Wielkie publiczne przetargi, komercyjne platformy. W tle pytanie o bezpieczeństwo

Zacznijmy jednak od początku. Otóż od kilku miesięcy największe przetargi na zamówienia publiczne o wartości powyżej progów unijnych muszą obowiązkowo odbywać się elektronicznie. Tak wynika z unijnej dyrektywy. Tyle że administracja rządowa nie zdążyła przygotować centralnej platformy e-Zamówienia.pl. Zdecydowano się na rozwiązanie tymczasowe: uruchomiono miniPortal oraz zezwolono na organizowanie ich na komercyjnych portalach zakupowych (które do tej pory obsługiwały głównie zamówienia o niskich wartościach). Niestety, nie wprowadzono przy tym żadnych mechanizmów weryfikujących bezpieczeństwo komercyjnych portali. W efekcie nikt nie sprawdza, czy przechowywane są w chmurach danych informacje o ofertach czy zastrzeżone informacje (w tym stanowiące tajemnice firm) są odpowiednio zabezpieczone, np. przed przechwyceniem przez hakerów. Nikt nie wydaje firmom certyfikatów, nikt nie kontroluje, czy się wywiązują się z zapewnień. A na platformach organizowane są przetargi przez państwową i samorządową administrację na kwoty liczone w miliardach złotych (w 2017 r. łączna wartość przetargów powyżej progów unijnych wyniosła prawie 115 mld zł). Firmy, które chcą wziąć udział w przetargach, są zmuszone albo zawierzyć, że zamawiający urzędnik sprawdził bezpieczeństwo portalu, albo też… zrezygnować ze składania ofert. ©℗

Joanna Pieńczykowska

joanna.pienczykowska@infor.pl

 

E-zamówienia pozostawione bez nadzoru

Nasze państwo w żaden sposób nie kontroluje platform zakupowych, na których organizowane są przetargi o zamówienia publiczne na kwoty liczone w miliardach. Firmy zainteresowane udziałem w postępowaniach są zmuszone albo im zawierzyć, albo też zwyczajnie zrezygnować ze składania ofert

Od 18 października 2018 r. zamówienia publiczne powyżej tzw. progów unijnych (czyli te największe) muszą być obowiązkowo udzielane z wykorzystaniem środków komunikacji elektronicznej (patrz: infografika). To ustawowe określenie w praktyce oznacza konieczność skorzystania z platform zakupowych umożliwiających składanie ofert przez internet. Organizatorzy przetargów mają do wyboru trzy możliwości.

Pierwsza to skorzystanie z miniPortalu, czyli bezpłatnego narzędzia, które zostało udostępnione przez Urząd Zamówień Publicznych. Nie jest ono zbyt rozbudowane, gdyż stworzono je w ostatniej chwili, jako rozwiązanie tymczasowe, kiedy okazało się, że nie uda się przygotować na czas docelowego rozwiązania: portalu e-Zamówienia (obecnie wciąż jest jeszcze tworzony na zlecenie Ministerstwa Cyfryzacji). Mimo tych ograniczeń miniPortal – głównie z powodu tego, że jest darmowy – cieszy się zdecydowanie największym zainteresowaniem zamawiających.

Druga opcja to własne, tworzone na zamówienie, platformy informatyczne. Tyle że stać na nie stosunkowo niedużą grupę zamawiających, najczęściej tych, którzy udzielają stosunkowo największej liczby zamówień.

I wreszcie ostatnia możliwość: skorzystanie z komercyjnych platform zakupowych (czyli oferowanych przez prywatne podmioty). Są one zwykle rozbudowane, ale bardziej intuicyjne i jednocześnie przez to łatwiejsze w obsłudze dla zamawiających niż nakładka miniPortal. Tę opcję wybrało chociażby 65 jednostek administracji rządowej, dla których już w kwietniu wykupiono dostęp do jednej z platform. W związku z uruchomieniem miniPortalu, który stał się darmową alternatywą dla komercyjnych narzędzi, ceny dostępu do tych ostatnich zmalały wielokrotnie. W tej chwili stać już na nie nawet średniej wielkości zamawiających. Na rynku można znaleźć już w sumie kilkanaście konkurujących ze sobą rozwiązań, z czego kilka najbardziej znanych (patrz: ramka).

