papier firmowy_kndt
Transkrypt
papier firmowy_kndt
Polskie Koleje Państwowe S.A. Centrala ul. Szczęśliwicka 62, 00-973 Warszawa Departament Teleinformatyki tel.: +48 22 474 91 28 fax: +48 22 474 91 48 www.pkpsa.pl e-mail: [email protected] Warszawa, dnia 09.09.2015 r. Wykonawcy biorący udział w postępowaniu Dotyczy: postępowania o udzielenie zamówienia niepublicznego prowadzonego w trybie przetargu nieograniczonego pn. „Wdrożenie infrastruktury Microsoft Active Directory Certificate Services wraz z dostawą sprzętu” (nr postępowania: KNDT/2015/WNP-003457). Działając na podstawie rozdziału V §12 ust. 3 Procedury udzielania zamówień przez PKP S.A., przyjętej do stosowania Decyzją nr 55 Dyrektora Zarządzającego ds. Operacyjnych i Kontrolingu z dnia 20 lipca 2015 r. w sprawie przyjęcia Procedury udzielania zamówień przez PKP S.A. (nie mają zastosowania przepisy ustawy Prawo zamówień publicznych) Zamawiający przekazuje poniżej treść zapytań wraz z wyjaśnieniami nr 1 treści specyfikacji istotnych warunków zamówienia (dalej zwanej „SIWZ”). WYJAŚNIENIA NR 1 TREŚCI SIWZ PYTANIE NR 1 Dotyczy: punkt III, ustęp 2, podpunkt 4: Czy dostawa modułów lub urządzeń Backup HSM jest opcjonalna jeśli oferowany HSM zgodnie z poziomem certyfikacji urządzenia HSM nie wymaga dodatkowych urządzeń na potrzeby przechowywania kopii kluczy w lokalizacji zapasowej? ODPOWIEDŹ: Intencją zamawiającego jest posiadanie kopii zapasowych kluczy prywatnych zabezpieczonych w sposób nie gorszy niż w sytuacji, gdy przechowywane są w samym HSM, również z uwagi na możliwość ich nieautoryzowanego kopiowania czy manipulacji (tampering). Eksport kluczy w formie zaszyfrowanej na nośniki ogólnego przeznaczenia nie jest akceptowaną formą zabezpieczenia, nawet jeśli jest dopuszczony przez FIPS 140-2 (4.7.4 Key Entry and Output). W przypadku użycia dedykowanych nośników spełniających wymagania FIPS 140-2 Level 3 takich jak np. karty procesorowe, nośniki takie traktowane są przez Zamawiającego jak „moduły”, zgodnie z zapisami Pkt. III, ustęp 2, podpunkt 4. PYTANIE NR 2 Dotyczy: punkt III, ustęp 3, podpunkt 1: Czy Zamawiający dopuszcza zaoferowanie modułów HSM sieciowych czy jedynie z interfejsem komunikacyjnym USB 2.0? ODPOWIEDŹ: Zamawiający dopuszcza moduły sieciowe HSM ze względu na dostępne w serwerach przewidzianych do wykorzystania interfejsy sieciowe. Należy jednak w oferowanym rozwiązaniu uwzględnić fakt, że Root CA i Policy CA nie będą połączone z siecią ani ze sobą nawzajem. Połączenie pomiędzy serwerem a HSM będzie połączeniem punktpunkt bez użycia dodatkowych urządzeń sieciowych. PYTANIE NR 3 Dotyczy: punkt III, ustęp 4, podpunkt 9a: Jaki klient VPN ma podlegać integracji? ODPOWIEDŹ: Dowolny używający certyfikatów w standardzie X.509 do obustronnego uwierzytelnienia. Należy skonfigurować środowisko PKI w sposób umożliwiający stosowanie takiego rozwiązania (polityki, szablony). PYTANIE NR 4 Dotyczy: punkt III, ustęp 4, podpunkt 9b: Czy Zamawiający zapewnia nośniki kluczy i certyfikatów w postaci kart mikroprocesorowych wraz ze sterownikami? Jeśli tak proszę o informację jakie? ODPOWIEDŹ: Nie. Należy skonfigurować środowisko PKI w sposób umożliwiający stosowanie takiego rozwiązania (polityki, szablony). PYTANIE NR 5 Dotyczy: punkt III, ustęp 4, podpunkt 9c: Czy w