Echipament electronic (dispozitive criptografice pentru crearea semnăturii electronice)

Perioada de actualizare

de la 27.06.2025 17:43
până la 07.07.2025 09:00

Propunerea ofertelor

de la 07.07.2025 09:00
până la 11.07.2025 09:30

Licitaţie

nu va fi folosită

Evaluare

Contract

Statut Evaluare

Valoarea estimată fără TVA 2 300 000 MDL

Perioada clarificărilor: 27 iun 2025, 17:43 - 7 iul 2025, 9:00

Perioada de depunere a ofertelor: 7 iul 2025, 9:00 - 11 iul 2025, 9:30

Suport Tehnic pentru furnizori:

(+373) 79999801

Aceasta procedura se va desfășura fară licitație electronică. Oferta Dvs. este finală și trebuie să conțină toată lista de documente cerută de documentația de atribuire.

Descriere
Clarificări (5)

Echipament electronic (dispozitive criptografice pentru crearea semnăturii electronice)

Documente

Informaţia despre solicitant

Denumirea

Serviciul Tehnologia Informaţiei şi Securitate Cibernetică

Codul fiscal/IDNO

1003600096694

Adresa

2033, MOLDOVA, mun.Chişinău, locality, Piata Marii Adunari Nationale nr.1

Web site

---

Persoana de contact

Nume Prenume

Potrîmba Petru

Telefonul de contact

+37322828162

E-mail

petru.potrimba@stisc.gov.md

Datele achizitiei

Data publicării

27 iun 2025, 17:20

Data ultimilor modificări

28 iun 2025, 13:44

Achizitii.md ID

21440562

MTender ID

ocds-b3wdp1-MD-1751034046886

CPV

31710000-6 - Echipament electronic

Tipul procedurii

Licitație deschisă

Criteriu de atribuire

Preţul cel mai scăzut

Surse de finanțare

20389447

Lista loturilor

Lotul nr. 1 - Lot 1

Buget: 1991500.0 MDL

Activ

Treceți la lot

Lotul nr. 2 - Lot 2

Buget: 308500.0 MDL

Activ

Treceți la lot

Documentele procedurii de achiziție

Anunt de participare_Dispozitive criptografice_v2 (2).signed

Documentele la ofertă

Anunt de participare

27.06.25 17:43

Anunt de intentie nr.3

Documentele la ofertă

Anunt de intentie

27.06.25 17:43

Anexa nr.22

Specificaţie tehnică

Specificatii tehnice

27.06.25 17:43

Anexa nr.23

Documentele la ofertă

Specificatii de pret

27.06.25 17:43

duae_ro_0

Documentele la ofertă

DUAE

27.06.25 17:43

ds_bunuri_servicii_omf_115_15_09_2021

Documentele la ofertă

DOcumentatia standard

27.06.25 17:43

Data:

28 iun 2025, 13:44

Subiectul întrebării:

Vaforizare unui singur Brand

Întrebare:

Stimată autoritate contractantă, Toți înțelegem încotro se merge, dar poate că, în contextul schimbărilor recente (inclusiv schimbarea celor care au favorizat anterior), ar fi momentul să reveniți la cadrul legal și la o abordare corectă. De ce se favorizează explicit un singur brand? O astfel de abordare, care urmărește artificial să limiteze competiția, ridică suspiciuni evidente. Se face acest lucru de dragul unui singur distribuitor? De ce sunt blocate în mod intenționat alternative viabile? Solicităm ajustarea parametrilor tehnici, astfel încât: – să permită participarea altor ofertanți cu soluții echivalente; – să fie excluse cerințele inutile, formulate în așa fel încât să corespundă unui singur furnizor; – să fie păstrate doar acele cerințe care se bazează pe nevoi funcționale reale (funcționalități concrete, capacitate de procesare, securitate certificabilă – nu detalii de formă sau interfață de administrare). Procesul de achiziție trebuie să fie transparent, nu să servească unor interese de grup. Dacă bugetul este public, atunci și competiția trebuie să fie reală, iar selecția – justificabilă, nu dictată de afinități comerciale. Solicităm o revizuire urgentă a cerințelor tehnice, astfel încât să nu mai fie impuse bariere artificiale. Iar dacă această achiziție s-a construit pe o schemă de favorizare, poate este mai corect și mai legal să fie anulată procedura și repornită corect. În lipsa unei reacții responsabile, vom considera necesară sesizarea instituțiilor abilitate.

