Leping
| Dokumendiregister | Tervise- ja heaolu infosüsteemide keskus |
| Viit | 3-9/3179-59 |
| Registreeritud | 07.05.2025 |
| Sünkroonitud | 08.05.2025 |
| Liik | Tellimuskiri |
| Funktsioon | 3 Finantsarvestus ja asutuse varade haldus |
| Sari | 3-9 Riigihankelepingud |
| Toimik | 3-9/2022 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Kaido Vaade (TEHIK, Äriteenuste osakond, Tervise valdkond, TIS arendustiim, Tervisejuhtimise töölaua tootetiim) |
| Originaal | Ava uues aknas |
Failid
From: Kaido Vaade <[email protected]>
Sent: Tue, 01 Apr 2025 07:52:14 +0000
To: Mehis Hakkaja <[email protected]>
Cc: Karoliina Asujõe <[email protected]>
Subject: RE: TJT GOVSSO tehniline kirjeldus pakkumuse saamiseks
Tere Mehis
Suured tänud pakkumuse eest. Käesoleva kirjaga kinnitame pakkumuse sobivuse. Lisan meie poolse allkirjaga pakkumuse manusega kaasa.
Turvatestijate e-mailid ja IKd on mul olemas järgmistele isikutele: Silvia Väli, Anti Räis, Andres Halls, Elar Lang, Silver Savi, Ukus Sõrmus, Mikk Oliver Kõiv, Mikk Romulus, Rasmus Moorats; Mehis Hakkaja
Puudu on Tristan Timmermann e-posti aadress ja isikukood.
Kas on Mait, Marko ja Mihkel ei osale testimises?
Ette tänades
Kaido
From: Mehis Hakkaja <[email protected]>
Sent: esmaspäev, 31. märts 2025 16:26
To: Kaido Vaade <[email protected]>
Cc: Karoliina Asujõe <[email protected]>
Subject: Re: TJT GOVSSO tehniline kirjeldus pakkumuse saamiseks
Tähelepanu! Tegemist on väljastpoolt asutust saabunud kirjaga. Tundmatu saatja korral palume linke ja faile mitte avada. |
Tere Kaido.
Saadan soovitud pakkumuse.
Peamised GovSSO liidestuse testijad meil on Silvia Väli ja Elar Lang, aga et testijate pink oleks võimalikult pikk, siis paluks juurdepääsud teistele testijatele ka.
Karoliina sai minult eelmine nädal värskendatud testijate nimekirja ja tellis STAR testide kontekstis just juurdepääse (millega on siiani veel ikaldusi).
Palun koordineerige omavahel, siis me saame vajadusel nende kahe turvatesti testijate ressurssi rist-kasutada.
Põhitestide ajakava, mis on tehnilises kirjelduses ära toodud, paistab sobivat.
Parimat.
Mehis Hakkaja
Clarified Security OÜ - "We break security to bring clarity"
CEO/Owner/Founder
[email protected]
phone: (+372) 603 66 44
Lõõtsa 12, Tallinn 11415, Estonia
On Thu, Mar 27, 2025 at 9:45 AM Kaido Vaade <[email protected]> wrote:
Tere Mehis
Edastan sulle RAAMLEPING NR 4.2-3/2266-1 alusel tellimuse. Manusega on kaasa lisatud Tehniline kirjeldus, millele ootame pakkumust. Palun vaata üle, kas tähtajad on realistlikud? Soov on saada põhitestimine ja kui peaks olema vajadus täiendava lisa/kordustestimise jaoks, siis tuua see eraldi välja. Kasutame seda võimalust vajadusel, kui tekib täiendav kordustestimise vajadus.
