ประกวดราคาจ้างผู้เชี่ยวชาญภายนอกเพื่อประเมินประสิทธิภาพและการรักษาความปลอดภัยด้านแอปพลิเคชันด้วยการทดสอบเจาะระบบ (PENETRATION TESTING)

ขอบเขตของงาน (Terms of Reference : TOR)
การจ้างผู้เชี่ยวชาญภายนอกเพื่อประเมินประสิทธิภาพและการรักษาความปลอดภัยด้านแอปพลิเคชันด้วยการ ทดสอบเจาะระบบ (PENETRATION TESTING)

1. หลักการและเหตุผล
   เพื่อเป็นการปฏิบัติตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ในการตรวจสอบความมั่นคงปลอดภัยไซเบอร์ของบริการที่สำคัญของกองทุนบำเหน็จบำนาญข้าราชการ (กบข.) กบข. จึงจัดให้มีประเมินประสิทธิภาพด้านการรักษาความมั่นคงปลอดภัยแอปพลิเคชันด้วยการทดสอบเจาะระบบ (PENETRATION TESTING) เพื่อพัฒนาและปรับปรุงมาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ ซึ่งจะทำให้การดำเนินธุรกิจของ กบข. และการให้บริการด้านระบบสารสนเทศแก่สมาชิกของ กบข. มีความมั่นคงปลอดภัยและน่าเชื่อถือ
2. วัตถุประสงค์
   เพื่อจัดหาผู้ให้บริการตรวจสอบความมั่นคงปลอดภัยไซเบอร์ของ กบข. เพื่อประเมินประสิทธิภาพด้าน การรักษาความมั่นคงปลอดภัยแอปพลิเคชันด้วยการทดสอบเจาะระบบ (PENETRATION TESTING) โดยวิเคราะห์ ความเสี่ยง ช่องโหว่ จุดอ่อนตามมาตรฐานสากล เพื่อเป็นแนวทางให้ กบข. พิจารณาปรับเพิ่มประสิทธิภาพระบบ การรักษาความมั่นคงปลอดภัยของบริการที่สำคัญของ กบข. เพื่อให้เป็นไปตามมาตรฐานสากล และสอดคล้อง ตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
3. คุณสมบัติผู้ยื่นข้อเสนอ
   3.1 ผู้ยื่นข้อเสนอต้องมีคุณสมบัติตามมาตรฐานที่ระบบการจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (Electronic Government Procurement : e-GP) กำหนด
   3.2 ผู้ยื่นข้อเสนอต้องเป็นผู้เชี่ยวชาญและให้บริการตรวจสอบความมั่นคงปลอดภัยไซเบอร์ โดยวิเคราะห์ ความเสี่ยง ช่องโหว่ จุดอ่อนตามมาตรฐานสากล
4. รายละเอียดของงานซื้อ/จ้าง
   ผู้ให้บริการที่ได้รับการคัดเลือกต้องนำเสนอแผนการดำเนินการ วิธีการ และดำเนินการ ประเมิน ประสิทธิภาพด้านการรักษาความมั่นคงปลอดภัยแอปพลิเคชันด้วยการทดสอบเจาะระบบ (PENETRATION TESTING) โดยตรวจสอบช่องโหว่ความมั่นคงปลอดภัยไซเบอร์รวมถึงระบบรักษาความปลอดภัยด้านแอปพลิเคชัน ของบริการที่สำคัญของ กบข. ให้สอดคล้องตามมาตรฐาน OWASP หรือมาตรฐานสากลอื่นๆที่เหมาะสม โดยมี ขอบเขตการดำเนินการดังต่อไปนี้
   4.1 ผู้ให้บริการจัดทำแผนงาน รายละเอียดการดำเนินการ เครื่องมือที่ใช้งาน โปรแกรมที่เกี่ยวข้อง หรือวิธีการหรือเทคนิคที่ใช้ในการทดสอบ (Project Plan and Detail) ซึ่งรวมถึงผังโครงสร้างทีมงาน (Project Organization) และกำหนดบทบาทหน้าที่ในทีมงานที่เกี่ยวข้อง ที่รับผิดชอบดำเนินงานตลอดโครงการ
   4.2 ผู้ให้บริการจัดทำการประเมินและควบคุมผลกระทบที่อาจมีขึ้นเพื่อป้องกันไม่ให้เกิดความเสียหาย ต่อระบบสารสนเทศ ชื่อเสียงของ กบข.
   4.3 การดำเนินงานของผู้ให้บริการต้องไม่ส่งผลกระทบ หรือสร้างความเสียหายต่อระบบงานของ กบข. หากมีความเสียหายใด ๆ อันเกิดจากการดำเนินการของผู้ให้บริการ ผู้ให้บริการจะต้องรายงานให้ กบข. ทราบในทันทีและจะต้องเป็นผู้รับผิดชอบต่อความเสียหายนั้น รวมถึงผู้รับจ้างจะต้องทำให้ระบบงานที่เสียหาย หรือได้รับผลกระทบนั้นกลับใช้งานได้เป็นปกติดังเดิมในระยะเวลาอันรวดเร็ว โดยไม่มีค่าใช้จ่ายใด ๆ ทั้งสิ้น
   4.4 ผู้ให้บริการตรวจสอบความมั่นคงปลอดภัยไซเบอร์ในมุมมองของบุคคลภายนอก (External Black Box) ต่อระบบงานต่างๆ ของ กบข. ดังต่อไปนี้
   No.
   Domain
   ระบบงาน
   1
   www.gpf.or.th
   ระบบเว็บไซต์ กบข.
   2
   cfl.gpf.or.th
   ระบบ Backoffice ของเว็บไซต์ กบข.
   3
   lineconnect.gpf.or.th
   ระบบ Line OA / Line BCRM
   4
   lineconnectprod.gpf.or.th
   5
   mass.gpf.or.th
   ระบบเสริมงานทะเบียนสมาชิก (MASS)

