CZĘŚĆ II SIZ SPECYFIKACJA PRZEDMIOTU ZAMÓIENIA Część II SIZ Specyfikacja Przedmiotu Zamówienia Uruchomienie Systemu Zarządzania Poświadczeniami Strona 1 z 36
SPIS ZAARTOŚCI CZĘŚCI II: 1 stęp...4 1.1 Słownik terminów i skrótów...4 2 Opis przedmiotu zamówienia...6 2.1 ymagania funkcjonalne...6 2.1.1 Funkcje udostępniane (FO)... 6 2.1.2 Funkcje wykorzystywane (FI)... 8 2.1.3 Logika sterowania (FL)... 9 2.1.4 Interfejs użytkownika (FU)... 9 2.1.5 Pielęgnacja i diagnostyka (FM)... 10 2.1.6 Infrastruktura techniczna (FT)... 10 2.2 ymagania pozafunkcjonalne... 11 2.2.1 ygląd i styl (NL)... 11 2.2.2 Pojemność (NC)... 13 2.2.3 ydajność (NP)... 13 2.2.4 Niezawodność (NR)... 14 2.2.5 Użyteczność (NU)... 15 2.2.6 Adaptowalność (NA)... 15 2.2.7 Środowisko fizyczne (NE)... 15 2.2.8 Interfejsy (NI)... 16 2.2.9 Utrzymanie (NO)... 17 2.2.10 Monitorowanie (NM)... 18 2.2.11 sparcie (NK)... 18 2.2.12 Bezpieczeństwo (NS)... 19 2.2.13 Normy i standardy (NN)... 21 2.3 ymagania przejściowe... 23 2.3.1 Dostawy (TL)... 23 2.3.2 Testy (TT)... 23 2.3.3 Dokumentacja (TD)... 24 2.3.4 Instruktaż stanowiskowy (TI)... 24 2.3.5 Zarządzanie wdrożeniem (TM)... 27 2.4 Specyfikacja ilościowa przedmiotu zamówienia... 28 2.5 Zobowiązania Zamawiającego... 29 2.6 ymagania dotyczące realizacji prac... 29 Część II SIZ Specyfikacja Przedmiotu Zamówienia Uruchomienie Systemu Zarządzania Poświadczeniami Strona 2 z 36
2.6.1 Ramowy harmonogram... 29 2.6.2 Przebieg wdrożenia... 29 2.6.3 Miejsce wdrożenia... 30 3 ymagane produkty... 31 4 Produkty... 32 4.1 Projekt Techniczny Systemu... 32 4.2 System zgodny z Projektem Technicznym... 33 4.3 Model Eksploatacji Systemu... 34 4.4 Dokumentacja powykonawcza... 34 4.5 Instruktaż stanowiskowy (IS)... 35 5 ymagania dotyczące powdrożeniowego wsparcia technicznego i gwarancji... 36 Część II SIZ Specyfikacja Przedmiotu Zamówienia Uruchomienie Systemu Zarządzania Poświadczeniami Strona 3 z 36
1 stęp 1.1 Słownik terminów i skrótów Tabela 1. Słownik terminów i skrótów Lp. Termin/Skrót Opis 1. AD Active Directory usługa Microsoft zapewniająca LDAP. 2. CPD Centrum Przetwarzania Danych (ang. Data Center) ośrodek składający się z jednej lub więcej serwerowni 3. CMS System Zarządzania Poświadczeniami (nag. Credential Management System) system zarządzający danymi identyfikacyjnymi i uwierzytelniania użytkowników, takimi jak cyfrowe certyfikaty, jednorazowe hasła, dane biometryczne oraz bezpiecznymi nośnikami tych danych takimi, jak karty mikroprocesorowe, tokeny USB, moduły TPM. 4. DNS Protokół systemu nazw domenowych (ang. Domain Name System). 5. EOD Elektroniczny Obieg Dokumentów system obiegu dokumentów i spraw wdrażany u Zamawiającego. 6. Dokumentacja standardowa Typowa dokumentacja dostarczana przez ykonawcę lub Producenta wraz z wytwarzanym przez niego oprogramowaniem w celu opisu funkcji i sposobu używania tego oprogramowania w wersji, jaką ykonawca lub Producent zrealizował i oferuje swoim potencjalnym klientom i która będzie stanowiła podstawę jego oferty. 7. Dokumentacja testowa Szczegółowy opis wszystkich testów poszczególnych funkcji aplikacji. Opis każdego testu powinien zawierać: warunki wykonania testu, kroki (czynności) testowe, spodziewane wyniki testu. 8. GK PSE Grupa Kapitałowa PSE 9. IP Protokół sieci Internet (ang. Internet Protocol). 10. Lokalizacje szystkie siedziby Zamawiającego: Siedziba główna, siedziba zapasowa, Spółki Obszarowe 11. Lokalizacje Centralne Siedziba główna i siedziba zapasowa Zamawiającego 12. ODBC Otwarte łącze bazy danych (ang. Open Database Connectivity), interfejs pozwalający programom łączyć się z systemami zarządzającymi bazami danych. 13. NTP Protokół czasu sieciowego (ang. Network Time Protocol) 14. PKI Infrastruktura klucza publicznego (ang. Public Key Infrastructure). 15. Producent ytwórca Systemu. 16. Retest Ponowny test wg. uzgodnionego scenariusza testów lub opisu błędu po zgłoszeniu przez ykonawcę błędu do weryfikacji lub po uzgodnieniu ponownego testu przez Zamawiającego lub ykonawcę. Część II SIZ Specyfikacja Przedmiotu Zamówienia Uruchomienie Systemu Zarządzania Poświadczeniami Strona 4 z 36
Lp. Termin/Skrót Opis 17. Serwerownia ydzielone pomieszczenie będące środowiskiem pracy komputerów pełniących rolę serwerów, a także aktywnych i pasywnych elementów sieci komputerowych (ikipedia). 18. Siedziba główna Zamawiającego 19. Siedziba zapasowa Zamawiającego Oznacza siedzibę Zamawiającego (znajdującą się Konstancinie-Jeziornie, ul. arszawska 165). Rezerwowe Centrum Przetwarzania Danych w arszawie, ul. Mysia 2. 20. SIZ Specyfikacja Istotnych arunków Zamówienia w rozumieniu Regulaminu Udzielania Zamówień w PSE S.A. 21. Spółki Obszarowe Oznacza: PSE - Północ S.A. w Bydgoszczy, PSE - Południe S.A. w Katowicach, PSE - Zachód S.A. w Poznaniu, PSE - schód S.A. w Radomiu, PSE - Centrum S.A. w arszawie. 22. System Zespół/grupa urządzeń realizujących zabezpieczenie i wykorzystanie kluczy kryptograficznych oraz zarządzanie danymi identyfikacyjnymi i nośnikami poświadczeń użytkowników Zamawiającego zgodnie z niniejszą specyfikacją SIZ. 23. System produkcyjny System zainstalowany i użytkowany przez Zamawiającego w sieci wewnętrznej w Lokalizacjach Centralnych i niebędący przedmiotem SIZ. 24. TSA Urząd Znakowania Czasem (ang. Time Stamping Authority) aplikacja kryptograficzna zapewniająca dostarczanie trudnych do sfałszowania cyfrowych pieczęci ze znacznikiem czasu dla wszelkiego rodzaju cyfrowych danych. 25. ykonawca Osoba fizyczna lub prawna dostarczająca, wdrażająca i uruchamiająca System. Część II SIZ Specyfikacja Przedmiotu Zamówienia Uruchomienie Systemu Zarządzania Poświadczeniami Strona 5 z 36
