1. Tekniske krav 1. Generelle krav 1.1 Databehandleransvar i henhold til Lov om behandling av personopplysninger med tilhørende forskrifter skal tydelig fremgå av beskrivelsene som etterspørres i punkt Generelle krav 1.2 Det skal leveres en beskrivelse av tjenestes virkemåte og løsninger for drift og bruk av tjenesten 1.3 Tjenesten skal oppfylle krav til behandling og forvaltning i henhold til alle relevante lover og forskrifter, herunder: Personopplysningsloven Forvaltningsloven Offentlighetsloven eforvaltningsforskriften 1.4 Det skal leveres en beskrivelse av eierskapsmodell for registrerte data og fordeling av ansvar for behandling og vedlikehold av disse. De skal leveres en beskrivelse av mekanismer for ivaretakelse av de registrerte brukeres rettigheter inkludert sikring av informert samtykke og råderett over egne data, leverte vedlegg og søkehistorikk.??? Det skal leveres en beskrivelse av tilgjengelige mekanismer som registrerte brukere kan benytte for å utøve tilgangskontroll til registrerte opplysninger. 1.5 I tillegg forventes tjenesten å være i henhold til: Referansekatalog for IT-standarder i offentlig sektor versjon 2.0 spesifikasjon por PKI i offentlig sektor Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor Diskriminerings- og tilgjengelighetsloven (2008:42)
2. Klienter 2.1 Tilgang til tjenesten skal kunne oppnås ved bruk av en nettleser og skal ikke kreve installasjon av egen klient 2.2 Funksjonalitet i tjenesten skal være plattform- og operativsystemuavhengig 2.3 All funksjonalitet i tjenesten skal være støttet i minst følgende nettlesere: Firefox versjon 3.5 Internet explorer versjon 8 Safari versjon 4 Redegjør for rutiner for å sikre støtte til nyere versjoner når de kommer. 2.4 Tilgang til tjenesten skal ikke kreve installering av ekstra komponenter eller endring av sikkerhetsinnstillinger i nettleser jfr 6.9 3. Oppetid, ytelse og teknisk support - ekstern drift 3.1??? USIT har et generelt krav til oppetid tilsvarende 99% i tiden 08:00-17:00. Tjenesten skal kunne ha samme oppetid. Leverandøren skal dokumentere rutiner for varsling, planlegging og gjennomføring av nedetid inkludert faste tidsvinduer for oppgradering og lignende. 3.2 Tjenesten forventes å ha god ytelse uavhengig av antall påloggede brukere. Ytelse skal utrykkes som responstid ved bruk av tjenesten og dokumenteres av leverandøren. 3.3 Leverandøren skal beskrive rutiner for tilgang til teknisk support. Rutiner for retting av innmeldte feil i tjenesten inkludert feil i UiOs egendefinerte funksjonalitet.
4. Plattform, programvare og teknisk support intern drift (USIT) 4.1 Det skal leveres en beskrivelse av hvilke plattformer som støttes og krav til versjoner og spesiell programvare. 4.2 Tjenesten må kunne kjøres på systemer og programvare som støttes av USIT: Operativsystem: Database: RHEL4/5??? Windows server 2008 Oracle 10.2.x / 11.2.x (RHEL4/5) PostgreSQL 8.4 (RHEL4/5) Webserver / applikasjonsserver: Apache 2.2 (RHEL4/5)??? IIS Resin 3.0 (RHEL4/5) Jboss 4.2.2-GA (RHEL4/5) PHP 5.3 Redegjør for rutiner for å sikre støtte til nyere versjoner når de kommer. Eventuelle avvik skal dokumenteres og godkjennes av UiO. 4.3 Tjenesten skal kunne skaleres ved at det støtter bruk av cluster teknologi både på webserver og applikasjonsserver. 4.4 Leverandøren skal beskrive rutiner for tilgang til teknisk support. Rutiner for retting av innmeldte feil i tjenesten inkludert feil i UiOs egendefinerte funksjonalitet. 5. Tilpasninger i funksjonalitet 5.1 Det skal leveres en beskrivelse av rutiner for ivaretakelse av UiOs tilpasninger i funksjonalitet i forbindelse med oppdateringer og endringer i tjenesten 5.2 Leverandøren skal beskrive rutiner for innmelding av endringsønsker og funksjonalitetsutvidelser.
6. Sikkerhet Autentisering og autorisasjon 6.1 Det skal leveres en beskrivelse av mekanismer for ekstern autentisering i 6.2 Tjenesten skal støtte ekstern autentisering ved hjelp av Feide eller UiOs lokal LDAP-katalog, for konsulenter ved innkjøpsavdeling, interne medlemmer av anskaffelse komite og andre UiO brukere. 6.3 Det skal leveres en beskrivelse av autentiseringsmekanismer for leverandører og eksterne medlemmer av anskaffelse komite, og krav til autentiseringsdata tjenesten stiller for disse brukere i anskaffelse perioden. Beskrivelsen skal inneholde rutiner for passordskifte og uthenting/setting av glemt passord. 6.4 Autorisasjon skal i første omgang foregå lokalt i Mekanismer for autorisasjon, autorisasjonsnivåer og tilganger knyttet til disse skal beskrives. 6.5 Tjenesten bør støtte tilgangsstyring basert på organisatorisk tilhørighet. Det skal dokumenteres hvordan tilgang til data tilhørende en gitt organisatorisk enhet kan begrenses til brukere knyttet til enheten. 6.6 Det skal leveres en beskrivelse av rutiner for inndragning av tilganger. 6.7 Det skal leveres en beskrivelse av mekanismer for autorisasjon basert på eksterne data, for eksempel gruppemedlemskap eller tilknytninger registrert i UiOs LDAP-katalog dersom slike mekanismer er tilgjengelige i Oppbevaring av data og dataeierskap 6.8 Det skal leveres en beskrivelse av rutiner og opplegg for oppbevaring og sikring av data. Rutiner for backup, restore og sletting skal beskrives. 6.9 Leverandøren skal dokumentere at bestemmelsene i UiOs ITsikkerhetshåndbok er overholdt (http://www.uio.no/admhb/reglhb/it/itsikkerhetshandbok.xml) 6.10 Eventuelle avvik skal dokumenteres og godkjennes av UiO.
Kryptering av komunikasjon 6.11 All kommunikasjon mellom applikasjon og klient, inkludert autentisering, skal være kryptert. 6.12 All kommunikasjon mellom applikasjon og undersystemer skal være kryptert 6.13 Det skal leveres en beskrivelse av krypteringsimplementasjon i 6.14 Ved eventuell ekstern drift av applikasjonen, skal kun benyttes sikkerhetssertifikater fra anerkjente sertifikatleverandører. Det skal leveres en beskrivelse av rutiner for oppdatering av sertifikater i 7. Integrasjon 7.1 Det skal leveres en beskrivelse av muligeter for integrasjon av systemet med UiOs elektroniske arkivsystem (ephorte), innkjøpssystem (Basware) og Økonomi system (Oracle applications) 7.2 Det skal redegjøres for integrasjonsmuligheter med andre IT-systemer (datautvekslingsformat, frekvens, datamodell, flytbeskrivelser) 7.3 Det skal redegjøres for mulighetene for automatisk oppdatering av organisatorisk struktur basert på data registrert i kundens autoritative kildesystemer.