Anschlussvereinbarung Citrix Remote Zugang Kanton Bern Rahmendokument der Anschlussvereinbarung

Transkript

1 Amt für Informatik und Organisation des Kantons Bern Finanzdirektion Office d'informatique et d'organisation du canton de Berne Direction des finances für den Citrix Remote Zugang Kanton Bern Citrix Remote Zugang Kanton Bern der Leistungsvereinbarung im Sinne von Art. 11 Bst. i der Verordnung vom 18. Oktober 1995 über die Organisation und die Aufgaben der Finanzdirektion (Organisationsverordnung FIN; OrV FIN; BSG ) und Art. 134 der Verordnung vom 3. Dezember 2003 über die Steuerung von Finanzen und Leistungen (FLV; BSG 621.1) zwischen dem Amt für Informatik und Organisation des Kantons Bern Wildhainweg 9, Postfach 6935, 3001 Bern - als Leistungsanbieter Tel IT-Basisdienste@be.ch und allen Direktionen und der Staatskanzlei des Kantons Bern (handelnd durch ihre Vertreter in der Kantonalen Informatikkonferenz) - als Leistungsbezüger Integrierender Bestandteil der sind die Anhänge 1 (Servicekatalog), 2 (Servicevereinbarung), 3 (Musterverfügung persönliches Token) und 4 (Musterverfügung unpersönliches Token) welche im Intranet des KAIO in der aktuellen Version publiziert sind. Dokumentenname: AV CitrixRemoteZugangKt.BE_V_1.0_.doc Version: 1.0 Datum: Autor: Sandy Schwab AV CitrixRemoteZugangKt.BE_V_1.0_.doc Seite 1 von 12

2 Inhaltsverzeichnis 1 Rollen und Begriffsbestimmungen Rollen Begriffe Gegenstand der Vereinbarung Systembeschreibung Vertragsbestandteile Vergütungen und Rechnungsstellung Sicherheit Vereinbarungsgrundlagen und Verantwortlichkeiten Allgemeine Vereinbarungsgrundlagen Verantwortlichkeiten Verantwortlichkeiten des Leistungsanbieters Verantwortlichkeiten des Leistungsbezügers Verantwortlichkeiten des Leistungserbringers Änderungsverfahren / Changemanagement Inkrafttreten und Änderung Gewährleistung und Haftung Gültigkeitsdauer und Kündigung Allgemeine Bestimmungen Vertraulichkeit Datenschutz Einzuhaltende Richtlinien und Weisungen Streiterledigung Dokumentenkontrolle Änderungsnachweis...12 AV CitrixRemoteZugangKt.BE_V_1.0_.doc Seite 2 von 12

3 1 Rollen und Begriffsbestimmungen 1.1 Rollen Rolle Leistungsanbieter (LA) Leistungserbringer (LE) Leistungsbezüger (LB) Endbenutzer Produktmanager (PM) 1.2 Begriffe Begriff KIK BE Basisdienste BEWAN BEWEB ADS Definition / Beschreibung Kantonale Informatikkonferenz Kantonale zentrale IT-Basisdienste wie z.b. ADS, RENO und Virenschutz Kantonales Weitbereichskommunikationsnetz Kantonale Webserver Infrastruktur Der Active Directory Service (ADS) ist ein zentraler Verzeichnisdienst zur Verwaltung von Berechtigungen innerhalb einer windowsbasierten Netzwerkinfrastruktur. System-Management-Lösung der Firma RTC. Citrix Access Gateway Citrix Secure Gateway (Vorgängerprodukt des CAG) Der Servicekatalog beschreibt die Dienste und die Services. In der Servicevereinbarung werden die einzelnen Leistungen, welche der Leistungsanbieter den Leistungsbezügern anbietet, beschrieben und spezifiziert. Staatskanzlei oder Secure Ticketing Authority Uniform Ressource Locator (Adressierungsform für Internet-Dateien) Hersteller der Systemkomponenten der starken Authentifizierung Kanton Bern System, welches den für den Zugangsschutz auf der Basis von Einmalpasswörtern vom Internet ins BEWAN sicherstellt. Kreditkartengrosses Gerät, welches Einmalpasswörter für die starke Authentifizierung erzeugt. Man-in-the-Middle ist ein Angriff auf den Kommunikationskanal zwischen zwei