2 Opis przedmiotu zamówienia 2.1 ymagania funkcjonalne 2.1.1 Funkcje udostępniane (FO) 1 FO1. FO2. FO3. FO4. FO5. FO6. FO7. FO8. FO9. System Zarządzania Poświadczeniami musi zapewniać administrowanie cyklem życia poświadczeń użytkownika na identyfikacyjnej karcie mikroprocesorowej. Identyfikacyjna karta mikroprocesorowa musi zapewniać korzystanie z cyfrowych certyfikatów X.509v3 przeznaczonych do uwierzytelniania w systemach informatycznych, podpisywania dokumentów i poczty elektronicznej, deszyfrowania korespondencji (włączając także obsługę co najmniej 10-ciu certyfikatów i kluczy historycznych). Identyfikacyjna karta korporacyjna występuje w trzech formach: 1. zbliżeniowej; 2. mikroprocesorowej stykowej; 3. mikroprocesorowej hybrydowej (z interfejsem zbliżeniowym i stykowym). Interfejs zbliżeniowy karty identyfikacyjnej musi zawierać moduł zapewniający zgodność z istniejącym systemem fizycznej kontroli dostępu Zamawiającego z czytnikami standardu HID Prox. Profil konfiguracji i model danych mikroprocesorowej karty identyfikacyjnej musi być rozpoznawany w systemie operacyjnym indows (7, 8, 8.1) zgodnie ze specyfikacją indows Smart Card Minidriver v7 bez potrzeby instalacji dodatkowego oprogramowania klienckiego. Dla systemów operacyjnych Linux, Mac OS X, indows profil konfiguracji i model danych mikroprocesorowej karty identyfikacyjnej musi być rozpoznawany przez oprogramowanie OpenSC 0.13, które implementuje API PKCS#11 wersja 2.20. Profil konfiguracji i model danych mikroprocesorowej karty identyfikacyjnej musi wspierać uwierzytelnianie przed załadowaniem systemu operacyjnego (preboot authentication) dla oprogramowania McAfee Endpoint Encryption for PC w wersji 7.x i nowszych. Oprogramowanie klienckie Systemu Zarządzania Poświadczeniami musi wspierać aktualizacje konfiguracji poświadczeń na identyfikacyjnej karcie mikroprocesorowej co najmniej na platformach indows (7, 8, 8.1), MacOS X (10.8, 10.9), Linux (RHEL 6.5, CentOS 6.5, Ubuntu 12, 14). Dla urządzeń mobilnych (Google Android 4.x, Apple ios 6.x, 7.x) oprogramowanie klienckie Systemu Zarządzania Poświadczeniami musi implementować dla potrzeb dostępu do poświadczeń PKI na mikroprocesorowej karcie identyfikacyjnej API PKCS#11 wersja 2.20. 1 bezwzględnie wymagane - brak spełnienia wymagania powoduje odrzucenie oferty. Część II SIZ Specyfikacja Przedmiotu Zamówienia Uruchomienie Systemu Zarządzania Poświadczeniami Strona 6 z 36
1 FO10. FO11. FO12. FO13. FO14. FO15. FO16. FO17. FO18. Dla platformy indows oprogramowanie klienckie Systemu Zarządzania Poświadczeniami musi zapewniać automatyczną konfigurację certyfikatów podpisywania i szyfrowania poczty elektronicznej w aplikacji Microsoft Outlook 2010 i 2013 współpracującej z serwerem Exchange 2013. Czytniki identyfikacyjnej karty korporacyjnej występują w siedmiu rodzajach: 1. stykowy PC/SC USB CCID dla komputerów stacjonarnych; 2. stykowy PC/SC USB CCID dla komputerów przenośnych; 3. stykowy PC/SC Bluetooth dla Microsoft indows i Google Android; 4. stykowy PC/SC Bluetooth dla Microsoft indows i Apple ios; 5. zbliżeniowy iegand dla kontroli dostępu fizycznego; 6. zbliżeniowy USB dla drukarek wielofunkcyjnych; 7. zbliżeniowy USB dla punktów rejestracji użytkowników. Czytnik stykowy USB dla komputerów stacjonarnych i przenośnych musi wspierać uwierzytelnianie przed załadowaniem systemu operacyjnego (preboot authentication) dla oprogramowania McAfee Endpoint Encryption for PC w wersji 7.x i nowszych. Czytnik zbliżeniowy USB karty identyfikacyjnej dla drukarek wielofunkcyjnych musi współpracować z urządzeniami Xerox orkcentre 7556 v1, 7225 v1 oraz 7855 v1. System musi zawierać moduł nadruku kart identyfikacyjnych, zapewniający przygotowanie kart pełniących rolę przepustek imiennych (z fotografią i nazwiskiem użytkownika) oraz kart uniwersalnych (bez cech osobistych). Moduł nadruku kart identyfikacyjnych musi zapewniać następujące funkcje: 1. Nadruk dwustronny kart PVC/PET o formacie ISO 7810 ID-1 (CR-80) z układem stykowym; 2. Nadruk kolorowy z wykorzystaniem palety co najmniej 16,7mln kolorów i przy rozdzielczości co najmniej 300 dpi; 3. Druk od krawędzi do krawędzi karty i do krawędzi układu stykowego; 