Yeşil Sertifika Uzmanı Yes-TR

Yeşil Sertifika Uzmanı Yes-TR Yazılımı Teknik Şartnamesi

Bu şartnameye, 2019/425972 nolu EKAP ihale ilanında tüm vatandaşlara açıktır. Yeşil sertifika uzmanı olabilmek için prosedür henüz bilinmemktedir fakat bu sertifika için ilk reel adım bu yazılımın yaptırılması görülmektedir. Detaylar netleştikçe enerjibelgesi.com üzerinden bilgi verilecektir. İlgili kurumları sıkı bir şekilde takip etmeye çaşıyoruz. Bu sertifikanın enerji kimlik belgesi’nden çok daha kapsamlı olacağı aşikadır. EVD’leri, Enerji yöneticisi ve ekb uzmanlarını ne kadar ilgilendireceği konunun netleşmesi ile anlaşılacaktır.

Yes-TR, Ümit ederiz ki Bep-TR Bep-Buy ‘dan çok daha profesyonel ve kullanıcı dostu bir yazılım olur.

İlgili şartname aşağıdaki gibidir:

T.C.

ÇEVRE VE ŞEHİRCİLİK BAKANLIĞI

MESLEKİ HİZMETLER GENEL MÜDÜRLÜĞÜ

 ENERJİ VERİMLİLİĞİ VE TESİSAT DAİRESİ BAŞKANLIĞI

YEŞİL SERTİFİKA TÜRKİYE

ULUSAL YEŞİL SERTİFİKA BİLGİ SİSTEMİ teknik şartnameSİ

  1. KONU

Bu teknik şartname Binalar İle Yerleşmeler İçin Yeşil Sertifika Yönetmeliği kapsamında binalara ve yerleşmelere Yeşil Sertifika belgesi verilmesi için kullanılacak Ulusal Yeşil Bina Bilgi Sistemi (YeS-TR) yazılımının temin edilmesi, teknik özellikleri ve diğer hususları konu alır.

  1. AMAÇ

Bu şartname kapsamında; Binalar İle Yerleşmeler İçin Yeşil Sertifika Yönetmeliği kapsamında belgelendirme, yetkilendirme ve yönetim konularında Ulusal çapta yazılım destekli web uygulaması hazırlamak, elektronik belge çıkartmak, bunların veri ve istatistiksel raporlamasının kayıtlarını tutmaktır.

  1. TANIMLAR VE KISALTMALAR

BakanlıkÇevre ve Şehircilik Bakanlığı
İdareÇevre Şehircilik Bakanlığı, Mesleki Hizmetler Genel Müdürlüğü
YükleniciYeS-TR uygulamasını üreten kurum veya kuruluş
YönetmelikBinalar İle Yerleşmeler İçin Yeşil Sertifika Yönetmeliği
YeS-TRUlusal Yeşil Sertifika Bilgi Sistemi
BelgeDeğerlendirme Kuruluşu tarafından yapılan değerlendirme sonrası, kuruluşça binaya veya yerleşmelere verilen Yeşil Sertifika Belgesi
Değerlendirme KuruluşuBinalar ile yerleşmelerin çevresel, sosyal ve ekonomik performanslarını değerlendirme kılavuzuna göre değerlendirerek, belgelendirilmesinden sorumlu, Bakanlık tarafından yetkilendirilen kuruluş
Değerlendirme kılavuzuYeşil binalar ile yeşil yerleşmelerin kriterleri, başvuruların alınması ve değerlendirilmesi, belgelendirme usul ve esasları ile değerlendirme uzmanlarının niteliklerini içeren İdare tarafından yükleniciye teslim edilecek doküman
Yeşil Sertifika Değerlendirme UzmanıDeğerlendirme Kuruluşu bünyesinde görev yapan ve bina veya yerleşmenin değerlendirme kılavuzuna göre değerlendirilmesinden ve puanlanmasından sorumlu olan Yeşil Sertifika uzmanları
Yeşil Sertifika UzmanıNitelikleri Yeşil Sertifika Komisyonu tarafından belirlenen ve Bakanlıkça veya Bakanlıkça yetkilendirilmiş kurum ve kuruluş tarafından verilen eğitimde başarılı olan müellifler
Gizlilik Sözleşmesiİdare ve Firma arasında, sözleşme kapsamında yapılmış olan işlerle ilgili, sözleşme süresince ve sözleşme sonrasında üçüncü şahıslara bilgi verilmemesi gerektiğini kapsayan sözleşme
CBSCoğrafi Bilgi Sistemleri
UAVTUlusal Adres Veri Tabanı

