Przeprowadzenie zewnętrznych kompleksowych testów penetracyjnych i testów bezpieczeństwa platformy Małopolskiego Systemu Informacji Medycznej (MSIM)

Zamawiający

Nazwa WOJEWÓDZTWO MAŁOPOLSKIE

Miasto Kraków

Województwo Małopolskie

NIP 6762178337

Adres ul. Basztowa 22, 31-156 Kraków

Email inwestycje.strategiczne@umwm.malopolska.pl

Telefon 12/6160320

Strona WWW bip.malopolska.pl

Lokalizacja zamawiającego

Przybliżona lokalizacja miejscowości zamawiającego (Kraków). Dane: GeoNames, OpenStreetMap.

Szczegóły zamówienia

Rodzaj Usługi

Branża (CPV) 72254000-0 — Testowanie oprogramowania

Numer ogłoszenia 2026/BZP 00163888

Data publikacji 20.03.2026 09:15

Kody CPV

72254000-0 Testowanie oprogramowania

72810000-1 Usługi audytu komputerowego

Analiza rynkowa

Opis zamówienia

Przedmiotem zamówienia jest przeprowadzenie zewnętrznych kompleksowych testów penetracyjnych i testów bezpieczeństwa platformy Małopolskiego Systemu Informacji Medycznej (MSIM).Obszary testowe (perspektywa zewnętrzna – blackbox):1) Testy bezpieczeństwa aplikacji i uwierzytelniania2) Testy autoryzacji i kontroli dostępu3) Testy podatności aplikacyjnych4) Testy bezpieczeństwa API5) Testy kryptografii i ochrony danych6) Testy konfiguracji i komponentów7) Testy odporności i dostępności8) Testy monitorowania i logowania9) Testy zgodności i prywatności10) Testy warstwy ekspozycji.

Termin realizacji: 3 miesiące

Treść ogłoszenia

1 Zamawiający

1.1.) Rola zamawiającego	Postępowanie prowadzone jest samodzielnie przez zamawiającego
1.2.) Nazwa zamawiającego	WOJEWÓDZTWO MAŁOPOLSKIE
1.4) Krajowy Numer Identyfikacyjny	REGON 351554287
1.5) Adres zamawiającego	—
1.5.1.) Ulica	ul. Basztowa 22
1.5.2.) Miejscowość	Kraków
1.5.3.) Kod pocztowy	31-156
1.5.4.) Województwo	małopolskie
1.5.5.) Kraj	Polska
1.5.6.) Lokalizacja NUTS 3	PL213 - Miasto Kraków
1.5.7.) Numer telefonu	12/6160320
1.5.9.) Adres poczty elektronicznej	inwestycje.strategiczne@umwm.malopolska.pl
1.5.10.) Adres strony internetowej zamawiającego	https://bip.malopolska.pl
1.6.) Rodzaj zamawiającego	Zamawiający publiczny - jednostka sektora finansów publicznych - jednostka samorządu terytorialnego
1.7.) Przedmiot działalności zamawiającego	Ogólne usługi publiczne

2 Informacje podstawowe

2.1.) Ogłoszenie dotyczy	Zamówienia publicznego
2.2.) Ogłoszenie dotyczy usług społecznych i innych szczególnych usług	Nie
2.3.) Nazwa zamówienia albo umowy ramowej	Przeprowadzenie zewnętrznych kompleksowych testów penetracyjnych i testów bezpieczeństwa platformy Małopolskiego Systemu Informacji Medycznej (MSIM)
2.4.) Identyfikator postępowania	ocds-148610-b7b106f7-c595-40da-af96-566c34b5ce54
2.5.) Numer ogłoszenia	2026/BZP 00163888
2.6.) Wersja ogłoszenia	01
2.7.) Data ogłoszenia	2026-03-20
2.8.) Zamówienie albo umowa ramowa zostały ujęte w planie postępowań	Nie
2.11.) O udzielenie zamówienia mogą ubiegać się wyłącznie wykonawcy, o których mowa w art. 94 ustawy	Nie
2.14.) Czy zamówienie albo umowa ramowa dotyczy projektu lub programu współfinansowanego ze środków Unii Europejskiej	Nie
2.16.) Tryb udzielenia zamówienia wraz z podstawą prawną	Zamówienie udzielane jest w trybie podstawowym na podstawie: art. 275 pkt 1 ustawy

