II.1.5)Short description of the contract or purchase(s)
Het concept van het project Boordcomputer Taxi is gebaseerd op het gebruik van een Public Key Infrastructuur (PKI)-infrastructuur op basis van smartcard technologie met digitale certificaten. Alle voor dit concept benodigde producten en diensten zijn onderdeel van de BCT Kaartuitgifte en omvat zowel de BCT Kaarten, de BCT Certificaten en het BCT Kaartuitgiftesysteem.
Voor de realisatie van de BCT Kaartuitgifte heeft de Opdrachtgever ervoor gekozen om de voor de BCT Kaartuitgifte benodigde diensten op te splitsen in vier kavels, t.w.:
1. Kavel 1 (Uitgever); dit kavel behelst de zogenaamde Registration Authority (RA) voor de aanvraag-, uitgifte- en levenscyclus beheer van de BCT Kaarten en de BCT Certificaten. De leverancier van dit kavel wordt aangeduid met de Uitgever. De voorzieningen van de Uitgever wordt aangeduid als Card Aanvraag- en Beschikkingsysteem (CABS).
2. Kavel 2 (Personalisator); dit kavel behelst de zogenaamde personalisatie en productie van de BCT Kaarten en de productie van de PIN brieven. Binnen dit kavel valt ook de levering, de hosting en het beheer voor onder andere sleutelgeneratie. De leverancier van dit kavel wordt aangeduid met de Personalisator. De voorzieningen van de Personalisator wordt aangeduid als BCT Personalisatiesysteem.
3. Kavel 3 (Certificaatproducent); dit kavel behelst het beheer van de zogenaamde Certificate Authority (CA) faciliteiten en de productie van de BCT Certificaten. De BCT Certificaten zijn zowel bedoeld voor personen als ook voor systemen en bestaan uit BCT Kaartcertificaten en BCT Infrastructuurcertificaten. De leverancier van dit kavel wordt aangeduid als de Certificaatproducent. De voorzieningen van de Certificaatproducent wordt aangeduid als BCT CA-systeem. Het BCT CA-systeem bestaat uit de volgende CA rollen; Boordcomputerkaarten CA, Systeemkaarten CA en Infrastructuur CA.
4. Kavel 4 (Distributeur); dit kavel behelst de distributie van de door de Personalisator aangeleverde (gepersonaliseerde) BCT Kaarten en PIN brieven aan de (eind)gebruikers(organisatie). De leverancier van dit kavel wordt aangeduid als de Distributeur. De voorzieningen van de Distributeur wordt aangeduid als BCT Distributiesysteem.
Het op te vragen Beschrijvend document betreft de openbare aanbesteding voor levering van PKI Certificate Authority diensten in kavel 3 (Certificaatproducent). De realisatie van de kavels vindt parallel aan elkaar plaats.
Voor de functionaliteit van de Boordcomputer Taxi is behoefte aan de twee soorten BCT Certificaten:
BCT Kaartcertificaten;
a. BCT Boordcomputerkaartcertificaten;
i. Gebruikerscertificaten Chauffeurskaart;
ii. Gebruikerscertificaten Ondernemerskaart;
iii. Gebruikerscertificaten Keuringskaart;
iv. Gebruikerscertificaten Inspectiekaart.
b. BCT Systeemkaartcertificaten.
BCT Infrastructuurcertificaten.
c. SSL Server certificaten;
d. SSL Client certificaten;
e. S/MIME certificaten;
f. Signer certificaten.
Er zijn meerdere logische interfaces tussen het CABS van de Uitgever in kavel 1 en het BCT Personalisatiesysteem bij de Personalisator in kavel 2. Via deze interfaces worden ondermeer afroepopdrachten en retourberichten gecommuniceerd. De Uitgever en de Personalisator zijn in onderlinge afstemming en onder eindverantwoordelijkheid van de Opdrachtgever een sluitende specificatie van de betreffende interfaces overeengekomen. Deze interfaces zijn daarmee leidend voor de Inschrijver en deze dient hieraan te voldoen.
De Personalisator is verantwoordelijk voor de selectie van de chiptechnologie die in de BCT Kaarten wordt opgenomen. De Personalisator is tevens verantwoordelijk voor de verwerving, 'embedding' en personalisatie van de chipmodules, waaronder inbegrepen het personaliseren van de door de Inschrijver geproduceerde BCT Certificaten.
Opdracht:
De Opdrachtgever wenst een partij te contracteren, voor het gedurende de looptijd van de Overeenkomst, uitvoeren van de PKI Certificate Authority diensten:
—·op afroep van de Personalisator, produceren en leveren van BCT Kaartcertificaten,
—·incidenteel - op afroep van de Opdrachtgever - produceren en leveren van BCT Infrastructuurcertificaten en,
—·het beheren, en eventueel intrekken, van geproduceerde BCT Certificaten.
De Inschrijver dient te voorzien in de levering van een operationele dienst Certificaatproductie, geïntegreerd met de operationele systemen bij de door Opdrachtgever aangewezen Personalisator en Uitgever, inclusief de technische integratie met daar aanwezige infrastructuren en systemen waarmee gekoppeld dient te worden.
Doel van deze aanbesteding is het afsluiten van één overeenkomst met één Inschrijver voor het leveren van de desbetreffende diensten in kavel 3. De gevraagde diensten in kavel 3 onderscheidt twee fasen: een ontwikkel- en een exploitatiefase.
1) Diensten t.b.v. de Ontwikkelfase
De Inschrijver zal in de ontwikkelfase zorg dragen voor:
1. Het opbouwen van de beveiligde Certificate Authority voorzieningen;
2. Het koppelen aan de voorzieningen van de Uitgever en Personalisator;
3. Opleiding en ondersteuning van het personeel van Opdrachtgever, Uitgever en Personalisator;
4. Het beschikbaar stellen van de beveiligde Certificate Authority voorzieningen.
De Inschrijver dient ter voltooiing van de ontwikkelfase aan te tonen te voldoen aan de eisen, door het op te leveren van:
Een proces-verbaal van de uitvoering van het Acceptatietestplan;
Het behalen en overhandigen van het vereiste PKIoverheid deelcertificaat conform de onderdelen benoemd in het Overview of Applicability.
2) Diensten t.b.v. de Exploitatiefase
De Inschrijver zal in de exploitatiefase zorg dragen voor certificaatproductie en diensten ten behoeve van de Boordcomputer Taxi, bestaande uit:
1. Productie en levering van certificaten;
2. Intrekken van certificaten;
3. Beheer en publicatie van certificaten;
4. Onderhouden en instandhouding van de diensten.
2 a) Productie en leveren van certificaten
Het generen van de certificaten kent een afroep- en productie fase en een leveringsfase. Het afroepen van de productie van certificaten en de levering van certificaten aan de Personalisator verlopen via geautomatiseerde systemen.
Ten behoeve van de Opdrachtgever zal de Inschrijver zorg dragen voor de productie en levering van certificaten, te weten:
1.1. het vervullen van de BCT Kaartcertificaten productie en levering conform PKIoverheid, inclusief het beheren van cryptografisch sleutelmateriaal en certificaten (Certificate Generation Service);
1.2. het vervullen van de BCT Infrastructuurcertificaten productie en levering;
De Inschrijver zal, op basis van certificaatafroepen door de Personalisator, hiertoe door de Opdrachtgever opdracht gegeven, het geautomatiseerd 24 uur per dag, op alle dagen, genereren en leveren van:
—·Testcertificaten voor de BCT Kaarten,
—·Referentiecertificaten voor de BCT Kaarten,
—·Productiecertificaten voor de BCT Kaarten.
De Inschrijver zal, ten behoeve van de systemen bij de Uitgever, bij de Personalisator en bij de Inschrijver zelf, op afroep genereren en leveren van BCT Infrastructuurcertificaten voor ontwikkel-, test-, acceptatie- en productieomgevingen.
2b) Intrekken van certificaten
De Certificate Revocation Management Service wordt in twee fasen, door twee verschillende organisaties uitgevoerd, te weten: een beoordeling of intrekking nodig is en het daadwerkelijk intrekken. De beoordeling of een certificaat dient te worden ingetrokken wordt, namens de Opdrachtgever, uitgevoerd door de Uitgever. De Inschrijver voert de feitelijke intrekking uit. Verwerken van intrekkingsverzoeken en intrekken van certificaten verloopt via geautomatiseerde systemen.
De Inschrijver zal de uitgegeven certificaten beheren, door:
2.1. het uitvoeren van het intrekken van certificaten (Certificate Revocation Management Service);
2.2. het publiceren van Certificate Revocation Lists (Revocation Status Service).
2c) Beheer en publicatie van certificaten
De Inschrijver zal t.b.v. van het beheer en publicatie van certificaten:
3.1. leveren en beheren van een internetdienst (Dissemination Service) voor publicatie van CA certificaten, CRL's en een Certification Practice Statement (CPS);
3.2. gedurende de looptijd van de Overeenkomst voldoen aan het Programma van Eisen PKIoverheid.
2d)Onderhouden en instandhouding van de diensten
De Inschrijver zal t.b.v. van het onderhouden en instandhouden van de diensten:
4.1. Het vervullen van aan de Certificaatproductie gerelateerde Beheerdiensten;
4.2. Onderhoud en instandhouding van externe interfaces;
4.3. Inrichting helpdesk en 1e en 2e lijn support;
4.4. Service Delivery Management volgens een Service Level Agreement.
3) Relatie met Programma van Eisen PKIoverheid
De Opdrachtgever realiseert de PKI van de Boordcomputer Taxi onder de vertrouwensstructuur van de PKI van de Staat der Nederlanden (PKIoverheid). Hieruit volgt dat het Programma van Eisen (PvE) dat is opgesteld door PKIoverheid een belangrijk uitgangspunt is bij deze aanbesteding. Omdat Opdrachtgever het stamcertificaat van de 'Staat der Nederlanden' als hoogste vertrouwenspunt kiest, is het Programma van Eisen PKIoverheid leidend bij de inrichting van de PKI van de Opdrachtgever.
De architectuur van de PKI van de overheid kent drie lagen: het overkoepelende overheidsniveau, het domeinniveau en het Certificate Service Provider (CSP)-niveau.
Opdrachtgever heeft voornemens een eigen CSP onder het domein Overheid van PKIoverheid in te richten. Opdrachtgever neemt het operationeel beheer van de CSP voor zijn rekening, terwijl de functies van de Uitgever, de Personalisator, de Certificaatproducent en de Distributeur worden uitbesteed.
De Opdrachtgever zal als CSP de verantwoordelijkheid dragen voor de CA, echter de benodigde (technische) voorzieningen blijven eigendom van, en zullen beheerd worden door, de Inschrijver. De Inschrijver draagt er zorg voor dat de diensten (blijven) voldoen aan het normenkader van de PKIoverheid.
4) Vervanging bestaande Taxi chauffeurspassen
De Opdrachtgever draagt tevens zorg voor het organisatorisch voorbereiden van de kaartuitgifte-organisatie en ketenpartners op de omwisseling van zo'n 60.000 bestaande taxi chauffeurspassen voor Chauffeurskaarten.
De Inschrijver zal zijn medewerking moeten leveren aan deze omwisseling, te weten het tijdig leveren van de benodigde certificaten (~120.000) binnen het tijdsbestek van één maand.
5) Aanvullende opdrachten
De Opdracht omvat ook de gunning van toekomstige aanvullende opdrachten voortvloeiend uit onvoorziene omstandigheden. Aanvullende opdrachten zullen worden gegund ná een procedure van gunning door onderhandelingen zonder voorafgaande aankondiging. De totale omvang van aanvullende opdrachten zal niet hoger zijn dan 50 % van de oorspronkelijke opdrachtomvang.