 

  1. GENEL HÜKÜMLER

    • Bu şartname kapsamındaki işin, yürürlükteki veya değişiklik yapılacak ilgili mevzuata ve İdare tarafından yükleniciye verilecek değerlendirme kılavuzuna uygun yapılmasından yüklenici sorumludur.
    • Yüklenici, YeS-TR’yi mevzuat hükümlerine uygun şekilde yazılımın kodlanması, çalışma sürekliliğinin sağlanması, mevzuat hükümlerinde meydana gelen değişikliklerin uygulanması ve uyarlanması işlemlerinden sorumludur.
    • Yüklenici, Bakanlığın ana sunucularında yapılacak yazılım ve/veya donanım güncellemelerinde, sunucu değişimlerinde ve/veya yeniden sunucu yapılanmasında uygulamaların garanti süresince kurulumlarından ve gerekli değişikliklerin yapılmasından sorumludur.
    • Uygulamalar için geliştirilen yazılım, kod, tasarım ve çözümlemelerle ilgili tüm haklar İdare’ye aittir. Yüklenici bunları başka amaçla kullanamaz.
    • Firma, söz konusu işin şartnamesinde tanımlanan aşamalara ait işlerle ilgili hiçbir bilgiyi İdareden saklamayacak, belirlenen güvenlik seviyesine sahip personele tüm bilgileri istenildiği zaman verecektir. Firma, İdare ile ilgili öğrendiği hiçbir bilgiyi üçüncü şahıslar ile paylaşmayacağını taahhüt edecektir. Sözleşme süresi ve sonrasında İdare ile ilgili edinilen hiçbir bilgi İdare dışında hiçbir yerde açıklanmayacaktır. Firma, İdare tarafından sunulan gizlilik sözleşmesini imzalamak zorundadır.

 