Partnern. Der Angreifer versucht dabei den Kommunikationskanal unter seine Kontrolle zu bringen, und zwar in der Art und Weise, dass die Kommunikationspartner nicht feststellen können ob sie miteinander oder mit dem Angreifer kommunizieren. NEuen ArbeitsPLAttform Gemeinden Secure Socket Layer (Protokoll zur Verschlüsselung von Verbindungen im Internet) RENO CAG CSG Servicekatalog Servicevereinbarung STA URL ActiveIdentity, früher Activcecard Starke Authentifizierung Token oder Zugriffs-Token Man in the Middle NEPLA(-Farm) SSL Beschreibung Der Leistungsanbieter ist das Amt für Informatik und Organisation des Kantons Bern (KAIO), welches den Direktionen und der Staatskanzlei den Citrix Remote Zugang Kanton Bern zur Nutzung anbietet. Die Leistungserbringer sind die mit dem Betrieb des Citrix Remote Zuganges Kanton Bern beauftragten Stellen. Die Leistungsbezüger sind die Direktionen und die Staatskanzlei, welche Dienste und Systemteile ihren kantonsinternen Stellen und Mitarbeitenden sowie Dritten anbieten, welche vom KAIO (Leistungsanbieter) zur Verfügung gestellt werden. Die Leistungsbezüger sind die Kunden der Leistungsanbieter. Die Endbenutzer sind Mitarbeiter des Kantons und externe Dienstleister, die den Citrix Remote Zugang mittels eines Token benützen. Der zuständige Produktmanager beim KAIO ist beim Leistungsanbieter verantwortlich für die Weiterentwicklung und die Betriebsorganisation des Citrix Remote Zugang Kanton Bern. Der PM ist die Anlaufstelle für die Leistungserbringer sowie für die Leistungsbezüger. AV CitrixRemoteZugangKt.BE_V_1.0_.doc Seite 3 von 12

4 Phishing VPN ISDS Fileserver TS-Farm, TS Appliance VPN-Router/Client Perimeterschutz OWA Hinter der Wortschöpfung Phishing, das sich aus Passwort und Fishing zusammensetzt, steckt eine Technik bei der der Angreifer versucht, die persönliche Identifikations-Nummer (PIN) und die Transaktionsdaten von Bankkunden über das Internet abzufragen und damit unerlaubte Finanztransaktionen durchzuführen. Virtual Private Network (sich innerhalb eines öffentlichen Netzes befindliches logisches Teilnetz) Informationssicherheit/Datenschutz Zentrale Datenablage Terminalserver, wobei der Begriff Farm für einen Verbund von mehreren TS steht Funktionale Einheit in einem physischen Gerät Der Zugriff auf das BEWAN kann über ein Virtual Private Network mit einem Router, oder mit einer Client-Software erfolgen. Ein VPN ermöglicht den gesicherten Zugriff von ausserhalb des BEWAN in das BEWAN. Der Perimeterschutz bildet den äussersten Schutz eines Unternehmensnetzes gegenüber dem Internet. Dabei kommen in der Regel Firewalls zum Einsatz. Er kann mit einem Zaun um ein Grundstück verglichen werden. Outlook Web Access (Zugriff auf Outlook mittels Web-Browser) Aus Gründen der Lesbarkeit wird im Dokument für Rollen und weitere Personenbezeichnungen nur die männliche Form verwendet, welche aber Frauen ebenso miteinbezieht. 2 Gegenstand der Vereinbarung 1. Diese regelt die Verantwortlichkeiten zwischen dem Leistungsanbieter (LA) und dem Leistungsbezüger (LB) betreffend der Nutzung der Dienstleistungen des Citrix Remote Zugang Kanton Bern, die im Auftrag des Leistungsanbieters vom Leistungserbringer (LE) zur Verfügung gestellt wird. 2. Die Dienstleistungen, welche von den Leistungserbringern erbracht werden, sind nur indirekt Gegenstand dieser. Sie werden zwischen dem Leistungsanbieter und den Leistungserbringern gesondert vertraglich geregelt. Für den Leistungserbringer ist diese nicht massgebend. Die folgende Grafik illustriert diesen Zusammenhang. Abbildung 1 - Beziehungsdreieck LE-LA-LB AV CitrixRemoteZugangKt.BE_V_1.0_.doc Seite 4 von 12

