Ogłoszenie o zamówieniu
Usługi
„Zakup usługi audytu podatności, bezpieczeństwa i zgodności platformy regionalnej pn. eCaremed”

SEKCJA I - ZAMAWIAJĄCY

1.1.) Rola zamawiającego

Postępowanie prowadzą zamawiający działający wspólnie

1.2.) Nazwa zamawiającego: SP ZOZ Szpital Wielospecjalistyczny w Jaworznie

1.3.) Oddział zamawiającego: Dział Zamówień Publicznych

1.4) Krajowy Numer Identyfikacyjny: REGON 270641184

1.5) Adres zamawiającego

1.5.1.) Ulica: Chełmońskiego 28

1.5.2.) Miejscowość: Jaworzno

1.5.3.) Kod pocztowy: 43-600

1.5.4.) Województwo: śląskie

1.5.5.) Kraj: Polska

1.5.6.) Lokalizacja NUTS 3: PL22B - Sosnowiecki

1.5.7.) Numer telefonu: 326164482

1.5.9.) Adres poczty elektronicznej: zampubl@szpital.jaworzno.pl

1.5.10.) Adres strony internetowej zamawiającego: www.szpital.jaw.pl

1.6.) Rodzaj zamawiającego: Zamawiający publiczny - jednostka sektora finansów publicznych - samodzielny publiczny zakład opieki zdrowotnej

1.7.) Przedmiot działalności zamawiającego: Zdrowie

1.8.) Informacje o pozostałych zamawiających działających wspólnie

Zamawiający 2

1.2.) Nazwa zamawiającego: Samodzielny Publiczny Wojewódzki Szpital Chirurgii Urazowej im. dr. Janusza Daaba w Piekarach Śląskich

1.4) Krajowy Numer Identyfikacyjny: NIP 4980107015

1.5) Adres zamawiającego

1.5.1.) Ulica: Bytomska 62

1.5.2.) Miejscowość: Piekary Śląskie

1.5.3.) Kod pocztowy: 41-940

1.5.4.) Województwo: śląskie

1.5.5.) Kraj: Polska

1.5.6.) Lokalizacja NUTS 3: PL228 - Bytomski

1.5.7.) Numer telefonu: 323934248

1.5.9.) Adres poczty elektronicznej: ireneusz.kowalski@urazowka.piekary.pl

1.5.10.) Adres strony internetowej zamawiającego: www.urazowka.piekary.pl

Zamawiający 3

1.2.) Nazwa zamawiającego: Wojewódzki Szpital Specjalistyczny Nr 2 w Jastrzębiu-Zdroju

1.4) Krajowy Numer Identyfikacyjny: NIP 633-10-45-778

1.5) Adres zamawiającego

1.5.1.) Ulica: Aleja Jana Pawła II 7

1.5.2.) Miejscowość: Jastrzębie-Zdrój

1.5.3.) Kod pocztowy: 44-330

1.5.4.) Województwo: śląskie

1.5.5.) Kraj: Polska

1.5.6.) Lokalizacja NUTS 3: PL227 - Rybnicki

1.5.7.) Numer telefonu: 32 47 84 200

1.5.9.) Adres poczty elektronicznej: ecaremed@wss2.pl

1.5.10.) Adres strony internetowej zamawiającego: https://www.wss2.pl/

Zamawiający 4

1.2.) Nazwa zamawiającego: Szpital Specjalistyczny Nr 2 w Bytomiu

1.4) Krajowy Numer Identyfikacyjny: NIP: 626-25-11-259

1.5) Adres zamawiającego

1.5.1.) Ulica: Stefana Batorego 15

1.5.2.) Miejscowość: Bytom

1.5.3.) Kod pocztowy: 41-902

1.5.4.) Województwo: śląskie

1.5.5.) Kraj: Polska

1.5.6.) Lokalizacja NUTS 3: PL228 - Bytomski

1.5.7.) Numer telefonu: (32) 786 14 00

1.5.9.) Adres poczty elektronicznej: wwieczorek@szpital2.bytom.pl

1.5.10.) Adres strony internetowej zamawiającego: https://www.szpital2.bytom.pl/

Zamawiający 5

1.2.) Nazwa zamawiającego: Wojewódzki Szpital Specjalistyczny im. Najświętszej Maryi Panny z siedzibą w Częstochowie

