重庆银行2024年移动应用安全服务项目招标公告

一、招标条件

本重庆银行2024年移动应用安全服务项目已由项目审批/核准/备案机关批准，项目资金为自筹资金175万元；招标人为重庆银行股份有限公司。本项目已具备招标条件，现进行公开招标。

二、项目概况和招标范围

规模：重庆银行2024年移动应用安全服务项目，采购预算：175万元。

范围：本招标项目划分为1个标段，本次招标为其中的：

(001) 重庆银行2024年移动应用安全服务项目

三、投标人资格要求

(001重庆银行2024年移动应用安全服务项目)的投标人资格能力要求：

1、具备独立法人资格（提供有效营业执照复印件并加盖投标人公章）。

2、投标人为原服务提供商直投或代理商投标:

（1）若为原服务提供商直投，提供售后服务承诺函原件，格式自拟；

（2）若为代理商投标，提供原服务提供商对本项目的授权函原件及售后服务承诺函原件，格式自拟。

注：

（1）同一品牌的原服务提供商和代理商不能同时参与本项目投标，否则各相关投标均做无效处理。

（2）一个原服务提供商仅能委托一个代理商参与本项目投标，否则各相关投标均做无效处理。

3、原服务提供商需获得中国网络安全审查认证和市场监管大数据中心（原中国网络安全审查技术与认证中心，英文缩写CCRC）颁发的信息安全服务资质风险评估二级或以上证书，（1）若为原服务提供商直投，提供证书复印件并加盖投标人公章；（2）若为代理商投标，提供原服务提供商的证书复印件并加盖原服务提供商公章和投标人公章。

4、2021年1月1日至本招标文件发出日期间，原服务提供商应至少有1个移动应用安全服务类项目实施案例；

以上案例须提供证明材料：

（1）案例合同复印件加盖投标人公章；

（2）案例合同复印件须包含合同首页、甲乙双方盖章页及包含业务范围描述的服务或产品内容页（如无法提供服务或产品内容页，或提供的服务或产品内容页无法直接证明为上述相关内容的，投标人还须提供相关证明材料且该证明材料须经评标委员会认定其实质性工作内容与上述相关内容相符）；

（3）案例时间以合同签订时间或甲方证明材料中注明的签订时间为准。

（4）合同名称或其内容中须包含：“移动应用安全服务”或“APP安全服务”或“移动应用加固服务”或“APP安全加固”等相关关键字。若合同内容虽含有上述关键字，但经评标委员会认定其实质性工作与本项目不相符的，不予采纳。

初审合格的业绩，可纳入后续评分评审。

5、投标人在投标截止日前未被“信用中国”网站列入失信被执行人和重大税收违法案件当事人名单。

提供“信用中国”http://www.creditchina.gov.cn 网站查询结果。

查询方式：进入信用中国网站http://www.creditchina.gov.cn，右上角查询框中输入企业名字查询，在查询结果中找到对应企业，下载信用信息报告。

提示：下载的信用信息报告为PDF格式，名称为“法人和非法人组织公共信用信息报告”，右上角有二维码校验码。

查询生成时间：应当为本招标文件发出日至投标文件递交截止日之间的任意一天。

递交方式：将打印的信用信息报告装订入投标文件中一起密封提交。

本项目不允许联合体投标。

四、招标文件的获取

获取时间：从2024年07月10日到2024年08月01日

获取方式：凡愿意参加投标的潜在投标人，从本公告发布之日起至投标保证金截止时间前，均可登录重庆市公共资源交易网（www.cqggzy.com，咨询电话：023-********）直接下载获取招标文件、答疑补遗等开标前的有关资料。在公告期间，各投标人应随时关注网上发布的招标文件答疑、补遗、澄清等文件内容，不管投标人是否下载，均视为已知晓招标文件的全部内容和有关事宜。本项目不需要报名，直接投标。

