Dispozitive criptografice pentru crearea semnăturii electronice

Enquiry period

with 09.04.2025 09:30
to 20.04.2025 10:51

Bidding period

with 20.04.2025 10:51
to 01.05.2025 10:51

Auction

will not be used

Evaluation

Contract

Status Evaluation

Estimated value without VAT 3 325 000 MDL

Period of clarifications: 9 Apr 2025, 9:30 - 20 Apr 2025, 10:51

Submission of proposals: 20 Apr 2025, 10:51 - 1 May 2025, 10:51

Supplier technical support:

(+373) 79999801

This procedure is carried out without auction. Your offer is final and must contain the entire list of required documents.

Description
Clarifications (6)

Dispozitive criptografice pentru crearea semnăturii electronice

Documents

Information about customer

Title

Serviciul Tehnologia Informaţiei şi Securitate Cibernetică

Fiscal code/IDNO

1003600096694

Address

2033, MOLDOVA, mun.Chişinău, locality, Piata Marii Adunari Nationale nr.1

Web site

---

The contact person

Full name

Potrîmba Petru

Contact phone

+37322828162

E-mail

petru.potrimba@stisc.gov.md

Purchase data

Date created

8 Apr 2025, 13:29

Date modified

10 Apr 2025, 12:13

Achizitii.md ID

21397376

MTender ID

ocds-b3wdp1-MD-1744108169436

CPV

31710000-6 - Echipament electronic

Type of procedure

Open tender

Award criteria

The lowest price

Funding sources

20346421

List of lots

Lot nr. 1 - Lot 1

Budget: 1624350.0 MDL

Active

Go to lot

Lot nr. 2 - Lot 2

Budget: 1700650.0 MDL

Active

Go to lot

Documents of the procurement procedure

Anunt de intentie nr.3

Bidding Documents

Anunt de intentie

9.04.25 09:30

duae_ro_0

Bidding Documents

DUAE

9.04.25 09:30

ds_bunuri_servicii_omf_115_15_09_2021

Bidding Documents

Documentatia standard

9.04.25 09:30

Anexa nr.23

Bidding Documents

Specificatii de pret

9.04.25 09:30

Anunt de participare_Dispozitive criptografice_v2 (1).signed

Bidding Documents

Anunt de participare

9.04.25 09:30

Anexa nr.22

Technical Specifications

Specificatii tehnice

9.04.25 09:30

Date:

10 Apr 2025, 12:13

Question's name:

Clarificare

Question:

Stimata Autoritate Contractanta, solicitam clarificari cu privire la nejustificarea unor cerințe tehnice care favorizează în mod evident un singur producător, contrar principiilor de concurență din legislația privind achizițiile publice, precum și în contradicție directă cu prevederile Ordinului SIS nr. 57/2024, spre exemplu: impunerea suportului FIDO – nespecificat în cadrul normativ – și solicitarea nejustificată a unei memorii de minim 400KB, în condițiile în care autoritatea comercializează dispozitive cu memorie de 32KB, care permite stocarea a peste 10 certificate, iar cadrul legal interzice stocarea altor certificate decât cele ale titularului? Prin urmare solicităm insistent revizuirea specificațiilor tehnice pentru a le alinia atât la cadrul normativ aplicabil privind dispozitivele de creare a semnăturii electronice calificate, cât și la principiile de transparență și nediscriminare prevăzute în legislația achizițiilor publice.

Answer (14 Apr 2025, 09:25):