1.4) Krajowy Numer Identyfikacyjny: NIP 5732299604

1.5) Adres zamawiającego

1.5.1.) Ulica: Bialska 104/118

1.5.2.) Miejscowość: Częstochowa

1.5.3.) Kod pocztowy: 42-200

1.5.4.) Województwo: śląskie

1.5.5.) Kraj: Polska

1.5.6.) Lokalizacja NUTS 3: PL224 - Częstochowski

1.5.7.) Numer telefonu: 343673104

1.5.9.) Adres poczty elektronicznej: tomaszsalachna@szpitalparkitka.com.pl

1.5.10.) Adres strony internetowej zamawiającego: http://szpitalparkitka.com.pl

Zamawiający 6

1.2.) Nazwa zamawiającego: Wojewódzki Szpital Specjalistyczny Nr 4 w Bytomiu

1.4) Krajowy Numer Identyfikacyjny: NIP: 626-25-10-567

1.5) Adres zamawiającego

1.5.1.) Ulica: al. Legionów 10

1.5.2.) Miejscowość: Bytom

1.5.3.) Kod pocztowy: 41-902

1.5.4.) Województwo: śląskie

1.5.5.) Kraj: Polska

1.5.6.) Lokalizacja NUTS 3: PL228 - Bytomski

1.5.7.) Numer telefonu: 32 281 02 71

1.5.9.) Adres poczty elektronicznej: rstanek@szpital2.bytom.pl

1.5.10.) Adres strony internetowej zamawiającego: www.szpital4.bytom.pl

Zamawiający 7

1.2.) Nazwa zamawiającego: Katowickie Centrum Onkologii z siedzibą w Katowicach

1.4) Krajowy Numer Identyfikacyjny: REGON 276201240

1.5) Adres zamawiającego

1.5.1.) Ulica: Raciborska 26

1.5.2.) Miejscowość: Katowice

1.5.3.) Kod pocztowy: 40-074

1.5.4.) Województwo: śląskie

1.5.5.) Kraj: Polska

1.5.6.) Lokalizacja NUTS 3: PL22A - Katowicki

1.5.7.) Numer telefonu: 32 42-00-100

1.5.9.) Adres poczty elektronicznej: t.duniec@kco.katowice.pl

1.5.10.) Adres strony internetowej zamawiającego: www.kco.katowice.pl

Zamawiający 8

1.2.) Nazwa zamawiającego: Wojewódzki Szpital Specjalistyczny Nr 5 im. św. Barbary w Sosnowcu

1.4) Krajowy Numer Identyfikacyjny: NIP: 644-28-76-726

1.5) Adres zamawiającego

1.5.1.) Ulica: Plac Medyków 1

1.5.2.) Miejscowość: Sosnowiec

1.5.3.) Kod pocztowy: 41-200

1.5.4.) Województwo: śląskie

1.5.5.) Kraj: Polska

1.5.6.) Lokalizacja NUTS 3: PL22B - Sosnowiecki

1.5.7.) Numer telefonu: 32 368 20 00

1.5.9.) Adres poczty elektronicznej: sswierczek@wss5.pl

1.5.10.) Adres strony internetowej zamawiającego: https://wss5.pl/

Zamawiający 9

1.2.) Nazwa zamawiającego: Samodzielny Publiczny Zakład Opieki Zdrowotnej Wojewódzki Szpital Specjalistyczny Nr 3 w Rybniku

1.4) Krajowy Numer Identyfikacyjny: NIP: 642-25-85-351

1.5) Adres zamawiającego

1.5.1.) Ulica: ul. Energetyków 46

1.5.2.) Miejscowość: Rybnik

1.5.3.) Kod pocztowy: 44-200

1.5.4.) Województwo: śląskie

1.5.5.) Kraj: Polska

1.5.6.) Lokalizacja NUTS 3: PL227 - Rybnicki

1.5.7.) Numer telefonu: 32-42-91-251

1.5.9.) Adres poczty elektronicznej: imagiera@szpital.rybnik.pl

1.5.10.) Adres strony internetowej zamawiającego: www.szpital.rybnik.pl

Zamawiający 10

1.2.) Nazwa zamawiającego: Szpital Wojewódzki w Bielsku-Białej

1.4) Krajowy Numer Identyfikacyjny: NIP: 547-18-42-468

1.5) Adres zamawiającego

1.5.1.) Ulica: Al. Armii Krajowej 101

1.5.2.) Miejscowość: Bielsko-Biała

1.5.3.) Kod pocztowy: 43-316

1.5.4.) Województwo: śląskie

1.5.5.) Kraj: Polska

1.5.6.) Lokalizacja NUTS 3: PL225 - Bielski

1.5.7.) Numer telefonu: 33 810 20 00

1.5.9.) Adres poczty elektronicznej: mks@hospital.com.pl

1.5.10.) Adres strony internetowej zamawiającego: https://www.hospital.com.pl/

Zamawiający 11

1.2.) Nazwa zamawiającego: Centrum Leczenia Oparzeń im. dr. Stanisława Sakiela w Siemianowicach Śląskich

1.4) Krajowy Numer Identyfikacyjny: NIP: 643-100-58-73

1.5) Adres zamawiającego

1.5.1.) Ulica: Jana Pawła II 2

1.5.2.) Miejscowość: Siemianowice Śląskie

1.5.3.) Kod pocztowy: 41-100

1.5.4.) Województwo: śląskie

1.5.5.) Kraj: Polska

1.5.6.) Lokalizacja NUTS 3: PL22A - Katowicki

1.5.7.) Numer telefonu: 32 735 76 00

1.5.9.) Adres poczty elektronicznej: marcin.ludyga@clo.com.pl

1.5.10.) Adres strony internetowej zamawiającego: www.clo.com.pl

Zamawiający 12

1.2.) Nazwa zamawiającego: Uniwersyteckie Centrum Kliniczne im. prof. K. Gibińskiego Śląskiego Uniwersytetu Medycznego w Katowicach

1.4) Krajowy Numer Identyfikacyjny: REGON 001325767

1.5) Adres zamawiającego

1.5.1.) Ulica: Ceglana 35

1.5.2.) Miejscowość: Katowice

1.5.3.) Kod pocztowy: 40-514

1.5.4.) Województwo: śląskie

1.5.5.) Kraj: Polska

1.5.6.) Lokalizacja NUTS 3: PL22A - Katowicki

1.5.7.) Numer telefonu: +48 32 35 81 200

1.5.9.) Adres poczty elektronicznej: urytel@uck.katowice.pl

1.5.10.) Adres strony internetowej zamawiającego: https://www.uck.katowice.pl

Zamawiający 13

1.2.) Nazwa zamawiającego: Górnośląskie Centrum Medyczne im. prof. Leszka Gieca, Śląskiego Uniwersytetu Medycznego w Katowicach

