Pilvipalveluiden salaus

Pyyntö 1 (7) Tietopyyntö Pilvipalveluiden salaus

Pyyntö 2 (7) Sisällysluettelo 1 Tausta... 3 2 Hankinta, johon tietopyyntö liittyy... 3 2.1 Vaatimukset palvelulle... 4 3 Kysymykset... 5 4 Aikataulu... 7

Pyyntö 3 (7) 1 Tausta Kyseessä ei ole tarjouspyyntö, hankintailmoitus tai ennakkoilmoitus, vaan palveluja koskeva tietopyyntö, jonka tarkoituksena on käynnistää tekninen vuoropuhelu palveluntuottajien kanssa liittyen valtion pilvipalveluiden salauksen tuottamiseen. Tietopyyntö ei sido ketään siihen osallistuvaa tahoa. Tietopyynnön ja käytävän teknisen vuoropuhelun tavoitteena on laatia osallistumispyyntö, tarjouspyyntö- ja sopimusasiakirjat, joita käytetään kilpailulliselle neuvottelumenettelylle toteutettavan pilvipalveluiden salausta koskevien palvelutarjoajien kilpailutuksessa. Tällä tietopyynnöllä on tarkoitus kartoittaa pilvipalveluiden salaukseen keskittynyttä markkinaa sekä selvittää tulossa olevaa hankintaa varten teknisiä taloudellisia ja toiminnallisia arvioita. Tietopyynnön tavoitteena on saada kattavasti asiaa koskevaa tietoa, jotta tarjouskilpailu voidaan toteuttaa mahdollisimman tarkoituksenmukaisella tavalla. Päätökset hankintaprosessin käynnistämisestä ja aikataulusta tehdään markkinakartoituksen jälkeen. Vastauksen jättäminen ei edellytä kaikkiin kysymyksiin vastaamista eikä se vaikuta lopullisiin valintoihin kilpailullisessa neuvottelumenettelyssä. Vastausten perusteella kuitenkin valitaan kriteereitä neuvottelumenettelyyn ja lopulliseen toimittajavalintaan. Vastaamatta jättäminen ei myöskään sulje yritystä pois neuvottelumenettelystä, mikäli se täyttää neuvottelupyynnön edellytykset ja saa riittävät pisteet pisteytettävistä vaatimuksista. Vastauksiin voi sisällyttää myös palvelukuvauksia, teknisiä dokumentteja tai periaatekuvia, jotka kertovat arkkitehtuurista, tuotantotavasta yms. Vastaukset voi antaa myös englanniksi. 2 Hankinta, johon tietopyyntö liittyy Julkisten pilvipalveluiden käyttö on lisääntynyt voimakkaasti ja niiden käyttöhalu on kasvanut myös julkishallinnossa. Pilvipalvelujen avulla tavoitellaan mm. palvelualustojen nopean kehittymisen hyödyntämistä, edullista hintatasoa ja tuotannon soputumista tarvepohjaisesti. Valtionhallinto voi hyödyntää pilvipalveluja julkisen tiedon osalta. Tämä on kuitenkin oleellisesti käyttöä rajoittava linjaus. Pilvipalveluiden käyttöä voitaisiin kuitenkin merkittävästi laajentaa, jos julkishallintoa kohti asetetut tietoturvallisuuden vaatimukset voitaisiin täyttää myös pilvipalveluissa. Tavoitteena onkin löytää teknologiakumppaneita, joiden avulla saavutamme nämä tavoitteet. Pilvipalveluiden salaamisessa voidaan nähdä kaksi eri näkökulmaa. Ensinnäkin miten tietoa voidaan siirtää valtion konesaleista julkisiin pilvipalveluihin asianmukaisesti salattuna. Toisaalta haemme ratkaisuja

