Σ Υ Μ Β Α Σ Η ΣΑ00227 Στην Αθήνα σήμερα την 27/11/2014, οι παρακάτω συμβαλλόμενοι: 1. το Νομικό Πρόσωπο Ιδιωτικού Δικαίου μη κερδοσκοπικού χαρακτήρα με την επωνυμία «Ινστιτούτο Τεχνολογίας Υπολογιστών & Εκδόσεων ΔΙΟΦΑΝΤΟΣ» (εφεξής ΙΤΥΕ ) που έχει την έδρα του στην οδό Νίκου Καζαντζάκη, Πανεπιστημιούπολη Πατρών, Τ.Κ. 26504 Ρίον και εκπροσωπείται νόμιμα από τον Προεδρεύοντα Αντιπρόεδρό του καθηγητή Χρήστο Κακλαμάνη, και 2. η εταιρεία με την επωνυμία ENCODE ΑΝΩΝΥΜΗ ΒΙΟΜΗΧΑΝΙΚΗ ΚΑΙ ΕΜΠΟΡΙΚΗ ΕΤΑΙΡΕΙΑ ΠΡΟΪΟΝΤΩΝ ΚΑΙ ΥΠΗΡΕΣΙΩΝ ΑΣΦΑΛΕΙΑΣ ΣΥΣΤΗΜΑΤΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ και διακριτικό τίτλο ENCODE A.E., η οποία εδρεύει στην οδό Γ. Παπανδρέου 141, ΤΚ 144 52, Μεταμόρφωση Αττικής με ΑΦΜ 099364134 (Δ.Ο.Υ. Φ.Α.Ε. Αθηνών), και εκπροσωπείται νόμιμα από τον Διευθύνοντα Σύμβουλο αυτής κ. Χαράλαμπο Ηλιόπουλο, καλούμενη στη συνέχεια χάριν συντομίας "Ανάδοχος", συμφωνούν, συνομολογούν και κάνουν αμοιβαία αποδεκτά τα εξής: Άρθρο 1 ΑΝΤΙΚΕΙΜΕΝΟ ΤΗΣ ΣΥΜΒΑΣΗΣ Με την παρούσα Σύμβαση, το ΙΤΥΕ αναθέτει στον Ανάδοχο την εκτέλεση του Έργου με τίτλο «Παροχή υπηρεσιών ελέγχου ασφάλειας και αξιολόγησης ευπαθειών της διαδικτυακής εφαρμογής MySchool (myschool.sch.gr) συμπεριλαμβανομένης της υποκείμενης υπολογιστικής και δικτυακής υποδομής». Το αντικείμενο του Έργου περιλαμβάνει: 1. Έλεγχο ασφάλειας και αξιολόγηση ευπαθειών της ως άνω αναφερόμενης διαδικτυακής εφαρμογής (web application penetration testing). Σελίδα 1 από 9
Στο πλαίσιο αυτού του ελέγχου θα σχεδιαστούν και εκτελεστούν σενάρια επιθέσεων (δοκιμές παρείσδυσης) μέσω των οποίων θα πρέπει να εντοπιστούν τυχόν αδυναμίες οι οποίες επιτρέπουν σε κακόβουλους χρήστες να προβούν σε ενέργειες όπως οι παρακάτω ενδεικτικά αναφερόμενες: Πραγματοποίηση δοσοληψιών χωρίς εξουσιοδότηση (perform unauthorized application transactions) Απόκτηση δικαιωμάτων πρόσβασης σε ευαίσθητα δεδομένα χωρίς την κατάλληλη εξουσιοδότηση (obtain unauthorized access to sensitive data) Μη εξουσιοδοτημένη αλλαγή ή καταστροφή δεδομένων (corrupt, modify or destroy data) Μη εξουσιοδοτημένη τροποποίηση λογισμικού ή παρείσφρηση κακόβουλου λογισμικού (change or introduce software, malicious or otherwise) Για τις δοκιμές παρείσδυσης θα χρησιμοποιηθεί τόσο το μοντέλο χωρίς γνώση (blackbox) όσο και το μοντέλο με γνώση (white box). Επίσης θα πραγματοποιηθεί αναλυτικός έλεγχος και καταγραφή των ευπαθειών που εμφανίζει η συγκεκριμένη εφαρμογή. 