Bijlage 4: De veiligheidspolicy met betrekking tot - e
advertisement
Vlaamse overheid Beleidsdomein Werk en Sociale Economie Agentschap: Vlaamse Dienst voor Arbeidsbemiddeling en Beroepsopleiding Open aanbesteding - bestek: 2015/10463 RAAMOVEREENKOMST VOOR API MANAGEMENT Opdracht gevend bestuur: Vlaamse Dienst voor Arbeidsbemiddeling en Beroepsopleiding (VDAB) Keizerslaan 11, 1000 BRUSSEL Voorwerp: API MANAGEMENT – toolkeuze en ondersteuning Gunningswijze: Open offerteaanvraag Wijze van prijsbepaling: tegen prijslijst Inschrijven: Inschrijvingen voor deze opdracht kunnen enkel elektronisch worden ingediend via de internetsite https://eten.publicprocurement.be Opening offertes: OPENING OFFERTES op 15/12/2015 om 10u30. Mogelijkheid tot vraagstelling: Tot uiterlijk 10 kalenderdagen voor het verstrijken van de datum waarop de offerte binnen moet zijn. Deze vragen moeten gestuurd worden naar [email protected]. De titel van de mail moet zijn: “Vragen 2015/10463 – NAAM FIRMA” 1 Open offerteaanvraag bestek nr. 2015/10463| VDAB Inhoudsopgave Inhoud Inhoudsopgave ................................................................................................................................................ 2 1. 2. Inleiding en Algemene Bepalingen .......................................................................................................... 4 1.1 Opdrachtgevend bestuur............................................................................................................... 4 1.2 Toepasselijke wetgeving ................................................................................................................ 4 1.3 Andere documenten van toepassing op de opdracht ................................................................... 5 1.4 Voorwerp ....................................................................................................................................... 5 1.5 Bijkomende informatie .................................................................................................................. 6 1.6 Varianten ....................................................................................................................................... 6 1.7 Opties ............................................................................................................................................ 6 1.8 Prijsbestanddelen .......................................................................................................................... 6 1.9 Geen exclusiviteit .......................................................................................................................... 7 Plaatsen van de Raamovereenkomst ...................................................................................................... 7 2.1 Gunningswijze ............................................................................................................................... 7 2.2 Looptijd van de raamovereenkomst .............................................................................................. 8 2.3 Waardebepaling ............................................................................................................................ 8 2.4 Prijsvaststelling .............................................................................................................................. 8 2.5 De offerte ...................................................................................................................................... 9 2.5.1 Eigen voorwaarden van de inschrijver ........................................................................................... 9 2.5.2 Mogelijkheid tot vraagstelling ....................................................................................................... 9 2.5.3 De opmaak van de offerte .............................................................................................................. 9 2.6 Indienen van de offerte ............................................................................................................... 12 2.7 Opening van de offertes .............................................................................................................. 12 2.8 Verbintenistermijn....................................................................................................................... 13 2.9 Toegangsrecht ............................................................................................................................. 13 2.10 Kwalitatieve Selectiecriteria ........................................................................................................ 14 2.10.1 Financiële draagkracht ............................................................................................................... 14 2.10.2 Technische bekwaamheid .......................................................................................................... 14 2.11 3. Gunningscriterium ....................................................................................................................... 15 Plaatsen van de opdrachten op grond van de raamovereenkomst ...................................................... 17 3.1 Prijsvaststelling ............................................................................................................................ 17 3.2 Plaatsen van de opdrachten door rechtstreekse toewijzing ....................................................... 17 3.3 Plaatsen van de opdracht door mini-competitie ......................................................................... 17 2 Open offerteaanvraag bestek nr. 2015/10463| VDAB 4. Uitvoering - algemeen ........................................................................................................................... 18 4.1 Geschillenregeling, toepasselijk recht en bevoegde rechtbanken .............................................. 18 4.2 Non-discriminatieclausule ........................................................................................................... 18 4.3 Maatschappelijk verantwoord ondernemen ............................................................................... 19 4.4 Verbod tot toegang tot de plaats van uitvoering / verder uitvoering geven aan de opdracht tewerkstelling illegaal verblijvende onderdanen ...................................................................................... 20 4.5 Verbod tot toegang tot de plaats van uitvoering / verder uitvoering geven aan de opdracht bij op zwaarwichtige wijze tekortschiet in zijn verplichting het aan zijn werknemers verschuldigde loon tijdig te betalen ......................................................................................................................................... 20 5. 6. 4.6 Schadevergoeding bij onderbreking ............................................................................................ 21 4.7 Inkorten verweertermijn ............................................................................................................. 21 Uitvoering Raamovereenkomst ............................................................................................................ 23 5.1 Wijziging van de raamovereenkomst .......................................................................................... 23 5.2 Globale Borgstelling ..................................................................................................................... 23 5.3 Verzekeringsbewijzen voor Arbeidsongevallen en Burgerlijke Aansprakelijkheid ...................... 23 5.4 Vertrouwelijkheidsclausule ......................................................................................................... 23 5.5 Intellectuele eigendom ................................................................................................................ 23 5.6 Voorlopige oplevering van de raamovereenkomst ..................................................................... 23 5.7 Definitieve oplevering van de raamovereenkomst ..................................................................... 24 5.8 Vrijgave van de globale borgstelling VDAB ................................................................................. 24 Uitvoering van de opdrachten geplaatst op grond van de Raamovereenkomst .................................. 25 6.1 Uitvoeringen van de opdrachten geplaatst door VDAB .............................................................. 25 6.1.1 Aanduiding Leidend Ambtenaar ................................................................................................... 25 6.1.2 Borgstelling .................................................................................................................................. 25 6.1.3 Betalingen ................................................................................................................................... 25 7. Gemeenschappelijke technische specificaties ...................................................................................... 28 7.1 Boetes .......................................................................................................................................... 28 7.2 Bijkomende bepalingen ............................................................................................................... 28 Bijlage 1: Offerteformulier Open Aanbesteding 2015/10463 ....................................................................... 29 Bijlage 2: Attest van de opdrachtnemer - Open aanbesteding 2015/10463 ................................................ 30 Bijlage 3: Contextbeschrijving ....................................................................................................................... 32 Bijlage 4: De veiligheidspolicy met betrekking tot Cloud Computing Services - isms.050.Cloud Computing Policy.NL.v1.00. ............................................................................................................................................. 36 Bijlage 5: De details voor de uitwerking van de proof of concept in het kader van dit lastenboek ............. 46 3 Open offerteaanvraag bestek nr. 2015/10463| VDAB 1. Inleiding en Algemene Bepalingen 1.1 Opdrachtgevend bestuur Deze opdracht wordt uitgeschreven door de Vlaamse Dienst voor Arbeidsbemiddeling en Beroepsopleiding (VDAB), publiekrechtelijk vormgegeven extern verzelfstandigd agentschap met rechtspersoonlijkheid (EVA), Keizerslaan 11, te 1000 Brussel, hierna genoemd “VDAB”. De dienst die instaat voor de opvolging van onderhavige opdracht is: Afdeling ICT, Contactpersonen zijn Guido Triest (Coördinator Overheidsopdrachten en raamovereenkomsten). Kantoor +32 2 506 18 83 – Boudewijn Guns (Contract & Resource Manager). Kantoor +32 2 506 21 88. Ieder deurwaardersexploot bestemd voor VDAB moet worden betekend aan de Vlaamse Dienst voor Arbeidsbemiddeling en Beroepsopleiding, t.a.v. de juridische dienst, Keizerslaan 11 te 1000 Brussel. Het is daarbij irrelevant of het gaat om de betekening van een dagvaarding, gerechtelijke uitspraak, overdracht van schuldvordering of een ander exploot. Hetzelfde adres geldt ook voor de aangetekende brief waarbij een schuldvordering wordt overgedragen of in pand gegeven. 1.2 Toepasselijke wetgeving Op onderhavige opdracht zijn onder andere volgende wetgeving en reglementeringen van toepassing: de wet van 15 juni 2006 overheidsopdrachten en bepaalde opdrachten voor werken, leveringen en diensten; het koninklijk besluit plaatsing overheidsopdrachten klassieke sectoren van 15.07.2011; het koninklijk besluit van 23 januari 2012 plaatsing overheidsopdrachten; de wet van 17 juni 2013 betreffende de motivering, de informatie en de rechtsmiddelen betreffende overheidsopdrachten en bepaalde opdrachten voor werken, leveringen en diensten; het koninklijk besluit van 14 januari 2013 tot bepaling van de algemene uitvoeringsregels van de overheidsopdrachten en van de concessies voor openbare werken; het koninklijk besluit van van 2 juni 2013 tot bepaling van de datum van inwerkingtreding van de wet overheidsopdrachten en bepaalde opdrachten voor werken, leveringen en diensten van 15 juni 2006 en van de koninklijke uitvoeringsbesluiten ervan; het Algemeen Reglement voor Arbeidsbescherming; de wet van 04 augustus 1996 betreffende het welzijn van de werknemers bij de uitvoering van hun werk en de Codex over het welzijn van de werknemers; het Materialendecreet en het VLAREMA, van kracht geworden op 01 juni 2012. 