ΑΘΗΝΑ: Σισίνη 18 & Ηριδανού Τ.Κ. 115 28 | Τ.: 210 7264700 F.: 210 7293631 (κεντρικό κτήριο), Ορμινίου 38 Τ.Κ. 115 28

ΘΕΣΣΑΛΟΝΙΚΗ: Τσιμισκή 43 Τ.Κ. 546 23 | Τ.: 2310 278271 (κεντρικό κτήριο), Βασ. Ηρακλείου 40 Τ.Κ. 546 23 (φυσικοθεραπευτήριο) Τ: 2310 278249

ΠΡΟΣΚΛΗΣΗ ΕΚΔΗΛΩΣΗΣ ΕΝΔΙΑΦΕΡΟΝΤΟΣ ΓΙΑ ΕΛΕΓΧΟ ΕΥΠΑΘΕΙΩΝ (PENETRATION TEST)  ΣΤΑ ΥΠΟΛΟΓΙΣΤΙΚΑ ΣΥΣΤΗΜΑΤΑ ΤΟΥ ΕΔΟΕΑΠ

Αθήνα,  15  Ιουνίου 2023

 

ΠΡΟΣΚΛΗΣΗ ΕΚΔΗΛΩΣΗΣ ΕΝΔΙΑΦΕΡΟΝΤΟΣ
ΓΙΑ  ΕΛΕΓΧΟ ΕΥΠΑΘΕΙΩΝ (PENETRATION TEST)  ΣΤΑ ΥΠΟΛΟΓΙΣΤΙΚΑ ΣΥΣΤΗΜΑΤΑ ΤΟΥ ΕΔΟΕΑΠ

 

Ο ΕΔΟΕΑΠ είναι ο Ασφαλιστικός Οργανισμός επικούρησης, περίθαλψης και πρόνοιας των απασχολουμένων στα Μέσα Μαζικής Ενημέρωσης και Ψυχαγωγίας, επιχειρήσεων και εκμεταλλεύσεων που δραστηριοποιούνται σε όλη τη χώρα, καθώς και των συνταξιούχων του. Ο Οργανισμός μας ιδρύθηκε το έτος 1968,  είναι Νομικό Πρόσωπο  Ιδιωτικού Δικαίου και διέπεται από τις διατάξεις του Αναγκαστικού Νόμου 248/1967  όπως αυτός έχει τροποποιηθεί και ισχύει σήμερα και του Καταστατικού του.

Ο ΕΔΟΕΑΠ δραστηριοποιείται στον ευαίσθητο χώρο του ασφαλιστικού συστήματος που αποτελεί πεδίο έντονων αναδιαρθρωτικών προσπαθειών τόσο στην Ελλάδα, όσο και σε όλη την Ευρώπη.

 

Α. ΓΕΝΙΚΑ

Ο ΕΔΟΕΑΠ προκηρύσσει πρόχειρο διαγωνισμό για την παροχή υπηρεσιών  ελέγχου της ασφάλειας (Penetration Test)  των Υπολογιστικών Συστημάτων και των δεδομένων που διαχειρίζεται ο ΕΔΟΕΑΠ, ο εντοπισμός πιθανών ευπαθειών τους καθώς και η αξιολόγηση της κατάστασης κυβερνοασφάλειας του Οργανισμού.

 

Β. ΥΠΑΡΧΟΥΣΑ ΥΠΟΔΟΜΗ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ

Το υπολογιστικό δίκτυο του ΕΔΟΕΑΠ κατανέμεται σε 2 κτίρια  στην Αθήνα (επί οδών Σισίνη 18  και Ορμινίου 38) και σε 1  κτίριο στη Θεσσαλονίκη (επί της οδού Τσιμισκή 43).

Το Υπολογιστικό κέντρο στεγάζεται  στο κεντρικό κτίριο επί της οδού Σισίνη 18 και σε αυτό συνδέονται τα επί μέρους υπολογιστικά δίκτυα των κτιρίων επί της οδού  Ορμινίου 38  και της Θεσσαλονίκης επί της οδού Τσιμισκή 43.

