Bezpečnostní testy Vzorová ustanovení

Bezpečnostní testy. Úlohou bezpečnostních testů je ověřit, že IS eTurista je zabezpečen dle požadavků definovaných v zadání, resp. Detailním návrhu. Budou provedeny testy autorizací a autentizací, a to v rámci integračních a akceptačních testů. Objednatel si vyhrazuje právo na ověření stavu bezpečnosti formou externího auditu (externího penetračního testu). Kritéria pro akceptaci jednotlivých úrovní testů a akceptaci řešení Fáze 0 – Zahájení projektu
Sample 1
Law Insider
+
Microsoft® Word Add-in

Get the Official Word Add-in

Open in AppSource
Add to Word Now
Bezpečnostní testy. 4.10.1 Systémy, nebo aplikace, které nepublikují služby do veřejné sítě 4.10.2 Systémy, nebo aplikace, které publikují služby do veřejné sítě a) V případě, že je systém, nebo aplikace bude dostupná z veřejné sítě, musí dodavatel zajistit, aby byl v rámci dodávky proveden nezávislý penetrační test aplikace v rozsahu, který je v souladu s nejlepší praxí. b) Minimálně jsou provedeny testy v těchto oblastech: Brute Force Prevention Lack of account lockout, Different login failure message, Insufficient authentication, Weak password recovery, Lack of SSL on login pages, Auto-complete enabled on pass parameters Credential/Session prediction Sequential session token, Non-Random session token, Insufficient Authorization Forcefully browse to logged in URL, Forcefully browse to high privilege URL, HTTP verb tampering, Insufficient session expiration Session Fixation Failure to generate management new session ID, Permissive session Session Weaknesses Session token passed in URL, Session cookie not set with secure attribute, Session cookie not set with HTTPOnly, Session cookie not sufficiently random, Site does not force SSL connection, Site uses SSL but references insecure objects, Site supports weak SSL ciphers Cross-Site Scripting Reflected cross-site scripting, Persistent cross-site scripting, DOM-based cross-site scripting, Cross-frame scripting, HTML injection, Cross-site request forgery, Clickjacking Injection Attacks Format string attack, LDAP injection, OS command injection, SQL injection, Blind SQL injection, SSL injection, XPath injection, HTTP header injection/response splitting, Remote file includes, Local file includes, Potential malicious file uploads Information Disclosure Directory indexing, XML External Entity Information Leakage Detailed application error messages, Include file source code disclosure, Path traversal, Predictable resource location, Insecure HTTP methods enabled, WebDAV enabled, Default web server files, Testing and diagnostics pages, Internal IP address disclosure, Server-Side Request Forgery (SSRF) a) Do doby provedení penetračních testů a odstranění nálezů plynoucích z těchto testů nesmí být aplikace veřejně dostupná (technickými prostředky je zajištěno, že je aplikace dostupná pouze subjektu, který provádí testování). Protokol s výsledky testů předkladá dodavatel VZP ČR. Protokol obsahuje metodiku testů, výčet použitých nástrojů při provedení testů, výčet dílčích testů (dokladuje, které testy byly provedeny) a výsledky testů. b) Na...
Sample 1
Bezpečnostní testy. Dodavatel zajistí nezávislé bezpečnostní otestování Aplikace vč. všech jeho prostředí třetí stranou včetně penetračních testů v souladu s požadavky kapitoly Oveření bezpečnosti.
Sample 1
Bezpečnostní testy. Název testu Provádí Vstupy Výstupy Akceptační uživatelské testy - strana odběratele (VZP ČR) Název testu Provádí Vstupy Výstupy
Sample 1
Bezpečnostní testy. Objednatel provede bezpečnostní testy informačního aktiva s cílem ověření, zda není možné: - získat neoprávněný přístup k službám/datům/systémům objednatele prostřednictvím informačního aktiva, - neoprávněně modifikovat/zničit data objednatele prostřednictvím informačního aktiva, - narušit dostupnost služeb/systémů objednatele prostřednictvím informačního aktiva, - získat autentizační údaje uživatelů objednatele prostřednictvím informačního aktiva, - zneužít infrastrukturu objednatele k útokům na sítě a služby třetích stran prostřednictvím informačního aktiva. Testy budou provedeny před nasazením informačního aktiva do provozního režimu. Výstup z těchto testů bude aplikován do akceptačních testů, kdy dílo nebude akceptováno v případě, že bude obsahovat zranitelnosti ohodnocené jako střední a kritické, tedy dosáhnou base score 4.0 až 10.0 dle otevřeného standardu hodnocení zranitelností CVSSv3.1 (Common Vulnerability Scoring System). Zhotovitel musí k systému dodat bezpečnostně provozní dokumentaci v rozsahu a oblastech určených níže. Cílem zpracování této dokumentace je popsat a zdokumentovat provozní postupy pro zajištění správného, bezchybného a bezpečného provozování systému. Cíl dokumentu: popsat a zdokumentovat veškeré bezpečnostní mechanizmy a opatření za účelem identifikace toho, jaká data jsou jakým způsobem chráněna. Forma dokumentu: textový popis, buď dle metodiky ITSEM (Information Technology Security Evaluation Manual podle ITSEC) nebo v rozsahu minimálně dle následujících bodů. Minimální rozsah: - Soupis a popis všech funkcí prosazujících bezpečnost pro:
Sample 1
Bezpečnostní testy. Uchazeč poskytne nezbytnou součinnost Zadavateli, či Zadavatelem určené třetí straně pro provedení bezpečnostních testů (penetrační testy, testy zabezpečení uživatelského rozhraní, testy ochrany údajů, testy havarijních scénářů). Pokud budou na základě testů identifikována bezpečnostní rizika v důsledku plnění uchazeče je tento povinen je na své náklady eliminovat. Zároveň je povinen doplnit související dokumentaci, pokud se tato ukáže jako nedostatečná v rámci bezpečnostních testů. Bezpečnostní problém vyplývající z testů může být považován za vadu kategorie B.
Sample 1
Bezpečnostní testy. Úlohou bezpečnostních testů je ověřit, že jsou všechny komponenty zabezpečeny dle požadavků definovaných v tomto dokumentu a přílohách, např. že je zabezpečený přístup k CLM, přístup k logům a nastavení mají pouze autorizované osoby a jejich přístup je logován, zálohy konfigurace a dat jsou řádně šifrovány, uživatelé mají přístup pouze do přidělených bezpečnostních segmentů apod. Bezpečnostní testy budou realizovány SŽ, nikoliv Budoucím Dodavatelem.
Sample 1
Bezpečnostní testy. Úlohou bezpečnostních testů je ověřit, že jsou všechny komponenty zabezpečeny dle požadavků, např. je zabezpečený přístup k úložišti účtů k nahrávkám mají pouze autorizované osoby a jejich přístup je logován, zálohy konfigurace a dat jsou řádně zabezpečeny apod. Testovací provoz bude probíhat po ukončení instalace a zprovoznění díla dle detailního harmonogramu zpracovaného zhotovitelem. Akceptační testy jsou ukončeny v rámci předávacího protokolu s předáním seznamu nalezených vad. Po odstranění vad, budou akceptační testy opakovány. Testovací provoz bude probíhat v sídle objednatele na stanovených systémech objednavatelem v délce 1 měsíce (po předání díla do testovacího provozu). Dokumentace navrhovaného řešení bude dodaná v originálním i českém jazyce. Dále budou vytvořeny dokumenty popisující nasazení řešení u Objednavatele. Dokumentace musí být předána po ukončení testovacího provozu, součástí dokumentace bude protokol o předání. Oficiální dokumentace výrobce produktu řešení bude předána v elektronické podobě (formát PDF nebo MS Word) a bude provedena v českém, nebo anglickém jazyce. Dokumentace od výrobce musí pokrývat minimálně následující oblasti: - popis architektury; - administrace řešení; - uživatelská příručka. Dokumentace popisující nasazení řešení v prostředí zadavatele musí být předána v elektronické podobě ve formátu MS Word a bude provedena v českém jazyce. Minimální požadavky na rozsah a obsah dodávané dokumentace je následující: - Návrh realizace řešení s rozpisem prací všech částí díla, - Instalační dokumentace, - Popis architektury, - Popis skutečného stavu po realizaci díla, - Komunikační matice komponent, - Instalované verze, - Licence, - Instalační postupy. Implementační dokumentace - Popis nastavení komponent řešení, - Popis způsobu integrace - Popis konfigurace zálohování řešení. Uživatelská příručka - Popis uživatelského rozhraní řešení z pohledu uživatele, - Popis uživatelských postupů při práci s řešením. Administrátorská příručka - Popis uživatelského rozhraní řešení z pohledu administrátora, - Popis základních úkonů nutných pro údržbu řešení a standardní profylaktické testy. Dodavatel bude po předání díla do provozu poskytovat zadavateli systémovou podporu v rámci níž bude provádět aktualizace SW, úpravy SW podle požadavků zadavatele, přenastavení systému podle potřeb zadavatele a to pravidelně minimálně 1x za rok nebo na vyžádání zadavatele. Tyto činnosti budou zadavatelem hrazeny podle skutečně provedených činností, cena bude...
Sample 1

