g algemeen7
2.1. U i t g a n g s p u n t e n 7
2.1.1. A l g e m e e n 7
2.1.2. V e r t r o u w e l i j k h e i d 8
2.1.3. O p te nemen gegevens8
2.1.4. V a r i a n t e n
8
2.2. P r o c e d u r e e l 9
2.2.1. A a n b e s t e d i n g s p l a t f o r m 9
2.2.2. D a t u m , plaats en tijdstip van indiening inschrijving
2.2.3. I n d i c a t i e v e planning
2.2.4. I n f o r m a t i e r o n d e
9
1
0
1
0
3. G e s c h i k t h e i d en gunning1
2
3.1. G e s c h i k t h e i d s e i s e n 1
2
3.2. G u n n i n g s c r i t e r i a
1
3.3. B e o o r d e l i n g
3.4. G u n n i n g
3
1
3
1
3
Bijlagen
Bijlage 1 P r o g r a m m a van eisen
Bijlage 2 M o d e l Algemene Inkoopvoorwaarden VNG
Bijlage 3 P r o t o c o l Social Return
Bijlage 4 Geheimhoudingsverklaring
Formulieren (beschikbaar via het aanbestedingsplatform)
Formulier 1 E i g e n Verklaring Aanbestedingen
Formulier 2 Aanmeldformulier
Formulier 3 Vertrouwelijkheidsverklaring
Formulier 4 F o r m a t voor het stellen van vragen
Formulier 5 Prijzenformulier
Pagina 2 van 20
Projectnaam: P e n - en hacktest gebiedsreferenda
Projectnummer: 3 - 2 9 4 - 1 5
Documentcode: Beschrijvend document_10
Datum: 18-06-2015
Status: definitief
Dienstencentrum Inkoop
1. Inleiding
1.1. A a n b e s t e d e n d e dienst
De aanbestedende dienst is de gemeente Rotterdam, vertegenwoordigd door Cluster
Dienstverlening en Dienstencentrum Inkoop van de Serviceorganisatie.
1.1.1. Contactgegevens
De contactpersoon voor deze aanbesteding is i l i k i N g l a p l i x
Postbus: 1 1 3 0
Postcode: 3 0 0 0 BC Rotterdam
E-mail: « ~ r o t t e r d a m . n 1
Inhoudelijke vragen met betrekking tot deze aanbesteding kunnen uitsluitend gesteld worden
via het aanbestedingsplatform. Zie hiervoor de instructies op het aanbestedingsplatform.
1.2. A c h t e r g r o n d en aanleiding van de aanbesteding
Meer directe democratie
In Rotterdam wordt volop geëxperimenteerd met democratische vernieuwing en interactief
bestuur. Gemeente Rotterdam wil Rotterdammers meer bij het bestuur van de stad betrekken
en hen meer mogelijkheden tot inspraak bieden.
Verordening inspraak, burgerinitiatief en referenda Rotterdam 2014
Een concrete uitwerking van dit streven naar meer inspraak van de Rotterdammer is de
Verordening inspraak, burgerinitiatief en referenda Rotterdam 2014 (vastgesteld op 28
november 2013), waarin een drietal wezenlijke instrumenten in gemeentelijke regelgeving is
vastgelegd: de inspraakprocedure, het burgerinitiatief en het (gebieds)referendum.
De nieuwe verordening beoogt Rotterdammers meer te betrekken bij besluitvorming die voor
hen van belang is, door hen daartoe een aantal concrete instrumenten aan te reiken. Zeker
met de introductie van het gebiedsreferendum, met zijn laagdrempeliger voorwaarden,
bestaat het risico dat de kosten sterk toenemen (vanwege een te verwachten veelvuldiger
gebruik). Om dit te voorkomen is in de verordening het uitgangspunt opgenomen dat
referenda zoveel mogelijk digitaal worden afgenomen.
De Digitale Stemtool is in eerste instantie (door bureau Hoppinger) ontwikkeld en ingezet
voor het Stadsinitiatief 2014, in opdracht van het cluster Maatschappelijke Ontwikkeling (MO).
Het betreft een webapplicatie die een stemming faciliteert, waarbij stemmers zich zowel met
DigiD als met BSN in combinatie met een e-mailadres kunnen authentiseren. De tool is in de
basis generiek opgezet, met het oog op hergebruik als stemtool binnen (gebieds)referenda
en als meningspeilingstool op wijk- en buurtniveau.
Informatiebeveiliging digitale stemtool
Informatiebeveiliging is het geheel van maatregelen en procedures om informatie te
beschermen. Het doel is: waarborgen van de continuiteit van informatie en de
informatievoorziening en het beperken van de gevolgen van eventuele beveiligingsincidenten.
Het beschermingsniveau van data wordt uitgedrukt in classificatieniveaus voor
1. beschikbaarheid
2. integriteit en
3. vertrouwelijkheid van informatie.
Het toekennen van classificatieniveaus aan data en/of informatiesystemen is van groot
belang, omdat daarmee het vereiste beschermingsniveau kenbaar wordt gemaakt. Aan de
Pagina 3 van 20
Projectnaam: P e n - en hacktest gebiedsreferenda
Projectnummer: 3 - 2 9 4 - 1 5
Documentcode: Beschrijvend document_10
Datum: 18-06-2015
Status: definitief
Dienstencentrum Inkoop
hand van hiervan kan worden bepaald welke beveiligingseisen gelden en welke maatregelen
moeten worden genomen.
Cluster Dienstverlening heeft in 2013 volgens de concerndataclassificatietabel de NAWgegevens en BSN voor wat betreft classificatie vertrouwelijkheid het niveau vertrouwelijk
gegeven. Dit houdt in dat informatie alleen toegankelijk mag zijn voor een beperkte groep
gebruikers.