  1. TEKNİK ESASLAR

    • Genel Hususlar
      • Oluşacak ihtiyaçlar çerçevesinde geliştirilen modüller veya ara katmanlar herhangi bir hata oluşturmadan YeS-TR’ye eklenebilmeli ve entegrasyonu sağlanabilmelidir.
      • Yüklenici, işin bitiminde idare için geliştirdiği yazılıma ait en güncel kaynak kodları(Proje kapsamında geliştirilen her türlü kütüphane ve dinamik bağlantı kitaplığı dosyalarının derlenebilir kaynak kodları da dahil) en son sürümlerinin çalışır halini Bakanlık yetkilisi nezaretinde Bakanlık Kaynak Kod Yönetimi Uygulamasına aktaracaktır ve dokümanlarını İdareye teslim edecektir.
      • Uygulama Bakanlık tarafından sunulacak olan Microsoft. Net platformu üzerinde çalışan C# dilinde geliştirilmiş framework ile geliştirilecektir. Framework’e ilişkin bilgiler CBS.YTDB.01.02 CSBFramework API ve Kullanımı dokümanında mevcuttur. Mevcut Framework’ün geliştirilecek sistemin ihtiyaçlarını karşılamaması veya eksik kalması durumunda, Yüklenici Framework üzerimdeki gerekli iyileştirmeyi yapacaktır. Uygulama ihtiyaçları farklı teknolojilerin kullanılmasını gerektiriyor ise, yüklenicinin bu gereksinime ilişkin raporu ve Yazılım Teknolojileri Daire Başkanlığının onayı ile farklı teknoloji seçimi yapılabilir.
      • Sistem ölçeklenebilir (genişlemeye müsait) yapıda tasarlanacaktır. Bakım kolaylığı ve performans gerekleri nedeni ile İdareye özel geliştirilen sistemin tamamı aynı programlama dili ve aynı uygulama geliştirme platformu içinde geliştirilerek teslim edilecektir.
      • Uygulama sunucusu ile veri tabanı sunucu bağlantı işlemleri konfigürasyon dosyaları ile yönetilecektir.
    • Arayüz ve İşlevsel Özellikler
      • Uygulamalarda kullanılan arayüzlerde İdare’nin onaylı logoları ve İdare tarafından bildirilen yazılar/şekiller kullanılacak olup, bunun haricinde herhangi bir logo, amblem, reklam, firma adı vs. bulunmayacaktır.
      • Tüm ekranlar; kısa yol tuşları, menüler, renkler, fontlar gibi biçimsel özellikler, veri giriş ve raporlama gibi işlemleri yerine getirmek için birbirine benzer ve standart bir yapıda olmalı ve kullanım kolaylığı sağlamalıdır.
      • Sistem yazılımı ve donanımlar arasında eşgüdüm sağlanıp, üretilen yazılımın tüm katmanlarda etkin bir biçimde çalışması, iş akışı ve veri iletişiminin sorunsuz ve kesintisiz olması sağlanacaktır.
      • Geliştirilecek yazılımda, uygulamada kullanılan parametrelerin yönetildiği, işlevlerin kontrol edilebildiği, değiştirilebildiği yönetim arayüzü geliştirilecektir. Parametreler uygulama içine gömülü geliştirme yapılmayacaktır.
      • Yüklenici, geliştirilecek uygulamalara ilişkin farklı arayüz tasarımlarını idarenin onayına sunacak, idare tarafından karar verilen tasarım üzerinden ilerlenecektir. Geliştirilecek kullanıcı arayüzü kolay öğrenilebilir ve kullanılabilir yapıda olacak, ekranlar standart bir görünüme sahip olacaktır.
      • Grafik arayüzüne uygun olarak kontroller hem fare hem de klavye yardımıyla yapılabilecektir.
      • Oluşturulacak arayüz/sayfalarda olabildiğince yatay kaydırma çubukları engellenmeli, dikey kaydırma çubukları için sayfalama kullanılmalıdır.
      • Oluşturulacak arayüz/sayfalarda, sayfa başlığı eklenmelidir. Sayfa başlığı göze çarpıcı ve nispeten büyük yazı tipi kullanılmalıdır.
      • Arayüz/Sayfadaki bilgi giriş alanları, girilecek alanın özelliğine göre maskelenmiş (Ondalık, Para, Telefon, Tarih, Web Adresi, E-posta vb.) olacaktır. Bilgi giriş alanları, veri türlerine göre doğrulukları ve güvenlik kriterleri dikkate alınarak iş katmanı ve/veya veri katmanında kontrol edilmelidir.
      • Arayüz/Sayfadaki bilgi giriş alanları, kullanıcı dikkatini artırmak için, bilgi girişi sırasında diğerlerinden ayrı şekilde belirtilecektir. Arayüz/Sayfadaki bilgi giriş alanları, zorunlu ve opsiyonel veri girişlerinin ayrımı yapılmalıdır.
      • Arayüz/Sayfadaki zaman aşımı durumlarında, idare tarafından belirlenecek olan süreden önce mutlaka uyarı verilmelidir.
      • Arayüz/Sayfa tasarımı yapılırken, bilgi giriş alanlarına açıklama metni (tooltip), sayfanın kullanımına ilişkin yardım dokümanı/metni/video (Yardım menüsü) sisteme eklenecek, kullanıcının sistemi kendi başına kullanabilmesi sağlanacaktır.
      • Son kullanıcıya yönelik tüm ekranlar ve raporlar, Türkçe olarak hazırlanacaktır ve uygulamanın font/tarih/saat formatları gibi değişkenler İdarenin belirleyeceği şekilde yapılacaktır.
      • Yüklenici, program ara yüzlerini, kullanıcının hatalı veya eksik veri girişi yapmasına engel olacak şekilde yapacaktır. Hata yapılması durumunda sistem otomatik olarak son kullanıcıyı uyarmalıdır. Kullanıcı ekranları üzerinden yapılan işlemlerde gereken noktalarda uyarı/doğrulama/bilgilendirme/yönlendirme amaçlı mesajlar kullanılacaktır ve bu mesajlar Türkçe olacaktır.
      • Yazılımın kullanım ve yönetimine yönelik Türkçe kullanım kılavuzu ve yardım ekranları yazılım bünyesinde sunulacaktır. Hazırlanan yardım materyalleri, ileriye dönük güncelleme ve eklemeler yapılabilmesi için güncel düzenlenebilir hali ayrıca İdareye teslim edilecektir.
      • Yazılım, Türkçe karakterler ile sorunsuz çalışacak, tüm sorgulama, sıralama ve karşılaştırmalar Türkçe alfabeye göre yapılacaktır. Tüm menüler, mesajlar ve yardım içeriği Türkçe olarak çalışacaktır.
      • Uygulama üzerindeki bildirimler, mesajlar ve hatalarda, anlaşılır ve net bir ifade kullanılacaktır.
      • Uygulamalar üzerinden alınacak raporlar İdarenin belirlediği dosya formatlarında (Word, Excel, Pdf, Text vb.) dışa aktarılabilmelidir.
      • Teknik Şartname kapsamında yapılacak iş ve işlemler neticesinde uygulamanın hiçbir ekran veya ara yüzünde Yükleniciye veya farklı bir firmaya ait herhangi bir açıklama, not, internet sitelerine yönlendirilmiş açık veya gizli link, buton vb. obje bulunmayacaktır.