Państwo umywa ręce

Każda z platform gwarantuje, że świadczy w pełni zgodne z przepisami usługi, a co najważniejsze, że są one bezpieczne i osoby postronne nie mają dostępu do przesyłanych za ich pośrednictwem informacji. Z pewnością tak właśnie jest, ale pytanie jest inne: czy ktokolwiek to kontroluje, czy te zapewnienia są prawdziwe?

Wyobraźmy sobie taki oto scenariusz: służby wywiadowcze obcego państwa zawiązują w Polsce za pośrednictwem podstawionych osób spółkę, która oferuje na polskim rynku dostęp do wyjątkowo taniej, a jednocześnie nadzwyczaj funkcjonalnej platformy zakupowej. Jak nietrudno się domyślić, szybko staje się ona narzędziem bardzo chętnie wykorzystywanym przez zamawiających. Wykonawcy walczący o zamówienia publiczne, chcąc nie chcąc, muszą z niej startować. Oferty są szyfrowane, ale nikt nie zdaje sobie sprawy z tego, że wspomniane już obce służby mogą je odszyfrowywać w dowolnym momencie. W ten sposób najściślejsze tajemnice przedsiębiorstwa, w tym również know-how, wyciekają za granicę.

Scenariusz rodem z filmu science fiction – ktoś powie. Ale czy realny? Czy państwo polskie zapewnia jakikolwiek nadzór nad działalnością platform zakupowych, który uniemożliwiałby wprowadzenie tego lub podobnego czarnego scenariusza w życie? Pytanie to zadaliśmy trzem resortom: spraw wewnętrznych i administracji, cyfryzacji oraz przedsiębiorczości i technologii. Żadne z nich nie odpowiedziało na nie wprost. Ale pośrednio z odpowiedzi wynika jedno: organy państwa nie sprawują żadnego nadzoru ani kontroli nad bezpieczeństwem komercyjnych platform zakupowych.

Tymczasem eksperci nie mają wątpliwości, że zarysowany przez nas scenariusz jest jak najbardziej możliwy. – Niestety ten scenariusz jest w pełni realistyczny. Państwo w żaden sposób nie kontroluje platform zakupowych, za pośrednictwem których są przecież przekazywane poufne informacje. Informacje warte bardzo duże pieniądze – stwierdza Michał Rogalski, ekspert zajmujący się tematyką zamówień w Polskiej Izbie Informatyki i Telekomunikacji. – Jestem jak najdalej od tego, by państwo mieszało się w biznes, ale uważam, że akurat w tym zakresie nadzór jest niezbędny. A nikt, poza organami państwa, nie jest w stanie go zapewnić – dodaje.

Również dr Łukasz Olejnik, niezależny badacz i konsultant cyberbezpieczeństwa i prywatności, nie ma złudzeń. – Opisany scenariusz na pierwszy rzut oka może wydawać się ekstremalny. Jednak historia zna przypadki, gdy przestępcy lub nawet osoby, co do których się podejrzewa, że działali z ramienia pewnych krajów, realizowali podobne scenariusze. Rejestrowano „podstawione” systemy lub nawet oprogramowanie podające się za w pełni „prawdziwe”, a w rzeczywistości umożliwiające później zdalny dostęp do systemów – mówi.– To jednak wciąż przypadki szczególne – zaznacza.

