| Dokumendiregister | Registrite ja Infosüsteemide Keskus |
| Viit | 2/12-25 |
| Registreeritud | 28.03.2025 |
| Sünkroonitud | 31.03.2025 |
| Liik | Leping |
| Funktsioon | 4 Finantseerimine ja raamatupidamise arvestus |
| Sari | 4-3 Lepingud juriidiliste isikutega, aktid |
| Toimik | 4-3-1/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Lauri Tammiste (Registrite ja Infosüsteemide Keskus, Infoturbe ja IS halduse tiim) |
| Originaal | Ava uues aknas |
LEPING nr 2/12-25
Registrite ja Infosüsteemide Keskus, registrikoodiga 70000310, asukohaga Lubja tn 4, 19081 Tallinn, keda põhimääruse alusel esindab direktor Rivo Reitmann (edaspidi nimetatud tellija)
ja
Security Software OÜ, registrikoodiga 11924368, asukohaga Veskiposti tn 2, 10138 Tallinn, keda põhikirja alusel esindab juhatuse liige Rita Käit (edaspidi nimetatud täitja),
keda nimetatakse edaspidi pool või koos pooled, sõlmisid käesoleva lepingu (edaspidi leping) alljärgnevas:
1. Lepingu ese ja dokumendid
1.1 Leping sõlmitakse turu-uuringu teostamiseks logide haldus- ja analüüsitarkvara kasutamise
sobivuse hindamiseks Justiitsministeeriumi valitsemisala andmekogude logide jaoks ning kõikide
kokkuleppest tulenevate õiguste teostamisel ja kohustuste täitmisel täitjale teatavaks saanud teabe
kaitse ja konfidentsiaalsuse tagamiseks, vastavalt lepingus ja lisades toodud tingimustele.
1.2 Lepingu eseme tehniline kirjeldus on lepingu lisas 1.
2. Lepingu hind, maksetingimused ja tarneaeg
2.1. Lepingu hind moodustub tarkvara kasutustasust ja tunnihinna alusel osutatud
konsultatsiooniteenuse tasust.
2.2. Tarkvara kasutustasu on 0 eurot (netosumma).
2.3. Konsultatsiooniteenuse tunnihind on 0 eurot (netosumma).
2.4. Lepingu hind on täitja ainuke tasu seoses lepinguga ja täitja ise ega tema töötajad ei võta
päevarahasid, kaudset tasu ega muud lepingus toodud kohustustega seotud tasu. Samuti ei ole
täitjal ega tema töötajal õigust täiendavale autori- või muule sarnasele tasule seoses lepingu
täitmisega.
2.5. Tellija tasub lepingu hinna teenuse osutamise järgselt täitja poolt esitatud arvel märgitud
kuupäevaks. Maksetähtaeg ei tohi olla lühem kui 30 päeva.
2.6. Arve esitatakse käibemaksuga, mis lisatakse lepingu hinnale. Arve peab olema esitatud
masinloetaval kujul e-arvena.
2.7. Lepingu lisas 1 kirjeldatud toote tarneaeg lepitakse kokku poolte kontaktisikute vahel.
3. Poolte kontaktandmed
3.1. Tellija kontaktandmed on:
3.1.1. Tellija kontaktisik tööde teostamise juhendamisel ning täitjale vajaliku lähteinformatsiooni ja tööülesannete täpsustamisel jmt. on infoturbe ja IS halduse tiimi tiimijuht Lauri Tammiste (tel: 58470736, elektronpost: [email protected]) või tema ametlik asendaja.
