Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Technické zadání

Podobné dokumenty
Část 1. Technická specifikace. Posílení ochrany demokratické společnosti proti terorismu a extremismu

epasy - cestovní doklady nově s otisky prstů Projekt CDBP

Technická specifikace HW pro rok 2012

2.3 Požadavky na bezpečnost a kryptografii...19

Technická dokumentace

JIŽ VÍCE JAK 5 LET ŽIJEME S BIOMETRICKÝMI DOKLADY, UMÍME JICH VYUŽÍT? Petr Vyleťal

Výzva na podání nabídek na veřejnou zakázku malého rozsahu

TECHNICKÁ SPECIFIKACE PŘEDMĚTU VEŘEJNÉ ZAKÁZKY. Pořízení Počítačů a strojů na zpracování dat 2017 pro Vysokou školu polytechnickou Jihlava

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

Příloha č. 1 k Č.j.: OOP/10039/ Specifikace zařízení

instalace, implementace a integrace se systémem spisové služby (SSL)

Příloha č. 2A Zadávací dokumentace k Veřejné zakázce Dodávka technologického řešení pro Geoportál

Příloha č. 1 zadávací dokumentace - Technická specifikace

DRUHÁ GENERACE ELEKTRONICKÝCH PASŮ A NOVÁ GENERACE ELEKTRONICKÝCH PRŮKAZŮ O POVOLENÍ K POBYTU. aneb Nebojte se biometrie

Virtualizace koncových stanic Položka Požadováno Nabídka, konkrétní hodnota

Příloha č. 4 - Notebooky

Příloha č. 1 k Čj.: PPR /ČJ

DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM Č. 4

Příloha č. 1 - Technická specifiace zboží

Technická specifikace Notebooky 210 ks

Elektronické identifikační doklady. Jak jsou na tom další státy Evropské unie? Smart World Brno, září 2013

Zařízeni musí splňovat minimální parametry uvedené níže u každého zařízení ve sloupci Specifikace předmětu zakázky.

Elektronické doklady v ČR. Kam jsme se dostali a kde to ještě vázne?

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Název a specifikace dodávaného zařízení - hardware pro virtuální učebnu Tablet PC

Příloha č. 1. Informační systém pro Městskou policii Česká Lípa. Specifikace požadavků minimálního plnění pro IS MP

Příloha č. 1 zadávací dokumentace - Specifikace předmětu plnění veřejné zakázky

1. Integrační koncept

Konfigurace zařízení - Střední průmyslová škola Edvarda Beneše a Obchodní akademie Břeclav

MINISTERSTVO VNITRA Projekt vydávání e-cestovních dokladů. Internet ve státní správě a samosprávě Hradec Králové, duben 2008

Testovací protokol. 1 Informace o testování. 2 Testovací prostředí. 3 Vlastnosti generátoru klíčů. Příloha č. 13

Moderní technologie ve výuce přináší užitek a radost_dodávka ICT

1.05 Informační systémy a technologie

Zřízení technologického centra ORP Dobruška

DODATEČNÉ INFORMACE K ZADÁVACÍ DOKUMENTACI č. 3

verze GORDIC spol. s r. o.

dodání během 2. pololetí 2013, objednáno bude s měsíčním předstihem

CHARAKTERISTIKA VEŘEJNÉ ZAKÁZKY

Vysvětlení zadávací dokumentace č. 3

Město Varnsdorf, nám. E. Beneše 470, Varnsdorf, Česká republika SPECIFIKACE

Zadávací dokumentace na veřejnou zakázku malého rozsahu s názvem Obměna informačních technologií

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Příloha č. 1 kupní smlouvy Technická dokumentace zadavatele (kupujícího)

Specifikace předmětu veřejné zakázky

Technická specifikace vymezené části 1 SERVER

Upřesňující minimální HW konfigurace

1.05 Informační systémy a technologie

Příloha č. 1 k výzvě k podání nabídek

Technická specifikace: MĚÚ Nové Město na Moravě

ZADÁVACÍ DOKUMENT ACE

NOTEBOOK DELL INSPIRON 13Z 5000 TOUCH NOTEBOOK, I5-7200U, 4GB, 128GB SSD, 13.3" FHD DOTYKOVÝ, W10, ŠEDÝ, 2YNBD ON-SITE

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

Zkušenosti s budováním základního registru obyvatel

Příloha č. 2 kupní smlouvy

Kontrolní seznam projektu a systémové požadavky Xesar 3.0

Zadavatel: Česká republika Český statistický úřad Na padesátém 81/ Praha 10 Strašnice IČO:

Zadávací dokumentace Příloha výzvy k podání nabídek

Dílčí část A. Specifikace předmětu plnění. Limitní cena za 1 ks bez DPH: Kč. Cena za 1 ks bez DPH * Cena za 1 ks

Příloha č. 1. Informační systém pro Městskou policii Česká Lípa (II.) Specifikace požadavků minimálního plnění pro IS MP a integrační vazby

Č.j. PPR /ČJ Praha Počet listů: 6 DS, EZAK

Příloha č. 1 Zadávací dokumentace Technické podmínky zadavatele na předmět plnění části 1 veřejné zakázky ČÁST A

Kupní smlouva o dodávce IT vybavení 2013

Certifikace pro výrobu čipové karty třetí stranou

Zadávací dokumentace

Programové vybavení OKsmart pro využití čipových karet

Technická specifikace

Zadávací dokumentace VEŘEJNÁ ZAKÁZKA MALÉHO ROZSAHU

Výpočetní technika 2012

PŘÍLOHA C Požadavky na Dokumentaci

Testovací protokol. webový generátor PostSignum. sada PIIX3; 1 GB RAM; harddisk 20 GB IDE OS: Windows Vista Service Pack 2 SW: Internet Explorer 9

VÝDAJE NA POŘÍZENÍ SW, VČ. AGEND ÚŘADU VÝDAJ KDY ZPŮSOBILÝ KDY NEZPŮSOBILÝ Pořízení nového operačního systému

Zajištění rozvoje komunikační a systémové infrastruktury MPSV_I.

Certifikační laboratoř OIS

Systém monitorování rozvaděčů- RAMOS

Pracujeme s novými technologiemi_dodávka ICT

VaV projekt TA je řešen s finanční podporou TA ČR

Technická dokumentace

Technická specifikace předmětu zakázky

Aplikace na čipových kartách

Dokumentace. k projektu Czech POINT. Technická specifikace hardwarového a softwarového vybavení

VYSVĚTLENÍ / ZMĚNA ZADÁVACÍ DOKUMENTACE Č. 5

OKsmart a správa karet v systému OKbase

Specifikace VT 11 ks. Ultrabook dle specifikace v příloze č ks. 3G modem TP-LINK M5350

Wonderware hardware. Seznam produktů

Požadavky na parametry SLA

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

Integrace formou virtualizace

TECHNICKÁ SPECIFIKACE PŘEDMĚTU VEŘEJNÉ ZAKÁZKY

Moderní veřejná správa

Výzva k podání nabídek

S ICT ve výuce to umíme_dodávka ICT

URL veřejné zakázky v elektronickém nástroji zadavatele Plzeňského kraje v E-ZAK: Dodatečné informace č. 4

Výzva k předložení nabídky a prokázání kvalifikace. Počítačové kurzy pro servisní techniky

Lhůta pro podání nabídek: začíná běžet dnem následujícím po dni odeslání textu výzvy.