Ette tänades
Kaido Vaade
tooteomanik
+372 7943 900
Usume, et meie töö suudab säästa inimeste aega, et nemad saaksid keskenduda olulisele
Digiallkirjad
Pakkumus
Tervise ja Heaolu Infosüsteemide Keskus (TEHIK)
Tervisejuhtimise töölaud (TJT) - GovSSS turvatestimine
Riigihanke (viitenumber 246996) raamlepingu nr 4.2-3/2266-1 alusel
Pakkuja: Clarified Security OÜ Registrikood: 12164540 Aadress: Lõõtsa 12, 11415 Tallinn Telefon: +372 6036644 E-post: [email protected]
Kontaktisik: Mehis Hakkaja Ametinimetus: Juhatuse esimees (sh lepingu allkirjastaja ning kontaktisik / meeskonna juht) E-post: [email protected]
Tallinn 31 märts 2025
1/3
Vastavalt RIA ja ühishankijate (RMIT, TEHIK, EISA) raamlepingu (nr 4.2-3/2266-1) tingimustele ja TEHIK 27.03.2025 tellimiskirja lisas Tehniline kirjeldus välja toodule, pakume:
Manuaalset läbistustestimist OWASP ASVS v4.0.3 (või uuema) standardi Tase 3 verifikatsiioninõuete põhjal ning „white box” meetodil.
[Töö etapp]
Eeldused: Dokumentatsiooni olemasolu, ligipääsud infosüsteemidele (sh admin ja sisuhalduse testkontod), ligipääs rakenduse koodile, ligipääs logidele ja konfiguratsioonile.
Tööde ulatus: OWASP ASVS tase 3 alusel manuaalne turvatestimine „Tervisejuhtimise töölaual implementeeritud GOVSSO GOVSSO ja OAuth BFF lahendusele” vastavalt Tehnilises kirjelduses välja toodud skoobile. * Logide ning turvalogimise tesimine ei ole otseselt skoobis, aga juurdepääs rakenduste ja veebiteenuste logidele on soovitav turvatestimist abistaval eesmärgil.
Tulemid: Korrektses eesti keeles vormistatud raport rakenduse puudustest ja vigadest ning ettepanekud nende puuduste ja vigade parendamiseks.
Töödes osalevad: (T) turvatestijad: Silvia Väli, Anti Räis, Andres Halls, Elar Lang, Silver Savi, Ukus Sõrmus, Mikk Oliver Kõiv, Mikk Romulus, Rasmus Moorats, Tristan Timmermann; üle vaatab: Mehis Hakkaja
Viited: Funktsionaalsus ja testimise skoop (GOVSSO ja OAuth BFF lahendus): https://wiki.sm.ee/spaces/TJT/pages/334073535/GovSSO+ja+OAuth+BFF+lah endus
Arhitektuur: https://wiki.sm.ee/spaces/TJT/pages/221496170/Dokumentatsioon+Arhitektuu r+ja+tehniline+lahendus
Tööde algus: Töödega alustamise sooviks on 07.04.2025
Tööde üleandmise tähtaeg:
Põhitestid kestavad vähemalt 4 töönädalat turvatestide tegelikust võimalikust algusest. Tellija soov on turvatestimine (põhitestid) teostada vahemikus 07.04.2025 kuni 02.05.2025
Märkused:
Tööde mahud Töö nimetuste (iteratsioonide), teostajate ja rollide lõikes.
Töö nimetus Teostaja Roll Tundide arv Maksumus Põhitestid (T) turvatestija 156 18 720 eur Turvaparanduste ületestid (vastavalt vajadusele)
(T) turvatestija 10 1 200 eur
KOKKU ( * lisandub käibemaks vastavalt kehtivale KM määrale): 166 19 920 eur
2/3
Kordustestid / turvaparanduste ületestid – Kui tellija avaldab selleks soovi, siis põhitestidest tulenevate leidude turvaparanduste ületestimine tellija poolt määratud ulatuses ning raamlepingu tunnihinna alusel (120 eur/h +km).
Kinnitame, et: Pakkumuse jõusoleku tähtaeg on 3 kuud esitamise tähtajast. Antud Pakkumus ei sisalda ärisaladust.
/ allkirjastatud digitaalselt / Mehis Hakkaja, Clarified Security OÜ juhatuse esimees
3/3
From: Kaido Vaade <[email protected]>
Sent: Thu, 27 Mar 2025 07:45:00 +0000
To: Mehis Hakkaja <[email protected]>
Subject: TJT GOVSSO tehniline kirjeldus pakkumuse saamiseks
Tere Mehis
Edastan sulle RAAMLEPING NR 4.2-3/2266-1 alusel tellimuse. Manusega on kaasa lisatud Tehniline kirjeldus, millele ootame pakkumust. Palun vaata üle, kas tähtajad on realistlikud? Soov on saada põhitestimine ja kui peaks olema vajadus täiendava lisa/kordustestimise jaoks, siis tuua see eraldi välja. Kasutame seda võimalust vajadusel, kui tekib täiendav kordustestimise vajadus.