Nie wszyscy jednak eksperci podzielają te obawy. Zdaniem części z nich gra nie jest warta świeczki. – Samo założenie i zbudowanie portalu, który spełniałby wymogi techniczne, o których wspomniałem wcześniej tylko i wyłącznie w celu przejęcia tajemnicy przedsiębiorstwa firm startujących w przetargach – wymagałoby zaangażowania dużych nakładów finansowych i osobowych oraz spełnienia ram proceduralnych narzuconych przez organy państwowe. Portal taki musiałby również uwiarygodnić swoją pozycję na rynku. W związku z tym uważam, że nakład środków nie byłby współmierny do celu tego przedsięwzięcia – przekonuje Grzegorz Szajerka, dyrektor ds. ochrony danych osobowych w Grupie Prawnej Togatus.

opinia eksperta

To nie jest zwykła strona internetowa

dr Łukasz Olejnik niezależny badacz i konsultant cyberbezpieczeństwa i prywatności

Konstrukcja systemu platformy zamówień publicznych nie jest szczególnie trudnym przedsięwzięciem, powinna zostać jednak wykonana bardzo precyzyjnie i w przemyślany sposób. Nie chodzi tu bowiem o zwykłą stronę internetową z bazą danych zrobioną na zaliczenie przez grupę studentów politechniki. Przy świadczeniu takich usług stawka ryzyka jest dość wysoka, a system musi być właściwie zaprojektowany technicznie. Ponieważ platformy te mogą przetwarzać dane wrażliwe, muszą być one odpowiednio projektowane już od samego początku.

Preferowane powinny być więc rozwiązania szyfrujące dane przed ich przesłaniem do platformy obsługującej zamówienia w taki sposób, by ich odczytanie było możliwe jedynie przez oferentów. Także w drugą stronę: jedynie zamawiający powinien mieć dostęp do ofert. Same platformy nigdy nie powinny mieć wglądu w dane, a nawet w komunikację i proces składania ofert. To już kwestia prawidłowego projektu i wdrożenia właściwych rozwiązań technicznych, w tym – kryptograficznych. Platformy nie powinny też chcieć posiadać dostępu do ofert. Również dla własnego bezpieczeństwa.

Nie ulega wątpliwości, że warto rozważyć objęcie tego rodzaju projektów, będących na styku między państwem a tego typu platformami komercyjnymi, odpowiednimi wymogami, standardami, zasadami. Wypracowanie takich zasad byłoby pomocne także dla samego procesu dopuszczania do użytku platform. Zwłaszcza gdy może dochodzić do przetwarzania danych wrażliwych.

Warto rozważyć postawienie wymogu publicznego udostępnienia danych technicznych o projekcie systemu. W wersji minimum – jednostce koordynującej zatwierdzanie portali do użytku. Stanowiłoby to swego rodzaju sito, które umożliwi wyłuskanie projektów niebezpiecznych bądź wadliwie projektowanych. To przecież może być nie tylko kwestia cyberbezpieczeństwa, ale także bezpieczeństwa informacji państwa. ©℗

Na głowie urzędnika

Warto zadać pytanie, czy ktokolwiek odpowiada za bezpieczeństwo e-przetargów? Jak wynika z odpowiedzi przekazanej nam przez Ministerstwo Przedsiębiorczości i Technologii (MPiT) – odpowiedzialność spoczywa wyłącznie na zamawiających.

„Jest to sytuacja analogiczna, jak przy wyborze operatora telefonicznego, dostawcy usług IT, administratora IT czy nawet firmy sprzątającej. Z zasady wiedza o zamówieniach publicznych jest w przeważającej większości jawna, jednak w każdym z tych przypadków hipotetycznie może nastąpić kontakt lub dostęp do informacji wrażliwej czy chronionej. Odpowiedzialność co do wyboru odpowiedniego wykonawcy czy portalu spoczywa na zamawiającym i jego służbach. W tym zakresie, w celu eliminowania czy minimalizowania takich potencjalnych zjawisk, zamawiający powinien wymagać odpowiednich potwierdzonych zabezpieczeń na etapie wyboru wykonawcy czy portalu” – wyjaśnia MPiT.

A zatem to zamawiający powinni wybrać taką platformę zakupową, która nie tylko będzie bezpieczna, ale też zapewni zgodność z rozporządzeniem prezesa Rady Ministrów z 27 czerwca 2017 r. w sprawie użycia środków komunikacji elektronicznej w postępowaniu o udzielenie zamówienia publicznego oraz udostępniania i przechowywania dokumentów elektronicznych (Dz.U z 2017 r. poz. 1320 ze zm.).

