Closing date has passed.
Tietopyyntö 1Hankkivan yksikön esittely Kela hoitaa Suomessa asuvien perusturvaa eri elämäntilanteissa. Kelan asiakkaita ovat kaikki Suomessa asuvat sekä ulkomailla asuvat Suomen sosiaaliturvan piiriin kuuluvat henkilöt. Kelan hoitamaan sosiaaliturvaan kuuluvat lapsiperheiden tuet, sairausvakuutus, kuntoutus, työttömän perusturva, asumistuki, opintotuki, toimeentulotuki ja vähimmäiseläkkeet. Lisäksi Kela huolehtii vammaisetuuksista, sotilasavustuksista sekä maahanmuuttajan tuesta. Kelan hoitaman sosiaaliturvan sisällöstä päätetään lainsäädännössä. Kelan tehtävänä on myös tiedottaa etuuksista ja palveluista, kehittää sosiaaliturvaa tutkimuksen avulla sekä laatia etuuksien ja toiminnan ennakoinnissa ja seurannassa tarvittavia tilastoja, arvioita ja ennusteita Kelan ICT-yksikkö tuottaa Kelan liiketoiminnan tarvitsemat ICT-palvelut. 2Hankinnan tausta ja tavoitteet Kelan Java-sovelluskehityksessä on käytössä yhteensä noin 1300 kolmannen osapuolen tuottamaa Java-kirjastoa. Java sovelluskehittäjiä on noin 150 henkilöä. Hankinnan tavoitteena on nostaa Kelassa kehitettävien Java-sovellusten tietoturvatasoa. Hankinnalla halutaan mahdollistaa kolmansien osapuolien tuottamien Java-kirjastojen tietoturvan ja lisenssien analysoinnin automatisointi. Tällöin kaikista kirjastoista olisi saatavilla reaaliaikaista tilannetietoa kehityksen ja ylläpidon tueksi. Kelassa on tällä hetkellä käytössä Sonatype Nexus open-source versio. Hankittavan tuotteen tulee integroitua edellä mainittuun tuotteeseen tai tarjota vastaavat ominaisuudet. Hankinta sisältää myös lisenssien ylläpito- ja tukipalvelun sopimuskaudelle. Palvelun tulee sisältää valmisohjelmiston uusien versioiden ja virhekorjausten Kelan saataville saattamisen ja käyttöoikeuden Kelalle. Uudet versiot ja virhekorjaukset tulee olla Kelan asiantuntijoiden saatavilla. Kela toteuttaa asennustyöt lähtökohtaisesti itse. 3Vähimmäisvaatimukset Tuotteen tulee kyetä löytämään mahdolliset tunnetut tietoturvaheikkoudet sekä tunnistamaan lisensointimallit käytetyistä kolmannen osapuolen kirjastoista ja tuottamaan näistä tiedoista selkeät reaaliaikaiset raportit. Tietoturva- ja lisenssianalyysituotteen tulee täyttää seuraavat vaatimukset: •Tuotteen tulee olla valmisohjelmisto. •Tuote tulee asentaa Kelan palvelinsaliin, asennuksen tekee Kela. •Järjestelmän ylläpitoon tarkoitettu tekninen dokumentaatio on suomen- tai englanninkielistä. •Toimittajan pitää toimittaa Kelalle ohjelmiston riittävät ja ajantasaiset asennus- ja päivitysohjeet sekä päivitykset. •Toimittajan pitää antaa teknistä tukea. •Tuotteen tulee sisältää käyttöoikeuksien hallinnan, joka huolehtii luotettavalla tavalla siitä, että todennetut käyttäjät voivat suorittaa käyttöoikeuksiensa mukaisia toimintoja. Sallitut toimenpiteet määräytyvät käyttäjäryhmien ja -roolien mukaan eli tuotteessa tulee olla AD- ja LDAP-integraatio. •Tuote kartoittaa Kelassa annettujen kriteerien mukaisesti Java-kirjastojen lisenssien yhteensopivuutta ja tietoturvaheikkouksia. •Tuote tulee toimia automaattisesti ja