Related to Bezpečnostní testy

  • Odpovědnost za vady Dílo má vady, neodpovídá-li smlouvě a předpisům či dokumentům, na které smlouva odkazuje nebo jsou obecně závazné. Xxxxxxxxxx odpovídá za zjevné, skryté i právní vady, které má dílo v době jeho předání objednateli, a dále za ty, které se vyskytnou ve smluvní záruční době. Zhotovitel poskytuje objednateli záruku za jakost díla v délce trvání záruční doby 60 měsíců od data převzetí díla objednatelem. V případě, že objednatel převezme dílo s vadami a/nebo nedodělky, uvedená záruční doba se prodlouží o dobu od převzetí díla s vadami a/nebo nedodělky do odstranění poslední vady nebo nedodělku zjištěných při předání a převzetí díla. Zárukou za jakost díla přejímá zhotovitel závazek, že dílo bude po záruční dobu co do odpovídajícího rozsahu, bezvadné kvality technického řešení, provedení, jakož i jeho veškeré části i jednotlivé komponenty včetně zabudovaných, způsobilé pro použití ke smluvenému, jinak k obvyklému účelu a že si zachová smluvené, jinak obvyklé vlastnosti. Uplatnění vad vzniklých v záruční době provede objednatel u zhotovitele písemně případně elektronicky po jejich zjištění, přičemž v reklamaci vadu popíše a uvede požadovaný způsob jejího odstranění. Zhotovitel je povinen odstranit oprávněně reklamované vady neprodleně, nejpozději však do 10 dnů od doručení reklamace, pokud nebude smluvními stranami písemně dohodnuta jiná lhůta. V případě, že objednatel označí reklamovanou vadu za havárii, je zhotovitel povinen začít s odstraňováním vady do 24 hodin od jejího uplatnění, které může být provedeno telefonicky a následně potvrzeno písemnou formou. Objednatel je oprávněn uplatňovat též nárok na náhradu škody, která vznikla v příčinné souvislosti se zjištěnými vadami, a zhotovitel je povinen tuto škodu nahradit. Záruční doba neběží ode dne uplatnění vady, na niž se vztahuje záruka za jakost, do doby odstranění této vady. V případě, že zhotovitel bude v prodlení s odstraněním reklamované vady, je objednatel oprávněn odstranění vady provést sám nebo prostřednictvím třetí osoby na náklady zhotovitele. Náklady s tím spojené je zhotovitel povinen uhradit objednateli do 10 dnů po obdržení písemné výzvy k úhradě. Zhotovitel odpovídá za veškeré vady díla, vyskytnuvší se po době uvedené v bodu lll) a mmm) tohoto článku, či po uplynutí záruční doby, pokud byly způsobeny porušením jeho povinností. Smluvní strany se dohodly, že vylučují použití ustanovení § 1921, § 2112, § 2618 občanského zákoníku.