| Dokumendiregister | Tervise- ja heaolu infosüsteemide keskus |
| Viit | 3-9/3179-36 |
| Registreeritud | 06.11.2023 |
| Sünkroonitud | 13.06.2024 |
| Liik | Riigihankeleping |
| Funktsioon | 3 Finantsarvestus ja asutuse varade haldus |
| Sari | 3-9 Riigihankelepingud |
| Toimik | 3-9/2022 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Bret Rand (TEHIK, E-teenuste juhtimise osakond, Testimise juhi vastutusvaldkond) |
| Originaal | Ava uues aknas |
1
HANKELEPING nr 3-9/3179-36
Tervise ja Heaolu Infosüsteemide Keskus (edaspidi tellija), registrikood 70009770, aadress
Pärnu mnt 132, 1317 Tallinn, keda esindab põhimääruse alusel direktor Margus Arm
ja
Clarified Security OÜ (edaspidi täitja), registrikood 12164540, asukoht Lõõtsa 12, 11415,
Tallinn, keda esindab seaduse ja põhikirja alusel juhatuse esimees Mehis Hakkaja, edaspidi ka
pool või pooled, sõlmisid käesoleva hankelepingu (edaspidi leping) alljärgnevas:
1 Lepingu sõlmimise alus ja ese
1.1 Leping sõlmitakse riigihangete seaduse § 30 alusel, lähtudes täitjaga sõlmitud
raamlepingust nr 4.2-3/2266-1.
1.2 Tööde detailsem kirjeldus on toodud lepingu lisas 1 „Teenuse kirjeldus“.
1.3 Lepingu lahutamatuteks osadeks on tellija „Infosüsteemide turvalisuse testimine II“
(viitenumber 246996) riigihanke alusdokumendid, tellija tellimus, täitja pakkumus ning
arvestades antud lepingus kokkulepitud erisused.
1.4 Kõik lepingu muudatused sõlmitakse lepingu lisadena, mis jõustuvad pärast nende
allkirjastamist mõlema poole poolt või poolte määratud tähtajal.
2 Lepingu maksumus ja maksetingimused
2.1 Lepingu kogumaksumus on 30 000 (kolmkümmend tuhat) eurot, millele lisandub
käibemaks (edaspidi lepingu maksumus). Lepingu maksumus sisaldab kõiki lepingu
täitmiseks vajalikke kulusid.1
2.1.1 Ühe töötunni maksumus on 120 (ükssada kakskümmend) eurot, millele lisandub
käibemaks.
2.2 Lepingut rahastatakse teenusest ITT80-TJT Tervisejuhtimise töölaud.
2.3 Tööd antakse üle kahes etapis vastavalt Lisa 1 – Tehnilises kirjeldusele punktile 4.5.
3 Lepingu kehtivus ja lõpetamine
3.1 Leping jõustub hetkel, mil pooled on lepingu allkirjastanud ning kehtib 31.01.2024.
3.2 Tellija võib lepingu 10 (kümne) kalendripäevase etteteatamistähtajaga olenemata põhjusest
üles öelda ning sellisel juhul on täitjal õigus nõuda tasu vaid lepingu ülesütlemise hetkeks
faktiliselt tehtud tööde eest.
3.3 Täitjal on õigus lõpetada leping ennetähtaegselt, teatades sellest tellijale kirjalikult ette
vähemalt 2 (kaks) nädalat, kui tellija keeldub nõuetekohaselt valmistatud tööde eest tasu
maksmisest.
3.4 Ülaltoodud alustel lepingu ennetähtaegsel lõpetamisel on täitjal õigus tellijalt sisse nõuda
tasu lepingu lõpetamise hetkeks faktiliselt tehtud tööde eest.
4 Kontaktisikud
4.1 Tellija kontaktisik on Bret Rand (tel: 53 004 411, e-post: [email protected]);
4.2 Täitja kontaktisik on Mehis Hakkaja (tel: 603 6644, e-post: [email protected]).
1Punktid 2.1 – 2.3 täpsustatakse tellimuse käigus.
2
5 Lõppsätted
5.1 Kõik lepingu muudatused sõlmitakse lepingu lisadena, mis jõustuvad pärast nende
allkirjastamist mõlema poole poolt.
5.2 Käesoleva lepingu täitmisel tekkivad vaidlused ja lahkarvamused lahendavad pooled
läbirääkimiste teel. Kokkuleppe mittesaavutamisel lahendatakse vaidlused Harju
Maakohtus.
5.3 Leping on allkirjastatud digitaalselt.
6 Lisad
6.1 Käesoleva lepingu lahutamatuteks lisadeks on :
6.1.1 Lisa 1 – Tehniline kirjeldus.
3
Lisa 1
TEENUSE KIRJELDUS
Hanke eesmärgiks on tellija poolt tellitavate, olemasolevate ja valitud infosüsteemide turvalisuse
testimine OWASP (Open Web Application Security Project) ASVS (Application Security
Verification Standard) versioon 3.0.1 (või juhul kui sõlmitava raamlepingu kehtivuse perioodil
peaks eksisteerima uuem versioon, siis uuemale) tasemetele 2 ja 3 vastavate turvatestide
teostamine.