reaaliaikaisesti Kelan Java-kehitysympäristössä. •Tuote tulee olla yhteensopiva Kelan Java-kehitysympäristöön (Jenkins, Eclipse IDE, Sonatype Nexus, Apache Maven, SonarQube) seuraavalla tavalla: oTietoturva- ja lisenssianalyysi voidaan suorittaa osana Apache Maven buildia ja Jenkins itemiä o Tuote pystyy merkitsemään buildin epäonnistuneeksi oTietoturva- ja lisenssianalyysi voidaan suorittaa Eclipse IDE:stä ja raportit ovat saataville Eclipse IDE:een o Tuote pystyy analysoimaan kirjastoja Sonatype Nexuksesta. o Tuote estää organisaation lisenssi- ja tietoturva säännöstöä rikkovien kirjastojen latautumisen Sonatype Nexukseen. oTuote raportoi sovelluksessa käytetyt haavoittuneet kirjastot ja haavoittuvuuden vakavuuden käyttäen tunnettua pisteytysmenetelmää (esim. Common Vulnerability Scoring System) oTuote raportoi lisenssirikkomuksien määrän tyypeittäin oTuotteesta on mahdollista ladata raportit PDF-muodossa (tai vastaavassa) oTuotettu raportti tulee olla mahdollista viedä osaksi SonarQube dashboardia •Toimituksen tulee sisältää ensin 1-3 kk maksuttoman lisenssin jonka aikana Kela todentaa vähimmäisvaatimusten täyttymisen. Jos vaatimukset eivät täyty niin Kelalla on oikeus perua sopimus. 4Kelan kysymykset tarjoajille 1.Mikä tai mitkä tuotteistanne arvionne mukaan täyttää esitetyt tarpeet? 2.Minkä pituisia sopimuskausia voidaan solmia? 3.Kuinka pitkä tilauskausi on kerrallaan (esim. 1, 2 tai 3 vuotta)? 4.Sisältyykö tuki ja ylläpito lisenssin hintaan, vai onko se erikseen hinnoiteltu? 5.Mitä tarjoamanne tuki- ja ylläpitopalvelu sisältää? 6.Millainen hinnoitteluperuste tarjoamassanne tuotteessa on? 7.Millä yksiköllä hankittavien ohjelmistolisenssien määrä mitataan ja miten yksikkö on määritelty? 8.Muuttuuko lisenssien hinta Kelan IT-ympäristön tai ohjelmiston käytön muuttuessa ts. onko hinnoittelussa portaita tai miten lisäkäyttäjät tai volyymi hinnoitellaan? 9.Pystyykö Kela seuraamaan tuotteen käytössä olevaa lisenssimäärää reaaliaikaisesti? 10.Pystyttekö tarjoamaan lisenssejä sovittavan kiinteähintaisen lisenssi ajan jälkeen? 11.Liittyykö hintaan sidonnaisuuksia esimerkiksi valuuttakursseihin? 12.Mitä lisätietoja tarvitsisitte Kelalta tarjouksen tekemistä varten? 13.Miten ja missä mittayksikössä (esim. käyttäjämäärä, datamäärä tms.) Kelan tulee kuvata hankinnan kohde ohjelmiston mitoitusta ja hinnoittelua varten? 14.Täyttääkö valmisohjelmistonne Kelan vaatimukset sellaisenaan vai onko valmisohjelmistoon tarve tehdä räätälöintiä, jotta vaatimukset täyttyvät? 15.Vaatiiko teidän valmisohjelmistonne jotain räätälöintiä Kelan omaan kehitysympäristöön tai kehitysvälineisiin? 5Tietopyyntöön ilmoittautuminen Hankinnasta kiinnostuneita yrityksiä pyydetään vastaamaan edellä esitettyihin kysymyksiin ja lähettämään vastaukset ja yhteystietonsa (yrityksen virallinen nimi ja yhteyshenkilö) osoitteessa https://hanki.tarjouspalvelu.fi tai vaihtoehtoisesti sähköpostiosoitteeseen hankintapalvelut@kela.fi 3.3.2017 mennessä. Tämä on markkinakartoitukseen liittyvä tietopyyntö, eikä velvoita Kelaa toteuttamaan kyseistä hankintaa.