 |
icc hofmann - Ingenieurbüro für technische Informatik Am Stockborn 16, 60439 Frankfurt/M, FRG Tel.: +49 6082-910101 Fax.: +49 6082-910200 E-Mail: info@icc-hofmann.net |
|
(1) Searching for "2019120909171215651" in Archived Documents Library (TED-ADL)
Ausschreibung: Entwicklung von Sicherheitssoftware - DE-Köln
Entwicklung von Sicherheitssoftware
IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
Dokument Nr...: 581475-2019 (ID: 2019120909171215651)
Veröffentlicht: 09.12.2019
*
DE-Köln: Entwicklung von Sicherheitssoftware
2019/S 237/2019 581475
Auftragsbekanntmachung
Dienstleistungen
Rechtsgrundlage:
Richtlinie 2014/24/EU
Abschnitt I: Öffentlicher Auftraggeber
I.1)Name und Adressen
Offizielle Bezeichnung: VDV eTicket Service GmbH & Co. KG
Postanschrift: Im Mediapark 8a
Ort: Köln
NUTS-Code: DE
Postleitzahl: 50670
Land: Deutschland
Kontaktstelle(n): VDV eTicket Service GmbH & Co. KG
E-Mail: [6]Hoffmann@vdv.de
Telefon: +49 221/716174113
Internet-Adresse(n):
Hauptadresse: [7]www.eTicket-Deutschland.de
I.2)Informationen zur gemeinsamen Beschaffung
I.3)Kommunikation
Der Zugang zu den Auftragsunterlagen ist eingeschränkt. Weitere
Auskünfte sind erhältlich unter: [8]www.eticket-deutschland.de
Weitere Auskünfte erteilen/erteilt die oben genannten Kontaktstellen
Angebote oder Teilnahmeanträge sind einzureichen an die oben genannten
Kontaktstellen
I.4)Art des öffentlichen Auftraggebers
Einrichtung des öffentlichen Rechts
I.5)Haupttätigkeit(en)
Andere Tätigkeit: Elektronisches Fahrgeldmanagement
Abschnitt II: Gegenstand
II.1)Umfang der Beschaffung
II.1.1)Bezeichnung des Auftrags:
Aufbau und Betrieb des Mobile Ticketing Crypto Service (Motics), v. a.
Realisierung einer sicheren Signatur/Authentisierung bzw. einer
sicheren digitalen Identität auf Smartphones
II.1.2)CPV-Code Hauptteil
72212730
II.1.3)Art des Auftrags
Dienstleistungen
II.1.4)Kurze Beschreibung:
Aufbau und Betrieb des Mobile Ticketing Crypto Service (Motics), v. a.
Realisierung einer sicheren Signatur/Authentisierung bzw. einer
sicheren digitalen Identität auf Smartphones zur Nutzung in
Ticketing-Apps zur Gewährleistung eines Kopierschutzes.
II.1.5)Geschätzter Gesamtwert
II.1.6)Angaben zu den Losen
Aufteilung des Auftrags in Lose: nein
II.2)Beschreibung
II.2.1)Bezeichnung des Auftrags:
II.2.2)Weitere(r) CPV-Code(s)
72000000
II.2.3)Erfüllungsort
NUTS-Code: DE
Hauptort der Ausführung:
Deutschland und europäisches Ausland
II.2.4)Beschreibung der Beschaffung:
Gegenstand ist der Aufbau und anschließender Betrieb eines Systems zur
Authentisierung und Identifizierung von Smartphone-Apps insbes. im
Rahmen von elektronischen Ticketing.
Um eine schnelle, sichere und vor allem auch effiziente Prüfung solcher
Tickets zu gewährleisten, hat der VDV eTicket Service den VDV-Barcode
mobile+ entwickelt. Das Spezifikationsdokument dazu (KA STB-SPEC mobile
plus) ist unter [9]www.eticket-deutschland.de sowohl auf Deutsch als
auch Englisch verfügbar.
Basis dieser Lösung ist es, das Nutzer-Smartphone mit einer
kryptographischen Signaturfunktion auszustatten, mit der digitale
Signaturen über Ticketdaten sowie dynamische Daten (z. B. Challenge von
einem Kontrollgerät) erstellt werden können. Auf diese Weise wird das
Nutzer-Smartphone gegenüber der Kontroll-Infrastruktur authentisiert
und Ticketdaten sowie ggf. andere Daten authentisch übertragen. Dazu
benötigt das Nutzer-Smartphone ein Schlüsselpaar. Der öffentliche Teil
erhält ein Zertifikat von der PKI des VDV eTicket Service, das
verschiedene Attribute mit dem Schlüssel verbindet, insbesondere eine
eindeutige Schlüssel-ID. Ein Ticket, das mit dem Nutzer-Smartphone
genutzt werden soll, ist ein vom Ausgeber ebenfalls digital signierter
Datensatz. Die zum Nutzer-Smartphone gehörende Schlüssel-ID wird vom
Ausgeber in die Ticketdaten eingefügt. Somit kann bei einer Kontrolle
oder Validierung festgestellt werden, ob das Ticket zum vorliegenden
Nutzer-Smartphone gehört. Es ist also nicht möglich, Kopien von
Ticketdaten auf ein anderes Geräte als vom Ausgeber des Tickets
beabsichtigt zu verwenden.