5 3 Systembeschreibung Der Citrix Access Gateway (CAG) bietet einen hochperformanten Remote Zugang zu verschiedensten Ressourcen (Terminalserver, Anwendungen, etc.) des Kantonsnetzwerkes. Der Zugriff auf die CAG ist mit der starken Authentifizierung Kanton Bern (ActiveIdentity) geschützt. Diese Netzwerk-Authentifizierungsmethode mit Einmalpasswörtern ist bestehend und wird bereits für den Zugriff auf Outlook Web Access (OWA) verwendet. Mittels Citrix Remote Zugang Kanton Bern werden den Leistungsbezügern die Dienste und Services gemäss den Anhängen 1 und 2 erbracht. Die nachfolgende Darstellung zeigt das Zusammenspiel der unterschiedlichen Systemen auf: Abbildung 2 - Systemaufbau Kommunikations-Legende: http-verkehr zwischen Ziffern: 1-2, 3-4, 5-6 https-verkehr zwischen den Ziffern 1-3, 1-5 ica-verkehr zwischen: 5-7 (innerhalb BEWAN) Mittels URL wird unterschieden, ob nach der Anmeldung am Netzwerk, OWA oder der Zugriff auf den CAG gestartet werden soll. Während mit der URL direkt der Zugriff auf Outlook Web Access geöffnet wird, wird mit dem Aufruf 1 ein Zugriff auf die, pro Direktion konfigurierte, CAG-Einstiegsseite erreicht. Der Endbenutzer (1) steigt über den Internet-Auftritt des Kantons Bern (2) ein. Hier sind die Nutzungsbestimmungen und eine Auswahl zu den möglichen Direktions- Einstiegsseiten zu finden. Nach der Bestätigung der Nutzungsbestimmungen wird eine Verbindung zwischen dem Client und dem Server aufgerufen. Auf dem vorge- AV CitrixRemoteZugangKt.BE_V_1.0_.doc Seite 5 von 12

6 lagerten Content Switch (3) wird die https-verbindung terminiert und mit http zu den Redirect- Server (4) weitergeleitet. Der dazwischen positionierte AAA-Server schaltet sich nun ein und verlangt von der Session eine Authentifizierung, bevor der Zugriff erlaubt wird. Nach erfolgreicher Authentifizierung wird eine Firewall-Regel aktiviert, die den Zugriff auf den http-redirect-server (4) und den CAG (5) für eine definierte Zeitdauer ermöglicht. Der http-redirect-server (4) leitet auf die mit SSL geschützte Verbindung auf den CAG (5) um. Ab diesem Moment besteht eine geschützte bzw. verschlüsselte Verbindung zwischen dem Client und dem CAG, der für alle übrigen Funktionen als Reverse Proxy funktioniert. In Ergänzung zur Abbildung 2 - Systemaufbau sind die Funktionen der verwendeten Komponenten in der nachfolgenden Tabelle beschrieben. Die Spalte Teil der ist als Abgrenzung zu verstehen und zeigt auf, welche Elemente dieser und deren Anhängen unterliegen, und welche nicht. Nr. System Funktionsbeschreibung Teil der 1. Citrix Access Gateway (CAG) 2. Secure Ticketing Authority Zugriffspunkt und Schnittstelle zwischen dem Client und den Zielsystemen (z.b. Terminalserver) Sicherheitsinstanz zur Sicherung der Verbindung zwischen dem Client und dem CAG bzw. der Web-Interfaceserver mittels Sitzungstickets 3. Redirect-Server Steuert die Weiterleitung der Verbindungen in Abhängigkeit der Zielsystemen 4. Zentrale Web- Publiziert gegenüber dem Endbenutzer die Interfaceserver für ihn bereitgestellten Anwendungen 5. Dezentrale Web- Publiziert gegenüber dem Endbenutzer die Interfaceserver für ihn bereitgestellten Anwendungen 6. Content Switch Erkennung und Weiterleitung an die relevanten Zielsysteme in Abhängigkeit der URL, welche die Benutzer im Browser