No.
Domain
ระบบงาน
6
gpfapisprod.gpf.or.th
API ของระบบ My GPF Application
7
-
ระบบ My GPF Application (IOS/Android)

4.5 ผู้ให้บริการตรวจสอบความมั่นคงปลอดภัยไซเบอร์ในมุมมองของบุคคลภายนอก (External Gray Box) ต่อระบบงานต่างๆ ของ กบข. ดังต่อไปนี้
No.
Domain
ระบบงาน
1
mygpf.gpf.or.th
ระบบ My GPF Web
2
dms.gpf.or.th
ระบบ Document Management System (DMS)
3
gpfmcs.gpf.or.th
ระบบ MCS-WEB

4.6 ผู้ให้บริการนำเสนอวิธีการ ปรับปรุงแก้ไขช่องโหว่ความมั่นคงปลอดภัย และการตั้งค่าระบบรักษา ความปลอดภัยของแอปพลิเคชันที่ระบุ รวมถึงดำเนินการตรวจสอบซ้ำ หลังจากที่ กบข. ปรับปรุงแก้ไข ให้แล้ว เสร็จตามกรอบระยะเวลาของโครงการ
4.7 การเข้าถึงระบบสารสนเทศ หรือสภาพแวดล้อมของ กบข. ผู้ให้บริการภายนอกจะต้องได้รับ อนุมัติจาก กบข. ก่อนทุกครั้ง โดยแจ้งวัตถุประสงค์ ขอบเขตงาน ระยะเวลา วิธีการเข้าถึง และผู้ปฏิบัติงานที่ เกี่ยวข้อง ทั้งนี้ต้องจำกัดสิทธิการเข้าถึงเท่าที่จำเป็น และในกรณีที่มีการใช้สิทธิระดับสูง (Privileged) ให้ใช้เฉพาะ เท่าที่จำเป็นและเพิกถอน/ปิดสิทธิทันทีเมื่อเสร็จสิ้นงาน
4.8 ผู้ให้บริการต้องกำกับดูแลบุคลากรของตนและบุคลากรที่เกี่ยวข้องกับงานให้ปฏิบัติตาม ข้อกำหนดด้านความมั่นคงปลอดภัยสารสนเทศและการรักษาความลับของ กบข. อย่างเคร่งครัด 4.9 ผู้ให้บริการต้องจัดหาบุคลากรที่มีคุณสมบัติเหมาะสมกับลักษณะงาน มีความรู้ ความสามารถ ประสบการณ์ และความประพฤติเหมาะสมต่อการปฏิบัติงานให้แก่ กบข. โดยผู้รับจ้างต้องดำเนินการตรวจสอบ ประวัติและคุณสมบัติของบุคลากรก่อนส่งเข้าปฏิบัติงานอย่างเพียงพอและเหมาะสมกับระดับความเสี่ยงของงาน อย่างน้อยต้องครอบคลุม
4.9.1 การตรวจสอบประวัติการทำงาน
4.9.2 การตรวจสอบประวัติอาชญากรรมตามกระบวนการที่ชอบด้วยกฎหมาย และตามความ จำเป็นเหมาะสมกับหน้าที่ความรับผิดชอบของตำแหน่งงาน
4.9.3 การประเมินว่าไม่มีพฤติการณ์หรือประวัติที่อาจก่อให้เกิดความเสี่ยงต่อความมั่นคง ปลอดภัยสารสนเทศ ความลับขององค์กร ทรัพย์สินของ กบข. หรือผลประโยชน์ของสมาชิกและผู้มีส่วนได้เสียของ กบข.
4.9.4 ทั้งนี้ผู้รับจ้างต้องรับรองว่าบุคลากรที่ส่งเข้าปฏิบัติงานไม่มีลักษณะต้องห้าม หรือมีเหตุ อันควรเชื่อได้ว่าอาจก่อให้เกิดความเสียหาย ความไม่ปลอดภัย หรือความเสี่ยงอย่างมีนัยสำคัญต่อ กบข. 4.10 ผู้ให้บริการต้องมีการกำหนดช่องทางและกระบวนการสื่อสารที่มีประสิทธิภาพระหว่าง กบข. และ ผู้ให้บริการ ทั้งในสถานการณ์ปกติและเมื่อเกิดเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ 4.11 ผู้ให้บริการจัดส่งมอบรายงานต่างๆ (ภาษาไทย) ตามกำหนดเวลาในรูปแบบรายงาน โดยเอกสาร จะต้องมีรายละเอียดอย่างน้อย ดังต่อไปนี้
4.11.1 รายละเอียดแผนการ วิธีการ เครื่องมือ และมาตรฐานที่ใช้ตรวจสอบ และประเมินความ มั่นคงปลอดภัยและการตั้งค่าระบบรักษาความปลอดภัยของแอปพลิเคชันทั้งหมดตามที่ระบุ 4.11.2 รายละเอียดผลการตรวจสอบและประเมินความมั่นคงปลอดภัยที่ตรวจพบ