– Rozporządzenie nakłada obowiązek spełnienia określonych warunków, w tym także bezpieczeństwa, ale wyłącznie na zamawiających. Tak więc to nie organy państwa, ale konkretny urzędnik odpowiedzialny za zamówienia publiczne powinien sprawdzić, czy wybrana przez niego platforma spełnia wszystkie wymagania – zauważa Adam Wiktorowski, prawnik i ekspert ds. zamówień publicznych.

Tu pojawia się kolejne pytanie, które warto postawić: czy zamawiający jest w stanie w jakikolwiek sposób sprawdzić, czy wybrana przez niego platforma spełnia wymagania? Czy ma odpowiednie narzędzia do takiej weryfikacji?

– Niestety nie. W praktyce musi zadowolić się informacjami przekazywanymi jej przez firmę dostarczającą narzędzi zakupowych. Ich prawdziwości nie ma jak zweryfikować – uważa Michał Rogalski.

Urzędnik wybierający platformę zakupową może sprawdzić, jakie oferuje funkcjonalności, jak wygląda jej polityka bezpieczeństwa, sposób szyfrowania. Może też, a nawet powinien, dowiedzieć się, gdzie są usytuowane serwery, na których przechowywane są pliki z ofertami. Przy czym i tak ostatecznie jednak będzie musiał zaufać dostawcy usługi. W najlepszym razie – na gwarancjach firm, które wystawiają certyfikaty potwierdzające bezpieczeństwo – o ile oczywiście dana platforma poddaje się takim audytom (bo nie ma takiego obowiązku).

Firmy pod ścianą

W jeszcze gorszej sytuacji są wykonawcy startujący w e-przetargach. Po pierwsze dlatego, że często muszą korzystać z wielu, a nie jednej platformy zakupowej. A to oznacza, że w praktyce zmuszeni są nie tylko nauczyć się obsługi każdej z nich z osobna, ale też dostosować do nich swe zasady bezpieczeństwa. Jedna z firm ubiegających się o polskie zamówienia zorientowała się niedawno, że składanie podpisu elektronicznego na jednym z portali wymaga zainstalowania specjalnej wtyczki do przeglądarki. Ponieważ firma ta jest częścią globalnej korporacji – zasady bezpieczeństwa określa centrala. Polska spółka córka musiała więc wystąpić do zagranicznej spółki matki o zgodę na to, by zastosować wyjątek w zasadach bezpieczeństwa. Ostatecznie skończyło się na tym, że do składania ofert wydzielony został osobny komputer, który nie jest podłączony do firmowej sieci.

Dużo bardziej jednak firmy obawiają się, że dojdzie do ujawnienia tajemnicy przedsiębiorstwa: zdarza się bowiem, że takie poufne informacje, stanowiące pilnie strzeżone tajemnice firm, startujący w przetargach muszą wskazywać w swych ofertach.

– Wielu wykonawców zadaje mi pytanie: czy gdy wysyłają ofertę i załączniki z poufnymi informacjami do takiego systemu – jaką mogą mieć pewność, że są one bezpieczne, tj. chronione przed wyciekiem? Skoro są szyfrowane gdzieś w chmurze, to jaka jest pewność, że po drodze ktoś ich nie przechwyci? Jakie są gwarancje, że ktoś, kto zarządza takim portalem i szyfruje dane, nie ma też możliwości ich przeglądania. Przecież nikt tego nie sprawdza, nie weryfikuje. Nie stworzono systemu akredytacji takich podmiotów, nie wprowadzono systemu kontroli – zauważa Artur Wawryło, ekspert prawa zamówień publicznych, prowadzący Kancelarię Zamówień Publicznych (więcej: rozmowa).

Problem dla firm startujących w przetargach jest o tyle istotny, że wyciek tajnych informacji to często być albo nie być na rynku. W dzisiejszej gospodarce informacja to pieniądz, a ochrona know-how stanowi jedno z istotniejszych wyzwań, przed którymi stają firmy. Wiele z nich poświęca gigantyczne sumy na ich ochronę. Przedsiębiorstwa wprowadzają polityki bezpieczeństwa, ściśle reglamentują pracownikom dostęp do chronionych informacji, nierzadko zatrudniają nawet całe piony specjalistów, którzy mają zapobiegać ich wyciekom.