5.3.        Entegrasyonlar

  • Uygulama tarafından ihtiyaç duyulacak, ancak Bakanlık bünyesinde olmayan servislerin geliştirilmesi, servislerin izlenmesi, kayıt altına alınması, sorgulanması gibi işlemlerin yapılacağı altyapı yüklenici tarafından kurulacaktır. Servisler, World Wide Web Konsorsiyumu (W3C\OASIS) tarafından kabul edilen Simple Object Access Protocol (SOAP), Extensible Markup Language (XML) ve Web Services Description Language (WSDL)’e uygun olarak hazırlayacaktır.
  • Uygulamanın verilerine ihtiyaç duyan diğer sistemler için, yüklenici Bakanlığın sağlayacağı Web Servis Havuzu üzerinden haberleşebilir yapıda web servisler hazırlamakla yükümlü olacaktır. Uygulamanın vereceği servise ilişkin ihtiyaçlar Bakanlık tarafından Yükleniciye bildirilecektir. Uygulamanın ihtiyaç duyduğu ancak Bakanlık bünyesinde bulunmayan servisler için gerekli çalışmalar yüklenici tarafından Bakanlık koordinasyonunda yürütülecektir.
  • Uygulamalar Bakanlık e-posta mesajlaşma servisi ile bütünleşik çalışabilecek yapıda geliştirilecektir.
  • Kurum dışına sunulacak servislerin geliştirilmesi sırasında seçilecek olan yöntem, standartlara dayalı olacak, YeS-TR’nin analizi sırasında ihtiyaç duyulabilecek diğer yazılımlar ve/veya İdare bünyesindeki diğer veri tabanları ve veri kaynakları yada kurum dışı sistemler ile entegrasyon sağlayabilecek yapıda tasarlanacaktır.
  • İçişleri Bakanlığı (MAKS) ve proje süresince çıkacak isteklere göre kurum/kuruluşlar ve bilgi sistemleri ile İdare bünyesindeki diğer bilgi sistemleri ile yapılacak web servisleri Yüklenici tarafından hazırlanacaktır.
  • YeS-TR;
    • İçişleri Bakanlığının MERNİS ve UAVT ile entegre çalışacak, kullanıcının TC Kimlik numarası girilmesi ile, adres, ad soyad, doğum yeri ve tarihi bilgileri alınacaktır, Bina ya da yerleşmeye ait adres bilgisi UAVT üzerinden seçilerek girilecek ve UAVT Bina Numarası alınacaktır.
    • Maliye Bakanlığının Vergi Sistemi entegre çalışarak firmaya ait vergi numarasının girilmesiyle firma adı ve vergi dairesi bilgileri alınacaktır.
    • Bakanlığın talep etmesi durumunda geliştirilen uygulama için e-devlet entegrasyonu yapılmamışsa İdarenin belirleyeceği süre içerisinde e-devlet entegrasyonu yapılacaktır.