4.11.3 รายละเอียดข้อเสนอแนะและวิธีการปรับปรุงแก้ไขและรายละเอียดการตรวจประเมินซ้ำ หลังจาก กบข. ปรับปรุงแก้ไขแล้วเสร็จ
4.11.4 รายงานสรุปผู้บริหาร (Executive Report) พร้อมทั้งรายงานผลการดำเนินการให้แก่ ผู้บริหารและผู้ที่เกี่ยวข้อง ตามที่ กบข. กำหนด
4.12 การดำเนินการตามแผนงานทั้งหมด ให้แล้วเสร็จภายใน 180 วันนับถัดจากวันที่ลงนามในสัญญา
5. หลักฐานการยื่นข้อเสนอ
ผู้รับจ้างจะต้องเสนอเอกสารหลักฐานยื่นมาพร้อมการเสนอราคาโดยแยกเป็น 2 ส่วน ดังต่อไปนี้ 5.1 ส่วนที่ 1 อย่างน้อยต้องมีเอกสารดังต่อไปนี้
(1) ในกรณีผู้รับจ้างเป็นนิติบุคคล
(ก) ห้างหุ้นส่วนสามัญหรือห้างหุ้นส่วนจำกัด ให้ยื่นสำเนาหนังสือรับรองการจดทะเบียน นิติบุคคลที่มีระยะเวลาไม่เกิน 90 วัน นับถึงวันที่ยื่นข้อเสนอ บัญชีรายชื่อหุ้นส่วนผู้จัดการ ผู้มีอำนาจควบคุม (ถ้ามี) พร้อมรับรองสำเนาถูกต้อง
(ข) บริษัทจำกัดหรือบริษัทมหาชนจำกัด ให้ยื่นสำเนาหนังสือรับรองการจดทะเบียน นิติบุคคลที่มีระยะเวลาไม่เกิน 90 วัน นับถึงวันที่ยื่นข้อเสนอ หนังสือบริคณห์สนธิ บัญชีรายชื่อกรรมการผู้จัดการ ผู้ มีอำนาจควบคุม(ถ้ามี) บัญชีผู้ถือหุ้นรายให้ญ่ (ถ้ามี) พร้อมรับรองสำเนาถูกต้อง
(2) ในกรณีผู้รับจ้างเป็นบุคคลธรรมดาหรือคณะบุคคลที่ไม่ใช่นิติบุคคลให้ยื่นสำเนาบัตรประจำตัว ประชาชนของผู้นั้น สำเนาข้อตกลงที่แสดงถึงการเข้าเป็นหุ้นส่วน (ถ้ามี) สำเนาบัตรประจำตัวประชาชนของผู้เป็น หุ้นส่วน หรือสำเนาหนังสือเดินทางของผู้เป็นหุ้นส่วนที่มิได้ถือสัญชาติไทย พร้อมทั้งรับรองสำเนาถูกต้อง
(3) ในกรณีผู้รับจ้างเป็นผู้รับจ้างร่วมกันในฐานะเป็นผู้ร่วมค้า ให้ยื่นสำเนาสัญญาของการเข้าร่วมค้า และเอกสารตามที่ระบุไว้ใน (1) หรือ (2) ของผู้ร่วมค้า แล้วแต่กรณี
(4) เอกสารเพิ่มเติมอื่น ๆ ได้แก่ สำเนาใบทะเบียนพาณิชย์ สำเนาทะเบียนภาษีมูลค่าเพิ่ม พร้อมทั้ง รับรองสำเนาถูกต้อง
5.2 ส่วนที่ 2 อย่างน้อยต้องมีเอกสารดังต่อไปนี้
(1) ในกรณีที่ผู้รับจ้างมอบอำนาจให้บุคคลอื่นกระทำการแทนให้แนบหนังสือมอบอำนาจ ซึ่งปิดอากรแสตมป์ตามกฎหมาย จะต้องระบุในหนังสือมอบอำนาจให้ชัดเจนว่ามีอำนาจในการเสนอราคาแทน หรือทำการในเรื่องใด โดยมีหลักฐานแสดงตัวตนของผู้มอบอำนาจและผู้รับมอบอำนาจ (แนบสำเนา บัตรประจำตัวประชาชนผู้มอบอำนาจและผู้รับมอบอำนาจพร้อมรับรองสำเนาถูกต้อง) ทั้งนี้ หากผู้รับมอบอำนาจ เป็นบุคคลธรรมดาต้องเป็นผู้ที่บรรลุนิติภาวะตามกฎหมายแล้วเท่านั้น
(2) ผู้รับจ้างต้องจัดทำตารางเปรียบเทียบคุณสมบัติของผู้ยื่นเสนอราคา รายละเอียดคุณลักษณะ เฉพาะที่ กบข. ต้องการ และการรับประกัน (ถ้ามี) ตาม TOR นี้ กับข้อเสนอของผู้รับจ้าง
ซึ่งคุณลักษณะเฉพาะจะต้องระบุหัวข้อให้ถูกต้องตรงกันกับเอกสารหรือแคตตาล็อกที่เสนอโดยให้จัดทำในรูปแบบ ดังต่อไปนี้
ลำดับ
ข้อกำหนดตาม TOR
ความสอดคล้อง
รายละเอียดข้อเสนอ
เอกสารอ้างอิง