4 Open offerteaanvraag bestek nr. 2015/10463| VDAB De lijst van de bepalingen van het KB van 14 januari 2013 tot bepaling van de algemene uitvoeringsregels van de overheidsopdrachten en van de concessie voor openbare werken, waarvan, in dit bestek, wordt afgeweken (KB 14.01.2013, art. 9 § 4): Afwijking van artikel 144: vrijgave v.d. borgtocht: zie punt 5.8 Globale borgstelling. afwijking van artikel 55 van het koninklijk besluit Zie punt 4.6 Schadevergoeding bij onderbreking. Afwijking van artikels 44, 47 en 62 van het koninklijk besluit: zie punt 4.7 Inkorting verweertermijnen Deze documenten zijn beschikbaar via internet op volgend adres: http://www.ejustice.just.fgov.be/wet/wet.htm (hiermee kom je op de zoekpagina van de FOD justitie geconsolideerde wetgeving. 1.3 Andere documenten van toepassing op de opdracht De in het Bulletin der Aanbestedingen en het Publicatieblad van de Europese Unie aangekondigde of gepubliceerde berichten en rechtzettingen die betrekking hebben op de overheidsopdrachten in het algemeen, evenals de berichten en rechtzettingen betreffende deze overheidsopdracht maken integraal deel uit van het huidig bestek. De inschrijver wordt geacht er kennis van genomen te hebben en er bij het opmaken van zijn offerte rekening mee gehouden te hebben. 1.4 Voorwerp Raamovereenkomst voor diensten: dit omvat API MANAGEMENT – toolkeuze en ondersteuning. API management is het proces van het publiceren, promoten en controleren van application programming interfaces (APIs) in een veilige, schaalbare omgeving. Het omvat tevens de creatie van resources bestemd voor de eindgebruiker die de API definiëren en documenteren. De kern van een volledig uitgewerkt API management oplossing is de API gateway. De API gateway doet het eigenlijke werk van het verwerken van API-aanvragen, gebaseerd op een gedefinieerde policy. De API portal biedt de ontwikkelaar die de API gebruikt de nodige resources en functionaliteiten aan om de API te consumeren en zijn API-gebruik te monitoren. In dit project willen we de huidige API management oplossing binnen VDAB vervangen en het gebruik van API management verder uitbouwen. Met dit lastenboek selecteren we de nodige tooling om een API management platform uit te bouwen. Dit platform bestaat minimaal uit een API gateway en een API portal. Desgewenst kan dit aangevuld worden door de aanbieder met andere producten om de functionaliteit van de API gateway en/of de API portal verder te ondersteunen. De prijs opgegeven als deel van de gunningscriteria dient echter het volledige platform te omvatten, inclusief eventueel extra componenten. Als onderdeel van het project wordt aan de aanbieder gevraagd om VDAB op te leiden zodat de oplossing op een productieve manier kan geïntegreerd worden in de dagelijkse werking van VDAB. 5 Open offerteaanvraag bestek nr. 2015/10463| VDAB Dit omvat de acties die nodig zijn om een API aan te bieden via de gateway en op de oplossing operationeel te ondersteunen. De opdracht houdt in: 1.5 De licentieprijzen, onderhoud en support voor alle omgevingen. Elke omgeving moet dezelfde opzet kennen. o Productie: high available o Preproductie: high available o Test: niet high available o Development: niet high available. Services gespreid over drie jaar. o Ondersteuning bij de opzet van de oplossing en integatie in de VDABomgeving. o Opleiden van het ops-team en van het ontwikkelingsteam. Bijkomende informatie Contextbeschrijving als bijlage 3 De veiligheidspolicy met betrekking tot Cloud Computing Services is bijgevoegd als Bijlage 4 isms.050.Cloud Computing Policy.NL.v1.00. De details voor de uitwerking van de proof of concept in het kader van dit lastenboek is als Bijlage 5 - Proof of Concept. 1.6 Varianten Verplichte variante: geen; Facultatieve variante: geen; Vrije variante: vrije varianten zijn niet toegestaan 1.7 Opties Er zijn geen verplichte opties. Wat vrije opties betreft: deze worden voor de vergelijking van offertes niet in overweging genomen. 1.8 Prijsbestanddelen In de eenheidsprijzen en de globale prijzen van de opdracht zijn alle heffingen, die de opdracht belasten, met uitzondering van de belasting over de toegevoegde waarde, inbegrepen. De aanslagvoet van de BTW wordt in de offerte apart vermeld. 6 Open offerteaanvraag bestek nr. 2015/10463| VDAB 1.9 Geen exclusiviteit Deze opdracht garandeert geen exclusiviteit. Het staat VDAB vrij om op ieder moment buiten deze overeenkomst ook afzonderlijke opdrachten uit te schrijven en te sluiten met hetzelfde voorwerp. 2. Plaatsen van de Raamovereenkomst 2.1 2.1.1 Gunningswijze De opdracht zal worden gegund bij open aanbesteding. Er wordt de aandacht op gevestigd dat deze procedure geen ruimte laat tot onderhandeling. Bij een aanbesteding wordt de opdracht gegund aan de inschrijver die een regelmatige offerte heeft ingediend en de beste score behaald heeft qua prijs/kwaliteit. Het volgen van een procedure houdt geen verplichting in tot het gunnen of het sluiten van de opdracht. De aanbestedende overheid kan zowel afzien van het gunnen of het sluiten van de opdracht als de procedure herbeginnen, desnoods op een andere wijze. Bij de beoordeling van de offertes zal VDAB volgende werkwijze hanteren: De offertes zullen worden onderzocht op het vlak van hun volledigheid. Onverminderd de mogelijkheid voor VDAB om aanvullende gegevens op te vragen, kan een onvolledige offerte of een offerte die niet aan de formeel gestelde eisen voldoet, worden geweerd. De offertes zullen ook inhoudelijk getoetst worden op hun regelmatigheid in het licht van de bestekbepalingen. Enkel de als regelmatig weerhouden offertes komen in aanmerking voor de toetsing aan het gunningscriterium. De aanbestedende overheid kan in het kader van haar onderzoek steeds verduidelijking of toelichting vragen aan een of meerdere inschrijvers. 7 Open offerteaanvraag bestek nr. 2015/10463| VDAB 2.2 Looptijd van de raamovereenkomst Door VDAB kan een opdrachten geplaatst worden gedurende de looptijd van drie jaren, ingaande de datum van betekening van de goedkeuring van de offerte van de raamovereenkomst door VDAB aan de betrokken opdrachtnemer – sluiting van de overeenkomst. VDAB kan, zonder daartoe gehouden te zijn, de initiële looptijd verlengen met 2 maal één jaar. Het is aangewezen dat VDAB deze mogelijkheid heeft aangezien continuïteit van groot belang is. De eventuele verlenging zal minimum 2 maand voorafgaand aan het verstrijken van de looptijd per aangetekend schrijven worden meegedeeld. VDAB streeft ernaar de opdracht te laten starten vanaf 01/03/2016. 2.3 Waardebepaling Om de verwachtingen van het project in te vullen, schatten we de waarde hiervan in voor de licenties met support en services voor een periode van drie jaar. 675.000 € voor de licentieprijzen, onderhoud en support voor alle omgevingen. Elke omgeving moet dezelfde opzet kennen. 40.000 € voor mandagen voor services gespreid over drie jaar. Dus een totaal van 715.000 € 2.4 Prijsvaststelling Deze raamovereenkomst is een opdracht tegen prijslijst. 8 Open offerteaanvraag bestek nr. 2015/10463| VDAB 2.5 De offerte 2.5.1 Eigen voorwaarden van de inschrijver De inschrijver die eigen verkoopsvoorwaarden bedingt of voorwaarden die geen grond vinden in de opdrachtdocumenten, loopt het risico dat zijn offerte onregelmatig wordt bevonden en dan wordt geweerd. 2.5.2 Mogelijkheid tot vraagstelling De inschrijver heeft de mogelijkheid om via e-mail bijkomende vragen te stellen over de procedure en het bestek. Tot 10 dagen voor het verstrijken van de datum waarop de offerte binnen dient te zijn, kunnen deze vragen gestuurd worden naar [email protected]. De titel van de mail MOET steeds de volgende zijn: “Vragen 2015/10463 – NAAM FIRMA”. De vragen moeten in de mail opgelijst worden waarbij duidelijk het nummer/de verwijzing naar de betrokken paragraaf wordt vermeld. Er zal getracht worden om deze vragen steeds binnen de week te beantwoorden. VDAB beslist vrij om al dan niet te antwoorden op de gestelde vragen De gestelde vragen (zonder bronvermelding) en antwoorden worden gepubliceerd op VDAB website http://www.vdab.be/bestekken/dossier2015/10463/ en zijn toegankelijk voor alle inschrijvers. De vragen en antwoorden maken integraal deel uit van het bestek. 2.5.3 De opmaak van de offerte De vormvereisten van de offerte staan beschreven in het KB van 15 juli 2011 artikels 80 en volgende. De offerte dient te worden opgemaakt in de Nederlandse taal. Alle prijzen worden voluit geschreven en zijn exclusief BTW (de BTW wordt apart vermeld). Een offerte dient de bescheiden te bevatten die elektronisch moeten worden aangeboden in afzonderlijke bestanden in Pdf-formaat. Bijlagen en rasters moeten worden aangeboden in Excel formaat. Gelieve nauwgezet de gevraagde naamgeving te gebruiken, zoals hieronder vermeld. Het ontbreken van één of meerdere van deze documenten of het niet correct invullen, kan aanleiding geven tot het niet weerhouden van de offerte. De maximale grootte per document is 80MB. Een te groot document kan u opsplitsen in meerdere deeldocumenten. Het geheel van alle documenten mag evenwel niet groter zijn dan 350MB. Als de offerte wordt ingediend door een combinatie zonder rechtspersoonlijkheid, zijn de bepalingen in verband met de identiteit van de inschrijvers, zoals vermeld op het offerteformulier, van toepassing op elke deelnemer aan de combinatie. 9 Open offerteaanvraag bestek nr. 2015/10463| VDAB Aan de inschrijver wordt gevraagd om onderstaande instructies te volgen bij het opstellen van de offerte. Verplicht bij het indienen van een offerte: 1. Het bijgevoegde offerteformulier (bijlage 1: offerteformulier open offerteaanvraag) (naamgeving: Bestek 2015/10463 naam inschrijver_offerteformulier) behoorlijk ingevuld en met de identificatie van de inschrijver (handelsnaam, rechtsvorm, nationaliteit, maatschappelijke zetel, IBAN en BIC voor betalingen, ondernemingsnummer,…). 2. Het bijgevoegde attest van de opdrachtnemer (bijlage 2: attest van de opdrachtnemer open offerteaanvraag) (naamgeving: Bestek 2015/10463 naam inschrijver_attest opdrachtnemer) 3. Een document (volmacht) waaruit de bevoegdheid blijkt van de indiener/ondertekenaar van de elektronische offerte (naamgeving: Bestek 2015/10463 naam inschrijver_bevoegdheid) 4. Met betrekking tot de voorwaarden voor deelneming (uitsluitingscriteria): Het fiscaal attest De inschrijver voegt een attest bij zijn offerte waaruit blijkt dat voldaan is aan zijn fiscale verplichtingen (personen- of vennootschapsbelasting en btw-verplichtingen) overeenkomstig de wettelijke bepalingen van het land van vestiging. Het attest betreft de fiscale toestand vóór de uiterste indieningsdatum van de offerte. Evenwel, zal, voor een Belgische kandidaat/inschrijver de aanbestedende overheid zelf de naleving van de fiscale verplichtingen ten opzichte van de FOD Financiën nagaan op basis van het attest dat door die laatste wordt afgeleverd aan de aanbestedende overheid. De sociale zekerheidsverplichtingen 1) De inschrijver die personeel tewerkstelt dat niet onderworpen is aan de Belgische sociale zekerheid, voegt een attest bij zijn offerte van de bevoegde overheid waarin bevestigd wordt dat hij volgens de rekening die ten laatste de uiterste indieningsdatum van de offerte is opgemaakt, op die datum voldaan heeft aan de voorschriften inzake betaling van de bijdragen voor sociale zekerheid overeenkomstig de wettelijke bepalingen van het land waar hij gevestigd is. 2) Voor de inschrijvers die personeel tewerkstellen dat onderworpen is aan de wet van 27 juni 1969 tot herziening van de besluitwet van 28 december 1944 betreffende de sociale zekerheid der arbeiders, zal de aanbestedende overheid desgevallend zelf de naleving van de vereiste verplichtingen nagaan en het attest bedoeld in het KB plaatsing zelf opvragen. Indien de inschrijver zowel door 1) als 2) beoogd personeel tewerkstelt, zijn de beide bepalingen toepasselijk. 