eingeben. Ja Ja Ja Ja Infrastruktur des Leistungsbezügers starken Authentifizierung Kt. BE 7. Perimeter Firewall Siehe Kapitel 1.2 Nein, gehört zum Grundschutz des Leistungserbringers 8. Logon-Firewall Schaltet bzw. sperrt den effektiven Zugriff in Abhängigkeit der Vorgaben des AAA-Servers 9. AAA-Server Instanz für die eigentliche Authentifizierung und zur Kontrolle der Netzzugriffsberechtigung. Steuert die Freigabe und Sperrung von Zugriffen der Endbenutzer auf die Zielsysteme. AAA steht für Authentification, Authorization und Accounting 10. LDAP-Server Verzeichnisdienst der Benutzerverwaltung auf dem AAA-Server 11. Terminalserver - starken Authentifizierung Kt. BE starken Authentifizierung Kt. BE Grundinfrastruktur des Leistungserbringers Infrastruktur des Leistungsbezügers AV CitrixRemoteZugangKt.BE_V_1.0_.doc Seite 6 von 12

7 12. Internetzugang ins Internet und umgekehrt 13. Lokales Netz und Anbindung an das BE- WAN (LAN- Schnittstelle) 14. BEWAN Netzwerkzugang und Netzwerkübergänge, inkl. Internetverbindung Grundinfrastruktur des Leistungserbringers Grundinfrastruktur des Leistungserbringers Nein, ist in der Verantwortung des LE BEWAN Alle anderen und nicht erwähnten Schnittstellen liegen entweder in der Verantwortung der Informatik-Dienste der Leistungsbezüger oder der Endbenutzer (z.b. persönlicher Internetzugang). 4 Vertragsbestandteile Integrierender Bestandteil dieser sind die Anhänge 1 (Servicekatalog) und 2 (Servicevereinbarung), welche im Intranet des KAIO in der aktuellen Version publiziert sind. 5 Vergütungen und Rechnungsstellung 1. Die Dienstleistungen zur Nutzung des Citrix Remote Zugang Kanton Bern sind beim Leistungsanbieter budgetiert und werden dem Leistungsbezüger nicht in Rechnung gestellt. Vorbehalten bleiben künftige Kostenverrechnungen gemäss einschlägigen Bestimmungen. Künftige Investitionen im Bereich des Citrix Remote Zugang Kanton Bern werden voraussichtlich durch den Leistungsanbieter übernommen. 2. Sämtliche Aufwendungen, die über diese Leistungsvereinbarung hinausgehen (Personalund/oder Sachaufwand) und in Verantwortung der Leistungsbezüger erbracht werden, gehen zu Lasten derselben. 6 Sicherheit Mit der Verwendung des CAG sind Anwendungen, Farmen etc. grundsätzlich via vom Internet verfügbar. Der Leistungsbezüger muss sich diesem Umstand bewusst sein und dies bei der Vergabe des Zugangs berücksichtigen. Der Leistungsbezüger ist für die Anwendung bzw. Umsetzung der dafür notwendigen Sicherheitsmassnahmen mitverantwortlich. Im Zweifelsfalle soll auf eine Vergabe verzichtet werden. Bei Missbrauch ist der Zugang für die entsprechende Person zwingend zu sperren. 7 Vereinbarungsgrundlagen und Verantwortlichkeiten 7.1 Allgemeine Vereinbarungsgrundlagen 1. Der Leistungserbringer ist für die Erbringung seiner vertraglichen Leistungen berechtigt, unter vorheriger schriftlicher Benachrichtigung des Leistungsbezügers Unterlieferanten einzusetzen. 2. Der Leistungsbezüger ist verantwortlich für die ordnungsgemäße Lizenzierung aller nicht vom Leistungserbringer im Rahmen der Leistungen der vorliegenden Vereinbarung eingebrachten Softwareprodukte, die in der Informatikumgebung des Leistungsbezügers installiert und von der vereinbarten Leistung betroffen sind. AV CitrixRemoteZugangKt.BE_V_1.0_.doc Seite 7 von 12