Testovací protokol USB Token Cryptomate

Certifikát o hodnocení

O varováních VAROVÁNÍ: VAROVÁNÍ upozorňuje na možné poškození majetku a riziko úrazu

Příloha č. 1 k čj.: 1/120/ Technická specifikace Zajištění HW a dlouhodobé podpory infrastruktury Intel pro VoZP ČR

Transkript:

Příloha č. 1 k Čj.: Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Technické zadání verze 1.06 Praha 2016

OBSAH 1 Úvod... 4 2 Seznam pojmů a zkratek... 6 3 Popis aktuálního stavu výchozí podmínky... 9 4 Specifikace dodávky mobilního biometrického inspekčního systému...10 4.1 Centrální část...10 4.1.1 Vlastnosti jádra ISY (TCC)... 11 4.1.2 Infrastruktura... 12 4.1.3 Rozšíření MBP... 12 4.2 Klientská část...12 4.2.1 Standardy pro načítání biometrických informací z elektronických dokladů... 13 4.2.2 Hlavní scénáře použití pro klientskou část řešení... 15 4.3 Pilotní soupravy pro provoz klientské části (kity)...17 4.5 Dokumentace...18 4.6 Certifikace autorizovaného ISY...19 5 Dodávka infrastruktury...20 5.1 Infrastruktura pro centrální systém...20 5.1.1 Infrastruktura pro subsystém Jádro ISY... 20 5.1.2 Infrastruktura pro subsystém Dotazovací brána... 20 5.1.3 Software... 21 5.2 Infrastruktura pro mobilní klienty (pilotní soupravy)...21 5.2.1 Mobilní inspekční terminál (odolný)... 21 5.2.2 Komplexní mobilní inspekční sada na platformě Windows PC... 23 6 Další požadavky pro předmět plnění...27 6.1 Záruka...27 6.2 Pojištění...27 6.3 Informační povinnost a publicita...27 6.4 Požadavky na testování...27 6.5 Požadavky na nasazení...28 6.6 Požadavky na školení...28 6.7 Požadavky na prostředí...28 6.8 Požadavky na projektové řízení...28 7 Poskytování služeb technické podpory...33 7.1 Poskytování služeb pracoviště HOTLINE...33 8 Předpokládaný harmonogram a řízení projektu...35

8.1 Harmonogram... Chyba! Záložka není definována. 8.2 Projektové řízení, organizace a harmonogram projektu...35 8.3 Popis identifikace možných rizik v souvislosti s realizací daného projektu a návrh jejich eliminace a vypořádání...36 8.3.1 Řízení rizik...36 8.3.2 Řízení a registrace rizik projektu...37 8.3.3 Registr rizik...37 9 Položkový soupis dodávky...38 10 Požadavek na zpracování technické části nabídky...40 10.1 Naplnění požadavků...40 Seznam obrázků a schémat Obrázek 1: Cílový stav implementace změn... 5 Obrázek 2 - Celkové schéma systému včetně všech navazujících systémů... 10 Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Strana: 3 z 40

1 Úvod Vzhledem k aktuálnímu vývoji bezpečnostní situace v Evropě vzniká potřeba zintenzivnit využívání nástrojů a prostředků pro ověření totožnosti osob a též pro ověření platnosti jimi prezentovaných cestovních dokladů a ostatních dokladů totožnosti. Policie ČR je ze zákona povinna ověřovat totožnost osob a kontrolovat cestovní doklady. V současné době je v gesci Policie ČR dokončována infrastruktura umožňující zahájení kontroly biometrických prvků v cestovních dokladech (Národní kontrolní autorita), stejně tak, je budováno a rozšiřováno zázemí pro policejní mobilitu (Mobilní bezpečná platforma). Cílem projektu je vybudování komplexního informačního systému pro inspekci a kontrolu osob a dokladů pomocí biometrických prvků v přímém výkonu služby na území ČR. Záměrem je vybudovat infrastrukturu a pořídit potřebný aplikační software, které by v plném rozsahu zajišťovaly služby: autorizovaného inspekčního systému cestovních dokladů (emrtd) zabezpečených pokročilými bezpečnostními mechanismy (BAC/PACEv2, EAC v1, EAC v2, SAC atd.) systému kontroly identity kontrolované osoby proti dostupným bázím dat s využitím biometrických prvků (otisk prstu, vizuální podoba - obličej) a prověření identity na výskyt ve sledovaných datových fondech Policie ČR a ostatních bezpečnostních složek ČR, členských států Evropské unie a mezinárodních organizací. Kromě pořízení serverové a klientské části řešení formou multilicence je součástí projektu také zajištění vzorového vybavení pro kontrolu osob a dokladů v terénu. Předpokládá se, že standardizované vybavení, ověřené v tomto projektu, může být dále pořizováno formou standardních nákupů jednotlivých Krajských ředitelství Policie ČR nebo případně útvarů s celorepublikovou působností. Vybudovaný komplexní systém umožní policistům v terénu standardizovaným způsobem provádět kontroly v terénu na úrovni odpovídající pevným stanovištím (např. tzv. SBCstationary border control pracoviště), s plným komfortem a přesností využití biometrie. Vzhledem k nedostupnosti pevných pracovišť pro hraniční kontrolu (neexistující zázemí bývalých hraničních přechodů), může systém sehrát klíčovou roli kromě standardní funkce na území ČR, i při dočasném znovuzavedení hraničních kontrol na státní hranici ČR. Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Strana: 4 z 40

Cílový stav implementace změn je zobrazen na následujícím schématu: Mobilní inspekční sada (KIT) Celostránková čtečka dokladů Čtečka otisků prstů 4G modem Externí zdroj s akumulátorem Národní kontrolní autorita Biometrická kamera Přenosný počítač Podpisový pad Mobilní inspekční zařízení Autorizovaný inspekční systém emrtd (TCC, jádro ISY) Odolný mobilní inspekční terminál s vestavěnými periferiemi a komunikací Mobilní bezpečná platforma Policie ČR Mobilní inspekční zařízení Biometrický systém kontroly identity a prověření osoby (dotazovací brána) Smartphone Samsung Galaxy S5 v používání Policie ČR Informační systémy Policie ČR a dalších institucí Obrázek 1: Cílový stav implementace změn Označení zeleně stávající již provozované řešení Modré označení doplněné řešení V tomto dokumentu jsou definovány specifické požadavky, kde jejich naplnění je povinné. Zadavatel požaduje bez výjimky jejich naplnění v rámci popisu předloženého technického řešení. Současně si vyhrazuje právo na ověření deklarovaných funkcionalit. Způsob naplnění níže uvedených požadavků uvede uchazeč v rámci nabídky v části popisu technického řešení, kde je nezbytné uvést zda, je požadavek naplněn v separátní tabulce a současně popsat způsob jeho naplnění. Pouhá odpověď ano/ne není postačující. Konkrétní požadavek je označen vždy jako (Px) v textu červeně, kde x je pořadové číslo konkrétního požadavku. Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Strana: 5 z 40

2 Seznam pojmů a zkratek Zkratka/Pojem AFIS ČR BMS AIS EO, OP,CD AIS PČR BAC BMS PČR BSI CCP CEŘ CIS CRV CS SIS II CS VIS CVCA DG DKT CIS DV4, CZE_DVCA4 DVCA EAC E-CD EO E-OP E-PAS E-PKP ESB EURODAC Popis - vysvětlení Národní systém porovnávání biometrických dat (dříve AFIS) Agendové informační systém veřejné správy Agendový informační systém Policie ČR Basic Access Control - protokol pro vyčítání dat z biometrického pasu Systém detekce obličejů, zájmová část PČR Bundesamt für Sicherheit in der Informationstechnik Common certificate policy Centrální evidence řidičů Cizinecký informační systém Centrální registr vozidel Centrální součást Schengenského informačního systému II Centrální vízový informační systém Country Verifying Certification Authority - Národní verifikační autorita - certifikační autorita pro kontrolní systémy (DV) přistupující k otiskům prstů Data Group - datová oblast v čipu e-pasu Daktyloskopické karty systému IS CIS Document Verifier, Document Verifying Certification Authority - certifikační autorita pro Inspekční systémy (v rámci EAC) Cretifikační autorita - Document Verifier Extended Access Control - Systém rozšířeného řízení přístupu. Elektronický cestovní doklad obsahující biometrické prvky uložené v DG2 a DG3 v souladu se specifikací ICAO. Evidence obyvatel Elektronický občanský průkaz s biometrickými prvky ve formátu ID1. Elektronický e-pas Pas s biometrickými prvky. Elektronické povolení k pobytu s biometrickými prvky. Enterprise service bus Evropská databáze otisků prstů Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Strana: 6 z 40