5.4.        Kimlik Doğrulama

  • Farklı kaynaklar (AD, veri tabanı, vb.) üzerinden kimlik doğrulama yapılabilecektir.
  • Kullanıcılar sisteme şifreleri ile yetkileri dahilinde izin verilen tüm modüllere erişebilecektir. Sisteme bağlanmak için ardışık başarısız/yetkisiz erişim deneme sayısı üzerine limitler konulabilecek, limit aşıldığında ilgili kullanıcıya uyarı mesajı otomatik olarak gönderilecektir.
  • Yazılım İdarenin kullandığı tek noktadan kimlik doğrulama sistemlerini kullanacaktır, kurumda bulunan Microsoft aktif dizin üzerinden kullanıcı doğrulama gerçekleştirecektir. Analiz aşamasında farklı kullanıcı doğrulama ihtiyaçları olması durumunda, yüklenici, bu ihtiyaçları belirtecek ve kurumun onayını takiben tasarım aşamasına geçecektir.
  • Kullanıcı şifreleri uygulama üzerinde ve veri tabanında kimse tarafından görülmemelidir.
  • Yetkilendirme esasları
    • Uygulamada tutulacak yetkilendirmeler için arayüzlerde, kullanıcı ve gruplara yetki tanımlanabilmeli, kullanacağı roller, sistem yöneticisi tarafından değişik seviyelerde belirlenebilmelidir. (Ekleme, Silme, Düzeltme, Sorgulama, Yazdırma, vb.).
    • Yeşil Sertifika Uzmanlarının mesleki branşları doğrultusunda yetkilendirmeleri yapılabilecektir.
    • Yetkiler öğe bazında tanımlanabilecektir. Bu öğeler; modüller, form ve raporlar, menü öğeleri, kayıtlar, sayfalardan oluşacaktır.
    • Kullanıcı ve gruplarının yetkileri dinamik yapıda olacaktır.
    • Yetki düzenlemeleri menü adımlarından yapılabilecek ilave program geliştirmeye gerek kalmadan kişi ve grup bazlı yönetilebilecektir.
    • Kaynak kod içerisinde statik tanımlamalar yapılmayacak, tüm yetkilendirilmeler, ara yüzlerden tanımlanacaktır.
    • Kullanıcılar, erişim yetkileri bulunmayan öğelerin varlığından dahi haberdar olmayacak ve yetkileri her ne olursa olsun hesapları çeşitli sebeplerle pasif hale getirildiğinde (kurumdan ayrılma, fazla sayıda yanlış şifre girilmesi, hesabın süresinin dolması vb.) sisteme giriş yapamayacak ve yetkileri olsa bile hiçbir öğeye erişemeyeceklerdir.
  • Kaynak Kod, Raporlama ve Dokümantasyon
    • Uygulama içerisinde yer alan her bileşen açık kaynak kodu ile şifresiz, izlenebilir ve görüntülenebilir haliyle teslim edilmelidir.
    • Yüklenici, yazılıma ait en son güncelleme paketlerini, güvenlik vb. amaçlı tüm yama versiyonlarını ve yazılımı geliştirirken veya sistemin bir bileşeni olarak düşündüğü ve İdare’de mevcut olmayan üçüncü parti hazır paket yazılımlarını ücretsiz olarak İdareye temin/teslim edilmesinden sorumludur.
    • Bakanlığın uygulamadan talep edeceği özet raporların web servisi yüklenici tarafından hazırlanacaktır.
    • İdarenin talep etmesi durumunda projenin en son durumunu gösterir analiz ve tasarım raporları düzenlenecektir. Analiz ve Tasarım Raporlarının içeriğinde aşağıdaki bilgiler yer alacaktır;
    • Analiz Raporunda;
      • Genel iş gerekliliklerinin tanımlanması,
      • İş akışı ve iş kuralları gerekliliklerinin tanımlanması,
      • Rollerin, sorumlulukların ve süreçlerin tanımlanması,
      • Entegrasyon tanımları,
      • Çözüm gerekliliklerinin tanımlanması,
      • Sistem Gereksinim tanımları,
