Załącznik nr 3 - wymogi techniczne

advertisement
Załącznik nr 3
Wymagania techniczne dotyczące serwisów internetowych
Konstrukcja
1. Kodowanie stron wg standardów HTML5 oraz CSS3, zakończone poprawną walidacją w
narzędziu W3C (http://validator.w3.org);
2. Kodowanie znaków UTF-8;
3. Warstwa prezentacji uwzględniająca wymagania WCAG 2.0 (norma ISO/IEC 40500:2012) na
poziomie AA, przechodząca poprawną walidację przy pomocy narzędzia pod adresem
http://wave.webaim.org;
4. Projekty graficzne muszą uwzględniać wymagania stawiane wersjom dedykowanym dla
telefonów komórkowych i tabletów zgodnie z zasadami RWD (ang. Responsive Web Design)
oraz posiadać wariant żałoby narodowej (kir), który można aktywować w panelu
administracyjnym serwisu;
5. Dynamiczna zawartość oparta na PHP 5.5 (implementacja PHP-FPM w ramach serwera http),
MySQL 5.5 oraz ewentualnie JavaScript bez stosowania Adobe Flash czy Oracle Java;
6. Zapewnienie integralności danych poprzez transakcyjne przetwarzanie;
7. Kod dostarczonego rozwiązania musi być jawny i dostarczony w takiej postaci, aby
zamawiający był w stanie prześledzić jego działanie pod kątem bezpieczeństwa. Zabronione
jest korzystanie z mechanizmów szyfrujących typu ioncube;
8. Prawidłowe działanie pod najnowszymi, stabilnymi wersjami przeglądarek: Mozilla Firefox,
Internet Explorer, Opera, Google Chrome, Safari;
9. Optymalizacja pod kątem pozycjonowania serwisu ( m.in. przyjazne linki, itp.);
10. Optymalizacja czasu ładowania stron (mała łączna wielkość plików tworzących pojedynczą
stronę);
11. Dynamiczne generowanie wersji „do wydruku” w oparciu o CSS, która będzie dostosowana
do specyfiki wydruku tj.: bez tła, zredukowana ilością elementów w tym graficznych;
12. Ewentualna funkcjonalność wysyłania poczty elektronicznej z serwisu będzie realizowana
przy wykorzystaniu skrzynki pocztowej na serwerze poczty elektronicznej Zamawiającego, za
pomocą klasy PHPMailer lub podobnego rozwiązania, bez korzystania z funkcji systemowej
mail().
Zabezpieczenia
1. Serwis musi uniemożliwiać dostęp do funkcji i zgromadzonych w nim danych z pominięciem
mechanizmów bezpieczeństwa.
2. Serwis musi być odporny na znane techniki ataku i włamań, w tym w szczególności
podatnościami z aktualnej listy Top 10 wg organizacji OWASP, znajdującymi się w specyfikacji
The OWASP Top 10 - 2013:
 A1 Injection
 A2 Broken Authentication and Session Management
 A3 Cross-Site Scripting (XSS)
 A4 Insecure Direct Object References
 A5 Security Misconfiguration
Projekt w części współfinansowany przez Unię Europejską ze środków Europejskiego Funduszu Społecznego
w ramach Regionalnego Programu Operacyjnego Województwa Śląskiego na lata 2014-2020





A6 Sensitive Data Exposure
A7 Missing Function Level Access Control
A8 Cross-Site Request Forgery (CSRF)
A9 Using Components with Known Vulnerabilities
A10 Unvalidated Redirects and Forwards
3. W przypadku pojawienia się nowych nie znanych wcześniej technik włamań, Wykonawca jest
zobowiązany do ich analizy oraz dostarczenia niezbędnych poprawek i uaktualnień
eliminujących podatności dostarczonego rozwiązania w ramach świadczonej pomocy
technicznej.
4. Serwis musi filtrować i walidować wszystkie dane wejściowe (np. z formularzy) w celu
zminimalizowania ryzyka naruszenia integralności systemu bądź danych.
5. Serwis musi być zabezpieczony przed spybootami i spamem za pomocą testu CAPTCHA
(reCAPTCHA, keyCAPTCHA) bądź prostych pytań kontrolnych np.: Przepisz wyraz określający
zwierzę (kot) (woda)?
6. Wykonawca wykona testy bezpieczeństwa serwisu na poziomie 1 OWASP ASVS.
7. Testy bezpieczeństwa muszą zostać szczegółowo udokumentowane i przekazane
Zamawiającemu razem z protokołem odbioru.
8. Wykonawca ma obowiązek dokonywania poprawek dostarczonego systemu w oparciu o
przedstawione przez Zamawiającego wyniki audytu pod kątem bezpieczeństwa
teleinformatycznego w ramach obowiązującego wsparcia technicznego.
9. Wykonawca dostosuje skrypty, ustawienia, konfigurację oraz struktury baz danych do zmian
wersji komponentów generowania dynamicznych treści (PHP, MySQL) w ramach
obowiązującego wsparcia technicznego
Dokumentacja
W ramach odbioru Wykonawca przekaże dokumentację w postaci elektronicznej (format RTF)
zwierającą:
1. opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i
powiązania między nimi;
2. schemat relacji zbiorów w postaci graficznej (format PNG);
3. przepływ danych pomiędzy poszczególnymi składowymi tworzącymi system;
4. listę komponentów serwisu oraz ich powiązań;
5. opis konfiguracji;
6. opis wykorzystanych zabezpieczeń (m.in. ustawienia oraz konstrukcje zapobiegające atakom i
włamaniom, takie jak np. filtrowanie danych wejściowych, pochodzących zarówno od
użytkownika, jak i ze źródeł zewnętrznych);
7. instrukcję instalacji serwisu;
8. instrukcję przeniesienia serwisu;
9. instrukcję wykonywania kopii bezpieczeństwa oraz jej odtworzenia.
W przypadku zmian w konstrukcji serwisu dokonanych w ramach wsparcia technicznego Wykonawca
dokona aktualizacji dokumentacji związanej z wprowadzonymi modyfikacjami w terminie 5 dni od
dokonanych zmian.
Projekt w części współfinansowany przez Unię Europejską ze środków Europejskiego Funduszu Społecznego
w ramach Regionalnego Programu Operacyjnego Województwa Śląskiego na lata 2014-2020
Projekt w części współfinansowany przez Unię Europejską ze środków Europejskiego Funduszu Społecznego
w ramach Regionalnego Programu Operacyjnego Województwa Śląskiego na lata 2014-2020
Download