4. Laminację powłoki ochronnej karty po nadruku (z pominięciem styku elektronicznego). Moduł nadruku kart identyfikacyjnych musi podczas nadruku automatycznie rejestrować numer identyfikacyjnych karty dla interfejsu zbliżeniowego karty oraz numer seryjny karty dla interfejsu stykowego karty. Moduł nadruku kart identyfikacyjnych musi obsługiwać jednoczesną 6-cio stanowiskową pracę 12-tu operatorów w Siedzibie głównej Zamawiającego i w Siedzibach Spółek Obszarowych. Operatorzy w Siedzibach Spółek Obszarowych muszą być w stanie przygotować dane do wsadowego nadruku partii kart w Siedzibie Głównej Zamawiającego zgodnie z uprzednio wybranym szablonem. Moduł nadruku kart identyfikacyjnych musi oferować przypisanie dla każdego operatora odpowiednich uprawnień do zarządzania konfiguracją, projektowania szablonów, wprowadzania i poprawiania danych identyfikacyjnych użytkowników drukowanych na kartach, drukowania kart. Część II SIZ Specyfikacja Przedmiotu Zamówienia Uruchomienie Systemu Zarządzania Poświadczeniami Strona 7 z 36
1 FO19. FO20. FO21. FO22. FO23. FO24. FO25. Aplikacja stanowiskowa modułu nadruku musi zapewniać: 1. Projektowanie szablonów graficznych awersu i rewersu karty identyfikacyjnej; 2. Zarządzanie szablonami nadruku kart identyfikacyjnych; 3. Pobieranie danych identyfikacyjnych użytkowników z bazy AD i przez ODBC; 4. Pobieranie fotografii użytkowników z pliku, podłączonej kamery cyfrowej i podłączonego skanera zdjęć paszportowych; 5. Automatyczne kadrowanie fotografii zgodnie z układem Full Frontal według ISO/IEC 19794-5; 6. Uzupełnianie danych identyfikacyjnych użytkownika karty; 7. Podgląd widoku kart przeznaczonych do nadruku; 8. ydruki kart pojedyncze i seryjne; 9. Eksportowanie numerów identyfikacyjnych interfejsów stykowych i zbliżeniowych nadrukowanych kart do zewnętrznej bazy danych. System musi zawierać moduł znakowania czasem, realizujące funkcje urzędu znakowania czasem (TSA) generującego sygnatury czasu do podpisów elektronicznych XAdES-T w aplikacjach biurowych i w systemie EOD. Każda sygnatura czasu wystawiana przez moduł znakowania czasem musi zawierać unikalny numer seryjny. Moduł znakowania czasem musi wspierać żądania z algorytmami skrótu SHA-1, SHA-256, SHA-384, SHA-512. Moduł znakowania czasem musi pozwalać na wybór obsługiwanych algorytmów skrótu w żądaniach klienta. Moduł znakowania czasem musi wspierać żądania z jednorazowym identyfikatorem (ang. nonce) o długości do 128 bitów. Moduł znakowania czasem musi wspierać podpisywanie algorytmem RSA z kluczami o długości 2048 i 4096 bitów oraz algorytmem ECDSA z kluczami o długości 256, 384 i 512 bitów. 2.1.2 Funkcje wykorzystywane (FI) FI1. FI2. FI3. System Zarządzania Poświadczeniami musi wspierać generowanie poświadczeń na podstawie danych użytkownika dostępnych w katalogu Active Directory 2012 R2. System Zarządzania Poświadczeniami musi współpracować z urzędem certyfikacji na platformie Active Directory Certificate Services 2012 R2. Moduł znakowania czasem musi wspierać synchronizację czasu z serwerami NTP Stratum 2 z odchyłką od czasu UTC nie przekraczającą jednej sekundy. Część II SIZ Specyfikacja Przedmiotu Zamówienia Uruchomienie Systemu Zarządzania Poświadczeniami Strona 8 z 36
FI4. FI5. Moduł nadruku kart identyfikacyjnych musi pobierać dane identyfikacyjne użytkowników kart z bazy usług katalogowych Active Directory 2012 R2. Moduł nadruku kart identyfikacyjnych musi wspierać pobieranie fotografii pracowników z plików oraz podłączonych do stanowiska personalizacji urządzeń takich, jak cyfrowy skaner lub aparat fotograficzny. 2.1.3 Logika sterowania (FL) FL1. FL2. FL3. FL4. FL5. System Zarządzania Poświadczeniami musi oferować tworzenie wielu szablonów wydawania kart i przypisywanie szablonów do grup użytkowników. System Zarządzania Poświadczeniami musi zapewniać automatyczne tworzenie kopii archiwalnej kluczy prywatnych dla wybranych certyfikatów oraz odzyskiwanie tych kluczy na karty zastępcze. System Zarządzania Poświadczeniami musi wspierać co najmniej następujące metody wydawania kart: 1. bezpośrednio przez operatora punktu rejestracji; 2. zatwierdzaną na podstawie wniosku składanego przez operatora; 3. samoobsługową przez użytkownika karty. System Zarządzania Poświadczeniami musi wspierać selektywne zarządzanie poszczególnymi poświadczeniami na karcie mikroprocesorowej. Dotyczy to na przykład dodawania lub wycofywania pojedynczych certyfikatów z odpowiadającymi im kluczami bez naruszania poświadczeń istniejących na karcie. System Zarządzania Poświadczeniami musi wspierać konfigurowanie następujących parametrów ochrony karty przed nieuprawnionym użyciem: 1. Minimalna i maksymalna liczba znaków PIN; 2. Maksymalna liczba prób wpisania nieprawidłowego PIN przed zablokowaniem karty; 3. ymuszona zmiana PIN przy pierwszym użyciu karty; 4. Ustawienie wymaganej złożoności PIN, np. zastosowania znaków alfanumerycznych. 2.1.4 Interfejs użytkownika (FU) FU1. System Zarządzania Poświadczeniami musi zawierać samoobsługowy portal użytkownika umożliwiający samodzielne przeprowadzenie zmiany i odblokowania PIN, złożenie wniosku o wydanie karty zastępczej, aktualizowanie zawartości karty po wydaniu odpowiedniej dyspozycji zmiany profilu przez operatora. Część II SIZ Specyfikacja Przedmiotu Zamówienia Uruchomienie Systemu Zarządzania Poświadczeniami Strona 9 z 36