▪ คัดลอกคุณสมบัติของผู้รับจ้าง ▪ คัดลอกข้อกำหนดรายละเอียด คุณลักษณะเฉพาะของงาน ตามที่กำหนดใน TOR 

▪ คัดลอกการรับประกัน (ถ้ามี)
▪ ตรงหรือดีกว่า ข้อกำหนดตาม TOR
▪ ระบุคุณสมบัติผู้รับจ้างราคา ▪ ระบุรายการและรายละเอียด คุณลักษณะเฉพาะของงานที่ เสนอมาให้พิจารณา
▪ ระบุรายละเอียดการรับประกัน งานที่เสนอมาให้พิจารณา
▪ ระบุเลขหน้าของ เอกสารอ้างอิง หรือแคตตาล็อก (ถ้ามี)

6. การเสนอราคาและระยะเวลาส่งมอบงาน
   6.1 ผู้ยื่นข้อเสนอต้องยื่นข้อเสนอและเสนอราคาโดยไม่มีเงื่อนไขใด ๆ ทั้งสิ้น
   6.2 ราคาที่เสนอจะต้องเป็นราคาที่รวมภาษีมูลค่าเพิ่มและภาษีอื่น (ถ้ามี) รวมค่าใช้จ่ายทั้งปวงไว้ด้วยแล้ว
   6.3 ผู้ยื่นข้อเสนอต้องยืนราคาเป็นเวลาไม่น้อยกว่า 90 วัน นับตั้งแต่วันที่เสนอราคา
   โดยภายในกำหนดยืนราคา ผู้ยื่นข้อเสนอจะต้องรับผิดชอบราคาที่ตนเสนอไว้ และถอนการเสนอราคามิได้
   6.4 ผู้ยื่นข้อเสนอจะต้องดำเนินการส่งมอบพัสดุภายใน 180 วัน นับถัดจากวันลงนามในสัญญาหรือวันที่ ได้รับหนังสือแจ้งจาก กบข. ให้ส่งมอบพัสดุ
   6.5 กรณีงานจัดซื้อที่ประกอบด้วยพัสดุหลายประเภทในโครงการเดียวกัน ผู้เสนอราคาต้องแยกราคาต่อ หน่วยของพัสดุแต่ละประเภท (cost breakdown) ให้ชัดเจน (ถ้ามี)
7. หลักเกณฑ์และสิทธิในการพิจารณา
   การพิจารณาผลการยื่นข้อเสนอครั้งนี้ กบข. จะพิจารณาตัดสินโดยใช้หลักเกณฑ์คะแนนรวมด้านคุณภาพ และด้านราคาสูงที่สุด (Price Performance) ในการพิจารณาผู้ชนะการยื่นข้อเสนอ กบข. จะพิจารณาโดยให้ คะแนนตามปัจจัยหลักและน้ำหนักที่กำหนด ดังต่อไปนี้
   (1) ราคาที่ยื่นข้อเสนอ (Price) กำหนดน้ำหนักเท่ากับร้อยละ 30
   (2) ข้อเสนอด้านเทคนิค กำหนดน้ำหนักเท่ากับร้อยละ 70
   ข้อพิจารณา
   คะแนน
   ร้อยละ
   1. ข้อมูลโครงการและหน่วยงานที่ผู้ยื่นข้อเสนอเคยรับทำงานให้ (Site Reference) ที่ มีลักษณะคล้ายกับงานตาม TOR
      เงื่อนไข:

1.1 เอกสารแสดงผลงานด้านบริการ 2-5 งาน
1.2 เอกสารแสดงผลงานด้านบริการ 2-5 งานและหนังสือรับรองผลงานอย่างน้อย 1 งาน
1.3 เอกสารแสดงผลงานด้านบริการ 6-10 งาน
1.4 เอกสารแสดงผลงานด้านบริการ 6-10 งานและหนังสือรับรองผลงานอย่าง น้อย 2 งาน
1.5 เอกสารแสดงผลงานด้านบริการมากกว่า 10 งานขึ้นไป
1.6 เอกสารแสดงผลงานด้านบริการมากกว่า 10 งานขึ้นไปและมี หนังสือรับรอง ผลงานอย่างน้อย 3 งาน
2. รายละเอียดของการบริหารโครงการ และรายละเอียดทางด้านเทคนิค เงื่อนไข:
2.1 รายละเอียดแผนการดำเนินงาน 2.2 วิธีการ และมาตรฐานที่ใช้ในการทดสอบเจาะระบบ 2.3 เครื่องมือ หรือโปรแกรมที่เกี่ยวข้อง
50 60
70 80
90 100

30 30 20
10
30

ข้อพิจารณา
คะแนน
ร้อยละ
2.4 การประเมินและควบคุมผลกระทบที่อาจมีขึ้นเพื่อป้องกันไม่ให้เกิดความ เสียหายต่อระบบสารสนเทศ ชื่อเสียงของ กบข.
3. รายละเอียดเจ้าหน้าที่บริหารโครงการ ผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัยไซ เบอร์ และเจ้าหน้าที่ทดสอบเจาะระบบผู้ มีความชำนาญ ประวัติการทำงานและ ประกาศนียบัตรของผู้ดำเนินการที่บอกถึงระดับของความรู้และประสบการณ์ที่เกี่ยวข้อง เพื่อดำเนินการตามแผนงานการทดสอบเจาะระบบ (PENETRATION TESTING) ให้กับ กบข.
เงื่อนไข:
3.1 เจ้าหน้าที่บริหารโครงการ (Project Manager) อย่างน้อย 1 คน จะต้องมี ประสบการณ์ทำงานด้านการบริหารจัดการโครงการที่เกี่ยวข้องตาม TOR อย่างน้อย 3 ปี และจะต้องมีเอกสาร Certificate ด้านการบริหารจัดการโครงการอย่างน้อย 1 รายการ ดังนี้

• Project Management Professional (PMP)
• CompTIA Project+
  3.2 ผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Consultant) อย่างน้อย 1 คน จะต้องมีประสบการณ์ทำงานทางด้านความมั่นคงปลอดภัย ไซเบอร์อย่างน้อย 5 ปีและจะต้องมีเอกสาร Certificate ทางด้านความมั่นคงปลอดภัยไซ เบอร์อย่างน้อย 1 รายการ และทางด้านการทดสอบเจาะระบบอย่างน้อย 1 รายการดังนี้
  3.2.1 Certificate ทางด้านความมั่นคงปลอดภัยไซเบอร์
• Certified Information Systems Security Professional (CISSP) - Certified Secure Software Lifecycle Professional (CSSLP)
  3.2.2 Certificate ทางด้านการทดสอบเจาะระบบ
• Certified Ethical Hacker (CEH)
• Offensive Security Certified Professional (OSCP)
  20

10
20
30

ข้อพิจารณา คะแนน

• GIAC Penetration Tester (GPEN) 3.3 เจ้าหน้าที่ทดสอบเจาะระบบ (Pentester) อย่างน้อย 5 คน และทุกคนจะต้อง มีเอกสาร Certificate ทางด้านการทดสอบเจาะระบบ ได้แก่
• Certified Ethical Hacker (CEH)
• Offensive Security Certified Professional (OSCP)
• GIAC Penetration Tester (GPEN)
• CompTIA PenTest+
  ร้อยละ

70
โดยมีเงื่อนไขดังนี้
3.3.1 เจ้าหน้าที่ทดสอบเจาะระบบ (Pentester) มีประสบการณ์ทำงานด้านการ ทดสอบเจาะระบบอย่างน้อย 5 ปี อย่างน้อย 2 คน และทั้ง 2 คนจะต้องมีCertificate ทางด้านการทดสอบเจาะระบบอย่างน้อย 2 รายการ ตามรายละเอียดข้างต้น
3.3.2 เจ้าหน้าที่ทดสอบเจาะระบบ (Pentester) มีประสบการณ์ทำงานด้านการ ทดสอบเจาะระบบอย่างน้อย 2 ปีขึ้นไป อย่างน้อย 3 คน และทั้ง 3 คนจะต้องมีCertifi cate ทางด้านการทดสอบเจาะระบบอย่างน้อย 1 รายการ ตามรายละเอียดข้างต้น