De Concern I-Security Officer heeft geadviseerd om een projectteam te starten voor de
informatiebeveiliging van de stemtool. Het projectteam is verantwoordelijk voor het verkrijgen
van een goedgekeurde veilige operationele referendum stemtool. De projectgroep is in mei
2015 bijeengekomen om te bepalen of de huidige classificatie voldoende is, gelet op de
bescherming van persoonsgegevens die wet- en regelgeving stelt aan referenda. En welke
eventuele maatregelen nodig zijn, om het juiste classificatieniveau te bereiken. De
verwachting is dat in de zomer van 2015 een goedgekeurde operationele stemtool
opgeleverd kan worden.
Een noodzakelijke maatregel betreft het houden van een PEN-test (binnendringingstest) door
een extern bureau. De PEN-test toetst het systeem van de stemtool op kwetsbaarheden
teneinde het systeem beter te beveiligen.
Dit document beschrijft de opdracht voor de PEN-test.
1.3. B e s c h r i j v i n g van de opdracht en omvang van de overeenkomst
De te verstrekken opdracht houdt in dat u een code review, attack- & penetrationtest uitvoert
op de webapplicatie/infrastructuur met als aanvulling dat er ook tegen de ICT
beveiligingsrichtlijnen voor webapplicaties van het NCSC wordt getest, zoals hierboven
genoemd. Toets vanaf ongeautoriseerd en geautoriseerd perspectief (crystal box) de
beveiligingsmaatregelen van de genoemde webapplicaties. Gebruik een DigiD testaccount
voor een test vanuit geautoriseerd perspectief.
Bij de uitvoering van de pentest moet de "Norm ICT-beveiligingsassessments DigiD"
gehanteerd worden'. Deze norm is een selectie van richtlijnen uit het document "ICTbeveiligingsrichtlijnen voor webapplicaties" van het Nationaal Cyber Security Centrum
(NCSC), die in samenspraak met een aantal publieke en private partijen is opgesteld
1.3.1. S c o p e
De scope van de opdracht is beperkt tot het testen van de webapplicatie Gebiedsreferenda.
Het gaat daarbij om de internet-facing webpagina's, systeemkoppelingen en infrastructuur.
De penetratie test is bedoeld om vast te stellen of de web-applicatie veilig is. Verder wordt
gevraagd bij het testen mee te denken over kwetsbaarheden die niet alleen in de techniek,
maar ook in de functionaliteit misbruikt kunnen worden om fraude te plegen. De opdracht,
incl. rapportage met bevindingen moet uiterlijk op 31 augustus 2015 zijn afgerond en
opgeleverd.
1.3.2. O m v a n g
De omvang van de PEN-test betreft de ontwikkelde digitale stemtool specifiek voor referenda
en digitale meningspeiling.
De aanbestedende dienst geeft geen omzetgarantie.
1.3.3. Doelstellingen
Gemeente Rotterdam wil inzicht in of de geleverde stemtool voldoet aan de daarvoor
geldende veiligheidseisen en —richtlijnen. En als dat niet voldoet, waar dan de hiaten zitten.
Bij eventueel aangetroffen kwetsbaarheden wordt ook ingegaan op mogelijke oplossingen.
htto://www.logius.nl/producten/toecianu/diaid/documentatie/beveilioinq
Pagina 4 van 20
Projectnaam: P e n - en hacktest gebiedsreferenda
Projectnummer: 3 - 2 9 4 - 1 5
Documentcode: Beschrijvend document_10
Datum: 18-06-2015
Status: definitief
Dienstencentrum Inkoop
1.4. O v e r e e n k o m s t
1.4.1. A a r d van de overeenkomst
Er wordt een overeenkomst afgesloten met de gemeente Rotterdam, vertegenwoordigd door
cluster Dienstverlening
De ingangsdatum van de overeenkomst is 31 juli 2015 e n eindigt 31 augustus 2015 van
rechtswege.
Officiële bevestiging van de opdracht geschiedt zoals beschreven in paragraaf 2.1.1.
1.4.2. P a r t i j e n bij de overeenkomst
De aanbestedende dienst is de gemeente Rotterdam. Deze aanbesteding is aangemerkt als
een clusterspecifieke aanbesteding waarbij Cluster Dienstverlening als proceseigenaar zal
optreden.
1.5. S o c i a l return
Bij iedere inkoopovereenkomst boven € 15.000,- wordt bij de uitvoering van de opdracht
Social Return toegepast. Dit betekent dat u als opdrachtnemer tenminste 5 % over het
arbeidsdeel bij leveringen of tenminste 5 °A, van de opdrachtwaarde bij diensten moet
besteden aan het inzetten van mensen met een afstand tot de arbeidsmarkt. Het gaat hier om
personen met een WWB-, WW-, Wajong-, WIA- of WAO-uitkering, kandidaten met een
arbeidsbeperking (WSW) .
Daarnaast zijn er andere mogelijkheden, zoals de inschakeling van stagiairs en of leerlingen
van VMBO, VSO, MBO niveau 1 en MBO niveau 2 en praktijkscholen of door het aanbieden
van een van de diensten die kansen creëren voor mensen met een afstand tot de
arbeidsmarkt.
Enkele concrete mogelijkheden zijn hieronder weergegeven in de menukaart Leren/werken.
Daarbij is aangegeven wat de waarde is per dienst ten opzichte van invulling van Social
Return-verplichting.
Dienst
Gastles over bedrijf, branche
of sector
Waarde (geld)
100 Euro per uur
Bedrijfsbezoek
250 Euro per dagdeel
Snuffelstage
Oriëntatie stage
Stageplaats i.h.k.v. Taal
Dichtbij Werkt!
Beroeps Praktijk Vorming
Plek
300 Euro p/p
400 Euro p/p
500 Euro p/p
Niveau 1 € 500,00 (Pro —
VMBO en MBO)
Niveau 2 € 400,00 MBO
p.p.p.mnd. excLevt.soc.lasten
Specificaties
2 — 3 uur
Exclusief voorbereiding en
reistijd. Deze mogen niet
worden opgevoerd
3 —4 uur
Inclusief voorbereiding en
reistijd
1 dag
1 week
6 weken voor 8 uur per
week
Afhankelijk van opleiding en
niveau duur van stage.