Zkratka/Pojem FP FPCD FPS HA HSM ICIS IS KODOX ISY ManISY MBP MRTD MRZ MVČR Otisk prstu (fingeprint) Popis - vysvětlení Celostránková (Full Page) čtečka cestovních a osobních dokladů Čtečka otisku prstu. High-availability, vysoká dostupnost Hardware Security Module Interpol Criminal Information System Systém hraniční kontroly Policie ČR Inspekční systém (v rámci EAC) Management klíčů Inspekčního systému Mobilní bezpečná platforma Policie ČR Machine Readable Travel Document - Strojově čitelný doklad. Machine Readable Zone - strojově čitelná oblast cestovního nebo osobního dokladu Ministerstvo vnitra České republiky NKA NS SIS II NS VIS oid Check OP PATROS PČR PDB PKI PMS PMZ ROB RP SC SSO UZK Národní kontrolní autorita Národní součást Schengenského informační systému II Národní vízový informační systém Automatické optický expertní systém kontrola optických bezpečnostních prvků Agenda opčanských průkazů Informační systém pátrání po osobách Policie České republiky Provozní databáze Public Key Infrastructure - Infrastruktura veřejného klíče. Platforma mobilních služeb MBP PČR Platforma mobilního zařízení MBP PČR Registr obyvatel Registr přestupků Smart card (zde reader, čtečka) Single sign on Ukončení zabezpečené komunikace Mobilní bezpečné platformy Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Strana: 7 z 40

Zkratka/Pojem Policie ČR Popis - vysvětlení Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Strana: 8 z 40

3 Popis aktuálního stavu výchozí podmínky Policie ČR aktuálně v přímém výkonu služby využívá několik tisíc ks mobilních zařízení Samsung Galaxy S5 a několik set ks tabletů Samsung Galaxy Note v prostředí tzv. Mobilní bezpečné platformy. Zařízení jsou využívána pro lustrace, taktickou komunikaci a geografickou podporu. V aktuálním režimu použití jsou veškeré údaje pro lustraci zadávány uživateli ručně bez možnosti automatického vstupu. Ověření dokladu, kterým se osoba prezentuje, probíhá pouze vizuálním posouzením kontrolujícím policistou. Lustrace jsou prováděny prostřednictvím systému IS Kontrola 2. Informační systém IS Kontrola 2 neumožňuje provádění jiných dotazů než alfanumerických a je zaměřena na kontrolu osob trvale žijících na území ČR (zejména také rozsahem datových fondů). Policie ČR v současné době dokončuje implementaci národního DVCA systému (Národní kontrolní autorita), jehož existence umožní provádět sofistikovanou kontrolu pravosti elektronických dokladů a rovněž ověření identity držitele dokladů prostřednictvím biometrických prvků. Policie ČR, konkrétně Ředitelství služby cizinecké policie, má k dispozici profesionální řešení pro kontrolu biometrických prvků, včetně specifického hardware, jedná se ale o pokročilé řešení určené pouze odborně zaměřeným policistům (typicky specialisté na cestovní doklady), které má v podstatě forenzní charakter a je omezeno na několik set kusů přístrojů. V současné době, s existujícím vybavením, nelze tedy odpovídacím způsobem zajistit dostatečně kapacitní a přesnou kontrolu osob a dokladů na území ČR a v blízkosti státní hranice ČR. V případě zesílené migrační vlny, která si vyžádá zvýšení počtu kontrol a zavedení kontrolních bodů (filtrů), nemá Policie ČR dostatek nástrojů pro rychlou kontrolu osoby a dokladu v I. linii. Požadavky širšího výkonu služby tak směřují k využití stávajících mobilních zařízení Mobilní bezpečné platformy, případně k pořízení jednoduchého kitu vše v jednom, které umožní automatizaci načítání kontrolovaných dokladů a tím snížení chybovosti při zadávání údajů, strojovou verifikaci pravosti dokladu a automatizovanou kontrolu totožnosti držitele dokladu pomocí biometrických prvků (kontrola shody fotografie s aktuální podobou, kontrola shody otisku prstu) a to včetně lustrace nejen alfanumerické, ale i biometrické ve všech relevantních datových fondech, včetně tzv. cizineckých. Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Strana: 9 z 40

4 Specifikace dodávky mobilního biometrického inspekčního systému (P01) Předmětem dodávky je ucelený Inspekční a kontrolní systém pro kontrolu osob a dokladů prostřednictvím biometrických prvků. Systém se primárně skládá z centrální části a klientských modulů. Podmínkou dodávky je plná integrace všech modulů do plně funkčního celku jak ilustruje obrázek. Pro komunikaci mezi centrální a klientskou částí musí být využita Mobilní bezpečná platforma Policie ČR. Přímá komunikace mezi centrální a klientskou částí je vyloučena. Obrázek 2 - Celkové schéma systému včetně všech navazujících systémů Legenda : Šedou barvou jsou zobrazeny stávající nebo budované IS Policie ČR nebo ostatních bezpečnostních složek, modrou barvou jsou zobrazeny požadované součásti řešení. 4.1 Centrální část (P02) Serverová část musí být dodána jako multilicence a SW musí být na požadovaném HW obsluhovat minimálně 2000 současně pracujících klientských inspekčních a kontrolních stanic. (P03) Software musí být navržen tak, aby jen posílením hardware byl schopen obsloužit minimálně 6000 současně pracujících klientů. (P04) Serverový software musí především zajišťovat následující funkcionalitu: obousměrnou komunikaci s DV CZE na úrovni výměny certifikátů dle standardů BR- TR03129-1 a TR03129-2 Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Strana: 10 z 40

komplexní úloha tzv. TCC (terminal control centre) včetně bezpečného uložení klíčů na HSM a práce s nimi, komunikace s terminály - klientskou částí, podpora procesu inspekce dokladu na klientské části (PA, TA) lustrační brána pro alfanumerické a biometrické dotazy z klientské části, zejména pak dotazy do těchto systémů: o národní pátrání (PATROS, Opatření) [alfanumerika;foto] o mezinárodní pátrání (SIS II, ICIS) [alfanumerika;foto;otisk] o centrální vízový informační systém [alfanumerika;foto;otisk] o národní automatický systém identifikace otisků prstů AFIS/BMS [otisk] o systém EURODAC [otisk] o základní registry a agendové informační systémy, které využívá Policie ČR při kontrole osob a dokladů [alfanumerika;foto] o systém detekce obličejů, část PČR [foto] uložení záznamu o kontrole do informačního systému IS Kontrola 2 včetně multimédií modul porovnání obličeje pro porovnání dvou fotografií logování, audit - interně v rámci dodávaného řešení, s tím že vybrané událostí jsou dostupné pro logovací subsystém MBP (součástí řešení je případné rozšíření MBP o zpracování těchto dat) poskytování provozních a statistických informací systému MBP (SNMPv3) (P05) Součástí dodávky musí být vybudování rozhraní na všechny existující a požadované systémy a zprovoznění těchto rozhraní, pokud je cílový systém v provozu, případně příprava rozhraní, pokud je systém ve výstavbě. (P06) Dodavatel garantuje dokončení a zprovoznění rozhraní na systémy ve výstavbě po dobu 3 let od předání projektu do rutinního provozu v ceně dodávky. (P07) Centrální část řešení musí komunikovat s klientskou částí řešení výhradně cestou Mobilní bezpečné platformy. 4.1.1 Vlastnosti jádra ISY (TCC) (P08) Součástí dodávky uchazeče budou dvě instance (primární a záložní) centralizovaného inspekčního systému ISY (TCC) v souladu se standardem BSI TR-03129. (P09) Centralizované řešení ISY (TCC) obsluhující mobilní terminály bude registrováno u provozní instance nadřízené řídící autority, kterou je NKA provozované zadavatelem. (P10) Zadavatel požaduje instalaci základní komponenty ISY na nově dodané virtuální instanci v rámci infrastruktury Národní kontrolní autority. Součástí dodávky bude rovněž síťový HSM modul (celkem dva moduly), kde pro každou instanci bude dodán jeden kus. (P11) Funkční celek TCC a HSM modulu bude uchovávat certifikáty a privátní klíče a přístup k operacím s nimi bude ověřovat pro každý jednotlivý mobilní terminál ve spolupráci s MBP. Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Strana: 11 z 40