Ostatecznie zaś wykonawca, decydując się na udział w przetargu, staje pod ścianą: nie ma wyboru bowiem – albo zaufa platformie zakupowej wybranej przez danego zamawiającego, albo też zrezygnuje z walki o zamówienie. Innej możliwości zwyczajnie nie ma.

Przed tym samym dylematem firmy stają jednak też w innych krajach. W wielu, tak jak w Polsce, państwo nie ingeruje w żaden sposób w działalność platform internetowych. Są jednak i takie, w których pewien nadzór jest sprawowany. Przykładem są Czechy, gdzie specjalne rozporządzenie stawia platformom zakupowym wiele szczegółowych wymagań, w tym także tych dotyczących bezpieczeństwa. Co więcej: jednostka państwowa wydaje tam też specjalne certyfikaty, bez których nie mogą one oferować swych usług na rynku zamówień publicznych.

!Czy zamawiający jest w stanie w jakikolwiek sposób sprawdzić, czy wybrana przez niego platforma spełnia wymagania? Niestety nie. W praktyce musi się zadowolić informacjami przekazywanymi mu przez firmę zarządzającą

Branża nie mówi „nie” kontrolom

Czy zatem państwo powinno w jakiś sposób kontrolować funkcjonowanie platform zakupowych? Wielu ekspertów jest zdania, że tak. Zwłaszcza że zamawiającymi są urzędy publiczne: ministerstwa, urzędy samorządowe.

– Wraz z rozwojem komercyjnych portali niewątpliwie organy państwa dostrzegą, iż dla ochrony przedsiębiorców oraz budowania zaufania w sferze elektronicznych zamówień publicznych konieczne jest zapewnienie wyższego poziomu bezpieczeństwa tych usług i ich standaryzacja. Powinien zostać wprowadzony całościowy i skuteczny mechanizm kontroli od momentu tworzenia samych portali po ich funkcjonowanie. Jest to konieczne dla zapewnienia wysokiego poziomu bezpieczeństwa informacji przekazywanych przez użytkowników, stanowiących częstokroć tajemnicę przedsiębiorstwa – uważa Rita Świętek, radca prawny z kancelarii Głowacki i Wspólnicy.

Co ciekawe, również część samych dostawców takich usług dostrzega potrzebę jakiegoś rodzaju nadzoru ze strony organów państwa.

– Absolutnie konieczne jest, aby platformy zakupowe, za pośrednictwem których udzielane są wielomilionowe zamówienia, były weryfikowane i certyfikowane przez organy państwowe zarówno pod względem bezpieczeństwa, jak i zgodności z przepisami – uważa Anna Serpina-Forkasiewicz, prezes zarządu Portalu PZP.

Z kolei Robert Bonat, członek zarządu Marketplanet, proponuje, by patrzeć na problem szerzej niż tylko przez pryzmat dostarczanych narzędzi.

– Potrzeba kontroli ze strony organów państwa nie powinna być związana z kategorią systemów informatycznych, lecz z podmiotami, danymi oraz procesami obsługiwanymi przez te systemy. Czyli ewentualna kontrola nie powinna wynikać z samej definicji platformy zakupowej, ale bardziej z faktu, że dochodzi tu do przetwarzania danych dotyczących postępowań zakupowych w podmiotach publicznych. W tym świetle mogę sobie wyobrazić sytuację, w której organy państwowe występowałyby w roli „zcentralizowanego właściciela”, dbającego o bezpieczeństwo systemów informatycznych podległych sobie jednostek – zauważa.

Jak platformy zakupowe dbają o zabezpieczenia

Do kilku wybranych platform zakupowych oferujących rozwiązania dla rynku zamówień publicznych przesłaliśmy pytania o stosowane zabezpieczenia, certyfikację, miejsce przechowywania danych i ubezpieczenie od odpowiedzialności cywilnej. Przedstawiciele tych, które odpowiedziały na nasze pytania, zapewniają o bezpieczeństwie stosowanych rozwiązań. Twierdzą, że przechowują dane na terenie Polski lub jednego z państw UE. Poniżej przedstawiamy otrzymane odpowiedzi.