1.4) Krajowy Numer Identyfikacyjny: NIP:954-22-69-625

1.5) Adres zamawiającego

1.5.1.) Ulica: Ziołowa 45–47

1.5.2.) Miejscowość: Katowice

1.5.3.) Kod pocztowy: 40-635

1.5.4.) Województwo: śląskie

1.5.5.) Kraj: Polska

1.5.6.) Lokalizacja NUTS 3: PL22A - Katowicki

1.5.9.) Adres poczty elektronicznej: tkorytkowski@gcm.pl

1.5.10.) Adres strony internetowej zamawiającego: https://www.gcm.pl/

Zamawiający 14

1.2.) Nazwa zamawiającego: Narodowy Instytut Onkologii im. Marii Skłodowskiej Curie Państwowym Instytutem Badawczym Oddział w Gliwicach

1.4) Krajowy Numer Identyfikacyjny: NIP: 525-000-80-57

1.5) Adres zamawiającego

1.5.1.) Ulica: Wybrzeże Armii Krajowej 15

1.5.2.) Miejscowość: Gliwice

1.5.3.) Kod pocztowy: 44-102

1.5.4.) Województwo: śląskie

1.5.5.) Kraj: Polska

1.5.6.) Lokalizacja NUTS 3: PL229 - Gliwicki

1.5.7.) Numer telefonu: 32 278 88 86

1.5.9.) Adres poczty elektronicznej: artur.wojcik@gliwice.nio.gov.pl

1.5.10.) Adres strony internetowej zamawiającego: www.gliwice.nio.gov.pl

Zamawiający 15

1.2.) Nazwa zamawiającego: Beskidzkie Centrum Onkologii - Szpital Miejski im. Jana Pawła Il w Bielsku-Białej

1.4) Krajowy Numer Identyfikacyjny: NIP 9372662340

1.5) Adres zamawiającego

1.5.1.) Ulica: Wyzwolenia 18

1.5.2.) Miejscowość: Bielsko-Biała

1.5.3.) Kod pocztowy: 43-300

1.5.4.) Województwo: śląskie

1.5.5.) Kraj: Polska

1.5.6.) Lokalizacja NUTS 3: PL225 - Bielski

1.5.7.) Numer telefonu: 33 498 40 01

1.5.9.) Adres poczty elektronicznej: daniel@onkologia.bielsko.pl

1.5.10.) Adres strony internetowej zamawiającego: www.onkologia.bielsko.pl

1.9.) Podział obowiązków – zamówienie wspólne

Zamawiający działający wspólnie na podstawie art. 38 ustawy z dnia 11 września 2019 r. Prawo zamówień publicznych (tj. Dz. U. 2023 r. poz. 1605 ze zm.) w oparciu o Porozumienie w sprawie wspólnego prowadzenia postępowania oraz udzielenia zamówienia publicznego na Zakup usługi audytu podatności, bezpieczeństwa i zgodności platformy regionalnej pn. eCaremed
zawarte w dniu 06.02.2024 r. zgodnie z treścią porozumienia ustanowili Lidera:
1. SP ZOZ Szpital Wielospecjalistyczny w Jaworznie
ul. Chełmońskiego 28, 43-600 Jaworzno
woj. śląskie Tel.: 32 616 44 82
NIP: 632-17-53-077
reprezentowany przez: Dyrektora mgr Gabrielę Buczkowską przygotowuje i przeprowadza postępowanie.
Koszt wynagrodzenia wykonawcy wybranego w ramach niniejszego postępowania każdy z podmiotów wymienionych powyżej ponosi w równej kwocie.
Umowę zawiera i podpisuje każdy z Zamawiających (Uczestników) oddzielnie w swoim imieniu.
adres poczty elektronicznej: zampubl@szpital.jaworzno.pl

SEKCJA II – INFORMACJE PODSTAWOWE

2.1.) Ogłoszenie dotyczy:

Zamówienia publicznego

2.2.) Ogłoszenie dotyczy usług społecznych i innych szczególnych usług: Nie

2.3.) Nazwa zamówienia albo umowy ramowej:

„Zakup usługi audytu podatności, bezpieczeństwa i zgodności platformy regionalnej pn. eCaremed”

2.4.) Identyfikator postępowania: ocds-148610-73ef381c-df7c-11ee-a01e-f641a8763d5f

2.5.) Numer ogłoszenia: 2024/BZP 00239738

2.6.) Wersja ogłoszenia: 01

2.7.) Data ogłoszenia: 2024-03-11

2.8.) Zamówienie albo umowa ramowa zostały ujęte w planie postępowań: Nie

2.11.) O udzielenie zamówienia mogą ubiegać się wyłącznie wykonawcy, o których mowa w art. 94 ustawy: Nie

2.14.) Czy zamówienie albo umowa ramowa dotyczy projektu lub programu współfinansowanego ze środków Unii Europejskiej: Nie

2.16.) Tryb udzielenia zamówienia wraz z podstawą prawną

Zamówienie udzielane jest w trybie podstawowym na podstawie: art. 275 pkt 1 ustawy

SEKCJA III – UDOSTĘPNIANIE DOKUMENTÓW ZAMÓWIENIA I KOMUNIKACJA

3.1.) Adres strony internetowej prowadzonego postępowania

http://szpitaljaw.ezamawiajacy.pl

3.2.) Zamawiający zastrzega dostęp do dokumentów zamówienia: Nie

3.4.) Wykonawcy zobowiązani są do składania ofert, wniosków o dopuszczenie do udziału w postępowaniu, oświadczeń oraz innych dokumentów wyłącznie przy użyciu środków komunikacji elektronicznej: Tak

3.5.) Informacje o środkach komunikacji elektronicznej, przy użyciu których zamawiający będzie komunikował się z wykonawcami - adres strony internetowej: http://szpitaljaw.ezamawiajacy.pl