2. Έλεγχο ασφάλειας και αξιολόγηση ευπαθειών της υπολογιστικής υποδομής όπου φιλοξενείται η ως άνω διαδικτυακή εφαρμογή και της αντίστοιχης δικτυακής υποδομής (systems and network penetration testing) Στο πλαίσιο αυτού του ελέγχου θα σχεδιαστούν και εκτελεστούν σενάρια επιθέσεων (δοκιμές παρείσδυσης) μέσω των οποίων θα πρέπει να εντοπιστούν τυχόν αδυναμίες οι οποίες επιτρέπουν σε κακόβουλους χρήστες να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στην υπολογιστική και δικτυακή υποδομή που φιλοξενεί την υπό έλεγχο εφαρμογή. Επίσης θα πραγματοποιηθεί αναλυτικός έλεγχος και καταγραφή των ευπαθειών που παρουσιάζουν τα συγκεκριμένα υπολογιστικά και δικτυακά συστήματα. Οι δοκιμές παρείσδυσης θα γίνουν τόσο εξωτερικά (external systems & network penetration tests) όσο και εσωτερικά (internal systems & network penetration tests). Άρθρο 2 ΠΑΡΑΔΟΤΕΟ ΕΡΓΟΥ Ο Ανάδοχος, έχοντας ολοκληρώσει τους ελέγχους που προβλέπονται στο Έργο, θα συντάξει και παραδώσει αναφορά από τον έλεγχο ασφάλειας και την αξιολόγηση ευπαθειών που πραγματοποιήθηκε. Η αναφορά, η οποία πρέπει να παραδοθεί στο ΙΤΥΕ έως την 11 η Δεκεμβρίου 2014, θα είναι γραμμένη στην ελληνική γλώσσα (διατηρώντας παράλληλα ορολογία στα αγγλικά όπου αυτό κριθεί απαραίτητο) και θα περιλαμβάνει τα παρακάτω: Μεθοδολογία που χρησιμοποιήθηκε Σελίδα 2 από 9
Έκθεση της συλλογής πληροφοριών που ανακτήθηκαν Αναλυτική καταγραφή και περιγραφή των ευπαθειών/αδυναμιών (vulnerabilities) που εντοπίστηκαν, αξιολόγηση/κατάταξή τους (ως προς κρισιμότητα) καθώς και διατύπωση προτάσεων για την αντιμετώπισή τους. Για κάθε ευπάθεια/αδυναμία θα δίνονται οι ακόλουθες πληροφορίες: o χρόνος και τεχνογνωσία που θα χρειαζόταν ένας επιτιθέμενος για να εντοπίσει την ευπάθεια/αδυναμία o τα ενδεχόμενα σενάρια επίθεσης στα οποία μπορεί να χρησιμοποιηθεί η εν λόγω ευπάθεια/αδυναμία o το επίπεδο έκθεσης σε κίνδυνο, σύμφωνα με τα παρακάτω κριτήρια: η ύπαρξη αυτής της ευπάθειας/αδυναμίας επιτρέπει άμεση διακύβευση της ασφάλειας ή σε συνεργασία με άλλες ευρεθείσες ευπάθειες/αδυναμίες μπορεί να χρησιμοποιηθεί για την πραγματοποίηση επίθεσης o διορθωτικές ενέργειες έκτακτης ανάγκης Αναλυτική περιγραφή των σεναρίων επιθέσεων που υλοποιήθηκαν. Θα περιλαμβάνονται τα σενάρια επίθεσης που σχεδιάστηκαν και ελέγχθηκαν και το κατά πόσο είναι δυνατή η πραγματοποίησή τους. Για κάθε επιτυχές σενάριο επίθεσης θα δίνονται τα παρακάτω: o αποδείξεις των επιτυχημένων δοκιμών παρείσδυσης (π.