Opis przedmiotu zamówienia
Opis przedmiotu zamówienia
Minimalne wymagania dla Infrastruktury
Wykonawca zobowiązany jest do zapewnienia, co najmniej niżej wymienionej Infrastruktury dedykowanej dla Systemu:
1. Dwa serwery fizyczne dedykowany tylko i wyłącznie do realizacji przedmiotu zamówienia, każdy z osobna zapewniający minimum:
a. 12 rdzeni / 24 wątków o częstotliwości minimalnej 3,5GHz
b. przestrzeń pamięci 128 GB RAM DDR4
c. przestrzeń na dyski systemowe klasy SSD o łącznej powierzchni minimum 2x1,9TB
x. xxxxxxxxx macierz RAID
e. redundantny zasób dyskowy klasy NVMe dla baz danych o powierzchni minimum 2x1TB
f. minimum 2 karty sieciowe 1Gbit w każdej zastosowanej maszynie fizycznej
g. redundantne zasilacze hot-swap
2. Serwery, na których zainstalowane zostanie System, muszą znajdować się w obiekcie datacenter (serwerownia) o parametrach odpowiadających minimum klasie Tier 3 według normy TIA-942.
3. Obiekt datacenter (serwerownia) musi znajdować się na terenie Polski.
4. Redundantne łącze do Internetu o przepustowości minimum 1Gbit/s bez limitu danych.
5. Maszyny wirtualne dedykowane dla baz danych mysql/mariadb muszą funkcjonować w modelu replikacji typu Active-Active
6. Maszyny wirtualne dedykowane dla serwerów aplikacyjnych muszą mieć zainstalowany php w wersji 7.2
7. Serwer www - Nginx w wersji najnowszej stabilnej
8. Preferowana dystrybucja systemu operacyjnego to Debian w wersji min. 9.8
9. Przygotowania usługi hostowania Systemu z ewentualną jej rekonfiguracją tak, aby dostępne były usługi: www, baza danych SQL, zabezpieczenie przed nieautoryzowanym dostępem, itp.
10. Administrowania serwerami, w szczególności systemami operacyjnymi, SQL, administrowanie strukturą katalogów, instalacja certyfikatów SSL.
11. Wykonywania kopii zapasowych. Cykliczny backup, wykonywany nie rzadziej niż raz na dobę z retencją 2 tygodnie. Zamawiający wymaga posiadania kopii zapasowej pozwalającej na
powrót do stanu sprzed 24 godzin. Zamawiający wymaga by kopia zapasowa była
przechowywana z wykorzystaniem odrębnej infrastruktury, nie używanej na potrzeby hostowania Systemu. Zamawiający wymaga by system wykonywania kopii zapasowych
umożliwiał całościowe i selektywne odzyskiwanie danych, zarówno w zakresie całych maszyn, jak i poszczególnych plików.
12. Udostępnienia Systemu, zgodnie z zasadami i warunkami świadczenia usług dla Systemu (warunki SLA).
13. Wszystkie licencje niezbędne do realizacji przedmiotu zamówienia dostarcza Wykonawca bez dodatkowych opłat w ramach wynagrodzenia określonego w Umowie.
14. Dostęp do odczytu Systemu z sieci Internet - polega na możliwości odczytania stron statycznych i dynamicznych serwisów przez przeglądarkę komputera dołączonego do sieci Internet dowolnego operatora krajowego i zagranicznego.
15. Uwierzytelnienie dostępu do modyfikacji Systemu dla wytypowanych pracowników i podwykonawców Zamawiającego - polega na poprawnej weryfikacji uprawnień i otwarciu zabezpieczeń w dostępie do uzgodnionej w trybie roboczym zawartości dysków serwerów.
16. Zapewnienie możliwości dostępu do modyfikacji Systemu dla określonych aplikacji działających po stronie Zamawiającego, zgodnie z ustalonymi protokołami - polega na
otwarciu zabezpieczeń w dostępie do uzgodnionej w trybie roboczym zawartości dysków serwerów dla serwerów o określonych adresach IP i jedynie dla ustalonych protokołów komunikacyjnych.