Pyyntö 4 (7) haasteeseen, jossa esimerkiksi Vahti perustason mukainen tietojärjestelmä voitaisiin sijoittaa kokonaisuudessaan julkiseen pilvipalveluun suoritettavan prosessointitehon, tarvittavien sovellusohjelmistojen sekä datan tallennuksen osalta. Tällöin voidaan tarvita datan kryptauksen lisäksi muitakin lisämekanismeja, joiden avulla vaatimuksenmukaisesta tuotantomallista voidaan varmistua vähintään riskiarvioinnin ja jäännösriskin hyväksynnän jälkeen. Käyttökohteiden osalta datan tallentaminen pilvipalveluun olisi mielekästä esimerkiksi sellaisissa on-premises -palveluissa, joissa datan käyttöaktiivisuus on pieni. Tavoitteellisesti siirto- ja salausmekanismi toimisi siten, että se on loppukäyttäjille ja/tai tietojärjestelmille läpinäkyvä. On ymmärrettävää, että nämä toiminnot tulee suunnitella ja konfiguroida palvelukohtaisesti. Potentiaalisina käyttökohteina olemme tunnistaneet esimerkiksi omien konesalien varmistusdatan, sähköpostiarkiston tai harvoin käytetyt loppukäyttäjien dokumentit ja tiedostomassat. Valtori on tällä hetkellä kilpailuttamassa pilvipalveluja käyttöönsä. Tämän tietopyynnön tarkoituksena on laajentaa Valtorin kyvykkyyttä pilvipalveluiden tuottamisessa. Olemme tunnistaneet, että itse pilvipalvelutarjoajilla on valikoimissaan palveluita ja ominaisuuksia, minkä avulla pääsemme lähemmäksi tässä tietopyynnössä esitettyjä tavoitteita. Näiden mekanismien lisäksi meitä kiinnostaa selvittää, onko olemassa kolmansien osapuolten tuotteita, joita voitaisiin käyttää useiden markkinoilla toimivien pilvipalveluiden kanssa. Valtori tulee valitsemaan useamman pilvipalveluteknologian käyttöönsä, joten palvelun toimivuus erilaisissa pilvipalveluissa olisi Valtorin näkökulmasta etu. Lisäksi meitä kiinnostaa se, onko jollain yrityksellä keskeisenä palvelunaan nimenomaan 2.1 Vaatimukset palvelulle Seuraavaksi on lueteltu vaatimuksia, joita suunnittelemme kohdistavamme palvelulle: Salausratkaisun tulee toimia ainakin yhden tai useamman julkisen pilvipalvelun kanssa Ratkaisussa voidaan käyttää pilvipalveluiden natiiveja ominaisuuksia ja/tai palveluntarjoajan omia komponentteja sekä toiminnallisuuksia Palvelun kaikki elementit tulee sijaita ETA alueella Valtorin tulee olla ainoa taho, jolla on pääsy salausratkaisun avulla pilvipalveluissa sijaitseviin tietoihin ja operointitapahtumiin Palvelun tulee olla käytettävissä mahdollisimman monen eri käyttöjärjestelmäversion, kuten Windows Server, Red Hat Linux, jne., kanssa

Pyyntö 5 (7) Palveluun liittyvien komponenttien hinnoittelun tulee olla selkeää Palvelun hintaan tulee kuulua mahdolliset versiopäivitykset ja virheisiin liittyvä tukipalvelu Mikäli palveluun kuuluu fyysisiä laitteistoja, ne tulee voida sijoittaa Valtorin osoittamaan konesalitilaan Palvelun käyttöönotosta tulee esittää käyttöönottosuunnitelma ja arvio ainakin yhden esimerkkitietojärjestelmän osalta kustannuksineen. Esimerkkitietojärjestelmä tulee kuvata ympäristön laajuuden osalta. (esimerkiksi tietojärjestelmä: 1 sovelluspalvelin,1 tietokantapalvelin, 3 asiointisovellusta, 6 tietokantaa, 10000 transaktiota päivässä, 5000 asiakasistuntoa päivässä jne ja sijainti tulisi olla jossain julkisessa pilvipalvelussa) 3 Kysymykset Strategia - Kuvailkaa, millainen rooli pilvipalveluiden salaustekniikoilla on yrityksenne strategiassa Teknologia(t) - Kuvatkaa teknologiaa-arkkitehtuuri(t), jolla tuotatte pilvipalveluiden salausmekanismit - Kuinka pitkään teillä on ollut asiakkaita kullakin kuvailemallanne salausratkaisulla Oma roolinne palveluketjussa - Kuvatkaa yrityksenne rooli pilvipalveluiden tuotantoketjussa salauksen osalta; mistä vastaatte asiakkaalle ja mitä palveluita tuotatte (esim arkkitehtuurisuunnittelu, koulutus, tukipalvelut, valvontapalvelut, hallintapalvelut jne.) Palveluun liittymisen mallit - Kuvatkaa, miten julkiset pilvipalvelut liitetään salausratkaisuihinne - Onko salausmenettelyssänne valmiiksi rakennettuja toiminta ja rajapintamalleja esimerkiksi erilaisille IAAS- ja PAAS-tyypeille ja jos on, niin mille kaikille - Kuinka nopeasti palvelunne on käytteenotettavissa uuteen provisioituun pilvipalvelukapasiteettiin - Jos ratkaisu sisältää fyysisiä laitetoimituksia esimerkiksi on-premises datan salattuun siirtoon, niin kuinka kauan tyypillisesti palvelun käyttöönotto kestää