Η υποδομή του ΕΔΟΕΑΠ εκτείνεται σε 3 sites.

Δύο είναι στην Αθήνα, σε κοντινή απόσταση μεταξύ τους και συνδέονται με wifi (κεραίες στις 2 κορυφές των κτηρίων) και ένα μικρό στην Θεσσαλονίκη, με περίπου 20 χρήστες και συνδέονται με VPN.

Ο έλεγχος θα λάβει χώρα σε παραγωγικό περιβάλλον.

Διαθέτουμε περίπου 250 clients με windows 10 και 11.

Έξι (6)  κεντρικούς υπολογιστές με windows από 2008 έως 2016.

Μία ιστοσελίδα που δεν φιλοξενείται στις εγκαταστάσεις μας αλλά υπάρχει portal που επικοινωνεί με τις βάσεις μας με queries – δηλαδή με services.

Τρεις (3)  εξωτερικές IPS.

 

Γ. ΠΡΟΫΠΟΛΟΓΙΣΜΟΣ ΤΟΥ ΕΡΓΟΥ

Ο προϋπολογισμός του έργου ανέρχεται στις 10.000 ευρώ  μη συμπεριλαμβανομένου του αναλογούντος ΦΠΑ.

 

Δ. ΠΕΡΙΓΡΑΦΗ ΕΡΓΟΥ – ΖΗΤΟΥΜΕΝΕΣ ΥΠΗΡΕΣΙΕΣ

Ο Υποψήφιος ανάδοχος θα πρέπει να υποβάλλει ξεχωριστές τιμές για τα ακόλουθες υπηρεσίες:

  1. Αξιολόγηση Ευπαθειών σε Εξωτερική και Εσωτερική Υποδομή (Internal Vulnerability Assessment). Αυτή είναι η διαδικασία προσδιορισμού, ταξινόμησης και ιεράρχησης των τρωτών σημείων σε συστήματα υπολογιστών, εφαρμογών και δικτυακών υποδομών.
  2. Δοκιμές Παρείσδυσης (black-box) σε εσωτερική υποδομή (pen test internal). Σε αυτήν την υπηρεσία θα διενεργηθεί προσομοίωση επίθεσης από κόμβο (ή χρήστη) ο οποίος βρίσκεται στο εσωτερικό του Οργανισμού. Οι εν λόγω δοκιμές διείσδυσης θα πραγματοποιηθούν έχοντας πλήρη γνώση του περιβάλλοντος αλλά και μηδενική γνώση αυτού που αντιστοιχεί στις δοκιμές διείσδυσης με πλήρη γνώση (full knowledge) και χωρίς γνώση (zero knowledge) από εσωτερικό περιβάλλον. Το ιδιάζον στοιχείο το οποίο χαρακτηρίζει το συγκεκριμένο τρόπο δοκιμών διείσδυσης είναι ότι ο επιτιθέμενος δεν περιορίζεται από τη εξωτερική φυσική ασφάλεια, κάνοντας με αυτόν τον τρόπο τον κίνδυνο ιδιαίτερα υψηλό.
  3. Δοκιμές Παρείσδυσης Εξωτερική Εσωτερική Υποδομή (pen test external) – Εξωτερικές Δοκιμές Διείσδυσης χωρίς γνώση του υπό έλεγχο λειτουργικού περιβάλλοντος (black box penetration testing) – Σκοπός είναι η απόκτηση πρόσβασης στα συστήματα του Οργανισμού, προσομοιώνοντας την επίθεση από ένα εξωτερικό κακόβουλο χρήστη, ο οποίος θέλει να αποκτήσει πρόσβαση στο εσωτερικό του Οργανισμού και να υποκλέψει κρίσιμες πληροφορίες.
  4. Δοκιμές Παρείσδυσης στην Ιστοσελίδα edoeap.gr
  5. Παραγωγή αναφορών για όλους τους παραπάνω ελέγχους.