17. Dostęp do odczytu i modyfikacji produkcyjnych Systemu dedykowanym kanałem szyfrowanym (VPN) z uprawnionych stanowisk znajdujących się u Zamawiającego oraz
wskazanych przez Zamawiającego podwykonawców pod nadzorem Wykonawcy - polega na możliwości odczytania lub zapisania dowolnego pliku Systemu z komputerów dołączonych do Sieci WAN Zamawiającego zgodnie z przydzielonymi uprawnieniami za pomocą VPN.
18. Ochrona zawartości Systemu przed niepożądanym dostępem - polega na niedopuszczeniu do modyfikacji Systemu przez nieuprawnionych użytkowników, a jeżeli takie zjawisko nastąpi, na dokładnym monitorowaniu i udaremnieniu takiej próby. Sprawdzenie tej funkcji może być wykonane:
a. na podstawie analizy zapisów zdarzeń serwera i firewalla oraz monitoringu on-line. Wymagane są funkcjonalności Web Application Firewall.
b. na podstawie testów penetracyjnych realizowanych na zlecenie Zamawiającego przez firmę trzecią. Zamawiający w takim przypadku poinformuje Wykonawcę o planowanej dacie przeprowadzenia testów z min. 7 dniowym wyprzedzeniem
19. Zapewnienie mechanizmu ochrony Systemu – polegającego na blokowaniu adresów IP powodujących największe obciążenie Systemu w danej jednostce czasu. Sprawdzenie tej funkcji może być wykonana na podstawie testów realizowanych na zlecenie Zamawiającego przez firmę trzecią. Zamawiający w takim przypadku poinformuje Wykonawcę o planowanej dacie przeprowadzenia testów z min. 7 dniowym wyprzedzeniem.
20. Przygotowanie i przekazanie do Zamawiającego statystyk pracy Systemu zgodnie z wymaganiami dla statystyk pracy Systemu określonych w dalszej części OPZ.
21. Utrzymywanie połączeń telekomunikacyjnych pomiędzy serwerami Wykonawcy oraz Internetem – zapewnienie łączy pozwalających na publikację Systemu w sieci Internet.
Minimalne wymagania dla serwerów DNS:
1. Zapewnienie dwóch różnych serwerów DNS o różnych publicznych adresach IP w celu delegacji domen wskazanych przez Zamawiającego.
2. Zamawiający musi mieć możliwość dodawania do serwerów DNS nowych domen lub poddomen. Kreowanie nowych domen lub poddomen przez Zamawiającego w konfiguracji serwerów DNS Wykonawcy będzie odbywało się z wykorzystaniem udostępnionego Zamawiającemu przez Wykonawcę panelu WWW.
3. Dostęp do panelu musi być zabezpieczony i odbywać się poprzez kanał szyfrowany.
4. Panel musi umożliwiać:
a. pełną obsługę w zakresie modyfikacji istniejących domen i subdomen oraz kreowanie nowych rekordów DNS
b. mechanizm ustawiania uprawnień dla logującego się użytkownika Zamawiającego do odczytu, modyfikacji, usuwania rekordów DNS w ramach domeny i jej subdomen.
Wymagania związane z bezpieczeństwem
W ramach świadczenia usługi hostingu Wykonawca zobowiązany jest do zapewnienia
bezpieczeństwa dla hostowanego Systemu, przynajmniej z wykorzystaniem poniższych systemów:
1. WAF - Usługa polegająca na dostarczeniu rozwiązania Wall Application Firewall w postaci dedykowanego oprogramowania lub hardware:
a. Rozwiązanie będzie udostępniać funkcjonalności:
i. pełne logowanie ruchu http/ HTTPS
ii. możliwość bezpośredniej integracji z Apache i ngnix
iii. możliwość pracy z każdym serwerem Web jako Reverse Proxy
iv. wsparcie dla wykrywania nieprawidłowości i słabości w zabezpieczeniach, które nie zostały jeszcze wykorzystane
v. możliwość zasłaniania potencjalnych słabości/podatności po stronie aplikacji bez konieczności tworzenia czasochłonnych poprawek systemowych
b. Rozwiązanie musi być wyposażone w gotowe reguły filtracyjne (aktualizowane
codziennie) umożliwiające ochronę przez znanymi zagrożeniami, w ramach których można wymienić:
i. SQL Injection (SQLi)
ii. Cross Site Scripting (XSS)
iii. Local File Inclusion (LFI)
iv. Remote File Inclusion (RFI)
v. Remote Code Execution (RCE)
vi. PHP Code Injection
vii. HTTP Protocol Violations
viii. HTTPoxy
ix. Shellshock
x. Session Fixation
xi. Scanner Detection
xii. Metadata/Error Leakages
xiii. Project Honey Pot Blacklist
xiv. GeoIP Country Blocking
c. Rozwiązanie musi umożliwiać tworzenie własnych reguł.