Cerințele pentru dispozitivele de creare a semnăturii electronice sunt stabilite în conformitate cu cerințele cadrului normativ în domeniul serviciilor de încredere, în special art. 14 și art. 27 din Legea nr. 124/2022 privind identificarea electronică și serviciile de încredere, cap. VI din Regulamentul privind activitatea prestatorilor de servicii de încredere calificați, aprobat prin Hotărârea Guvernului nr. 184/2023. De menționat, Cerințe tehnice în domeniul serviciilor de încredere calificate, aprobate prin Ordinul directorului SIS al RM nr. 57/2024, la care se referă în demers, nu stabilesc cerințele pentru dispozitive de creare a semnăturii electronice. Totodată, implementarea unor tehnologii și standarde, de exemplu standardului FIDO duce la creșterea încrederii în servicii prestate și extinde funcționalul dispozitivelor. De menționat, set de standarde FIDO nu este unul privat sau special, și nu se referă și nu favorizează un producător anumit. Lungimea menționată este necesară pentru generarea și stocarea cheilor criptografice. În ceea ce ține de interzicerea stocării altor certificate decât cele ale titularului, STISC respectă prevederile Legii nr. 124/2022 potrivit cărei persoana fizică sau juridică poate fi titular al unui număr nelimitat de chei private și chei publice; cheia privată este utilizată exclusiv de către titular, într-un mod ce exclude accesul la aceasta al altei persoane, ca urmare comunicăm că memoria menționată nu se referă la tipul certificatului înscris pe dispozitiv și apartenența acestui certificat către un titular. Reiterăm, cheile pe dispozitive sunt create cu respectarea prevederilor stabilite în pct. 3-7 din Cerințele tehnice în domeniul serviciilor de încredere calificate, aprobate prin Ordinul directorului SIS nr. 57/2024, potrivit căror lungimea minimă a cheilor publice şi cheilor private constituie: 1) a utilizatorilor serviciilor de încredere calificate – 2048 biţi pentru algoritmul RSA şi 256 de biţi pentru algoritmul ECC; 2) a prestatorilor de servicii de încredere calificaţi – 4096 biţi pentru algoritmul RSA şi 384 biţi pentru algoritmul ECC. 4. Termenul de valabilitate al cheii private a utilizatorului serviciilor de încredere calificate şi al certificatului cheii publice, ce corespunde cheii private, constituie: 1) până la 2 ani inclusiv – pentru lungimea cheilor publice şi private minimum de 2048 biţi, pentru algoritmul RSA; 2) până la 3 ani inclusiv – pentru lungimea cheilor publice şi private minimum de 3072 biţi, pentru algoritmul RSA şi 256 de biţi pentru algoritmul ECC; 3) până la 5 ani – pentru lungimea cheilor publice şi private minimum de 4096 biţi, pentru algoritmul RSA şi 384 biţi pentru algoritmul ECC. 5. Cheile private şi cheile publice ale prestatorului de servicii de încredere calificate se administrează în conformitate cu recomandările: 1) IETF RFC 4210 Internet X.509 Public Key Infrastructure; Certificate Management Protocol (CMP); 2) IETF RFC 6712 Internet X.509 Public Key Infrastructure – HTTP Transfer for the Certificate Management Protocol (CMP); 3) IETF RFC 4211 Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF). 6. Cheile private ale prestatorilor de servicii de încredere calificate se creează şi se păstrează pe suporturi materiale ce realizează funcţii criptografice – dispozitive de creare a semnăturilor sau a sigiliilor electronice calificate. Operaţiunile criptografice de creare a cheii publice şi a cheii private a prestatorilor de servicii de încredere calificaţi şi de creare a semnăturii electronice calificate cu utilizarea cheii private a prestatorului trebuie să fie efectuate în microcipul suportului material. 7. Cheile private ale utilizatorilor serviciilor de încredere calificate se creează şi se păstrează pe dispozitive de creare a semnăturilor electronice sau a sigiliilor electronice calificate.

Date:

14 Apr 2025, 11:57

Question's name:

Clarificare

Question:

Stimată Autoritate Contractantă, În urma analizei răspunsului transmis, constatăm cu îngrijorare că acesta este formulat într-un mod vag, neclar și în unele segmente în mod evident eronat, inducând în eroare în privința aplicabilității prevederilor legale în domeniul serviciilor de încredere. Se evită răspunsul direct la aspectele critice ridicate, iar explicațiile furnizate fie contrazic cadrul normativ existent, fie omit în mod convenabil să justifice cerințe tehnice discriminatorii, fără acoperire legală. În acest context, revenim cu solicitarea expresă de a răspunde punctual și justificat următoarelor aspecte, care evidențiază lipsa de conformitate a specificațiilor tehnice cu legislația aplicabilă: Care este temeiul legal și tehnic al includerii cerinței de suport FIDO în contextul achiziției de dispozitive de creare a semnăturii electronice calificate (QSCD), în condițiile în care acest standard nu este menționat în niciun act normativ național și nici în Ordinul SIS nr. 57/2024, iar funcționalitatea sa nu are nicio legătură cu procesul de semnare calificată? Care este justificarea tehnică și operațională a impunerii unei memorii de minim 400KB, în condițiile în care dispozitivele conforme aflate pe piață, cu memorie de 32KB, permit stocarea eficientă a peste 10 perechi de chei și certificate RSA 2048, iar legislația prevede explicit că pe un dispozitiv nu pot fi stocate certificate decât cele ale titularului? Subliniem că Ordinul SIS nr. 57/2024 conține prevederi explicite privind cerințele tehnice aplicabile dispozitivelor QSCD, în special la punctele 2, 6 și 7, contrar afirmației din răspunsul Dvs., care neagă în mod nejustificat aplicabilitatea acestui ordin. O astfel de interpretare tendențioasă denotă fie o necunoaștere a cadrului normativ, fie o încercare deliberată de a justifica specificații restrictive care pot favoriza un singur producător. Prin urmare, solicităm în mod ferm ajustarea specificațiilor tehnice astfel încât acestea: să respecte în mod clar și verificabil cerințele cadrului normativ în domeniul serviciilor de încredere calificate; să elimine barierele tehnice nejustificate care restrâng nelegal concurența; și să fie aliniate cu principiile de transparență, nediscriminare și proporționalitate prevăzute în legislația achizițiilor publice. În lipsa unui răspuns clar, complet și fundamentat juridic, ne rezervăm dreptul de a sesiza Agenția Națională pentru Soluționarea Contestațiilor, Consiliul Concurenței și alte autorități competente, întrucât considerăm că actuala formă a specificațiilor tehnice contravine atât legislației sectoriale, cât și principiilor generale de legalitate și echitate în procedurile de achiziții publice.

Answer (15 Apr 2025, 09:34):

Autoritatea contractantă a analizat cu atenție observațiile formulate și subliniază că documentația de atribuire a fost elaborată cu respectarea prevederilor legale în vigoare, având în vedere atât cadrul normativ aplicabil în domeniul serviciilor de încredere, cât și necesitățile operaționale ale instituției. Totodată, vă comunicăm următoarele. La întrebare: „ Care este temeiul legal și tehnic al includerii cerinței de suport FIDO în contextul achiziției de dispozitive de creare a semnăturii electronice calificate (QSCD), în condițiile în care acest standard nu este menționat în niciun act normativ național și nici în Ordinul SIS nr. 57/2024, iar funcționalitatea sa nu are nicio legătură cu procesul de semnare calificată?”. Menționarea suportului FIDO nu vizează procesul de creare a semnăturii electronice calificate în sine, ci răspunde unei eventuale nevoi funcționale de integrare cu sisteme moderne de autentificare și control al accesului, în cadrul infrastructurii IT. Întrucât dispozitivele calificate (QSCD) vor fi utilizate și în contexte care presupun interacțiunea cu sisteme ce implementează standarde de autentificare FIDO (de exemplu, acces securizat în medii cloud sau aplicații interne), această funcționalitate este relevantă din punct de vedere operațional. Suportul FIDO nu a fost impus ca unicul criteriu de eligibilitate și nu elimină dispozitivele conforme din piață, ci asigură un nivel suplimentar de interoperabilitate, fără a restricționa nelegal concurența. Menționarea FIDO nu contravine legislației aplicabile, iar absența acestui standard din Ordinul SIS nr. 57/2024 nu implică imposibilitatea de a solicita funcționalități suplimentare, atâta vreme cât acestea sunt justificate de cerințe operaționale. Care este justificarea tehnică și operațională a impunerii unei memorii de minim 400KB, în condițiile în care dispozitivele conforme aflate pe piață, cu memorie de 32KB, permit stocarea eficientă a peste 10 perechi de chei și certificate RSA 2048, iar legislația prevede explicit că pe un dispozitiv nu pot fi stocate certificate decât cele ale titularului? Capacitatea minimă de memorie internă solicitată pentru dispozitivele QSCD a fost stabilită ca urmare a unei analize tehnico-funcționale, ținând cont de următorii factori: eventuală necesitatea stocării a multiple perechi de chei (semnătură + autentificare) și a certificatelor aferente; utilizarea algoritmilor criptografici de generație nouă (ex: ECC, ECDSA, EdDSA), care presupun metadate suplimentare și structuri criptografice extinse; Deși este adevărat că pentru stocarea unui certificat calificat RSA 2048 este suficientă o memorie de 32KB, memoria minimă de 400KB a fost determinată pe baza unui scenariu de utilizare extinsă, care presupune funcționalități adiționale și scalabilitate pe termen mediu și lung. Această cerință nu limitează în mod nejustificat accesul pieței, având în vedere că mai mulți producători consacrați de QSCD oferă dispozitive care respectă această specificație. Cerința este proporțională și adaptată unui context tehnologic actualizat. Cu privire la aplicabilitatea ordinului SIS nr. 57/2024 autoritatea contractantă respectă în integralitate prevederile Ordinului SIS nr. 57/2024, inclusiv punctele de la punctele 2, 6 și 7, care stabilesc cerințele pentru cheile publice şi cheile private aferente serviciilor de încredere calificate. Cerințele suplimentare, sunt formulate în completarea și nu în contradicție cu acest Ordin.

