6Supoziţii și riscuri 6.1Supoziţii care trebuie luate în considerare de către prestator
La depunerea ofertelor, operatorii economici trebuie să ia în calcul următoarele supoziţii privind derularea proiectului:
-
La nivelul APIA există un sistem integrat de gestiune şi plată a cererilor de sprijin;
-
APIA dispune de codurile sursă şi algoritmii utilizaţi în dezvoltarea sistemului informatic SI-APIA;
-
APIA dispune de toate echipamentele necesare utilizării în producţie a sistemului informatic al APIA;
-
La nivelul APIA există proceduri de lucru pentru implementarea tuturor functionalitatilor existente in sistemul informatic utilizat in prezent;
-
In vederea evaluarii efortului necesar pentru realizarea serviciilor, APIA va pune la dispozitie in perioada de ofertare, la sediul central din Bucuresti, o statie de lucru care va asigura accesul in sistemul integrat existent si va contine codul sursa, modelul de date si documentatia de utilizare pentru sistemul informatic al APIA, pentru care APIA detine dreptul de proprietate. Orice potential Ofertant va avea acces la aceasta statie de lucru in timpul programului de lucru al APIA pe baza unei solicitari transmise inainte cu cel putin 3 zile lucratoare. APIA va confirma in scris data si ora planificata pentru sedinta de studiere a codului sursa.
-
Potentialii ofertanti vor avea dreptul sa consulte codul sursa, modelul de date si documentatia de utilizare, fara a efectua copii sau a scoate in orice fel informatia in afara sediului beneficiarului, numai dupa semnarea unui acord de confidentialitate.
6.2Riscuri
La elaborarea ofertelor tehnice, operatorii economici trebuie să ia în calcul următoarele riscuri, care pot interveni în derularea contractului:
Posibilitatea modificării procedurilor de lucru in perioada derularii activitatilor de analiza datorită unor cauze externe APIA, ca spre exemplu modificarea legislatiei comunitare sau nationale specifice;
Dificultăţi tehnice în ce priveste integrarea soft-ului cu baza de date;
Termene scurte de implementare impuse in vederea respectarii termenelor de business specifice APIA. In oferta tehnica ce va fi elaborata, Ofertantii vor descrie strategia de abordare a implementarii, astfel incat APIA sa-si poata atinge obiectivele specifice de business;
Reticenţa utilizatorului faţă de implementarea noilor module software şi noilor proceduri asociate;
Eventuale modificari in codul aplicatiilor necesita modificari/actualizari in baza de date
Riscul de a se constata abia în momentul trecerii în producţie că pentru obţinerea unor valori acceptabile pentru indicatorii de performanţă sunt necesare modificări de arhitectură/ de aplicatie care sunt imposibil de implementat intr-o faza avansata a proiectului
7Cerinte de securitate
Agenția pentru Plăți și Intervenții în Agricultură este certificată ISO 27001:2013 și prestatorul trebuie să asigure susținerea fluxurilor informaționale curente în aliniere cu cerințele standardului. Toate activitățile prestate trebuie să fie aliniate cu cerințele standardului ISO 27001:2013.
Totodată, cerintele generale de securitate presupun asigurarea următoarelor prevederi:
Sistemul trebuie sa asigure confidentialitatea, integritatea si disponibilitatea informatiilor gestionate;
Sistemul trebuie sa permita accesul securizat de la distanta;
Sistemul va implementa o infrastructura cu chei publice pentru a asigura integritatea, autenticitatea, confidentialitatea si non-repudierea operatiunilor;
Sistemul trebuie sa aiba mecanisme globale de management al securitatii (user, parola, accesul bazat pe certificat electronic asociat utilizatorilor individuali, drepturi la nivel de profil si utilizator);
Se vor furniza functionalitati de administrare care sa permita oferirea, modificarea sau revocarea drepturilor de acces la informatii;
Sistemul trebuie sa includa o interfata de configurare a parolelor prin definirea cel putin a urmatoarelor: lungime minima, perioada maxima de viata a parolei, perioada minima de viata, complexitatea parolei – o combinatie de litere mari, litere mici, numere si caractere speciale -, blocarea contului pentru pe o perioda ce poate fi definita in cazul unui numar de incercari de autentificare esuate, evitarea ca parola sa contina numele de utilizator;
Utilizatorii vor avea posibilitatea de a schimba parola la prima logare;
Parolele trebuie sa fie confidentiale si nu vor putea fi accesate nici de catre administratorii aplicatiei sau bazei de date. In acest sens, parolel vor fi criptate pe baza unui algoritm ce va asigura confidentialitatea acestora;
Sistemul va comunica in mod criptat cu utilizatorii si interfetele sale;
Sistemul trebuie sa asigure trasabilitatea informatiilor inregistrate in modulele / submodulele care alcatuiesc sistemul;
Sistemul trebuie sa dispuna de mecanisme de audit la nivel de tranzacţie. Informatiile minime ce trebuie sa fie disponibile sunt: tranzactia efectuata sau esuata, numele de utilizator, IP-ul, data si ora la nivel de secunda;
Sistemul trebuie sa mentina un log istoric asupra inregistrarilor, astfel incat sa poata fi determinat cine si cand a efectuat modificari pe parcursul perioadei de viata al inregistrarii (de la creare si pana la stergerea acesteia);
Logurile trebuie sa fie generate atat pentru operatiunile realizate de catre utilizatori dar si de catre administratori, pentru operatiunile specifice de administrare;
Sistemul trebuie sa ofere log complet de activitate la nivel de utilizator pe o perioada de timp ce poate fi selectata;
Sistemul trebuie sa permita corelarea ceasului cu o autoritate de timp interna sau externa;
Logurile trebuie sa poata fi realizate si mentinute in asa fel incat informatiile incluse sa nu poata fi acesate, modificate sau sterse atat de catre utilizator cat si de catre administrator;
Baza de date trebuie sa fie criptata pe baza unui mecanism sigur ce asigura confidentialitatea accesului la datele gesionate;
Parolele de acces la baza de date trebuie sa fie configurate prin includerea a cel putin urmatoarelor reguli de parole: lungime minima, perioada maxima de viata a parolei, perioada minima de viata, complexitatea parolei – o combinatie de litere mari, litere mici, numere si caractere speciale -, blocarea contului pentru pe o perioda ce poate fi definita in cazul unui numar de incercari de autentificare esuate;
Sistemul trebuie sa fie capabil sa termine sesiunea deschisa de catre utilizator dupa un interval configurabil de inactivitate;
Sistemul trebuie sa aiba o arhitectura redundanta si sa nu contina „single points of failure”;
Sistemul informatic trebuie protejat impotriva incercarilor deliberate sau accidentale de acces neautorizat la date;
Sistemul trebuie sa nu contina vulnerabilitati de securitate conform metodologiei stardardelor internationale in vigoare (de ex: OWASP, OSSTMM sau echivalent) care ar putea fi exploatate de un eventual atacator pentru a accesa datele sau a genera indisponibilitatea sistemului.
Prestatorul este responsabil de asigurarea si evaluarea securitatii sistemului SI-APIA. Prestatorul va asigura remedierea tuturor incidentelor de securitate ce vizeaza intreg sistemul SI-APIA.
Dostları ilə paylaş: |