3 Udostępnianie dokumentów zamówienia i komunikacja

3.1.) Adres strony internetowej prowadzonego postępowania	https://ezamowienia.gov.pl/mp-client/search/list/ocds-148610-b7b106f7-c595-40da-af96-566c34b5ce54
3.2.) Zamawiający zastrzega dostęp do dokumentów zamówienia	Nie
3.4.) Wykonawcy zobowiązani są do składania ofert, wniosków o dopuszczenie do udziału w postępowaniu, oświadczeń oraz innych dokumentów wyłącznie przy użyciu środków komunikacji elektronicznej	Tak
3.5.) Informacje o środkach komunikacji elektronicznej, przy użyciu których zamawiający będzie komunikował się z wykonawcami - adres strony internetowej	https://ezamowienia.gov.pl/mp-client/search/list/ocds-148610-b7b106f7-c595-40da-af96-566c34b5ce54
3.6.) Wymagania techniczne i organizacyjne dotyczące korespondencji elektronicznej	Komunikacja między Zamawiającym a wykonawcami odbywa się przy użyciu Platformy e-Zamówienia, która jest dostępna pod adresem https://ezamowienia.gov.pl.Identyfikator (ID) postępowania na Platformie e-Zamówienia: ocds-148610-b7b106f7-c595-40da-af96-566c34b5ce54 . Komunikacja wpostępowaniu, z wyłączeniem składania ofert odbywa się drogą elektroniczną za pośrednictwem formularzy do komunikacji dostępnych w zakładce „Formularze” („Formularze do komunikacji”). Za pośrednictwem „Formularzy do komunikacji” odbywa się w szczególności przekazywanie wezwań i zawiadomień, zadawanie pytań i udzielanie odpowiedzi. Formularze do komunikacji umożliwiają również dołączenie załącznika do przesyłanej wiadomości. W uzasadnionych przypadkach uniemożliwiających komunikację za pośrednictwem Platformy e-Zamówienia, Zamawiający dopuszcza komunikację za pomocą poczty elektronicznej na adres e-mail: inwestycje.strategiczne@umwm.malopolska.pl (nie dotyczy składania ofert).
3.8.) Zamawiający wymaga sporządzenia i przedstawienia ofert przy użyciu narzędzi elektronicznego modelowania danych budowlanych lub innych podobnych narzędzi, które nie są ogólnie dostępne	Nie
3.12.) Oferta - katalog elektroniczny	Nie dotyczy
3.14.) Języki, w jakich mogą być sporządzane dokumenty składane w postępowaniu	polski
3.15.) RODO (obowiązek informacyjny)	Klauzule informacyjne z art. 13 i 14 RODO zostały ujęte w rozdziale XXVIII SWZ.