8 3. Der Betrieb und die Verfügbarkeit des Citrix Remote Zugang Kanton Bern hängt auch von den IT-Plattformen (IT-Basisdienste ADS/RENO, BEWAN, usw.) und von der dezentralen IT- Infrastruktur der Leistungsbezüger ab. Der Leistungserbringer kann für Ausfälle, welche er nicht verursacht hat, nicht verantwortlich gemacht werden. 4. Alle im Intranet des KAIO publizierten Anhänge sind Bestandteil dieser. Es gilt die jeweils aktuell publizierte Version. 5. Sämtliche Kontakte und Adressdaten sind ebenfalls auf dem Intranet des KAIO publiziert. 7.2 Verantwortlichkeiten 1. Die Vereinbarungspartner sind zur gegenseitigen Aufklärung aller Umstände verpflichtet, welche die Erbringung der Dienstleistungen beeinflussen könnten. 2. Der Leistungsanbieter und der Leistungserbringer sind nicht verantwortlich für: a. Den Support der Endbenutzer (privater Internetzugang, PC, Notebook inkl. Software, etc.). b. Die Bereitstellung, Konfiguration und Betrieb der Endgeräte oder des Internetzugangs Verantwortlichkeiten des Leistungsanbieters Der Leistungsanbieter ist verantwortlich für: 1. Die korrekte Lizenzierung der Zugriffslizenzen des CAG. 2. Den Betrieb der starken Authentifizierung und des CAG. 3. Die Weiterentwicklung und die Spezifikation von Anforderungen an den Citrix Remote Zugang Kanton Bern z. Hd. des Leistungserbringer. 4. Die Bereitstellung und den Betrieb der Systeme des Citrix Remote Zugang Kanton Bern gemäss der Servicevereinbarung (siehe Anhang 2). 5. Die Informatik-Planung und Budgetierung des Citrix Remote Zugang Kanton Bern. 6. Den wirtschaftlichen Einsatz der Mittel. 7. Die Angemessenheit der einzusetzenden Mittel. 8. Das Contract-Management, d.h. die Verwaltung und Ablage sämtlicher Dokumente im Zusammenhang mit Aufträgen, Verträgen, etc. gegenüber den Leistungserbringern und Leistungsbezügern. 9. Die Kontrolle über die Einhaltung der Verfügbarkeit und der Dienstqualität. 10. Die Informationsbereitstellung und -vermittlung mit den geeigneten Mitteln (z.b. Intranet, Mail etc.). 11. Die Gewährleistung von Informationssicherheit und Datenschutz in seinem Aufgabenbereich und in deren der Leistungserbringer. 12. Die Wahrung gewerblicher Schutzrechte Dritter in seinem Verantwortungsbereich. Dies gilt auch für von ihm beauftragte Dritte. 13. Die Durchführung von periodischen Sitzungen durch die Planungs- und Führungseinheiten mit den Leistungserbringern. 14. Die Reportings und die Information, soweit erforderlich, gegenüber der kantonalen Informatikkonferenz KIK. 15. Die aktive Mitarbeit bei der Lösung von Systemintegrationsproblemen (Eskalation, Taskforces). 16. Die Analyse neuer Bedürfnisse zur Weiterentwicklung des Citrix Remote Zugang Kanton Bern. AV CitrixRemoteZugangKt.BE_V_1.0_.doc Seite 8 von 12

9 17. Die Zugriffslizenzen (Concurrent) auf den CAG inklusive deren Wartung liegen in der Verantwortung des Leistungsanbieters. Die restlichen Citrix-Lizenzen liegen im Verantwortungsbereich des Leistungsbezügers Verantwortlichkeiten des Leistungsbezügers Der Leistungsbezüger hat folgende Verantwortungen: 1. Die korrekte Lizenzierung bezüglich Citrix-Lizenzen (Terminalserver, Presentationserver, etc.). 2. Den Support der Endbenutzer (privater Internetzugang, Privat-PC), soweit diese Leistung überhaupt erbracht wird. 3. Die Bereitstellung, Support und Betrieb der Endgeräte (z.b. Notebooks), sofern es sich um ein Kantonsgerät handelt. 4. Die Definition und Konfiguration der Rechte, Rollen und der zugelassenen Funktionen (publizierte Anwendungen, Zugriff auf Fileserver, Verwendung des lokalen Druckers => siehe auch Drucker- Problematik gemäss Anhang 1, Ablage auf lokalen Datenträger, etc.) in Abhängigkeit des Bedarfs der Endbenutzer. 