3.6.) Wymagania techniczne i organizacyjne dotyczące korespondencji elektronicznej: Dalsza numeracja zgodna z Rozdz. XIV SWZ:
3. Zawiadomienia, oświadczenia, wnioski lub informacje Wykonawcy przekazują:
 drogą elektroniczną: zampubl@szpital.jaworzno.pl;
 poprzez Platformę MarketPlanet, dostępną pod adresem: https://szpitaljaw.ezamawiajacy.pl/
Rejestracja na Platformie, w tym złożenie oferty w formie elektronicznej, wymaga dokonania następujących czynności:
3.1. zgłoszenie do postępowania wymaga zalogowania Wykonawcy do Systemu na subdomenie SP ZOZ Szpital Wielospecjalistyczny w Jaworznie: https://szpitaljaw.ezamawiajacy.pl, lub https://oneplace.marketplanet.pl.
3.2. Wykonawca po wybraniu opcji „przystąp do postępowania” zostanie przekierowany do strony https://oneplace.marketplanet.pl, gdzie zostanie powiadomiony o możliwości zalogowania lub do założenia bezpłatnego konta. Wykonawca zakłada konto wykonując kroki procesu rejestracyjnego; podaje adres e-mail, ustanawia hasło, następnie powtarza hasło, wpisuje kod z obrazka, akceptuje regulamin, klika polecenie „zarejestruj się”.
3.3. Rejestracja konta następuje automatycznie poprzez:
- podpisanie się pod wnioskiem podpisem elektronicznym (kwalifikowanym, osobistym lub profilem zaufanym)
lub
- kontakt z numerem telefonu podanym w potwierdzeniu
lub
- jeżeli użytkownik nie podpisze się na wniosku ani nie skontaktuje się telefonicznie konto zostanie aktywowane w ciągu maksymalnie 6 godzin roboczych.
W związku z tym Zamawiający zaleca Wykonawcom uwzględnienie czasu niezbędnego na rejestrację w procesie złożenia Oferty w postaci elektronicznej.
Szczegółowe informacje zostały uwzględnione w instrukcjach dla Wykonawców dostępnych na platformie zakupowej MarketPlanet.
3.4. Po założeniu konta Wykonawca ma możliwość złożenia Oferty w postępowaniu. Komunikacja między Zamawiającym, a Wykonawcami, w szczególności zawiadomienia oraz informacje, przekazywane są w formie elektronicznej za pośrednictwem Platformy Zakupowej. Za datę przekazania zaświadczeń oraz informacji przyjmuje się datę ich wysłania za pośrednictwem zakładki „Korespondencja”. pozostałe wymagania zostały podane w Rozdziale XIV SWZ.

3.8.) Zamawiający wymaga sporządzenia i przedstawienia ofert przy użyciu narzędzi elektronicznego modelowania danych budowlanych lub innych podobnych narzędzi, które nie są ogólnie dostępne: Nie

3.12.) Oferta - katalog elektroniczny: Nie dotyczy

3.14.) Języki, w jakich mogą być sporządzane dokumenty składane w postępowaniu:

polski

3.15.) RODO (obowiązek informacyjny): 1. Klauzula informacyjna wynikająca z art. 13 RODO w celu związanym z postępowaniem o udzielenie zamówienia publicznego:
2. Zgodnie z art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1), dalej „RODO”, Zamawiający informuję, że:
3. Administratorem danych osobowych jest:
SP ZOZ Szpital Wielospecjalistyczny w Jaworznie; ul. Chełmońskiego 28; 43-600 Jaworzno
tel. 32 616 44 82; fax. 32 751 98 44; www.szpital.jaworzno.pl
4. Odbiorcą danych osobowych będą upoważnieni pracownicy SP ZOZ Szpitala Wielospecjalistycznego w Jaworznie, osoby lub podmioty, którym udostępniona zostanie dokumentacja postępowania w oparciu o art. 18 oraz art. 74-76 ustawy z dnia 11 września 2019 r. – Prawo zamówień publicznych, dalej „ustawa Pzp” oraz spółka Otwarty Rynek Elektroniczny S.A. siedzibą w Warszawie (02-672) przy ul. Domaniewskiej 49 – w przypadku złożenia oferty w postaci elektronicznej, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy dla m.st. Warszawy w Warszawie XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000041441, REGON: 017282436, NIP: 526-25-35-153, jako właściciel Platformy Zakupowej, na której SP ZOZ Szpital Wielospecjalistyczny w Jaworznie prowadzi postępowania o udzielenie zamówienia publicznego, działającą pod adresem: https://szpitaljaw.ezamawiajacy.pl
pozostałe
informacje dotyczące RODO dostępne są w Rozdziale II SWZ.

3.16.) RODO (ograniczenia stosowania): Nie przysługuje Pani/Panu:
a) w związku z art. 17 ust. 3 lit. b, d lub e RODO prawo do usunięcia danych osobowych;
b) prawo do przenoszenia danych osobowych, o którym mowa w art. 20 RODO;
c) na podstawie art. 21 RODO prawo sprzeciwu, wobec przetwarzania danych osobowych, gdyż podstawą prawną przetwarzania
Pani/Pana danych osobowych jest art. 6 ust. 1 lit. c RODO.

SEKCJA IV – PRZEDMIOT ZAMÓWIENIA

4.1.) Informacje ogólne odnoszące się do przedmiotu zamówienia.

4.1.1.) Przed wszczęciem postępowania przeprowadzono konsultacje rynkowe: Nie

4.1.2.) Numer referencyjny: SZP.III.240/10/24/P

4.1.3.) Rodzaj zamówienia: Usługi

4.1.4.) Zamawiający udziela zamówienia w częściach, z których każda stanowi przedmiot odrębnego postępowania: Nie

4.1.8.) Możliwe jest składanie ofert częściowych: Nie

4.1.13.) Zamawiający uwzględnia aspekty społeczne, środowiskowe lub etykiety w opisie przedmiotu zamówienia: Nie

4.2. Informacje szczegółowe odnoszące się do przedmiotu zamówienia:

4.2.2.) Krótki opis przedmiotu zamówienia

1. Przedmiotem zamówienia w niniejszym przetargu jest zakup usługi audytu podatności, bezpieczeństwa i zgodności platformy regionalnej pn. eCaremed obejmujący w szczególności wykonanie audytu zgodności budowy i wdrożenia systemu teleinformatycznego eCareMed, w zakresie zgodności z wymaganiami RODO w kontekście cyberbezpieczeństwa, KRI, KSC w tym przeprowadzenie testów penetracyjnych oraz identyfikacje znanych podatności.