Turvatestimise käigus tuleb metoodiliselt testida ja hinnata kõiki potentsiaalseid turvavigu
(sealhulgas OWASP Top Ten) ning need tuleb testiraportis detailselt välja tuua koos võimalike
lahenduste ja soovitustega, st leitud vigade puhul välja tuua võimalikud ohustsenaariumid.
Testimisel tuleb kontrollida, et testitavate infosüsteemide võimalike haavatavuste kaudu ei oleks
võimalik juurde pääseda andmetele, mis asuvad väljaspool testitava rakenduse funktsionaalsust.
Testimine hõlmab ka kasutajate horisontaalset ja vertikaalset õiguste ületamise turvatestimist.
Kõik testimised ja lähtekoodi kontrollid tuleb teostada ka käsitsi, sest testitavad süsteemid ei
pruugi automaatsete vahenditega testimisel tõepäraseid tulemusi anda. Testimise lõppedes
edastab täitja testitavate toodete/lahenduste testiraportid, krüpteerituna tellijale.
Turvatestimised viiakse läbi arendus- või testkeskkondades, kui ei ole kokku lepitud teisiti.
Vajadusel luuakse tellija ja testija süsteemide vahele turvatud kanal infosüsteemidele
ligipääsemiseks.
Testimise läbiviimiseks peab täitja esitama tellijale IP aadressid, millelt hakatakse turvateste läbi
viima. Tellija avab ligipääsu vastavatelt IP aadressidelt testitavatele süsteemidele. Vajadusel teeb
tellija ka vajalikud testkasutajad.
Lõppraport tuleb vormistada vastavalt OWASP ASVS reeglitele.
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Leping | 22.10.2024 | 3 | 3-9/3179-51 | Riigihankeleping | tehik | |
| Leping | 10.06.2024 | 3 | 3-9/3179-47 | Riigihankeleping | tehik | |
| Leping | 22.05.2024 | 22 | 3-9/3179-46 | Riigihankeleping | tehik | |
| Leping | 13.10.2023 | 244 | 3-9/3179-34 🔒 | Muu leping | tehik | |
| Leping | 10.08.2023 | 308 | 3-9/3179-30 | Tellimuskiri | tehik | |
| Leping | 30.06.2023 | 349 | 3-9/3179-27 | Riigihankeleping | tehik | |
| Leping | 30.06.2023 | 349 | 3-9/3179-28 | Riigihankeleping | tehik | |
| Leping | 29.06.2023 | 350 | 3-9/3179-25 | Tellimuskiri | tehik | |
| Leping | 29.06.2023 | 350 | 3-9/3179-26 | Tellimuskiri | tehik | |
| Leping | 01.06.2023 | 378 | 3-9/3179-24 | Tellimuskiri | tehik | |
| Leping | 22.05.2023 | 388 | 3-9/3179-23 | Tellimuskiri | tehik | |
| Leping | 12.05.2023 | 398 | 3-9/3179-22 | Tellimuskiri | tehik | |
| TEHIK pakkumine INNA turvatestimiseks | 19.04.2023 | 421 | 3-9/3179-21 | Tellimuskiri | tehik | |
| Leping | 15.02.2023 | 484 | 3-9/3179-20 | Riigihankeleping | tehik | |
| Leping | 10.02.2023 | 489 | 3-9/3179-18 | Tellimuskiri | tehik | |
| Leping | 10.02.2023 | 489 | 3-9/3179-19 | Tellimuskiri | tehik | |
| Leping | 02.02.2023 | 497 | 3-9/3179-17 | Tellimuskiri | tehik | |
| Leping | 31.01.2023 | 499 | 3-9/3179-16 | Riigihankeleping | tehik | |
| Leping | 18.01.2023 | 512 | 3-9/3179-15 | Tellimuskiri | tehik | |
| Leping | 28.11.2022 | 563 | 3-9/3179-12 | Tellimuskiri | tehik | |
| Leping | 28.11.2022 | 563 | 3-9/3179-13 | Riigihankeleping | tehik | |
| Leping | 28.11.2022 | 563 | 3-9/3179-14 | Riigihankeleping | tehik | |
| Leping | 21.11.2022 | 570 | 3-9/3179-10 | Muu leping | tehik | |
| Leping | 21.11.2022 | 570 | 3-9/3179-11 | Muu leping | tehik | |
| Leping | 27.10.2022 | 595 | 3-9/3179-9 | Tellimuskiri | tehik | |
| Leping | 19.10.2022 | 603 | 3-9/3179-8 | Tellimuskiri | tehik | |
| Leping | 18.10.2022 | 604 | 3-9/3179-7 | Tellimuskiri | tehik | |
| Leping | 05.10.2022 | 617 | 3-9/3179-6 | Tellimuskiri | tehik | |
| Leping | 23.09.2022 | 629 | 3-9/3179-5 | Muu leping | tehik | |
| Leping | 19.09.2022 | 633 | 3-9/3179-4 | Tellimuskiri | tehik | |
| Leping | 07.09.2022 | 645 | 3-9/3179-3 | Tellimuskiri | tehik | |
| Leping | 10.08.2022 | 673 | 3-9/3179-2 | Tellimuskiri | tehik | |
| Leping | 21.06.2022 | 723 | 3-9/3179-1 🔒 | Riigihankeleping | tehik |