(P12) TCC musí podporovat specifikaci EAC 2.1. a to včetně schopnosti čtení dat uložená v čipu elektronických osobních průkazů Spolkové Republiky Německo. (P13) Požadované funkce komponenty TCC jsou podrobněji definovány jako: zajištění v daném intervalu žádosti o certifikáty u domácích a zahraničních DVCA od domácí DVCA (NKA) aby mohl vygenerovat patřičné klíče pro certifikáty inspekčních systémů každého státu, jehož dokument je třeba brát v úvahu. generování žádosti o certifikáty domácích a zahraničních inspekčních systémů, které vydává DVCA (NKA) a z odpovídajících certifikátů vytváří řetězce EAC. zajištění příjmu aktuálních domácích Master listu a Defect listu od DVCA a ověření podpisu proti certifikátu autority, která Master List nebo Defect List vydala. Obsah těchto seznamů budou využívat registrované terminály v průběhu pasivní autentizace. Musí poskytnout podporu pro proces pasivní autentizace (PA), kterou provádějí registrované terminály v průběhu kontroly dokumentů. Při procesu terminálové autentizace (TA Terminal Authentication), který provádějí registrované terminály při ověřování dokumentů získá reference CVCA certifikátu od registrovaných terminálů a odesílá zpět odpovídající řetězec EAC certifikátů. Následně získá ověřovací tokeny od registrovaných terminálů, podepíše je odpovídajícím privátním klíčem IS a odesílá podepsané tokeny zpět do terminálů. Díky tomu je čip schopný ověřit autorizaci daného mobilního zařízení k vyčtení údajů. 4.1.2 Infrastruktura V rámci budování projektu je potřeba zajistit také potřebnou infrastrukturu pro běh dedikovaných součástí řešení. Pro některé ze součástí se předpokládá využití existujících HW a SW prostředků Policie ČR. Pro vlastní projekt je tedy potřeba HW infrastruktury redukována na pořízení 2ks samostatných serverů a virtualizace, 2 ks HSM modulů a potřebného COTS Software (licence SQL serveru pro dotazovací bránu). Více viz. Kapitola 5 - Dodávka infrastruktury. 4.1.3 Rozšíření MBP (P14) Součástí dodávky uchazeče budou i rozšíření pro stávající systém MBP, očekávaná rozšíření jsou následující: Vystavení služeb přes PMS ESB Napojení na monitoring MBP Poskytování informací přes SNMP (v3) Poskytování vybraných logů a auditních záznamů 4.2 Klientská část (P15) Klientská část musí být dodána jako multilicence pro platformy Android 4.4 a novější a Windows desktop (Windows 10). Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Strana: 12 z 40

(P16) Klientská část musí být vyvinuta jako tzv. nativní aplikace Mobilní bezpečné platformy Policie ČR, tedy musí splňovat aktuální standardy pro vývoj mobilních aplikací MBP, zejména z pohledu UX a musí využívat služby platformy mobilního zařízení (např. transport dat, lokální úložiště, nastavení). (P17) Klientská část musí plnohodnotně zajišťovat proces kontroly osoby a dokladu prostřednictvím biometrických prvků zejména pak tyto jeho podprocesy: načtení základních alfanumerických informací z dokladu (MRZ, BAC, PACE), prostřednictvím strojově čitelné zóny dokladu, zabudovaného čipu nebo ručním zadáním, načtení biometrických informací z dokladu (fotografie držitele, otisk prstu držitele) pro všechny aktuálně a v minulosti vydávané emrtd doklady, sejmutí otisků prstů kontrolované osoby, pořízení fotografie kontrolované osoby dle normy ICAO, provedení ICAO check, kontrola načtených biometrických údajů z dokladu proti sejmutým a pořízeným biometrickým údajům kontrolované osoby, kontrola pravosti dokladu (MRZ check, kontrola exspirace, Pasivní autentizace, Aktivní autentizace, Čipová autentizace, Optická kontrola (pokud jí HW umožňuje), lustrace alfanumerických údajů kontrolované osoby a dokladu prostřednictvím dotazovací brány centrální části, lustrace alfanumerických a biometrických údajů (otisků prstů, fotografií obličeje) kontrolované osoby prostřednictvím dotazovací brány centrální části, uložení záznamu o kontrole osoby do informačního systému IS Kontrola 2, pořízení základní identifikační karty osoby (enroll) pro pozdější zpracování. (P18) Řešení musí využívat SSO, logování, audit a zabezpečené úložiště Mobilní bezpečné platformy Policie ČR. (P19) Zadavatel požaduje, aby součástí řešení pro platformu Android byly také veškeré doplňkové moduly pro kontrolu kvality načtených biometrických dat, porovnání otisků prstů, konverze formátů, atd. Pro platformu Windows předpokládá Zadavatel využití software, který je integrální součástí inspekční sady, viz dále. 4.2.1 Standardy pro načítání biometrických informací z elektronických dokladů (P20) Klientská aplikace musí poskytnout všechny funkce, které jsou nezbytné pro ověření a provedení všech bezpečnostních mechanismů pro ověření obsahu čipu, a řízení přístupu pro jeho vyčtení. V této souvislosti musí být implementovány všechny metody, jak jsou definovány v normách ICAO, EU a BSI. Uchazeč ve své nabídce uvede, které standardy, a v jaké míře jsou pro Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Strana: 13 z 40

uvedený produkt implementovány. Ve všech případech jsou požadovány poslední verze jako je např. BSI TR-03110-1, BSI TR-03129. (P21) Současně v rámci cestovních dokladů jsou aplikovány specifické výjimky u kódování dat konkrétních cestovních dokladů, které představují možné odchylky od uvedených standardů. Zadavatel požaduje, aby uchazeč prokázal kompetenci ve formě identifikace těchto výjimek. Řešení těchto výjimek musí být součástí primární dodávky knihovny (P22) Pro upřesnění zadavatel uvádí výčet následujících mechanismů řízení přístupu a ověření dat, které musí být na úrovni požadované knihovny implementovány: Pasivní autentizace (PA) Certificate Chain validation (CSCA, DS) Certificate Revocation List check Defect List check RSA with SHA-1, SHA-224 and SHA-256, SHA-384, SHA-512 RSA PSS, RSA PKCS#1 ECDSA with SHA-1, SHA-224 and SHA-256, SHA-384, SHA-512 Aktivní autentizace (AA) RSA ECDSA Basic Access Control (BAC) MRZ dva řádky, MRZ tři řádky pro doklady ve formátu ID1 Extended Access Control (EAC) verze 1.11 Chip Authentication (DH and ECDH) Terminal Authentication (RSA and ECDSA) Handling of CVCA-Link-Certificate for emrtd-trust-point update Extended Access Control (EAC) Version 2.0x Password Authenticated Connection Establishment (PACE v2, ICAO SAC) Terminal Authentication v2 (RSA and ECDSA) Chip Authentication v2 (DH and ECDH) Restricted Identification, Age Verification, Document Validity Check Pro dekódování dat uložených na čipu emrtd musí být podporován přístup pro následující datové skupiny: Data Group 1 (Machine Readable Zone) Data Group 2 (Facial Image) Data Group 3 (Fingerprint Image) Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Strana: 14 z 40