FU2. FU3. FU4. FU5. Karta identyfikacyjna musi być przechowywana w zestawie ochronnym (etui) z automatycznie zwijaną linką i klipsem, ułatwiającym noszenie jej jako wizualnej przepustki. Zestaw ochronny musi zapewniać prawidłowe korzystanie z czytników stykowych bez potrzeby odłączania karty od zestawu. Zbliżeniowy czytnik kart identyfikacyjnych dla fizycznej kontroli dostępu musi posiadać wskaźniki o następującej charakterystyce: 1. Sygnał dźwiękowy o różnej sekwencji tonów dla zdarzeń włączenia zasilania, diagnostyki, pomyślnej identyfikacji, odmowy dostępu; 2. yrazisty (widoczny w dziennym świetle) sygnalizacyjny pasek świetlny RGB (czerwony, zielony, błękitny), odzwierciedlający aktualny stan czytnika. Pasek świetlny powinien być równomiernie podświetlany bez dostrzegalnych jasnych punktów. Zbliżeniowy czytnik kart identyfikacyjnych dla drukarek wielofunkcyjnych musi generować sygnał dźwiękowy o różnej sekwencji tonów dla zdarzeń włączenia zasilania i odczytu numeru identyfikacyjnego transpondera. Czytnik zbliżeniowy kart identyfikacyjnych dla punktów rejestracji użytkowników musi generować krótki sygnał dźwiękowy oraz zmieniać barwę stałego podświetlenia dla zdarzenia odczytu numeru identyfikacyjnego transpondera. 2.1.5 Pielęgnacja i diagnostyka (FM) FM1. FM2. Moduł znakowania czasem musi prowadzić dzienniki transakcji znakowania czasem. Moduł znakowania czasem musi wykrywać nadmierne odchylenie i utratę synchronizacji źródeł czasu i automatycznie wstrzymywać wydawanie sygnatur do chwili odtworzenia synchronizacji. 2.1.6 Infrastruktura techniczna (FT) FT1. FT2. szystkie serwery oferowanego Systemu muszą być kompatybilne z platformą wirtualizacyjną VMare vsphere 5.1 lub nowszą, wyposażoną w procesory Intel Xeon E5 2.4 GHz. Dostawa licencji VMware należy do Zamawiającego i nie wchodzi w zakres zamówienia. Serwery Systemu muszą pracować w wielodostępnym sieciowym systemie operacyjnym zapewniającym kontrolę dostępu opartą na rolach (RBAC). przypadku wykorzystania platformy Microsoft indows Server, zapewnienie licencji dla wersji 2008 R2 lub 2012 należy do Zamawiającego. przypadku platformy Linux lub Unix odpowiednie licencje muszą być uwzględnione w zakresie dostaw Systemu. Część II SIZ Specyfikacja Przedmiotu Zamówienia Uruchomienie Systemu Zarządzania Poświadczeniami Strona 10 z 36
FT3. FT4. FT5. System Zarządzania Poświadczeniami musi korzystać z modułów kryptograficznych HSM SafeNet Luna SA 1700 CL lub G5 KE do przechowywania kluczy symetrycznych Global Platform. Dostawa licencji klienckich dla modułów HSM należy do Zamawiającego i nie wchodzi w zakres zamówienia. Moduł znakowania czasem Systemu musi korzystać z modułów kryptograficznych HSM SafeNet Luna SA 1700 CL do przechowywania kluczy prywatnych certyfikatów znakowania czasem. Dostawa licencji klienckich dla modułów HSM należy do Zamawiającego i nie wchodzi w zakres zamówienia. Baza danych Systemu musi być zaimplementowana z wykorzystaniem standardowego silnika relacyjnej bazy danych Microsoft SQL Server (wersja 2008 R2 albo 2012) lub Oracle Database (wersja 11.2). przypadku wykorzystania platformy SQL Server 2012, zapewnienie licencji procesorowych dla nadmiarowego układu serwera bazy danych należy do Zamawiającego. przeciwnym razie, licencje dla układu nadmiarowego RDBMS, obejmującego co najmniej cztery procesory, muszą być objęte zakresem dostaw Systemu. 2.2 ymagania pozafunkcjonalne 2.2.1 ygląd i styl (NL) NL1. NL2. NL3. System musi być zbudowany w architekturze wielowarstwowej z wyróżnieniem co najmniej następujących warstw: danych (serwer bazy danych) logiki biznesowej (serwer aplikacji) prezentacji (aplikacja kliencka pełniąca funkcję interfejsu użytkownika). ymaganie to nie dotyczy specjalizowanego modułu nadruku kart identyfikacyjnych, który może być dostarczony jako rozwiązanie dwuwarstwowe (bez serwera aplikacyjnego). Karta identyfikacyjna musi mieć wymiary zgodne formatem ID-1 według ISO/IEC 7810. Karta identyfikacyjna musi spełniać musi spełniać następujące warunki dotyczące materiałów i konstrukcji: 1. Tworzywo sztuczne: PVC ze wzmacniającymi warstwami PET (poliestrowymi); 2. Ogólna charakterystyka fizyczna i chemiczna zgodna z ISO/IEC 7810; 3. ytrzymałość mechaniczna na wyginanie według ISO/IEC 10373: 100 tys. cykli. Część II SIZ Specyfikacja Przedmiotu Zamówienia Uruchomienie Systemu Zarządzania Poświadczeniami Strona 11 z 36