Pagina 5 van 20
Projectnaam: P e n - en hacktest gebiedsreferenda
Projectnummer: 3 - 2 9 4 - 1 5
Documentcode: Beschrijvend document_10
Datum: 18-06-2015
Status: definitief
Dienstencentrum Inkoop
BBL
Train de trainer —
opdrachtnemer begeleidt
docent in bedrijf, branche en
sectorontwikkelingen
Zie hierboven met maximaal
300 Euro ophogen
afhankelijk van mate van
zelfstandigheid leerling
300 Euro per dagdeel
Idem
2 — 3 uur
Exclusief voorbereiding
De spelregels voor het invullen van de sociale paragraaf staan beschreven in het Protocol
Social Return (zie bijlage 3). Binnen deze regels bent u vrij de sociale paragraaf naar eigen
inzicht in te vullen. Deze invulling zal na definitieve gunning i.s.m. de accountmanager Social
Return, van de gemeente Rotterdam, worden uitgewerkt en vastgesteld. De afspraken
worden in de vorm van een door beide partijen ondertekend addendum bij de
(raam)overeenkomst gevoegd.
Opdrachtgever stelt toegang tot een database (Siro) beschikbaar waarin de opdrachtnemer
verplicht administratie bijhoudt van de uren en bedragen waarvoor personen met een afstand
tot de arbeidsmarkt zijn ingeschakeld, of een factuur upload m.b.t. gemaakte kosten i.h.k.v.
bovengenoemde leren/werken mogelijkheden .
Hiervoor dient binnen 14 dagen na gunning contact opgenomen te worden met het
coördinatiepunt SR (010) 498 5993 of emailadres [email protected]). Opdrachtnemer
is in beginsel zelf verantwoordelijk voor het naleven van de prestatieafspraken en de
rapportage daarover.
Door uw inschrijving verklaart u zich akkoord met de toepassing van Social Return
Rotterdam.
Pagina 6 van 20
Projectnaam: P e n - en hacktest gebiedsreferenda
Projectnummer: 3 - 2 9 4 - 1 5
Documentcode: Beschrijvend documenti 0
Datum: 18-06-2015
Status: definitief
Dienstencentrum Inkoop
2. Aanbesteding algemeen
2.1. U i t g a n g s p u n t e n
2.1.1. A l g e m e e n
De aanbesteding vindt plaats door middel van een meervoudige onderhandse
aanbesteding;
De aanbestedende dienst acht deze procedure geschikt, vanwege de aard en omvang
van de overeenkomst en de totale transactiekosten;
De Model Algemene Inkoopvoorwaarden Vereniging van Nederlandse Gemeenten
goederen en/ of diensten, verder te noemen AIV VNG (zie bijlage 2), zijn van toepassing
op de aan te besteden opdracht, behalve voor zover daarvan in de
aanbestedingsdocumentatie inclusief bijlagen wordt afgeweken;
Nadat de inschrijver zijn offerte heeft ingediend via het aanbestedingsplatform, dient de
offerte een minimale geldigheidsduur te hebben van 60 dagen. Gedurende deze
gestanddoeningsperiode is de offerte onvoorwaardelijk, bindend en onherroepelijk.
Een offerte kan na indiening niet meer worden gewijzigd;
De gemeente Rotterdam behoudt zich het recht voor niet tot gunning over te gaan en/of
de aanbestedingsprocedure eenzijdig te beëindigen. Inschrijvers ontvangen hierover
bericht via het aanbestedingsplatform. Inschrijvers hebben in een dergelijke situatie geen
recht op enigerlei vergoeding;
Er worden geen kosten vergoed inzake het uitbrengen van de offerte.
Correspondentie en ontvangen offertes zullen na afloop niet aan de inschrijvers worden
geretourneerd;
De inschrijver geeft met het indienen van een offerte aan dat hij instemt met de inhoud
van deze offerteaanvraag inclusief de bij deze offerteaanvraag behorende bijlagen en de
overige aanbestedingsdocumentatie;
De inschrijver mag geen voorwaarden verbinden aan zijn offerte. Een offene waaraan
voorwaarden van de inschrijver zijn verbonden is ongeldig;
Deze offerteaanvraag met alle bijbehorende bijlagen is met zorg samengesteld. Als de
inschrijver desondanks tegenstrijdigheden en/of onvolkomenheden tegenkomt, dan dient
hij de gemeente Rotterdam hiervan op de hoogte te stellen;
De gemeente Rotterdam maakt gebruik van een E R P -programma (Oracle) waarin
verstrekking van opdrachten wordt vastgelegd. Er is sprake van een overeenkomst indien
de opdracht d.m.v. een verzonden inkooporder (per email) aan de opdrachtnemer is
verstrekt. Deze inkooporder wordt geautomatiseerd aangemaakt waardoor een
handtekening ontbreekt, toch is deze opdracht rechtsgeldig;
Ten aanzien van artikel 14 AIV VNG geldt, dat de aldaar vermelde aansprakelijkheid
beperkt is tot het bedrag dat vermeld is in geschiktheidseis G4 van dit beschrijvend
document (minimaal verzekerd bedrag).
De in deze paragraaf genoemde documenten maken deel uit van de overeenkomst.
Indien de hieronder genoemde documenten met elkaar in tegenspraak zijn, is de
navolgende rangorde van toepassing, waarbij een eerder genoemd document prevaleert
boven het later genoemde:
1.
2.
3.
4.
d e Nota van Inlichtingen d.d. [datum] (bijlage [x]);
h e t beschrijvend document inclusief haar bijlagen (bijlage [x]);
d e AIV VNG (bijlage 2)
d e inschrijving(en) van Opdrachtnemer(s).