Kontrole i certyfikaty

Czy platforma przechodzi kontrole bezpieczeństwa, jeśli tak, to jakie i czy posiada potwierdzające to certyfikaty?

• Marketplanet: Platforma przechodzi cykliczne wewnętrzne testy bezpieczeństwa przeprowadzane przy użyciu profesjonalnych narzędzi i zgodne ze standardowymi metodykami (m.in. OWASP). Ponadto przechodzimy restrykcyjne testy bezpieczeństwa przeprowadzane przez służby bezpieczeństwa naszych klientów – testy te są bardzo wymagające i dają nam pewność zachowania najwyższych standardów w tym zakresie.

• eB2B: Platforma jest cyklicznie badana przez niezależną firmę zewnętrzną, specjalizującą się w badaniu bezpieczeństwa aplikacji webowych. Platforma zakupowa eB2B posiada certyfikat OWASP L2. Należy dodać, że audyt bezpieczeństwa dotyczy całej aplikacji eB2B, a nie tylko niewielkiego fragmentu dotyczącego postępowań o zamówienia publiczne.

• Portal PZP: Zgodnie z zawartymi umowami przynajmniej raz na kwartał platforma przechodzi audyt bezpieczeństwa metodą OWASP.

• Open Nexus: Platforma przechodziła niezależny audyt bezpieczeństwa i posiada certyfikat ISO 27001, wydany przez Wojskową Akademię Techniczną.

• PROEBIZ/Josephine: Platforma przeszła proces certyfikacji bezpieczeństwa w kilku krajach. Regularnie przeprowadzane są wytrzymałościowe i penetracyjne testy naszych serwerów. Spełniamy normę ISO 27001.

Przechowywanie informacji

Gdzie są deponowane dane? W jakim kraju znajdują się serwery?

• Marketplanet: Serwery, na których przetwarzane są dane związane z udostępnianymi przez nas usługami, fizycznie znajdują się w Polsce. Marketplanet korzysta w tym zakresie z usług profesjonalnej polskiej firmy zapewniającej usługi i infrastrukturę Data Center.

• eB2B: Serwery własne eB2B znajdują się w T-Mobile Data Center w Piasecznie, ale główne środowisko przeniesiono po 10 latach do AWS we Frankfurcie – największego Data Center w Europie.

• Portal PZP: Dane znajdują się na terenie Polski, platforma ma to zagwarantowane umowami z podmiotem zapewniającym hosting.

• Open Nexus: Dane znajdują się na serwerach zlokalizowanych we Francji i Polsce.

• PROEBIZ: Dane znajdują się na serwerach w trzech lokalizacjach na terenie UE.

Sposób szyfrowania

W jaki sposób odbywa się szyfrowanie ofert składanych przez wykonawców i czy gwarantuje on bezpieczeństwo danych?

• Marketplanet: Zaimplementowane w systemie szyfrowanie ofert opiera się na komercyjnie dostępnych najbardziej aktualnych standardach kryptograficznych. Zarówno dane oferty, jak też wszelkie załączniki złożone przez wykonawców przechowywane są w systemie w postaci zaszyfrowanej od momentu ich przesłania do momentu otwarcia.

• eB2B: To informacje poufne, ale szyfrowanie to tylko jeden z elementów zabezpieczających oferty. Aplikacja obsługuje szyfrowanie dwóch rodzajów danych plików oraz dowolnych innych danych, np. formularzy. Dane są szyfrowane za pomocą 256-bitowych algorytmów, jakie są wykorzystywane wraz z innymi dodatkowymi zabezpieczeniami, które są tajemnicą przedsiębiorstwa. Sam dostęp do bazy danych czy dostęp do kodu nie wystarcza, aby można było naruszyć zaszyfrowane dane. Aplikacja szyfruje dane w momencie ich zapisania, co nie jest standardem na rynku.

