papier firmowy_kndt

Polskie Koleje Państwowe S.A.
Centrala
ul. Szczęśliwicka 62, 00-973 Warszawa
Departament Teleinformatyki
tel.: +48 22 474 91 28
fax: +48 22 474 91 48
www.pkpsa.pl
e-mail: [email protected]
Warszawa, dnia 09.09.2015 r.
Wykonawcy biorący udział w postępowaniu
Dotyczy: postępowania o udzielenie zamówienia niepublicznego prowadzonego w trybie
przetargu nieograniczonego pn. „Wdrożenie infrastruktury Microsoft Active Directory
Certificate Services wraz z dostawą sprzętu” (nr postępowania: KNDT/2015/WNP-003457).
Działając na podstawie rozdziału V §12 ust. 3 Procedury udzielania zamówień przez PKP S.A.,
przyjętej do stosowania Decyzją nr 55 Dyrektora Zarządzającego ds. Operacyjnych
i Kontrolingu z dnia 20 lipca 2015 r. w sprawie przyjęcia Procedury udzielania zamówień przez
PKP S.A. (nie mają zastosowania przepisy ustawy Prawo zamówień publicznych)
Zamawiający przekazuje poniżej treść zapytań wraz z wyjaśnieniami nr 1 treści specyfikacji
istotnych warunków zamówienia (dalej zwanej „SIWZ”).
WYJAŚNIENIA NR 1 TREŚCI SIWZ
PYTANIE NR 1
Dotyczy: punkt III, ustęp 2, podpunkt 4:
Czy dostawa modułów lub urządzeń Backup HSM jest opcjonalna jeśli oferowany HSM zgodnie z poziomem
certyfikacji urządzenia HSM nie wymaga dodatkowych urządzeń na potrzeby przechowywania kopii kluczy w
lokalizacji zapasowej?
ODPOWIEDŹ:
Intencją zamawiającego jest posiadanie kopii zapasowych kluczy prywatnych
zabezpieczonych w sposób nie gorszy niż w sytuacji, gdy przechowywane są w samym
HSM, również z uwagi na możliwość ich nieautoryzowanego kopiowania czy manipulacji
(tampering).
Eksport kluczy w formie zaszyfrowanej na nośniki ogólnego przeznaczenia nie jest
akceptowaną formą zabezpieczenia, nawet jeśli jest dopuszczony przez FIPS 140-2
(4.7.4 Key Entry and Output).
W przypadku użycia dedykowanych nośników spełniających wymagania FIPS 140-2
Level 3 takich jak np. karty procesorowe, nośniki takie traktowane są przez
Zamawiającego jak „moduły”, zgodnie z zapisami Pkt. III, ustęp 2, podpunkt 4.
PYTANIE NR 2
Dotyczy: punkt III, ustęp 3, podpunkt 1:
Czy Zamawiający dopuszcza zaoferowanie modułów HSM sieciowych czy jedynie z interfejsem komunikacyjnym
USB 2.0?
ODPOWIEDŹ:
Zamawiający dopuszcza moduły sieciowe HSM ze względu na dostępne w serwerach
przewidzianych do wykorzystania interfejsy sieciowe. Należy jednak w oferowanym
rozwiązaniu uwzględnić fakt, że Root CA i Policy CA nie będą połączone z siecią ani ze
sobą nawzajem. Połączenie pomiędzy serwerem a HSM będzie połączeniem punktpunkt bez użycia dodatkowych urządzeń sieciowych.
PYTANIE NR 3
Dotyczy: punkt III, ustęp 4, podpunkt 9a:
Jaki klient VPN ma podlegać integracji?
ODPOWIEDŹ:
Dowolny używający certyfikatów w standardzie X.509 do obustronnego
uwierzytelnienia. Należy skonfigurować środowisko PKI w sposób umożliwiający
stosowanie takiego rozwiązania (polityki, szablony).
PYTANIE NR 4
Dotyczy: punkt III, ustęp 4, podpunkt 9b:
Czy Zamawiający zapewnia nośniki kluczy i certyfikatów w postaci kart mikroprocesorowych wraz ze sterownikami?
Jeśli tak proszę o informację jakie?
ODPOWIEDŹ:
Nie. Należy skonfigurować środowisko PKI w sposób umożliwiający stosowanie takiego
rozwiązania (polityki, szablony).