3.2. Täitja kontaktandmed on:
3.2.1. Täitja kontaktisik on Rita Käit (tel: +372 56259963, elektronpost: [email protected]).
4. Konfidentsiaalsus
4.1. Kokkuleppe allakirjutamisega kinnitab täitja, et ta:
4.1.1. kasutab saadud informatsiooni ja andmeid vaid tellijale logide haldus- ja analüüsitarkvara pakkumiseks tellija poolt läbiviidava turu-uuringu teostamiseks;
4.1.2. on tutvunud ja kohustub täitma isikuandmete töötlemisalaseid nõudeid, andmete turvalisust puudutavaid ning isikuandmete kaitse alaseid Euroopa Liidu ja Eesti Vabariigi õigusakte ja muid eeskirju;
4.1.3. kohustub hoidma konfidentsiaalsena avaldamisele mittekuuluvat teavet ning käesolevast lepingust tulenevate õiguste teostamisel omandatud informatsiooni;
4.1.4. hoidub talle teatavaks saanud informatsiooni või andmete kasutamisest iseenda ja/või kolmandate isikute kasuks ja Justiitsministeeriumi või mõne tema valitsemisala asutuse või mõne teise, tellija poolt teenindatava, asutuse kahjuks;
4.1.5. hoiab konfidentsiaalsena ja ei edasta ega avalda kolmandatele isikutele saadud informatsiooni ega andmeid, sealhulgas isikuandmeid;
4.1.6. informeerib tellijat viivitamatult ja kirjalikult taasesitatavas vormis talle kolmandate isikute poolt esitatud päringutest või seaduslikust vajadusest avalikustada lepingus ettenähtud teabekaitsekohustega kaitstavaid andmeid ja enne vastavale päringule vastamist;
4.1.7. teavitab tellijat viivitamatult käesolevast lepingust või õigusaktidest tulenevate lepingu esemeks olevate kohustuste täitmisega seonduvatest takistustest, mis on tekkinud või tõenäoliselt võivad tekkida;
4.1.8. ei avalikusta ega kasuta Justiitsministeeriumi või mõne tema valitsemisala asutuse või mõne teise, tellija poolt teenindatava, asutuse vastu andmeid, mis on täitjale teatavaks saanud seoses lepingust tulenevate õiguste teostamise ja kohustuste täitmisega;
4.1.9. kohustub koheselt teavitama tellijat igast kahtlusest või ilmsiks tulnud olukorrast, mis võib ohustada Justiitsministeeriumi või mõne tema valitsemisala asutuse või mõne teise, tellija poolt teenindatava, asutuse vara või õigusi või põhjustada nimetatud asutuste mitteavaliku informatsiooni avalikuks tulekut;
4.1.10. kohustub rakendama järgmisi organisatsioonilisi, füüsilisi ja infotehnilisi turvameetmeid teabe kaitseks juhusliku või tahtliku volitamata muutmise; juhusliku hävimise ja tahtliku hävitamise eest ning õigustatud isikule andmete kättesaadavuse takistamise eest, volitamata töötlemise, sh avalikustamise eest:
a. vältima kõrvaliste isikute ligipääsu isikuandmete töötlemiseks kasutatavatele seadmetele;
b. ära hoidma andmete omavolilist lugemist, kopeerimist ja muutmist andmetöötlussüsteemis, samuti andmekandjate omavolilist teisaldamist;
c. ära hoidma isikuandmete omavolilist salvestamist, muutmist ja kustutamist ning tagama, et tagantjärele oleks võimalik kindlaks teha, millal, kelle poolt ja milliseid isikuandmeid salvestati, muudeti või kustutati või millal, kelle poolt ja millistele isikuandmetele andmetöötlussüsteemis juurdepääs saadi;
d. tagama, et igal andmetöötlussüsteemi kasutajal oleks juurdepääs ainult temale töötlemiseks lubatud isikuandmetele ja temale lubatud andmetöötluseks;
e. tagama andmete olemasolu isikuandmete edastamise kohta: millal, kellele ja milliseid isikuandmeid edastati, samuti selliste andmete muutusteta säilimise;
f. tagama, et isikuandmete edastamisel andmesidevahenditega ja andmekandjate transportimisel ei toimuks isikuandmete omavolilist lugemist, kopeerimist, muutmist või kustutamist;
g. pidama arvestust isikuandmete töötlemisel kasutatavate tema kontrolli all olevate seadmete ja tarkvara üle, dokumenteerides järgmised andmed:
1) seadme nimetus, tüüp ja asukoht ning seadme valmistaja nimi;
2) tarkvara nimetus, versioon, valmistaja nimi ja kontaktandmed.
4.1.11. kohustub teavitama tellijat toimunud või põhjendatult kahtlustatavast konfidentsiaalsuskohustuse ning turvameetmete rikkumisest, mis põhjustab, on põhjustanud või võib põhjustada edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu, kirjalikku taasesitamist võimaldavas vormis ilma põhjendamatu viivituseta. Teates tuleb vähemalt:
a) kirjeldada (isikuandmetega seotud) rikkumise laadi, sh puudutatud andmesubjektide liike ja arvu ning puudutatud kirjete liike ja arvu;
b) teatada andmekaitse töötaja ja tema kontaktandmed või muu kontaktpunkt, kust saab lisateavet;
c) soovitada meetmeid (isikuandmetega seotud) rikkumise võimalike negatiivsete mõjude leevendamiseks;
d) kirjeldada (isikuandmetega seotud) rikkumise tõttu andmesubjektidele tekkivaid tagajärgi ja potentsiaalseid ohte;
e) kirjeldada välja pakutud või võetud meetmeid (isikuandmetega seotud) rikkumisega tegelemiseks ja
f) esitada muud teavet, mis on mõistlikult nõutav, et tellija saaks täita kohaldatavaid andmekaitse õigusakte, sealhulgas riigiasutustega seotud teavitamise ja avaldamise kohustusi, näiteks teavet, mis on nõutav andmesubjekti tuvastamiseks.