Pagina 7 van 20
Projectnaam: P e n - en hacktest gebiedsreferenda
Projectnummer: 3 - 2 9 4 - 1 5
Documentcode: Beschrijvend document_10
Datum: 18-06-2015
Status: definitief
Dienstencentrum Inkoop
2.1.2. Vertrouwelijkheid
Voor zover het gegevens betreft die niet zijn gepubliceerd worden inschrijvers in beginsel
geacht de aan hen in het kader van deze aanbesteding aldus verstrekte gegevens
vertrouwelijk te behandelen en slechts aan diegenen te tonen die voor het uitbrengen van de
inschrijving van de inhoud daarvan kennis moeten nemen. Inschrijvers dienen deze
vertrouwelijkheid ook te bewaren wanneer de inschrijving niet tot de totstandkoming van een
(raam)overeenkomst leidt. In dit verband dient de inschrijver bij zijn inschrijving een
vertrouwelijkheidsverklaring over te leggen middels het ondertekenen van de
Vertrouwelijkheidsverklaring (Formulier 3).
Alle door de inschrijvers ingediende inschrijvingen zullen door de aanbestedende dienst met
de grootst mogelijke zorgvuldigheid in het kader van de vertrouwelijkheid worden behandeld.
Gedurende de looptijd van de aanbesteding is het niet toegestaan andere medewerkers van
de aanbestedende dienst dan de in paragraaf 1.1.1 genoemde contactpersoon in het kader
van deze aanbesteding te benaderen. Elke beinvloeding (inclusief alle handelingen die zo
uitgelegd kunnen worden), op welke manier dan ook, van bij de aanbesteding betrokken
medewerk(st)ers van de aanbestedende dienst leidt tot uitsluiting van deelname aan de
aanbesteding.
2.1.3. O p te nemen gegevens
De informatie in de inschrijving dient te worden beperkt tot die informatie die voor deze
aanbesteding vereist is. Additionele informatie (zoals brochures e.d.) worden niet op prijs
gesteld. De inschrijver dient zich bewust te zijn van het feit dat de inschrijving wordt
beoordeeld op selectie- eisen en kwalitatieve aspecten en niet op de omvang.
2.1.4. Varianten
Varianten zijn door de aanbestedende dienst niet beschreven. Varianten van de inschrijvers
zijn niet toegestaan, worden niet in behandeling genomen en als niet gedaan beschouwd.
Pagina 8 van 20
Projectnaam: P e n - en hacktest gebiedsreferenda
Projectnummer: 3 - 2 9 4 - 1 5
Documentcode: Beschrijvend document_10
Datum: 18-06-2015
Status: definitief
Dienstencentrum Inkoop
2.2. P r o c e d u r e e l
2.2.1. Aanbestedingsplatform
De Opdrachtgever maakt bij deze aanbesteding gebruik van elektronische aanbestedingsmiddelen, hierna te noemen aanbestedingsplatform'.
De navolgende standaard formulieren behorend tot de aanbestedingsprocedure zijn
beschikbaar gesteld binnen het aanbestedingsplatform:
Formulier 1 Eigen Verklaring Aanbestedingen
Formulier 2 A a n meldformulier
Formulier 3 Vertrouwelijkheidsverklaring
Formulier 4 Formulier voor het stellen van vragen
Formulier 5 Prijzenformulier
Voor vragen over het gebruik van het aanbestedingsplatform kunt u terecht bij de helpdesk
van Commerce-hub. Deze is te bereiken op kantooruren via 020-4621920 of
customerservicePcommerce-hub.com. Nadere informatie over het gebruik van de
instrumenten is tevens te vinden in de online helpfunctie van het aanbestedingsplatform.
De Inschrijver dient alle bovengenoemde formulieren met daarbij uw aanbieding (zie 3.2)
separaat in te dienen op het aanbestedingsplatform.
2.2.2. D a t u m , plaats en tijdstip van indiening inschrijving
De inschrijver dient zijn inschrijving uiterlijk op 17 juli 2015 vöiír 12.00 uur op het
aanbestedingsplatform te hebben ingediend conform de daartoe geldende werkwijze.
Het is niet mogelijk om op het aanbestedingsplatform na de hierboven aangegeven datum en
tijd een inschrijving in te dienen. Per post, via persoonlijke bezorging, fax en e-mail
ingediende inschrijvingen worden niet geaccepteerd.
Opdrachtgever wijst erop dat het de verantwoordelijkheid van de inschrijver is, zorg te dragen
voor een correcte en tijdige indiening van zijn inschrijving. Een correcte indiening op het
aanbestedingsplatform is op een tweetal manieren te controleren. Ten eerste is de status van
uw inschrijving in het menu 'Overzicht' aangepast naar 'Ingediend'. Daarnaast ontvangt u een
e-mail ter bevestiging van de correcte indiening van uw inschrijving.
Pagina 9 van 20
Projectnaam: P e n - en hacktest gebiedsreferenda
Projectnummer: 3 - 2 9 4 - 1 5
Documentcode: Beschrijvend document_l
Datum: 18-06-2015
Status: definitief
Dienstencentrum Inkoop
2.2.3. Indicatieve planning
Activiteit
Planning
Gelegenheid tot stellen van vragen
Tot uiterlijk 3 juli 2015 tot 17.00 uur kunnen
inschrijvers via het aanbestedingsplatform vragen
stellen naar aanleiding van deze offerteaanvraag.
Hiervoor dient Formulier 4 via de functionaliteit 'Stuur
bericht op het aanbestedingsplatform te worden
ingediend.
Aanbestedende dienst tracht in week 28 de vragen en
antwoorden (geanonimiseerd) beschikbaar te stellen
via het aanbestedingsplatform.
Tot uiterlijk 17 juli 2015 om 12.00 uur kunnen offertes
worden ingediend via het aanbestedingsplatform.
Beantwoorden vragen/Nota van
Inlichtingen
Indienen offertes:
Het is niet mogelijk om op het aanbestedingsplatform
na de hierboven aangegeven datum en tijd een
inschrijving in te dienen. Per post, via persoonlijke
bezorging, fax en e-mail ingediende inschrijvingen
worden niet geaccepteerd.
Afwijzen en gunnen
Week 30
Het resultaat van de beoordeling zal via het
aanbestedingsplatform aan iedere inschrijver kenbaar
worden gemaakt.