Răspuns (30 iun 2025, 09:30):

Stimate reprezentant, Vă mulțumim pentru interesul manifestat față de procedura de achiziție și pentru observațiile transmise cu privire la documentația procedurii de achiziții. Dorim să subliniem că stabilirea cerințelor tehnice s-a făcut cu respectarea strictă a principiilor de legalitate, transparență și proporționalitate, în baza necesităților concrete de ordin operațional și de securitate identificate de instituția noastră. Cerințele enunțate, inclusiv cele referitoare la certificările Common Criteria EAL 5+ și conformitatea cu Regulamentul (UE) nr. 910/2014 (eIDAS), nu au fost stabilite în scopul favorizării unui anumit operator economic, ci au la bază exigențele de protecție a infrastructurii cheilor publice, interoperabilitate și asigurarea unui nivel sporit de securitate criptografică. Certificarea EAL 5+ este solicitată pentru a garanta că produsul a fost testat și evaluat într-un cadru acreditat internațional, oferind o garanție obiectivă a rezistenței sale la atacuri avansate. Menționăm, conformarea dispozitivelor cu Common Criteria ( SM EN ISO/IEC 15408) este o cerință națională stabilită în pct. 72 Hotărârea Guvernului nr.184/2023 pentru aprobarea Regulamentului privind activitatea prestatorilor de servicii de încredere calificați, similar este și o norma și practică europeană; Recunoașterea ca dispozitiv calificat de creare a semnăturii electronice (QSCD) este o cerință derivată direct din legislația eIDAS, aplicabilă în mod uniform la nivelul Uniunii Europene, implementarea treptată a dispozitvelor conforme cu eIDAS în cadrul infrastruicturii informaționale naționale va accelera procesul recunoaștere a semnăturilor electronice; Specificațiile privind interfețele (USB Type A/C), suportul pentru PKCS#11 și CAPI, compatibilitatea cu multiple sisteme de operare și arhitecturi, precum și cerințele minime de memorie și trasabilitate, sunt justificate prin cerințele tehnice ale sistemelor deja implementate în infrastructura noastră și asigură continuitatea funcțională, fără a impune în mod arbitrar restricții. Subliniem că autoritatea contractantă are obligația să definească cerințe care să răspundă unor nevoi reale, nu să asigure artificial o participare generalizată, care ar putea compromite securitatea, compatibilitatea sau calitatea livrabilelor. Aceste cerințe pot fi îndeplinite de mai mulți producători care oferă produse certificate la nivel european, nefiind limitate unui singur brand, iar piața producătorilor conține exemple relevante în acest sens. În concluzie, nu considerăm că se impune modificarea cerințelor tehnice în forma actuală. Totodată, vă asigurăm că autoritatea contractantă rămâne deschisă oricărei solicitări de clarificare sau dialog constructiv, în măsura în care acesta se menține în limitele prevăzute de legislația aplicabilă

Data:

30 iun 2025, 09:56

Subiectul întrebării:

Argumentarea nevoilor

Întrebare:

Stimată autoritate contractantă, Vă mulțumim pentru răspunsul transmis. Cu toate acestea, unele justificări prezentate ridică semne de întrebare serioase privind aplicarea corectă a principiilor de proporționalitate și fundamentare tehnică reală, în sensul Legii nr. 131/2015 privind achizițiile publice, care stipulează că cerințele tehnice trebuie să fie neutre din punct de vedere concurențial și strict legate de obiectul achiziției. În acest context, vă rugăm să oferiți următoarele clarificări suplimentare: 1. Argumentarea necesității concrete pentru memoria de minimum 400KB (utilizabilă pentru pereche-le de chei): – Conform poziției dvs., cerințele au fost stabilite în funcție de necesități reale. Vă rugăm să indicați explicit fundamentul tehnico-operațional pentru care s-a impus capacitatea de minim 400KB. – Care este numărul de certificate calificate (sau profiluri criptografice) ce se intenționează a fi înscrise pe fiecare dispozitiv? – A fost efectuată o analiză documentată care să arate că o memorie mai redusă (ex. 32KB, 64KB, 128KB – frecvent întâlnite pe dispozitive QSCD calificate) nu poate acoperi aceste cerințe? Impunerea unei dimensiuni arbitrare, fără justificare operațională cuantificabilă, contravine Legii 131/2015 privind caracterul proporțional și verificabil al cerințelor. 2. Introducerea nejustificată a cerinței FIDO în contextul unei achiziții guvernate de legislația eIDAS: – Cerința de suport FIDO (Fast IDentity Online) nu este regăsită în niciun articol din Regulamentul (UE) 910/2014 (eIDAS), nici în standardele ETSI EN 419211 sau EN 419221 aplicabile dispozitivelor QSCD. Vă rugăm să indicați temeiul legal sau tehnic prin care această cerință a fost inclusă în documentație. – Ce scop concret servește suportul FIDO în contextul utilizării unui dispozitiv dedicat exclusiv pentru semnături electronice calificate (și eventual autentificare calificată), conform cadrului normativ european? – A fost analizat riscul ca această cerință să creeze o barieră de acces artificială și nejustificată pentru operatorii economici care oferă dispozitive calificate QSCD, dar care nu implementează specificații FIDO, nefiind relevante pentru scopul achiziției? Menționăm că standardele ETSI și orientările ENISA nu prevăd cerința FIDO în contextul semnăturii electronice calificate. Prin urmare, introducerea unei astfel de cerințe – fără fundamentare normativă clară – poate fi interpretată ca o favorizare indirectă, în contradicție cu prevederile Legii 131/2015. Solicităm respectuos o reanalizare obiectivă a acestor aspecte și furnizarea de justificări tehnice clare, măsurabile și conforme cu principiile legislației aplicabile în materie de achiziții.

Răspuns (30 iun 2025, 13:55):

Vă mulțumim pentru mesajul transmis și pentru abordarea constructivă în cadrul acestei proceduri. Apreciem atenția acordată conformității cerințelor tehnice cu principiile stabilite prin Legea nr. 131/2015 privind achizițiile publice, inclusiv cele de proporționalitate, transparență și concurență loială. Confirmăm că, în cazul dispozitivelor criptografice certificate, inclusiv dispozitivelor calificate, memoria totală internă declarată de producători este, de regulă, între 144KB și 400KB, iar memoria efectiv disponibilă pentru utilizator – destinată stocării cheilor, certificatelor și metadatelor asociate – este semnificativ mai mică, situându-se în practică în intervalul 32KB – 80KB. Această realitate tehnologică este bine cunoscută și a fost luată în considerare. Totuși, cerința noastră privind „memorie minimă de 400KB pentru stocarea perechilor de chei” trebuie interpretată nu strict ca o cerință de memorie dedicată exclusiv cheilor criptografice, ci ca un indicator general de capacitate hardware, care să asigure suportul pentru: stocarea a mai multor obiecte criptografice (chei, certificate, date de autentificare), în condiții de utilizare instituțională intensivă; coexistența mai multor profiluri criptografice (semnătură, autentificare, criptare) într-un singur dispozitiv, fără degradarea performanței sau necesitatea înlocuirii anticipate; compatibilitate cu aplicații care generează și păstrează metadate extinse (atribute calificate, date de audit, identificatori unici); istoric de chei (pentru continuitatea juridică a semnăturilor în contextul reînnoirii certificatelor). Referitor la presupusa introducere a cerinței FIDO Precizăm în mod clar că documentația tehnică aferentă procedurii nu conține nicio referință sau cerință legată de suportul FIDO (Fast IDentity Online). Această funcționalitate nu este solicitată, evaluată sau impusă în niciun mod în cadrul achiziției date. Orice interpretare contrară este rezultatul unei confuzii. Dacă în analiza documentației a apărut o neînțelegere sau o asociere eronată cu astfel de cerințe, vă asigurăm că aceasta nu corespunde voinței autorității contractante și nu are nicio aplicabilitate în cadrul procedurii curente. În concluzie, considerăm că cerințele formulate sunt în conformitate cu dispozițiile Legii nr. 131/2015, respectând principiile de proporționalitate, transparență și concurență loială, fiind justificate prin necesități tehnice reale, fără a introduce bariere artificiale sau preferințe comerciale. Vă mulțumim pentru participare și vă încurajăm să ne contactați pentru orice alte clarificări suplimentare.