4.1.12. kohustub tellija nõudmisel lõpetama punktis 4.1.11 nimetatud rikkumise ja kohaldama meetmeid (isikuandmetega seotud) rikkumise lahendamiseks, sh vajaduse korral rikkumise võimaliku kahjuliku mõju kõrvaldamiseks või leevendamiseks;
4.1.13. kohustub andmetele ligipääsu õiguse lõppemisel kustutama kõik talle teatavaks saanud isikuandmed ja nimetatute koopiad 5 päeva jooksul, v. a juhul, kui poolte kokkuleppest või õigusaktidest tuleneb teisiti;
4.1.14. kohustub tegema tellijale kättesaadavaks kogu teabe, mis on mõistlikult vajalik ja õigusaktidest tulenevalt kohustuslik punktis 4.1.13 sätestatud kohustuste täitmise tõendamiseks;
4.1.15. kohustub abistama võimaluse piires asjakohaste tehniliste ja korralduslike meetmete abil tellijal täita kohustust vastata taotlustele andmesubjekti õiguste teostamiseks ning teostada nende õiguste teostamisest tulenevaid toiminguid (andmete parandamine, sulgemine, kustutamine).
4.2. Konfidentsiaalsuse nõue laieneb järgnevale teatavaks saanud teabele:
4.2.1. mis lihtsustab rünnete planeerimist riiklikele infosüsteemidele ja andmekogudele;
4.2.2. mille avalikuks tulek võib kahjustada riiklikke infosüsteeme ja andmekogusid või riiklike
institutsioonide mainet või usaldusväärsust;
4.2.3. mis avaldab süsteemidele rakendamise või mitte rakendamisega seotud otseseid ja
kaudseid mõjusid (sh rakendamise tähtaegu, seotud finants-, hangete alast, vms sarnast
teavet).
4.3. Konfidentsiaalsuskohustus ei laiene ning teavet võib edastada selleks seadusega volitatud pädevatele riigiasutustele seaduses ettenähtud juhtudel ja ulatuses.
4.4. Täitja edastab konfidentsiaalset informatsiooni ainult nendele töötajatele, kes on punktis 4.1.1 nimetatud ülesannete täitmisega otseselt seotud ja kindlustab, et töötajad on teadlikud ja täidavad konfidentsiaalsusnõuet.
4.5. Lepingus ettenähtud konfidentsiaalsuskohustuse täitmine ei vabasta täitjat õigusaktides ettenähtud vastutusest süütegude sooritamisel.
4.6. Lepinguga võetud kohustuse rikkumisel täitja poolt on tellijal õigus nõuda täitjalt leppetrahvi kuni 30 000 (kolmkümmend tuhat) eurot iga vastava juhtumi korral.
4.7. Lepinguga võetud konfidentsiaalsuskohustuse rikkumisel on täitja lisaks leppetrahvi tasumisele kohustatud hüvitama täies ulatuses tellijale tekitatud kahju, mis ületab leppetrahvi summa. Kahjuks loetakse ka tellija poolt kantud kulutused ja kahjud, mis kantakse tellija poolt kahju hüvitamisel kolmandatele isikutele.
4.8. Kahju hüvitamise kohustuse või leppetrahvi tasumise kohustuse mittetäitmisel kohustub täitja tasuma viivist 0,05 % (null koma null viis protsenti) tasumata summalt iga viivitatud kalendripäeva eest.
4.9. Leppetrahvid ja viivised tasutakse 14 (neljateist) kalendripäeva jooksul vastava nõude saamisest arvates.
5. Lõppsätted
5.1. Leping jõustub allkirjastamise hetkest ja kehtib kuni lepingujärgsete kohustuste täitmiseni.
5.2. Pooled tagavad ja avaldavad, et lepingu sõlmimisega ei ole nad rikkunud ühtegi enda suhetes kehtiva seaduse, põhikirja või muu normatiivakti sätet ega ühtki endale varem sõlmitud lepingute ja kokkulepetega võetud kohustust.