Gelijktijdig met het bekendmaken van de gunning,
zullen de inschrijvers aan wie niet zal worden gegund
van die beslissing via het aanbestedingsplatform in
kennis worden gesteld.
Ingangsdatum
Week 31
De planning is indicatief voor wat betreft de door de aanbestedende dienst te verrichten
handelingen.
2.2.4. Informatieronde
Dit beschrijvend document, inclusief alle bijbehorende documenten, is met grote zorg
samengesteld. De aanbestedende dienst verwacht van de inschrijvers een proactieve
houding. Dit betekent, dat de Inschrijver verplicht is de aanbestedende dienst -voorafgaand
aan de datum van inschrijving- in kennis te stellen dan wel om opheldering te vragen in geval
van fouten, omissies of tegenstrijdigheden in de aanbestedingsdocumenten, zodat de
aanbestedende dienst eventuele fouten tijdig kan herstellen. De aanbestedende dienst zal
aan het uitblijven van klachten het vertrouwen ontlenen, dat de aanbesteding zonder bezwaar
kan worden voortgezet en tot ontvangst van inschrijvingen kan worden overgegaan. Ten
behoeve hiervan zal een schriftelijke (digitale) vragenronde of pre-bidmeeting worden
gehouden.
Vragen en opmerkingen kunnen tot uiterlijk 3 juli 2015 v r 17.00 uur worden ingediend.
Inschrijvers, die niet binnen deze termijn fouten, omissies of tegenstrijdigheden melden, doen
afstand van hun recht om tegen die onregelmatigheden op te komen, althans zij verwerken
dat recht.
Pagina 10 van 20
Projectnaam: P e n - en hacktest gebiedsreferenda
Projectnummer: 3 - 2 9 4 - 1 5
Documentcode: Beschrijvend document_10
Datum: 18-06-2015
Status: definitief
Dienstencentrum Inkoop
U dient de vragen en opmerkingen via het aanbestedingsplatform te stellen en deze in te
vullen op het Formulier 4. Dit formulier is als Word bestand beschikbaar gesteld op het
aanbestedingsplatform en dient via de functionaliteit 'Stuur bericht' op het
aanbestedingsplatform te worden ingediend. Vragen en opmerkingen die niet op deze wijze
worden ingediend, zullen niet in behandeling worden genomen. Alleen tijdig ontvangen
vragen worden beantwoord. De aanbestedende dienst is voornemens de vragen en de
daarop te geven antwoorden in week 28 uiterlijk 6 kalenderdagen voor de datum van de
aanbesteding geanonimiseerd op aanbestedingskalender en het aanbestedingsplatform te
publiceren.
Het verdient de aanbeveling uw offerte pas in te dienen, nadat de informatiefase is
afgerond c.q. alle eventuele vragen zijn beantwoord, aangezien alle criteria pas na de
informatieronde definitief vaststaan.
Pagina 11 van 20
Projectnaam: P e n - en hacktest gebiedsreferenda
Projectnummer: 3 - 2 9 4 - 1 5
Documentcode: Beschrijvend document_10
Datum: 18-06-2015
Status: definitief
Dienstencentrum Inkoop
3. Geschiktheid en gunning
3.1. Geschiktheidseisen
De inschrijver dient te voldoen aan onderstaande geschiktheidseisen:
G 1 E i g e n Verklaring Aanbestedingen: Het formulier 1 dient door de inschrijver te
worden ondertekend en toegevoegd aan de inschrijving via de tab 'Commentaar op
het aanbestedingsplatform. Door het ondertekenen van deze verklaring geeft de
inschrijver onder meer aan dat de omstandigheden zoals bedoeld in Artikel 2.86 en
2.87 Aanbestedingswet niet op de organisatie/onderneming van toepassing zijn en
dat hij voldoet aan alle eisen en bijzondere voorwaarden ais genoemd in dit
beschrijvend document.
G 2 P r o g r a m m e van Eisen: Het Programma van Eisen (bijlage 1) is een opsomming
van eisen en voorwaarden die verbonden zijn aan deze opdracht. Door inschrijving
en ondertekening van bijlage 1 verklaart inschrijver dat hij onvoorwaardelijk akkoord
gaat met alle eisen opgenomen in bijlage 1 van het beschrijvend document.
G 3 K a m e r van Koophandel: Inschrijvers dienen bij gunning van de opdracht een recente
verklaring (kopie toegestaan, niet ouder dan 6 maanden) te overleggen, waaruit blijkt
dat de onderneming, volgens de eisen die gelden in het land waarin de onderneming
is gevestigd, is ingeschreven in het nationale beroeps- of handelsregister, dan wel
een verklaring of attest onder ede te verstrekken, e.e.a. zoals bedoeld in artikel 2.89
Aanbestedingswet 2012. Binnen Nederland vervult een uittreksel van inschrijving bij
de Kamer van Koophandel deze functie.
G 4 V e r z e k e r i n g : Inschrijver is gedurende de uitvoering van de opdracht afdoende
verzekerd tegen algemene aansprakelijkheid die voortvloeit uit deze overeenkomst.
Het verzekerde bedrag dient minimaal € 100.000,- per gebeurtenis te bedragen en
minimaal € 100.000,- per jaar te bedragen. Door het ondertekenen van Formulier 1
geeft inschrijver aan te voldoen aan bovengenoemde eis. Bij gunning dient een
certificaat van verzekering of een verzekeringspolis als bewijsstuk te worden
overgelegd waaruit blijkt dat aan deze eis wordt voldaan.
De inschrijver stemt ermee in dat de gemeente Rotterdam zich het recht voorbehoudt
de inschrijver, gedurende de uitvoering van de opdracht, een bewijs te eisen waaruit
blijkt dat de verzekeringspremie is betaald.
Het niet voldoen aan bovenstaande geschiktheidseisen betekent automatisch dat de
inschrijving niet voor gunning in aanmerking komt.