NL4. NL5. NL6. NL7. NL8. NL9. NL10. Karta identyfikacyjna musi spełniać następujące warunki stosowania w charakterze wizualnego identyfikatora: 1. Powierzchnia biała, gładka, dostosowana do laminacji barwnej folii retransferowej; 2. Unikalny numer seryjny transpondera (CSN), oraz unikalny numer seryjny układu stykowego, nadrukowane przy dłuższej krawędzi strony karty bez wyprowadzonych styków; 3. Fabryczny nadruk oznaczenia miejsca dopuszczalnego wycięcia wzdłuż krótszej krawędzi karty podłużnego (o wymiarach 3mm na 14 mm) otworu na zapinkę. Kolorystyka, elementy tożsamości wizualnej, teść napisów i graficzny układ nadruku karty identyfikacyjnej musi być uzgodniony z Księgą Identyfikacji izualnej Zamawiającego. pamięci karty identyfikacyjnej dla interfejsu zbliżeniowego muszą być zapisane następujące dane: 1. Unikalne (zdywersyfikowane dla każdej karty) klucze, zabezpieczające wzajemne uwierzytelnianie karty i czytnika oraz szyfrowanie komunikacji: 64-bit; 2. Unikalne dane identyfikacyjne, zabezpieczone przed klonowaniem karty, dzięki powiązaniu ze sprzętowym numerem seryjnym transpondera (CSN) oraz ich cyfrowemu podpisaniu; 3. Numery identyfikacyjne użytkownika w konfiguracji gotowej do współpracy z czytnikiem zbliżeniowym kontroli dostępu (nie wymagające dodatkowego programowania karty przed użyciem). Numer identyfikacyjny użytkownika interfejsu zbliżeniowego karty musi być taki sam i zgodny z formatem H10301 dla modułu radiowego wysokiej częstotliwości (HF) i dla modułu radiowego niskiej częstotliwości (LF). Czytnik zbliżeniowy kart identyfikacyjnych dla fizycznej kontroli dostępu musi mieć wymiary zapewniające łatwą zastąpienie istniejących czytników HID ProxPoint Plus: 1. ysokość: 120 mm; 2. Szerokość: 65 mm; 3. Głębokość: 25 mm. Czytnik zbliżeniowy kart identyfikacyjnych dla fizycznej kontroli dostępu musi spełniać następujące warunki dotyczące materiałów i konstrukcji obudowy: 1. Tworzywo sztuczne: poliwęglan; 2. Ramka montażowa umożliwiająca wymianę frontu czytnika bez naruszenia mocowania do powierzchni ściany lub ościeżnicy; 3. Otwory na wkręty rozlokowane zgodnie z warunkami montażu istniejących czytników ProxPoint Plus (w osi pionowej, symetrycznie wokół doprowadzenia przewodu przyłączeniowego). Czytnik zbliżeniowy kart identyfikacyjnych dla drukarek wielofunkcyjnych musi mieć wymiary zapewniające montaż w obudowie drukarki: 1. ysokość: 117 mm; 2. Szerokość: 81 mm; 3. Głębokość: 23 mm. Część II SIZ Specyfikacja Przedmiotu Zamówienia Uruchomienie Systemu Zarządzania Poświadczeniami Strona 12 z 36
NL11. NL12. NL13. Czytnik stykowy kart identyfikacyjnych z interfejsem USB, przeznaczony dla przenośnych komputerów osobistych, musi mieć masę 50g. Czytnik stykowy kart identyfikacyjnych z interfejsem Bluetooth musi mieć masę z baterią 80g. Drukarka kart identyfikacyjnych musi być wyposażona w wyświetlacz informujący o aktualnym stanie urządzenia. 2.2.2 Pojemność (NC) NC1. NC2. Pojemność pamięci nieulotnej EEPROM karty identyfikacyjnej: 1. Dla interfejsu stykowego 128 kb 2. Dla interfejsu zbliżeniowego 2 kb. Drukarka kart identyfikacyjnych musi być wyposażony w automatyczny podajnik oraz odbiornik kart o pojemności 100 kart. 2.2.3 ydajność (NP) NP1. NP2. NP3. NP4. NP5. Karty identyfikacyjna musi wspierać następujące maksymalne prędkości komunikacji z czytnikiem: 1. Dla układu stykowego: 300 000 b/s. 2. Dla układu zbliżeniowego: 200 000 b/s. Moduł nadruku kart identyfikacyjnych musi zapewniać szybkość dwustronnego nadruku kolorowego 1 karty na minutę. Układ stykowy karty identyfikacyjnej musi spełniać następujące warunki dotyczące wydajności: 1. Maksymalne taktowanie wewnętrzne procesora: 30 MHz. 2. Typowy czas trwania operacji generowania przez procesor karty podpisu RSA 1024 bity: 100 ms. 3. Typowy czas programowania strony (1 do 64 B) pamięci EEPROM: 2 ms. Typowy czas trwania transakcji komunikacji interfejsu zbliżeniowego karty identyfikacyjnej z czytnikiem: 100 ms. Układ stykowy karty identyfikacyjnej musi wspierać sprzętowo następujące algorytmy kryptograficzne: 1. Skrótu: SHA-1, SHA-256; 2. Symetrycznego szyfrowania danych: TDEA lub AES; 3. Asymetrycznego szyfrowania danych: RSA-1024, RSA-2048. Część II SIZ Specyfikacja Przedmiotu Zamówienia Uruchomienie Systemu Zarządzania Poświadczeniami Strona 13 z 36