8. การทำสัญญาจ้าง
   ผู้ชนะการคัดเลือกจะต้องทำสัญญาจ้างตามแบบที่ กบข. กำหนดภายใน 15 วัน นัดถัดจากวันที่ได้รับแจ้ง จาก กบข. และจะต้องวางหลักประกันสัญญาเป็นเงินเท่ากับร้อยละ 5 ของราคาค่าจ้าง
9. ค่าจ้างและการจ่ายเงิน
   กบข. จะจ่ายค่าจ้างซึ่งได้รวมภาษีมูลค่าเพิ่ม ภาษีอากรอื่น และค่าใช้จ่ายทั้งปวงด้วยแล้ว ให้แก่ผู้รับจ้างที่ ได้รับการคัดเลือกให้เป็นผู้รับจ้างภายใน 30 วัน เมื่อผู้รับจ้างได้ปฏิบัติงานถูกต้องและครบถ้วนตามสัญญาจ้างหรือ ข้อตกลง และ กบข. ได้ตรวจรับมอบงานจ้างเรียบร้อยแล้วพร้อมทั้ง กบข. ได้รับหนังสือเรียกเก็บเงินจากผู้รับจ้าง
10. อัตราค่าปรับ
    10.1 กรณีที่ผู้รับจ้างนำงานที่รับจ้างไปจ้างช่วงให้ผู้อื่นทำอีกทอดหนึ่งโดยไม่ได้รับอนุญาตจาก กบข. จะกำหนดค่าปรับสำหรับการฝ่าฝืนดังกล่าวเป็นจำนวนร้อยละ 10 ของวงเงินของงานจ้างช่วงนั้น
    10.2 กรณีที่ผู้รับจ้างปฏิบัติผิดสัญญาจ้างนอกเหนือจากข้อ 10.1 จะกำหนดค่าปรับเป็นรายวันในอัตรา ร้อยละ 0.1 ของราคาค่าจ้าง แต่จะต้องไม่ต่ำกว่าวันละ 100 บาท
    10.3 วิธีการคิดค่าปรับ “ถ้าวันสุดท้ายของระยะเวลาสัญญาเป็นวันหยุดราชการให้นับวันเริ่มตันทำการใหม่ ต่อจากวันหยุดราชการ เป็นวันสุดท้ายของระยะเวลาสัญญา” ค่าปรับจะเริ่มคิดถัดจากวันสุดท้ายของสัญญา กรณี การส่งมอบงานแล้วพบว่ามีข้อบกพร่องยังไม่ถูกต้องหรือยังไม่ครบถ้วน กบข. จะแจ้งผู้รับจ้างให้แก้ไข และเริ่มคิด ค่าปรับตั้งแต่วันที่แจ้งจนกว่าจะส่งมอบงานถูกต้อง ครบถ้วน ทั้งนี้ระยะเวลาดังกล่าวไม่รวมถึงระยะเวลาในการ ตรวจทดลอง หรือตรวจสอบในทางเทคนิค
11. วงเงินในการจัดจ้าง
    วงเงินในการจัดจ้างครั้งนี้เป็นเงิน 900,000.00 บาท (เก้าแสนบาทถ้วน) ซึ่งรวมภาษีมูลค่าเพิ่ม ภาษีอากรอื่น และค่าใช้จ่ายทั้งปวงด้วยแล้ว
12. ข้อสงวนสิทธิในการยื่นข้อเสนอและอื่นๆ
    ผู้รับจ้างและบุคลากรของผู้รับจ้างที่มาปฏิบัติงานตาม TOR นี้ จะต้องรักษาข้อมูลที่เป็นความลับของ กบข. รายละเอียดดังนี้
13. ข้อมูลที่เป็นความลับ
    “ข้อมูลที่เป็นความลับ” หมายความถึง ข้อมูลใด ๆ ที่สามารถสื่อความหมายได้ที่ กบข. หรือ พนักงานของ กบข. ซึ่งต่อไปจะเรียกว่า “ผู้ให้ข้อมูล” ได้เปิดเผยให้แก่ผู้รับจ้าง ลูกจ้าง หรือผู้แทนของผู้รับจ้าง ซึ่ง ต่อไปจะเรียกว่า “ผู้รับข้อมูล” ทราบ และมีความประสงค์ให้ผู้รับข้อมูลเก็บรักษาข้อมูลดังกล่าวไว้เป็นความลับ
14. การเปิดเผยและการรักษาข้อมูลที่เป็นความลับ
    ผู้รับข้อมูลตกลงจะเก็บรักษาข้อมูลที่เป็นความลับเป็นระยะเวลาหนึ่งปีนับแต่วันที่สัญญาสิ้นสุดลง โดยผู้รับข้อมูลตกลงที่จะดำเนินการดังต่อไปนี้
    (1) เก็บรักษาข้อมูลที่เป็นความลับไว้ในสถานที่ปลอดภัยและไม่เปิดเผยข้อมูลที่เป็นความลับไม่ ว่าทั้งหมดหรือแต่บางส่วนให้แก่บุคคลใดทราบ เว้นแต่จะเป็นการเปิดเผยข้อมูลที่เป็นความลับให้แก่บุคคลที่ต้อง เกี่ยวข้องโดยตรงกับข้อมูลที่เป็นความลับนั้นและผู้รับข้อมูลจะต้องจัดให้บุคคลนั้นได้ผูกพันและปฏิบัติตามเงื่อนไข ในการรักษาข้อมูลที่เป็นความลับด้วย หรือเป็นกรณีที่ได้รับอนุญาตเป็นลายลักษณ์อักษรจากผู้ให้ข้อมูล