ramach wdrożenia mechanizmu silnego uwierzytelniania certyfikatami serwerów WEB chodzi o umożliwienie wydawania certyfikatów do dwustronnego uwierzytelniania w aplikacjach www? ODPOWIEDŹ: Tak PYTANIE NR 6 Dotyczy: punkt III, ustęp 4, podpunkt 9c: Czy oferta ma obejmować integracje z serwerami WWW? Jeśli tak proszę o informacje jakie to serwery i jaka jest ich ilość? ODPOWIEDŹ: Nie. Należy skonfigurować środowisko PKI w sposób umożliwiający stosowanie takiego rozwiązania (polityki, szablony). PYTANIE NR 7 Dotyczy: punkt III, ustęp 4, podpunkt 9h: Jaki system poczty i klientów pocztowych ma być objęty wdrożeniem? Czy w ramach wdrożenia mechanizmu szyfrowania poczty wystarczające będzie przygotowanie infrastruktury PKI wydające odpowiednie certyfikaty? ODPOWIEDŹ: Dowolny używający certyfikatów w standardzie X.509 i formatu S/MIME. W ramach wdrożenia należy skonfigurować środowisko wydające odpowiednie do tego zastosowania certyfikaty. PYTANIE NR 8 Dotyczy: punkt III, ustęp 4, podpunkt 10: Czy zamawiający aktualnie posiada rozwiązania obsługujące kopie systemów operacyjnych, AD lub bazy danych? ODPOWIEDŹ: Tak. Należy jednak pamiętać, że tylko CA poziomu „Issuing” będzie posiadać łączność sieciową pozwalającą na skorzystanie z niego. PYTANIE NR 9 Dotyczy: punkt III, ustęp 4, podpunkt 14: W zakresie opisu Punkt III, ustęp 4 podpunkt 14 SIWZ - na jakie punkty a-j powołuje się Zamawiający? ODPOWIEDŹ: Chodzi o czynności wymienione w Pkt III, ustęp 4 punkty 1-10. Jest to błąd edycyjny po stronie Zamawiającego. W roboczym formatowaniu SIWZ był to punkt III, ustęp 4 litery a-j. PYTANIE NR 10 Dotyczy: punkt III, ustęp 4, podpunkt 15: Czy dopuszcza się aby wsparcie było limitowane ilościowo w ramach oferty z przedstawionym kosztem wsparcia po przekroczeniu limitu (time & material)? ODPOWIEDŹ: Nie. Zamawiający dysponuje zespołem kompetentnych administratorów, znających środowisko AD oraz mechanizmy CA. Zamawiający zakłada, że dostarczone rozwiązanie będzie posiadać dobrej jakości dokumentację producenta oraz dokumentację wdrożenia a schematy postępowania zostaną omówione i przećwiczone w trakcie szkolenia. Wsparcie dotyczyć ma sytuacji nietypowych, awaryjnych oraz nieudokumentowanych. PYTANIE NR 11 Dotyczy: punkt III, ustęp 4, podpunkt a 6 Na diagramie na poziomie Policy CA jest informacja o 5 szt.. W grupie jest spółek więcej: http://pkpsa.pl/grupapkp/spolki-grupy-pkp.html . Ile Policy CA ma zostać zainstalowanych w ramach projektu? Wydaje nam się że patrząc na pkt. 7 to w tym punkcie jest błąd i wymaganie powinno brzmieć: “W ramach projektu wymagane jest dostarczenie 1 Policy CA dla Centrali Zamawiającego.” ODPOWIEDŹ: Istotnie, drugie zdanie w pkt. 6 powinno brzmieć: „W ramach projektu wymagane jest dostarczenie 1 Policy CA dla Centrali Zamawiającego”. Projekt dotyczy infrastruktury PKI Centrali Zamawiającego i przewiduje instalację trzech instancji CA, po jednej dla każdego poziomu. PYTANIE NR 12 Dotyczy: punkt III, ustęp 4, podpunkt b 1 W klasycznym przypadku dla MSCA repozytorium jest AD. Czy zamawiający zapewnia wysoko dostępne AD czy dostawa ma być częścią projektu? ODPOWIEDŹ: Zamawiający posiada infrastrukturę AD składającą się z wielu serwerów rozproszonych w wielu lokalizacjach. Daniel Kierepka Przewodniczący Komisji Przetargowej