NP6. NP7. NP8. NP9. Czytnik zbliżeniowy kart identyfikacyjnych musi mieć następujący zasięg odczytu szyfrowanych danych z kart formatu ID-1: 1. 65 mm dla transponderów ISO/IEC 15693 oraz ISO/IEC 14443B; 2. 35 mm dla transponderów ISO/IEC 14443A. Czytnik zbliżeniowy kart identyfikacyjnych dla fizycznej kontroli dostępu musi posiadać następujące cechy: 1. Zdolność konfigurowania priorytetu kolejności odczytywania kart zbliżeniowych różnych technologii. 2. budowane automatyczne strojenie dystansu odczytu zapewniające wysoką powtarzalność parametrów pracy. 3. Dostosowanie do montażu bezpośrednio na powierzchniach metalowych. Czytnik stykowy karty identyfikacyjnej musi zapewniać obsługę kart o częstotliwości taktowania zewnętrznego dochodzącej do 8 MHz, oraz prędkości komunikacji 400 000 b/s. Moduł znakowania czasem musi mieć wydajność co najmniej 10-ciu sygnatur na sekundę z kluczem RSA 2048 bitów przy pracy z pojedynczym modułem sieciowym HSM. 2.2.4 Niezawodność (NR) NR1. NR2. NR3. NR4. NR5. System Zarządzania Poświadczeniami wraz z modułem znakowania czasem muszą funkcjonować w konfiguracji nadmiarowej rozlokowanej w dwóch rozdzielonych geograficznie CPD. Karta identyfikacyjna musi mieć pamięć EEPROM o trwałości zapewniającej wielokrotne zapisywanie: 1. Dla interfejsu stykowego 500 tys. cykli. 2. Dla interfejsu zbliżeniowego : 100 tys. cykli. Trwałość danych zapisanych w pamięci EEPROM karty identyfikacyjnej musi osiągać lub przekraczać 10 lat. Drukarka kart identyfikacyjnych musi zapewniać nadruk technologią retransferową (bez kontaktu głowicy drukującej z kartą). Moduł znakowania czasem musi być dostarczony w układzie nadmiarowym wspierającym pracę z zewnętrznym urządzeniem równoważenia obciążenia sieciowego HTTP/HTTPS. Część II SIZ Specyfikacja Przedmiotu Zamówienia Uruchomienie Systemu Zarządzania Poświadczeniami Strona 14 z 36
2.2.5 Użyteczność (NU) NU1. Samoobsługowy portal użytkownika Systemu Zarządzania Poświadczeniami musi być dostarczony w wersji wielojęzycznej, co najmniej polskiej i angielskiej. 2.2.6 Adaptowalność (NA) NA1. NA2. Czytnik zbliżeniowy karty identyfikacyjnej dla fizycznej kontroli dostępu musi posiadać programowalny, co najmniej w zakresie od 26 do 37 bitów, format numeru identyfikacyjnego transpondera, który jest wysyłany przez czytnik do sterownika kontroli dostępu. Czytnik zbliżeniowy karty identyfikacyjnej dla fizycznej kontroli dostępu musi charakteryzować się zdolnością dostosowania opcji zachowania czytnika, co najmniej w zakresie: audio-wizualnych szablonów odczytu karty i wykrywania ataku, domyślnego koloru wskaźnika LED, zarządzania zasilaniem, konfiguracji wysłania numeru seryjnego karty, reakcji na próby manipulacji (sabotażu), priorytetu obsługi kart różnych technologii 2.2.7 Środowisko fizyczne (NE) NE1. NE2. NE3. NE4. System musi być dostosowany do zasilania jednofazowego z sieci prądu przemiennego 230 V, 50Hz. System musi tolerować pracę ciągłą w temperaturze powietrza od 10 ºC do 35ºC i przy wilgotności względnej od 10% do 90% (bez kondensacji). Czytnik zbliżeniowy karty identyfikacyjnej dla fizycznej kontroli dostępu musi spełniać następujące warunki dotyczące zasilania: 1. Dopuszczalne napięcie stałe: w przedziale 5 do 16V lub szerszym; 2. Maksymalny pobór prądu przez czytnik w stanie oczekiwania: 200 ma; 3. Maksymalny pobór prądu przez czytnik aktywny: 100 ma; 4. Średni pobór mocy przez czytnik: 1 ; 5. budowana ochrona przed odwróceniem polaryzacji zasilania. Karta identyfikacyjna musi tolerować następujące warunki środowiskowe: 1. Temperatura użytkowania z czytnikiem zbliżeniowym: od -35 C do 65 C; 2. Temperatura użytkowania w czytniku stykowym: od 0 C do 70 C; 3. ilgotność względna użytkowania: 5% do 95% bez kondensacji pary wodnej. Część II SIZ Specyfikacja Przedmiotu Zamówienia Uruchomienie Systemu Zarządzania Poświadczeniami Strona 15 z 36
NE5. NE6. NE7. NE8. Czytnik zbliżeniowy karty identyfikacyjnej dla fizycznej kontroli dostępu musi tolerować następujące warunki środowiskowe: 1. Temperatura podczas pracy: od -35 C do 65 C; 2. ilgotność względna podczas użytkowania: 5% do 95% bez kondensacji; 3. Ochrona przed wnikaniem ciał stałych i wody klasy IP55 (wg PN-92/E-08106); 4. Dopuszczalny montaż wewnątrz i na zewnątrz pomieszczeń użytkowych. Czytnik zbliżeniowy karty identyfikacyjnej dla drukarek wielofunkcyjnych i dla punktów rejestracji użytkowników musi tolerować następujące warunki środowiskowe: 1. Temperatura podczas pracy: od 0 C do 70 C; 2. ilgotność względna podczas użytkowania: 10% do 90% bez kondensacji pary wodnej. Czytnik stykowy karty identyfikacyjnej musi tolerować następujące warunki środowiskowe: 1. Temperatura podczas pracy: od 0 C do 50 C; 2. ilgotność względna podczas użytkowania: 10% do 90% bez kondensacji pary wodnej. Drukarka kart identyfikacyjnych musi tolerować następujące warunki środowiskowe: 1. Temperatura podczas pracy: od 18 C do 30 C; 2. ilgotność względna podczas użytkowania: 20% do 80% bez kondensacji pary wodnej. 2.2.8 Interfejsy (NI) NI1. NI2. NI3. NI4. NI5. Minimalny przedział napięcia pracy układu stykowego karty identyfikacyjnej: 1,62V do 5,5V (klasa C, B i A według ISO/IEC 7816-3:2007). Dopuszczalna częstotliwość taktowania zewnętrznego interfejsu stykowego karty identyfikacyjnej: 5 MHz Interfejsu zbliżeniowy karty identyfikacyjnej musi pracować w paśmie radiowym HF z częstotliwością środkową 13,56 MHz. Musi także zawierać moduł radiowy LF 125kHz dla zachowania zgodności z istniejącymi czytnikami kontroli dostępu fizycznego HID Prox. Interfejs zbliżeniowy czytnika karty identyfikacyjnej musi pracować w paśmie radiowym HF częstotliwością środkową 13,56 MHz. Czytnik zbliżeniowy karty identyfikacyjnej dla fizycznej kontroli dostępu musi posiadać interfejs danych wyjściowych do sterowników kontroli dostępu zgodny SIA AC-01 iegand. Część II SIZ Specyfikacja Przedmiotu Zamówienia Uruchomienie Systemu Zarządzania Poświadczeniami Strona 16 z 36