4 Przedmiot zamówienia

4.1.) Informacje ogólne odnoszące się do przedmiotu zamówienia.	—
4.1.1.) Przed wszczęciem postępowania przeprowadzono konsultacje rynkowe	Nie
4.1.2.) Numer referencyjny	IS-I.272.15.2025
4.1.3.) Rodzaj zamówienia	Usługi
4.1.4.) Zamawiający udziela zamówienia w częściach, z których każda stanowi przedmiot odrębnego postępowania	Tak
4.1.8.) Możliwe jest składanie ofert częściowych	Nie
4.1.13.) Zamawiający uwzględnia aspekty społeczne, środowiskowe lub etykiety w opisie przedmiotu zamówienia	Nie
4.2. Informacje szczegółowe odnoszące się do przedmiotu zamówienia	—
4.2.2.) Krótki opis przedmiotu zamówienia	Przedmiotem zamówienia jest przeprowadzenie zewnętrznych kompleksowych testów penetracyjnych i testów bezpieczeństwa platformy Małopolskiego Systemu Informacji Medycznej (MSIM).Obszary testowe (perspektywa zewnętrzna – blackbox):1) Testy bezpieczeństwa aplikacji i uwierzytelniania2) Testy autoryzacji i kontroli dostępu3) Testy podatności aplikacyjnych4) Testy bezpieczeństwa API5) Testy kryptografii i ochrony danych6) Testy konfiguracji i komponentów7) Testy odporności i dostępności8) Testy monitorowania i logowania9) Testy zgodności i prywatności10) Testy warstwy ekspozycji.
4.2.6.) Główny kod CPV	72254000-0 - Testowanie oprogramowania
4.2.7.) Dodatkowy kod CPV	72810000-1 - Usługi audytu komputerowego
4.2.8.) Zamówienie obejmuje opcje	Nie
4.2.10.) Okres realizacji zamówienia albo umowy ramowej	3 miesiące
4.2.11.) Zamawiający przewiduje wznowienia	Nie
4.2.13.) Zamawiający przewiduje udzielenie dotychczasowemu wykonawcy zamówień na podobne usługi lub roboty budowlane	Nie
4.3.) Kryteria oceny ofert	—
4.3.2.) Sposób określania wagi kryteriów oceny ofert	Procentowo
4.3.3.) Stosowane kryteria oceny ofert	Kryterium ceny oraz kryteria jakościowe
Kryterium 1	—
4.3.5.) Nazwa kryterium	Cena
4.3.6.) Waga	60
Kryterium 2	—
4.3.4.) Rodzaj kryterium	organizacja, kwalifikacje zawodowe i doświadczenie osób wyznaczonych do realizacji zamówienia
4.3.5.) Nazwa kryterium	Kwalifikacje Testera wiodącego
4.3.6.) Waga	30,00
Kryterium 3	—
4.3.4.) Rodzaj kryterium	organizacja, kwalifikacje zawodowe i doświadczenie osób wyznaczonych do realizacji zamówienia
4.3.5.) Nazwa kryterium	Dodatkowy personel, skierowany do realizacji zamówienia – tester oprogramowania
4.3.6.) Waga	10
4.3.10.) Zamawiający określa aspekty społeczne, środowiskowe lub innowacyjne, żąda etykiet lub stosuje rachunek kosztów cyklu życia w odniesieniu do kryterium oceny ofert	Nie