五、投标文件的递交

递交截止时间：2024年08月01日09时30分

递交方式：重庆市公共资源交易中心（重庆市渝北区青枫北路6号渝兴广场），具体房间号见开标当日指示牌。现场递交。

六、开标时间及地点

开标时间：2024年08月01日09时30分

开标地点：重庆市公共资源交易中心（重庆市渝北区青枫北路6号渝兴广场），具体房间号见开标当日指示牌。

七、其他

（一）服务内容：

1、移动应用安全测试服务

（1）对新建移动应用进行全面安全测试。通过白盒、黑盒测试全面检测我行移动应用的安全性，及时发现安全漏洞，并指导厂商进行整改，并出具《重庆银行移动应用安全测试报告》。

（2）对所有已投入使用的移动应用每2个月进行持续安全评估；针对每次变更后的客户端应用进行安全分析，验证版本更新后原有安全机制是否依然有效，并出具《重庆银行移动应用安全评估报告》。

（3）免费对我行科技部员工进行一次不少于3天的网络攻防培训，并提供网络攻防模拟平台供我行员工使用，提升行内安全人员的安全攻防能力。

2、IOS版移动应用代码混淆

在我行IOS移动APP客户端和IOS版SDK发布前，通过对代码进行代码混淆，有效防范应用被破解的风险。

3、安卓、鸿蒙应用安全加固

在我行移动APP客户端和SDK（android、鸿蒙）发布前，对代码进行安全加固。通过自定义编码等机制，有效防范代码被反编译，防止应用数据和源码泄露。

4、第三方SDK风险检测

为了防范我行移动APP嵌入的第三方SDK恶意行为，需对第三方SDK开展恶意行为安全检测工作。通过对SDK静态逆向、代码特征提取等手段，并结合AI技术对SDK进行深度识别，发现第三方SDK代码中涉及的远程控制、恶意传播、诱骗欺诈等恶意行为，并出具《重庆银行第三方SDK恶意行为风险检测报告》

（二）服务期限：合同签订后一年内。

（三）服务地点：重庆银行。

（四）服务成果要求：对新建移动应用进行全面安全测试，并提交相关测试报告。每2个月对全量的互联网移动APP进行安全测试，并提交相关安全测试报告。按需提交《重庆银行移动应用第三方SDK风险检测报告》（按需提交）、《移动应用兼容性测试报告》（按需提交）

（五）服务质量及验收要求：

1、在规定的相关阶段性服务完成并提交服务成果后3个工作日内进行验收；

2、安全咨询、安全测试、客户端安全加固、运维风险监测及应急响应服务四项服务每个季度进行一次阶段性验收，各阶段性服务内容包括如下：

1）完成本季度内我行提出的移动应用APP安全渗透测试与合规性测试需求，包括初测和复测，并交付相应测试报告。

2）完成本季度内我行移动APP客户端及SDK的安全加固，交付加固云平台账号及相应适配性测试报告。

（六）对拟投入服务的人员配置、经验等方面的要求：安全服务商项目人员不少于3人，应具有3年以上信息安全经验，并且成功实施过至少3个以上金融行业移动应用安全服务项目，须提供人员简历并加盖投标人公章，格式自拟。

（七）售后服务要求：本项目自服务开始一年内，针对我行已修复的移动应用客户端，还应提供免费复测服务。

（八）其他要求：如果因安全加固导致我行APP在运行中出现应用闪退、死机等问题，每发生一次扣除合同金额5%的违约金。如果我行移动应用被监管机构发现高危漏洞，每发现一个高危漏洞扣除合同金额10%的违约金。若漏洞造成安全事件的（包括但不限于服务中断、资金损失、信息泄露或被篡改、声誉风险），或违规收集信息的，我行有权拒绝支付合同剩余金额并保留进一步追究法律责任的权利。安全事件的认定标准以我行解释为准

（九）本次招标公告同时在中国招标投标公共服务平台和重庆市公共资源交易网（http://www.cqggzy.com）上发布。

八、监督部门

本招标项目的监督部门为重庆银行股份有限公司内控合规部。

九、联系方式

招标人：重庆银行股份有限公司

地址：重庆市江北区江北城街道永平门街6号

联系人：王老师

电话：023-********

电子邮件：/

招标代理机构：重庆国际投资咨询集团有限公司

地址：重庆市江北区五简路2号重庆咨询大厦A座1804室

联系人：李老师

电话：023-********

电子邮件：/