10 Open offerteaanvraag bestek nr. 2015/10463| VDAB 5. Met betrekking tot kwalitatieve selectiecriteria (financiële draagkracht): Behandeling van de kwalitatieve selectiecriteria: zie titel 2.10. van dit bestek (financiële draagkracht) (Naamgeving van de documenten: Bestek 2015/10463 naam inschrijver_selectiecriteria– financiële draagkracht) 6. Met betrekking tot kwalitatieve selectiecriteria (technische bekwaamheid): Cv’s van de gespecialiseerde medewerkers die de inschrijver ter beschikking heeft voor deze opdracht. Lijst van de voornaamste realisaties / referenties die aantoont dat er tenminste 3 jaar Europese ervaring heeft binnen het kader van deze opdracht. (Naamgeving van de documenten: Bestek 2015/10463 naam inschrijver_selectiecriteria –technische bekwaamheid) 7. Met betrekking tot het gunningscriterium: Het in de gunningscriteria gevraagde raster: men gebruike het bestand “2015 10463 API MANAGEMENT Gunningsraster.xlsx” Het ingevulde bestand wordt aangeboden als: “2015 10463 API MANAGEMENT Gunningsraster - NAAM FIRMA.xlsx” Onderaan elk afzonderlijk rekenblad staat een “Handleiding voor het invullen”. Alle geel gekleurde cellen moeten aangevuld worden. 8. De andere documenten bij de offerte voegen zoals bepaald door dit bestek: geen 11 Open offerteaanvraag bestek nr. 2015/10463| VDAB 2.6 Indienen van de offerte De inschrijving kan enkel elektronisch worden ingediend via de e-Tendering internetsite https://eten.publicprocurement.be die de naleving waarborgt van de voorwaarden van Hoofdstuk IV Gunningsprocedure – afdeling 1. Bekendmaking (Art. 19 en verder) van de wet van 15 juni 2006. Inschrijvingen op papier worden NIET aanvaard. De inschrijver wordt er op gewezen dat zijn offerte elektronisch ondertekend moet worden met een gekwalificeerde elektronische handtekening. Deze elektronische handtekening moet uitgaan van een bevoegd of gevolmachtigd persoon. De inschrijver voegt tevens de nodige documenten toe waaruit de bevoegdheid of de machtiging blijkt om de onderneming te binden (uittreksels van de statuten, volmacht,…) De elektronische handtekening moet conform zijn met de regels van het Europees recht en het daarmee overeenstemmende nationaal recht inzake de geavanceerde elektronische handtekening met een geldig gekwalificeerd certificaat, waarbij deze handtekening werd gerealiseerd via een veilig middel voor het aanmaken van een handtekening (artikel 52, § 1, 1° van het koninklijk besluit van 15 juli 2011). Als de offerte wordt ingediend door een combinatie zonder rechtspersoonlijkheid, dient de offerte gehandtekend te zijn door elk lid van de combinatie, waarmee ze verklaren zich hoofdelijk te verbinden. De maximale grootte per document is 80MB. Een te groot document kan u opsplitsen in meerdere deeldocumenten. Het geheel van alle documenten mag evenwel niet groter zijn dan 350MB. Meer informatie kan bekomen worden op http://www.bestuurszaken.be/e-procurement-voor-bedrijven of op http://www.publicprocurement.be . De FAQ’s over het werken met E-Notication en de overige handleidingen zijn te vinden op: http://www.publicprocurement.be/portal/page/portal/pubproc/beep%20algemeen/eprocurement/faq Bij de aankondiging van deze opdracht in E-notification is bovendien een handleiding gevoegd over het elektronisch indienen van offertes. 2.7 Opening van de offertes De elektronische opening van de offertes is voorzien op 15/12/2015 om 10u30 stipt, te 1000 Brussel, Keizerslaan 11, gelijkvloers, lokaal 008. Het PV van opening wordt kort na de opening openbaar gepubliceerd op de website E-Tendering. 12 Open offerteaanvraag bestek nr. 2015/10463| VDAB 2.8 Verbintenistermijn De inschrijvers blijven gehouden aan hun offerte gedurende een termijn van 90 kalenderdagen, ingaand de dag na uiterste datum voor het indienen van de offertes. 2.9 Toegangsrecht Door eenvoudig deel te nemen aan een procedure tot gunning van een overheidsopdracht, verklaart de inschrijver zich niet in een uitsluitingspositie te bevinden conform de bepalingen inzake toegangsrecht tot de overheidsopdrachten van werken / leveringen / diensten zoals beschreven in het KB 15.07.2011, art. 61 tot en met 66 en artikel 20 §1/1 van de wet van 15 juni 2006. Tevens verklaart de inschrijver dat hij voldaan heeft aan de sociale en fiscale verplichtingen conform artikel 42 van de Wet van 15.06.2006. VDAB zal de juistheid van deze impliciete verklaring op erewoord desgevallend onderzoeken. In dit geval zal ze de betrokken inschrijver verzoeken binnen de door haar bepaalde termijn de inlichtingen of bewijzen te verstrekken die het mogelijk maken de persoonlijke situatie van de inschrijver te controleren. VDAB zal zelf de inlichtingen of documenten (RSZ, fiscale verplichtingen ten aanzien van de FOD financiën en de verklaring van niet-faillissement) aanvragen die zij met behulp van elektronische middelen gratis kan verkrijgen bij de diensten die er de beheerder van zijn. In de andere gevallen verstrekt de inschrijver de bewijzen op eenvoudig verzoek van VDAB. Indien de inschrijver zich beroept op derden om te voldoen aan de selectiecriteria moet hij op eenvoudig verzoek van VDAB bewijzen dat betrokken derde zich niet in een uitsluitingspositie bevindt met betrekking tot zijn persoonlijke situatie. In overeenstemming met de Belgische overheidsopdrachtenreglementering heeft VDAB, in elke fase van de gunningsprocedure, de mogelijkheid om de inschrijver uit te sluiten die bij wijze van een in kracht van gewijsde gegane strafrechtelijke uitspraak veroordeeld werd voor een misdrijf dat zijn professionele integriteit aantast. De niet-naleving van strafrechtelijk sanctioneerbare milieu- en sociale wetgeving kan worden geacht een misdrijf te zijn dat de professionele integriteit aantast. Van zodra deze wordt vastgelegd in een in kracht van gewijsde gegaan vonnis of arrest kan deze worden aangewend als uitsluitingsgrond, ongeacht de stand van de procedure. Onder sociale wetgeving wordt onder meer verstaan: het decreet van 10 juli 2008 houdende een kader voor het Vlaamse gelijke kansen- en gelijke behandelingsbeleid; de wet van 10 mei 2007 ter bestrijding van bepaalde vormen van discriminatie, de wet van 10 mei 2007 tot wijziging van de wet van 30 juli 1981 tot bestraffing van bepaalde, door racisme of xenofobie ingegeven daden en de wet van 10 mei 2007 ter bestrijding van discriminatie tussen vrouwen en mannen; 13 Open offerteaanvraag bestek nr. 2015/10463| VDAB de wet van 4 augustus 1996 betreffende het welzijn van de werknemers bij de uitvoering van hun werk, meer bepaald hoofdstuk V bis. Bijzondere bepalingen betreffende geweld, pesterijen en ongewenst seksueel gedrag op het werk. 2.10 Kwalitatieve Selectiecriteria Bij de selectie van de inschrijvers zal VDAB de hiernavolgende selectiecriteria hanteren: 2.10.1 Financiële draagkracht Te leveren bewijzen: de laatste drie neergelegde jaarrekeningen Minimale eis: De inschrijver zal aantonen dat zijn gemiddelde jaarlijkse omzetcijfer over de drie laatste jaren of boekjaren minstens drie miljoen euro bedraagt Te leveren bewijs: het verslag van de commissaris of de revisor aan de Algemene Vergadering Minimale eis: De inschrijver vertoont geen “Negatief Eigen Vermogen” (Alarmbelprocedure - Wetboek Venn. voor bvba- artikel 332 W.Venn., voor de CVBA in artikel 431 W.Venn., voor de NV in artikel 633 W.Venn). 2.10.2 Technische bekwaamheid De inschrijver heeft gespecialiseerde medewerkers ter beschikking waarvoor ingeschreven wordt. De inschrijver moet hiervan de nodige bewijzen aanleveren. (Cv’s, certificaten, …) in het bijzonder voor zij die verantwoordelijk zijn voor de kwaliteitscontrole. Omwille van de omvang van het project dienen de personen die met dit project belast worden een actieve ervaring te hebben van 3 jaar in informatica. De inschrijver moet hiervan de nodige bewijzen aanleveren. De inschrijver dient aan de hand van een lijst van de voornaamste realisaties aan te tonen dat hij minstens drie jaren ervaring heeft in API Management. De realisaties worden aangetoond door attesten die de bevoegde autoriteit afgeeft of medeondertekent of in het geval van diensten voor een particuliere afnemer, door attesten van de afnemer of, bij ontstentenis, eenvoudigweg door een verklaring van de dienstverlener. Een inschrijver kan zich voor welbepaalde opdrachten beroepen op de draagkracht van andere entiteiten, ongeacht de juridische aard van zijn band met die entiteiten. In dat geval toont hij de aanbestedende overheid aan dat hij zal beschikken over de voor de uitvoering van de opdracht noodzakelijke middelen, door overlegging van de verbintenis van deze entiteiten om de inschrijver dergelijke middelen ter beschikking te stellen. Op deze entiteiten is artikel 61 van het KB plaatsing toepasselijk. De inschrijver voegt deze verbintenissen bij de offerte. Onder dezelfde voorwaarden kan een combinatie van kandidaten of van inschrijvers zich beroepen op de draagkracht van de deelnemers aan de combinatie of van andere entiteiten. 14 Open offerteaanvraag bestek nr. 2015/10463| VDAB Het is de inschrijver niet toegestaan zich te beroepen op de draagkracht van andere entiteiten wanneer aan deze laatste het toegangsrecht is ontzegd op grond van artikel 21 van de wet. 2.11 Gunningscriterium Voor het opgeven van de gegevens voor de criteria geeft de VDAB het rekenblad 2015 10463 API MANAGEMENT Gunningsraster.xlsx Voor de keuze van de opdrachtnemer zullen de regelmatig bevonden offertes van de geselecteerde inschrijvers worden getoetst aan deze gunningscriteria. a. De criteria Het Prijs / Kwaliteit criterium Het prijscriterium staat op 40% van de punten. Het “proof of concept” criterium Dit criterium staat op 60% van de punten. Voor het opstellen van de “proof of concept” dient de aanbieder contact te nemen met VDAB om een datum (periode) af te spreken die bepaalt wanneer de “proof of concept” uitgevoerd wordt. Deze contactname dient zo vlug mogelijk te gebeuren en ten laatste op de dag van indiening. b. De criteria uitgewerkt Prijs / Kwaliteit criterium De prijzen worden per specificatie opgegeven in de prijzentabel 2015 10463 API MANAGEMENT Gunningsraster.xlsx Het ingevulde rekenblad wordt door de aanbieder opgeslagen en ingediend als 2015 10463 API MANAGEMENT Gunningsraster - NAAM FIRMA.xlsx op. 1. De kwaliteit: de mate waarin voldaan wordt aan gevraagde technische vereisten. Dit gunningscriterium levert een technische parameter T, die ligt tussen 0 en 1 op. Deze parameter wordt gebruikt in dit gunningscriterium zoals uitgelegd onder sub 2. 2. Per perceel wordt een prijs opgegeven voor de gevraagde configuratie(s). Het criterium geeft een score S, die dan vermenigvuldigd wordt met de bovenstaande technische parameter T om de eindscore voor dit criterium te bepalen. U vindt de wegingen in het invulraster. 15 Open offerteaanvraag bestek nr. 2015/10463| VDAB Dit criterium staat op 40% van de punten. Wij vragen U de eenheidsprijs in te vullen in de gele cellen. De gemiddelde kostprijs daarvan geeft “Prijs 1”. Aan de hand van onderstaande formule worden deze prijzen omgeslagen naar punten op 40. Voor de het omslaan van de prijs naar de score wordt de volgende formule gebruikt: : Pr P Pmax min Profferte Prmin = Laagste prijs Profferte = Prijs van de offerte P = punten toegekend aan het criterium prijs Pmax = maximale weging van het criterium «prijs» Het “proof of concept” criterium Dit criterium staat op 60% van de punten. De weging van dit criterium aan de hand van diverse subcriteria vindt u in het in te vullen raster. De beschrijving van wat wij verwachten van de proof of concept wordt beschreven in bijlage 5 c. Eindquotatie De quotaties voor het gunningscriterium zullen worden opgeteld. De opdracht zal worden gegund aan de inschrijver met de offerte met de hoogste eindquotatie. 