χ. σχετικά screenshots, video) o ο χρόνος, η τεχνογνωσία και οι πόροι που θα χρειαζόταν ο επιτιθέμενος για το φέρει επιτυχώς εις πέρας o η επίπτωση που θα είχε στην ασφάλεια της υπό έλεγχο πληροφοριακής υποδομής o ο κίνδυνος στον οποίο είναι εκτεθειμένη η υπό έλεγχο πληροφοριακή υποδομή (το επίπεδο κινδύνου ορίζεται ως το γινόμενο της ευκολίας εκμετάλλευσης μιας ευπάθειας /αδυναμίας επί την επίπτωση ) o οι εναλλακτικές διορθωτικές ενέργειες για τη μείωση/εξάλειψη του κινδύνου Επιτελική σύνοψη ευρημάτων και προτάσεις για την αντιμετώπισή τους Άρθρο 3 ΧΡΟΝΟΔΙΑΓΡΑΜΜΑ ΥΛΟΠΟΙΗΣΗΣ ΕΡΓΟΥ Το Έργο θα υλοποιηθεί σύμφωνα με το χρονοδιάγραμμα που επισυνάπτεται στην παρούσα ως Παράρτημα Α. Άρθρο 4 ΤΙΜΗΜΑ ΤΡΟΠΟΣ ΠΛΗΡΩΜΉΣ 1. Το συνολικό συμβατικό τίμημα ορίζεται και συμφωνείται στο ποσό των έξι χιλιάδων οκτακοσίων εξήντα πέντε ευρώ (6.865,00 ) πλέον ΦΠΑ 23 % ίσου με 1.578,95, ήτοι συνολικά στο ποσό των οκτώ χιλιάδων τετρακοσίων σαράντα τριών ευρώ και ενενήντα πέντε λεπτών (8.443,95 ). Σελίδα 3 από 9
2. Το συνολικό αυτό τίμημα περιλαμβάνει όλες τις δαπάνες του Αναδόχου, τυχόν υπέρ τρίτων κρατήσεις, φόρους, δασμούς, τυχόν έξοδα μετακίνησης και διαμονής προσωπικού, άλλα δημόσια τέλη και λοιπές δημοσιονομικές επιβαρύνσεις, καθώς και κάθε άλλη δαπάνη που θα απαιτηθεί για την πλήρη εκτέλεση του Έργου. 3. Ο Ανάδοχος έχει μελετήσει και εκτιμήσει τις απαιτήσεις του Έργου, καθώς και τους αναγκαίους πόρους και τα οικονομικά μεγέθη που θα απαιτηθούν για την καλή εκτέλεση του Έργου και εγγυάται για την ακρίβεια των επί μέρους στοιχείων του κόστους και του συνόλου του προϋπολογισμού του Έργου. Κατά συνέπεια, ρητά συμφωνείται, ότι καμιά αξίωση για πρόσθετη αμοιβή δεν θα μπορέσει να προβληθεί από τον Ανάδοχο, ο οποίος δηλώνει ότι παραιτείται από όλα τα δικαιώματα που προκύπτουν από τα άρθρα 288, 388, 696, 697 του Αστικού Κώδικα. 4. Η πληρωμή του τιμήματος του Έργου θα γίνει σε μία δόση, μετά την Οριστική Παραλαβή του Έργου, όπως αυτή περιγράφεται στο άρθρο 5 της παρούσας Σύμβασης. Η ημερομηνία Οριστικής Παραλαβής σηματοδοτεί και τη συμβατική λήξη του Έργου. 