5.3. Pooled kinnitavad ja tõendavad, et:
5.3.1. neil on seaduses ettenähtud piisav õigus- ja teovõime lepingu sõlmimiseks ning lepingust tulenevate kohustuste täitmiseks ja õiguste realiseerimiseks;
5.3.2. nende poolt lepingule ja selle lisadele allakirjutanud isikutele on antud piisavad volitused selle lepingu sõlmimiseks kooskõlas õigusaktide ja muude normatiivaktidega.
5.4. Lepingu sõlmimisega kaotavad kehtivuse kõik pooltevahelised varasemad kokkulepped niivõrd, kuivõrd need on vastuolus lepinguga.
5.5. Lepingu allakirjutamisega tõendavad pooled, et on tutvunud ja on nõus lepingu ja selle lisadega ning mõistavad täielikult enesele võetavate kohustuste sisu ning nende tagajärgi.
5.6. Lepingule ja kõikidele Lepingust tulenevatele dokumentidele kehtivad Eesti Vabariigi õigusaktid.
5.7. Poolte vahelised vaidlused lahendatakse läbirääkimiste teel. Läbirääkimiste tulemusel kokkuleppe mittesaavutamisel lahendatakse vaidlus Harju Maakohtus.
Tellija Täitja
Registrite ja Infosüsteemide Keskus Security Software OÜ
/ allkirjastatud digitaalselt / / allkirjastatud digitaalselt /
Rivo Reitmann
Direktor
Rita Käit
CSO/Juhatuse liige
Leping nr 2/12-25
Lisa nr 1
TURU-UURING „LOGIDE HALDUS- JA ANALÜÜSITARKVARA“
Turu-uuring „Logide haldus- ja analüüsitarkvara“ koos lepingu eseme tehnilise kirjeldusega sisaldub lepingu asice konteineris eraldi failina.
Leping nr 2/12-25
Lisa nr 1
Registrite ja Infosüsteemide Keskus
Turu-uuring „Logide haldus- ja analüüsitarkvara“
Tallinn 2025
2
Sisukord
Turu-uuring ............................................................................................................................................ 3
1. Turu-uuringu põhimõtted ......................................................................................................... 3
2. Turu-uuringu küsimused .......................................................................................................... 3
Tehniline kirjeldus (kavand) ................................................................................................................ 4
1. Mõisted ....................................................................................................................................... 4
2. Teenuse üldised tingimused ja nõuded ................................................................................. 4
3. Lahenduse funktsionaalsed nõuded: ..................................................................................... 4
4. Nõuded turvalisusele ................................................................................................................ 5
3
Turu-uuring
1. Turu-uuringu põhimõtted
1.1. Turu-uuringu eesmärk on tutvuda hankija tehnilises kirjelduses väljatoodud nõuetele vastava logide haldus- ja analüüsitarkvaraga, paigaldades tarkvara hankija serverisse ning testides tarkvara võimekust hankija enda logidega. Turu-uuring annab hankijale sisendi tema enda tehniliste nõuete sobivuse kohta hankija süsteemide logide haldamiseks ning üldise info samalaadsete tarkvarade võimekuse kohta.
1.2. Turu-uuring viiakse läbi kahe pakkujaga - Telia ja Elasticuga. Hankijale teadaolevalt osutavad nimetatud pakkujad hankija nõuetele vastavat teenust ning võimalike erisuste kaardistamiseks on valitud nii Eesti kui välismaa pakkuja. Kuna tarkvara sobivuse testimine võib võtta aega maksimaalselt 6 kuud, ei ole ajaliselt otstarbekas turu-uuringu valimisse rohkem pakkujaid võtta.
1.3. Turu-uuringus pakkumusi ei esitata. Turu-uuringu käigus viiakse läbi demo valitud pakkujate lahendustele ning edastatakse vastused hankija küsimustele eraldi failina.
1.4. Turu-uuringu käigus tutvutud lahenduste ja saadud vastuste põhjal otsustab hankija tulevikus samalaadsele lahendusele riigihanke korraldamise. Hankija kasutab vajadusel turu-uuringu käigus saadud sisendit riigihanke korraldamisel, tagades kõigile pakkujatele sisendi turu- uuringute tulemustest ja piisava ajalise ettevalmistuse.