16 Open offerteaanvraag bestek nr. 2015/10463| VDAB 3. Plaatsen van de opdrachten op grond van de raamovereenkomst 3.1 Prijsvaststelling De opdrachten zijn een gemengde opdracht. 3.2 Plaatsen van de opdrachten door rechtstreekse toewijzing Niet van toepassing in deze opdracht. 3.3 Plaatsen van de opdracht door mini-competitie Niet van toepassing in deze opdracht. 17 Open offerteaanvraag bestek nr. 2015/10463| VDAB 4. Uitvoering - algemeen 4.1 Geschillenregeling, toepasselijk recht en bevoegde rechtbanken Op onderhavige opdracht is het Belgisch recht van toepassing. De geschillen betreffende verplichtingen die voortvloeien uit de bepalingen die de uitvoering van de opdracht regelen, kunnen in gemeenschappelijk overleg geregeld worden. Bij ontstentenis van een akkoord en alvorens hun rechten voor de rechtbank te laten gelden, kunnen de partijen overeenkomen een beroep te doen op het advies van één of meer door de partijen aanvaarde deskundigen. De aangestelde deskundigen dienen binnen de dertig dagen na hun aanstelling hun besluiten voor te leggen bij beide partijen. Deze aanstelling sluit de maatregelen van ambtswege niet uit. In laatste instantie zijn uitsluitend de rechtbanken van Brussel bevoegd. 4.2 Non-discriminatieclausule De opdrachtnemer verbindt zich er toe bij het uitvoeren van deze opdracht niemand te discrimineren op grond van geslacht, leeftijd, seksuele geaardheid, burgerlijke staat, geboorte, vermogen, geloof of levensbeschouwing, politieke overtuiging, taal, gezondheidstoestand, handicap, fysieke of genetische eigenschappen, sociale positie, nationaliteit, zogenaamd ras, huidskleur, afkomst, nationale of etnische afstamming of syndicale overtuiging. Hij waarborgt dit zowel ten aanzien van zijn personeelsleden onderling als ten aanzien van derden, zoals deelnemers, bezoekers, externe medewerkers,… De opdrachtnemer verbindt zich er toe, voor zo ver redelijk, aanpassingen door te voeren, op vraag van personen met een handicap, die de beperkende invloed van een onaangepaste omgeving op de participatie van een persoon met een handicap neutraliseren. (zie artikel 19 van het decreet van 10 juli 2008 houdende een kader voor het Vlaamse gelijke kansen- en gelijke behandelingbeleid) De opdrachtnemer verbindt zich ertoe de werknemers en derden zoals deelnemers, bezoekers, externe medewerkers,… mee te delen dat hij geen rekening zal houden met vragen of wensen van discriminerende aard. Indien een personeelslid van de opdrachtnemer zich tijdens de uitvoering van de opdracht schuldig maakt aan discriminatie, pestgedrag, geweld of ongewenst seksueel gedrag, zal de opdrachtnemer de nodige maatregelen treffen om een eind te maken aan dit gedrag en waar nodig het slachtoffer in eer herstellen. De werknemers met hiërarchische verantwoordelijkheden zullen toezien op het naleven van dit engagement. 18 Open offerteaanvraag bestek nr. 2015/10463| VDAB Bij elke mogelijke klacht in dit verband tegen de opdrachtnemer, zal deze zijn volledige medewerking verlenen aan eventueel onderzoek dat in dit verband verricht wordt door een meldpunt discriminatie of een andere organisatie, in dit verband aangesteld door de Vlaamse overheid. De opdrachtnemer vraagt tevens al zijn personeelsleden alert te zijn voor discriminatie, pestgedrag, geweld of ongewenst seksueel gedrag, in die zin dat ze de gevallen waar ze getuige van zijn, onmiddellijk dienen te melden aan een werknemer met hiërarchische verantwoordelijkheid. De opdrachtnemer verbindt zich ertoe om geen druk uit te oefenen op eigen personeelsleden, die slachtoffer worden van discriminatie, pestgedrag, geweld of ongewenst seksueel gedrag door een klant of een derde, om af te zien van eventuele indiening van een klacht of inleiding van een vordering voor de rechtbank in dit verband. 4.3 Maatschappelijk verantwoord ondernemen De opdrachtnemer engageert zich dat hij en alle onderopdrachtnemers, gedurende de volledige uitvoering van de opdracht, de 8 basisconventies van de IAO, en in het bijzonder: het verbod op dwangarbeid (verdrag nr. 29 betreffende de gedwongen of verplichte arbeid, 1930 en verdrag nr. 105 betreffende de afschaffing van de gedwongen arbeid, 1957) het recht op vakbondsvrijheid (verdrag nr. 87 betreffende de vrijheid tot het oprichten van vakverenigingen en bescherming van het vakverenigingsrecht, 1948) het recht van organisatie en collectief overleg (verdrag nr. 98 betreffende het recht van organisatie en collectief overleg, 1949) het verbod op discriminatie inzake tewerkstelling en verloning (verdrag nr. 100 betreffende de gelijke verloning, 1951 en verdrag nr. 111 betreffende discriminatie (beroep en beroepsuitoefening, 1958) de minimumleeftijd voor kinderarbeid (verdrag nr. 138 betreffende de minimumleeftijd, 1973), alsook het verbod op de ergste vormen van kinderarbeid (verdrag nr. 182 over de ergste vormen van kinderarbeid, 1999) respecteren. De bovenstaande clausules moeten opgenomen worden in de overeenkomsten met betrekking tot de onderopdrachtnemers, voor wat betreft de bestellingen op grond van deze raamovereenkomst. 19 Open offerteaanvraag bestek nr. 2015/10463| VDAB 4.4 Verbod tot toegang tot de plaats van uitvoering / verder uitvoering geven aan de opdracht - tewerkstelling illegaal verblijvende onderdanen Wanneer de opdrachtnemer, hierna "de onderneming" genoemd, het in artikel 49/2, vierde lid, van het Sociaal Strafwetboek bedoelde afschrift ontvangt waarmee zij ervan in kennis wordt gesteld dat zij een of meerdere illegaal verblijvende onderdanen van een derde land in België tewerkstelt, onthoudt deze onderneming zich ervan, met onmiddellijke ingang, de plaats van uitvoering van de opdracht nog verder te betreden of nog verder uitvoering aan de opdracht te geven, en wel tot de aanbestedende overheid een bevel in andere zin zou geven. Hetzelfde geldt wanneer de voormelde onderneming ervan in kennis wordt gesteld, - ofwel, naargelang het geval, door de opdrachtnemer of de aanbestedende overheid, dat zij de in artikel 49/2, eerste dan wel tweede lid, van het Sociaal Strafwetboek bedoelde kennisgeving heeft ontvangen die betrekking heeft op deze onderneming; - ofwel door middel van de in artikel 35/12 van de wet van 12 april 1965 betreffende de bescherming van het loon der werknemers bedoelde aanplakking, dat zij een of meerdere illegaal verblijvende onderdanen van een derde land in België tewerkstelt. 4.5 Verbod tot toegang tot de plaats van uitvoering / verder uitvoering geven aan de opdracht bij op zwaarwichtige wijze tekortschiet in zijn verplichting het aan zijn werknemers verschuldigde loon tijdig te betalen ProMemorie. 20 Open offerteaanvraag bestek nr. 2015/10463| VDAB 4.6 Schadevergoeding bij onderbreking In afwijking van artikel 55 van het koninklijk besluit van 14 januari 2013, kan de schorsing op bevel van de aanbestedende overheid in de onderstaande gevallen geen aanleiding geven tot enige schadevergoeding voor de opdrachtnemer wanneer : 1° deze aanbestedende overheid, overeenkomstig artikel 49/1 van het Sociaal Strafwetboek, ervan in kennis is gesteld dat de opdrachtnemer op zwaarwichtige wijze tekort is geschoten in zijn verplichting om zijn werknemers tijdig het loon te betalen waarop deze recht hebben; of 2° deze aanbestedende overheid, overeenkomstig artikel 49/2 van het Sociaal Strafwetboek, ervan in kennis is gesteld dat de opdrachtnemer één of meer illegaal verblijvende onderdanen van derde landen tewerkstelt.". Deze afwijking wordt als volgt worden gemotiveerd: Het zou niet billijk zijn dat in deze gevallen waarbij vaststaat dat er een zwaarwichtige inbreuk is gepleegd, de aanbestedende overheid een schadevergoeding verschuldigd zou zijn wegens schorsingen op haar bevel overeenkomstig artikel 55 van het koninklijk besluit van 14 januari 2013, omdat zij de opdrachtnemer de mogelijkheid heeft geboden verweermiddelen te doen gelden, maar wel wil vermijden dat in deze verweermiddelentermijn nieuwe zwaarwichtige inbreuken worden begaan." 4.7 Inkorten verweertermijn Onverminderd de mogelijkheid waarover de aanbestedende overheid beschikt om de opdracht te verbreken zonder het in acht nemen van enige verweermiddelentermijn in uitvoering van artikel 62 van het koninklijk besluit van 14 januari 2013 tot bepaling van de algemene uitvoeringsregels van de overheidsopdrachten en van de concessies voor openbare werken, mag de aanbestedende overheid in de onderstaande gevallen de ambtshalve maatregelen treffen zonder het verstrijken van de termijn bedoeld in artikel 44, § 2, van het voormelde koninklijk besluit van 14 januari 2013 af te wachten wanneer : 1° deze aanbestedende overheid, overeenkomstig artikel 49/1 van het Sociaal Strafwetboek, ervan in kennis is gesteld dat de opdrachtnemer of zijn onderaannemer op zwaarwichtige wijze tekort is geschoten in zijn verplichting om zijn werknemers tijdig het loon te betalen waarop deze recht hebben; of 2° deze aanbestedende overheid vaststelt of er kennis van heeft dat de opdrachtnemer één of meer illegaal verblijvende onderdanen van derde landen tewerkstelt. De aanbestedende overheid stelt de opdrachtnemer in dat geval, per aangetekende zending en tegelijkertijd via elektronische middelen (email of fax), in kennis van de termijn waarover deze beschikt 21 Open offerteaanvraag bestek nr. 2015/10463| VDAB om zijn verweermiddelen te doen gelden, termijn die niet korter mag zijn dan 5 werkdagen indien het een zwaarwichtige tekortkoming op het vlak van de uitbetaling van het loon betreft, en 2 werkdagen indien het de tewerkstelling van illegaal verblijvende onderdanen van derde landen betreft. De termijnen gaan in de eerste werkdag volgend op de datum van de aangetekende verzending van de kennisgeving van de inkorting van de termijn. Voor de toepassing van deze bepaling, wordt een zaterdag niet beschouwd als zijnde een werkdag (overeenkomstig artikel 72bis van de wet overheidsopdrachten en bepaalde opdrachten voor werken, leveringen en diensten van 15 juni 2006, met verwijzing naar de verordening nr. 1182/71 van de Raad, van 3 juni 1971 houdende vaststelling van de regels die van toepassing zijn op termijnen, data en aanvangs- en vervaltermijnen). De afwijking van artikel 44, § 2 en artikel 47, § 1, van het voormelde koninklijk besluit van 14 januari 2013, wordt als volgt gemotiveerd: De termijn van 15 kalenderdagen waarover de opdrachtnemer overeenkomstig artikel 44, § 2, van voormeld koninklijk besluit van 14 januari 2013 beschikt om zijn verweermiddelen te doen gelden, zou er in veel gevallen toe leiden dat de termijn van 14 werkdagen na de kennisgeving van de arbeidsinspectie (overeenkomstig artikel 35/3, § 4, wet van 12 april 1965 betreffende de bescherming van het loon der werknemers), termijn waarover de aanbestedende overheid beschikt om desgevallend de opdracht nog te verbreken en daarmee de hoofdelijke aansprakelijkheid volledig af te wenden, zal zijn verstreken. De verweermiddelentermijn voor de opdrachtnemer moet in dat geval kunnen worden ingekort door de aanbestedende overheid. Een verdergaande inkorting van de verweermiddelentermijn van de opdrachtnemer is noodzakelijk wanneer de aanbestedende overheid er kennis van krijgt dat deze onderneming één of meer illegaal verblijvende onderdanen van derde landen tewerkstelt. Immers, vanaf het moment dat de aanbestedende overheid immers op de hoogte is van het feit dat zijn opdrachtnemer één of meer illegaal verblijvende onderdanen van derde landen tewerkstelt, zal hij in beginsel hoofdelijk aansprakelijk zijn voor de betaling van het door zijn opdrachtnemer nog verschuldigde loon dat betrekking heeft op de arbeidsprestaties verricht vanaf het ogenblik dat zij op de hoogte is van voormeld feit en deze prestaties kaderen in de overheidsopdracht (artikel 35/11 wet van 12 april 1965 betreffende de bescherming van het loon der werknemers). Bovendien kan de aanbestedende overheid strafrechtelijk aansprakelijk worden gesteld voor de inbreuken die worden begaan vanaf het moment dat zij op de hoogte is van de tewerkstelling van illegaal verblijvende onderdanen bij de uitvoering van de opdracht. De verplichting voor de aanbestedende overheid om in voormelde gevallen het verstrijken van een verweermiddelentermijn van 15 kalenderdagen af te wachten gedurende dewelke de opdrachtnemer zijn verweermiddelen kan doen gelden, zou de hoofdelijke aansprakelijkheid van de aanbestedende overheid zelf te zeer verzwaren. De toepassing van deze bepaling is evenwel onderworpen aan de voorwaarde dat er geen gepaste maatregelen werden genomen, lager in de keten van aanneming. 