5. Die Eröffnung der Verfügungen des Leistungsanbieters an die Endbenutzer und die Aufbewahrung derselben (siehe Anhang 3 und 4). 6. Wünscht der Leistungsbezüger von den Leistungserbringern direkt auf eigene Kosten Leistungen zu beziehen, die über das Angebot hinausgehen, das der Leistungsanbieter gemäss dieser garantiert, stellt der Leistungsbezüger die Einhaltung der kantonalen Standards (namentlich des IT-Zonenplans und der einschlägigen Weisungen des Leistungsanbieters) sicher. Er informiert sich vor Auftragserteilung beim Leistungsanbieter über die finanziellen Konditionen, welcher dieser ggf. mit den Leistungsanbietern für solche Leistungen vereinbart hat. 7. Der Leistungsbezüger setzt die in den kantonalen Gremien (z.b. KIK) getroffenen Entscheide betreffend den Citrix Remote Zugang Kanton Bern um. 8. Für die Sicherheit der Systeme und Anwendungen, welche auf den Citrix Remote Zugang Kanton Bern aufsetzen, sind die Leistungsbezüger selbst verantwortlich (z.b. Virenschutz auf Arbeitsplatz-PC, Passwortschutz, etc.). Der Leistungsbezüger übernimmt die Anwendungsverantwortung, d.h. er ist für das planmässige Funktionieren der Anwendung aus Sicht seiner Endkunden und für die Sicherheit der Anwendung selber verantwortlich. 9. Der Leistungsbezüger hält die geltenden kantonalen Richtlinien und Weisungen ein. Sie sind unter der Rubrik Weisungen auf der Intranetseite des Leistungsanbieters zu finden. 10. Sämtliche vom Leistungsbezüger erstellten oder eingebrachten Daten und Programme und/oder eingebrachten Lizenzrechte bleiben in dessen Verantwortungsbereich (namentlich bezüglich Haftung und inhaltlicher Verantwortung). 11. Der Leistungsbezüger stellt dem Leistungserbringer die betriebsnotwendigen Informationen zur Verfügung. 12. Der Leistungsbezüger ist für die Pflege der Benutzerdaten und Änderungen der Berechtigungen selber verantwortlich. Dabei hat er die durch den Leistungsanbieter festgelegten Normen und Verfahren einzusetzen. 13. Der Leistungsbezüger betreibt eine amtsübergreifende Helpdesk-Organisation und stellt ausreichend qualifiziertes Personal zur Verfügung. Der Aufgabenumfang der Helpdesk- Organisation liegt im Verantwortungsbereich der Leistungsbezüger und muss dort geregelt werden. 14. Der Leistungsbezüger gewährleistet den 1st-Level Support während den Bürozeiten durch seine eigene Helpdesk-Organisation. Die Bürozeiten werden durch die Leistungsbezüger festge- AV CitrixRemoteZugangKt.BE_V_1.0_.doc Seite 9 von 12

10 legt und sollten sich ungefähr im folgenden Rahmen bewegen: Mo-Fr jeweils von 08:30 12:00 und 13:30 17:00, ohne gesetzliche Feiertage. 15. Es sind nur die in der Liste aufgeführten anrufsberechtigten Personen befugt (siehe separates Dokument), den Helpdesk bzw. den Servicedesk des Leistungserbringers anzurufen, um den 2nd- und 3rd Level Support zu beanspruchen. Die Festlegung der anrufsberechtigten Personen erfolgt durch den Leistungsbezüger. Die Anzahl Personen sollte möglichst klein sein. Der Leistungsbezüger ist verpflichtet, Personenmutationen unverzüglich dem Leistungserbringer zu melden. 16. Der Leistungsbezüger verpflichtet sich zu einer engen und lösungsorientierten Zusammenarbeit mit dem Leistungserbringer, je nach Bedarf und nach gegenseitiger Absprache auch ausserhalb der Bürozeiten. Dies gilt insbesondere im Zusammenhang mit schwerwiegenden Betriebsstörungen. 