Onderstaande tabel geeft per geschiktheideis inzicht in het moment van indienen van de
bewijsdocumenten.
Moment van indienen bewijsstukken
Omschrijving geschiktheid-eis
Bewijsdocument
bij inschrijving
Eigen Verklaring
Formulier 1 Eigen
Aanbestedingen e n
Verklaring Aanbestedingen
akkoordverklaring
Inschrijving in het nationale
beroeps-/handelsregister
Bewijs verzekering wettelijke
Formulier 1 Eigen
aansprakelijkheid
Verklaring Aanbestedingen
Bewijsdocument bij gunning
(kopie) uittreksel Kamer van
Koophandel of gelijkwaardig
Polis/ certificaat
Pagina 12 van 20
Projectnaam: P e n - en hacktest gebiedsreferenda
Projectnummer: 3 - 2 9 4 - 1 5
Documentcode: Beschrijvend document_10
Datum: 18-06-2015
Status: definitief
Dienstencentrum Inkoop
Voor de bewijsdocumenten als vermeld in bovenstaande tabel geldt dat de aanbestedende
dienst inschrijver(s) in beginsel alvorens de opdracht te gunnen zal verzoeken de
bewijsstukken aan te leveren om aan te tonen dat zij aan de geschiktheidseisen voldoet. Voor
deze eisen dient inschrijver op het aanbestedingsplatform op het moment van inschrijven te
verklaren dat zij aan de gestelde geschiktheidseis voldoet.
Indien de inhoud van deze bewijsstukken niet overeenkomt met hetgeen in de Eigen
Verklaring Aanbestedingen wordt verklaard, worden de (betreffende) inschrijvers alsnog
uitgesloten van verdere deelname aan de aanbestedingsprocedure.
3.2. G u n n i n g s c r i t e r i a
De opdracht wordt beoordeeld op basis van de laagste prijs.
De specificaties van de opdracht en de gevraagde kwaliteit zijn dusdanig vastgelegd dat er
voor de inschrijvers onvoldoende onderscheid te maken is op kwaliteit. Het gunningscriterium
'laagste prijs' is derhalve naar de mening van de aanbestedende dienst passend.
Als formulier 5 bij de offerteaanvraag is er ook een Prijzenformulier toegevoegd die door
inschrijver volledig dient te worden ingevuld. Dit prijzenformulier en eventuele andere in te
dienen bijlagen kunnen worden bijgevoegd via het aanbestedingsplatform. Hierbij dient u
rekening te houden met hetgeen is vastgelegd in deze offerteaanvraag en bijbehorend
bestek.
3.3. B e o o r d e l i n g
De beoordeling en gunning verloopt in onderstaande fases:
Fase 1
Allereerst zal worden bekeken of de offerte voldoet aan de in de offerteaanvraag gestelde
minimum eisen. Inschrijvingen die hieraan niet voldoen worden van verdere deelname aan de
procedure uitgesloten en inhoudelijk niet beoordeeld.
Fase 2
De overgebleven offertes zullen vervolgens op het gunningscriterium laagste
prijs (formulier 5) beoordeeld worden.
3.4. G u n n i n g
Het individuele resultaat van de beoordeling zal de gemeente Rotterdam via het
aanbestedingsplatform kenbaar maken. Gelijktijdig met het bekendmaken van de gunning,
zullen de inschrijvers aan wie niet zal worden gegund van die beslissing in kennis worden
gesteld.
Pagina 13 van 20
Projectnaam: P e n - en hacktest gebiedsreferenda
Projectnummer: 3 - 2 9 4 - 1 5
Documentcode: Beschrijvend document2 0
Datum: 18-06-2015
Status: definitief
Dienstencentrum Inkoop
Bijlagen
Pagina 14 van 20
Projectnaam: P e n - en hacktest gebiedsreferenda
Projectnummer: 3 - 2 9 4 - 1 5
Documentcode: Beschrijvend document_10
Datum: 18-06-2015
Status: definitief
Dienstencentrum Inkoop
Bijlage 1 P r o g r a m m a van Eisen
Inschrijver dient onvoorwaardelijk en ondubbelzinnig akkoord te gaan met alle eisen. Doet zij
dit niet dan zal de offerte niet verder beoordeeld worden. Onderstaande lijst dient door de
inschrijver voor akkoord te worden getekend.
Eis
e-a-1
e-a-2
Eis
Algemeen
De gemeente Rotterdam wil een vaste contactpersoon, zowel in de binnen- als
in de buitendienst.
U bevestigt dat u zich ingeval van opdracht volledig conformeert aan de
procedures neergelegd in deze offerteaanvraag.
Materie (inhoudelijk)
e-m-1
U identificeert de publiek bekende kwetsbaarheden op services die via deze
infrastructuren worden aangeboden en stelt daarmee de staat van hardening
en patching vast. U voert de test uit op basis van de NCSC webrichtlijnen en
neemt daarbij zaken zoals de OWASP top 10 mee. Bij de pentest dienen op de
volgende DigiD eisen extra aandacht te worden gegeven:
B3-1 D e webapplicatie valideert de inhoud van een HTTP-request voordat die
wordt gebruikt.
B3-2 D e webapplicatie controleert voor elk H U P verzoek of de initiator
geauthentiseerd is en de juiste autorisaties heeft.
B3-3 D e webapplicatie normaliseert invoerdata voor validatie.
B3-4 D e webapplicatie codeert dynamische onderdelen in de uitvoer.
B3-5 Vo o r het raadplegen en/of wijzigen van gegevens in de database
gebruikt de webapplicatie alleen geparametriseerde queries.
83-6 D e webapplicatie valideert alle invoer, gegevens die aan de
webapplicatie worden aangeboden, aan de serverzijde.
B3-7 D e webapplicatie staat geen dynamische file includes toe of beperkt de
keuze mogelijkheid (whitelisting).
B3-15 Een (geautomatiseerde) blackbox scan wordt periodiek uitgevoerd.
B3-16 Zet de cookie attributen 'HttpOnly' en 'Secure'.
