Zamawiający w odpowiedziach sugeruje, że aplikacje nie mają być testowane. Czy celem audytu jest przeprowadzenie testów penetracyjnych infrastruktury (serwerów) dostępnych pod adresami IP? Jeśli nie, prosimy o wskazanie bardziej precyzyjnego celu audytu.

W odpowiedzi na pytanie Zamawiający informuje, że w wyniku audytu należy przedstawić raport zawierający wykryte usterki i zagrożenia oraz zestawienie odnalezionych podatności dla publicznych adresów IP wraz z krótkim podsumowaniem. Audyt powinien zawierać m.in. takie informacje : Wykryte usterki i zagrożenia: 1. Usterki i błędy krytyczne powodujące możliwość zdalnego dostępu do zasobów 2. Usterki i błędy pozwalające (nawet teoretycznie) na atak DoS (zablokowanie usług, serwisów, przerwy w działaniu) 3. Usterki i błędy pozwalające na potencjalny wyciek informacji 4. Zestawienie odnalezionych podatności: Podsumowanie

1. Proszę o informacje w jakim terminie od wyboru oferty należy wykonać audyt 2. Proszę o przekazanie wzoru umowy, która ma zostać zawarta pomiędzy stronami po wyborze Wykonawcy

Dzień dobry, poniżej odpowiedzi na pytania : 1. Proszę o informacje w jakim terminie od wyboru oferty należy wykonać audyt Odp. 1 Audyt należy wykonać w terminie 14 dni od dnia dostarczenia przez Zamawiającego podpisanego Zamówienia. 2. Proszę o przekazanie wzoru umowy, która ma zostać zawarta pomiędzy stronami po wyborze Wykonawcy Odp. 2 Przedmiot umowy zostanie wykonany na podstawie Zamówienia. Zamawiający nie widzi konieczności zawierania Umowy.

Szanowni Państwo, W związku z postępowaniem numer Z27/6040 dotyczącym audytu zewnętrznego dla 8 adresów IP zwracamy się z prośba o udzielenie odpowiedzi na następujące pytania: • Czy posiadają Państwo wzór umowy dla wykonawcy? • Czy posiadają Państwo szczegółowy opis zamówienia? • Do czego służą aplikacje znajdujące się pod 8 adresami (poza wspomnianą pocztą, GIS, e-bilet)? • Czy na środowisku produkcyjnym będzie można wykonywać ataki niebezpieczne dla systemu, np. ataki, które mogą spowodować niedostępność aplikacji, serwera, systemu? • Czy aplikacje zawierają prawdziwe dane klientów, dane osobowe, numery kart płatniczych, lub inne wrażliwe informacje, w których posiadanie może wejść pentester podczas testów? • Jakiego rzędu sięga liczba podstron/metod API w aplikacji? 10, 100, 1000, więcej? • Ile szacunkowo formularzy posiada aplikacja? Przez formularz rozumie się podstronę, na której użytkownik wprowadza dane na stronie, np. strona logowania, formularz kontaktowy, składanie wniosków itp.? • Czy aplikacja jest chroniona firewallem bazodanowym/aplikacyjnym/sieciowym? Jeśli tak, to czy na czas testów ta ochrona będzie wyłączona? • Czy aplikacja przechodziła już testy bezpieczeństwa? • Liczba typów ról, grup uprawnień w aplikacji? Na przykład: "Aplikacja 1 posiada trzy typy konta: gość, użytkownik oraz administrator, Aplikacja 2 ..."

Dzień dobry, poniżej odpowiedzi: 1. Czy posiadają Państwo wzór umowy dla wykonawcy? Odp. 1 Nie 2. Czy posiadają Państwo szczegółowy opis zamówienia? Odp. 2 Nie 3. Do czego służą aplikacje znajdujące się pod 8 adresami (poza wspomnianą pocztą, GIS, e-bilet)? Odp. 3 Portale dostępne publicznie dla mieszkańców Wałbrzycha. 4. Czy na środowisku produkcyjnym będzie można wykonywać ataki niebezpieczne dla systemu, np. ataki, które mogą spowodować niedostępność aplikacji, serwera, systemu? Odp. 4 Nie 5. Czy aplikacje zawierają prawdziwe dane klientów, dane osobowe, numery kart płatniczych, lub inne wrażliwe informacje, w których posiadanie może wejść pentester podczas testów? Odp. 5 Tak 6. Jakiego rzędu sięga liczba podstron/metod API w aplikacji? 10, 100, 1000, więcej? Odp. 6 Aplikacje znajdujące się na serwerach nie są planowane w zakresie przedmiotowego audytu. 7. Ile szacunkowo formularzy posiada aplikacja? Przez formularz rozumie się podstronę, na której użytkownik wprowadza dane na stronie, np. strona logowania, formularz kontaktowy, składanie wniosków itp.? Odp. 7 Aplikacje znajdujące się na serwerach nie są planowane w zakresie przedmiotowego audytu. 8. Czy aplikacja jest chroniona firewallem bazodanowym/aplikacyjnym/sieciowym? Jeśli tak, to czy na czas testów ta ochrona będzie wyłączona? Odp. 8 Tak, jest chroniona. Nie, nie będzie wyłączona na czas testów. 9. Czy aplikacja przechodziła już testy bezpieczeństwa? Odp. 9 Tak 10. Liczba typów ról, grup uprawnień w aplikacji? Na przykład: "Aplikacja 1 posiada trzy typy konta: gość, użytkownik oraz administrator, Aplikacja 2 ..." Odp. 10 Aplikacje znajdujące się na serwerach nie są planowane w zakresie przedmiotowego audytu.