17. Der Leistungsbezüger bestimmt im Problemfall möglichst präzise die Ursache und hinterlegt beim Leistungserbringer eine aussagenkräftige Problemschilderung. 18. Die Leistungsbezüger tragen die Verantwortung bezüglich Verzögerungen, Mehraufwand oder Datenverlust bei mangelnder oder fehlerhafter Mitarbeit. 19. Der Leistungsbezüger meldet dem Leistungsanbieter umgehend und schriftlich begründet schwerwiegende Mängel, welche Ursache einer Kündigung des Outsourcingvertrages mit einem Leistungserbringer sein könnten. 20. Die Schulung und Ausbildung der Endbenutzer, Administratoren und Helpdesk-Mitarbeitenden ist Sache des Leistungsbezügers Verantwortlichkeiten des Leistungserbringers Der Leistungserbringer kann in dieser Leistungsvereinbarung nicht verpflichtet werden, da er nicht Vertragspartner ist. Zur Abgrenzung der Verantwortung und zur Festlegung als direkter Ansprechpartner werden deshalb folgende Aufgaben des Leistungserbringers aufgeführt: 1. Einen sicheren und stabilen Betrieb des Citrix Remote Zugang Kanton Bern und die dazu benötigten Umsysteme (starke Authentifizierung, Internetzugang Bedag). 2. Die Aufschaltung von neuen Terminalserver/Farmen nach Vorgaben des Leistungsbezügers. 3. Die Entgegennahme von Anfragen und Leistungserbringung rund um die starke Authentifizierung Kanton Bern, im Zusammenhang mit dem Citrix Remote Zugang Kanton Bern. 4. Die Koordination nicht klar abgrenzbarer Problemfälle mit weiteren Leistungserbringern um an geeignete Lösungen zu gelangen. 8 Änderungsverfahren / Changemanagement 1. Der zuständige Produktmanager des KAIO ist die Anlaufstelle der Leistungsbezüger für neue Bedürfnisse. 2. Neue Dienste beantragen die Leistungsbezüger ebenfalls beim zuständigen Produktmanager des KAIO. Die Realisation neuer Dienste erfolgt durch den Leistungserbringer auf Antrag des Produktmanagers des KAIO, nachdem dieser mit den zuständigen Stellen die notwendigen Abklärungen betreffend Technik, Finanzierung und Ausgabenbewilligung getroffen hat. Der Leistungsanbieter kann die Anträge im Rahmen der KIK mit anderen koordinieren. 3. Beeinflusst eine solche Änderung die Dienstleistung erheblich, informiert der Leistungsanbieter den Leistungsbezüger über die Dauer und Kosten einer detaillierten Abklärung sowie die vor- AV CitrixRemoteZugangKt.BE_V_1.0_.doc Seite 10 von 12

11 läufige Einschätzung der Realisierbarkeit und deren Konsequenzen. Daraufhin hat der Leistungsbezüger die Änderungen schriftlich zu bestätigen. 9 Inkrafttreten und Änderung Diese und ihre Anhänge treten mit der Annahme durch alle Vertreter der Leistungsbezüger an der KIK in Kraft. Die Annahme wird durch die KIK protokolliert. Änderungen dieser und ihrer Anhänge werden auf gleiche Weise beschlossen und sind ebenfalls durch die KIK zu protokollieren. 10 Gewährleistung und Haftung Im interkantonalen Verhältnis kommen keine Haftungsbestimmungen zur Anwendung. Leistungsanbieter und Leistungsbezüger tragen Sorge dazu, dass sie in der Erfüllung ihrer Aufgaben nach dieser keine Schäden bei der anderen Partei verursachen und melden der anderen Partei allfällig festgestellte Tatsachen, die zu Schäden führen könnten. Diese Bestimmung bedeutet nicht, dass die Parteien zu einer diesbezüglichen Prüfung von Tatsachen verpflichtet sind, die ausserhalb ihres Verantwortungsbereichs nach dieser liegen. Haftungsbestimmungen zwischen Leistungserbringer und Leistungsanbieter werden in deren Verträgen definiert. 