4.2.6.) Główny kod CPV: 79212000-3 - Usługi audytu

4.2.7.) Dodatkowy kod CPV:

72810000-1 - Usługi audytu komputerowego

72000000-5 - Usługi informatyczne: konsultacyjne, opracowywania oprogramowania, internetowe i wsparcia

71620000-0 - Usługi analizy

72150000-1 - Usługi doradztwa w zakresie audytu komputerowego oraz sprzętu komputerowego

4.2.8.) Zamówienie obejmuje opcje: Nie

4.2.10.) Okres realizacji zamówienia albo umowy ramowej: 3 miesiące

4.2.11.) Zamawiający przewiduje wznowienia: Nie

4.2.13.) Zamawiający przewiduje udzielenie dotychczasowemu wykonawcy zamówień na podobne usługi lub roboty budowlane: Nie

4.3.) Kryteria oceny ofert

4.3.2.) Sposób określania wagi kryteriów oceny ofert: Procentowo

4.3.3.) Stosowane kryteria oceny ofert: Kryterium ceny oraz kryteria jakościowe

Kryterium 1

4.3.5.) Nazwa kryterium: Cena

4.3.6.) Waga: 90

Kryterium 2

4.3.4.) Rodzaj kryterium:

serwis posprzedażny, pomoc techniczna, warunki dostawy takich jak termin, sposób lub czas dostawy, oraz okresu realizacji.

4.3.5.) Nazwa kryterium: Termin realizacji -wykonanie audytu podatności i bezpieczeństwa

4.3.6.) Waga: 10

4.3.10.) Zamawiający określa aspekty społeczne, środowiskowe lub innowacyjne, żąda etykiet lub stosuje rachunek kosztów cyklu życia w odniesieniu do kryterium oceny ofert: Nie

SEKCJA V - KWALIFIKACJA WYKONAWCÓW

5.1.) Zamawiający przewiduje fakultatywne podstawy wykluczenia: Tak

5.2.) Fakultatywne podstawy wykluczenia:

Art. 109 ust. 1 pkt 4

5.3.) Warunki udziału w postępowaniu: Tak

5.4.) Nazwa i opis warunków udziału w postępowaniu.

O udzielenie zamówienia mogą ubiegać się Wykonawcy, którzy spełniają warunki dotyczące:
1) zdolności do występowania w obrocie gospodarczym:
Zamawiający nie stawia warunku w powyższym zakresie.
2) uprawnień do prowadzenia określonej działalności gospodarczej lub zawodowej, o ile wynika to z odrębnych przepisów:
Zamawiający nie stawia warunku w powyższym zakresie.
3) sytuacji ekonomicznej lub finansowej:
Zamawiający nie stawia warunku w powyższym zakresie.
4) zdolności technicznej lub zawodowej:

A. Wykonawca musi posiadać wiedzę i doświadczenie, w projektach realizowanych na przestrzeni ostatnich 3 lat liczonych wstecz od dnia terminu składnia ofert, w zakresie przedmiotu postępowania:
a. potwierdzające wykonanie co najmniej trzech usług o wartości co najmniej 100 tysięcy PLN brutto każda,- obejmujących wykonanie testów penetracyjnych aplikacji webowych, w tym jednej połączonej z audytem, o wartości łącznej co najmniej 150 tysięcy PLN brutto, projektowanej w celu udostępnienia do korzystania dla co najmniej 150 tysięcy użytkowników;
b. co najmniej trzy usługi w zakresie analizy infrastruktury z uwzględnieniem wirtualizacji zasobów;
c. co najmniej trzy usługi w zakresie audytu zgodności z Krajowymi Ramami Interoperacyjności (dalej KRI);
d. co najmniej trzy usługi wykonania audytu zgodności z Ustawą o Krajowym Systemie Cyberbezpieczeństwa (dalej KSC).
Przez jedno zadanie rozumie się realizację usług w ramach odrębnej umowy.

B. Wymagania wobec zespołu Wykonawcy
Wykonawca musi dysponować personelem do przeprowadzenia audytu posiadającym kompetencje zgodne z niżej zamieszczonym opisem.

