Zlecenie 7911924 - Program profilaktyki cukrzycy typu 2 na terenie powiatów:...

zymanie aplikacji internetowej służącej do obsługi w/w projektu oraz strony internetowej (zwana dalej „Systemem"), w tym: 1. Zapewnienie infrastruktury pozwalającej na prawidłowe funkcjonowanie Systemu przez okres trwania projektu (tj. do 30.06.2023 t.). Z możliwością jego przedłużenia o kolejne miesiące. 2. Rozliczanie z wykonawcą będzie następowało w cyklu miesięcznym. 3. Umożliwienie instalacji Systemu na zabezpieczonej Infrastrukturze Wykonawcy na podstawie dostarczonego przez Zamawiającego opisu wymagań technicznych dotyczących oprogramowania systemowego, baz danych itp. 4. Udostępnienie Użytkownikom sieci Internet Systemu na zabezpieczonej Infrastrukturze Wykonawcy wraz z zapewnieniem ciągłości działania i dostępności Systemu; 5. Świadczenie usługi hostingu dla Systemu (Hostowanie) i zapewnienie dostępności Systemu; 6. Świadczenie usług wsparcia technicznego dla Systemu, w tym np. administracji serwerami, aktualizacjami komponentów systemu operacyjnego serwerów (baz danych, modułów itp.), instalacja aktualizacji i łatek systemu operacyjnego, itp. W zakres usług wsparcia nie wchodzi modyfikacja Systemu dostarczonego przez Zamawiającego; 7. Świadczenie usług konsultacyjnych/wsparcia w ilości minimum 10 godzin miesięcznie w okresie obowiązywania Umowy. Usługi konsultacyjne objąć mają m. in obszar związany ze środowiskiem hostingowym: np. uruchomienia nowych aplikacji i baz danych, upgrade działających usług/serwisów, modyfikacje działających usług/serwisów, itp.; 8. Przeprowadzenie instruktarzy stanowiskowych dla pracowników Zamawiającego i jego podwykonawców z zakresu środowiska programowego oraz infrastruktury sprzętowo- programowej, na której System został uruchomiony i udostępniony, w zakresie m. in architektury środowiska hostingowego, polityki backupów, architektury systemów zabezpieczeń, itp. Instruktarze stanowiskowe nie konsumują puli godzin wymaganych na konsultacje; 9. Udostępnienie statystyk pracy Systemu; 10. Zapewnienie dwóch różnych serwerów DNS o różnych publicznych adresach IP dla prowadzenia domen Zleceniodawcy. Minimalne wymagania dla Infrastruktury 1. Serwer fizyczny dedykowany tylko i wyłącznie do realizacji przedmiotu zamówienia zapewniający minimum: a. 4 rdzenie / 8 wątków o częstotliwości minimalnej 3GHz b. przestrzeń pamięci 32 GB RAM DDR4 c. przestrzeń na dyski systemowe o łącznej powierzchni minimum 2x500GB d. sprzętowa macierz RAID e. redundantny zasób dyskowy klasy NVMe dla baz danych o powierzchni minimum 2x80GB f. karty sieciowe 1Gbit w każdej zastosowanej maszynie fizycznej g. redundantne zasilacze hot-swap 2. Serwery, na których zainstalowane zostanie System, muszą znajdować się w obiekcie datacenter (serwerownia) o parametrach odpowiadających minimum klasie Tier 3 według normy TIA-942. 3. Obiekt datacenter (serwerownia) musi znajdować się na terenie Polski. 4. Redundantne łącze do Internetu o przepustowości minimum 1Gbit/s bez limitu danych. 