d. Rozwiązanie musi wspierać mechanizmy bezpieczeństwa uwzględniające:
i. reputację IP
ii. wykrywanie złośliwego oprogramowania na bazie ruchu Web
iii. wykrywanie złośliwego oprogramowania typu backdoor
iv. wykrywanie ataków typu Botnet
v. wykrywanie ataków typu HTTP Denial of Service (DoS)
vi. Anti-Virus w zakresie plików
e. Rozwiązanie musi mieć możliwość wspierania technik wykrywania ataków:
i. ochrona ruchu HTTP - wykrywanie naruszeń protokołu HTTP oraz lokalnie zdefiniowanych zasad użytkowania
ii. wykrywanie znanych ataków na aplikacje Web
iii. automatyzacja detekcji – Wykrywanie robotów, skanerów oraz innej złośliwej aktywności
iv. ochrona przed zagrożeniami typu koń trojański
v. Ukrywanie komunikatów o błędach wysyłanych przez serwery
2. Anty DDoS - usługa musi pozwalać na skuteczne identyfikowanie oraz izolowanie podejrzanego ruchu w zakresie ataków typu DDoS. (np. sinkholing) Usługa musi być świadczona w dwóch warstwach dostępowych:
a. warstwa pierwsza – operator telekomunikacyjny – Wykonawca musi posiadać stosowne umowy z operatorami telekomunikacyjnymi w celu ochrony własnej sieci przed atakami wolumetrycznymi o bardzo dużym nasileniu mogącymi w skrajnym przypadku wysycić w całości łącze operatora. W takim przypadku ochrona jest realizowana w warstwie operatora.
b. warstwa druga – Wykonawca musi posiadać własne rozwiązanie przed atakami DDoS dzięki czemu jest wstanie w całości zarządzać konfiguracją filtrów i poziomów
ochrony. Zastosowane rozwiązanie musi spełniać funkcję drugiej warstwy ochrony operującą w ramach ataków wolumetrycznych w warstwie 3 i 4 modelu IOS/OSI.
3. Ochrona DNS – Wykonawca musi zapewnić mechanizmy zabezpieczeń usługi DNS przed zagrożeniami takimi jak:
a. Cache poisoning,
b. DNS amplification,
c. Fast-flux DNS,
d. DoS,
e. DDoS,
f. DNS tunnelling,
g. TCP SYN floods,
h. Distributed reflection DDoS.
Wymagania dla statystyk pracy Systemu
1. Udostępniane narzędzia analitycznego (standardowe raporty ułatwiające ocenę i interpretację zaangażowania użytkowników w witrynie).
2. Analityka treści (Raporty dotyczące treści).
3. Analiza szybkości witryny (Jak długo wczytują się poszczególne strony. Wykrywanie zbyt wolnego działania strony).
4. Statystyka dostępności witryn.
5. Możliwość tworzenia statystyk zapytań z dostępu do zawartości serwisów, uwzględniających różne konfiguracje parametrów takich jak:
a. przedział dat wykonanych zapytań,
b. ilość zapytań per dany plik,
c. ilość zapytań z danego adresu IP,
x. xxxxxxx pobranych danych,
e. zestawienia dzienne z podziałem na godziny, miesięczne z podziałem na dni, roczne z podziałem na miesiące.