1. Przynajmniej cztery osoby posiadające wiedzę i doświadczenie:
a. Pentester, Audytor bezpieczeństwa organizacyjnego i technicznego - 1 osoba:
• posiadający co najmniej 3 letnie doświadczenie, zdobyte sumarycznie w ciągu 4 lat poprzedzających dzień złożenia oferty niniejszym postępowaniu, w zakresie prowadzenia testów penetracyjnych uwzględniających założenia z metodyki Penetration Testing Execution Standard albo OWASP Testing Guide,
• wykonywał testy penetracyjne webaplikacji, projektowanej w celu jej udostępnienia do korzystania dla co najmniej 150 tysięcy użytkowników;
• wykonywał testy penetracyjne w przynajmniej 3 projektach projektowanych w celu ich udostępnienia do korzystania dla sumarycznie co najmniej 300 tysięcy użytkowników;
• posiada doświadczenie w przygotowaniu kompleksowej dokumentacji testów penetracyjnych z przynajmniej 2 testów; ,
• posiada certyfikat uprawniający do przeprowadzenia zgodnie z rozporządzeniem Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu; link https://www.dziennikustaw.gov.pl/DU/2018/1999;
• posiada co najmniej 3 letnie doświadczenie w zakresie pełnienia funkcji pentestera OSCP (Offensive Security Certified Professional) lub równoważne,
b. Pentester – 3 osoby:
• z uwagi na charakter zobowiązań wynikających z zawartych z wykonawcami kluczowych komponentów platformy umów, co najmniej 2 letnie doświadczenie w zakresie pełnienia funkcji pentestera OSCP (Offensive Security Certified Professional), co najmniej 2 letnie doświadczenie w zakresie prowadzenia audytów bezpieczeństwa technicznego uwzględniających założenia OWASP ASVS dla przynajmniej dwóch projektów;
• wykonywał testy penetracyjne w projekcie informatycznym projektowanym w celu jego udostępnienia do korzystania dla co najmniej 100 tysięcy użytkowników I przetwarzającego dane osobowe tych użytkowników;
• wykonywał testy penetracyjne w przynajmniej 3 projektach informatycznych projektowanych w celu ich udostępnienia do korzystania dla sumarycznie co najmniej 200 tysięcy użytkowników
• co najmniej jedna z osób powyżej posiada certyfikat TOGAF 9 lub inny równoważny z zakresu architektury.
2. Audytor bezpieczeństwa teleinformatycznego - co najmniej trzy osoby:
• posiada co najmniej 3 letnie doświadczenie w zakresie pełnienia funkcji audytora potwierdzone jednym z certyfikatów uprawniających do przeprowadzenia audytu rozporządzenie Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu;
• posiada co najmniej 2 letnie doświadczenie w zakresie prowadzenia audytów z KRI albo z KSC;
• wykonywał audyty bezpieczeństwa.
3. Kierownik projektu – jedna osoba
• posiada certyfikat PRINCE 2 Practitioner lub równoważne w zakresie metodologicznego zarządzania realizacją projektów informatycznych;
• posiada co najmniej 3 letnie doświadczenie w kierowania co najmniej jednym projektem testów penetracyjnych i audytów bezpieczeństwa projektów informatycznych, do korzystania przez 150 tysięcy użytkowników.
Zamawiający nie dopuszcza łączenia wyżej wykazanych ról.
Dopuszcza się zmianę osób zaangażowanych w realizację przedmiotu zamówienia, na etapie realizacji, o ile te osoby będą posiadały co najmniej takie same kompetencje i doświadczenie jak zadeklarowane w ofercie.

Warunki równoważności
I. Jako równoważny do certyfikatu OSCP zamawiający uzna certyfikat, który:
1. Wymaga programu szkolenia pokrywającego następujące obszary:
• Pasywne i aktywne zbieranie informacji
• Skanowanie w poszukiwaniu podatności
• Typowe ataki na aplikacje webowe
• Ataki typu SQL Injection
• Ataki typu Client-Side
• Wyszukiwanie publicznie dostępnych exploitów
• Dostosowywanie exploitów
• Unikanie wykrycia przez programy antywirusowe
• Ataki na hasła
• Eskalacja uprawnień w systemach Windows
• Eskalacja uprawnień w systemach Linux
• Zaawansowane tunelowanie ruchu sieciowego
• Korzystanie z Metasploit Framework
• Wprowadzenie do Active Directory (AD) i enumeracja
• Ataki na mechanizm uwierzytelnienie w Active Directory
• Atakowanie innych urządzeń w domenie Active Directory (ang. lateral movement)
• Synteza zdobytej wiedzy na przykładzie prawdziwego testu penetracyjnego
• Pisanie raportu z testów penetracyjnych
• Program szkoleniowy i egzaminacyjny powinien być regularnie aktualizowany, aby odzwierciedlał najnowsze zagrożenia, narzędzia i techniki w bezpieczeństwie cybernetycznym. Aktualizacje powinny być wprowadzane co najmniej raz w roku.
2. Praktyczna część szkolenia
• Uczestnik szkolenia brał udzał w zaawansowanych laboratoriach, które symulują rzeczywiste środowiska sieciowe i systemowe, z możliwością praktykowania na żywo ataków i strategii obronnych. Dostęp do tych zasobów powinien być możliwy 24/7, zapewniając kursantom elastyczność w nauce przez co najmniej 90 dni. Kurs powinien zapewniać co najmniej 100 godzin praktycznych ćwiczeń w laboratorium.
• Szkolenie winno posiadać publicznie dostępne wsparcie poprzez Internet, oferowane przez instruktorów, forów społecznościowych i zasobów edukacyjnych jak webinary, warsztaty i dokumentacja.
3. Egzamin certyfikujący
• Egzamin o łącznym czasie trwania minimum 24 godziny, wymagający od uczestników pracy w celu zidentyfikowania luk w zabezpieczeniach i ich wykorzystania. Egzamin powinien zakończyć się raportem, który szczegółowo opisuje wykonane kroki, wykorzystane narzędzia i zalecane środki zaradcze. Zadania egzaminacyjne powinny obejmować szeroki zakres scenariuszy, od aplikacji webowych po sieciowe systemy operacyjne, z różnorodnymi poziomami zabezpieczeń.
4. Wymagania wobec instytucji certyfikującej
• Instytucja wydająca certyfikat musi oferować certyfikat przez co najmniej 5 lat przed czasem publikacji niniejszego zamówienia.
• Program szkolenia musi być powszechnie znany tak aby możliwe było potwierdzenie zakresu oraz sposobu certyfikacji.
II. Certyfikat równoważny do certyfikatu Togaf 9 z zakresu architektury musi potwierdzać uzyskanie wiedzy w następującym zakresie:
• Uzasadnienie biznesowe do stosowania architektury korporacyjnej,
• Metoda Rozwoju Architektury (ADM) i jej produkty, w tym architektura biznesowa, danych, aplikacji i techniczna,
• Kontinuum Korporacyjne,
• Ład Architektoniczny,
• Pryncypia Architektoniczne i ich tworzenie,
• Widoki i architektoniczne punkty widzenia,
• Zarządzanie wymaganiami z użyciem scenariuszy biznesowych,
• Ocena poziomu dojrzałości architektury,
• Ramy umiejętności architektonicznych,
• Partycjonowanie i segmentacja architektury,
• Ramy zawartości i metamodel,
• Planowanie rozwoju oparte na potencjale/zdolnościach,
• Ocena gotowości biznesu do transformacji,
• Usystematyzowane podejście do zarządzania zmianą organizacyjną na bazie modeli architektonicznych do tworzenia architektur bezpieczeństwa,
• Repozytorium architektoniczne;
III. Przez równoważność certyfikatu PRINCE 2 Practitioner Zamawiający rozumie certyfikację potwierdzającą posiadanie przez osobę objętą certyfikatem, umiejętności zarządzania złożonymi projektami, takimi jak projekty w dziedzinie informatyki, w ramach których czynnikami krytycznymi dla projektu jest czas jego trwania, poziom złożoności, a także zasoby zaangażowane w realizację zadań. Równoważne potwierdzenie umiejętności musi zakładać, że uczestnik posiada umiejętności i wiedzę niezbędną do ciągłego i proaktywnego reagowania na dynamiczne zmiany zachodzące w nadzorowanym projekcie, potrafi na bieżąco i w sposób reaktywny zarządzać i mitygować ryzyko, m.in., co wynika ze specyfiki niniejszego zamówienia, ryzyko związane z wpływem projektu na otoczenie, w którym projekt jest realizowany, oraz nieprzekraczalne terminy, jakie należy dotrzymać, na potwierdzenie czego przedłożona zostanie pełna opisowa dokumentacja równoważnej certyfikacji.