Ette tänades
Kaido Vaade
tooteomanik
+372 7943 900
Usume, et meie töö suudab säästa inimeste aega, et nemad saaksid keskenduda olulisele
Tervisejuhtimise töölaud – GOVSSO testimine
1 Tellimuse kirjeldus 1
2 Testitava süsteemi kirjeldus 1
3 Teenuse kirjeldus 3
4 Töö tulemid ja tähtajad 3
1 Tellimuse kirjeldus
1.1 Tellimuse esemeks on Tervisejuhtimise töölaual implementeeritud GOVSSO lahenduse turvalisuse testimine OWASP (Open Web Application Security Project) ASVS (Application Security Verification Standard Project) versioon 3.0.1 (või juhul kui sõlmitava raamlepingu kehtivuse perioodil peaks eksisteerima uuem versioon, siis uuemale) tasemetele 3 vastavate turvatestide teostamine.
2 Testitava süsteemi kirjeldus
2.1 Tervisejuhtimise töölaud (TJT) on upTIS põhimõtetest lähtuv andmete haldamise tööriist ja keskne töövahend kõigile terviseandmeid vajavatele spetsialistidele.
2.1.1 TJT on ette nähtud abivahendina nende olemasolevate tööprogrammide kõrvale, pakkudes uuenduslikke funktsioone, mida neil oma infosüsteemides ei ole.
2.1.2 Neile, kel pole oma tööprogrammi, saavad TJT abil teha kõike, mida patsiendi käsitlemiseks on vaja.
2.1.3 Lahenduse peamine eesmärk on spetsialistide toomine ühtsesse infovälja, võimaldades neil terviseandmeid struktuurselt sisestada ja kuvada ning omavahel vahetada.
2.1.4 Spetsialistidele tekib terviklik ülevaade patsiendi terviseandmetest, võimalus neid struktureeritult dokumenteerida ning kasutada patsiendi käsitlust toetavaid digilahenduse ühes kohas.
2.2 TJT on ühe patsiendi tervisekäsitluse töövahend.
2.2.1 Esialgu ei ole TJT skoop planeeritud töövoo haldamise lahendust (registratuur, patsiendi nimekirjad, vastuvõtugraafikud jms) ega aruandluse lahendust (raviarved, laohaldus, labori toimingud jms).
2.2.2 See tähendab, et lahendus on asjakohane sellest hetkest, kui patsient oma infosüsteemis lahti võtta.
2.2.3 Kellel pole parajasti infosüsteemi, saab muidugi end autentida ja patsiendi isikuandmeid sisestades infole ligi.
2.3 TJT on arendatud GOVSSO sisselogimise võimalus, mille eesmärgiks on võimaldada TTOde süsteemidest, kus on ka GOVSSO juurutatud, siseneda TJTsse ilma täiendavat autentimist tegemata.
2.3.1 Kogu suhtlus GOVSSO-ga toimub läbi oauth-gateway (oauth-bff muster) backend teenuse.
2.3.2 Frontendi paistab välja ainult oauth-gateway poolt loodud cookie sessiooni identifikaatoriga.
2.3.3 Küsides andmeid TJT backend teenustest, teeb frontend päringu oauth-gateway poole koos sessiooni cookie-ga. oauth-gateway vahetab sessiooni cookie GOV SSO access tokeni vastu ning edastab päringu TJT backend teenustesse.
2.3.4 Kõik TJT backend teenused valideerivad access tokeni valiidsust, kontrollides kehtivust ja sertifikaati (samamoodi nagu praeguse TEHIK SSO lahenduse puhul).
2.3.5 Kui kasutaja on varasemalt TTO süsteemis GOV SSO-ga sisse loginud, siis TJT-d avades suunatakse kasutaja GOV SSO lehele, kus tuvastatakse kehtiv sessioon ja suunatakse tagasi oauth-gateway teenusesse, kus salvestatakse access ja refresh tokenid cache-i ning genereeritakse sessiooni cookie.