Pyyntö 6 (7) - Miten olette varmistuneet siitä, että asiakkaan palvelu ja siinä liikkuva data säilyy salauksen suhteen murtamattomana sekä asiakkaan suuntaan käytettävänä alati kehittyvien pilvipalveluiden kanssa Palveluorganisaatio - Kuvatkaa pilvipalveluidenne salausratkaisujen liiketoiminta ja sitä tukeva organisaatio - Mikä oli pilvipalveluiden salausratkaisuihin liittyvä liikevaihto 2015 - Paljonko salauspalveluiden asiakkaita oli vuonna 2015 Käyttövaltuuksien ja salausavaimien hallinta - Kuvatkaa miten käyttövaltuushallinta ja salausavainten hallinta on toteutettu siten, että asiakas voi varmistua palvelunne tietoturvatason olevan riittävä. Perustuuko salausavainten hallinta joihinkin periaatteisiin tai standardeihin ja jos perustuu, niin mihin Pilvipalveluidenne salauksen taso - Kuvatkaa mitkä ovat käyttämänne salausmekanismin tuetut salausalgoritmit ja avainten pituudet - Miten helposti käyttämänne salausmekanismit ovat tarvittaessa vaihdettavissa ratkaisussanne - Onko salauksenne toteutettu valmiilla salauskirjastolla vai itse kehitetyllä ratkaisulla - Onko tuotteellanne NCSA-FI viranomaishyväksyntä tai aiotaanko sitä hakea Arvionne palvelunne vaatimuksenmukaisuudesta - Antakaa oma arvionne siitä, mille tietoturvatasolle palvelunne yltää (arvio Vahti ja KATAKRI vastaavuudesta kiinnostaa erityisesti) Poikkeamien käsittely - Jos ratkaisunne sisältää menetelmiä ja prosesseja mahdollisten väärinkäytösten yrityksistä, niin tarjoaako palvelunne esimerkiksi automaattihälytyksiä tai muita proaktiivisia toimintoja, joiden perusteella asiakas voi ryhtyä tarvitsemiinsa toimenpiteisiin Ajonaikainen käsittely julkisissa pilvipalveluissa - Miten tuotteenne varmistaa salatun aineiston ajonaikainen koskemattomuuden julkisissa pilvipalveluissa Palveluraportointi - Minkälaista raportointia salausjärjestelmänne sisältään vakiona

Pyyntö 7 (7) Asiakastuki - Kuvatkaa asiakastukenne toimintamalli ja toiminta-ajat suhteessa suomen aikavyöhykkeeseen - Onko asiakastukea saatavissa suomen kielellä Alihankkijat ja konsortion jäsenet - Mikäli tulisitte valituksi Valtorin yhdeksi pilvipalveluiden salausratkaisujen toimittajista, keitä mahdollisia alihankkijoita tai konsortiokumppaneita käyttäisitte Hinnoittelu - Mikä on palvelunne hinnoittelumalli - Erittely hinnoiteltavista komponenteista Referenssit - Millaisia merkittäviä referenssejä teillä on julkisten pilvipalveluiden salauksen tuottamisesta (laajuus, menetelmänne avulla salattuja provisioituja palveluita ko. asiakkailla, salatun tallennuskapasiteetin laajuus tms. volyymitiedot, jotka kuvaavat asiakaskohteidenne laajuutta ja vaativuutta) Onko teillä jotain tässä mainitsemattomia näkökulmia tai muita huomioita, joita Valtorin tulisi vaatia tähän hankintaan liittyen. Onko edellä esitetyssä kokonaisuudessa joitain osia, joiden tuottaminen ei onnistu tai olisi mielestänne liian kallista tai hankalaa. 4 Aikataulu Tähän tietopyyntöön pyydetään vastauksia 30.11.2016 klo 16.15 mennessä osoitteella kilpailutukset@valtori.fi otsikolla Pilvipalvelut/salaus tietopyyntö.