5 Kwalifikacja wykonawców

5.1.) Zamawiający przewiduje fakultatywne podstawy wykluczenia	Tak
5.2.) Fakultatywne podstawy wykluczenia	Art. 109 ust. 1 pkt 1 Art. 109 ust. 1 pkt 4 Art. 109 ust. 1 pkt 8 Art. 109 ust. 1 pkt 10
5.3.) Warunki udziału w postępowaniu	Tak
5.4.) Nazwa i opis warunków udziału w postępowaniu.	O udzielenie zamówienia mogą ubiegać się Wykonawcy, którzy spełniają następujące warunki określone w art. 112 ust. 2 ustawy dotyczące zdolności technicznej lub zawodowej: Powyższy warunek udziału w postępowaniu zostanie uznany za spełniony, gdy Wykonawca wykaże, że: 1. należycie wykonał (lub wykonuje – w przypadku świadczeń powtarzających się lub ciągłych) w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie, co najmniej dwie usługi, w ramach których przeprowadzone zostały: testy oprogramowania, testy aplikacji oraz testy bezpieczeństwa systemu informatycznego. 2. dysponuje lub będzie dysponował na etapie realizacji zamówienia, osobami zdolnymi do wykonania zamówienia, które będą uczestniczyć w jego realizacji spełniającymi następujące wymagania: 1) Audytor bezpieczeństwa – co najmniej 1 osoba legitymująca się posiadaniem certyfikatu ISTQB Advanced Level – Security Tester lub innego równoważnego certyfikatu potwierdzającego kompetencje z zakresu bezpieczeństwa infrastruktury IT, wydanego przez niezależną jednostkę akredytowaną do wydawania certyfikatów w tym zakresie, która w okresie ostatnich 3 lat przed upływem terminu składania ofert uczestniczyła w realizacji co najmniej 2 usług obejmujących audyty bezpieczeństwa systemów informatycznych. 2) Tester oprogramowania - co najmniej 2 osoby legitymujące się posiadaniem certyfikatu ISTQB Certified Tester lub innego równoważnego certyfikatu z zakresu testów oprogramowania na poziomie co najmniej Foundation, wydanego przez niezależną jednostkę akredytowaną do wydawania certyfikatów w tym zakresie, z których każda w okresie ostatnich 3 lat przed upływem terminu składania ofert, uczestniczyła w realizacji co najmniej 2 usług obejmujących testowanie aplikacji systemów informatycznych, wykonując zadania związane z przygotowaniem lub realizacją testów. Skierowanie do realizacji zamówienia większej liczby Testerów oprogramowania stanowi kryterium oceny ofert (K3). 3) Tester wiodący - co najmniej 1 osoba legitymująca się posiadaniem certyfikatu ISTQB Advanced Level lub innego równoważnego certyfikatu z zakresu testów oprogramowania, wydanego przez niezależną jednostkę akredytowaną do wydawania certyfikatów w tym zakresie, która w okresie ostatnich 3 lat przed upływem terminu składania ofert uczestniczyła w realizacji co najmniej 3 usług obejmujących testowanie aplikacji systemów informatycznych, w tym w co najmniej 2 usługach w roli osoby koordynującej lub kierującej pracami zespołu testowego. Skierowanie do realizacji zamówienia w funkcji Testera wiodącego osoby o kwalifikacjach wyższych, niż powyżej opisane, stanowi kryterium oceny ofert (K2). UWAGA: Zamawiający nie dopuszcza łączenia funkcji Testera oprogramowania (pkt 2) i Testera wiodącego (pkt 3) i wymaga, aby funkcje te były pełnione przez różne osoby.
5.5.) Zamawiający wymaga złożenia oświadczenia, o którym mowa w art.125 ust. 1 ustawy	Tak
5.6.) Wykaz podmiotowych środków dowodowych na potwierdzenie niepodlegania wykluczeniu	Wykonawca dołącza do oferty oświadczenie o:1) niepodleganiu wykluczeniu oraz spełnianiu warunków udziału w postępowaniu w zakresie wskazanym w VII i VIII SWZ. Wzór oświadczenia stanowi załącznik nr 2 do SWZ; 2) niepodleganiu wykluczeniu z postępowania na podstawie art. 7 ust. 1 Ustawy o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego (Dz. U. z 2025 r., poz. 514). Wzór oświadczenia stanowi załącznik nr 2A do SWZ.Zgodnie z przepisem art. 274 ust. 1 ustawy Zamawiający przed wyborem najkorzystniejszej oferty wezwie Wykonawcę, którego oferta została najwyżej oceniona, do złożenia w wyznaczonym terminie, nie krótszym niż 5 dni, aktualnych na dzień złożenia, następujących podmiotowych środków dowodowych w zakresie