11 Gültigkeitsdauer und Kündigung Diese und deren Anhänge ersetzen die vorgängig geführten Verhandlungen und Korrespondenzen. Die wird auf unbestimmte Zeit abgeschlossen. Der Leistungsanbieter kann jederzeit die Leistungsvereinbarung für alle Leistungsbezüger kündigen. Jeder Leistungsbezüger kann jederzeit auf die Leistung verzichten und die Vereinbarung kündigen. 12 Allgemeine Bestimmungen 12.1 Vertraulichkeit Die Vertraulichkeit richtet sich nach den für die Parteien als Verwaltungsstellen geltenden Bestimmungen des öffentlichen Rechts, namentlich der Personalgesetzgebung (Amtsgeheimnis, Art. 58 des Personalgesetzes vom 16. September 2004, BSG ), der Datenschutzgesetzgebung und der Informationsgesetzgebung. Für Auskünfte nach Massgabe der Datenschutz- und Informationsgesetzgebung ist ausschliesslich die Partei zuständig, in deren Geschäftsbereich die bekannt zu gebenden Informationen fallen Datenschutz 1. Die Vereinbarungspartner sind sich bewusst, dass Abschluss und Erfüllung dieser Vereinbarung zu einer Bearbeitung personenbezogener Daten über die Vereinbarungspartner, deren Mitarbeitenden, Unterauftragnehmer usw. führen kann. Sie erklären sich damit einverstanden, dass solche Daten zur Abwicklung und Pflege ihrer Geschäftsbeziehungen verwendet und zu diesem Zweck auch an Dritte wie z.b. Hersteller, Zulieferanten und Unterauftragnehmer bekannt gegeben werden können. Der bekannt gebende Vereinbarungspartner wird in solchen Fällen durch geeignete organisatorische, technische und vertragliche Vorkehrungen für die Gewährleistung des Datenschutzes sorgen. AV CitrixRemoteZugangKt.BE_V_1.0_.doc Seite 11 von 12

12 2. Es gilt die Datenschutzgesetzgebung, namentlich das Datenschutzgesetz vom 19. Februar 1986 (DSG, BSG ) 3. Der Citrix Remote Zugang Kanton Bern erfüllt die Weisungen des Regierungsrates über Informationssicherheit und Datenschutz (2127/2007). Daraus resultierende Vorgaben sind im Anhang 1 Servicekatalog festgelegt. 4. Auf Seite der Anwendung sind die Leistungsbezüger für die Einhaltung der Weisung des Regierungsrates über Informationssicherheit und Datenschutz (2127/2007) verantwortlich Einzuhaltende Richtlinien und Weisungen 1. Für die Leistungsbezüger und Endbenutzer gelten alle aktuell gültigen Weisungen und Regierungsratsbeschlüsse sowie der IT-Zonenplan gemäss Intranet des KAIO ( Zu beachten ist, dass auch Weisungen aus andern IT-Plattformen hierzu Gültigkeit haben können (z.b. aus den Bereichen Kantons ADS oder im Umgang mit User-IDs und Passwörtern). 2. Die Leistungsbezüger haben die Verfügung gemäss Anhang 3 oder 4 jedem Endbenutzer vor der Herausgabe eines Token für die Benutzung des Citrix Remote Zugang Kanton Bern zu eröffnen. Die Endbenutzer haben die Regeln der Verfügung zu beachten. 13 Streiterledigung Der Leistungsanbieter und der Leistungsbezüger verpflichten sich, bei Streitigkeiten aus dieser Vereinbarung in jedem Fall vorerst gemeinsam nach einer gütlichen Einigung zu suchen. Kann die Streitigkeit trotz echten Bemühens nicht beigelegt werden, ist die Kantonale Informatikkonferenz KIK als Schlichtungsinstanz anzurufen. Ansonsten ist die Linienführung zuständig. 14 Dokumentenkontrolle 14.1 Änderungsnachweis Version Datum Autor Beschreibung Sandy Schwab Erstversion Sandy Schwab Umfassende Ergänzungen Sandy Schwab Überarbeitung nach internem Review Sandy Schwab Einarbeitung Input Rechtsdienst Sandy Schwab Version z. Hd. Fachgruppe Anna Braun Redaktionelle Überprüfung Sandy Schwab Finale Version zur Abnahme KIK AV CitrixRemoteZugangKt.BE_V_1.0_.doc Seite 12 von 12