22 Open offerteaanvraag bestek nr. 2015/10463| VDAB 5. Uitvoering Raamovereenkomst 5.1 Wijziging van de raamovereenkomst Artikel 37 van het KB Uitvoering is van toepassing. 5.2 Globale Borgstelling Voor de opdrachten geplaatst door VDAB wordt door VDAB op grond van deze raamovereenkomst een globale borgtocht opgelegd die als volgt wordt berekend: 5% van het geraamde bedrag herleid naar één jaar (zie 2.3 waardebepaling). Het bewijs van borgtochtstelling moet binnen de 30 kalenderdagen volgend op de dag van de sluiting van de overeenkomst aan VDAB (t.a.v. Facility Management, Keizerslaan 11 te 1000 Brussel) voorgelegd worden. 5.3 Verzekeringsbewijzen voor Arbeidsongevallen en Burgerlijke Aansprakelijkheid Deze bewijzen moeten worden voorgelegd door de opdrachtnemer aan VDAB binnen de dertig dagen na betekening goedkeuring offerte. 5.4 Vertrouwelijkheidsclausule Zie KB uitvoering. 5.5 Intellectuele eigendom Zie KB uitvoering. 5.6 Voorlopige oplevering van de raamovereenkomst De raamovereenkomst wordt beschouwd als opgeleverd bij oplevering, wie ook de opdrachtgever daarvan is. 23 Open offerteaanvraag bestek nr. 2015/10463| VDAB 5.7 Definitieve oplevering van de raamovereenkomst De definitieve oplevering van de raamovereenkomst geschiedt bij het verstrijken van de waarborgperiode na de oplevering. 5.8 Vrijgave van de globale borgstelling VDAB De globale borgtocht VDAB komt voor vrijgave in aanmerking bij de definitieve oplevering. VDAB verleent binnen de 30 dagen na de dag van het verzoek, handlichting aan de Deposito- en Consignatiekas, aan de openbare instelling die een gelijkaardige functie vervult, aan de kredietinstelling of aan de verzekeringsonderneming, al naar gelang. De opdrachtnemer richt hiervoor een aanvraag tot vrijmaking van de borgtocht aan VDAB (t.a.v. Facility Management, Keizerslaan 11 te 1000 Brussel). 24 Open offerteaanvraag bestek nr. 2015/10463| VDAB 6. Uitvoering van de opdrachten geplaatst op grond van de Raamovereenkomst Het KB Uitvoering is van toepassing, wat ook het bedrag van de betrokken opdracht is. 6.1 Uitvoeringen van de opdrachten geplaatst door VDAB 6.1.1 Aanduiding Leidend Ambtenaar Leidend ambtenaar bij deze opdracht is Paul Danneels, CIO [email protected] – Tel +32 2 506 18 01 6.1.2 Borgstelling Cfr. De globale borgstelling. 6.1.3 Betalingen De factuur wordt opgesteld na levering en aanvaarding van de diensten en dit binnen de drie maanden na het leveren van de diensten. Bij niet respecteren van deze termijn zullen de facturen niet aanvaard worden. De facturatie modaliteiten in eventuele schijven en de project rapportering worden afgesproken in een te organiseren kick off meeting. De gedateerde en ondertekende facturen zijn vergezeld van de goedgekeurde schuldvordering (document met ontvangst-id.) en moeten, onder vermelding van de naam van het project “2015/10463 API MANAGEMENT” en met vermelding naam contactpersoon, verstuurd worden naar het hier volgende adres: VDAB Centrale Leveranciersadministratie (CLA) Keizerslaan 11 1000 BRUSSEL De betaling gebeurt uitsluitend in EURO, door overschrijving van de verschuldigde som op rekeningnummer van de opdrachtnemer. 25 Open offerteaanvraag bestek nr. 2015/10463| VDAB De rechtstreekse betaling door VDAB geschiedt binnen de 30 kalenderdagen, na ontvangst van de goedgekeurde factuur. VDAB wenst de facturen elektronisch te ontvangen, bij voorkeur via het gemeenschappelijk platform voor alle overheden. Dit Mercuriusplatform wordt vanaf 1 januari 2017 de standaard voor alle elektronische facturatie naar de Vlaamse overheid. Informatie over én ondersteuning voor factureren via dit Mercuriusplatform vindt u op www.bestuurszaken.be/e-invoicing of via mail [email protected]. In de overgangsperiode kan u nog PDF-facturen mailen naar [email protected]. Voor inlichtingen en afspraken over deze PDF-facturen en over elektronische facturatie via XML- of TXTfiles kan u contact opnemen met [email protected]. Algemene vragen over facturatie kan u richten aan [email protected]. Onregelmatigheden bij de facturatie waarbij de oorzaak bij de opdrachtnemer ligt moeten binnen de 14 kalenderdagen worden rechtgezet. Op elke factuur dient duidelijk het inkoopordernummer (i.o.) vermeld te worden. Volgende velden zijn eveneens minimale vereisten voor integratie en moeten dus zeker voorzien worden: naam, adres en het ondernemingsnummer van de opdrachtnemer het IBAN en/of BIC waarop moet gestort worden het inkoopordernummer en het ontvangst-ID factuurnummer factuurdatum omschrijving dienstverlening de aangegeven toerekening codes (chartfield) of het ontvangst-ID. aantal nettoprijs BTW percentage nettoprijs per lijn (eenheid x aantal) valuta artikelnummer opdrachtnemer totale nettoprijs van de factuur totale brutoprijs van de factuur 26 Open offerteaanvraag bestek nr. 2015/10463| VDAB De opdrachtnemer wordt er op attent gemaakt dat VDAB het recht heeft om de factuur te weigeren indien op de factuur bovenvermelde gegevens niet vermeld worden. Er begint dan geen betalingstermijn te lopen. De factuur mag slechts betrekking hebben op één inkoopordernummer. De inschrijver wordt attent gemaakt op het feit dat het VDAB verboden is voorschotten te betalen. 27 Open offerteaanvraag bestek nr. 2015/10463| VDAB 7. Gemeenschappelijke technische specificaties 7.1 Boetes Zoals vastgelegd in het KB uitvoering. 7.2 Bijkomende bepalingen Op de kick off meeting zullen in onderling overleg afgesproken worden: 28 de facturatieschijven rapportering over het project Open offerteaanvraag bestek nr. 2015/10463| VDAB Bijlage 1: Offerteformulier Open Offerteaanvraag 2015/10463 De vennootschap (benaming zoals vermeld in de statuten): ………................................................... Rechtsvorm: ....................................................... Nationaliteit: .................................... Ondernemingsnummer in de Kruispuntbank van Ondernemingen:………………………… Maatschappelijke zetel (land, gemeente met postnummer, straat en huisnummer): ........................................................................................................................................................................... Vertegenwoordigd door de ondergetekende(n) (naam en voornamen van de wettelijke vertegenwoordiger(s)) ................................................................................................................................................................ in hoedanigheid van ......................................................................................................... Nationaliteit : ................................................................................................................... Wettelijke woonplaats (land, gemeente met postnummer, straat en huisnummer) : ........................................................................................................................................................................... ......................................................................................................... De vennootschap verbindt zich tot de uitvoering, in overeenstemming met de bepalingen en voorwaarden van het bestek, van "API MANAGEMENT" volgens de financiële voorwaarden vermeld in de prijstabellen. Offertebedrag (excl. BTW): zie in te vullen prijzenrasters. De betalingen zullen geldig gebeuren door overschrijving op: Rekeningnummer : ................................................ bij .................................................... Geopend op naam van : ................................................................................................... .......................................................................................................................................... Contactpersoon voor dossieropvolging: Naam: ……………………………………………………………………. Functie: …………………………………………………………………… Telefoon: ……………………… Fax: ……………………………. GSM: …………………………. E-mail: ………………………… Sociale verplichtingen Het Opdracht gevend Bestuur mag alle nodige inlichtingen van financiële en morele aard over de ondergetekende(n) of over de offrerende vennootschap inwinnen bij andere instellingen. Gedaan te ............................................................... op .................................................... De inschrijver(s) Naam + Handtekening 29 Open offerteaanvraag bestek nr. 2015/10463| VDAB Bijlage 2: Attest van de opdrachtnemer - Open Offerteaanvraag 2015/10463 Dit attest dient bij de offerte te worden gevoegd. Het ontbreken van dit attest zal eliminatie van de offerte tot gevolg hebben. Door ondertekening bevestigt u hierbij de naleving van de volgende veiligheidsvoorschriften: Het voorwerp van deze bestelling moet in zijn geheel of in zijn onderdelen voldoen aan de in België vigerende wetten en reglementen die erop betrekking hebben, inzonderheid: de voorschriften van het A.R.A.B., de Codex over het “Welzijn op het werk” en het A.R.E.I. de wet van 11 juli 1961 betreffende de waarborgen welke machines, onderdelen van machines, het materieel, de werktuigen, de toestellen, de recipiënten en de beschermingsmiddelen inzake veiligheid en gezondheid moeten bieden. Koninklijk besluit van 11 maart 2002 betreffende de bescherming van de gezondheid en de veiligheid van de werknemers tegen de risico's van chemische agentia op het werk (B.S., 14 maart 2002 (tweede uitg.), err., B.S., 26 juni 2002 (tweede uitg.)). de voorschriften zoals vermeld in Titel VI “Arbeidsmiddelen”, Hfst I van de CODEX (KB. van 12/08/93 betreffende het gebruik van arbeidsmiddelen). EG richtlijn 2006/42/EC + wijzigingen: de machine richtlijn EG richtlijn 2006/95/EC + wijzigingen: de laagspanningsrichtlijn EG richtlijn 2004/108/EC + wijzigingen: de EMC-richtlijn KB. 13-06-2005 Koninklijk besluit betreffende het gebruik van persoonlijke beschermingsmiddelen (B.S., 14 juli 2005) Bovendien moet het voorwerp voldoen aan de voorwaarden, inzake veiligheid en hygiëne, die niet noodzakelijk opgelegd zijn door de vigerende voorschriften, wetten en reglementen, maar die onontbeerlijk zijn om het objectief te bereiken dat voorgesteld wordt in de CODEX/Titel VI, hoofdstuk 1. Zij moeten alle waarborgen bieden om als veilig te worden beschouwd. Bij de levering van scheikundige producten moet de etikettering gebruikt worden die voorgeschreven wordt in het KB. van 11-01-93 (wijziging 11-02-2010) betreffende indeling, verpakking en kenmerken van gevaarlijke preparaten, aangepast aan de GHS-CLP-verordening. Bij het uitvoeren van werkzaamheden in het kader van deze bestelbon in de locaties van de opdrachtgever moet de CODEX en het A.R.A.B. alsook de orde en veiligheidsvoorschriften die van toepassing zijn in de locatie, geëerbiedigd worden onder volledige verantwoordelijkheid van de betreffende firma. Deze firma zal ook de nodige schikkingen treffen voor de veiligheid van ons personeel en/of van ieder ander persoon die toegang heeft of krijgt tot onze instelling. Documenten die in ons bezit moeten zijn; Bij levering van arbeidsmiddelen: 30 Open offerteaanvraag bestek nr. 2015/10463| VDAB De “EG-conformiteitsverklaring”, Het “ ATTEST VAN DE OPDRACHTNEMER”, waarin hij bevestigt aan de vigerende wetten en reglementen en de bijkomende eisen te voldoen. Duidelijke en volledige instructies i.v.m. de werking, het onderhoud, de inspectie en de veiligheid. Een gebruikshandleiding in het Nederlands. Bij de levering van gevaarlijke stoffen en preparaten: Een VEILIGHEIDSINFORMATIEBLAD (MSDS), zoals beschreven in het KB. van 11-01-93 (zie punt 2) 