Wymagania bezpieczeństwa. System musi posiadać mechanizm definiowania profili użytkowników, które wykorzystywane są, między innymi, do zabezpieczenia przed nieuprawnionym dostępem do Systemu i poszczególnych jego funkcji. System musi jednoznacznie przypisać każdą wykonaną czynność użytkownikowi, który ją wykonał. Zapewnienie poufności danych (źródłowych, wyjściowych i archiwizowanych) tzn. brak możliwości udostępniania informacji lub ujawniana ich nieautoryzowanym osobom, podmiotom lub procesom. System musi realizować swoją zamierzoną funkcję w nienaruszalny sposób, wolny od nieautoryzowanej manipulacji, celowej lub przypadkowej Uprawnienia w Systemie muszą się opierać na poziomie dostępu do odpowiednich profili zdefiniowanych dla grup Użytkowników oraz ich ról w obsługiwanych procesach. Dostosowywanie uprawnień użytkowników i definiowanie ograniczeń dostępu musi być funkcjonalnością dostępną dla administratora technicznego Systemu. System musi zawierać funkcjonalność rejestrowania dostępu użytkowników i administratorów do aplikacji oraz ich działań w aplikacji (Dziennik zdarzeń) wraz z możliwością zarządzania systemowymi dziennikami zdarzeń System musi dostarczać funkcjonalność przeglądania dzienników zdarzeń w zakresie wykonywanych czynności przez użytkowników oraz usług systemowych (import, eksport danych, operacje z udziałem innych systemów). Komunikacja warstwy klienckiej z warstwą serwerową musi być szyfrowana z zastosowaniem protokołu HTTPS, siła szyfrowania min. 128 bitów. System musi spełniać wymogi prawa powszechnie obowiązującego w szczególności musi przetwarzać dane osobowe zgodnie z wymogami Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i rozporządzeniem MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim muszą odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych stosując zgodnie z § 6 ust. 4 „Środki bezpieczeństwa na poziomie wysokim” określone w załączniku C niniejszego rozporządzenia. System musi posiadać możliwość implementacji wymagań bezpieczeństwa w kontekście RODO. Wykonawca zapewni bieżącą aktualizację Systemu, przez okres obowiązywania umowy, w zakresie dostosowania Systemu do zmian przepisów prawa powszechnie obowiązującego System umożliwi zamykanie nieaktywnych sesji po przekroczeniu zdefiniowanego okresu braku aktywności użytkownika. Hasło nie może być eksponowane na ekranie w sposób czytelny. System musi posiadać mechanizmy lub procedury pozwalaj...
Wymagania bezpieczeństwa. System musi spełniać wymagania bezpieczeństwa jak w punkcie 3.2.2.2 oraz: Dane nie mogą być udostępniane lub ujawniane nieuprawnionym osobom, procesom lub innym podmiotom. Ochrona danych obejmuje również kryptograficzne środki ochrony transmisji, zabezpieczające informacje przed podsłuchaniem przez osoby niepowołane.
Wymagania bezpieczeństwa. Bezpieczeństwo aplikacji www musi być zgodne z wymaganiami zdefiniowanymi w standardzie OWASP (Open Web Application Security Project) Application Security Verification Standard w wersji 4.0.2 ASVS Poziom 1, rozumianych jako szereg wytycznych podczas tworzenia listy kontrolnej bezpiecznego kodowania specyficznej dla aplikacji, platformy lub organizacji: • wszystkie komponenty aplikacji są zidentyfikowane i istnieje powód dla których zostały tam umieszczone; • aplikacja weryfikuje cyfrową tożsamość nadawcy w trakcie komunikacji i zapewnia, że tylko upoważnione podmioty mogą się uwierzytelnić, a dane uwierzytelniające są transportowane w sposób bezpieczny; • sesje są unikalne dla każdego użytkownika i nie mogą zostać odgadnięte lub współdzielone, są unieważniane, gdy tylko przestają być niezbędne oraz przerywane, gdy nie są wykorzystywane; • osoby uzyskujące dostęp do aplikacji posiadają ważne dane uwierzytelniające; • użytkownicy są powiązani z dobrze zdefiniowanymi zestawami ról i uprawnień, role i uprawnienia są chronione przed ponownym wykorzystaniem lub