f. Liczba wizyt
g. Liczba odsłon
h. Średnia liczba odsłon i wizyt z możliwością określenia w czasie
i. Żądań do serwera
j. Utylizacji łącza
k. Źródła odsyłającego
l. Możliwość wykonania eksportu danych wg zadanych kryteriów do formatu xls, csv, txt
6. Statystykami ma być objęty całkowity czas trwania umowy – dane statystyczne nie podlegają kasowaniu.
Warunki SLA
1. Zasady i warunki świadczenia usług dla Serwisów świadczone będą przez Wykonawcę ze szczególnym uwzględnieniem:
• poziomu obsługi,
• parametrów jakościowych,
• procedur postępowania w usuwaniu Usterek i Awarii,
• zasad naliczania kar umownych za niedotrzymanie poziomu obsługi.
2. Wykonawca zobowiązuje się do świadczenia Usług o parametrach jakościowych zadeklarowanych w złożonej ofercie, jednak nie gorszych niż:
a. Okres gotowości: 24 godziny na dobę przez wszystkie dni w roku.
b. Dostępność: 99,7%.
c. Usunięcie usterki: 6 godzin.
3. Za przyjmowanie zgłoszeń o Usterkach i Awariach odpowiadać będzie Biuro Obsługi Klienta (BOK).
4. Wykonawca zobowiązany będzie do zapewnienia działania BOK w systemie 24/7/365 (dwadzieścia cztery godziny na dobę przez wszystkie dni w roku).
5. Definicje:
a. Awaria – Brak dostępności Serwisów WWW lub dostępności do Serwisów WWW albo dostęp ograniczający korzystanie z Serwisów WWW lub każda nieuprawniona zmiana treści serwisów internetowych dokonana przez osoby nieuprawnione.
b. BOK – Biuro Obsługi Klienta.
c. Czas Reakcji – jest to czas od zgłoszenia Usterki lub Awarii przez Zamawiającego do podjęcia czynności rejestracyjnych przez BOK i poinformowania Zamawiającego o przyjęciu Zgłoszenia.
d. Dostępność Serwisów (DS) - jest parametrem wyrażonym procentowo obliczanym wg poniższego wzoru:
DS =
𝑂𝑘𝑟𝑒𝑠𝑃𝑜𝑚𝑖𝑎𝑟𝑜𝑤𝑦 −Σ(𝑂𝑘𝑟𝑒𝑠𝑁𝑖𝑒𝑑𝑜𝑠𝑡ę𝑝𝑛𝑜ś𝑐𝑖−𝑂𝑘𝑟𝑒𝑠𝑊𝑦ł𝑎𝑐𝑧𝑜𝑛𝑦)
x 100
𝑂𝑘𝑟𝑒𝑠𝑃𝑜𝑚𝑖𝑎𝑟𝑜𝑤𝑦
e. Okres Pomiarowy - jest to okres pełnego miesiąca kalendarzowego wyrażony w minutach.
f. Okres Niedostępności – okres niedostępności Serwisów wyrażony w minutach w trakcie Okresu Pomiarowego. Okres Niedostępności mierzony jest na podstawie monitoringu niedostępności stron Serwisów z systemów zewnętrznych
kontrolujących niedostępność stron internetowych Serwisów w sieci Internet. System jest niedostępny, jeśli co najmniej trzy punkty pomiarowe w sieci Internet, wykażą
równoczesną nieosiągalność strony internetowej Serwisów.
g. Okres Wyłączony - jest to łączny czas trwania przerw w dostępności Serwisów, wyrażony w minutach w Okresie Pomiarowym spowodowanych przyczynami określonymi w rozdziale „Planowane prace serwisowe” oraz postępowaniem
Zamawiającego przedłużającym czas usuwania Awarii. Są to przerwy, których czas trwania nie wlicza się do obliczania parametru Dostępności Serwisów.
h. SLA – Service Level Agreement - niniejszy dokument określający zasady i warunki świadczenia usług dla Serwisów WWW („Warunki SLA”).
i. Usterka – Zdarzenie zagrażające, również potencjalnie, prawidłowemu świadczeniu jednej lub wielu funkcji Systemu, niestanowiące zagrożenia dla utrzymania krytycznych procesów Systemu, ale wnoszące utrudnienia do jego eksploatacji.
j. Niedostępność Systemu – sytuacja, kiedy System lub którakolwiek jego część, jest niedostępna dla użytkowników.