Data:

1 iul 2025, 15:15

Subiectul întrebării:

Contradictii in raspunsuri.

Întrebare:

Stimată autoritate contractantă, Vă mulțumim pentru răspunsul transmis și pentru clarificarea privind lipsa cerinței FIDO. Confirmăm că a fost o confuzie cauzată de o versiune anterioară a specificației, iar subiectul poate fi considerat închis. În ceea ce privește însă cerința privind memoria minimă de 400KB, revenim cu următoarele observații critice: ❗ Contradicții și lipsă de fundamentare – În răspunsul transmis, confirmați că memoria efectiv utilizabilă în mod real pentru stocarea cheilor și certificatelor este de 32KB – 80KB, ceea ce este în deplin acord cu realitatea pieței. – În același timp, impuneți în continuare o cerință de „memorie minimă de 400KB pentru stocarea perechilor de chei”, pe care ulterior o redenumiți generic drept „indicator general de capacitate”. Această ambiguitate este inacceptabilă într-o procedură de achiziții publice, mai ales când afectează criterii de eligibilitate. ❓Cerem clarificări explicite, concrete, nu argumente generale Solicităm ca autoritatea contractantă să precizeze clar, fără echivoc, următoarele: Care este necesarul real operațional care justifică această valoare de 400KB? – Câte perechi de chei intenționați să stocați pe un singur dispozitiv? – Ce dimensiune are fiecare cheie (ex: 2048/3072/4096 RSA, ECC etc.)? – Câte certificate și ce dimensiune are fiecare? – Ce metadate suplimentare impuneți și în ce context operațional? – Câte profiluri criptografice simultane sunt necesare pentru același utilizator? Fără aceste informații, cerința nu este nici măsurabilă, nici verificabilă, iar menținerea ei în documentație încalcă prevederile Legea nr. 131/2015, care impun definirea criteriilor tehnice în mod clar, precis, complet și justificat. Pe de alta parte, confirmați explicit că 32KB este suficient pentru stocarea cheilor private, așa cum ați menționat în propriul răspuns. Dacă această valoare este recunoscută de dvs. ca fiind uzuală și utilizabilă, atunci impunerea a 400KB devine nejustificată tehnic și discriminatorie. În lipsa unui răspuns concret, ne rezervăm dreptul de a considera această cerință o barieră artificială și de a sesiza instituțiile competente privind disproporționalitatea documentației de atribuire.

Răspuns (3 iul 2025, 08:32):

Vă mulțumim pentru mesajul transmis și pentru corectitudinea cu care ați clarificat aspectul legat de cerința FIDO, pe care îl considerăm, de asemenea, închis. Cerința formulată în documentația — „memorie minimă de 400KB pentru stocarea perechilor de chei” — nu trebuie interpretată restrictiv sau literal ca fiind 400KB dedicați exclusiv cheilor criptografice. Această valoare reprezintă memoria totală internă a dispozitivului (non-volatilă, de tip EEPROM sau Flash), disponibilă la nivel de platformă, conform specificațiilor furnizorului. În mod firesc, din această memorie: o parte este alocată pentru stocarea obiectelor criptografice (chei, certificate, atribute), restul este rezervat pentru fișiere sistem, control intern, firmware și protecții de securitate-partea, fără care stocarea cheilor va fi imposibilă. Formularea a fost aleasă pentru a permite realizarea verificării între produse, întrucât toți producătorii serioși declară memoria totală disponibilă în fișele tehnice și certificatele CC/eIDAS. Prin urmare, cerința noastră este unificată, verificabilă și corespunde cerințelor europene. Nu este restrictivă, ci definește o clasă de calitate și capacitate minimă potrivită pentru uz instituțional și pe termen lung.