  

Ε. ΔΙΚΑΙΩΜΑ ΣΥΜΜΕΤΟΧΗΣ – ΠΡΟΫΠΟΘΕΣΕΙΣ

Δικαίωμα συμμετοχής έχει κάθε εταιρεία που δραστηριοποιείται στο συγκεκριμένο χώρο και είναι  εξειδικευμένη σε παρόμοια έργα.

Πιο συγκεκριμένα θα πρέπει να έχει αποδεδειγμένη γνώση στα εξής θέματα:

  • Υλοποίηση έργων πληροφορικής Penetration Test για μεγάλες εταιρείες και οργανισμούς του δημοσίου και ιδιωτικού τομέα με παρεμφερείς σκοπούς και μεγέθη με τον ΕΔΟΕΑΠ.
  • Αναφορά τουλάχιστον 4 ολοκληρωμένων πρόσφατων (2ετίας) παρόμοιων έργων με το υποκείμενο έργο του ΕΔΟΕΑΠ.

 

Ζ. ΧΡΟΝΟΔΙΑΓΡΑΜΜΑ ΥΛΟΠΟΙΗΣΗΣ ΤΟΥ ΕΡΓΟΥ

Ο υποψήφιος ανάδοχος πρέπει να παρουσιάσει συγκεκριμένο αναλυτικό χρονοδιάγραμμα υλοποίησης του έργου με σαφή αναλυτική περιγραφή του κάθε σταδίου αυτού.

Για την αναλυτική περιγραφή του χρονοδιαγράμματος υλοποίησης έργου θα χρειαστεί να υπάρχουν:

  • Αναλυτικά όλες οι προβλεπόμενες επικοινωνίες του υποψήφιου ανάδοχου με τον Τομέα Πληροφορικής ΕΔΟΕΑΠ ή όποιον άλλον τομέα χρειαστεί να επικοινωνήσει ο υποψήφιος ανάδοχος,
  • Οι αναλυτικοί χρόνοι και οι επιμέρους εργασίες που θα αναλάβει να υλοποιήσει ο κάθε συνεργάτης του υποψήφιου ανάδοχου.

 

Η. ΑΝΑΛΥΤΙΚΟ ΠΑΡΑΔΟΤΕΟ ΕΡΓΟΥ

Ο Ανάδοχος καλείται να παραδώσει σε ηλεκτρονική και έγχαρτη μορφή όλα τα αποτελέσματα των 4 ελέγχων όπως αυτοί αναφέρονται αναλυτικά στο παραπάνω σημείο  «Δ. Περιγραφή έργου – Ζητούμενες υπηρεσίες».

Παράλληλα, θα πρέπει σε αυτό το παραδοτέο να αναφέρει συγκεκριμένες προτάσεις για τις βελτιώσεις που τυχόν χρειάζονται τα υπολογιστικά συστήματα του ΕΔΟΕΑΠ προκειμένου αυτά τα συστήματα να παραμείνουν ασφαλή από οποιασδήποτε μορφής κυβερνοεπίθεση.

 

Θ. ΔΙΚΑΙΟΛΟΓΗΤΙΚΑ ΠΟΥ ΠΡΕΠΕΙ ΝΑ ΠΡΟΣΚΟΜΙΣΕΙ Ο ΚΑΘΕ ΥΠΟΨΗΦΙΟΣ –  ΠΕΡΙΕΧΟΜΕΝΟ ΤΕΧΝΙΚΗΣ ΠΡΟΣΦΟΡΑΣ

1) Υπόδειγμα σύμβασης συνεργασίας.