1.5. Hankija dokumenteerib kogu turu-uuringu käigus pakkujatele edastatud ja saadud teabe ning nimetatu kajastatakse hankedokumentides.
1.6. Hankija tagab turu-uuringu tegemisel ja selle käigus saadud nõuannete kasutamisel mittediskrimineerimise ja läbipaistvuse põhimõtete järgimise. Konkreetsetele turu-uuringus osalejatele riigihanke avaldamisel ei viidata.
1.7. Turu-uuring viiakse läbi maksimaalselt 6 kuu jooksul. Pakkuja on kohustatud jagama hankijaga tehnilist dokumentatsiooni. Turu-uuringu käigus on pakkuja valmis pakkuma hankijale konsultatsiooniteenust. Vajadusel seadistab ja paigaldab pakkuja tarkvara hankija poolt valitud asukohta, mille eest tasutakse konsultatsioonteenuse tunnihinna alusel.
1.8. Pakkujal on õigus turu-uuringu raames küsida teenuse osutamise eest kulupõhist tasu (nii tarkvara kasutustasu kui konsultatsiooniteenuse tunnihinda).
1.9. Turu-uuringu läbiviimiseks sõlmitakse hankija ja pakkuja vahel leping, mis reguleerib turu- uuringu läbiviimist, tasumise kohustust ja pooltevahelist konfidentsiaalsuskohustust.
2. Turu-uuringu küsimused
Palume pakkujatel hinnata tehnilises kirjelduses toodud nõudeid ning pakkuja võimekust nõuete
täitmiseks.
1. Kas tehnilises kirjelduses kirjeldatud nõudeid on pakkuja võimeline täitma?
2. Palume pakkujatel anda orienteeruv hinnang pakkumuse maksumusele ühe logiallika kohta.
Millised võiksid olla tingimused, mis pakkumuse hinda võiksid tõsta.
3. Millised oleks pakkujate ettepanekud teenuse hinnastamise osas?
4. Palume pakkujatel lisada ettepanekuid tehnilise kirjelduse täiendamiseks, mis aitaks hankijal
saada heal tasemel ja turvalist teenust.
5. Kui pikk on pakkuja poolt pakutava lahenduse paigalduse ning seadistuse aeg?
6. Muud ettepanekud hankijale.
4
Tehniline kirjeldus (kavand)
1. Mõisted
1.1 Haldus – logide kogumine ja töötlemine, mis tagab nende kõrge käideldavuse,
muutumatuse, tõrgete parandamise jms.
1.2 Analüüs – kogutud logide analüüs, mis annab ülevaate logisündmuste kohta ning edastab
teavitusi anomaaliate ning kriitiliste turvasündmuste puhuks.
1.3 Välisvõrk – võrk, mis ei ole osa hankija võrgust.
1.4 Sisevõrk – võrk, mis on osa hankija võrgust.
1.5 Analüütika – logide haldus- ja analüüsitarkvara poolt kogutud logide põhjal reaalajaline
detailne ülevaade serverite, tööjaamade, arvutite jms kohta.
1.6 Konsultatsioon – tehniline konsultatsioon, mille raames lahendatakse hankija poolt esitatud
pöördumisi (nt. küsimused tarkvara kohta, abistamine lisaseadistamisel jms) kokkulepitud
tunnihinna alusel.
1.7 Paigaldus – pakkuja ja hankija koostöös pakkuja poolt pakutava lahenduse installeerimine
ja juurutamine hankija keskkonnas ning esmaste logiallikate liidestamine haldus- ja
analüüsitarkvaraga, millega tagatakse tehniline valmidus funktsionaalses osas.
1.8 Kaugtöölaud – üle VPN-i ühendumine logide haldus- ja analüüsitarkvaraga.
1.9 Agent – tarkvara poolt pakutav lahendus, mis kogub ja edastab logisid serveritest
keskhalduses olevasse logide haldus- ja analüüsitarkvarasse.
1.10 Logiallikas – masin/server/tööjaam, mis genereerib logisid.
1.11 Hosti/rakenduse vaade – detailsem vaade iga hosti ja/või rakenduse kohta, mis toob esile
ülevaatliku pildi rakenduse hetkeseisust kui ka olulisemad sündmused.
1.12 Elutsükkel – logidele määratud tähtaeg, mille möödumisel logid kustutakse või tõstetakse
uude kohta.