Data Group 4 (Iris Image) Data Group 5 (Displayed Portrait) Data Group 7 (Displayed Signature) Data Group 11 (Additional Personal Details) Data Group 12 (Additional Document Details) Data Group 14 (Security Infos for EAC) Data Group 15 (Active Authentication Info) 4.2.2 Hlavní scénáře použití pro klientskou část řešení (P23) Kontrola osoby s ověřením biometrických prvků v dokladu a databázích (v závislosti na situaci, použitém mobilním zařízení, mohou být některé kroky obsluhou vynechány). Proces musí být implementován jako tzv. nativní aplikace PMZ. Načtení dokladu nebo ruční zadání hodnot o Načtení a dekódování MRZ, Kontrola checksum MRZ, kontrola integrity dat (nepovolené znaky, očekávané délky položek, platné hodnoty např. datumů atd.) o Zobrazení načtených / zadaných dat uživateli včetně upozornění na exspirovaný doklad o Případné načtení snímku dokladu (pokud to koncové zařízení umožňuje) Načtení elektronické části dokladu o DG1, DG2 zobrazení fotografie uživateli, zobrazení varování v případě neshody MRZ optické a DG1, případně automaticky navržená oprava o DG3 uložení otisku/otisků do chráněné operační paměti pro zpracování, zobrazení výsledků načtení ve spolupráci s centrální části řešení o Kontrola pravosti dokladu (PA, AA, atd.), zobrazení výsledků kontroly Určení dalšího postupu procesu (občan EU, občan III. Země, vízová povinnost, atd., v závislosti na tom ovlivnění dalších kroků o Případně vyžádání načtení / zadání parametrů víza (vízový štítek) Načtení (capture) živých biometrických dat o Otisky (minimální možný počet prstů dostačující pro ztotožnění dle DG3, dle vízové povinnosti a dle požadavků ostatních systémů) o Fotografie kontrolované osoby Pro obojí: Automatické načtení (autocapture), vždy s kontrolou kvality pro další zpracování, v případě nedostatečné kvality nové pořízení (ICAO check, BMS-VIS QC požadavky, BMS-AFIS QC, atd.) o Možnost zahájit lustraci tímto krokem (bez předchozího načtení dokladu nebo zadání dat, tedy jen otisk a foto na vstupu) o Provedení kontroly shody otisků dokladu (DG3) a načtených (capture) Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Strana: 15 z 40

o Upozornění na předchozí výskyt kontroly nebo založení-enroll stejné osoby v rámci uživatelského sezení (podle alfanumerické nebo biometrické shody) Provedení agregované lustrace prostřednictvím Centrální části řešení (brány) o Ve všech relevantních systémech (viz. zadání pro Centrální část), včetně lustrace dokladu a víza o Přenášejí se veškeré alfanumerické i biometrické údaje, dotazovací brána centrální části rozhoduje o formě dotazů do jednotlivých návazných systémů o Grafická reprezentace výsledků lustrace (hitlist) s barevným odlišením závažnosti a původu hitu dle zvyklostí PČR, zobrazení náhledů fotografií o Zobrazení shody/neshody biometrických údajů (fotografie, otisků) s centrálními systémy i s dokladem vhodným způsobem o Vhodnou formou zobrazená upozornění na neshody, nebezpečí, varování, požadovaná opatření atd. o Kontrolní zobrazení zadaných kritérií lustrace (zadání dotazu) a sumáře výsledků na hitlistu vhodným způsobem (seznam oslovených systémů, chybové stavy, sumarizace odpovědí) Případné Doplnění biometrie (nová foto, nové otisky dle požadavků lustračních systémů) o Na zvláštní odpověď Centrální části (brány), může být požadováno doplnění biometrie (např. foto, nebo specifický otisk) Případná opakovaná lustrace s doplněnými biometrickými daty o Plně automatické bez další interakce uživatele o Uživatelsky přívětivým způsobem zobrazení následného hitlistu (sloučení původního a nového výsledku s vyznačením změn a upozornění, případně nových úkonů) o Jen ve vybraných systémech (vzhledem k relevanci nových biometrických dat) Doplňkové lustrace vztahující se k předmětu kontroly (vozidla, věci, předměty) o V případě kontroly vozidla, nebo věci, společně s osobou a dokladem je požadováno provedení lustrace cestou Centrální části řešení Uložení záznamu o kontrole do IS Kontrola 2 cestou Mobilní bezpečné platformy o Markanty pořízené při kontrole o Doplnění místa, času pomocí tříd PMZ (autorizovaná poloha vč. Časového razítka) o Datová věta dle standardů IS KO2 Uložení vybraných hodnot (určeno konfigurací konfigurační matice PMS) ze všech kroků do aplikačních logů PMZ Uložení vybraných dat (určeno konfigurací konfigurační matice PMS) do samostatných objektů PMZ pro přenos a následné zpracování v IS PČR Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Strana: 16 z 40

Možnost zahájení jiného procesu s převzetím načtených / zadaných / vrácených dat (např. založení karty neznámé osoby, atd.) přímo z formuláře (P24) Založení karty neznámé osoby - Enroll (proces musí být implementován formou tzv. dynamické aplikace PMZ, předpokládá se jeho rozšiřovaní a rozvoj pomocí vlastních kapacit PČR). Pro osoby bez dokladu, či záznamu centrálních systémech možnost pořízení karty identity Provedení daktyloskopování osoby (včetně kontroly kvality, automatické snímání) Pořízení snímků (fotografií) osoby (dle zadaných parametrů, např. foto obličeje ánfas, z profilu, atd. Zadání alfanumerických údajů udaných osobou (kompletní nacionále, případně další údaje), formulář je dynamický v technologii Získání podpisu osoby (dle možností HW) Automatické přiřazení místa pořízení (autorizovaná poloha PMZ vč. časového razítka) Prohledání historie v rámci uživatelské relace vyhledání otisku prstu na výskyt v minulé lustraci / založení enroll (zamezení daktyloskopování identických identit v rámci jednoho uživatelského sezení-relace) Přenos pořízené karty identity do centrálních systémů pro následné zpracování cestou PMZ (P25) Procházení historie operací po dobu uživatelské relace (session) Pro všechny operace (lustrace, enroll) musí být v jednoduché, uživatelsky přívětivé formě k dispozici plná historie všech operací provedených uživatelem a výsledků z centrálního systému: Seznam zpracovaných identit (osob, dokladů, ostatních subjektů) a to jak kontrolovaných, tak zakládaných (enroll), možnost třídění, vyhledávání Detail konkrétní operace včetně všech údajů (vstupní data, výsledky dotazů, fotografií, místa a dalších údajů) s výjimkou otisku prstu, otisk prstu není povoleno zobrazovat Zobrazení operací na mapě PMZ jako speciálních vrstev (vrstva lustrací, vrstva enroll) včetně prokliku na detail s využitím funkcí PMZ (heatmap, agregace, atd.) (P26) Kromě výše uvedených scénářů použití musí aplikace implementovat také veškeré pomocné procesy obvyklé u obdobných řešení. (P27) Zadavatel požaduje podrobný návrh screenflow a jednotlivých obrazovek v nabídce Uchazeče pro všechny popsané procesy. 4.3 Pilotní soupravy pro provoz klientské části (kity) Poptávají se plně funkční komplety v provedení : Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Strana: 17 z 40

Mobilní inspekční terminál "do ruky" se čtečkou otisků prstů (1 prst), MRZ, RFID, kontaktních smartcard, kamera, čtečka 2D kódu na bázi OS Google Android, rozšířená kapacita baterie, odolnost proti pádu, odolnost proti povětrnostním podmínkám, kit musí umožňovat kontinuální práci na baterii po dobu alespoň 10 hodin. Komplexní mobilní inspekční sada = Souprava notebook a periferie v jediném uceleném obalu (kufr) se čtečkou otisků prstů (plnoformátová), dokladů (plnoformátová) se SW na optickou expertní kontrolu pravosti dokladu včetně RFID, kamera/fotoaparát, baterie, napájecí adaptér na 12V a 230V, kit musí umožnovat práci na baterii alespoň po dobu 4 hodin bez externího napájení. Na pilotních soupravách je vyžadována plná podpora běhu klientské části řešení s nativním využitím všech periferií. 4.4 Provoz na stávajících zařízeních Mobilní bezpečné platformy PČR Policie ČR má aktuálně nasazeno v přímém výkonu služby cca 5000 chytrých telefonů Samsung Galaxy S5. (P28) Podmínkou implementace projektu je podpora běhu inspekčního systému i na těchto přístrojích s využitím minimálně funkcí: čtení MRZ zabudovanou kamerou přístroje (nutná implementace OCR v rámci projektu Inspekčního a kontrolního systému), čtení RFID čipu a provedení základních kontrol pravosti, PACEv2, BAC, atd. prostřednictvím zabudované NFC čtečky, porovnání obličeje proti načteným údajům z dokladu a lustrace prostřednictvím centrální části řešení, kontrola pravosti dokladu (MRZ check, kontrola exspirace, Pasivní autentizace, Aktivní autentizace). Uchazeč v nabídce podrobně popíše přístup k řešení na stávajících zařízeních Mobilní bezpečné platformy. 4.5 Dokumentace (P29) Součástí projektu musí být komplexní soubor dokumentace, obsahující zejména: uživatelskou dokumentaci administrátorskou dokumentaci ucelený soubor technické dokumentace provozní příručky bezpečnostní dokumentaci (bezpečnostní projekt, dokumentace požadovaná NKA a další) Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Strana: 18 z 40