PYTANIE NR 5
Dotyczy: punkt III, ustęp 4, podpunkt 9c:
Czy w ramach wdrożenia mechanizmu silnego uwierzytelniania certyfikatami serwerów WEB chodzi o umożliwienie
wydawania certyfikatów do dwustronnego uwierzytelniania w aplikacjach www?
ODPOWIEDŹ:
Tak
PYTANIE NR 6
Dotyczy: punkt III, ustęp 4, podpunkt 9c:
Czy oferta ma obejmować integracje z serwerami WWW? Jeśli tak proszę o informacje jakie to serwery i jaka jest
ich ilość?
ODPOWIEDŹ:
Nie. Należy skonfigurować środowisko PKI w sposób umożliwiający stosowanie takiego
rozwiązania (polityki, szablony).
PYTANIE NR 7
Dotyczy: punkt III, ustęp 4, podpunkt 9h:
Jaki system poczty i klientów pocztowych ma być objęty wdrożeniem?
Czy w ramach wdrożenia mechanizmu szyfrowania poczty wystarczające będzie przygotowanie infrastruktury PKI
wydające odpowiednie certyfikaty?
ODPOWIEDŹ:
Dowolny używający certyfikatów w standardzie X.509 i formatu S/MIME. W ramach
wdrożenia należy skonfigurować środowisko wydające odpowiednie do tego
zastosowania certyfikaty.
PYTANIE NR 8
Dotyczy: punkt III, ustęp 4, podpunkt 10:
Czy zamawiający aktualnie posiada rozwiązania obsługujące kopie systemów operacyjnych, AD lub bazy danych?
ODPOWIEDŹ:
Tak. Należy jednak pamiętać, że tylko CA poziomu „Issuing” będzie posiadać łączność
sieciową pozwalającą na skorzystanie z niego.
PYTANIE NR 9
Dotyczy: punkt III, ustęp 4, podpunkt 14:
W zakresie opisu Punkt III, ustęp 4 podpunkt 14 SIWZ - na jakie punkty a-j powołuje się Zamawiający?
ODPOWIEDŹ:
Chodzi o czynności wymienione w Pkt III, ustęp 4 punkty 1-10. Jest to błąd edycyjny
po stronie Zamawiającego. W roboczym formatowaniu SIWZ był to punkt III, ustęp 4
litery a-j.
PYTANIE NR 10
Dotyczy: punkt III, ustęp 4, podpunkt 15:
Czy dopuszcza się aby wsparcie było limitowane ilościowo w ramach oferty z przedstawionym kosztem wsparcia
po przekroczeniu limitu (time & material)?
ODPOWIEDŹ:
Nie. Zamawiający dysponuje zespołem kompetentnych administratorów, znających
środowisko AD oraz mechanizmy CA. Zamawiający zakłada, że dostarczone
rozwiązanie będzie posiadać dobrej jakości dokumentację producenta oraz
dokumentację wdrożenia a schematy postępowania zostaną omówione i przećwiczone
w trakcie szkolenia. Wsparcie dotyczyć ma sytuacji nietypowych, awaryjnych oraz
nieudokumentowanych.
PYTANIE NR 11
Dotyczy: punkt III, ustęp 4, podpunkt a 6
Na diagramie na poziomie Policy CA jest informacja o 5 szt.. W grupie jest spółek więcej: http://pkpsa.pl/grupapkp/spolki-grupy-pkp.html . Ile Policy CA ma zostać zainstalowanych w ramach projektu?
Wydaje nam się że patrząc na pkt. 7 to w tym punkcie jest błąd i wymaganie powinno brzmieć: “W ramach projektu
wymagane jest dostarczenie 1 Policy CA dla Centrali Zamawiającego.”
ODPOWIEDŹ:
Istotnie, drugie zdanie w pkt. 6 powinno brzmieć: „W ramach projektu wymagane jest
dostarczenie 1 Policy CA dla Centrali Zamawiającego”. Projekt dotyczy infrastruktury
PKI Centrali Zamawiającego i przewiduje instalację trzech instancji CA, po jednej dla
każdego poziomu.
PYTANIE NR 12
Dotyczy: punkt III, ustęp 4, podpunkt b 1
W klasycznym przypadku dla MSCA repozytorium jest AD. Czy zamawiający zapewnia wysoko dostępne AD czy
dostawa ma być częścią projektu?
ODPOWIEDŹ:
Zamawiający posiada infrastrukturę AD składającą się z wielu serwerów
rozproszonych w wielu lokalizacjach.
Daniel Kierepka
Przewodniczący Komisji Przetargowej