5. Bovendien moeten de arbeidsmiddelen voldoen aan de gangbare aanvullende veiligheidseisen. De constructeur/opdrachtnemer is er zich van bewust dat de arbeidsmiddelen zullen gebruikt worden voor het geven van opleiding! Indien dit strijdig is met het normaal gebruik van het arbeidsmiddel, dient hij de opdrachtgever hiervan op de hoogte te brengen in de offerte. Bij in gebreke stelling zullen wij ons beroepen op de wet van 25-02-1991 betreffende de productaansprakelijkheid. Datum: Firma: Gemachtigde: 31 Open offerteaanvraag bestek nr. 2015/10463| VDAB Bijlage 3: Contextbeschrijving Actuele situatie Momenteel hebben we een groot aantal services die VDAB aanbiedt aan verschillende externe organisaties. Deze organisaties zijn buitenlandse en binnenlandse arbeidsbemiddelingsdiensten, opleidingsorganisaties, interimkantoren, leveranciers, onafhankelijke ontwikkelaars, … Momenteel zijn de grootste drivers voor deze integratie het opbouwen van een partner-ecosysteem en de ondersteunende diensten. We zetten ook de eerste stappen om enkele API’s aan te bieden aan onafhankelijke ontwikkelaars. Dit gebeurt echter op een ad hoc basis, waarbij veel communicatie en ondersteuning nodig is. De uitwisseling zelf gebeurt via een diverse set van transportprotocollen en dataformaten zoals FTP, SFTP, SMTP, REST-api met json, REST-api met xml, webservices, http-services, … De services zijn beveiligd met een web application firewall en authorization manager. In sommige gevallen is er ook een API manager die bijkomende beveiligingsfunctionaliteiten aanbiedt. Infrastructuurcomponenten LDAP-implementatie: IBM Tivoli Directory Server Access manager: IBM Security Access Manager for Web en Tivoli Federated Identity Manager Web application firewall en loadbalancer: Citrix Netscaler Application Delivery Controller Web server: Apache HTTP server Linux server OS: Red Hat Enterprise Linux 6.6 en 7.1 Java web container: Apache Tomcat Relationele database: Oracle DB (voorkeur), Oracle MySQL Enterprise Virtualisatie-omgeving: VMWare vSphere Configuration management system: Puppet Enterprise Content management system: Drupal IT service management: ITRP on premise - Voorbeeld van een API data flow Hieronder vind je een schema van de dataflow voor een vrijgegeven API. Dit is de huidige situatie en is niet noodzakelijk wat de beste oplossing is voor de toekomst. 32 Open offerteaanvraag bestek nr. 2015/10463| VDAB 33 Open offerteaanvraag bestek nr. 2015/10463| VDAB Toekomstige situatie In de toekomst zien we het aantal integraties met VDAB toenemen. We willen bovendien sterker inzetten om meer API’s aan een meer diverse groep van ontwikkelaars aan te bieden. Om deze groei aan te kunnen, hebben we nood aan een veilig en schaalbaar platform. Dit platform moet ons toelaten om onze API’s aan te bieden aan de buitenwereld met een minimale investeringskost waarbij we enerzijds de kernwerking van VDAB niet in gevaar brengen en anderzijds VDAB toelaat om zijn rol als regisseur in de arbeidsmarkt waar te maken. Persona’s Om het API management platform en de context beter te situeren, hebben we een aantal persona’s gedefinieerd die elk hun eigen behoeftes hebben. VDAB-partners en –leveranciers Deze organisaties hebben een nauwe band met VDAB. Het gaat om kleine en grote organisaties die opleidingen aanbieden, interimkantoren, leveranciers van ondersteunende diensten, … Hun aantal ligt tussen de 150 en potentieel 350. Contracten worden onderhandeld, met hieraan een SLA gekoppeld. We schatten dat we tussen 10 en 40 API’s aan hun kunnen aanbieden. Om de integratiedrempel zo laag mogelijk te houden, is hier een brede waaier aan integratiemogelijkheden noodzakelijk. We bieden REST-api’s aan, maar ook het opladen van bestanden over SFTP en als bijlage van een e-mail is mogelijk. Bovendien zijn er ook services van PeopleSoft Finance die aangeboden worden aan externe leveranciers. Onafhankelijke ontwikkelaars We willen vanuit VDAB een open platform aanbieden om elke ontwikkelaar de kans te geven om een applicatie of website te bouwen bovenop VDAB API’s. De drivers hiervoor zijn externe innovatie en mobiele applicaties. We willen een laagdrempelig, aantrekkelijk platform aanbieden om die innovatie te stimuleren. Bij deze groep is er niet noodzakelijk een vooraf onderhandeld contract, maar kunnen ze zich zelf registreren om de VDAB-API’s te gebruiken. Voor bepaalde API’s is de mogelijkheid aanwezig dat we monetizatie aanwenden. Hoewel er reeds interesse hierin is, is het moeilijk om op voorhand het succes hiervan in te schatten. Daarom is het van belang dat het platform een self-service, schaalbaar platform is, waarbij minieme effort nodig is van VDAB om een nieuwe ontwikkelaar toegang te geven tot de API’s. Intern ontwikkelde applicaties Mobiele applicaties en single-page applicaties ontwikkeld door VDAB bevinden zich runtime-wise ook buiten de VDAB-infrastructuur. Ook API-calls door deze applicaties willen we mogelijkerwijs in de toekomst beveiligen en monitoren via een API-gateway. De rol van de API manager is hier in hoofdzaak het beveiligen van onze API’s en die beschermen tegen oneigenlijk gebruik. Interne services VDAB heeft een service-geöriënteerde architectuur, waarbij we momenteel met point-to-pointconnecties zitten naar externe services. Wij zien ook een rol hierbij weggelegd voor een API management platform als mediatielaag. 34 Open offerteaanvraag bestek nr. 2015/10463| VDAB Architectuur Hieronder vind je een voorstel tot architectuur. De interne API gateway als mediatielaag wordt mogelijk pas in een tweede fase ingevoerd. De eigenschappen van de API gateway bepalen of één instantie van de API portal twee gateways kan bedienen, of we twee api portals nodig hebben. De deployment van de externe API gateway en de API portal kan zowel on premise als in de cloud gebeuren. Hierbij moet er echter rekening gehouden worden met de privacy voorwaarden waaraan VDAB moet voldoen (zie Bijlage 2 - isms.050.Cloud Computing Policy.NL.v1.00). Meer specifiek wordt hierin vermeld dat persoonsgegevens niet mogen verwerkt worden door instanties die onderhevig zijn aan onderzoeksdaden van buiten de Europese Unie. Een hybride oplossing, waarbij de API gateway on premise draait en de API portal in de cloud, is een mogelijkheid. De applicatie service kan gebruikt worden om data transformatie, orchestratie, routering, API compositie, caching via een materialized-view te realiseren, indien vereist volgens de functionele en niet-functionele behoeften van de API. 35 Open offerteaanvraag bestek nr. 2015/10463| VDAB Bijlage 4: De veiligheidspolicy met betrekking tot Cloud Computing Services - isms.050.Cloud Computing Policy.NL.v1.00. ISMS (Information Security Management System) Veiligheidspolicy met betrekking tot Cloud Computing Services 1. INLEIDING 2. SCOPE 37 3. DOELSTELLING 4. RISICO'S VERBONDEN AAN DE "CLOUD" 5. POLICY 38 5.1. ALGEMENE DIRECTIVES 5.2. UITVOERINGSWAARBORG DOOR DE PROVIDER 5.3. NALEVING VAN DE GOEDE PRAKTIJKEN DOOR DE PROVIDER 5.4. NALEVING VAN DE WETTELIJKE EN TECHNISCHE VERPLICHTINGEN BIJ DE VERWERKING VAN PERSOONSGEGEVENS 43 6. BIJLAGE : 6.1. IS ER EEN VERSCHIL TUSSEN IT-UITBESTEDING EN “CLOUD COMPUTING”? 43 6.2. “CLOUD COMPUTING” MODELLEN 6.3. VOORBEREIDING BIJ MIGRATIE NAAR EEN "CLOUD COMPUTING"-INFRASTRUCTUUR 44 7. REFERENTIES: 36 37 37 37 38 39 41 43 44 45 Open offerteaanvraag bestek nr. 2015/10463| VDAB Inleiding De bedoeling van dit document is om de veiligheidseisen vast te leggen wanneer een instelling van sociale zekerheid een beroep wenst te doen op "Cloud Computing"-services. Hierbij is het belangrijk zich ervan te vergewissen dat de "Cloud Computing"-provider voldoende waarborgen biedt op het vlak van de bescherming van de gegevens, de naleving van de privacywet maar ook op het vlak van de duurzame bewaring van de gegevens en van de juridische en technische bepalingen die in acht moeten worden genomen bij de realisatie van de prestaties. In het kader van deze policy wordt onder het begrip "Cloud Computing" verstaan alle "Cloud"-services zoals vastgelegd door het NIST1 maar ook elke IT-uitbesteding. Bij "Cloud"-services gaat het immers louter om informatica-oplossingen die worden geoutsourcet en waarbij een soepele stockeerruimte gecombineerd wordt met toegankelijkheid van de gegevens van overal ter wereld (zie bijlage 6.1: Is er een verschil tussen IT-uitbesteding en “Cloud Computing”?). Scope Deze policy is bedoeld voor de instellingen van sociale zekerheid die vertrouwelijke gegevens 2 verwerken en die een beroep wensen te doen op “Cloud Computing” providers. Doelstelling Dit veiligheidsbeleid heeft als doelstelling de minimale (technische en juridische) veiligheidsvereisten en de contractuele waarborgen vast te leggen wanneer een instelling een beroep wenst te doen op "Cloud Computing"-dienstverleningen. Het is hiertoe noodzakelijk dat de "Cloud Computing"-provider voldoende waarborgen biedt met betrekking tot de contractuele voorwaarden, de omkadering van transfers, de veiligheid van gegevens en de bescherming van de privacy. Dit laat de instelling toe zich te vergewissen van de verwachte kwaliteit van de dienst. Risico's verbonden aan de "Cloud" De overgang naar Cloud Computing vereist een strenge aanpak op het vlak van het beheer van de veiligheidstechnische, contractuele en juridische risico's. De instelling die een beroep wenst te doen op een "Cloud"-provider moet zich ervan vergewissen dat die provider de geschikte veiligheidsmaatregelen kan toepassen, om zich te beschermen tegen de risico's van de Cloud en in verband met de traditionele informaticaverwerkingen en in het bijzonder tegen de risico’s die relevant zijn voor de bescherming van de persoonsgegevens. De belangrijkste risico's die op dat vlak werden geïdentificeerd, zijn de volgende: een verminderde governance met betrekking tot de verwerking; de risico’s verbonden aan de onderaannemers van de leverancier, bijvoorbeeld een fout in de onderaannemingsketen wanneer de leverancier zelf een beroep doet op derden om een dienst te leveren; de technische afhankelijkheid ten opzichte van de provider van de Cloud Computing-oplossing, bijvoorbeeld het risico dat er gegevens verloren gaan bij migratie naar een andere provider of een interne oplossing; 1 2 National Institute of Standards & Technologie In deze policy verstaat men onder vertrouwelijke gegevens alles gegevens die niet openbaar zijn. 37 Open offerteaanvraag bestek nr. 2015/10463| VDAB een gegevenslek, met andere woorden het risico dat gegevens die op een (virtueel) systeem zijn gehost, gewijzigd kunnen worden of toegankelijk zijn voor niet-gemachtigde derden naar aanleiding van een tekortkoming of een slecht beheer van de provider; de uitvoering van juridische vorderingen op basis van een buitenlands recht zonder overleg met de nationale instanties; het niet-naleven van de regels die door de instelling werden uitgevaardigd met betrekking tot de bewaring en de vernietiging van gegevens, o.a. bij een ondoeltreffende of onbeveiligde vernietiging van de gegevens of een te lange bewaarduur; problemen bij het beheren van de toegangsrechten; de onbeschikbaarheid van de dienst geleverd door de provider; de stopzetting van de dienst door de provider (bv. als gevolg van een gerechtelijke beslissing of de overname van de provider door een derde of bij een faillissement); de niet-overeenstemming met de regelgeving, in het bijzonder met betrekking tot internationale transfers. Een uitgebreide, niet-exhaustieve lijst van 35 risico's die door het ENISA3 werd meegedeeld, kan in overweging worden genomen bij de risicoanalyse zodra het kader van het project is vastgelegd. Policy Algemene richtlijnen Alvorens een beroep te doen op de Cloud Computing, moet de instelling die verantwoordelijk is voor de verwerking duidelijk de gegevens, de verwerkingen of de diensten identificeren die in de Cloud worden gehost. Bij de bepaling van de return on investment moet rekening gehouden worden met de veiligheidseisen. Wanneer de classificatie van de gegevens dit vereist, moet de verantwoordelijke instelling de minimale voorwaarden of de beperkingen bij de overmaking ervan vastleggen. Krachtens de definitie opgenomen in de wet van 15 augustus 2012 houdende oprichting en organisatie van een federale dienstenintegrator heeft informatieveiligheid betrekking op alle gegevens en niet enkel op de persoonsgegevens. Hiertoe moeten de gegevens worden geïnventariseerd en geclassificeerd volgens hun kriticiteit overeenkomstig het model voor classificatie van de gegevens dat binnen de instelling geldt. Het is noodzakelijk om het geschikte type Cloud voor de beoogde verwerking te identificeren in functie van het huidige aanbod inzake “cloud computing” (zie bijlage 6.2). Het is noodzakelijk om de eigen veiligheidstechnische en juridische eisen te bepalen. De bedoeling van de Cloud is immers om de instelling van bepaalde operationele taken te ontlasten. Daarom moet de instelling zich ervan vergewissen dat de provider minstens even hoge eisen stelt als zijzelf. Wat de gegevens en de businessverwerking betreft, moet de instelling zich vergewissen van de omkeerbaarheid4 en van een afdoend beschikbaarheidsniveau. 