NI6. NI7. NI8. NI9. NI10. NI11. NI12. NI13. Czytnik zbliżeniowy karty identyfikacyjnej dla fizycznej kontroli dostępu musi posiadać następujące parametry współpracy z istniejącym okablowaniem: 1. Dopuszczalny dystans do sterownika (dla interfejsu iegand oraz Clock&Data) przy przekroju żył 0,65mm (22AG): 150 m; 2. Zintegrowany przewód montażowy o minimalnej długości: 0,5 m; 3. Minimalny dopuszczalny przekrój przewodu przyłączeniowego: 5 żył 0,65 mm (22AG). Czytnik zbliżeniowy karty identyfikacyjnej dla drukarek wielofunkcyjnych oraz dla punktu rejestracji użytkowników musi zapewniać emulację interfejsu klawiatury komputerowej USB (ang. Human-Interface Device) do odczytu numeru identyfikacyjnego transpondera. Czytnik zbliżeniowy karty identyfikacyjnej dla drukarek wielofunkcyjnych musi wysyłać 26-bitowy numer identyfikacyjny transpondera z bitami kontrolnymi iegand w postaci ciągu znaków ASCII odpowiadającym kolejnym cyfrom heksadecymalnym od najbardziej do najmniej znaczącej i znak końca wiersza po każdym zbliżeniu karty identyfikacyjnej. Czytnik zbliżeniowy karty identyfikacyjnej dla punktów rejestracji użytkowników musi wysyłać 16-bitowy numer identyfikacyjny transpondera bez kodu lokalizacji w postaci ciągu znaków ASCII odpowiadającym kolejnym cyfrom dziesiętnym od najbardziej do najmniej znaczącej i znak końca wiersza po każdym zbliżeniu karty identyfikacyjnej. Czytnik zbliżeniowy karty identyfikacyjnej dla drukarek wielofunkcyjnych i dla punktu rejestracji użytkowników musi być wyposażony w przewód sygnałowy USB o długości co najmniej 1,5 m, zakończony wtykiem typu A. Czytnik stykowy karty identyfikacyjnej musi zapewniać zasilanie kart pracujących z napięciem 5V, 3V oraz 1,8V (klasy A, B i C według ISO/IEC 7816-3:2007). Czytnik stykowy karty identyfikacyjnej dla komputerów osobistych musi być wyposażony w przewód sygnałowy USB, zakończony wtykiem typu A, o długości co najmniej: 1. 1,5 m w przypadku modelu dla komputerów stacjonarnych; 2. 1,0 m w przypadku modelu dla komputerów przenośnych. Drukarka do kart musi być wyposażona w port komunikacyjny USB 2.0 oraz serwer wydruku z portem sieciowym IEEE 802.3 10/100BaseT. 2.2.9 Utrzymanie (NO) NO1. NO2. Czytnik zbliżeniowy karty identyfikacyjnej dla fizycznej kontroli dostępu musi mieć zdolność aktualizacji oprogramowania układowego bez potrzeby demontażu czytnika ze ściany, ościeżnicy lub innej stałej powierzchni. System musi być dostosowany do pracy ciągłej 24 godzin na dobę, 7 dni w tygodniu, 365 dni w roku. Część II SIZ Specyfikacja Przedmiotu Zamówienia Uruchomienie Systemu Zarządzania Poświadczeniami Strona 17 z 36
NO3. System musi zawierać co najmniej jeden zestaw serwerów przeznaczony wyłącznie do testowania procedur eksploatacyjnych i aktualizacji oprogramowania. Zestaw testowy serwerów musi być dostarczony z wyposażeniem, wersjami oprogramowania i warunkami wsparcia takimi samymi, jak produkcyjne serwery działające w układzie nadmiarowym. Licencje dla testowego zestawu serwerów muszą zapewniać obsługę co najmniej 10-ciu testowych użytkowników, oraz 10-ciu komputerów osobistych i 5-ciu urządzeń mobilnych. 2.2.10 Monitorowanie (NM) NM1. NM2. NM3. System musi wspierać monitorowanie stanu elementów (drukarka, serwery) przez sieć informatyczną IP, za pomocą protokołu SNMPv3 lub HTTP(S). System musi wspierać automatyczne eksportowanie przez sieć IP wybranych dzienników zdarzeń. Czytnik zbliżeniowy karty identyfikacyjnej dla fizycznej kontroli dostępu musi mieć zdolność wysyłania do sterownika systemu kontroli dostępu cyklicznej wiadomości o dowolnie ustalonym kodzie, potwierdzającej sprawność czytnika. 2.2.11 sparcie (NK) NK1. NK2. NK3. NK4. szystkie elementy Systemu muszą być objęte co najmniej rocznym serwisem gwarancyjnym i opieką wsparcia technicznego producenta, z poziomem obsługi nie gorszym niż: 1. przyjmowanie zgłoszeń w dni robocze; 2. reakcja następnego dnia roboczego; 3. naprawa sprzętu w ciągu 21 dni roboczych od dostarczenia do przedstawiciela producenta. Opieka i serwis sprzętu oraz oprogramowania musi być dostępna w języku polskim przez organizację serwisową producenta lub firmę z nią współpracującą, mającą swoją placówkę serwisową na terenie Polski. szystkie elementy oprogramowania i licencjonowane funkcje Systemu powinny być objęte opieką producenta na okres równy przynajmniej okresowi wsparcia serwisowego sprzętu. arunki opieki powinny zawierać prawo do aktualizacji wersji oprogramowania układowego, klienckiego i zarządzającego. Drukarka kart identyfikacyjnych musi być objęta opieką serwisową w miejscu siedziby Zamawiającego przez przedstawiciela autoryzowanego punktu serwisowego producent urządzenia dostępnego w każdy dzień roboczy. Część II SIZ Specyfikacja Przedmiotu Zamówienia Uruchomienie Systemu Zarządzania Poświadczeniami Strona 18 z 36