braku podstaw do wykluczenia:a) informacji z Krajowego Rejestru Karnego w zakresie: art. 108 ust. 1 pkt 1 i 2 ustawy, art. 108 ust. 1 pkt 4 ustawy, sporządzonej nie wcześniej niż 6 miesięcy przed jej złożeniem;b) oświadczenia Wykonawcy, w zakresie art. 108 ust. 1 pkt 5 ustawy, dotyczącego przynależności do tej samej grupy kapitałowej w rozumieniu ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (Dz. U. z 2024 r. poz. 1616), z innym Wykonawcą, który złożył odrębną ofertę;c) zaświadczenia właściwego naczelnika urzędu skarbowego potwierdzającego, że Wykonawca nie zalega z opłacaniem podatków i opłat, wystawionego nie wcześniej niż 3 miesiące przed jego złożeniem;d) zaświadczenia albo innego dokumentu właściwej terenowej jednostki organizacyjnej Zakładu Ubezpieczeń Społecznych lub właściwego oddziału regionalnego lub właściwej placówki terenowej Kasy Rolniczego Ubezpieczenia Społecznego potwierdzającego, że Wykonawca nie zalega z opłacaniem składek na ubezpieczenia społeczne i zdrowotne, wystawionego nie wcześniej niż 3 miesiące przed jego złożeniem;e) odpisu lub informacji z Krajowego Rejestru Sądowego lub z Centralnej Ewidencji i Informacji o Działalności Gospodarczej, w zakresie art. 109 ust. 1 pkt 4 ustawy, sporządzonych nie wcześniej niż 3 miesiące przed jej złożeniem, jeżeli odrębne przepisy wymagają wpisu do rejestru lub ewidencji;f) oświadczenia Wykonawcy o aktualności informacji zawartych w oświadczeniu, o którym mowa w art. 125 ust. 1 ustawy.
5.7.) Wykaz podmiotowych środków dowodowych na potwierdzenie spełniania warunków udziału w postępowaniu	Zgodnie z przepisem art. 274 ust. 1 ustawy Zamawiający przed wyborem najkorzystniejszej oferty wezwie Wykonawcę, którego oferta została najwyżej oceniona, do złożenia w wyznaczonym terminie, nie krótszym niż 5 dni, aktualnych na dzień złożenia, następujących podmiotowych środków dowodowych w zakresie warunków udziału w postępowaniu dot. zdolności technicznej lub zawodowej: a) wykaz usług wykonanych w okresie ostatnich 3 lat, do wykazu należy dołączyć dokumenty określające, czy te usługi zostały wykonane lub są wykonywane należycie;b) wykaz osób, skierowanych przez wykonawcę do realizacji zamówienia publicznego.
5.11.) Wykaz innych wymaganych oświadczeń lub dokumentów	Wykonawca może złożyć tylko jedną ofertę. Do przygotowania oferty zaleca się wykorzystanie Formularza Oferty, którego wzór stanowi Załącznik nr 1 do SWZ. W przypadku, gdy Wykonawca nie korzysta z przygotowanego przez Zamawiającego wzoru, w treści oferty należy zamieścić wszystkie informacje wymagane w Formularzu Ofertowym. W celu potwierdzenia, że osoba działająca w imieniu Wykonawcy jest umocowana do jego reprezentowania, Zamawiający wymaga od Wykonawcy złożenia wraz z ofertą odpisu lub informacji z Krajowego Rejestru Sądowego, Centralnej Ewidencji i Informacji o Działalności Gospodarczej lub innego właściwego rejestru. Wykonawca nie jest zobowiązany do złożenia odpisu lub informacji, jeżeli Zamawiający może je uzyskać za pomocą bezpłatnych i ogólnodostępnych baz danych, o ile Wykonawca wskazał dane umożliwiające dostęp do tych dokumentów. Do oferty należy dołączyć także: 1) Pełnomocnictwo upoważniające do złożenia oferty, o ile ofertę składa pełnomocnik; 2) Pełnomocnictwo dla pełnomocnika do reprezentowania w postępowaniu Wykonawców wspólnie ubiegających się o udzielenie zamówienia - dotyczy ofert składanych przez Wykonawców wspólnie ubiegających się o udzielenie zamówienia; 3) Oświadczenie Wykonawcy o niepodleganiu wykluczeniu z postępowania oraz w przedmiocie spełniania warunków udziału w postępowaniu - załącznik nr 2 do SWZ; 4) Oświadczenie Wykonawcy o niepodleganiu wykluczeniu z postępowania w związku z agresją na Ukrainę – załącznik nr 2A; 5) Zobowiązanie podmiotu udostępniającego zasoby do oddania mu do dyspozycji niezbędnych zasobów – załącznik nr 7A do SWZ – jeśli dotyczy; 6) Zobowiązanie podmiotu udostępniającego zasoby do oddania do dyspozycji Wykonawcy niezbędnych zasobów – załącznik nr 7B do SWZ – jeśli dotyczy.