5.5.) Zamawiający wymaga złożenia oświadczenia, o którym mowa w art.125 ust. 1 ustawy: Tak

5.6.) Wykaz podmiotowych środków dowodowych na potwierdzenie niepodlegania wykluczeniu: Rozdział X SWZ: 1. Do oferty Wykonawca zobowiązany jest dołączyć aktualne na dzień składania ofert oświadczenie o braku podstaw do wykluczenia z postępowania i spełnianiu warunków udziału w postępowaniu – zgodnie z Załącznikiem nr 2 do SWZ;
2. Informacje zawarte w oświadczeniu, o którym mowa w pkt 1 stanowią wstępne potwierdzenie, że Wykonawca nie podlega wykluczeniu i spełnia warunki udziału w postępowaniu.
3. Zamawiający wzywa Wykonawcę, którego oferta została najwyżej oceniona, do złożenia w wyznaczonym terminie, nie krótszym niż 5 dni od dnia wezwania, podmiotowych środków dowodowych, jeżeli wymagał ich złożenia w ogłoszeniu o zamówieniu lub dokumentach zamówienia, aktualnych na dzień złożenia podmiotowych środków dowodowych.
Podmiotowe środki dowodowe wymagane od Wykonawcy obejmują:
1) Oświadczenie Wykonawcy, w zakresie art. 108 ust. 1 pkt 5 ustawy, o braku przynależności do tej samej grupy kapitałowej, w rozumieniu ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów, z innym Wykonawcą, który złożył odrębną ofertę, ofertę częściową lub wniosek o dopuszczenie do udziału w postępowaniu, albo oświadczenia o przynależności do tej samej grupy kapitałowej wraz z dokumentami lub informacjami potwierdzającymi przygotowanie oferty, oferty częściowej lub wniosku o dopuszczenie do udziału w postępowaniu niezależnie od innego Wykonawcy należącego do tej samej grupy kapitałowej – Załącznik nr 5 do SWZ;
2) Odpis lub informacja z Krajowego Rejestru Sądowego lub z Centralnej Ewidencji i Informacji o Działalności Gospodarczej, w zakresie art. 109 ust. 1 pkt 4 ustawy, sporządzonych nie wcześniej niż 3 miesiące przed jej złożeniem, jeżeli odrębne przepisy wymagają wpisu do rejestru lub ewidencji;

5.7.) Wykaz podmiotowych środków dowodowych na potwierdzenie spełniania warunków udziału w postępowaniu: Rozdział X SWZ: Zamawiający wzywa Wykonawcę, którego oferta została najwyżej oceniona, do złożenia w wyznaczonym terminie, nie krótszym niż 5 dni od dnia wezwania, następujących dokumentów, potwierdzających spełnianie warunków udziału w postępowaniu:
- wykaz usług wykonanych, a w przypadku świadczeń powtarzających się lub ciągłych również wykonywanych, w okresie ostatnich trzech lat od upływu terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie, wraz z podaniem ich wartości, przedmiotu, dat wykonania i podmiotów, na rzecz których dostawy lub usługi zostały wykonane lub są wykonywane, oraz załączeniem dowodów określających, czy te usługi zostały wykonane lub są wykonywane należycie, przy czym dowodami, o których mowa, są referencje bądź inne dokumenty sporządzone przez podmiot, na rzecz którego dostawy lub usługi zostały wykonane, a w przypadku świadczeń powtarzających się lub ciągłych są wykonywane, a jeżeli wykonawca z przyczyn niezależnych od niego nie jest w stanie uzyskać tych dokumentów – oświadczenie wykonawcy; w przypadku świadczeń powtarzających się lub ciągłych nadal wykonywanych referencje bądź inne dokumenty potwierdzające ich należyte wykonywanie powinny być wystawione w okresie ostatnich 3 miesięcy.
Wykaz musi potwierdzać spełnienie warunku dotyczącego zdolności technicznej lub zawodowej, o którym mowa w Rozdziale VIII ust.2 pkt 4 specyfikacji warunków zamówienia, tj. musi wskazywać co najmniej zakres opisany w ww. punkcie, z załączeniem dowodów, o których mowa powyżej.
Wystarczające jest ujęcie w wykazie wraz z załączeniem dowodów - tylko usług potwierdzających spełnianie warunku.
Wykaz należy sporządzić wg wzoru stanowiącego Załącznik nr 6 do Specyfikacji Warunków Zamówienia.
- wykaz osób, skierowanych przez wykonawcę do realizacji zamówienia publicznego, w szczególności odpowiedzialnych za świadczenie usług, kontrolę jakości wraz z informacjami na temat ich kwalifikacji zawodowych, uprawnień, doświadczenia i wykształcenia niezbędnych do wykonania zamówienia publicznego, a także zakresu wykonywanych przez nie czynności oraz informacją o podstawie do dysponowania tymi osobami, tj. osobami, zgodnie z Rozdziałem VIII ust.2 B specyfikacji warunków zamówienia.
Wykaz należy sporządzić wg wzoru stanowiącego Załącznik nr 7 do specyfikacji warunków zamówienia