3 Europees Agentschap belast met de beveiliging van de netwerken en van de informatiegegevens. Dit verslag is beschikbaar op het volgende adres: http://www.enisa.europa.eu/activities/riskmanagement/files/deliverables/cloud-computing-risk-assessment 4 Definitie: de omkeerbaarheid is de mogelijkheid om terug te keren naar een vroegere leefbare situatie of organisatie. Hierdoor wordt een blokkerende situatie vermeden waarbij het niet mogelijk is om naar een 38 Open offerteaanvraag bestek nr. 2015/10463| VDAB In functie van de scope van het project, de kriticiteit van de activa (op het vlak van beschikbaarheid, integriteit en vertrouwelijkheid) en het verwachte model van “cloud computing” dient de instelling een risicoanalyse te verrichten om de gepaste veiligheidsmaatregelen te bepalen die van de provider worden geëist. Uitvoeringswaarborg door de provider Elke instelling van sociale zekerheid die vertrouwelijke gegevens wenst te verwerken in een "Cloud" die door een provider wordt beheerd, moet de volgende contractuele waarborgen in acht nemen: Clausule met betrekking tot de mogelijkheid voor een "cloud"-provider om een deel van zijn activiteiten uit te besteden. De serviceprovider is als enige verantwoordelijk ten opzichte van de instelling voor de uitvoering van zijn verplichtingen, dus ook wanneer hij bepaalde van zijn taken uitbesteedt. In het vooruitzicht van de uitbesteding van bepaalde specifieke taken aan onderaannemers, moet in de overeenkomst worden vastgelegd dat de "Cloud"-provider de instelling op de hoogte moet brengen. Bovendien moet de provider zich formeel ertoe verbinden alle verplichtingen die hem zijn opgelegd, over te nemen in de verbintenissen die hij met zijn onderaannemers zal afsluiten. De provider moet zich ervan vergewissen dat deze verbintenissen worden nageleefd door zijn onderaannemers. Hiertoe verricht hij de nodige controles. De uitvoeringsvoorwaarden van deze controles moeten in de overeenkomst worden vastgelegd. Clausule met betrekking tot de integriteit, continuïteit en kwaliteit van de dienstverlening De provider moet alle maatregelen treffen om de integriteit van de gegevens die tijdens de duur van de overeenkomst worden verwerkt, te garanderen, bijvoorbeeld back-upsystemen voorzien. Een verbintenis met betrekking tot een serviceniveau (SLA: Service Level Agreement) moet in een akkoord worden geformaliseerd dat wordt bijgevoegd bij de overeenkomst die tussen de instelling en de "cloud"provider wordt afgesloten. Daarin worden onder andere bepaald, inclusief voor de garantieperiode, de beschikbaarheid van de service en de maximale opstarttijd na onderbreking te wijten aan een incident en alle andere criteria met betrekking tot het heropstarten van de activiteiten (RTO en RPO) 5. De gedetailleerde maatregelen die de continuïteit van de dienstverlening waarborgen, moeten eveneens worden opgenomen in de SLA die wordt bijgevoegd bij de overeenkomst. Clausule met betrekking tot de teruggave van de gegevens De provider verbindt zich ertoe om de gegevens van de instelling niet langer te bewaren dan voor de duur die met de instelling werd afgesproken. Bij vroegtijdige verbreking of bij einde prestatie verbindt de provider zich ertoe om alle gegevens van de instelling binnen de afgesproken termijn en op de afgesproken manier terug te geven in een gestructureerd en courant gebruikt formaat zodat de instelling de continuïteit van haar dienstverlening vroegere situatie terug te keren of waarbij er een afhankelijkheid is ten opzichte van één enkele dienstverlener.. 5 RTO (Recovery Time Objective): Maximaal aanvaardbare duur van de onderbreking – RPO (Recovery Point Objective): Maximaal aanvaardbaar verlies van gegevens 39 Open offerteaanvraag bestek nr. 2015/10463| VDAB kan garanderen. Na teruggave van de gegevens en mits het akkoord van de instelling verbindt de provider zich ertoe alle kopieën van gegevens in zijn bezit, ook de back-ups en het archief, op een veilige manier te vernietigen binnen een redelijke termijn en het bewijs van de vernietiging te leveren. Clausule met betrekking tot de overdraagbaarheid van de gegevens en de interoperabiliteit van de systemen Bij het einde van de prestatie verbindt de provider zich ertoe om volgens de in de overeenkomst afgesproken voorwaarden de nodige hulp te bieden bij de migratie van de bewerkingen van zijn "Cloud" naar een andere oplossing. Clausule met betrekking tot de auditregeling De provider verbindt zich ertoe om audits op initiatief van de instelling toe te laten, om nauw samen te werken en om zo snel mogelijk de vastgestelde tekortkomingen te verhelpen. Deze audits kunnen door een trusted third party worden verricht. De audits moeten het mogelijk maken om na te gaan of de overeenkomst en de veiligheidsregels uit deze policy werden nageleefd en of ze in overeenstemming zijn met onder meer de goede praktijken zoals aanbevolen door de internationale instanties (ISO bv.). De audit moet nagaan of de veiligheidsmaatregelen inzake vertrouwelijkheid, beschikbaarheid, traceerbaarheid en integriteit van de gegevens niet kunnen worden omzeild zonder dat de instelling hiervan op de hoogte is. Bij volledige of gedeeltelijke uitbesteding legt de provider aan al zijn onderaannemers clausules op waarbij het recht van de instelling wordt gegarandeerd om deze audits uit te voeren mits naleving van de voormelde regels. Clausule met betrekking tot de verplichtingen van de provider inzake vertrouwelijkheid van de gegevens De provider moet zich ertoe verbinden, voor hemzelf, zijn onderaannemers en eventuele overnemers, geen gegevens voor eigen rekening of die van een derde te gebruiken of te verspreiden. Hij moet zich ertoe verbinden om alle toegangsloggings (die nodig zijn om te kunnen bepalen wie heeft wat gedaan en wanneer) tot de gegevens, de toepassingstools en bestuursinstrumenten ter beschikking te houden van de instelling gedurende de periode die in de overeenkomst is vastgelegd en deze te beveiligen. Hij moet de instelling op de hoogte brengen van elke anomalie in de toegangslogging zoals toegangspogingen door onbevoegde personen. De provider moet de instelling onmiddellijk op de hoogte brengen van ieder onderzoek of aanvraag tot onderzoek afkomstig van een Belgische of buitenlandse administratieve of gerechtelijke overheid. Clausule met betrekking tot de soevereiniteit De provider moet aan de instelling de waarborg bieden dat hij en zijn eventuele onderaannemers niet onderworpen zijn aan onderzoeksdaden door overheden buiten België en de Europese Unie. Clausule met betrekking tot de verplichtingen van de provider inzake gegevensbeveiliging 40 Open offerteaanvraag bestek nr. 2015/10463| VDAB De "Cloud Computing"-provider moet de relevante goede praktijken naleven, zoals bijvoorbeeld de minimale veiligheidsnormen binnen de sector van de sociale zekerheid of andere standaarden zoals de ISO 27000-normen. De provider moet aan de instelling de veiligheidspolicy bezorgen met betrekking tot de diensten die hij aanbiedt en hem op de hoogte houden van de evolutie van deze policy. De provider moet de identiteit van zijn veiligheidsverantwoordelijke meedelen aan de instelling. De provider moet de instelling regelmatig een evaluatie bezorgen over de toestand van de veiligheidsvereisten (dit kan via de SLA afgesloten tussen de twee partijen). Naleving van de goede praktijken door de provider De goede praktijken die hierna worden vermeld, vormen een minimale, niet exhaustieve lijst van veiligheidsmaatregelen die de "Cloud computing"-provider verplicht moet naleven. Daarenboven kan de door de instelling uitgevoerde risicoanalyse aanleiding geven tot bijkomende veiligheidsmaatregelen. In functie van het “cloud”-model dient de verantwoordelijkheid voor het beheer van de veiligheidsmaatregelen duidelijk vastgesteld te worden. Op het vlak van de gegevensbeveiliging worden vijf domeinen gedefinieerd waarin de goede praktijken moeten worden geïmplementeerd. Vertrouwelijke gegevens: de provider moet de processen inzake beveiliging, personeelsbeheer, inventaris, kwalificatie en traceerbaarheid coherent implementeren, Datacenter: de provider moet over een veiligheidspolicy inzake de fysieke toegang tot de rekencentra en over technische voorzieningen beschikken die een bescherming bieden tegen externe bedreigen en omgevingsbedreigingen (brand, overstroming, stroomonderbreking, enz.), Logische toegangsbeveiliging: de provider moet over logische toegangscontroles beschikken in verhouding met de kriticiteit van de gegevens, Beveiliging van de systemen: de provider staat in voor het veilig configureren van systemen, Beveiliging van het netwerk: de provider moet over een beveiligd netwerk beschikken met een geschikte afscherming naar derden toe. Gegevensbescherming: De provider garandeert dat: de fysieke opslagplaats van de vertrouwelijke gegevens gekend is en voldoet aan de eisen van de instelling (rekencentrum, servers, enz.,); de back-up- en restore-systemen en de desbetreffende informatica-uitwijkplannen worden geïmplementeerd en periodiek uitgetest; hij over een ethische gedragscode beschikt dat op zijn personeel en zijn onderaannemers van toepassing is en door hen wordt toegepast. Hij oefent geen activiteiten uit die tot een belangenconflict kunnen leiden; zijn personeelsleden regelmatig bewust worden gemaakt van het belang van veiligheid; hij over traceermiddelen beschikt waardoor inbreuken op bijzondere rechten of kwaadaardige activiteiten kunnen worden opgespoord; 41 Open offerteaanvraag bestek nr. 2015/10463| VDAB hij over een incidentenpolicy beschikt waarin zowel de opsporing, het alarmeren, de verwerking tot en met de oplossing, de identificatie van de oorzaken en de communicatie aan de instelling worden besproken. Beveiliging van de rekencentra De provider garandeert dat hij over beveiligde systemen beschikt van fysieke toegangscontrole, van inbraak-, brand- en overstromingsdetectie en van videobewaking; enkel de gemachtigde personen toegang krijgen tot een rekencentrum na een adequate goedkeuringsprocedure; bovendien worden de toegangen opgevolgd en regelmatig herzien; de vertrouwelijkheidsclausules die in een overeenkomst zijn vastgelegd ook van toepassing zijn op elke onderaannemer (in het bijzonder voor het onderhoud van de systemen waarin vertrouwelijke gegevens worden bewaard); elk opslagmedium met vertrouwelijke gegevens dat wordt hergebruikt, verwijderd of gerecycleerd moet eerst een doeltreffende procedure doorlopen. Logische toegangsbeveiliging De provider garandeert dat hij de toegangsmodaliteiten tot de gegevens toepast volgens de aanwijzingen meegedeeld door de instelling (raadpleging, aanmaak, wijziging en verwijdering); de toegangen van de gebruikers en de administrators tot de systemen met vertrouwelijke gegevens gebaseerd zijn op mechanismen die de vertrouwelijkheid en de traceerbaarheid garanderen (bv. audit op de toegang tot de gegevens, problematiek van de generieke accounts); hij een authenticatiebeleid toepast dat in overeenstemming is met dat van de instelling. Beveiliging van de systemen De provider garandeert dat de back-upgegevens, ongeacht de drager waarop ze worden opgeslagen, vercijferd worden aan de hand van een gepast middel (algoritme, lengte van de sleutel, ...) afhankelijk van het gekozen cloud-model en voor zover de instelling het nuttig acht; hij de kwetsbaarheden van het systeem beheert en minstens jaarlijks inbraaktesten organiseert; de kritische kwetsbaarheden worden daarbij onmiddellijk verbeterd; de servers waarop de vertrouwelijke gegevens worden gehost, geconfigureerd worden met een zeer streng beveiligingsniveau; de veiligheidspatches op gecentraliseerde wijze beheerd worden, op voorhand uitgetest en geïnstalleerd worden binnen een redelijke termijn en in functie van hun kriticiteit; de anti-malware software op de servers en de werkposten wordt geïnstalleerd en dat deze software wordt bijgewerkt en bewaakt; het gebruik van USB-sleutels en andere mobiele opslagmedia wordt beheerd en gecontroleerd; de beheerprocedures en –praktijken inzake risicobeheer, incidentenbeheer en change management worden toegepast en correct gedocumenteerd. 