B5-2 M a a k gebruik van versleutelde (HUPS) verbindingen.
B5-4 Versleutel cookies.
e-m-2
De hack- en penetratietest mag niet destructief zijn. De continuiteit en de
infrastructuur mogen niet bedreigd worden. De testen kunnen dan ook
"overdag" worden uitgevoerd.
e-m-3
Na afloop van het onderzoek wordt door de leverancier een schriftelijke
rapportage met bevindingen opgeleverd. Indien noodzakelijk neemt de
leverancier bij geconstateerde ernstige fouten direct contact op met de
opdrachtgever(s). Bij eventueel aangetroffen kwetsbaarheden wordt ook
ingegaan op mogelijke oplossingen.
De rapportage van de pentest moet tenminste de volgende zaken
bevatten:
o M a n a g e m e n t samenvatting
o Inleiding
o Opdrachtomschrijving
o S c o p e en doelstelling
o Auditomgeving en objecten
o G e b r u i k t e methoden en technieken
o Bevindingen
o O o r z a a k van de bevinding
o R i s i c o beschrijving incl. risicomatrix zie afbeelding
Pagina 15 van 20
Projectnaam: P e n - en hacktest gebiedsreferenda
Projectnummer: 3 - 2 9 4 - 1 5
Documentcode: Beschrijvend document 10
Datum: 18-06-2015
Status: definitief
Dienstencentrum Inkoop
o Bewijs
o A a n b e v e l i n g om kwetsbaarheid weg te nemen
o Conclusies en aanbevelingen
e-m-4
e-m-5
Eis
e-o-1
e-o-2
e-o-3
e-o-4
Eis
e-sr-1
Eis
e-c-1
e-c-2
e-c-3
e-c-4
Eis
e-f-1
e-f-2
De verantwoording bevat ook
o D e parameters welke gebruikt zijn bij de test
o E e n toelichting per gevonden verbeterpunt
Een inschatting van de prioriteit per verbeterpunt
Inschattingen van het risico van de aangetroffen kwetsbaarheden zijn
gebaseerd op de eigen inschatting van de specialisten van de leverancier en
gerelateerd aan de "best practices" die de leverancier vanuit zijn ervaring kent
bij gemeenten.
Overige eisen
De eindrapportage wordt volledig in het Nederlands opgeleverd
Na het uitvoeren van de test en het overhandigen van de bevindingen en de
logs aan de opdrachtgever dienen de bevindingen door de leverancier
vernietigd te worden, om het uitlekken van gevoelige informatie te voorkomen.
De resultaten van de penetratietest mogen alleen met de betrokken
medewerkers worden gedeeld en het verspreiden van deze resultaten dient op
veilige wijze plaats te vinden.
Alle betrokken pentesters zijn "gescreend" door de leverancier op
antecedenten en in bezit van een geldige VOG. De opdrachtgever ontvangt
een kopie van de CV van de betrokken pentesters en een
geheimhoudingsverklaring (zie bijlage 4).
Duurzaamheid/MVO (inclusief SR)
De opdrachtnemer aan wie de opdracht is gegund, is verplicht voor de invulling
van de sociale paragraaf binnen 14 dagen na de gunning in overleg te treden
met het cod.rdinatiepunt SR via het telefoonnummer 010-4985993 of per mail
socialreturnerotterdam.nl.
Commerciële eisen
De gehanteerde tarieven zijn in Euro's, excl. BTW.
Alleen de kosten die worden genoemd in de offerte komen gedurende de duur
van de overeenkomst in aanmerking voor vergoeding. Eventuele andere
kosten kunnen alleen in rekening worden na schriftelijke toestemming van de
gemeente Rotterdam.
Het totaalbedrag van uw offerte is vast en inclusief alle kosten.
De inschrijver dient zijn inschrijving gestand te doen tot 60 kalenderdagen na
de inschrijvingsdatum.
Facturatie
De factuur dient verstuurd te worden naar Gemeente Rotterdam,
Dienstencentrum Financiën (of [email protected]), Postbus 33100,
3005 EC Rotterdam onder vermelding van inkoopordernummer.
Facturen voor vooruitbetalingen zullen niet worden geaccepteerd.
Bedrijfsnaam inschrijver:
Naam rechtsgeldig ondertekenaar;
Functie ondertekenaar:
Datum:
Handtekening:
Pagina 16 van 20
Projectnaam: P e n - en hacktest gebiedsreferenda
Projectnummer: 3 - 2 9 4 - 1 5
Documentcode: Beschrijvend document_l 0
Datum: 18-06-2015
Status: definitief
'
Dienstencentrum Inkoop
Bijlage 2 Model Algemene Inkoopvoorwaarden VNG
Beschikbaar via het aanbestedingsplatform.
Pagina 17 van 20
Projectnaam: P e n - en hacktest gebiedsreferenda
Projectnummer: 3 - 2 9 4 - 1 5
Documentcode: Beschrijvend document_10
Datum: 18-06-2015
Status: definitief
Dienstencentrum Inkoop
Bijlage 3 Protocol Social Return
Nadat de opdracht definitief gegund is, dient u binnen 14 dagen contact op te nemen met het
coördinatiepunt Social Return via 010-4985993 of e-mail socialreturnerotterdam.n1
Hier krijgt u een inlogcode en handleiding voor het registratiesysteem SIRO. SIRO is het
systeem, wat beschikbaar gesteld wordt door de Gemeente Rotterdam, waarin u uw
verloningen* en/of compensatieorders dient te registreren. Aan de hand van SIRO zal
geregistreerd en gecontroleerd worden of aan de SR verplichting zoals beschreven in 1.5 van
het beschrijvend document voldaan wordt (op correcte wijze en volgens de met de gemeente
Rotterdam gemaakte afspraken). Daarnaast zullen we u in contact brengen met een
accountmanager van het Werkgevers servicepunt Rijnmond (WSPR) om de invulling verder
te bespreken.
Een inlogcode gaat alleen naar de opdrachtnemer die de opdracht heeft gegund gekregen.