2.3.6 Kasutajate väljalogimine (k.a back channel logout) toimub läbi oauth-gateway, mille käigus kustutakse antud kasutajate andmed (access token, session, id token, refresh token), mis keelab TJT edasist kasutamist.
2.4 Arhitektuur
2.5 Info arhitektuuri kohta - https://wiki.sm.ee/spaces/TJT/pages/221496170/Dokumentatsioon+Arhitektuur+ja+tehniline+lahendus
2.6 Funktsionaalsus ja testimise skoop
2.6.1 GOVSSO ja OAuth BFF lahendus, mille spetsifikatsioon on kirjeldatud siin - https://wiki.sm.ee/spaces/TJT/pages/334073535/GovSSO+ja+OAuth+BFF+lahendus
3 Teenuse kirjeldus
3.1. Tellimuse eesmärgiks on tellija poolt tellitavate, olemasolevate ja valitud infosüsteemide turvalisuse testimine OWASP (Open Web Application Security Project) ASVS (Application Security Verification Standard) versioon 3.0.1 (või juhul kui sõlmitava raamlepingu kehtivuse perioodil peaks eksisteerima uuem versioon, siis uuemale) tasemetele 2 ja 3 vastavate turvatestide teostamine.
3.2. Turvatestimise käigus tuleb metoodiliselt testida ja hinnata kõiki potentsiaalseid turvavigu (sealhulgas OWASP Top Ten) ning need tuleb testiraportis detailselt välja tuua koos võimalike lahenduste ja soovitustega, st leitud vigade puhul välja tuua võimalikud ohustsenaariumid.
3.3. Testimisel tuleb kontrollida, et testitavate infosüsteemide võimalike haavatavuste kaudu ei oleks võimalik juurde pääseda andmetele, mis asuvad väljaspool testitava rakenduse funktsionaalsust. Testimine hõlmab ka kasutajate horisontaalset ja vertikaalset õiguste ületamise turvatestimist.
3.4. Kõik testimised ja lähtekoodi kontrollid tuleb teostada ka käsitsi, sest testitavad süsteemid ei pruugi automaatsete vahenditega testimisel tõepäraseid tulemusi anda. Testimise lõppedes edastab täitja testitavate toodete/lahenduste testiraportid, krüpteerituna tellijale.
3.5. Turvatestimised viiakse läbi arendus- või testkeskkondades, kui ei ole kokku lepitud teisiti. Vajadusel luuakse tellija ja testija süsteemide vahele turvatud kanal infosüsteemidele ligipääsemiseks.
3.6. Testimise läbiviimiseks peab täitja esitama tellijale IP aadressid, millelt hakatakse turvateste läbi viima. Tellija avab ligipääsu vastavatelt IP aadressidelt testitavatele süsteemidele. Vajadusel teeb tellija ka vajalikud testkasutajad.
3.7. Lõppraport tuleb vormistada vastavalt OWASP ASVS reeglitele.
4 Töö tulemid ja tähtajad
4.1. Tööd on teostatud ja dokumenteeritud vastavalt nõuetele, vt. 3 Teenuse kirjeldus.
4.2. Rakenduse veebiliideses ei ole üldtuntud turvaauke, mis võimaldaksid välisel ründajal rakendusse sisse murda ja teha selles volitamata tegevusi.
4.3. Täitja ja tellija on tugisüsteemina kasutanud tellija kasutuses olevat projektihaldustarkvara vastavalt kokkulepetele.
4.4. Täitja on täitnud tööaja arvestust.
4.5. Turvatestimine toimub I etapis peale eeltegevuste teostamist.
4.5.1. Turvastestimise tööde tähtaeg on 2.05.2025 .
4.5.2. Turvatestimine viiakse läbi alates 7.04.2025 ning kestab kuni 2.05.2025 (kestus).
4.5.2.1. Lõplik turvatestimise periood lepingu sõlmimisest on kuni 8 töönädalat, misjärel akteeritakse tehtud tööd.
4.5.2.2. Turvatestimisele järgneb tuvastatud vigade paranduste teostamine tellija poolt, mille järel peab täitja teostama parandustele üle testimise kuni 1,5 kuu jooksul, misjärel akteeritakse tehtud tööd.
