Załącznik nr 3 Wymagania techniczne dotyczące serwisów internetowych Konstrukcja 1. Kodowanie stron wg standardów HTML5 oraz CSS3, zakończone poprawną walidacją w narzędziu W3C (http://validator.w3.org); 2. Kodowanie znaków UTF-8; 3. Warstwa prezentacji uwzględniająca wymagania WCAG 2.0 (norma ISO/IEC 40500:2012) na poziomie AA, przechodząca poprawną walidację przy pomocy narzędzia pod adresem http://wave.webaim.org; 4. Projekty graficzne muszą uwzględniać wymagania stawiane wersjom dedykowanym dla telefonów komórkowych i tabletów zgodnie z zasadami RWD (ang. Responsive Web Design) oraz posiadać wariant żałoby narodowej (kir), który można aktywować w panelu administracyjnym serwisu; 5. Dynamiczna zawartość oparta na PHP 5.5 (implementacja PHP-FPM w ramach serwera http), MySQL 5.5 oraz ewentualnie JavaScript bez stosowania Adobe Flash czy Oracle Java; 6. Zapewnienie integralności danych poprzez transakcyjne przetwarzanie; 7. Kod dostarczonego rozwiązania musi być jawny i dostarczony w takiej postaci, aby zamawiający był w stanie prześledzić jego działanie pod kątem bezpieczeństwa. Zabronione jest korzystanie z mechanizmów szyfrujących typu ioncube; 8. Prawidłowe działanie pod najnowszymi, stabilnymi wersjami przeglądarek: Mozilla Firefox, Internet Explorer, Opera, Google Chrome, Safari; 9. Optymalizacja pod kątem pozycjonowania serwisu ( m.in. przyjazne linki, itp.); 10. Optymalizacja czasu ładowania stron (mała łączna wielkość plików tworzących pojedynczą stronę); 11. Dynamiczne generowanie wersji „do wydruku” w oparciu o CSS, która będzie dostosowana do specyfiki wydruku tj.: bez tła, zredukowana ilością elementów w tym graficznych; 12. Ewentualna funkcjonalność wysyłania poczty elektronicznej z serwisu będzie realizowana przy wykorzystaniu skrzynki pocztowej na serwerze poczty elektronicznej Zamawiającego, za pomocą klasy PHPMailer lub podobnego rozwiązania, bez korzystania z funkcji systemowej mail(). Zabezpieczenia 1. Serwis musi uniemożliwiać dostęp do funkcji i zgromadzonych w nim danych z pominięciem mechanizmów bezpieczeństwa. 2. Serwis musi być odporny na znane techniki ataku i włamań, w tym w szczególności podatnościami z aktualnej listy Top 10 wg organizacji OWASP, znajdującymi się w specyfikacji The OWASP Top 10 - 2013: A1 Injection A2 Broken Authentication and Session Management A3 Cross-Site Scripting (XSS) A4 Insecure Direct Object References A5 Security Misconfiguration Projekt w części współfinansowany przez Unię Europejską ze środków Europejskiego Funduszu Społecznego w ramach Regionalnego Programu Operacyjnego Województwa Śląskiego na lata 2014-2020 A6 Sensitive Data Exposure A7 Missing Function Level Access Control A8 Cross-Site Request Forgery (CSRF) A9 Using Components with Known Vulnerabilities A10 Unvalidated Redirects and Forwards 3. W przypadku pojawienia się nowych nie znanych wcześniej technik włamań, Wykonawca jest zobowiązany do ich analizy oraz dostarczenia niezbędnych poprawek i uaktualnień eliminujących podatności dostarczonego rozwiązania w ramach świadczonej pomocy technicznej. 4. Serwis musi filtrować i walidować wszystkie dane wejściowe (np. z formularzy) w celu zminimalizowania ryzyka naruszenia integralności systemu bądź danych. 5. Serwis musi być zabezpieczony przed spybootami i spamem za pomocą testu CAPTCHA (reCAPTCHA, keyCAPTCHA) bądź prostych pytań kontrolnych np.: Przepisz wyraz określający zwierzę (kot) (woda)? 6. Wykonawca wykona testy bezpieczeństwa serwisu na poziomie 1 OWASP ASVS. 7. Testy bezpieczeństwa muszą zostać szczegółowo udokumentowane i przekazane Zamawiającemu razem z protokołem odbioru. 8. Wykonawca ma obowiązek dokonywania poprawek dostarczonego systemu w oparciu o przedstawione przez Zamawiającego wyniki audytu pod kątem bezpieczeństwa teleinformatycznego w ramach obowiązującego wsparcia technicznego. 9. Wykonawca dostosuje skrypty, ustawienia, konfigurację oraz struktury baz danych do zmian wersji komponentów generowania dynamicznych treści (PHP, MySQL) w ramach obowiązującego wsparcia technicznego Dokumentacja W ramach odbioru Wykonawca przekaże dokumentację w postaci elektronicznej (format RTF) zwierającą: 1. opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; 2. schemat relacji zbiorów w postaci graficznej (format PNG); 3. przepływ danych pomiędzy poszczególnymi składowymi tworzącymi system; 4. listę komponentów serwisu oraz ich powiązań; 5. opis konfiguracji; 6. opis wykorzystanych zabezpieczeń (m.in. ustawienia oraz konstrukcje zapobiegające atakom i włamaniom, takie jak np. filtrowanie danych wejściowych, pochodzących zarówno od użytkownika, jak i ze źródeł zewnętrznych); 7. instrukcję instalacji serwisu; 8. instrukcję przeniesienia serwisu; 9. instrukcję wykonywania kopii bezpieczeństwa oraz jej odtworzenia. W przypadku zmian w konstrukcji serwisu dokonanych w ramach wsparcia technicznego Wykonawca dokona aktualizacji dokumentacji związanej z wprowadzonymi modyfikacjami w terminie 5 dni od dokonanych zmian. Projekt w części współfinansowany przez Unię Europejską ze środków Europejskiego Funduszu Społecznego w ramach Regionalnego Programu Operacyjnego Województwa Śląskiego na lata 2014-2020 Projekt w części współfinansowany przez Unię Europejską ze środków Europejskiego Funduszu Społecznego w ramach Regionalnego Programu Operacyjnego Województwa Śląskiego na lata 2014-2020