      • Sistemde kullanılan süreçlerin detaylı tanım ve açıklaması,
      • Kullanım senaryoları (Use-Case ve Activity Diagrams),
      • Bakanlık kimlik yönetim sistemi entegrasyon yöntemleri, mevcut durum ve öneriler raporu,
    • Tasarım Raporunda;
      • İş akışı çözümü tasarımı,
      • Arayüz tasarımı,
      • Kullanıcı Yönetim Sistemi Tasarımı,
      • Veritabanı Tasarımı (E-R Diagrams),
      • Ayrıntılı Veritabanı Dokumantasyonu,
      • Sınıf Çizelgeleri (Class Diagrams),
      • Güvenlik stratejisi, devreye alma, yedekleme stratejileri,
      • Test prosedürleri,
      • Test tanımları
      • Test senaryoları
      • Test talimatları
      • Sistemin ihtiyaç duyacağı donanım.
    • Tasarım Raporu onaylandıktan sonra Yüklenici tarafından kodlama aşamasına geçilecektir.
    • Tasarım aşamasında belirlenemeyen hususların ortaya çıkması halinde kodlama aşamasında bu durumun Uygulamaya aktarımı Yüklenici tarafından sağlanacaktır.
    • Şartname kapsamında geliştirilen uygulamaya ilişkin kaynak kodlar, veriler, dokümanlar, eklentiler vs. idarenin belirteceği sistemler üzerinde şifrelenmemiş şekilde saklanacak ve güncel hali Bakanlık sunucularında ve İdare kontrolünde olacaktır. Yüklenici devraldığı yazılıma bir versiyon numarası vererek eski halinin Kaynak Kod Yönetimi Uygulamasına aktarımını yapacaktır. Yazılımda yaptığı değişikliklere göre yeni versiyon numaraları vererek Kaynak Kod Yönetimi Uygulamasında ilerleme sağlanacaktır. Son değişikliklerde herhangi bir sıkıntı yaşandığı zaman eski versiyona dönüş sorunsuz olarak yapılabilmelidir.
    • Yüklenici, İdarenin talep etmesi durumunda İdare teknik personeli için, her modülde yer alan alt modüllerde kullanılan veri yapısı, kayıt yapısı, kullandığı tabloların yapıları ve aralarındaki ilişkileri, modüllerin amaçları ve yaptığı işleri, akış diyagramlarını belirten dokümanlar hazırlayarak idareye sunacaktır.
    • Bakanlığın merkezi bir raporlama ve loglama altyapısı sunması halinde Uygulama bu yapıya entegre olmalıdır. Uygulamanın ihtiyaçları kendi içerisinde bir yapı kurmayı gerektiriyor ise bu durum gerekçeleri ile beraber yazılı olarak Yazılım Teknolojileri Dairesi Başkanlığına sunulur, onay alınmasına müteakip geliştirme yapılabilir
    • Log raporlarına erişim İdare bünyesinde yetkilendirilen kişilerce olacaktır. Raporlar excel, pdf ve word formatına aktarılabilecektir. Sayısal ve grafiksel raporlama alınır halde oluşturulacaktır.
    • Yapılacak hata izleme ara yüzünde, oluşan hatanın kodu ve Türkçe açıklaması, sayfa adı ve hata satırı da gösterilecektir.
    • İdare bünyesinde yetkili kullanıcılar program ara yüzünden;
      • İl,
      • Tarih,
      • Firma,
      • Yeşil Sertifika Uzmanı,
      • Yeşil Sertifika Değerlendirme Uzmanı,
      • Değerlendirme Kuruluşu,
      • Belge sınıflarına,
      • Bina/yerleşme tipleri (mevcut/yeni ayrı ayrı) ne göre detaylı raporlama yapabilecektir.
    • İdare bünyesinde yetkili kullanıcılar istedikleri proje bilgilerini sorgulayabilecek ve görüntüleyebilecektir.
    • Herkes tarafından UAVT Bina No ve ya Belge Numarası ile Belge sorgulaması yapılabilecektir.