4.6 Certifikace autorizovaného ISY (P30) Součástí dodávky musí být taková dokumentace a podpora dodavatele, která zajistí hladké začlenění Inspekčního a kontrolního systému do infrastruktury NKA a naplnění všech bezpečnostních politik NKA, včetně provedení vlastní certifikace ISY pro práci v NKA. Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Strana: 19 z 40

5 Dodávka infrastruktury Tato kapitola zadávací dokumentace definuje požadavky na dodávky IT infrastruktury nezbytné pro zajištění provozu celého systému, včetně dodávky pilotních kontrolních souprav. 5.1 Infrastruktura pro centrální systém (P31) Zadavatel požaduje realizovat dodávku infrastruktury pro centrální systém formou rozšíření stávající infrastruktury Zadavatele. Serverové komponenty nového řešení budou umístěny ve dvou datových centrech Zadavatele v lokalitách Strojnická a Bubenečská. 5.1.1 Infrastruktura pro subsystém Jádro ISY (P32) Výkonná část bude umístěna na virtuálním stroji na infrastruktuře Zadavatele. Fyzický HW se pro tuto část nepožaduje. (P33) Součástí dodávky bude rovněž síťový HSM modul (celkem dva moduly), kde pro každou instanci bude dodána jeden kus. (P34) Vybraný síťový HSM modul musí naplnit požadavky, které definuje CCP NKA jež vynucuje pro správu kryptografických klíčů (generování klíčů, jejich uložení a použití) v certifikačních orgánech, tj. CVCA a DVCA nebo Inspekčních systémech využívat bezpečné zařízení, které splňuje některý z těchto požadavků: Certifikaci FIPS PUB 140-1 (140-2) level 3 nebo vyšší; PP-SSCD (CEN/TC 224: pren 14169-1:2009 - Protection profiles for Secure signature creation device Part 2: Device with key generation); BSI-PP-0045-2009: Cryptographic Modules Security Level "Enhanced" Version 1.01. 5.1.2 Infrastruktura pro subsystém Dotazovací brána (P35) Pro výkonnou část dotazovací brány předpokládá Zadavatel dodávku 2 kusů serveru v provedení RACK. Servery musí plnit minimálně tyto parametry. Počet: 2 Požadavky na CPU (dle testů SPEC CPU2016) SPECint_2006: min 70 SPECfp_2006: min 126 SPECint_rate2006: min 925 SPECfp_rate2006: min 725 Provedení: do stávající infrastruktury blade šasi HP c7000 CPU: min. počet 2 Pamět: 64 GB RAM DDR4 min. 2133 MT/s Interní úložiště: min. 2x 800GB SSD (Mixed Use) Řadič: HW RAID 0,1; Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Strana: 20 z 40

Síťový adapter: 2 x 10 Gb/s TCP/IP OffloadEngine; každý s možností rozdělení na úrovni HW až na 4 virtuální adaptéry FC rozhraní: Dvouportový FibreChannel 16Gb adaptér, SW pro redundantní připojení serveru s MS Windows 2008/2003 k diskovému poli Vzdálená správě: pomocí LAN (grafická konzole i bez nainstalovaných OS, možnost vypnout napájení, reset systému, klávesnice, myš, 128bitové šifrování, monitorování stavu HW bez nainstalovaných OS SW pro vzdálenou správu musí umožňovat: centralizovanou vzdálenou správu HW a shromažďování informací o konfiguraci a stavu jednotlivých HW komponent serverů (včetně ukládání těchto informací do databáze k dalšímu využití), detekci a zasílání zpráv (minimálně pomocí protokolu SNMP o chybových stavech Kompatibilita: Microsoft Windows 2003/2008/2012 (32b, 64b), RedHat EL4, SuSe Linux, VMware ESX 5.x OS: Včetně OS Windows Server 2012R2 Standard ed. Další SW: 2x Microsoft SQL Server 2014 (per server) Instalace: HW instalace, kompletní zprovoznění a oživení Záruka: min. 3 roky na všechny komponenty s odezvou 4h v místě plnění, pokrytí 24 x 7;uchazeč nepožaduje vrácení vadných HDD 5.1.3 Software (P36) Požaduje se dodání: 4x Licence operačního systému Windows Server 2012 R2 Standard pro: 2x virtuální server na infrastruktuře Zadavatele pro výkonné jádro ISY (TCC) 2x fyzický server na infrastruktuře Zadavatele pro výkonné jádro Dotazovací brány Dále Zadavatel požaduje dodání: Licenci databázového stroje pro server dotazovací brány Microsoft SQL Server 2014. Předpokládá se, že servery jsou propojeny v tzv. Failover clusteru s tím, že jeden ze serverů v základním uspořádání hostuje službu SQL serveru a druhý je aplikačním serverem. 5.2 Infrastruktura pro mobilní klienty (pilotní soupravy) 5.2.1 Mobilní inspekční terminál (odolný) Zadavatel požaduje dodat 5 ks mobilního odolného inspekčního terminálu na platformě Google Android. (P37) Mobilní inspekční terminál musí mít tyto parametry: Kategorie Požadováno Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Strana: 21 z 40

Čtení dokladů OCR čtečka MRZ dle ICAO standardů (ICAO Document 9303) v provedení swipe s HW dekódováním (OCR pomocí zabudované nebo doplňkové kamery se vylučuje), čtečka čipů RFID dle ISO 14443 Type A & B pro ICAO kompatibilní e- Pasy a e-id, čtečka čipových kontaktních karet - smartcard - vyhovující ISO 7816 T0/T1. 2D imager pro rychlé čtení čárových kódů Čtení otisků prstů Bezdrátová komunikace GPS, kamera Procesor, paměť Klávesnice, displej Napájení, dobíjení SW vybavení Příslušenství Parametry odolnosti Rozměry Integrovaná čtečka otisků prstů s rozlišením min. 500 dpi a 8bit/pixel, vyhovující standardu FIPS-201, certifikace FBI FAPXX (MobileID) Bluetooth 4.0, volitelně WiFi 802.11 a/b/g/n nebo 4G/LTE (GPRS-EDGE, HSPA+, LTE) GPS přijímač pro satelitní určování polohy (včetně A-GPS, GLONASS) Kamera min. 8MPix CPU min. 1,5GHz dual-core, RAM min. 1GB, FlashROM min. 8GB, paměťové karty SDHC min. 32GB Min. 4,5 barevný multi-dotykový podsvícený displej, rozlišení min. 720 x 1280, ovládání tužkou i prsty, výborná čitelnost i na denním světle Klávesnice softwarová (na displeji) Baterie se zvýšenou kapacitou min. 3400 mah, výdrž alespoň 10 hod provozu Dobíjení přes USB nebo komunikační a dobíjecí kolébka (Docking Station) operační systém min. Google Android 4.4.3 s možností kioskového módu Dobíjecí a komunikační stanice (USB nebo Ethernet), alternativně možnost dobíjení ve vozidle ( cigaretový konektor) páska na ruku (strap) Pracovní teplota -20 až +60 o C Odolnost proti vodě, prachu: IP65 Odolnost proti pádu: opakovaný pád z výšky min. 1,5m (dle standardu MIL-STD 810G) Max. hmotnost 500g Max. výška x šířka x hloubka: 220 mm x 90 mm x 40 mm Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Strana: 22 z 40

