Förfrågningsunderlag; Upphandling av tjänster för kodgranskning och säkerhetsutvärdering

Download (0)

Full text

(1)

1(9)

Förfrågningsunderlag; Upphandling av tjänster för kodgranskning och säkerhets- utvärdering för Lotteriinspektionen

1. Inledning

Lotteriinspektionen är central förvaltningsmyndighet för frågor om spel och lotterier i Sverige. Inspektionen ger tillstånd till olika former av lotterier. Inspektionen utövar också kontroll och tillsyn över den svenska spel- och lotterimarknaden. Andra arbetsområden rör exempelvis

typgodkännande av lotter och viss teknisk utrustning, information, statistik och omvärldsanalys.

14 § lotterilagen

Förslutna lotter och bingobrickor som används i ett lotteri skall vara av godkänd typ.

Detsamma gäller teknisk utrustning som används för insatser, vinstdragning eller kontroll av egentliga lotterier och bingospel. Ett beslut om typgodkännande får förenas med villkor.

Lotteriinspektionen ska i enlighet med denna paragraf typgodkänna teknisk utrustning som används för hantering av insatser, påverkar utfallet vid en dragning eller bestämmer hur en kontroll genomförs. De

utrustningar som i första hand ska granskas är datorbaserade tillämpningar som används i så kallade rikslotterier eller i EMV lotterier, det vill säga lotterier som bedrivs på Internet, via mobiltelefon eller med andra elektromagnetiska vågor. Även utrustningar med andra förutsättningar än de som beskrivs ovan kan komma att bli föremål för granskning.

(2)

2(9)

2. Upphandlingen

Upphandlingen avser perioden den 1 januari 2008 t.o.m. den 31 december 2009, med möjlighet för Inspektionen att förlänga avtalet ytterligare ett år.

Avrop ska göras gentemot upprättat avtal genom så kallade

uppdragsbeskrivningar. Antalet uppdrag under ett år är svårt att uppskatta, då de är helt beroende av antalet ansökningar som inkommer till

Inspektionen. Dock torde såväl nya spel som förändringsbenägenheten i befintliga spel avsedda för interaktiva kanaler öka, det vill säga att aktörer vill förändra eller tillfoga nya spel med ett allt kortare tidsintervall. Under tidigare upphandlingsperiod behövdes 270 timmar för sista halvåret 2005, 780 timmar för 2006, samt 230 timmar första halvåret 2007. En

uppskattning av behovet av kodgranskning och säkerhetsutvärdering är mellan 300 – 600 uppdragstimmar per år. Ett typiskt uppdrag omfattar mellan 10 – 80 uppdragstimmar. Varje uppdrag kommer att prissättas per timme med ett angivet takpris som inte får överskridas.

Anbud ska avse kodgranskning och säkerhetsutvärdering.

2.1. Uppdraget

I detta avsnitt återfinns en detaljerad beskrivning av den typ av ärenden som uppdraget avser. Dessutom beskrivs arbetsflödet mellan Leverantören och Lotteriinspektionen.

En aktör, dvs. den som önskar få en utrustning typgodkänd, inkommer med ansökan till Lotteriinspektionen med bifogad systemspecifikation, funktionsbeskrivning, beskrivning i vilket lotteri och under vilka

förutsättningar som utrustningen ska användas, eventuella spelregler och vinstplaner.

Lotteriinspektionen gör en bedömning av hur ärendet ska handläggas vidare. Om resultatet blir att extern hjälp erfordras för en kodgranskning och/eller säkerhetsutvärdering så måste material som gör bedömningen möjlig (källkod eller liknande) uppvisas för Lotteriinspektionen. I varje enskilt fall bestäms om materialet ska granskas på plats hos aktören, hos Lotteriinspektionen eller hos den Leverantör som Inspektionen anlitar.

När samtliga uppgifter inkommit och en granskning ska genomföras skrivs en uppdragsbeskrivning till Leverantören där avrop sker enligt det avtal som nu upphandlas.

(3)

3(9)

Uppdragsbeskrivningen ska omfatta uppdragets omfattning, när uppdraget ska vara slutfört och hur mycket tid som går åt för uppdragets utförande.

För att kunna fastställa tidsåtgången översändes källkod och/eller annat nödvändigt material samt nödvändig dokumentation till Leverantören för en bedömning av tidsåtgången. Innan granskningen påbörjas ska en överenskommelse om uppdragsbeskrivningen träffas mellan

Lotteriinspektionen och Leverantören.