4.5.2.3. Juhul, kui hankelepingut ei sõlmita enne 7.04.205, siis lükkub hankelepingu hilisema sõlmimise võrra tööde teostamise periood edasi.
Seosed
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Leping | 22.10.2024 | 3 | 3-9/3179-51 | Riigihankeleping | tehik | |
| Leping | 10.06.2024 | 3 | 3-9/3179-47 | Riigihankeleping | tehik | |
| Leping | 22.05.2024 | 22 | 3-9/3179-46 | Riigihankeleping | tehik | |
| Leping | 06.11.2023 | 220 | 3-9/3179-36 | Riigihankeleping | tehik | |
| Leping | 13.10.2023 | 244 | 3-9/3179-34 🔒 | Muu leping | tehik | |
| Leping | 10.08.2023 | 308 | 3-9/3179-30 | Tellimuskiri | tehik | |
| Leping | 30.06.2023 | 349 | 3-9/3179-27 | Riigihankeleping | tehik | |
| Leping | 30.06.2023 | 349 | 3-9/3179-28 | Riigihankeleping | tehik | |
| Leping | 29.06.2023 | 350 | 3-9/3179-25 | Tellimuskiri | tehik | |
| Leping | 29.06.2023 | 350 | 3-9/3179-26 | Tellimuskiri | tehik | |
| Leping | 01.06.2023 | 378 | 3-9/3179-24 | Tellimuskiri | tehik | |
| Leping | 22.05.2023 | 388 | 3-9/3179-23 | Tellimuskiri | tehik | |
| Leping | 12.05.2023 | 398 | 3-9/3179-22 | Tellimuskiri | tehik | |
| TEHIK pakkumine INNA turvatestimiseks | 19.04.2023 | 421 | 3-9/3179-21 | Tellimuskiri | tehik | |
| Leping | 15.02.2023 | 484 | 3-9/3179-20 | Riigihankeleping | tehik | |
| Leping | 10.02.2023 | 489 | 3-9/3179-18 | Tellimuskiri | tehik | |
| Leping | 10.02.2023 | 489 | 3-9/3179-19 | Tellimuskiri | tehik | |
| Leping | 02.02.2023 | 497 | 3-9/3179-17 | Tellimuskiri | tehik | |
| Leping | 31.01.2023 | 499 | 3-9/3179-16 | Riigihankeleping | tehik | |
| Leping | 18.01.2023 | 512 | 3-9/3179-15 | Tellimuskiri | tehik | |
| Leping | 28.11.2022 | 563 | 3-9/3179-12 | Tellimuskiri | tehik | |
| Leping | 28.11.2022 | 563 | 3-9/3179-13 | Riigihankeleping | tehik | |
| Leping | 28.11.2022 | 563 | 3-9/3179-14 | Riigihankeleping | tehik | |
| Leping | 21.11.2022 | 570 | 3-9/3179-10 | Muu leping | tehik | |
| Leping | 21.11.2022 | 570 | 3-9/3179-11 | Muu leping | tehik | |
| Leping | 27.10.2022 | 595 | 3-9/3179-9 | Tellimuskiri | tehik | |
| Leping | 19.10.2022 | 603 | 3-9/3179-8 | Tellimuskiri | tehik | |
| Leping | 18.10.2022 | 604 | 3-9/3179-7 | Tellimuskiri | tehik | |
| Leping | 05.10.2022 | 617 | 3-9/3179-6 | Tellimuskiri | tehik | |
| Leping | 23.09.2022 | 629 | 3-9/3179-5 | Muu leping | tehik | |
| Leping | 19.09.2022 | 633 | 3-9/3179-4 | Tellimuskiri | tehik | |
| Leping | 07.09.2022 | 645 | 3-9/3179-3 | Tellimuskiri | tehik | |
| Leping | 10.08.2022 | 673 | 3-9/3179-2 | Tellimuskiri | tehik | |
| Leping | 21.06.2022 | 723 | 3-9/3179-1 🔒 | Riigihankeleping | tehik |