5. Η πληρωμή του τιμήματος θα γίνει με την προσκόμιση των νομίμων παραστατικών και δικαιολογητικών που προβλέπονται από τις ισχύουσες διατάξεις, καθώς και κάθε άλλου δικαιολογητικού που τυχόν ήθελε ζητηθεί από τις αρμόδιες υπηρεσίες του ΙΤΥΕ που διενεργούν τον έλεγχο και την πληρωμή και υπόκειται σε κάθε νόμιμο φόρο ή κράτηση, όπως ενδεικτικά: η προβλεπόμενη παρακράτηση φόρου σε ποσοστό οκτώ τοις εκατό (8%) για την παροχή υπηρεσιών (Άρθρο 64 Ν. 4172/2013), η κράτηση 0,10% επί της συνολικής συμβατικής αξίας χωρίς το ΦΠΑ υπέρ της Ενιαίας Ανεξάρτητης Αρχής Δημοσίων Συμβάσεων (άρθρο 4 3 Ν 4013/2011, όπως τροποποιήθηκε και ισχύει) με την οποία θα επιβαρυνθεί ο Ανάδοχος. Άρθρο 5 ΠΑΡΑΛΑΒΗ ΕΡΓΟΥ 1. Το ΙΤΥΕ θα συστήσει τριμελή Επιτροπή Παρακολούθησης και Παραλαβής του Έργου (ΕΠΠΕ). 2. Οι αρμοδιότητες της ΕΠΠΕ περιλαμβάνουν: Παρακολούθηση της πορείας εκτέλεσης του Έργου από τον Ανάδοχο και διατύπωση τυχόν παρατηρήσεων και κατευθύνσεων. Έλεγχο του Παραδοτέου του Έργου και είτε σύνταξη σχετικού πρακτικού παραλαβής είτε διατύπωση παρατηρήσεων επί του Παραδοτέου. 3. Ο Ανάδοχος οφείλει να συμμορφώνεται στις παρατηρήσεις της ΕΠΠΕ, συμπεριλαμβανομένων των παρατηρήσεων που τυχόν θα διατυπωθούν επί του Παραδοτέου του Έργου. Σελίδα 4 από 9
4. Η Οριστική Παραλαβή του Έργου ολοκληρώνεται με την παραλαβή του Παραδοτέου του Έργου. Άρθρο 6 ΥΠΟΧΡΕΩΣΕΙΣ ΑΝΑΔΟΧΟΥ ΚΑΙ ΙΤΥΕ 1. Ο Ανάδοχος αναλαμβάνει να εκπληρώσει τις υποχρεώσεις του και εκτελέσει το Έργο σύμφωνα με τους όρους της παρούσας Σύμβασης, τις τυχόν οδηγίες του ΙΤΥΕ στο πνεύμα αυτής και τις διατάξεις του Αστικού Κώδικα. 2. Ο Ανάδοχος οφείλει να τηρήσει όλους τους όρους της παρούσας Σύμβασης καθ' όλη την διάρκεια της οποίας ρητά δηλώνει ότι παραιτείται του δικαιώματος υπαναχωρήσεως και δι' οποιαδήποτε αιτία. 3. Αρμόδιος εκ μέρους του Αναδόχου για το συντονισμό και τη συνεργασία με το ΙΤΥΕ στο πλαίσιο υλοποίησης του Έργου, ορίζεται ο κος. Ιωάννης Κολοβός, με τα κάτωθι στοιχεία επικοινωνίας: Όνομα: Ιωάννης Κολοβός Τηλέφωνο: (+30) 210 6563880 Fax: (+30) 210 6543576 Email: j.kolovos@encodegroup.com Διεύθυνση: Γ. Παπανδρέου 141, 144 52, Μεταμόρφωση 4. Το ΙΤΥΕ πέραν της υποχρεώσεως της προσήκουσας καταβολής του τιμήματος του Έργου, οφείλει να διασφαλίσει την πρόσβαση στους χώρους του και την άμεση ενημέρωση του προσωπικού του Αναδόχου με οποιαδήποτε πληροφορία διευκολύνει την αποδοτικότερη υλοποίηση του Έργου. Άρθρο 7 ΕΜΠΙΣΤΕΥΤΙΚΟΤΗΤΑ - ΕΧΕΜΥΘΕΙΑ Καθ όλη τη διάρκεια ισχύος της Σύμβασης αλλά και μετά τη λήξη αυτής ο Ανάδοχος υποχρεούται να τηρήσει εμπιστευτικά και να µη γνωστοποιήσει