(P38) Součástí dodávky musí být všechny nezbytné licence SDK pro obsluhu jednotlivých periférií a rovněž licence operačního systému. (P39) Zadavatel požaduje od Uchazeče garanci kontinuity výroby a ceny Mobilního inspekčního terminálu po dobu minimálně 2 let od podpisu smlouvy. 5.2.2 Komplexní mobilní inspekční sada na platformě Windows PC (P40) Zadavatel požaduje dodat 5 sad komplexních mobilních inspekčních sad na platformě PC. (P41) Komplexní mobilní inspekční sada (dále jako KMIS) je postavena na centrální jednotce ve formě notebooku na platformě PC s připojenými perifériemi (čtečka otisku prstu, biometrická kamera, celostránková čtečka dokladů, podpisový pad a externí battery pack), které slouží k verifikaci držitelů cestovních a osobních dokladů. Uvedené periférie musí umožňovat plnou funkcionalitu, která je dostupná na úrovni stacionárních inspekčních pracovišť ve všech scénářích kontroly a ověření osobního / cestovního dokladu. Mobilita daného řešení je dána možností snadného transportu v odolném zavazadle, kde všechna níže popsaná zařízení je možné napájet ze sítě NN, nebo lze připojit externí nezávislou napájecí jednotku, která zajistí provoz na alespoň 4 hodiny nezávislý na síti NN. Všechny níž popsané komponenty jsou povinné a musí být dodány v každé sadě. Jejich vlastnosti musí naplnit účel užití, nebo specifické vlastnosti uvedené níže v této kapitole. Notebook je možné během práce na cílovém pracovišti vyjmout a umístit např. na stole. Nicméně k tomuto účelu musí být uzpůsobena kabeláž připojení všech periférií. (P42) Další všeobecné požadované vlastnosti dodaného řešení jsou: - Max. hmotnost bez externího zdroje 12.5 kg, - Odolnost proti vlhkosti a prachu IP67 v případě uzavřeného transportního boxu, - Max. rozměry 476 x 420 x 220 mm Vlastní pracoviště bude realizovat mimo jiné scénáře užití uvedené v kapitole 4.2 - Klientská část. (P42) Součástí standardního notebooku (PC) musí být biometrický framework řídící jednotlivé HW a SW komponenty pro pořízení, ohodnocení, dekódování a kódování biometrických dat. (P43) Řešení musí být dodáno se základní licencí biometrického software (ovladače + SDK), který minimálně umožňuje: - pořídit aktuální biometrický obraz otisku prstu nebo obličeje a to formou: - auto enroll automatické nabrání včetně aplikace algoritmu pro ověření kvality, - manuální pořízení obraz bude pořízen manuálně na základě rozhodnutí operátora. - pro otisky prstů platí podmínka možnosti snímání formou jednoho otisku prstu a pomocí procesu 442p (levá ruka, pravá ruka a palce). Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Strana: 23 z 40

- během pořízení musí být zhodnocena kvalita snímaného otisku prstu nebo obličeje. - po pořízení biometrických dat, musí být systém schopný zrealizovat porovnání těchto dat vůči datům vyčteným z DG2 nebo DG3 čipu elektronického cestovního dokladu. (P44) Veškeré dodané biometrické prostředky musí kompatibilní se specifikací ISO/IEC 19784-1 BioAPI, nebo také jako BioAPI 2.0. Vlastnosti čtečky cestovních dokladů Nedílnou součástí dodaného řešení KMIS je celostránková čtečka cestovního a osobního dokladu. Součástí dodaného řešení musí být expertní systém (OES expertní optický systém) pro analýzu optických bezpečnostních prvků včetně referenční databáze. (P45) Analýza optických bezpečnostních prvků musí probíhat nad snímkem datové stránky cestovního dokladu v: 1) normálně viditelném spektru světla - VIS; 2) infračerveném spektru světla - IR; 3) ultrafialovém spektru světla - UV. (P46) Minimální konfigurace celostránkové čtečky integrované v KMIS je definována jako: 1) Rozměry snímací plochy: pro doklady konformní v souladu se specifikací ICAO 9303 - ve formátu ID1, ID2 a ID3., antireflexní úprava snímací plochy (např. anti-glare), min 120X85 mm, odolná proti poškrábání 2) Rozlišení: min 400 dpi 3) Hloubka barev:true-color 24 bit 4) Maximální rozměry čtečky: délka (L) max. 20 cm, šířka (W) max. 20 cm, výška (H) max. 20 cm (se započítám ochranného štítu čtečky) 5) Velikost obrazu min 2000x1500 6) Typy světel: viditelné světlo VIS, IR, UV-A (365) 7) Indikace stavu: viditelné potvrzení 8) Komunikace s PC: USB 2.0 9) Optická kontrola dokladu 10) Automatická detekce dokumentu 11) Elektronická kontrola dokladu RFID přes PC/SC rozhraní 12) Váha čtečky: max. 2 kg 13) Doba inicializace čtečky pro čtení MRZ do 1 sec (P47) Možnosti čtení: 1) Dekódování strojově čitelné zóny dokladů vydaných dle normy ISO/IEC 7501-1 a ICAO 9303 (ID-1, ID 2, ID 3) 2) Dekódování čárových kódů (1D, 2D) vytištěných na papíře nebo zobrazené na displeji mobilního telefonu Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Strana: 24 z 40

3) RFID doklady dle normy ISO 14443 (typ A a B), ISO 7818, ICAO 9303, PKI 1.1 4) Čtení ostatních typů cestovních dokladů, které nejsou vydány striktně dle ICAO standardů (OCR rozpoznání) 5) Vlastní proces inspekce elektronické části dokladu (bezpečnostní algoritmy BAC, PACE (SAC), EAC bude probíhat mezi dedikovaným TCC (centrální inspekční systém podle specifikace BSI TR-03129) a kontrolovaným dokladem. Proto dodaná čtečka musí podporovat komunikaci na úrovni PC/SC ovladače (APDU příkazy) pro všechny uvedené aplikační protokoly 6) Detekce čipu v jakékoliv části dokladu 7) Výřez fotografie držitele dokladu z data page (stránka s osobními údaji) S ohledem na scénář užití celostránkové čtečky dokladů požaduje zadavatel certifikaci zařízení podle testovací specifikace BSI TR-03105, část 5.1., která bude doložena konkrétním certifikátem. Požadované vlastnosti na Optický Expertní Systém - OES (P48) Optický Expertní Systém je součástí dodávky souboru celostránkových čteček cestovních dokladů a osobních dokladů. Zadavatel očekává následující minimální vlastnosti na jeho funkcionalitu: 1) Minimální počet podporovaných dokladů: 2000 2) Minimální počet zemí 180 3) Podpora všech aktuálních cestovních dokladů všech zemí Evropy 4) Podpora těchto typů dokladů a. cestovní doklady (CP, SP, DP, cizinecké pasy, uprchlické pasy, námořní knížky, CMC certifikáty, vojenské ID) b. pobytová povolení zemí schengenského prostoru c. vízum zemí schengenského prostoru 5) Ověření optických prvků a zabezpečení ve viditelném spektru VIS, UV, IR a. Luminiscence materiálu dokladu v UV b. Ověření personalizovaných dat vůči datům uvedeným v MRZ c. Ověření zabezpečení/viditelnost jistících prvků v IR 6) Ověření bezpečnostních prvků do 5 sec 7) Ověření kontrolního součtu v MRZ, druh tisku MRZ (IR B900 ink) 8) Ověření správnosti tisku MRZ dle standardu ICAO DOC 9303 9) Kontrola/Zobrazení neviditelných osobních informací (IPI) 10) Ověření, kontrola hologramů/kinegramů, OVI 11) Ověření ochranných prvků ochranné fólie (např. 3M folie) Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Strana: 25 z 40

Vlastnosti čtečky otisků prstu (P49) Čtečka musí být podporovány minimálně tím OS, který bude dodán v rámci přenosného pracoviště. (P50) Čtečka musí podporovat snímání 442p a má následující parametry: 1) Komunikace s PC:USB 2.0 2) Snímání otisku prstů v rozlišení min 500ppi 3) Vysoká rychlost snímání (min 15 fps) 4) Ochrana proti vodě a prachu 5) Čtečka musí být podporována minimálně tím OS, který bude dodán na testovací ISY Funkce snímání otisků Auto capture, FlexFlats, FlexRolls (P51) Zadavatel požaduje od Uchazeče garanci kontinuity výroby a ceny KMIS po dobu minimálně 2 let od podpisu smlouvy. Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Strana: 26 z 40