NK5. NK6. Opieka serwisowa drukarki kart identyfikacyjnych zawiera kwartalne przeglądy serwisowe w zakresie czynności obejmujących co najmniej: 1. oczyszczenie i konserwacja urządzeń, usuwanie drobnych usterek, regulacja parametrów drukarki; 2. sprawdzenie i dostosowanie parametrów technicznych urządzeń do aktualnych zadań; 3. wyjaśnianie problemów związanych z bieżącą eksploatacją urządzeń 4. udzielanie instrukcji i zaleceń zgodnych z aktualnymi wymogami producenta; 5. obsługę oprogramowania sterującego, aktualizację oprogramowania układowego; 6. wykonanie szczegółowego protokołu przeglądu. Autoryzowany punkt serwisowy realizujący opiekę serwisową drukarki kart identyfikacyjnych musi dysponować standardowym kompletem części zamiennych do urządzenia. Reakcja ykonawcy na zgłoszenie awarii musi być natychmiastowa, zaś przybycie ekipy serwisowej i podjęcie naprawy musi być przeprowadzone w ciągu 4 godzin od zgłoszenia. przypadku braku możliwości usunięcia awarii w ciągu 24 godzin, na czas jej usuwania dostarczone musi być urządzenia zastępcze o takich samych parametrach, co urządzenie naprawiane. 2.2.12 Bezpieczeństwo (NS) NS1. NS2. NS3. NS4. NS5. System musi być zaprojektowany i skonfigurowany zgodnie z wytycznymi obowiązujące Polityki Bezpieczeństwa Informacji PSE S.A. System Zarządzania Poświadczeniami musi mieć zaimplementowane zarządzanie kontami operatorów. Uprawnienia operatorów w Systemie Zarządzania Poświadczeniami muszą być nadawane w oparciu o przypisanie operatora do odpowiedniej roli lub kilku ról. Uwierzytelnianie w Systemie Zarządzania Poświadczeniami musi być realizowane na podstawie jednokrotnej rejestracji operatora w AD lub z wykorzystaniem osobistego certyfikatu uwierzytelniania operatora. Komunikacja pomiędzy stacją roboczą użytkownika a serwerem aplikacji Systemu Zarządzania Poświadczeniami będzie odbywać się w sesji zabezpieczonej protokołem TLS. Część II SIZ Specyfikacja Przedmiotu Zamówienia Uruchomienie Systemu Zarządzania Poświadczeniami Strona 19 z 36
NS6. NS7. NS8. NS9. NS10. NS11. Układ stykowy karty identyfikacyjnej musi mieć wbudowane następujące zabezpieczenia układowe: 1. Sprzętowe zabezpieczenie kontroli warunków działania układu: częstotliwościowe, temperaturowe, oświetlenia, zasilania; 2. Zabezpieczenie układowe przed atakami kryptograficznymi analizy mocy SPA/DPA oraz analizy czasu obliczeń zależnego od wartości argumentów; 3. Zabezpieczenie przed pojedynczymi błędami pamięci EEPROM (co najmniej korekcja 1 bitu na każdy bajt) i ROM (co najmniej kontrola parzystości). Karty identyfikacyjne z interfejsami zbliżeniowymi (także hybrydowe) i czytniki zbliżeniowe muszą być zaprogramowane z dedykowanym wspólnym kluczem głównym kryptograficznej ochrony komunikacji radiowej, zarządzanym przez Zamawiającego. Czytnik zbliżeniowy karty identyfikacyjnej musi posiadać następujące zabezpieczenia: 1. budowana funkcja dekodowania i weryfikacji autentyczności (podpisu cyfrowego) unikalnych danych identyfikacyjnych zapisanych w pamięci transpondera oraz ich powiązania ze sprzętowym numerem seryjnym transpondera (CSN). 2. Obsługa unikalnych (zdywersyfikowanych dla każdego transpondera) kluczy, zabezpieczających wzajemne uwierzytelnianie transpondera i czytnika oraz szyfrowanie komunikacji między transponderem i czytnikiem. Czytnik zbliżeniowy karty identyfikacyjnej dla fizycznej kontroli dostępu musi posiadać następujące dodatkowe zabezpieczenia: 1. Zdolność konfiguracji blokady przed atakami elektronicznymi, wykorzystującymi wiele kolejnych nieprawidłowych prób uwierzytelnienia; 2. Zabezpieczenie przed możliwością niepożądanej zmiany konfiguracji lub zablokowania urządzenia przez osoby postronne, poprzez stosowanie unikalnych kluczy konfiguracyjnych. Czytnik zbliżeniowy karty identyfikacyjnej dla fizycznej kontroli dostępu musi mieć zdolność przesyłania sygnału alarmowego ze zintegrowanego optycznego czujnika antysabotażowego, w przypadku próby oderwania czytnika od powierzchni montażowej (ściany, ościeżnicy, itp.). Czujnik antysabotażowy powinien być programowalny, aby jego działanie można było dostosować do różnych metod komunikacji wspieranych po stronie sterowników systemu kontroli dostępu takich, jak zmiana napięcia linii otwartego kolektora ze stanu wysokiego (5V) do niskiego (0V), oraz odwrócenie sygnału cyklicznej wiadomości potwierdzającej sprawność czytnika. Moduł znakowania czasem musi wspierać uwierzytelnianie klientów za pomocą nazwy użytkownika i hasła, certyfikatu cyfrowego x.509v3 oraz określanie adresów IP klientów nie wymagających uwierzytelnienia. Część II SIZ Specyfikacja Przedmiotu Zamówienia Uruchomienie Systemu Zarządzania Poświadczeniami Strona 20 z 36