σε τρίτους οποιαδήποτε έγγραφα ή πληροφορίες που θα περιέλθουν σε γνώση του κατά την εκτέλεση των υπηρεσιών και την εκπλήρωση των υποχρεώσεών του, χωρίς την προηγούμενη γραπτή συγκατάθεση του ΙΤΥΕ. Ειδικότερα, ρητά συμφωνείται ότι καθ όλη τη διάρκεια ισχύος της Σύμβασης αλλά και μετά τη λήξη αυτής, απαγορεύεται στον Ανάδοχο, δια των στελεχών, υπαλλήλων και πάσης φύσεως συνεργατών του, να αποκαλύψουν, ανακοινώσουν προφορικά, διαρρεύσουν εγγράφως ή με οποιονδήποτε άλλο τρόπο, διαβιβάσουν ή γνωστοποιήσουν σε οποιονδήποτε τρίτο οποιοδήποτε γεγονός, προγράμματα λογισμικού, αποτελέσματα ελέγχων, μελέτες, υποδείγματα, σχέδια, διαγράμματα, προδιαγραφές ή ευρήματα που θα περιέλθουν σε γνώση του κατά την εκτέλεση των υπηρεσιών και την εκπλήρωση των υποχρεώσεών του, χωρίς την προηγούμενη γραπτή συγκατάθεση του ΙΤΥΕ. Σελίδα 5 από 9
Άρθρο 8 ΠΝΕΥΜΑΤΙΚΗ ΙΔΙΟΚΤΗΣΙΑ Το ΙΤΥΕ ταυτόχρονα με την Οριστική Παραλαβή του Έργου και την πληρωμή του Αναδόχου, αποκτά μία διαρκή άδεια χρήσεως του συνόλου των παραδοτέων προϊόντων ως αυτά δημιουργήθηκαν (με εξαίρεση όλα τα προϊόντα τρίτων κατασκευαστών, τα δικαιώματα χρήσεως των οποίων καθορίζονται από τις άδειες εκάστου κατασκευαστή), δυνάμενο να χρησιμοποιεί αυτά απεριόριστα προς εξυπηρέτηση των αναγκών του για τα οποία προορίζονται, άνευ της καταβολής οιουδήποτε προσθέτου δικαιώματος ή/και ανταλλάγματος προς τον Ανάδοχο. Η παρεχόμενη άδεια παρέχει στο ΙΤΥΕ το δικαίωμα αποκλειστικής χρήσεως των παραδοτέων αυτών από το προσωπικό του και τους ανεξάρτητους επαγγελματίες συμβούλους του, εξασφαλίζοντας την εχεμύθεια και τήρηση της εμπιστευτικότητας τούτων, στο μέτρο που αυτό απαιτείται. Το ΙΤΥΕ αναλαμβάνει την υποχρέωση να μην προβαίνει σε αδικαιολόγητη διάδοση του περιεχομένου των παραδοτέων και να εξασφαλίζει την αποφυγή της αντιγραφής τους από τρίτα πρόσωπα. Επίσης, συμφωνείται ότι το ΙΤΥΕ δεν θα εκμεταλλευθεί καθ οιονδήποτε τρόπο, εμπορικό ή άλλο, τα παραδοτέα, καθώς και δεν θα μεταβιβάσει αυτά και τη χορηγηθείσα άδεια χρήσεως προς οιοδήποτε τρίτο, μετά ή άνευ ανταλλάγματος. Άρθρο 9 ΑΝΩΤΕΡΑ ΒΙΑ Ανωτέρα βία υπάρχει όταν η ενέργεια του υπόχρεου παρακωλύεται από τυχαίο και απρόβλεπτο γεγονός το οποίο ήταν αδύνατο να αποτραπεί καθ' οιονδήποτε τρόπο. Ρητά συμφωνείται ότι τα μέρη δεν θα ευθύνονται για την καθυστέρηση ή παράλειψη εκπλήρωσης των υποχρεώσεών τους που απορρέουν από την Σύμβαση αυτή, εφόσον