6 Další požadavky pro předmět plnění 6.1 Záruka (P52) Zadavatel požaduje komplexní záruku na všechny dodané soubory po dobu min 24 měsíců od doby uvedení systému do provozu (mimo HW pro dotazovací bránu kde je požadavek 36 měsíců). Dnem uvedením systému do provozu je myšleno jeho protokolární předání (akceptace) po odstranění všech vad a nedodělků. 6.2 Pojištění (P53) Součástí ceny dodávky je zajištění pojištění majetku realizované dodávky proti škodám způsobeným požárem, krádeží a dalšími obvyklými druhy pojistného nebezpečí 1 od doby dodání - akceptace do 30. dubna 2017. 6.3 Informační povinnost a publicita (P54) Po dodavateli se požaduje, poskytnout nezbytnou informační podporu a součinnost zadavateli při realizaci ostatních aktivit za účelem realizace publicity tohoto projektu (např. tvorba instruktážního filmu, letáků, tiskové konference), tvorby monitorovacích zpráv nebo ověření realizace na místě. Všechny dokumenty a výstupy, které budou v rámci projektu realizovány musí splňovat podmínky stanovené v Nařízení - Annex IV. Information and Publicity Requirements,Communication and Design Manual), které jsou dostupné na webových stránkách www.eeagrants.com, www.norwaygrants.com. 6.4 Požadavky na testování (P55) Po dodavateli se požaduje, poskytnout následující plnění (příprava testovacích scénářů a jejich výsledné vykonání): Testovací scénáře - Pro potřeby provedení funkčních testů v rámci akceptace dodávaného řešení připraví dodavatel testovací plán a sadu testovacích scénářů vážících k požadovaným funkcionalitám díla. Provedení testů v rámci akceptace bude na základě připravených scénářů realizovat zadavatel, či jím pověřená třetí strana. Případné chyby nalezené při testování je dodavatel povinen na své náklady odstranit. Bezpečnostní testy - Dodavatel navrhne a provede odpovídající bezpečnostní testy (penetrační testy, testy zabezpečení uživatelského rozhraní, testy ochrany údajů, testy havarijních scénářů). Pokud budou na základě testů identifikována bezpečnostní rizika v důsledku plnění dodavatele je tento povinen je na své náklady eliminovat. 1 Škoda na majetku je dle zákona o pojišťovnictví č. 277/2009 Sb., přílohy č. 1 bod 8 a 9) způsobena požárem, výbuchem, vichřicí, přírodními živly jinými než vichřicí (např. blesk, povodně, záplavy, krupobití, mráz), jadernou energií, sesuvem nebo poklesem půdy, jinými příčinami (např. loupeží, krádeží nebo škody způsobené lesní zvěří). Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Strana: 27 z 40

Testovací skripty pro vybrané testovací scénáře (kde je automatizace vhodná) připraví dodavatel automatizovaný skript, který umožní opakované, automatické provádění testů. Pokud za tímto účelem dodavatel použije komerční produkt, bude licence dostatečná k provedení testů dostupná po dobu implementace a testování díla. Výkonnostní testy - dodavatel navrhne a provede odpovídající výkonnostní (zátěžové) testy. Pokud bude na základě testů identifikováno chování systémů přinášející výkonnostní rizika v důsledku plnění dodavatele nebo neplnění požadované doby odezvy, je tento povinen je na své náklady eliminovat. 6.5 Požadavky na nasazení (P56) Po dodavateli se požaduje, poskytnout následující plnění: Plán nasazení - Dodavatel zpracuje a následně zrealizuje plán nasazení. Ten zahrnuje plán nasazení infrastruktury, plán nasazení vlastní aplikace, plán nasazení změn MBP a dalších systémech PČR. Plán zahrnuje výčet a popis aktivit prováděných v rámci nasazení, stanovení potřebné součinnosti zadavatele a časový harmonogram aktivit. 6.6 Požadavky na školení (P57) Po dodavateli se požaduje, poskytnout následující plnění: Rozsah školení Dodavatel zajistí proškolení: o 4 osob v rozsahu cca 8 hodin, se zaměřením na dodané služby, o 4 osob v rozsahu cca 8 hodin, se zaměřením na správu serverové části, o 20 osob na využití pilotní soupravy. Podklady pro školení - Dodavatel vytvoří podklady pro školení uživatelů ve formě prezentace školených vlastností a funkcionalit systému. Zároveň připraví základní výuková videa pro užití pilotní sady. Forma školení - Zadavatel požaduje proškolení uživatelů prezenčním školením. 6.7 Požadavky na prostředí (P58) Po dodavateli se požaduje, poskytnout následující plnění: Instalace produkčního prostředí - produkční prostředí bude nasazeno v obou lokalitách. Instalace testovacího, školícího prostředí funkcionalita bude v omezeném rozsahu instalována i do školícího a testovacího prostředí Zálohování a obnova - systém bude umožňovat zálohování a obnovu všech svých komponent. 6.8 Požadavky na projektové řízení (P59) Po dodavateli se požaduje, poskytnout následující plnění: Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Strana: 28 z 40

Komunikace - Komunikace je důležitým prvkem při řízení projektu. V průběhu projektu je potřeba dodržovat pravidla jejího zajištění - jak formální komunikace, tak neformální, a to na všech úrovních řízení projektu. Pravidla komunikace musí být ze začátku projetu stanovena a odsouhlasena. Musí být stanovena komunikační rozhraní, respektive role, které budou zajišťovat komunikaci mezi Zadavatelem a Dodavatelem na daných úrovních hierarchie rolí. Organizační struktura projektu - Organizační struktura pro řízení projektu bude tříúrovňová. o Na nejvyšším místě v hierarchii organizační struktury bude Řídící výbor, který bude nejvyšším článkem projektové organizační struktury. Programový výbor je zodpovědný za strategická rozhodování v rámci projektu a slouží jako nejvyšší eskalační stupeň. Řídící výbor se skládá ze sponzora projektu, odpovědné osoby za stranu Zadavatele a odpovědné osoby za stranu Dodavatele. o Další úrovní v hierarchii organizační struktury projektu je projektové vedení, které se skládá jak ze zástupců Zhotovitele, tak ze zástupců Dodavatele. Projektové vedení musí zahrnovat Vedoucího projektu Zadavatele, garanta architektury Zadavatele a jejich protistran, Vedoucího projektu Dodavatele a Architekta dodávaného řešení. Další role v projektovém vedení zahrnují projektovou kancelář a správce metodiky. Projektové vedení je odpovědné Řídícímu výboru. o Na nejnižší úrovni hierarchie projektu je realizační tým projektu, který má na starost řešení dílčích oblastí dodávky řešení, skládající se z týmu analytiků, programátorů, testerů, technické podpory. Realizační týmy budou mít definovány vždy vedoucího týmu a budou podléhat řízení ze strany projektového vedení. o Organizační struktura projektu bude graficky znázorněna. Vymezení kompetencí a odpovědností jednotlivých úrovní hierarchie organizační struktury projektu budou popsány a jasně vymezeny. o Konkrétně popsány a vymezeny odpovědnosti a kompetence budou také pro všechny role v rámci definované organizační struktury. Vždy budou také obsahovat vymezení, zda se jedná o roli obsazovanou ze zástupců Dodavatele nebo Zhotovitele. o Při stanovování rolí a organizační struktury bude bráno na zřetel, aby byla zajištěna zastupitelnost v rámci týmu a aby jednotlivé role měly definované protějšky na druhé smluvní straně (Dodavatel X Zadavatel). Projektové role - V rámci organizační struktury budou definovány jednotlivé projektové role, které budou mít jasně vymezené místo v organizační struktuře. Na úrovni projektového vedení budou definovány dvě hlavní projektové role na straně Dodavatele - Projektový vedoucí a architekt řešení. Pro potřeby dodávky řešení zajistí uchazeč obsazení těchto rolí. Obě role nemohou být vykonávány toutéž osobou. Pravidelná jednání - Pro zajištění správného vývoje projektu a zajištění kontroly budou pořádána pravidelná jednání, na různých úrovních hierarchie. Vybudování mobilního biometrického inspekčního systému a dodávka kontrolních zařízení Strana: 29 z 40

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář