****关于2024-2025年APP安全和隐私合规检测服务集采项目供应商征集公告
根据我行APP安全和隐私合规检测工作需要,我行开展2024-2025年APP安全和隐私合规检测服务集采项目,现公开对2024-2025年APP安全和隐私合规检测服务集采项目进行供应商征集,有关事宜公告如下:
一、采购需求及资格要求
1.1. 采购需求:
我行在2021年引入2家外部专业检测机构,对全集团(包括总行、****公司)重要APP和小程序开展安全和隐私合规检测。目前该合同已到期,为巩固前期成果,我行拟重新招标引进2家外部专业机构,****集团重要APP和小程序提供安全和隐私合规检测服务,保障相关APP和小程序的安全性和合规性。项目服务期为2年,主要通过互联网远程提供服务,必要时需提供现场服务。项目按单个APP或小程序单次检测服务计价,其中APP的单次检测服务范围应包含iOS、Android、鸿蒙(若有)3个平台,以及每次检测整改后的验证性复测,最终根据实际检测的APP和小程序次数进行结算。此外,服务期内需根据我行服务要求提供情报、预警、应急响应、培训等服务。
1.2. 技术和服务要求:
1.2.1. 为我行指定的APP和小程序开展安全检测和隐私合规检测,其中APP的检测需要同时涵盖iOS、Android、鸿蒙(若有)3个平台。应根据我行提供的测试基准项,结合自身情况和擅长领域,对测试基准项进行扩展和完善,并在实施中应用。
1.2.2. 应确保检测服务的时效性,在我行提出APP和小程序的检测需求并准备好测试环境后,原则上应在10个工作日内完成检测工作并出具检测报告;在我行提出复测需求后,原则上应在5个工作日内完成复测工作并出具复测报告。
1.2.3. 隐私合规检测应依据监管部门及行业规范文件开展,并确保对隐私合规监管部门及行业规范文件信息收集的实时性;应充分判断我行APP和小程序的隐私政策、涉及的信息收集是否符合监管部门要求,是否与隐私条款内容是否一致等,确保检测覆盖全面性。
1.2.4. 安全检测发现的问题和漏洞,应出具完整的安全检测报告,检测报告应符合我行要求,至少包括漏洞类型、问题描述、可能产生的风险、复现过程、重要步骤或结果截图、整改建议等。为保障安全检测过程可追溯,应采用有效的管理手段或监测工具记录测试人员、测试时间、测试方式、测试过程等相关测试信息。
1.2.5. 应确保每轮次的检测(含复测)工作中安排相对固定的检测人员,对iOS平台的检测原则上应使用固定检测设备,避免udid频繁变更影响检测或复测的效率。应根据检测结果,出具完整的安全和隐私合规检测报告,提供针对性修复建议,必要时协助我行进行整改,应在我行进行整改后提供不限次数的复测服务,直至检测发现的所有问题全部完成整改,并确保复测完成后的APP和小程序满足四部委或其它行业监管机构对隐私合规的要求。
1.2.6. 若在我行内部开展检测工作,应确保部署在我行内部的检测工具的安全性和合法性(无版权纠纷)。
1.2.7. 应定期对整体检测结果进行总结和分析,并结合检测结果每年至少向我行提供一次安全培训服务。应提供至少2名安全专业领域证书培训名额,包含培训和考试费用,包含但不限于cisp-pts、cisp-pte、oscp、cisa等,具体培训证书类型由我行指定。
1.2.8. 为我行提供双周 APP 安全和隐私合规监管趋势报告,报告内容包含:监管最新动态动态跟踪,跟踪掌握外部监管通报数据,以及针对合规监管通报行业中的问题数据进行分析。
1.2.9. 为我行提供事关我行APP和小程序的威胁情报预警,必要时提供安全应急响应服务。为我行提供有关行业APP和小程序横向评测的信息,保障我行参评APP和小程序在安全和隐私合规方面处于行业领先地位。
1.2.10. 投标人应确保隐私合规检测和安全检测的质量,在人员安排上,检测人员应具备至少3年以上安全或隐私合规检测服务经验。服务期间,如检测人员无法满足我行需求,我行可随时提出更换要求,投标人应按照要求在三个工作日内完成调换。
1.3. 供应商资质要求:
1.3.1. 公司成立1年以上,财务稳健,可稳定提供服务。
1.3.2. 近****银行或十****银行APP安全或隐私合规检测服务的成功案例。
二、报名要求
2.1在****开立对公账户,若中标本项目,则通过****对公账户结算该项目相关费用。
2.2充分理解我行服务需求并能够根据需求提供相应的服务。
2.3应具有良好的商业信誉和健全的财务会计制度。
2.4未被“信用中国”网列入“重大税收违法案件当事人名单”、未被“中国执行信息公开网”列入“失信被执行人名单”、未被“中国政府采购网”列入“政府采购严重违法失信行为信息记录名单”、未被“国家企业信用信息公示系统”列入网站“严重违法失信企业名单”、在参加本次采购活动前3年内未出现重大违法违规行为,近三年在我行无不良行为记录,不在****供应商禁用/退出期内。
三、征集时间
本次供应商征集自即日起至2024年5月14日23:59止。
四、报名方式
采购部门联系人:向先生,联系电话:0591-****3349,联系时间:工作日8:30-12:00,14:30-18:00(其他时间请勿打扰)。 若有意向请将供应商资料于征集截止时间前提交至gysxyfwt@cib.****.cn邮箱。
报名注意事项:
1. 提交的供应商资料内容包括如下三项:
材料1:《2024-2025年APP安全和隐私合规检测服务集采项目》供应商征集反馈材料-公司名称(全称)
材料2:2024-2025年APP安全和隐私合规检测服务集采项目信息收集表
材料3:供应商准入信息导入模板
以上三项材料填报模板详见附件,****公司盖章。
2.提交资料所发送的邮件名称如下:《2024-2025年APP安全和隐私合规检测服务集采项目》供应商征集反馈材料-公司名称(全称)。请仅发送一封邮件,拆分发送多封邮件视为无效应答。
3.提交供应商资料大小不超过10M。(提交的邮件附件总大小超过10M自动拦截视为无效应答,附件请勿通过第三方邮箱转存附件)
五、注意事项
1.能够完全满足我行采购需求、有**意向、无不良行为记录的供应商均可报名。
2.本次市场调研不代表采购邀请或意向,仅为调研市场情况发起。经审查符合条件者,我行将会主动联系报名者;不符合条件者,将不会联系报名者,材料予以保密。
3.本次市场调研不收取供应商的任何费用。
4.供应商须对报名信息和资料的真实性负责。如提供虚假材料,将取消报名资格并列入我行供应商黑名单。
5.对于上述事项存在疑问的,请及时与我行联系。
2024-2025年APP安全和隐私合规检测服务集采项目信息收集表.xlsx《2024-2025年APP安全和隐私合规检测服务集采项目》供应商征集反馈材料-公司名称(全称).docx供应商准入信息导入模板.xls