42 Open offerteaanvraag bestek nr. 2015/10463| VDAB Beveiliging van de netwerktoegangen De provider garandeert dat de toegangen tot het netwerk beperkt en beveiligd worden en dat ze worden gefilterd; het beheer van de systemen vanuit een beveiligd, afgezonderd en speciaal daartoe bestemd netwerk wordt verricht met gebruik van sterke authenticatie; de wijzigingen aan de netwerkuitrusting worden op voorhand goedgekeurd, opgevolgd en gedocumenteerd; in het geval van een gedeelde service van "Cloud computing": de toegang tot het netwerk enkel wordt toegelaten voor vertrouwde terminals; het netwerk waarop de systemen met vertrouwelijke gegevens worden gehost, van het netwerk van de andere instellingen wordt afgezonderd. Naleving van de wettelijke en technische verplichtingen bij de verwerking van persoonsgegevens6 Alvorens “Cloud computing” in te voeren, moet elke instelling de impact hiervan evalueren op de veiligheid en de vertrouwelijkheid van de verwerking en de opslag van persoonsgegevens in de Cloud. In functie van de gevoeligheid van de gegevens zoals vastgelegd door de instelling en de impactanalyse zal de instelling al dan niet een beroep kunnen doen op de diensten van een “Cloud computing”-provider. De volgende regels zijn van toepassing bij gebruik van deze Cloud-diensten: In functie van haar activiteiten moet elke instelling niet alleen de Belgische en Europese wetgeving naleven maar ook de specifieke wetgeving eigen aan een sector; de instelling moet steeds waken over de naleving van de reglementering met betrekking tot de bescherming van de persoonsgegevens (privacywet7) bij de verwerking van dergelijke gegevens in een Cloud. In dat geval is de instelling die de gegevens bezit steeds verantwoordelijk voor de correcte naleving van de reglementering met betrekking tot de bescherming van de persoonsgegevens; in geval van outsourcing van persoonsgegevens moet de instelling zich bij de keuze van de “Cloud computing”-provider steeds beperken tot providers die enkel cloud-diensten van het type “gemeenschappelijke Cloud (of private)” aanbieden; Behoudens een toegelaten afwijking, is voor elke outsourcing van persoonsgegevens een vercijfering van de gegevens noodzakelijk tijdens het transport en voor de bewaring ervan. De vercijferingsmiddelen moeten bovendien steeds onder controle van de instelling worden beheerd en mogen niet worden uitbesteed. Bijlage : Is er een verschil tussen IT-uitbesteding en “Cloud Computing”? Nee, er is geen verschil wat betreft veiligheidsvereisten. Uitbesteding is immers de goed gekende methode waarbij een derde partij een of meerdere taken van de onderneming op zich neemt, taken 6 Persoonsgegevens omvatten tevens medische, sociale of privé-gegevens volgens de classificatie van gegevens die binnen de sociale zekerheid geldt 7 http://www.privacycommission.be/nl/privacywet-en-uitvoeringsbesluiten 43 Open offerteaanvraag bestek nr. 2015/10463| VDAB waarvoor men vaak te weinig resources (tijd, expertise) heeft. Deze uitbesteding kan gaan tot de opslag van gegevens en verwerkingssystemen. “Cloud Computing” is het gevolg van de evolutie van ITuitbesteding. De virtualisatietechnologieën die goed ontwikkeld werden en de toegang tot het netwerk aan zeer hoge snelheid die veralgemeend werd, hebben er inderdaad voor gezorgd dat de deuren open gingen voor flexibel gebruik en voor de vraag naar grote en mogelijk gedelokaliseerde informaticatools: dat is de kern van “Cloud Computing”. In dat kader kan dit veiligheidsbeleid ook in overweging genomen worden bij alle IT-uitbestedingen. “Cloud Computing”-modellen Het huidige aanbod inzake "Cloud Computing" kan volgens drie servicemodellen en vier implementatiemodellen worden gerangschikt. De servicemodellen zijn de volgende SaaS: « Software as a Service », dat wil zeggen de levering van software online; PaaS: « Platform as a Service », dat wil zeggen de levering van een ontwikkelingsplatform voor online toepassingen; IaaS: « Infrastructure as a Service », dat wil zeggen de levering van infrastructuur voor de online verwerking en opslag. De implementatiemodellen zijn de volgende: « Publiek» : de infrastructuur is toegankelijk voor een breed publiek en is eigendom van een Cloudprovider, in dit geval wordt een dienst met veel klanten gedeeld; « Privaat »: de Cloud-infrastructuur werkt voor één enkele organisatie, ze kan door de instelling zelf (interne private cloud) of door een derde worden beheerd (externe private cloud); « Gemeenschappelijk »-: Het betreft een infrastructuur die door verschillende organisaties gedeeld wordt die gemeenschappelijke belangen hebben of aan dezelfde (wettelijke) eisen moeten voldoen. Zoals voor de private Cloud kan deze infrastructuur door de organisaties zelf of door een derde worden beheerd; « Hybride »: Deze infrastructuur bestaat uit minstens twee Clouds (private, gemeenschappelijke of publieke) die apart blijven bestaan maar die met elkaar zijn verbonden door een standaard of bedrijfseigen technologie waardoor de overdraagbaarheid van de gegevens of van de toepassingen wordt gegarandeerd. Voorbereiding bij migratie naar een "Cloud Computing"-infrastructuur Een rentabiliteitsanalyse voorbereiden en de kosten en baten met betrekking tot een migratie naar een leverancier van “Cloud Computing” evalueren. De bedrijfsmiddelen (informatie, applicaties, processen) in het toepassingsgebied van "Cloud Computing" identificeren en classificeren. De sleutelfiguren van de organisatie (wettelijk, veiligheid, financiën, etc.) betrekken bij het beslissingsproces van de migratie naar een “Cloud Computing"-service alvorens een beslissing te nemen. Het design en de vereisten van de oplossing die voorgesteld werd door de kandidaat voor de transfer naar "Cloud Computing" grondig bestuderen. Ook vragen dat de leverancier van de "Cloud Computing"-service voor een testperiode zorgt, zodat mogelijke problemen opgespoord kunnen worden. 44 Open offerteaanvraag bestek nr. 2015/10463| VDAB Referenties: De ISO-normen 27001, ISO27002 Adviezen en aanbevelingen van de CBPL8, referentie: SA2/DOS-2013-03274-003, ISACA publication: Security considerations for cloud computing, ISBN: 978-60420-263-2, Aanbevelingen van de CNIL9: « Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud Computing » 8 9 Commissie voor de Bescherming van de Persoonlijke Levenssfeer, http://privacycommission.be Commission Nationale de l’Informatique et des libertés, http://www.cnil.fr 45 Open offerteaanvraag bestek nr. 2015/10463| VDAB Bijlage 5: De details voor de uitwerking van de proof of concept in het kader van dit lastenboek Taken 1. De ontwikkelaar kan zichzelf registreren op de API portal met gebruikersnaam en wachtwoord. 2. Definitie van API #1 voor persona onafhankelijke ontwikkelaar. Als input krijg je een formele specificatie van de backend service en de URL. a. De aanbieder configureert een REST API aan over HTTPS met JSON en XML als dataformaat op de API gateway. De backend service wordt met dezelfde API via HTTP aangeboden. b. De REST-API gebruikt het hypermedia-formaat HAL. De API gateway zorgt ervoor dat de hypermedia-links correct worden geüpdatet zodat de links geldig zijn voor een externe API consumer. c. De aanbieder zorgt ervoor dat de API beschikbaar is voor de API portal. Hij creëert de API documentatie voor de ontwikkelaar. d. De API kan enkel gebruikt worden wanneer de applicatie zich authentiseert met een access token die hij kan genereren via de API portal. e. De autorisatie van acties door de eindgebruiker gebeurt volgens de best passende OAuth 2.0 flow volgens de aanbieder. Hierbij kan de API Gateway fungeren als OAuth 2.0 provider. De authenticatiegegevens worden gebruikt uit Tivoli Directory Service als LDAP-implementatie. De aanbieder beargumenteert de keuze voor de gebruikte OAuth 2.0 flow. Tevens toont hij hoe de gebruikte componenten samenwerken om de authenticatie en autorisatie te realiseren. f. De aanbieder toont hoe hij als ontwikkelaar een API-oproep vanuit de API portal kan uitvoeren, inclusief OAuth 2.0 autorisatie. 3. De aanbieder configureert API #1 zodat van elke binnenkomende request de volgende zaken gelogd worden. a. De eindgebruiker voor wie de API-aanroep uitgevoerd wordt. b. De applicatie die de API-aanroep uitvoert. c. De uitgevoerde actie d. Het tijdstip e. De payload van de request en de response 4. De aanbieder beschermt API #1 zo optimaal mogelijk tegen de volgende aanvallen. Hij toont hoe hij de configuratie heeft uitgevoerd. Wanneer de bescherming tegen een van de aanvallen volgens de aanbieder beter op een ander punt gebeurt, dient hij dit te argumenteren tijdens de demonstratie. a. XML entity expansion or billion laughs attack [info] b. Jumbo payloads, zowel voor XML als JSON [info] c. Oversized XML attack en het JSON-equivalent [info] d. Coercive parsing [info] e. Cross-site request forgery [info] f. Cross-site scripting [info] g. SQL injection [info] h. XPath injection [info] 5. De aanbieder implementeert rate limiting: a. Maximum 10 oproepen per seconde per applicatie voor API #1. 46 Open offerteaanvraag bestek nr. 2015/10463| VDAB 6. 7. 8. 9. 10. 11. b. Maximum 10.000 oproepen per 24 uur per applicatie voor API #1. c. Maximum 100.000 oproepen per 24 uur globaal voor API #1. De aanbieder zorgt ervoor dat een eindgebruiker van API #1 zijn API-gebruik en performance metrieken kan raadplegen via de API portal. De aanbieder zorgt ervoor dat de API portal administrator over alle API’s heen de volgende rapporten kan raadplegen: a. Een rapport met het API-gebruik van API #1 over de applicaties. b. Een rapport met de throughput per aangeboden API. c. Een rapport met het aantal fouten per aangeboden API. De aanbieder documenteert met een presentatie hoe hij API #1 van de testomgeving naar de acceptatieomgeving kan migreren. Hierbij moet een duidelijke aanpak beschreven worden welke stappen dienen ondernomen te worden om dit aspect te realiseren. De aanbieder creëert een diagram van de TO BE deployment architectuur voor de productieve en non-productieve omgeving. De aanbieder creëert een diagram van de TO BE applicatie architectuur zoals hij die optimaal acht voor VDAB. Hij kan dit doen op basis van de toekomstige architectuur zoals vermeld in Bijlage 1 - Context. De aanbieder kan, indien gewenst, voorstellen doen voor extra acties waarvan hij vindt dat die voor VDAB nuttig zijn. De aanbieder beschrijft hoe hij een veilige oplossing aanbiedt en onderhoudt. De proof of concept wordt afgesloten met een demonstratie van de taken 1 tot en met 8 en een presentatie met toelichting van taken 8 tot en met 11. Het tijdstip hiervan wordt vastgelegd samen met de inplanning van de POC en maakt deel uit van de drie dagen die de aanbieder bij VDAB mag presteren. 47 Open offerteaanvraag bestek nr. 2015/10463| VDAB