Um das Schlüsselmaterial und die kryptographische Funktionen,
insbesondere die Signaturfunktion, auf dem Nutzer-Smartphone vor
Angriffen und Manipulationen zu schützen, beschreibt die Spezifikation
eine Secure Crypto-Environment (SCE), welche teilnehmenden Apps die
benötigten kryptographischen Funktionen anbietet und in der Lage ist,
die verwendeten kryptographischen Schlüssel zu empfangen bzw. zu
generieren, zu verwenden, zu schützen und unveränderlich mit dem
Nutzer-Smartphone zu verbinden. Die SCE ist resistent gegen die
Extrahierung der Schlüssel und gegen das Kopieren auf ein anderes
Smartphone oder Gerät. Technisch handelt es sich hierbei um eine
Bibliothek, die in eine teilnehmende App integriert wird bzw.
alternativ in eine Service-App integriert wird, die von teilnehmenden
Apps genutzt wird. Im Rahmen des Auftrags sollen Bibliotheken für
bestimmte iOS und Android Versionen entwickelt und bereitgestellt sowie
gepflegt und weiterentwickelt werden.
Die SCE wird mit dem Sicherheitsmanagement von (((eTicket Deutschland
über ein SCE-Managementsystem (SCE-MS) verbunden. Dabei wird die
Eignung des Nutzer-Smartphones als Host für die SCE bzw. für eine App
mit integrierter SCE aus sicherheitstechnischer Sicht beurteilt, d. h.
es wird eine Attestierung durchgeführt. Die Entwicklung und der Betrieb
dieses Systems ist ebenfalls Gegenstand des Auftrags. Ist ein
Nutzer-Smartphone geeignet, so erhält die installierte SCE
Schlüsselmaterial und ein entsprechendes Zertifikat, das auch eine
eindeutige ID enthält. Das Zertifikat bindet den Schlüssel an die ID
und belegt auch die Vertrauenswürdigkeit des Nutzer-Smartphones. Das
SCE-MS ruft die benötigten Zertifikate in diesem Prozess von der
existierenden PKI des Auftraggebers ab. Darüber hinaus überwacht das
SCE-MS die SCE auf unbefugte Aktivitäten, die auf Versuche die SCE zu
kompromittieren hinweisen können. Die Gültigkeitsdauer der über das
SCE-MS gelieferten Zertifikate hängt von Risikometriken ab, die sich
aus Messungen im Rahmen des Monitoring ergeben. Innerhalb dieses
Zeitraums können beliebig viele Tickets ausgestellt und auf dem
Smartphone genutzt werden. Bei Bedarf wird von der App eine
Verlängerung des Zertifikats automatisch beantragt.
Die Nutzung des Motics wird im Wesentlichen für den Öffentlichen
Personenverkehr angestrebt; sie ist aber nicht darauf beschränkt.
II.2.5)Zuschlagskriterien
Der Preis ist nicht das einzige Zuschlagskriterium; alle Kriterien sind
nur in den Beschaffungsunterlagen aufgeführt
II.2.6)Geschätzter Wert
II.2.7)Laufzeit des Vertrags, der Rahmenvereinbarung oder des
dynamischen Beschaffungssystems
Laufzeit in Monaten: 48
Dieser Auftrag kann verlängert werden: ja
Beschreibung der Verlängerungen:
Nähere Informationen sind den Vergabeunterlagen zu entnehmen
II.2.9)Angabe zur Beschränkung der Zahl der Bewerber, die zur
Angebotsabgabe bzw. Teilnahme aufgefordert werden
Geplante Mindestzahl: 3
Höchstzahl: 8
II.2.10)Angaben über Varianten/Alternativangebote
Varianten/Alternativangebote sind zulässig: nein
II.2.11)Angaben zu Optionen
Optionen: nein
II.2.12)Angaben zu elektronischen Katalogen
II.2.13)Angaben zu Mitteln der Europäischen Union
Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm,
das aus Mitteln der EU finanziert wird: nein
II.2.14)Zusätzliche Angaben
Abschnitt III: Rechtliche, wirtschaftliche, finanzielle und technische
Angaben
III.1)Teilnahmebedingungen
III.1.1)Befähigung zur Berufsausübung einschließlich Auflagen
hinsichtlich der Eintragung in einem Berufs- oder Handelsregister
Auflistung und kurze Beschreibung der Bedingungen:
Um als Bieter zugelassen zu werden, hat der Bewerber mit seinem
Teilnahmeantrag die nachfolgenden Eigenerklärungen abzugeben und mit