η καθυστέρηση ή /και η μη εκπλήρωση οφείλεται σε επέλευση γεγονότος ανωτέρας βίας πλήρως αποδεδειγμένου. Το γεγονός ανωτέρας βίας θα πρέπει να αποδεικνύεται με κατάλληλα και επίσημα έγγραφα. Η λήξη των αναφερομένων στην παρούσα προθεσμιών, αναστέλλεται για όσο χρονικό διάστημα διήρκεσε αποδεδειγμένα το γεγονός, που συνιστά την περίπτωση της ανώτερης βίας. Σε περίπτωση ανωτέρας βίας, το πληγέν μέρος υποχρεούται αμέσως να ειδοποιήσει εγγράφως γι' αυτό το άλλο μέρος με κάθε σχετική λεπτομέρεια. Άρθρο 10 ΕΚΧΩΡΗΣΗ Η παρούσα Σύμβαση δεν εκχωρείται ή μεταβιβάζεται σε οποιονδήποτε τρίτο εν όλω ή εν μέρει, ούτε είναι δυνατή η υποκατάσταση κάποιου των συμβαλλομένων μερών από άλλο, μη συμβαλλόμενο στο παρόν, μέρος χωρίς την προηγούμενη γραπτή συγκατάθεση του άλλου μέρους. Σελίδα 6 από 9
Άρθρο 11 ΜΕΡΙΚΗ ΑΚΥΡΟΤΗΤΑ Αν οποιοσδήποτε όρος, άρθρο ή διάταξη της παρούσας ή μέρος αυτών κριθεί από οποιοδήποτε δικαστήριο ή γίνει δεκτό από τα συμβαλλόμενα μέρη ότι έρχεται σε αντίθεση με νόμο ή κριθεί άκυρος ή μη εκτελεστός, η εγκυρότητα και η ισχύς των υπολοίπων όρων, άρθρων και διατάξεων της παρούσας δεν θα επηρεαστεί από το γεγονός αυτό και θα εξακολουθούν να δεσμεύουν τα συμβαλλόμενα μέρη. Άρθρο 12 ΕΠΙΛΥΣΗ ΔΙΑΦΟΡΩΝ Ο Ανάδοχος και το ΙΤΥΕ οφείλουν να διαπραγματευθούν καλόπιστα την επίλυση οποιασδήποτε διαφοράς ή διαφωνίας η οποία τυχόν θα προκύψει σχετικά με την παρούσα Σύμβαση, μετά από έγγραφη ειδοποίηση έκαστου. Αν η διαφορά δε λυθεί με διαπραγμάτευση, θα παραπεμφθεί προς επίλυση στα αρμόδια Δικαστήρια Πατρών. Άρθρο 13 ΙΣΧΥΣ ΤΡΟΠΟΠΟΙΗΣΗ ΤΗΣ ΣΥΜΒΑΣΗΣ Η παρούσα Σύμβαση δε μπορεί να τροποποιηθεί παρά μόνον εγγράφως και μετά από κοινή συναίνεση των συμβαλλομένων μερών, διέπεται δε από το Ελληνικό Δίκαιο. Η παρούσα Σύμβαση τίθεται σε ισχύ από την υπογραφή της. Τα συμβαλλόμενα μέρη που θεωρούν όλους τους όρους της παρούσας Σύμβασης ουσιαστικούς και σπουδαίους, τους συνομολογούν και τους συναποδέχονται και προς απόδειξη συντάχθηκε η παρούσα Σύμβαση η οποία αφού διαβάσθηκε και βεβαιώθηκε από τα δύο συμβαλλόμενα μέρη, υπεγράφη νομίμως σε τέσσερα ισότιμα πρωτότυπα και έλαβε έκαστο από δύο. ΟΙ ΣΥΜΒΑΛΛΟΜΕΝΟΙ Για το Ινστιτούτο Τεχνολογίας Υπολογιστών και Εκδόσεων «ΔΙΟΦΑΝΤΟΣ» Για την εταιρεία ENCODE Α.Ε. Καθ. Χρήστος Κακλαμάνης Προεδρεύων Αντιπρόεδρος του ΙΤΥΕ Χαράλαμπος Ηλιόπουλος Διευθύνων Σύμβουλος Σελίδα 7 από 9
ΠΑΡΑΡΤΗΜΑ Α Σελίδα 8 από 9