2025-04-15
RFI SaaS-tjänst
Uppdragsbeskrivning
FMV avser att genomföra en skriftlig marknadsdialog i rubricerat Ramavtalsnummer från Kammarkollegiet 23.3-8027-2021 Programvarulösningar.
Syfte
- Säkerställa att kraven är tillräckligt transparanta (mätbara)
Förutsättningar
- Ramavtalsleverantörerna får möjlighet att inkomma med kommentarer och förbättringsförslag
- FMV garanterar inte att aktuellt uppdragsutkast kommer att avropas. Utkastet kan därtill komma att omarbetas väsentlig innan den slutgiltiga versionen delges i avropsförfrågan.
- Kommentarer och förbättringsförslag på krav kommer inte att besvaras i detta skede. Uppdragsgivaren och den kommersiella handläggaren kommer dock att diskutera igenom kommentarerna och förbättringsförslagen innan avropsförfrågan skickas ut.
- Det är FMV som slutligen avgör hur villkoren för avropet ser ut.
- FMV kommer att sammanställa samtliga inkomna kommentarer och förbättringsförslag och delge dessa till samtliga ramavtalsleverantörer inom ramavtalsområdet via mail.
FMV önskar eventuella kommentarer och förbättringsförslag på kraven alt. besked om att ni inte har några kommentarer/förbättringsförslag senast den 2024-04-23.
2. Ramverksbaserade krav
Leverantören ska redovisa i vilken utsträckning den uppfyller efterlevnad utifrån nedanstående ramverk.
FMV har gjort en bedömning att de ramverksbaserade kraven inte har ett Ja/Nej svar utan lämnar här utrymme för att en leverantör kan beskriva hur denne uppfyller kraven. Flertalet av kraven kommer från ett eller fler av ramverken och går att finna i beskrivning av dessa.
2.1 Informationssäkerhet och integritet (ISO 27001, 27017, NIST SP 800-53)
2.1.1 Beskriv hur applikationen uppfyller krav på dataskydd och informationssäkerhet.
2.1.2 Integration med FMVs identitetslösningar, såsom Entra ID eller Microsoft ADFS (SAML2, OICD), beskriv vilka attribut och annan konfiguration som krävs
2.1.3 Beskriv hur behörigheter hanteras
2.1.4 Specificera var data lagras geografiskt och hur fysisk/logisk säkerhet hanteras.
2.1.5 Beskriv hur FMV kan ta del av loggning med spårbarhet av användaraktiviteter
2.2 Efterlevnad av GDPR och NIS2
2.2.1 Redogör för hantering av personuppgifter, inklusive lagring, åtkomst, rättelse och radering.
2.2.2 Lista eventuella underbiträden och deras geografiska placering.
2.2.3 Beskriv processer för incidentrapportering och personuppgiftsincidenter.
2.3 Teknisk integration och styrning (CIS, IAM)
2.3.1 Om applicerbart, beskriv lösningens stöd för integration via API och standardiserade datagränssnitt.
2.3.2 Beskriv hantering av användare, grupper och behörigheter enligt IAM-principer.
2.3.3 Vilka automatiska exportmöjligheter av FMVs data finns att tillgå
3. Drift, förvaltning och support
3.1 Specificera erbjuden servicenivå (SLA), tillgänglighet och tillgänglig support.
3.2 Beskriv konfigurationsmöjligheter och eventuellt behov av kundanpassningar.
3.3 Beskriv vilket stöd för versionshantering, releaseplan och dokumentation leverantören erbjuder
3.4 Beskriv hur FMV kan rapportera incidenter till leverantören
3.5 Beskriv hur leverantören säkerställer att endast säkerhetsgodkänd personal arbetar med FMVs data
3.6 Beskriv hur leverantören rapporterar incidenter och problem med ärendeuppdateringar till FMV
4. Certifieringar och efterlevnad
4.1 Lista erhållna aktuella certifieringar, exempelvis ISO 27001, SOC 2, ENS, eller likvärdiga.
4.2 Redogör för eventuella genomförda och inplanerade interna eller externa revisioner, och ange intervall för dessa om är återkommande
4.3 Beskriv intern process för regelefterlevnad och uppföljning.
4.4 Beskriv intern process för bedömning av informationssäkerhetsrisker
4.5 Beskriv intern process och kriterier för penetrationstestning eller sårbarhetsskanning.
4.6 Redogör för FMVs möjligheter till:
· Att genomföra granskningar
· Åtkomst till resultatet av leverantörens egenkontroller eller externa granskningar initierade av leverantören själv
· Stöd från leverantören vid granskningar som initierats enligt granskningsplan eller utifrån händelser/incidenter. Till exempel att kunnig personal från leverantören bidrar, att FMV får tillgång till information, att FMV har rätt att vistas i lokaler vid granskningar
· Stöd från leverantören vid granskningar där en tillsynsmyndighet initierar granskningen av informationshanteringen
Nedan följer FMVs krav vid anskaffning av SaaS tjänster generellt. Kraven är klassificerade enligt Ja, Nej eller Önskvärt där Ja är skallkrav.
Vid kravklassificering Önskvärt kan en annan, motsvarande lösning användas och beskrivas.
Skallkrav
- Applikationen ska levereras som en fullständig Software-as-a-Service (SaaS)-lösning.
- Samtliga licenser ska ingå i leveransen.
- Leverantören ska redovisa om öppen källkod används i SaaS-lösningen och beskriva vilka licensvillkor som finns för den öppna källkoden.
- Integration ska gå att göra med FMVs identitetslösningar, såsom Entra ID eller Microsoft ADFS (OAuth 2.0, OICD).
- Åtkomst till systemet sker via Microsoft Edge eller Google Chrome. Om mobil åtkomst via webbläsare erbjuds ska detta stödja Safari.
- Inloggningar andra än via FMV SSO ska ge stöd för flerfaktorsautentisering (MFA)
- Åtkomst via API ska vara krypterad samt autentiserad
- Nätverkstrafiken ska vara krypterad mellan tjänst och klient med TLS 1.2, lägre versioner tillåts inte
- Allt FMVs data (at rest) ska vara krypterat i tjänsten och en beskrivning hur detta sker ska presenteras
- Leverantören ska ha fysiska säkerhetskontroller som motsvarar nivåerna i ISO/IEC 27001 och/eller NIST SP 800-53 för sina datacenter
- Leverantören har exportmöjligheter av samtlig FMV data