Inte sällan behövs kontakter etableras mellan Lotteriinspektionen, Leverantör och aktör för att specificera granskningens omfattning och syfte. Uppdragsbeskrivningen, som överlämnas till Leverantören, ska innehålla instruktioner och avgränsningar vilka klart definierar vilka delar av spelsystemet eller motsvarande, som ska granskas. Punkter som typiskt sett ingår i uppdragsbeskrivningen är att:

− göra en allmän säkerhetsmässig bedömning av spelsystemet eller motsvarande,

− granska att slumptalsalgoritmen är korrekt implementerad,

− granska att anrop till slumptalsalgoritmen görs på korrekt sätt,

− granska att ingen intilliggande kod påverkar utfallet ifrån slumptalsalgoritmen,

− verifiera koden mot i ansökan insänd dokumentation,

− bekräfta att angivna spel i ansökan hanteras som beskrivet i dokumentationen och i koden,

− kontrollera spelkärnans placering, dvs. att åtkomst och förändring av den är klart dokumenterad och begränsad,

− granska att slumpvärdet används på ett korrekt sätt när det sätts i relation till vinstplanen,

− hela förloppet från köpt spel till att spelaren meddelas resultatet granskas,

− om kryptering används, hur säkerställs nyckelhanteringen runt det,

− beskriva hur loggning av olika moment går till och göra en bedömning av om loggningen kan anses vara tillfredsställande,

− granska att vanliga avbrottsscenarier hanteras på lämpligt sätt,

− beskriva vad de kritiska filerna har för uppgift,

− ta fram checksummor, med allmänt erkänd metod, på de filer som anses kritiska,

− ge en rekommendation om spelkärnan kan godkännas, med eller utan villkor.

Efter genomfört uppdrag ska Leverantören lämna ett sakkunnigutlåtande på svenska där samtliga punkter i uppdragsbeskrivningen är

kommenterade.

(4)

4(9)

2.1.1. Uppdragsprofil

Uppdragen kommer att ha ett tydligt säkerhetsfokus och det är därför helt nödvändigt att den eller de som utför uppdragen har ett gediget

säkerhetskunnande.

Med ledning av de miljöer som vi ser hos spelaktörerna i dag så är det framför allt kunskaper inom nedanstående områden som efterfrågas.

Operativsystem Windows (2000, XP, Server 2003, o.s.v.) UNIX, LINUX , HP VMS

Programmeringsspråk C/C++, Java (J2EE m.fl.), Fortran, Visual Basic, Visual Basic.Net, PHP, Pearl, C#.Net

Databaser MS SQL, Oracle, MySQL, MS Access Webbservrar MS IIS, Apache, m.fl.

Webbteknologier .NET, ASP, PHP, o.s.v.

Klientteknologier Skriptspråk (Java, VB m.fl.), Flash Diverse

säkerhetsrelaterade teknologier

Slumptalsgenerering och användning av slumptal, kryptering, nyckelhantering, PKI

Övrigt XML

(5)

5(9)

3. Administrativt

Upphandlingen kommer att ske genom s.k. förenklad upphandling.

Förhandling kan bli aktuell på initiativ av Lotteriinspektionen, men anbud kan även antas utan förhandling. Inspektionen har för avsikt att anta ett (1) anbud.

Alla handlingar är sekretessbelagda fram till dess att avtal slutits.

Anbudet ska lämnas skriftligt i tillslutet kuvert. Anbud ska lämnas på svenska.

Anbud och anbudskuvert ska märkas med ” Upphandling av tjänster för kodgranskning och säkerhetsutvärdering 748/2007”.

Anbud ska ha inkommit till Lotteriinspektionen senast den 9 november 2007. Anbudet ska vara bindande till och med den 1 februari 2008.

Uppfylls inte ovan angivna ”skall-krav” kommer anbudet att förkastas.

Anbudsadress Lotteriinspektionen Box 713

645 59 Strängnäs

Upplysningar

Frågor om uppdraget ska ställas skriftligt till Johan Wallin. Frågor

angående anbudsförfarandet m.m. ska ställas skriftligt till Ulrika Bingmark.

Lotteriinspektionens e-post: registrator@lotteriinspektionen.se, fax:

0152-461 80.

Lotteriinspektionen erinrar om att myndigheten enligt 6 kap. 9 § lagen om offentlig upphandling (1992:1528) (LOU) är skyldig att innan ett skriftligt anbud antas kontrollera om anbudsgivaren är

1. registrerad i aktiebolags-, handels- eller föreningsregister, 2. registrerad för redovisning och inbetalning av mervärdeskatt,

innehållen preliminär A-skatt och arbetsgivaravgifter, samt 3. fri från skulder i fråga om svenska skatter eller

socialförsäkringsavgifter.

(6)

6(9)

Enligt 6 kap. 10 § LOU kan endast de anbudsgivare antas som leverantörer vilka är registrerad i de register som ovan nämnts förutsatt att

registreringsskyldighet föreligger.