    (2) ใช้ข้อมูลที่เป็นความลับเพียงเพื่อให้บรรลุตามวัตถุประสงค์ที่กำหนดไว้ในสัญญาเท่านั้น (3) ในกรณีที่ผู้รับข้อมูลมีเหตุผลความจำเป็นต้องเปิดเผยข้อมูลที่เป็นความลับโดยกฎหมายหรือ ตามคำสั่งศาล ผู้รับข้อมูลจะต้องแจ้งเป็นหนังสือให้ผู้ให้ข้อมูลทราบถึงข้อกำหนดหรือคำสั่งดังกล่าวก่อนที่จะ ดำเนินการเปิดเผยข้อมูลที่เป็นความลับ และในการเปิดเผยข้อมูลที่เป็นความลับ ผู้รับข้อมูลจะต้องดำเนินการตาม ขั้นตอนทางกฎหมายเพื่อขอให้คุ้มครองข้อมูลดังกล่าวไม่ให้ถูกเปิดเผยต่อสาธารณะด้วย
15. วิธีปฏิบัติเมื่อสัญญาสิ้นสุดลง
    เมื่อสัญญาสิ้นสุดลง ผู้รับข้อมูลจะต้องส่งมอบข้อมูลที่เป็นความลับและสำเนาของข้อมูลที่เป็น ความลับ (ถ้ามี) คืนให้แก่ผู้ให้ข้อมูล หรือทำลายข้อมูลที่เป็นความลับที่ได้รับจากผู้ให้ข้อมูลทั้งหมดและแจ้งยืนยัน เป็นลายลักษณ์อักษรถึงการทำลายดังกล่าวให้ผู้ให้ข้อมูลทราบ ตลอดจนยุติการใช้ข้อมูลที่เป็นความลับ
16. มาตราการป้องกันการทุจริตและประพฤติมิชอบ
    ด้วย กบข. มีนโยบายต่อต้านการทุจริตและประพฤติมิชอบที่บั่นทอนเศรษฐกิจและสังคมของประเทศ กบข. ไม่ยอมรับการทุจริตและประพฤติมิชอบทุกรูปแบบ (Zero Tolerance) ไม่ว่าจะเป็นการกระทำโดยบุคลากร ของ กบข. หรือบริษัทในเครือของ กบข. หรือบุคคลที่เกี่ยวข้องกับกิจการของ กบข. ซึ่งรวมถึงคู่ค้าของ กบข. ทุก ราย นอกจากนี้ กบข. ยังยึดมั่นในการดำเนินธุรกิจอย่างมีจริยธรรม จรรยาบรรณ และรับผิดชอบต่อสังคมและผู้มี ส่วนได้เสียทุกกลุ่มด้วย
    กบข. จึงขอความร่วมมือจากผู้รับจ้าง หากพบเห็นการกระทำของบุคลากรของ กบข. หรือบริษัทในเครือ ของ กบข. หรือบุคคลที่เกี่ยวข้องกับกิจการของ กบข. หรือคู่ค้าของ กบข. รายใดที่มีการกระทำเข้าข่ายทุจริต ติด สินบน หรือเรียกรับเงิน ทรัพย์สินหรือประโยชน์อื่นใดที่ไม่เหมาะสม ไม่ว่าในรูปแบบใด ขอให้แจ้งโดยตรงไปยัง บุคคลและที่อยู่ดังต่อไปนี้
    “ประธานอนุกรรมการตรวจสอบ
    ฝ่ายตรวจสอบภายใน กองทุนบำเหน็จบำนาญข้าราชการ
    เลขที่ 990 อาคารอับดุลราฮิม เพลส ถนนพระราม 4
    แขวงสีลม เขตบางรัก กรุงเทพมหานคร 10500”
17. นโยบายคุ้มครองข้อมูลส่วนบุคคล
18. การแจ้งการเก็บรวบรวมข้อมูลส่วนบุคคล (Privacy Notice)
    กบข. มีการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้เสนองาน กรรมการของนิติบุคคลที่เป็นผู้เสนองาน ผู้แทน ผู้รับมอบฉันทะ หรือผู้รับมอบอำนาจ แล้วแต่กรณี ซึ่งต่อไปนี้จะเรียกว่า “ผู้เสนองาน” ตามที่ผู้เสนองานได้จัดส่ง ให้แก่ กบข. และตรวจสอบข้อมูลส่วนบุคคลของผู้เสนองานจากแหล่งอื่น เพื่อวัตถุประสงค์ในการพิจารณาคัดเลือก ผู้เสนองานที่จะปฏิบัติงานตามข้อกำหนดการจัดซื้อจัดจ้างและการบริหารพัสดุ และเพื่อการทำนิติกรรมสัญญา ทั้งนี้ ตามที่กำหนดไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดย กบข. จะจัดเก็บรวบรวมข้อมูล ส่วนบุคคลของผู้เสนองานที่เป็นต้นฉบับและสำเนาเอกสาร รวมทั้งข้อมูลอิเล็กทรอนิกส์ไว้เป็นระยะเวลา 10 ปี นับ แต่วันที่ข้อผูกพันตามนิติกรรมสัญญาเกี่ยวกับการจัดซื้อจัดจ้างและการบริหารพัสดุที่ผู้เสนองานมีอยู่กับ กบข. สิ้นสุดลง