5. Maszyny wirtualne dedykowane dla baz danych mysql/mariadb muszą funkcjonować w modelu replikacji typu Active-Active 6. Maszyny wirtualne dedykowane dla serwerów aplikacyjnych muszą mieć zainstalowany php w wersji co najmniej 7.2 7. Serwer www - Nginx w wersji najnowszej stabilnej 8. Preferowana dystrybucja systemu operacyjnego to Debian w wersji min. 9.8 9. Przygotowania usługi hostowania Systemu z ewentualną jej rekonfiguracją tak, aby dostępne były usługi: www, baza danych SQL, zabezpieczenie przed nieautoryzowanym dostępem, itp. 10. Administrowania serwerami, w szczególności systemami operacyjnymi, SQL, administrowanie strukturą katalogów, instalacja certyfikatów SSL. 11. Wykonywania kopii zapasowych. Cykliczny backup, wykonywany nie rzadziej niż raz na dobę z retencją 2 tygodnie. Wymaganie posiadania kopii zapasowej pozwalającej na powrót do stanu sprzed 24 godzin. Kopia zapasowa powinna być przechowywana z wykorzystaniem odrębnej infrastruktury, nieużywanej na potrzeby hostowania Systemu. System wykonywania kopii zapasowych powinien umożliwiać całościowe i selektywne odzyskiwanie danych, zarówno w zakresie całych maszyn, jak i poszczególnych plików. 12. Udostępnienia Systemu, zgodnie z zasadami i warunkami świadczenia usług dla Systemu (warunki SLA). 13. Dostęp do odczytu Systemu z sieci Internet - polega na możliwości odczytania stron statycznych i dynamicznych serwisów przez przeglądarkę komputera dołączonego do sieci Internet dowolnego operatora krajowego i zagranicznego. 14. Uwierzytelnienie dostępu do modyfikacji Systemu dla wytypowanych osób - polega na poprawnej weryfikacji uprawnień i otwarciu zabezpieczeń w dostępie do uzgodnionej w trybie roboczym zawartości dysków serwerów. 15. Zapewnienie możliwości dostępu do modyfikacji Systemu dla określonych aplikacji działających po stronie Zamawiającego, zgodnie z ustalonymi protokołami - polega na otwarciu zabezpieczeń w dostępie do uzgodnionej w trybie roboczym zawartości dysków serwerów dla serwerów o określonych adresach IP i jedynie dla ustalonych protokołów komunikacyjnych. 16. Dostęp do odczytu i modyfikacji produkcyjnych Systemu dedykowanym kanałem szyfrowanym (VPN) z uprawnionych stanowisk znajdujących się u Zamawiającego oraz wskazanych przez Zamawiającego podwykonawców pod nadzorem Wykonawcy - polega na możliwości odczytania lub zapisania dowolnego pliku Systemu z komputerów dołączonych do Sieci WAN Zamawiającego zgodnie z przydzielonymi uprawnieniami za pomocą VPN. 17. Ochrona zawartości Systemu przed niepożądanym dostępem - polega na niedopuszczeniu do modyfikacji Systemu przez nieuprawnionych użytkowników, a jeżeli takie zjawisko nastąpi, na dokładnym monitorowaniu i udaremnieniu takiej próby. Sprawdzenie tej funkcji może być wykonane: a. na podstawie analizy zapisów zdarzeń serwera i firewalla oraz monitoringu on-line. Wymagane są funkcjonalności Web Application Firewall. b. na podstawie testów penetracyjnych realizowanych na zlecenie Zamawiającego przez firmę trzecią. Zamawiający w takim przypadku poinformuje Wykonawcę o planowanej dacie przeprowadzenia testów z min. 7 dniowym wyprzedzeniem 18. Zapewnienie mechanizmu ochrony Systemu – polegającego na blokowaniu adresów IP powodujących największe obciążenie Systemu w danej jednostce czasu. Sprawdzenie tej funkcji może być wykonana na podstawie testów realizowanych na zlecenie Zamawiającego przez firmę trzecią. Zamawiający w takim przypadku poinformuje Wykonawcę o planowanej dacie przeprowadzenia testów z min. 7 dniowym wyprzedzeniem. 