Data:

7 iul 2025, 08:18

Subiectul întrebării:

Refuz de a raspunde

Întrebare:

Stimată autoritate contractantă, înțelegem cu toți ca ChatGPT generează foarte bine text, dar va rog sa citiți mai întâi răspunsul! Răspunsul trebuie sa fie clar, constructiv, dind dovada de maturitate și transparenta. Nu ați răspuns la nici la o întrebare de clarificare! reiteram întrebările de clarificare: " ❗ Contradicții și lipsă de fundamentare – În răspunsul transmis, confirmați că memoria efectiv utilizabilă în mod real pentru stocarea cheilor și certificatelor este de 32KB – 80KB, ceea ce este în deplin acord cu realitatea pieței. – În același timp, impuneți în continuare o cerință de „memorie minimă de 400KB pentru stocarea perechilor de chei”, pe care ulterior o redenumiți generic drept „indicator general de capacitate”. Această ambiguitate este inacceptabilă într-o procedură de achiziții publice, mai ales când afectează criterii de eligibilitate. ❓Cerem clarificări explicite, concrete, nu argumente generale Solicităm ca autoritatea contractantă să precizeze clar, fără echivoc, următoarele: Care este necesarul real operațional care justifică această valoare de 400KB? – Câte perechi de chei intenționați să stocați pe un singur dispozitiv? – Ce dimensiune are fiecare cheie (ex: 2048/3072/4096 RSA, ECC etc.)? – Câte certificate și ce dimensiune are fiecare? – Ce metadate suplimentare impuneți și în ce context operațional? – Câte profiluri criptografice simultane sunt necesare pentru același utilizator? Fără aceste informații, cerința nu este nici măsurabilă, nici verificabilă, iar menținerea ei în documentație încalcă prevederile Legea nr. 131/2015, care impun definirea criteriilor tehnice în mod clar, precis, complet și justificat. Pe de alta parte, confirmați explicit că 32KB este suficient pentru stocarea cheilor private, așa cum ați menționat în propriul răspuns. Dacă această valoare este recunoscută de dvs. ca fiind uzuală și utilizabilă, atunci impunerea a 400KB devine nejustificată tehnic și discriminatorie. În lipsa unui răspuns concret, ne rezervăm dreptul de a considera această cerință o barieră artificială și de a sesiza instituțiile competente privind disproporționalitatea documentației de atribuire. "

Răspuns (7 iul 2025, 08:51):

Cerința formulată în documentația — „memorie minimă de 400KB pentru stocarea perechilor de chei” — nu trebuie interpretată restrictiv sau literal ca fiind 400KB dedicați exclusiv cheilor criptografice. Această valoare reprezintă memoria totală internă a dispozitivului (non-volatilă, de tip EEPROM sau Flash), disponibilă la nivel de platformă, conform specificațiilor furnizorului. În mod firesc, din această memorie: o parte este alocată pentru stocarea obiectelor criptografice (chei, certificate, atribute), restul este rezervat pentru fișiere sistem, control intern, firmware și protecții de securitate-partea, fără care stocarea cheilor va fi imposibilă. Formularea a fost aleasă pentru a permite realizarea verificării între produse, întrucât toți producătorii serioși declară memoria totală disponibilă în fișele tehnice și certificatele CC/eIDAS. Prin urmare, cerința noastră este unificată, verificabilă și corespunde cerințelor europene. Nu este restrictivă, ci definește o clasă de calitate și capacitate minimă potrivită pentru uz instituțional și pe termen lung. Utilizarea dispozitivelor urmeaza a fi realizata in cadrul infrastructurii cheilro publice curente, pentru lungimea cheilor stabilita in cadrul normative afferent serviciilor de încredere.

Data:

7 iul 2025, 08:27

Subiectul întrebării:

Ajustare specificatii

Întrebare:

Stimată autoritate contractantă, conform clarificărilor anterioare făcute, solicitam ajustarea documentației de atribuire asa cum prevede cadrul normativ. și anume: minim 32KB pentru stocarea cheilor private, conform clarificărilor oferite de dvs. - în loc de 400KB ca o specificație generala asa cum ați menționat dvs. PS: ajustarea necesita a fi făcută chiar și în cazul dispozitivului pentru care ați elaborat specificația! (a se citi datasheet-ul).

Răspuns (7 iul 2025, 08:52):

Ajustarea specificațiilor nu este oportună, or cerințele stabilite sunt obiectivă, verificabilă și proporțională cu nevoile autorității contractante

Doar utilizatorii autorizați ai platformei pot să adreseze întrebări în perioada de clarificări.