    ตลอดระยะเวลาที่ กบข. เก็บรวบรวมข้อมูลส่วนบุคคลของผู้เสนองานไว้นั้น กบข. อาจใช้หรือเปิดเผย ข้อมูลส่วนบุคคลของผู้เสนองานในการติดต่อหรือประสานงานกับผู้เสนองานเพื่อการจัดซื้อจัดจ้างและการบริหาร พัสดุของ กบข. เพื่อการสอบบัญชีของ กบข. เพื่อการใช้สิทธิเรียกร้องตามกฎหมาย หรือเปิดเผยต่อหน่วยงานที่มี อำนาจตามกฎหมายในการขอทราบข้อมูลส่วนบุคคลนั้น โดยผู้เสนองานได้รับทราบนโยบายเกี่ยวกับการเก็บ รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของ กบข. รวมทั้งสิทธิของผู้เสนองานในฐานะเจ้าของข้อมูลส่วนบุคคล ตามที่ กบข. กำหนดแล้ว
19. กรณีผู้เสนองานมีขอบเขตการทำงานเป็นการประมวลผลข้อมูลส่วนบุคคล
    ในกรณีที่ผู้เสนองานได้รับการคัดเลือกให้เข้าทำนิติกรรมสัญญากับ กบข. ซึ่งเป็นการจัดซื้อจัดจ้างที่มี ขอบเขตการทำงานเป็นการประมวลผลข้อมูลส่วนบุคคล กบข. อาจมีความจำเป็นที่จะต้องเปิดเผยข้อมูลส่วนบุคคล ของบุคคลที่เกี่ยวข้องซึ่ง กบข. เก็บรวบรวมมาจากเจ้าของข้อมูลส่วนบุคคลให้แก่ผู้เสนองาน เพื่อให้ผู้เสนองาน สามารถดำเนินการตามข้อกำหนดของนิติกรรมสัญญาได้ จึงเป็นผลให้ผู้เสนองานมีสถานะเป็นผู้ประมวลผลข้อมูล ส่วนบุคคล (Data Processor) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในการนี้ กบข. อาจ ต้องการทราบแนวทางการจัดการข้อมูลส่วนบุคคลที่จะได้รับจาก กบข. ของผู้เสนองาน ซึ่งผู้เสนองานต้องจัดให้
    กบข. รับทราบถึงนโยบายคุ้มครองข้อมูลส่วนบุคคลหรือมาตรการที่ใช้จัดการเกี่ยวกับข้อมูลส่วนบุคคลที่จะได้รับ จาก กบข. ที่เป็นลายลักษณ์อักษร โดยนโยบายหรือมาตรการดังกล่าวจะต้องสอดคล้องตามพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งอย่างน้อยต้องประกอบด้วย
    (1) มาตรการรักษาความมั่นคงปลอดภัยในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตลอดจนมาตรการที่จะใช้ดำเนินการเมื่อข้อมูลรั่วไหลหรือถูกละเมิด
    (2) มาตรการควบคุมดูแลการใช้และเปิดเผยข้อมูลส่วนบุคคล
    (3) เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือบุคคลผู้รับผิดชอบประสานงานเกี่ยวกับข้อมูลส่วน บุคคล
    นอกจากนี้ผู้เสนองานจะต้องถือปฏิบัติตาม “ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล” ซึ่งจะได้ลงนาม ในวันทำนิติกรรมสัญญาด้วย
20. กรณีผู้เสนองานต้องส่งบุคคลเข้ามาทำงานภายในสถานที่ทำการของ กบข.
    ผู้เสนองานที่ได้รับการคัดเลือกให้เข้าทำนิติกรรมสัญญากับ กบข. และต้องส่งบุคคลเข้ามาทำงานภายในสถานที่ทำ การของ กบข. ผู้เสนองานจะเป็นผู้เก็บรวบรวมข้อมูลส่วนบุคคลของบุคคลดังกล่าวและเปิดเผยให้ กบข. รับทราบ ในการนี้ผู้เสนองานมีหน้าที่แจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล รวมทั้งนโยบาย คุ้มครองข้อมูลส่วนบุคคลของ กบข. ให้เจ้าของข้อมูลส่วนบุคคลทราบด้วย
21. ผู้จัดทำขอบเขตของงาน (Terms of Reference: TOR)
22. ชื่น ชื่นงูเหลือม
23. ณัฐสุดา เป้าเพ็ชร์