2) Εμπειρία σε ανάλογα έργα: Οι συμμετέχοντες θα πρέπει να αποδείξουν ότι διαθέτουν μεγάλη εμπειρία στην παροχή των ανωτέρω υπηρεσιών. Θα πρέπει να καταθέσουν σύντομο προφίλ της εταιρείας καθώς και πλήρη λίστα και στοιχεία με επιτυχώς παραληφθέντα σχετικά έργα που υλοποιήθηκαν από εκείνους εντός της τελευταίας 2ετίας. Ελάχιστος αριθμός ανάλογων επιτυχών έργων τουλάχιστον ιδίου μεγέθους: Τέσσερα (4).

3) Να αναφερθούν τα προσόντα των συνεργατών του ανάδοχου οι οποίοι θα αναλάβουν την υλοποίηση του παρόντος έργου.

4) Χρονοδιάγραμμα Υλοποίησης έργου: Στην τεχνική προσφορά θα υπάρχει αναλυτικό χρονοδιάγραμμα υλοποίησης του έργου ανά στάδιο υλοποίησης, ο αριθμός ατόμων που θα απασχοληθούν σε κάθε στάδιο του χρονοδιαγράμματος καθώς και ο συνολικός απαιτούμενος χρόνος υλοποίησης.

5) Ανεπιφύλακτη δήλωση: στον φάκελο «δικαιολογητικά» θα πρέπει να υπάρχει επί ποινή αποκλεισμού δήλωση του συμμετέχοντος ότι έλαβε γνώση όλων όσα αναφέρονται στην παρούσα διακήρυξη, ότι αποδέχεται ανεπιφύλακτα όλους τους όρους της και δύναται να υλοποιήσει το έργο όπως αυτό περιγράφεται στην παρούσα διακήρυξη.

 

Ι. ΟΙΚΟΝΟΜΙΚΕΣ ΠΡΟΣΦΟΡΕΣ

Στην οικονομική τους προσφορά, οι συμμετέχουσες εταιρείες θα αναφέρουν  το καθαρό (χωρίς ΦΠΑ) κόστος παροχής όλων των επί μέρους προσφερόμενων υπηρεσιών, καθώς και το ποσοστό του αναλογούντος ΦΠΑ.

Επίσης, στην οικονομική προσφορά θα πρέπει να  υπάρχουν αναλυτικές τιμές ανά  υπηρεσία.

 

Κ. ΔΙΑΔΙΚΑΣΙΑ ΛΗΨΗΣ ΕΠΙΠΛΕΟΝ ΠΛΗΡΟΦΟΡΙΩΝ ΑΠΟ ΚΑΘΕ ΥΠΟΨΗΦΙΟ

Ο ΕΔΟΕΑΠ θα πρέπει να έχει στη διάθεση του οποιεσδήποτε πληροφορίες ζητήσει από τον υποψήφιο ανάδοχο εφόσον αυτές δεν διαφαίνονται εμφανώς από την Τεχνική και Οικονομική προσφορά του.

Ως κύριες πληροφορίες θεωρούνται:

  • Οι αποδείξεις της εμπειρίας του υποψήφιου ανάδοχου από παρόμοια έργα, από την συνεργασία του με άλλα ασφαλιστικά ή και επαγγελματικά ταμεία ή παρόμοιου με τον ΕΔΟΕΑΠ μεγέθους εταιρείες και Οργανισμούς,
  • Το αναλυτικό οργανόγραμμα του παρόντος έργου.
  • Τα αναλυτικά βιογραφικά σημειώματα των συνεργατών που θα υποδείξει ο υποψήφιος ανάδοχος για την υλοποίηση του παρόντος έργου.