6. Zakres świadczonych Usług:
a. Mając na względzie krytyczny charakter funkcjonowania Systemu dla celów realizacji działań Zamawiającego, Wykonawca zobowiązuje się świadczyć Usługi z
zachowaniem najwyższej profesjonalnej staranności.
b. Strony ustalają następujące parametry monitorowania:
i. Częstotliwość odpytywania Serwisów wynosi jedną minutę.
ii. Lista Serwisów (max. 10), o których mowa powyżej zostanie dostarczona Wykonawcy w chwili podpisania umowy i może ulegać zmianie. Zmiana taka nie będzie wymagać formy aneksu do Umowy, a jedynie pisemnego poinformowania Wykonawcy.
iii. Zamawiający monitoruje dostępność stron za pomocą co najmniej trzech punktów monitorowania.
Procedura postępowania w sytuacjach awaryjnych
Usterka, Awaria lub przerwa w dostępności Systemu.
1. Zgłoszenie Usterki lub Awarii:
a. Zgłoszenia Usterki lub Awarii przyjmuje BOK przez całą dobę we wszystkie dni w roku. Usterki i Awarie zgłaszane są e-mailem na adres poczty elektronicznej Wykonawcy wskazany w umowie.
b. Zgłaszający Usterkę lub Awarię powinien przedstawić następujące informacje:
i. swoje imię, nazwisko, oraz numer telefonu kontaktowego,
ii. opis objawów Usterki lub Awarii i czas jej wystąpienia.
2. Przyjęcie zgłoszenia Usterki lub Awarii
a. BOK rejestruje zgłoszenie Usterki lub Awarii i za pośrednictwem poczty e-mail potwierdza Zamawiającemu przyjęcie zgłoszenia.
b. Czas rozpoczęcia Usterki lub Awarii jest liczony od potwierdzenia przyjęcia zgłoszenia przez Wykonawcę.
3. Podjęcie działań naprawczych przez pracowników Wykonawcy
a. Pracownik Wykonawcy jest zobowiązany do kontaktu ze zgłaszającym Usterkę lub Awarię w celu przekazania informacji o podjęciu działań naprawczych.
4. Usunięcie Usterki.
a. Wykonawca usunie zgłoszoną Usterkę w czasie nieprzekraczającym 6 godzin.
5. Usunięcie Awarii.
a. Wykonawca niezwłocznie usunie zgłoszoną Awarię. Czas usunięcia awarii
uwzględniony jest w obliczeniu dostępności Serwisów i powiązany z opisanym
powyżej parametrem dostępności dotyczącym danego produktu, stanowi podstawę do naliczenia ewentualnych kar umownych.
Planowane prace serwisowe
1. Zamawiający dopuszcza możliwość czasowego wyłączenia przez Wykonawcę urządzeń z eksploatacji w celu przeprowadzenia testów lub innych niezbędnych prac serwisowych
związanych z zapewnieniem poprawnej pracy Systemu. W przypadku, gdy wyżej wymienione prace mogą spowodować przerwy w korzystaniu przez Zamawiającego z Systemu, termin i czas trwania czasowego wyłączenia urządzeń będą każdorazowo wymagały zgody Zamawiającego.
2. Prace serwisowe mogą się odbywać jedynie w godzinach 22:00-6:00.
3. O powyższych pracach Wykonawca jest zobowiązany poinformować Zamawiającego i uzyskać jego zgodę, na co najmniej 5 dni roboczych przed terminem rozpoczęcia prac.
4. Czas przerw z tytułu planowanych prac serwisowych nie będzie uwzględniany do obliczania parametrów jakościowych, mających wpływ na wielkość kar umownych.