Verloning *
Op basis van de BSN nummers, voert u de medewerkers in die werkzaamheden bij u
uitvoeren in het kader van Social Return. Er wordt gecontroleerd op doelgroep, uurtarief,
startdatum en periode verloning* en eventuele opvoering in andere gemeenten.
• D e persoon die wordt ingezet dient te voldoen aan de in de Social Return paragraaf
in het beschrijvend document benoemde doelgroepen.
• E e n medewerker mag niet langer dan 52 weken na laatst verkregen uitkering worden
opgevoerd, uitgezonderd medewerkers vanuit de doelgroep WSW en Wajong.
Medewerkers uit deze doelgroep blijven wel meetellen na 52 weken.
• D e eerst opgevoerde verloning mag niet eerder zijn dan begin van de
(raam)overeenkomst.
• B i j inzet van stagiaires dient u een door de school erkende en ondertekende
stageovereenkomst te overleggen ter controle, deze kunt u uploaden in SIRO of
mailen naar het coördinatiepunt Social Return.
• H e t is niet toegestaan om mensen uit de doelgroepen voor dezelfde gewerkte uren in
meerdere gemeenten tegelijkertijd op te voeren als invulling Social Return.
Mocht de inzet van medewerkers niet voldoen aan bovengestelde eisen, dan zal deze inzet
worden afgekeurd en zullen zijn/haar eventuele verloningen niet meetellen voor de
verplichting.
U wordt hiervan per e-mail op de hoogte gesteld.
Als opdrachtnemer bent u verplicht de loonkosten van deze medewerkers in SIRO te
registreren. Wij wijzen u er op dat u toestemming dient te vragen van de medewerkers om
hun persoonsgegevens te overleggen ten behoeve van de verantwoording Social Return.
De loonkosten moeten per week, 4 wekelijks of per maand, ingevoerd worden, uiterlijk 6
weken na de betreffende verloningsperiode. Het coördinatiepunt heeft het recht om
verloningen, welke opgevoerd worden na deze 6 weken, eventueel niet mee te tellen voor de
verplichting.
Onder loonkosten verstaan we een bruto uurloon inclusief sociale lasten gebaseerd op in de
CAO vastgelegde loonafspraken. Bij inhuur via derden wordt ook het bruto uurloon inclusief
sociale lasten gebaseerd op de in de CAO vastgelegde loonafspraken exclusief
detacheringsfee.
Pagina 18 van 20
Projectnaam: P e n - en hacktest gebiedsreferenda
Projectnummer: 3 - 2 9 4 - 1 5
Documentcode: Beschrijvend document_10
Datum: 18-06-2015
Status: definitief
Dienstencentrum Inkoop
Bij BBL" leerlingen mogen de stagevergoedingen of het bruto uurloon gehanteerd worden,
beiden inclusief sociale lasten. Voor BOL*-leerlingen gelden de volgende maximale
vergoedingen die kunnen worden opgevoerd per leerling per 4 weken:
Niveau 1 € 500,00 VMBO en MBO 1
Niveau 2 € 400,00 MBO 2
De ingevoerde verloningen zullen door coördinatiepunt SR gecontroleerd worden. Een kopie
van de loonstrook of arbeidsovereenkomst kan ter controle opgevraagd worden.
De opgevoerde loonkosten worden in mindering gebracht op uw verplichting. Vanuit het
coördinatiepunt SR zal de realisatie versus verplichting vanuit SIRO inzichtelijk gemaakt
worden en er zal contact met u opgenomen worden bij afwijkingen.
De stand van zaken van de realisatie versus uw verplichting kunt u zelf ook in het systeem
volgen.
Voor een proefplaatsing met behoud van uitkering, mag geen verloning opgevoerd worden,
uitgezonderd medewerkers vanuit de WSW. Hierbij mag u, over een maximale periode van
4 weken, 1 uur per week aan begeleiding opvoeren ter waarde van € 60,- per uur. Een
dergelijke proefplaatsing is erop gericht om de werkplek te toetsen op geschiktheid
en geschikt maken voor de doelgroep
-Opleidingskosten en begeleidingskosten mogen niet opgevoerd worden.
Compensatieorders*
Een compensatie order kan, in overleg met de accountmanager, geheel of gedeeltelijk
ingezet worden om de SR verplichting in te vullen. Hierbij kunt u bijvoorbeeld denken aan een
order bij een van onze SW bedrijven (sociale werkplaats).
Bij een compensatieorder mag het factuurbedrag opgevoerd worden exclusief
materiaalkosten en BTW. U dient een kopie van de factuur aan te leveren bij het
coördinatiepunt zodat deze in het systeem SIRO geüpload kan worden ter verantwoording.
Naleving
Indien de opdrachtnemer niet voldoet aan de vastgelegde afspraken ter invulling van de
Social Return verplichting zal een bedrag op zijn betaling worden ingehouden, ter grootte van
het deel van de opdrachtwaarde dat ten onrechte niet is ingezet.
*Definities:
•
BBL
- Beroeps begeleidende leerweg
•
BOL
= Beroeps opleidende leerweg
• Verloning
De door de opdrachtnemer in te voeren loon en/of
stagekosten als beschreven
• Compensatie order
= Het neerleggen van een opdracht bij een sociale
werkvoorziening.
Opgesteld door het coördinatiepunt SROI, 01-09-2013
Pagina 19 van 20
Projectnaam:
Projectnummer:
Documentcode:
Pen- en hacktest gebiedsreferenda
3-294-15
Beschrijvend document_l 0
Datum: 18-06-2015
Status: definitief
•
Dienstencentrum Inkoop
Bijlage 4 Geheimhoudingsverklaring
Beschikbaar via het aanbestedingsplatform.
Pagina 20 van 20
Projectnaam: P e n - en hacktest gebiedsreferenda
Projectnummer: 3 - 2 9 4 - 1 5
Documentcode: Beschrijvend document2
Datum: 18-06-2015
Status: definitief