6 Warunki zamówienia

6.1.) Zamawiający wymaga albo dopuszcza oferty wariantowe	Nie
6.3.) Zamawiający przewiduje aukcję elektroniczną	Nie
6.4.) Zamawiający wymaga wadium	Nie
6.5.) Zamawiający wymaga zabezpieczenia należytego wykonania umowy	Tak
6.6.) Wymagania dotyczące składania oferty przez wykonawców wspólnie ubiegających się o udzielenie zamówienia	1. Wykonawcy mogą wspólnie ubiegać się o udzielenie zamówienia. 2. Wykonawcy wspólnie ubiegający się o udzielenie zamówienia ustanawiają pełnomocnika do reprezentowania ich w postępowaniu o udzielenie zamówienia albo do reprezentowania w postępowaniu i zawarcia umowy w sprawie zamówienia publicznego (do oferty należy załączyć odpowiednie pełnomocnictwo) chyba, że w przypadku spółki cywilnej, z umowy tej spółki wynika sposób jej reprezentowania (do stwierdzenia czego niezbędne jest załączenie do oferty umowy spółki cywilnej). Wszelka korespondencja oraz rozliczenia dokonywane będą wyłącznie z podmiotem występującym, jako pełnomocnik pozostałych. Oferta musi być podpisana w taki sposób, by prawnie zobowiązywała wszystkie podmioty występujące wspólnie. 3. Wykonawcy wspólnie ubiegający się o udzielenie zamówienia, ponoszą solidarną odpowiedzialność za wykonanie umowy.
6.7.) Zamawiający przewiduje unieważnienie postępowania, jeśli środki publiczne, które zamierzał przeznaczyć na sfinansowanie całości lub części zamówienia nie zostały przyznane	Nie

7 Projektowane postanowienia umowy

7.1.) Zamawiający przewiduje udzielenia zaliczek	Nie
7.3.) Zamawiający przewiduje zmiany umowy	Tak
7.4.) Rodzaj i zakres zmian umowy oraz warunki ich wprowadzenia	Rodzaj i zakres zmian umowy oraz warunków ich wprowadzenia zostały określone w § 12 projektu umowy, stanowiącego załącznik numer 9 do SWZ.
7.5.) Zamawiający uwzględnił aspekty społeczne, środowiskowe, innowacyjne lub etykiety związane z realizacją zamówienia	Nie

8 Procedura

8.1.) Termin składania ofert	2026-04-08 11:00
8.2.) Miejsce składania ofert	Poprzez platformę e-Zamówienia: https://ezamowienia.gov.pl/mp-client/search/list/ocds-148610-b7b106f7-c595-40da-af96-566c34b5ce54
8.3.) Termin otwarcia ofert	2026-04-08 11:15
8.4.) Termin związania ofertą	do 2026-05-07

Informacje dodatkowe

Typ zamawiającego Zamawiający publiczny — inna państwowa jednostka organizacyjna

Rodzaj zamówienia Zamówienie klasyczne

Próg unijny Poniżej progu

ID postępowania ocds-148610-b7b106f7-c595-40da-af96-566c34b5ce54