seiner rechtsverbindlichen Unterschrift die Richtigkeit der Angaben zu
versichern:
1) Über das Vermögen des Bewerbers ist kein Insolvenzverfahren oder
vergleichbares gesetzliches Verfahren eröffnet oder die Eröffnung
beantragt oder dieser Antrag mangels Masse abgelehnt worden. Ein
ausländischer Bewerber befindet sich nicht in Verhältnissen, die nach
den Rechtsvorschriften seines Landes mit den im vorgehenden Satz
genannten Verfahren vergleichbar sind;
2) Das Unternehmen befindet sich nicht in Liquidation;
3) Der Bewerber hat keine sonstige schwere Verfehlung begangen, die
seine Zuverlässigkeit als Bieter in Frage stellt;
4) Der Bewerber erfüllt seine Verpflichtung zur Zahlung von Steuern und
Abgaben sowie der Beiträge zur gesetzlichen Sozialversicherung
ordnungsgemäß;
5) Der Bewerber versichert, dass in seinem Unternehmen keine
Schwarzarbeit stattfindet und weder das Unternehmen noch Angehörige des
Unternehmens im Zusammenhang mit der Tätigkeit für das Unternehmen nach
dem Gesetz zur Bekämpfung der Schwarzarbeit wegen illegaler
Beschäftigung von Arbeitskräften verurteilt worden sind;
6) Erklärung über die uneingeschränkte schriftliche und mündliche
Kommunikationsfähigkeit der für die Leistungserbringung vorgesehener
Personen in deutscher oder englischer Sprache;
7) Erklärung, etwaig geltende Tariftreuegesetze sowie das
Mindestlohngesetz anzuwenden und zu beachten;
8) Erklärung, dass der Bewerber im Falle der Aufforderung zur
Angebotsabgabe die ihm zur Erstellung des Angebots überlassenen
Verdingungsunterlagen und zusätzliche Informationen vertraulich
behandelt und Dritten nicht zugänglich macht, sowie die Verpflichtung,
seine Mitarbeiter und Unterauftragnehmer zur vertraulichen Behandlung
ebenfalls zu verpflichten.
Darüber hinaus sind folgende Nachweise zu erbringen:
1) Nachweis einer Haftpflichtversicherung oder Erklärung der
Bereitschaft zum Abschluss einer Projektbezogenen
Haftpflichtversicherung im Auftragsfall;
2) Aktueller vollständiger Auszug aus dem einschlägigen Berufs- und
Handelsregister (nicht vor dem 1.5.2019 erstellt).
Einsendeschluss für den Teilnahmeantrag ist der 13.1.2020, 12:00 Uhr.
III.1.2)Wirtschaftliche und finanzielle Leistungsfähigkeit
Auflistung und kurze Beschreibung der Eignungskriterien:
Angaben und Formalitäten, die erforderlich sind, um die Einhaltung der
Auflagen zu überprüfen:
1) Umsatz der letzten 3 Geschäftsjahre, incl. einer Angabe, welcher
prozentuale Anteil davon auf mit dem Auftragsgegenstand vergleichbare
Projekte zurückzuführen ist;
2) Bilanz und GuV-Rechnung des letzten abgeschlossenen Geschäftsjahres.
III.1.3)Technische und berufliche Leistungsfähigkeit
Auflistung und kurze Beschreibung der Eignungskriterien:
Angaben und Formalitäten, die erforderlich sind, um die Einhaltung der
Auflagen zu überprüfen:
1) Leistungsspektrum und -schwerpunkt des Unternehmens;
2) Angaben über die Anzahl der fest angestellten
Mitarbeiter/Mitarbeiterinnen des Unternehmens sowie der Führungskräfte
bezogen auf die letzten 3 Jahre (d. h. Anzahl der Mitarbeiter in 2016,
2017, 2018);
3) Nachweise über die technische Ausrüstung/Leistungsfähigkeit des
Unternehmens;
4) Liste der wesentlichen in den letzten 2-5 Jahren erbrachten
Leistungen (Referenzprojekte), mit Angabe des Rechnungswertes, der
Leistungszeit, sowie der Auftraggeber mit Ansprechpartner (mit
Telefonnummer und/oder E-Mail-Adresse), bezogen auf mit dem
Auftragsgegenstand vergleichbare Projekte.
Die Referenzen sollten sich auf vergleichbare Projekte mit folgenden
Schwerpunkten beziehen:
a) Realisierung (Aufbau) und/oder Betriebsführung für
Smartphone-Applikationen;
b) ungefähre Anzahl der beteiligten Smartphones;
c) ungefähre Anzahl der Updates, Installierungen, Transaktionen etc.