19. Utrzymywanie połączeń telekomunikacyjnych pomiędzy serwerami Wykonawcy oraz Internetem – zapewnienie łączy pozwalających na publikację Systemu w sieci Internet. Minimalne wymagania dla serwerów DNS: 1. Zapewnienie dwóch różnych serwerów DNS o różnych publicznych adresach IP w celu delegacji domen wskazanych przez Zamawiającego. 2. Zamawiający musi mieć możliwość dodawania do serwerów DNS nowych domen lub poddomen. Kreowanie nowych domen lub poddomen przez Zamawiającego w konfiguracji serwerów DNS Wykonawcy będzie odbywało się z wykorzystaniem udostępnionego Zamawiającemu przez Wykonawcę panelu WWW. 3. Dostęp do panelu musi być zabezpieczony i odbywać się poprzez kanał szyfrowany. 4. Panel musi umożliwiać: a. pełną obsługę w zakresie modyfikacji istniejących domen i subdomen oraz kreowanie nowych rekordów DNS b. mechanizm ustawiania uprawnień dla logującego się użytkownika Zamawiającego do odczytu, modyfikacji, usuwania rekordów DNS w ramach domeny i jej subdomen. Wymagania związane z bezpieczeństwem W ramach świadczenia usługi hostingu Wykonawca zobowiązany jest do zapewnienia bezpieczeństwa dla hostowanego Systemu, przynajmniej z wykorzystaniem poniższych systemów: 1. WAF - Usługa polegająca na dostarczeniu rozwiązania Wall Application Firewall w postaci dedykowanego oprogramowania lub hardware: a. Rozwiązanie będzie udostępniać funkcjonalności: i. pełne logowanie ruchu http/ HTTPS ii. możliwość bezpośredniej integracji z Apache i ngnix iii. możliwość pracy z każdym serwerem Web jako Reverse Proxy iv. wsparcie dla wykrywania nieprawidłowości i słabości w zabezpieczeniach, które nie zostały jeszcze wykorzystane v. możliwość zasłaniania potencjalnych słabości/podatności po stronie aplikacji bez konieczności tworzenia czasochłonnych poprawek systemowych b. Rozwiązanie musi być wyposażone w gotowe reguły filtracyjne (aktualizowane codziennie) umożliwiające ochronę przez znanymi zagrożeniami, w ramach których można wymienić: i. SQL Injection (SQLi) ii. Cross Site Scripting (XSS) iii. Local File Inclusion (LFI) iv. Remote File Inclusion (RFI) v. Remote Code Execution (RCE) vi. PHP Code Injection vii. HTTP Protocol Violations viii. HTTPoxy ix. Shellshock x. Session Fixation xi. Scanner Detection xii. Metadata/Error Leakages xiii. Project Honey Pot Blacklist xiv. GeoIP Country Blocking c. Rozwiązanie musi umożliwiać tworzenie własnych reguł. d. Rozwiązanie musi wspierać mechanizmy bezpieczeństwa uwzględniające: i. reputację IP ii. wykrywanie złośliwego oprogramowania na bazie ruchu Web iii. wykrywanie złośliwego oprogramowania typu backdoor iv. wykrywanie ataków typu Botnet v. wykrywanie ataków typu HTTP Denial of Service (DoS) vi. Anti-Virus w zakresie plików e. Rozwiązanie musi mieć możliwość wspierania technik wykrywania ataków: i. ochrona ruchu HTTP - wykrywanie naruszeń protokołu HTTP oraz lokalnie zdefiniowanych zasad użytkowania ii. wykrywanie znanych ataków na aplikacje Web iii. automatyzacja detekcji – Wykrywanie robotów, skanerów oraz innej złośliwej aktywności iv. ochrona przed zagrożeniami typu koń trojański v. Ukrywanie komunikatów o błędach wysyłanych przez serwery 2. Anty DDoS - usługa musi pozwalać na skuteczne identyfikowanie oraz izolowanie podejrzanego ruchu w zakresie ataków typu DDoS. (np. sinkholing) Usługa musi być świadczona w dwóch warstwach dostępowych: a. warstwa pierwsza – operator telekomunikacyjny – Wykonawca musi posiadać stosowne umowy z operatorami..... - pełna treść opisu w załączniuku