5.8.) Wykaz przedmiotowych środków dowodowych:

Zamawiający nie wymaga złożenia wraz z ofertą przedmiotowych środków.

5.11.) Wykaz innych wymaganych oświadczeń lub dokumentów:

Załącznik nr 1 do SWZ - Formularz ofertowy

SEKCJA VI - WARUNKI ZAMÓWIENIA

6.1.) Zamawiający wymaga albo dopuszcza oferty wariantowe: Nie

6.3.) Zamawiający przewiduje aukcję elektroniczną: Nie

6.4.) Zamawiający wymaga wadium: Nie

6.5.) Zamawiający wymaga zabezpieczenia należytego wykonania umowy: Nie

6.6.) Wymagania dotyczące składania oferty przez wykonawców wspólnie ubiegających się o udzielenie zamówienia:

Numeracja zgodna z SWZ: Rozdział XIII: 1. Wykonawcy mogą wspólnie ubiegać się o udzielenie zamówienia. W takim przypadku Wykonawcy ustanawiają pełnomocnika do reprezentowania ich w postępowaniu albo do reprezentowania i zawarcia umowy w sprawie zamówienia publicznego. Pełnomocnictwo winno być załączone do oferty.
2. W przypadku Wykonawców wspólnie ubiegających się o udzielenie zamówienia, oświadczenia, o których mowa w Rozdziale X ust. 1 SWZ, składa każdy z Wykonawców. Oświadczenia te potwierdzają brak podstaw wykluczenia oraz spełnianie warunków udziału w zakresie, w jakim każdy z Wykonawców wykazuje spełnianie warunków udziału w postępowaniu.
3. Wykonawcy wspólnie ubiegający się o udzielenie zamówienia dołączają do oferty oświadczenie, z którego wynika, które roboty budowlane/dostawy/usługi wykonają poszczególni Wykonawcy.
4. Oświadczenia i dokumenty potwierdzające brak podstaw do wykluczenia z postępowania składa każdy z Wykonawców wspólnie ubiegających się o zamówienie.

6.7.) Zamawiający przewiduje unieważnienie postępowania, jeśli środki publiczne, które zamierzał przeznaczyć na sfinansowanie całości lub części zamówienia nie zostały przyznane: Nie

SEKCJA VII - PROJEKTOWANE POSTANOWIENIA UMOWY

7.1.) Zamawiający przewiduje udzielenia zaliczek: Nie

7.3.) Zamawiający przewiduje zmiany umowy: Tak

7.4.) Rodzaj i zakres zmian umowy oraz warunki ich wprowadzenia:

Szczegółowy rodzaj, zakres zmian oraz warunki ich wprowadzenia ujęte są we wzorze umowy - załącznik nr 4 do SWZ

7.5.) Zamawiający uwzględnił aspekty społeczne, środowiskowe, innowacyjne lub etykiety związane z realizacją zamówienia: Nie

SEKCJA VIII – PROCEDURA

8.1.) Termin składania ofert: 2024-03-19 10:00

8.2.) Miejsce składania ofert: https://szpitaljaw.ezamawiajacy.pl

8.3.) Termin otwarcia ofert: 2024-03-19 10:30

8.4.) Termin związania ofertą: do 2024-04-17

SEKCJA IX – POZOSTAŁE INFORMACJE

VII. TERMIN WYKONANIA ZAMÓWIENIA
1. Termin realizacji zamówienia wynosi:
a) Wykonanie audytu podatności i bezpieczeństwa do 28 dni kalendarzowych od zawarcia umowy (dodatkowo Wykonanie audytu podatności i bezpieczeństwa podlega ocenie zgodnie z przyjętym kryterium oceny ofert opisanym w Rozdziale XX nin. SWZ)
b) Wykonanie całości przedmiotu zamówienia z uwzględnieniem zgodności platformy regionalnej pn. eCaremed - do 3 miesięcy od zawarcia umowy.


IX. PODSTAWY WYKLUCZENIA Z POSTĘPOWANIA
1. Z postępowania o udzielenie zamówienia wyklucza się Wykonawców, w stosunku do których zachodzi którakolwiek z okoliczności wskazanych w art. 108 ust. 1 Pzp. i art. 109 ust. 1 pkt. 4 Pzp oraz w art. 7 ust. 1 ustawy z dnia 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego ( Dz.U. 2023 poz. 1497).
2. Wykluczenie Wykonawcy następuje zgodnie z art. 111 Pzp oraz zgodnie z art. 7 ustawy z dnia 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego ( Dz.U. 2023 poz. 1497).