Tilldelningsbeslut kommer att sändas till de som ingivit anbud skriftligt senast den 7 december 2007.

Avtal sluts genom parternas underskrifter.

(7)

7(9)

4. Kriterier för anbudsutvärdering

Förutsättningen för att ett anbud ska kunna delta i anbudsutvärderingen är att samtliga i detta förfrågningsunderlag ställda ”skall-krav” är uppfyllda.

Lotteriinspektionen kommer att anta det ekonomiskt mest fördelaktiga anbudet med hänsyn tagen till följande viktade utvärderingskriterier.

1. Anbudsgivarens resurser och kompetens att genomföra uppdrag enligt beskrivningen i avsnitt 2.1. Uppdraget, samt erfarenhet av liknande tjänster. (vikt 45%)

2. Anbudsgivarens förutsättningar att klara uppsatta tidsramar för uppdrag samt förmåga att intyga att kvaliteten som deras utlåtande bygger på är gjord på saklig grund. (vikt 30%)

3. Priset baserat på timpriset för uppdraget och eventuellt tillkommande kostnader. (vikt 20 %)

4. Bemanningsförslag för uppdraget, det vill säga vilken flexibilitet har anbudsgivaren för att klara flera uppdrag samtidigt samt deras sårbarhet ifall ordinarie personal faller ifrån. (vikt 5%)

− Referenser/dokumentation som kan visa på förmåga att hålla givna tidsplaner kommer att tillmätas större betydelse än utfästelser utan referenser/dokumentation i utvärderingen. Ingivna referenser ska inte vara äldre än två år.

4.1 Särskilt om anbudet

Anbudet kan förkastats om nedanstående uppgifter är ofullständiga.

− I anbudet ska en beskrivning av företaget och uppgift om antal anställda bifogas.

− Ställda krav på dokumentation ska bekräftas skriftligt i anbudet;

anbudsgivarens resurser, kompetens, erfarenhet och kvalitetssäkring.

− En förteckning över de personer som kan vara aktuella för uppdraget ska bifogas. Förteckningen ska visa att dessa har kompetens för att utföra beskrivet uppdrag och referenser från liknande uppdrag.

− Kopia av registreringsbevis, årsredovisning och intyg från

Skatteverket som visar fullgjorda skatte- och avgiftsskyldigheter ska bifogas.

(8)

8(9)

− Anbudsgivaren ska genom bifogad sanningsförsäkran garantera att angivna förhållanden föreligger.

− Anbudet ska innehålla ett timpris för arbetet, dvs. ett timpris som är fast under uppdragstiden och på vilket takpriset för respektive avrop ska grundas. Takpriset för ett avrop får inte överskridas.

Anbudet ska även redovisa anbudsgivarens pris för andra kostnader såsom traktamente, resor m.m.

− Anbudsgivaren ska i anbudet bekräfta att de bifogade villkoren accepteras.

(9)

9(9)

5. Kravspecifikation

5.1. Kravbeskrivning

Nedanstående ”skall-krav” måste uppfyllas för att anbudsgivaren ska komma i fråga för uppdraget.

− Anbudsgivaren ska kunna utföra alla delar av beskrivet uppdrag.

− Anbudsgivaren ska kunna erbjuda en kontinuitet i arbetet som garanterar kvaliteten i sakkunnigutlåtanden från anbudsgivaren.

− Anbudsgivaren ska inneha dokumenterade resurser, kompetens och erfarenhet av att utföra liknande uppdrag.

− Anbudsgivaren ska tillämpa dokumenterade rutiner som säkerställer att uppdragets olika delar sker på ett sådant sätt att överenskommen tidplan, omfattning och kvalitet upprätthålls.

− Anbudsgivaren ska kunna tillhandahålla flera personer med likartad kompetens. Person som utför uppdrag på plats hos

Lotteriinspektionen eller hos aktören ska behärska svenska i tal och skrift. Detsamma ska gälla den som är myndighetens kontaktperson. Förlust av enskild person får inte medföra att anbudsgivarens möjligheter att tillhandahålla avtalad kompetens eller resurser påverkas i tid och omfattning.

− Anbudsgivaren ska ha tillräckliga personella resurser för att inom en 30-dagarsperiod från erhållen uppdragsbeskrivning (avrop) kunna påbörja överenskommet uppdrag.

− Anbudsgivaren ska uppfylla lagenligt ställda krav avseende registrerings-, skatte- och avgiftsskyldigheter. Företaget, eller person som företräder företaget, får inte vara dömd för brott i yrkesutövningen eller ha gjort sig skyldig till allvarligt fel i yrkesutövningen.

5.2. Kommersiella villkor m.m.

Se bilaga.

Figure

Updating...

References

Related subjects :