Date:

16 Apr 2025, 13:50

Question's name:

Stimată Autoritate Contractantă,

Question:

În legătură cu Licența pentru importul și comercializarea mijloacelor criptografice de protecție a informației, precum și pentru prestarea serviciilor în domeniul protecției criptografice a informației, dorim să solicităm o clarificare oficială. Din interpretarea noastră, această licență este necesară în cazul prestării serviciilor de elaborare a algoritmilor criptografici, dar nu se aplică în cazul livrării echipamentelor sau dispozitivelor criptografice, care sunt sigilate de către producător și sunt livrate direct utilizatorului final, fără intervenție asupra mecanismelor criptografice interne. În ceea ce privește echipamentele cu dublă destinație, înțelegem că este necesară obținerea unei licențe de import, care se solicită în prealabil importului prin intermediul Comisiei Interdepartamentale, în coordonare cu Agenția Servicii Publice. Cu toate acestea, rugăm respectuos să ne confirmați: Este posibli ca această licență de import (Autorizare) sa fie prezentată la momentul importului efectiv al echipamentului? Vă mulțumim anticipat pentru clarificări.

Answer (17 Apr 2025, 08:14):

Potrivit pct. 5 lit. c) din Regulamentul privind licențierea activității de prestare a serviciilor în domeniul protecției criptografice a informației, aprobat prin Legea nr. 245/2008 cu privire la secretul de stat, activitatea de prestare a serviciilor în domeniul protecției criptografice a informației include punerea la dispoziția persoanelor fizice şi juridice a rețelelor de comunicații protejate prin MPCI, precum şi a mijloacelor de criptare separate.

Date:

18 Apr 2025, 09:03

Question's name:

Drivere multifuncționale

Question:

Stimată Autoritate Contractantă, rugam sa precizati daca dispozitivele trebuie sa fie suportate si de platformele mobile de exemplu Android, daca nu de ce?

Answer (18 Apr 2025, 10:04):

Conform cerințelor: dispozitivele de creare a semnăturii electronice trebuie să suporte standardul PKCS#11, la rândul său acest functional permite integrarea/recunoașterea/adaptarea dispozitivului în cadrul produselor.

Date:

18 Apr 2025, 09:13

Question's name:

Răspuns (15 apr 2025, 09:34):

Question:

Stimată Autoritate Contractantă, Răspunsul oferit confirmă faptul că suntem martori la o încălcare evidentă a legii, prin menținerea unor cerințe tehnice care nu au nicio bază legală și care favorizează în mod clar anumiți producători. Suportul FIDO nu are absolut nicio legătură cu obiectul achiziției – semnătura electronică calificată – și nu este prevăzut în niciun act normativ. Insistența de a-l păstra echivalează cu introducerea ilegală a unui criteriu restrictiv mascat. Solicităm eliminarea imediată sau menționarea clară a caracterului strict opțional și nerelevant pentru eligibilitate. Cerința de 400KB memorie este complet disproporționată, nejustificată și contrazice realitatea tehnică din piață. Este o barieră artificială ce încalcă principiile de proporționalitate și concurență. Solicităm corectarea de urgență la 32 sau maximum 64KB. Menținerea acestor abateri va fi tratată ca o încălcare directă a legislației în vigoare, iar documentația actuală va fi contestată oficial și raportată instituțiilor abilitate.