 

Λ. ΚΡΙΤΗΡΙΑ ΑΞΙΟΛΟΓΗΣΗΣ ΚΑΙ ΑΝΑΔΕΙΞΗΣ ΤΟΥ ΑΝΑΔΟΧΟΥ

Η Επιτροπή Αξιολόγησης του ΕΔΟΕΑΠ θα αποσφραγίσει πρώτα τις Τεχνικές Προσφορές. Για εκείνες τις εταιρείες των οποίων η προσφορά κρίνεται αποδεκτή, θα καταρτιστεί λίστα συμμετοχής τους στην οικονομική αξιολόγηση. Στους συμμετέχοντες των οποίων η Τεχνική Προσφορά δεν έγινε αποδεκτή, θα επιστρέφονται σφραγισμένες οι οικονομικές τους προσφορές.

Σε ξεχωριστή συνεδρίαση, η Επιτροπή Αξιολόγησης θα αποσφραγίσει τις Οικονομικές Προσφορές των συμμετεχουσών εταιρειών των οποίων οι Τεχνικές Προσφορές έγιναν αποδεκτές και θα επιλεγεί η συμφερότερη τεχνοοικονομική προσφορά, βάσει της παρακάτω βαρύτητας των κριτηρίων:

 

Περιγραφή κριτηρίου Βαρύτητα
Τεχνική προσφορά 45
Οικονομική Προσφορά 55
Συνολική ονομαστική βαθμολογία 100

 

Ανάδοχος ανακηρύσσεται ο προσφέρων που έχει την μεγαλύτερη τιμή (Σi) στην παρακάτω παράσταση.

Σi = 0,45x (Ti/Tmax) + 0,55x (Omin/Oi)

Όπου,

Σi είναι η συνολική σταθμισμένη βαθμολογία κάθε προσφοράς (i = 1, 2, 3…)

Tmax είναι η τεχνική προσφορά που έλαβε τη μεγαλύτερη βαθμολογία

Τi είναι η τεχνική προσφορά κάθε προσφέροντος (i = 1, 2, 3…)

Omin είναι η χαμηλότερη οικονομική προσφορά

Oi είναι η οικονομική προσφορά κάθε προσφέροντος (i = 1, 2, 3…)

 

Μ . ΔΙΑΔΙΚΑΣΙΑ ΥΠΟΒΟΛΗΣ ΠΡΟΣΦΟΡΩΝ – ΤΕΧΝΙΚΗ ΠΡΟΣΦΟΡΑ – ΚΡΙΤΗΡΙΑ ΑΞΙΟΛΟΓΗΣΗΣ  ΤΟΥ ΑΝΑΔΟΧΟΥ

Ο υποψήφιος ανάδοχος καλείται να παραδώσει  έγκαιρα και έως την ημερομηνία εκπνοής υποβολών ένα σφραγισμένο φάκελο. Εσωτερικά του φακέλου θα υπάρχουν δύο (2)  επίσης σφραγισμένοι φάκελοι με τις ακόλουθες ενδείξεις:

Α) Φάκελος Τεχνικής Προσφοράς

Β) Φάκελος Οικονομικής Προσφοράς.

Ειδικότερα, για την αξιολόγηση των ενδιαφερομένων θα ληφθούν υπόψη τα παρακάτω κριτήρια:

 

Μ1. ΑΞΙΟΛΟΓΗΣΗ

ΑΞΙΟΛΟΓΗΣΗ ΣΥΝΤΕΛΕΣΤΕΣ ΒΑΡΥΤΗΤΑΣ
Δυνατότητα υλοποίησης όλων των ζητουμένων υπηρεσιών 30
Η ύπαρξη τεχνογνωσίας, κατάλληλης τεχνολογικής υποδομής, δυνατότητας χρήσης λογισμικού, καθώς και επάρκειας εξειδικευμένου ανθρώπινου δυναμικού που να εξασφαλίζει την αποτελεσματικότητα και υψηλή ποιότητα των παρεχόμενων Υπηρεσιών 20
Υλοποίηση έργων πληροφορικής Penetration Test για μεγάλες εταιρείες και οργανισμούς του δημοσίου και ιδιωτικού τομέα με παρεμφερείς σκοπούς και μεγέθη με τον ΕΔΟΕΑΠ. 20
Αναφορά τουλάχιστον 4 ολοκληρωμένων πρόσφατων (2ετίας) παρόμοιων έργων με το υποκείμενο έργο του ΕΔΟΕΑΠ. 10
Χρονοδιάγραμμα Υλοποίησης έργου 10
Περιγραφή της μεθοδολογίας που θα χρησιμοποιηθεί από τον ανάδοχο 10