1.13 Lõppkasutaja – hankija töötaja, kes tarkvara kasutab.
1.14 Ajatelg – graafiline vaade logidega seotud sündmustest konkreetsel ajahetkel, mis näitab
intsidentide võimalikku teket ja mõju.
1.15 Raport – logide põhjal koostatud aruanne, mida on võimalik jagada kolmanda osapooltega,
nt. kokkuvõtvad logid intsidendist.
2. Teenuse üldised tingimused ja nõuded
2.1 Teenus hõlmab logide haldus- ja analüüsitarkvara kasutamisõigust, vajadusel pakkuja
poolset paigaldust ja konsultatsiooniteenust.
2.2 Pakutav lahendus ei tohi otse suhelda välisvõrguga, v.a erandjuhtudel (nt. päringu asukoha
määramine ehk geoIP).
2.3 Pakutav lahendus peab olema isoleeritud välisvõrgust.
2.4 Pakutava lahenduse puhul ei ole lubatud edastada kogutud analüütikat lahenduse pakkujale
või kolmandatele osapooltele.
2.5 Pakkujal ei ole lubatud paigaldatud lahendusele ühenduda üle kaugtöölaua. Kui tekib
olukord, kus hankija vajab tarkvara kasutamise käigus konsultatsiooni, kasutatakse muid
võimalusi.
2.6 Lahenduse dokumentatsioon ja juhendid peavad olema ajakohased ning ligipääs
dokumentatsioonile peab olema hankijale tagatud.
2.7 Pakkuja jagab hankijaga lahenduse tehnilist arhitektuuri, sh kas logid on transpordi ajal
krüpteeritud; kuidas toimub andmete liikumine; keskmine agendi ressursi kasutus; millist
logide põhist meetrikat (ing. k. Log-based metrics) oskavad agendid korjata.
2.8 Tarkvara esmase paigalduse järgselt peab hankijal olema võimalus kogu tarkvara
haldust/uuendamist ise administreerida.
3. Lahenduse funktsionaalsed nõuded:
3.1. Lõppkasutajale peab olema võimalik määrata rollipõhiseid ligipääse. Lõppkasutaja peab saama
vaadata ainult tema rolliga seotud logisid ja vaateid (ing. k. dashboard).
3.2. Intsidendi uurimisel peab olema võimalus luua tarkvara siseselt logidest ajatelg, mis näitab
intsidendi võimalikku teket, tegevusi ja mõju.
5
3.3. Lahendus peab võimaldama eelseadistatud reeglite järgi teavituste genereerimist logidest ehk
anomaaliate tuvastamist.
3.4. Logidele peab olema võimalik määrata elutsükkel, mille põhjal logid teatud aja tagant kas
tõstetakse uude kohta või kustutatakse.
3.5. Logidele peab olema võimalik lisada integratsioone (nt. CVE scanner, teavituste saatmine
erinevatesse suhtluskanalitesse jms).
3.6. Logi kirje järgi peab olema võimalik tuvastada, mis serverist, tööjaamast ja/või domeenist logid
saadeti.
3.7. Lahendus peab võimaldama logide põhjal raportite genereerimist ning nii manuaalset kui ka
automaatset raportite edastamist.
3.8. Logikirjed peavad sisaldama tõestust, mille kaudu on võimalik kinnitada andmete terviklust.
4. Nõuded turvalisusele
4.1. Süsteem peab olema kaitstud rünnakute vastu parima OWASP (https://owasp.org/ sealhulgas:
https://owasp.org/www-community/OWASP_Risk_Rating_Methodology; OWASP ASVS
https://owasp.org/www-project-application-security-verification-standard/) praktika kohaselt.
4.2. Teenuse pakkujal peab olema läbitud Eesti Infoturbestandardi audit või olemas ISO 27001
sertifikaat või nendega samaväärne tunnistus/sertifikaat.
4.3. Infoallika ja serveri vaheline liiklus peab olema krüpteeritud.
4.4. Kõik paroolid ja salasõnad peab rakendus alati salvestama soolatud ja krüpteeritud kujul.
Krüpteerimise korral tuleb kasutada tugevaid algoritme.
4.5. Teenus peab logima turvalisuse seisukohalt kriitilised sündmused, sh sessiooni algamine ja
lõppemine, rolli muutumine jms. Logi peab sisaldama kõigi failidega tehtavate toimingute kohta
kasutaja ID-d, mis tegevused andmetega tehti (loomine, muutmine, kustutamine, vaatamine) ja
kas tegevus õnnestus. Logi peab olema lihtsalt inim- ja masinloetav.