Answer (18 Apr 2025, 10:05):

Reiterăm, La întrebare privind funcționalul FIDO. Menționarea suportului FIDO nu vizează procesul de creare a semnăturii electronice calificate în sine, ci răspunde unei eventuale nevoi funcționale de integrare cu sisteme moderne de autentificare și control al accesului, în cadrul infrastructurii IT. Întrucât dispozitivele calificate (QSCD) vor fi utilizate și în contexte care presupun interacțiunea cu sisteme ce implementează standarde de autentificare FIDO (de exemplu, acces securizat în medii cloud sau aplicații interne), această funcționalitate este relevantă din punct de vedere operațional. Suportul FIDO nu a fost impus ca unicul criteriu de eligibilitate și nu elimină dispozitivele conforme din piață, ci asigură un nivel suplimentar de interoperabilitate, fără a restricționa nelegal concurența. Menționarea FIDO nu contravine legislației aplicabile, iar absența acestui standard din Ordinul SIS nr. 57/2024 nu implică imposibilitatea de a solicita funcționalități suplimentare, atâta vreme cât acestea sunt justificate de cerințe operaționale. La întrebare privind memoria internă. Capacitatea minimă de memorie internă solicitată pentru dispozitivele QSCD a fost stabilită ca urmare a unei analize tehnico-funcționale, ținând cont de următorii factori: eventuală necesitatea stocării a multiple perechi de chei (semnătură + autentificare) și a certificatelor aferente; utilizarea algoritmilor criptografici de generație nouă (ex: ECC, ECDSA, EdDSA), care presupun metadate suplimentare și structuri criptografice extinse; Deși este adevărat că pentru stocarea unui certificat calificat RSA 2048 este suficientă o memorie de 32KB, memoria minimă de 400KB a fost determinată pe baza unui scenariu de utilizare extinsă, care presupune funcționalități adiționale și scalabilitate pe termen mediu și lung. Această cerință nu limitează în mod nejustificat accesul pieței, având în vedere că mai mulți producători consacrați de QSCD oferă dispozitive care respectă această specificație. Cerința este proporțională și adaptată unui context tehnologic actualizat. Cu privire la aplicabilitatea ordinului SIS nr. 57/2024 autoritatea contractantă respectă în integralitate prevederile Ordinului SIS nr. 57/2024, inclusiv punctele de la punctele 2, 6 și 7, care stabilesc cerințele pentru cheile publice şi cheile private aferente serviciilor de încredere calificate. Cerințele suplimentare, sunt formulate în completarea și nu în contradicție cu acest Ordin.

Date:

18 Apr 2025, 09:18

Question's name:

Clarification Question

Question:

Dear, Are you absolutely sure there wasn’t a mistake in the technical specifications? Because, as written, they appear to be inconsistent with the technical capabilities of the very product they based on – namely, SafeNet. To be clear: the SafeNet device itself does not fully comply with the current specs, as defined in your tender documentation. This raises a very simple but essential question: How will this be handled during evaluation? Will such a device be accepted, despite being non-compliant by your own criteria? We would appreciate a clear answer.

Answer (18 Apr 2025, 10:51):

The requirements set out in the tender documentation have been developed in accordance with the needs of the contracting authority to ensure the operation and development of trusted services, and they comply with the applicable legal framework in the field of public procurement. Furthermore, these requirements reflect the actual needs of the contracting authority and were not formulated with any specific product or supplier in mind. With regard to your observations concerning the possible non-compliance of certain devices, we would like to point out that this aspect will be duly assessed during the offer evaluation stage, in accordance with the specifications outlined in the documentation.

Only authorized platform users may ask questions during the clarification period.