(z. B. pro Tag oder Monat);
d) Beschreibung nach welchen Standards/Methoden der Bewerber Software
entwickelt, testet und deren Qualität sichert (ggf. mit
Zertifizierungen);
e) Beschreibung nach welchen Standards/Methoden der Bewerber Software
betreibt (ggf. mit Zertifizierungen);
f) Beschreibung wie der Bewerber die Betriebskontinuität des Systems
garantieren wird, insbesondere im Hinblick auf die Kritikalität der zu
betreibenden Software.
Möglicherweise geforderte Mindeststandards:
Wesentliches Kriterium zur Auswahl eines Bewerbers ist, dass in den
Referenzen nachgewiesen werden kann, dass der Bewerber bereits Projekte
mit vergleichbarem Inhalt und Umfang über einen längeren Zeitraum und
ohne nennenswerte technische Beanstandungen durchgeführt hat.
III.1.5)Angaben zu vorbehaltenen Aufträgen
III.2)Bedingungen für den Auftrag
III.2.1)Angaben zu einem besonderen Berufsstand
III.2.2)Bedingungen für die Ausführung des Auftrags:
Darlegung der besonderen Bedingungen: Im Rahmen der Auftragsausführung
genutzte Rechenzentren sowie deren Netzwerkinfrastruktur müssen im
Geltungsbereich des Rechts eines EU-Mitgliedsstaates betrieben werden.
Betrieb der Anwendung in einem Rechenzentrum mit Zertifizierung nach
ISO 9001 und ISO 27001 oder äquivalent.
III.2.3)Für die Ausführung des Auftrags verantwortliches Personal
Verpflichtung zur Angabe der Namen und beruflichen Qualifikationen der
Personen, die für die Ausführung des Auftrags verantwortlich sind
Abschnitt IV: Verfahren
IV.1)Beschreibung
IV.1.1)Verfahrensart
Verhandlungsverfahren
IV.1.3)Angaben zur Rahmenvereinbarung oder zum dynamischen
Beschaffungssystem
IV.1.4)Angaben zur Verringerung der Zahl der Wirtschaftsteilnehmer oder
Lösungen im Laufe der Verhandlung bzw. des Dialogs
IV.1.5)Angaben zur Verhandlung
IV.1.6)Angaben zur elektronischen Auktion
IV.1.8)Angaben zum Beschaffungsübereinkommen (GPA)
Der Auftrag fällt unter das Beschaffungsübereinkommen: nein
IV.2)Verwaltungsangaben
IV.2.1)Frühere Bekanntmachung zu diesem Verfahren
IV.2.2)Schlusstermin für den Eingang der Angebote oder Teilnahmeanträge
Tag: 13/01/2020
Ortszeit: 12:00
IV.2.3)Voraussichtlicher Tag der Absendung der Aufforderungen zur
Angebotsabgabe bzw. zur Teilnahme an ausgewählte Bewerber
Tag: 14/01/2020
IV.2.4)Sprache(n), in der (denen) Angebote oder Teilnahmeanträge
eingereicht werden können:
Deutsch, Englisch
IV.2.6)Bindefrist des Angebots
Das Angebot muss gültig bleiben bis: 30/06/2020
IV.2.7)Bedingungen für die Öffnung der Angebote
Abschnitt VI: Weitere Angaben
VI.1)Angaben zur Wiederkehr des Auftrags
Dies ist ein wiederkehrender Auftrag: nein
VI.2)Angaben zu elektronischen Arbeitsabläufen
VI.3)Zusätzliche Angaben:
VI.4)Rechtsbehelfsverfahren/Nachprüfungsverfahren
VI.4.1)Zuständige Stelle für Rechtsbehelfs-/Nachprüfungsverfahren
Offizielle Bezeichnung: Vergabekammer bei der Bezirksregierung Köln
Postanschrift: Zeughausstraße 2-10
Ort: Köln
Postleitzahl: 50667
Land: Deutschland
VI.4.2)Zuständige Stelle für Schlichtungsverfahren
VI.4.3)Einlegung von Rechtsbehelfen
VI.4.4)Stelle, die Auskünfte über die Einlegung von Rechtsbehelfen
erteilt
VI.5)Tag der Absendung dieser Bekanntmachung:
04/12/2019
References
6. mailto:Hoffmann@vdv.de?subject=TED
7. http://www.eTicket-Deutschland.de/
8. http://www.eticket-deutschland.de/
9. http://www.eticket-deutschland.de/
--------------------------------------------------------------------------------
Database Operation & Alert Service (icc-hofmann) for:
The Office for Official Publications of the European Communities
The Federal Office of Foreign Trade Information
Phone: +49 6082-910101, Fax: +49 6082-910200, URL: http://www.icc-hofmann.de
