a) Nie należy zapisywać wymagań, które spełnia tylko jedno Centrum Certyfikacji np.:
- "Centrum Certyfikacji powinno posiać certyfikaty WebTrust i ISO:9001" wymaganie spełnia tylko Certum prowadzone przez UNIZETO
- "Centrum Certyfikacji powinno posiadać certyfikaty IQNet i ISO:9001 "
wymaganie spełnia jedynie Sigillum prowadzone przez Polską Wytwórnię Papierów Wartościowych
- "Kapitał zakładowy Centrum Certyfikacji powinien być większy niż 400 mln PLN" wymaganie spełnione jedynie przez Signet prowadzone przez TPInternet Sp. z o.o.
Rozwiązaniem jest dopuszczenie kilku równoważnych kryteriów oceny jakości lub bezpieczeństwa. Wtedy możemy wymagać posiadania co najmniej
jednego certyfikatu potwierdzającego spełnienie tych wymagań. Innym wyjściem jest ponowne przeanalizowania, czy zapisane przez nas kryterium jest uzasadnione
(do zabezpieczenie korespondencji wewnętrznej nie jest potrzebny certyfikat WebTrust).
b) Nie należy w SIWZ umieszczać zapisów których nie można uzasadnić biznesowo
Często w SIWZ umieszczane są wymagania, które bardziej przypominają hasła z ulotek marketingowych, niż opis potrzeby zamawiającego. Zamiast pisać:
"dostawca musi posiadać certyfikat WebTrust" lepiej umieścić zapis:"prawidłowość działania dostawcy w zakresie zarządzania certyfikatami kwalifikowanymi
musi być potwierdzona audytem zgodnym z wymaganiami programu WebTrust".
Należy również wystrzegać się przepisywania specyfikacji konkretnego rozwiązania - np.: przepisanie całej specyfikacji technicznej karty mikroprocesorowej
którą zdobył zamawiający może w efekcie spowodować, że tylko jedna firma będzie mogła dostarczyć karty spełniające wymagania, bo akurat ona jest wyłącznym
dystrybutorem takich kart na terenie RP. Żeby tego uniknąć należy zapisywać prawdziwe potrzeby, np.: karta kryptograficzna, certyfikowana na poziomie ITSEC E4
high lub równoważnym w innym standardzie (np. Commmon Criteria, FIPS), obsługująca algorytmy RSA z kluczem o długości co najmniej 1024 bajtów.
c) nie należy używać w SIWZ nazw własnych produktów centrum certyfikacji
- "zamawiamy 100 sztuk certyfikatów klasy Silver" Silver jest nazwą handlową produktu Certum
- "zamawiamy 100 certyfikatów kwalifikowanych oraz 50 certyfikatów Super" Super jest nazwą handlową CC Signet
d) nie należy umieszczać nieprecyzyjnych opisów przedmiotu zamówienia
- "wykonawca przeprowadzi również szkolenie 100 osób z zasad posługiwania się podpisem elektronicznym"
Jest to bardzo ogólny zapis. Może się zdarzyć że 3 z 4 wykonawców wyceni taką usługę zgodnie z cenami rynkowymi (200 zł za osobę) i przez to przegra cały przetarg,
gdyż jeden z wykonawców pomimo najdroższej oferty na certyfikaty zorganizuje takie szkolenie w formie wykładu na sali gimnastycznej i wyceni je na kwotę 2000 PLN.
Najlepszym rozwiązanie jest doprecyzowanie np. Szkolenie w grupach max 8 osobowych czas szkolenia 8 godzin, min 4 godziny praktycznych zajęć, min jeden komputer
na 2 osoby, miejsce szkolenia Warszawa, lokal oraz sprzęt zapewnia wykonawca.
Tak sformułowany zapis wyeliminuje wiele pytań i niedomówień.
W trzech ostatnio opublikowanych przetargach pomimo że niebyły dostępne w formie elektronicznej znalazły się te same zapisy dotyczące wymagań sprzętowych na karty,
czy był to przypadek ? czy zapisy te były nieświadomie przeklejone ze specyfikacji jednego z producentów? a może te zapisy pochodziły z innego źródła ?
Wydaje się, że rynek PKI został dotknięty tą samą chorobą która ogarnęła większość dużych przetargów - treści zawarte w SIWZ tylko potwierdzają, że wykonawca przetargu
prawdopodobnie został ustalony już wcześniej. A przecież właśnie tu, na rynku zaufania i bezpieczeństwa wymaga się stosowania przejrzystych i uczciwych zasad. Powinny
one towarzyszyć dostarczanym systemom już na etapie opracowywania wymagań dla przyszłych wykonawców.
Dlatego najlepszym rozwiązaniem w przypadku ogłaszania przetargu są konsultacje z wieloma dostawcami PKI lub skorzystanie z konsultacji firmy zewnętrznej.
Jeśli masz wątpliwości co do zapisów ogłaszanego przez siebie SIWZ
napisz do nas postaramy się pomóc
Jeśli jakiś przetarg budzi twoje wątpliwości
napisz do nas postaramy się wyjaśnić ewentualne nieprawidłowości.
|