 

Ν. ΤΡΟΠΟΣ ΠΛΗΡΩΜΗΣ

Ο προτεινόμενος από τον ΕΔΟΕΑΠ  τρόπος πληρωμής είναι 30% εντός 10 ημερών από την υπογραφή της σύμβασης και το υπόλοιπο 70% μετά την οριστική παραλαβή του έργου.

 

 Ξ. ΣΥΜΒΑΣΗ

Μετά την επιλογή του αναδόχου θα καταρτιστεί σύμβαση, βάσει των όρων της παρούσας πρόσκλησης.

 

Ο. ΚΑΤΑΡΤΙΣΗ –  ΥΠΟΒΟΛΗ ΠΡΟΣΦΟΡΩΝ

Ο.1. Προθεσμίες

Οι εταιρείες που θα λάβουν μέρος στο Διαγωνισμό, πρέπει να υποβάλουν προσφορά  στα  γραφεία του ΕΔΟΕΑΠ, Ορμινίου 38, ΤΚ 11528 Αθήνα, στον Τομέα Εξυπηρέτησης Ασφαλισμένων – Υπηρεσία Πρωτοκόλλου κατά τις  ώρες 08.00 – 16.00,   ή να την αποστείλουν ταχυδρομικώς, το αργότερο έως την Πέμπτη 29 Ιουνίου 2023.  Η έγκαιρη υποβολή των προσφορών, θα αποδεικνύεται μόνο από τον αριθμό πρωτοκόλλου ή την ημερομηνία σφραγίδας του ταχυδρομείου.

 

Ο.2. Τρόπος υποβολής προσφορών

Κάθε προσφορά θα τεθεί σε κυρίως σφραγισμένο φάκελο με την ένδειξη

ΠΡΟΣΦΟΡΑ ΓΙΑ  ΕΛΕΓΧΟ ΕΥΠΑΘΕΙΩΝ (PENETRATION TEST)  ΣΤΑ ΥΠΟΛΟΓΙΣΤΙΚΑ ΣΥΣΤΗΜΑΤΑ ΤΟΥ ΕΔΟΕΑΠ, ο οποίος θα περιέχει 2 ξεχωριστούς σφραγισμένους υποφακέλους.

Τα  περιεχόμενα του κυρίως,  ως ανωτέρω, σφραγισμένου φακέλου της προσφοράς, ορίζονται ως εξής:

α. Ένας ξεχωριστός σφραγισμένος υποφάκελος με την ένδειξη «Τεχνική Προσφορά», που θα περιλαμβάνει τα ζητούμενα όπως περιγράφονται στο κεφ. Θ’. ΠΡΟΣΟΧΗ – ΘΑ ΠΡΕΠΕΙ ΝΑ ΓΙΝΕΤΑΙ ΠΑΡΑΠΟΜΠΗ ΤΩΝ ΠΡΟΣΦΕΡΟΜΕΝΩΝ ΩΣ ΠΡΟΣ ΤΙΣ ΑΠΑΙΤΗΣΕΙΣ ΤΗΣ ΤΕΧΝΙΚΗ ΠΡΟΣΦΟΡΑΣ.

β. Ένας ξεχωριστός σφραγισμένος υποφάκελος με την ένδειξη «Οικονομική Προσφορά», που θα περιλαμβάνει την οικονομική προσφορά.

 

Για περισσότερες πληροφορίες επικοινωνήσετε με την κα Γιούλη Περδίκη, στο τηλ. 210-7264348 (email: procurement@edoeap.gr).