• Portal PZP: Platforma zapewnia zaawansowane szyfrowanie w oparciu o asynchroniczne klucze niezależne od systemu – klucze pochodzą od Zaufanej Trzeciej Strony (podmioty wpisane na listę Narodowego Centrum Certyfikacji NCCert) i są w posiadaniu członków komisji przetargowej; przechowywane są na tzw. kartach inteligentnych, które gwarantują brak możliwości dostania się do klucza prywatnego. Do odszyfrowania ofert potrzebny jest upływ terminu otwarcia ofert, weryfikowany z serwerami czasu Głównego Urzędu Miar, oraz klucze prywatne dwóch członków komisji przetargowej. Szyfrowanie zapewnia system, ale klucze są niezależne od niego. Wykonawca nie szyfruje więc ofert sam.

• Open Nexus: Szyfrowanie odbywa się przy użyciu zewnętrznego systemu. Nawet gdyby wykradziono dane, to pozostają logi u zewnętrznego dostawcy, wskazujące, kiedy oferty były odszyfrowane. Kanał szyfrowania danych jest zabezpieczony protokołem SSL.

• PROEBIZ: Oferta jest wysyłana w binarnym formacie zabezpieczona za pomocą protokołu SSL na serwer usługodawcy. Oprogramowanie uniemożliwia dostęp do zawartości oferty przed upłynięciem terminu składania ofert. Do zawartości oferty nie ma dostępu żadna nieuprawniona osoba, tylko te, którym sam wykonawca przyznał odpowiednie uprawnienia (oprogramowanie daje możliwość przydzielania wielowarstwowych uprawnień). W protokołach zapisuje się, kto i kiedy złożył ofertę, otworzył ofertę i ocenił ofertę. Zapisy w protokołach nie mogą być w żaden sposób zmienione i są stale dostępne dla każdego zamówienia.

Ubezpieczenie od odpowiedzialności

Czy platforma posiada wykupioną polisę OC związaną ze świadczoną działalnością i do jakiej wysokości?

• Marketplanet: Platforma posiada polisę OC (brak informacji, na jaką sumę gwarancyjną).

• eB2B: Posiada polisę OC do wysokości 500 tys. zł.

• Portal PZP: Zapewnia, że posiada różne polisy OC w wysokościach i na zdarzenia, które wynikają z zawartych umów o świadczeniu usług. Ich wysokość jest poufna.

• Open Nexus: Platforma posiada polisę OC do wysokości 3 mln zł (planuje zwiększenie sumy gwarancyjnej).

• PROEBIZ: Zapewnia o posiadaniu polisy OC na wysoką kwotę, ale odmawia jej podania. ©℗

Pojawiają się też propozycje objęcia działalności platform obowiązkowym audytem czy to ze strony organu państwa (np. Urzędu Zamówień Publicznych), czy też zapewniającej obiektywizm komercyjnej firmy.

– Najpierw powinny powstać jasne wytyczne względem platform zakupowych oraz etapów procesu zakupowego realizowanego w ich ramach i określone zostać wymagane punkty styku pomiędzy platformami komercyjnymi a centralną platformą e-Zamówienia. Uzupełnieniem tego powinny być audyty przeprowadzane przez Urząd Zamówień Publicznych lub wyznaczoną przez niego firmę komercyjną, które pozwoliłyby określić, czy dany system zakupowy spełnia stawiane wymagania – sugeruje Mateusz Borowiecki, prezes zarządu OptiBuy. Jego zdaniem obecnie zamawiający zwyczajnie nie wiedzą, które z oferowanych rozwiązań spełnia choćbym minimalne wymagania, a które nie.

Z odpowiedzi uzyskanych z MPiT wynika, że na razie nie myśli się o wprowadzeniu bezpośredniego nadzoru nad platformami ani stworzeniem systemu ich certyfikacji. W UZP trwają natomiast prace nad opracowaniem szczegółowych zasad dotyczących bezpieczeństwa. Komercyjne platformy będą musiały je spełnić, aby móc współpracować z publicznym systemem e-Zamówień, który ma zostać oddany do użytku w 2019 r. ©℗