modyfikacją; • wszystkie dane wejściowe są walidowane, aby zapewnić, że są poprawne i dostosowane do zamierzonych celów; • dane z zewnętrznych źródeł lub od klientów nigdy nie powinny być traktowane jako zaufane i powinny być odpowiednio traktowane; • wszystkie moduły kryptograficzne kończące pracę niepowodzeniem robią to w sposób bezpieczny; • w przypadku gdy wymagana jest losowość, jest wykorzystywany odpowiedni generator liczb losowych; • dostęp do kluczy jest zarządzany w bezpieczny sposób; • nie występuje gromadzenie lub logowanie informacji wymagających ochrony, jeżeli nie jest to niezbędnie wymagane; • jest zapewnione, że wszystkie logowane informacje są obsługiwane w sposób bezpieczny i chronione zgodnie z klasyfikacją tych danych; • jest zapewnione, że logi nie są przetrzymywane nieustannie, lecz mają zdefiniowaną ważność na okres tak krótki jak to możliwe; • aplikacja zapewnia poufność: dane powinny być chronione przed nieautoryzowanym podglądem lub ujawnieniem, zarówno podczas transmisji, jak i podczas przechowywania; • aplikacja zapewnia integralność: dane powinny być chronione przed, nieuprawnionym tworzeniem, zmianą lub kasowaniem przez osoby nieupoważnione; • aplikacja zapewnia dostępność: dane powinny być dostępne dla autoryzowanych użytkowników, gdy tylko są potrzebne; • gdy dane wymagające ochrony są transmitowane to zawsze wykorzystany jest TLS tylko w bezpiecznej wersji (np. TLS 1.2+);...
Wymagania bezpieczeństwa. [Zamawiający nie wyklucza uzupełnienia wymagań w ostatecznej wersji Umowy] Wykonawca ma obowiązek zapewnić, że Łącza będą spełniać następujące parametry SLA: Dostępność – odsetek poprawnych odpowiedzi na pakiet kontrolny: Dostępność pojedynczego Łącza w ciągu doby: nie mniej niż 80%, Dostępność pojedynczego Łącza w ciągu miesiąca: nie mniej niż 90% Średnia dostępność wszystkich Łączy w ciągu doby: nie mniej niż 90% Średnia dostępność wszystkich Łączy w ciągu miesiąca: nie mniej niż 95% Opóźnienie pakietów – czas opóźnienia odpowiedzi na pakiet kontrolny: Średnie opóźnienie pakietów dla pojedynczego Łącza w ciągu doby: nie więcej niż 3000 ms, Średnie opóźnienie pakietów dla pojedynczego Łącza w ciągu miesiąca: nie więcej niż 2000 ms. Aby pomiar był miarodajny i dostępny w identyczny sposób dla obu Stron, sondy mierzące parametry Łącza zostaną zainstalowane w Punkcie Styku, a pomiar będzie realizowany od Punktu Styku w kierunku Urządzeń Końcowych. Parametry SLA będą obliczane w oparciu o wyniki pomiarów Dostępności i Opóźnienia pakietów w Próbkach. Próbką jest pomiar dostępności i jakości pojedynczego łącza, wykonany z wykorzystaniem protokołu ICMP, polegający na przesłaniu 5 pakietów kontrolnych ICMP Echo Request o wielkości 64 bajty, wysyłanych w odstępach jednosekundowych i badaniu parametrów odpowiedzi w przychodzących pakietach ICMP Echo Reply, przy czym jeśli pakiet nie powróci lub powróci w czasie dłuższym niż 10 000 ms, uważany jest za utracony. Po otrzymaniu odpowiedzi na pakiet kontrolny, weryfikowana jest liczba pakietów odebranych w stosunku do ilości pakietów wysłanych oraz czas odpowiedzi na poszczególne pakiety kontrolne.
Wymagania bezpieczeństwa. Urządzenia muszą posiadać: − wszelkie, zgodne z obowiązującymi normami europejskimi, zabezpieczenia i/lub blokady uniemożliwiające jego pracę, w przypadku wystąpienia jakiegokolwiek zagrożenia dla operatora, produktu, bądź urządzenia; − osłony bezpieczeństwa z mikro wyłącznikami; Urządzenia muszą zapewniać: − emisję hałasu w pomieszczeniu produkcyjnym na poziomie nie przekraczającym 85 dB.
Wymagania bezpieczeństwa. 1. System MSIM może być dostępny tylko dla uwierzytelnionych użytkowników, za wyjątkiem użytkowników anonimowych portalu infomacyjnego.
Wymagania bezpieczeństwa. 3.1 PeU, we współpracy z SEOD, zapewnia system uwierzytelniania Interesantów, dla których udostępniana jest informacja (nie będąca informacją publiczną).