5.7.        Hata Yönetimi ve Günlükleme (Loglama) Esasları

  • Bakanlığın merkezi bir raporlama ve loglama altyapısı sunması halinde Uygulama bu yapıya entegre olmalıdır. Uygulamanın ihtiyaçları kendi içerisinde bir yapı kurmayı gerektiriyor ise bu durum gerekçeleri ile beraber yazılı olarak Yazılım Teknolojileri Dairesi Başkanlığına sunulur, onay alınmasına müteakip geliştirme yapılabilir.
  • Kullanıcıların, sistem üzerinde yaptığı ekleme, güncelleme, silme, sorgulama gibi işlemler kayıt altına alınmalıdır. Hangi işlem tipinin kayıt altına alınacağı parametrik olarak değiştirilebilmelidir.
  • Kayıtlarda, zaman bilgisi, kullanıcı, kullanıcı ip adresi, yaptığı işlem, işlemi yapan fonksiyon/prosedür, işleme uğrayan nesne (tablo, dosya vs), işleme uğrayan verinin ilk hali, işleme uğrayan kaydın son hali bilgileri tutulacaktır.
  • Kullanıcılar kendi yaptığı işlemleri, sistem yöneticileri ise sistem üzerinden yapılan tüm işlemleri, işlem tipi, işlem tarihi, işlemi yapan fonksiyon vb. tutulan günlük alanları üzerinden parametrik olarak sorgulayabilmelidir. Sorgu sonuçları Word/ Excel/PDF gibi formatlarda kaydedilebilmelidir.
  • Güvenlik ve Test İşlemleri
    • Geliştirilecek yazılıma ait Ek-2’de yer alan “Web Uygulama Güvenliği Sızma Testleri İsterleri” dokümanında belirtilen esaslar gerçekleştirilecektir.
    • Veri kaynaklarına erişim sadece uygulama sunucusu üzerinden olacaktır. Web sunucusu veya kullanıcıların veri kaynağına doğrudan erişimi olmayacaktır.
    • Yüklenici yeni geliştirilen uygulamayı tüm yönleriyle test edecektir. Test sonuç raporlarına göre iyileştirmeler yüklenici tarafından gerçekleştirilecektir. Analiz-tasarım test sonuçlarına göre yüklenici uygulamada gerekli iyileştirmeleri yapmakla yükümlüdür. Gerçekleştirilecek revizyonlar sonrası aynı test süreci yeniden gerçekleştirilecektir. Test süreçleri sonucunda elde edilecek raporlar kabule esas teşkil edecektir.

5.9.        Veri Tabanı Standartları

  • Ek-3’deki CSB.YTDB.01.07 Veri Tabanı Standartları dokümanında bulunan hususlar dikkate alınarak geliştirme yapılmalıdır.
  • Geliştirilecek olan uygulamaya ait olan ilişkisel veritabanı yönetim sistemi üzerinde yer alacak olan tablo nesnelerine ait hem tablo düzeyinde hem de tablolara ait olan sütun düzeyinde tanım ve açıklamaların eksiksiz yapılması gerekmektedir. Ayrıca uygulama veritabanı üzerinde view, kullanıcı tanımlı fonksiyon(user defined function) , saklı yordamlar (stored procedure) vb programlama nesneleri kullanacaksa, bu nesnelerin tüm yorumları (commentleri) nesne kod blokları içerisinde yer almalıdır.

5.10.     Bilgi Güvenliği Standartları

  • Yüklenici yazılım tasarımını Bakanlık Bilgi Güvenliği Politikalarına (Kullanıcı Erişim Yönetimi, Parola, Şifreleme vb.) uygun olarak yapmalıdır.
  • Yüklenici ‘Kurumsal Gizlilik Anlaşması’nı ve bu projede görev alacak tüm Yüklenici çalışanları ‘3. Taraf Çalışanları Gizlilik Anlaşması’nı Bakanlık mevzuatındaki diğer gerekli belgeleri imzalayacaktır.
  • Bakanlık Bilgi Güvenliği politikaları çerçevesinde kurum dışı sürekli erişime (Uzaktan Erişim, VPN, TeamViewer vb.) izin verilmemektedir. İdarenin onayı ile olağanüstü durumlarda, belirli zaman aralığında kısıtlı uzaktan erişime izin verilmektedir. Bunun için İdareden proje, tarih ve saat aralığı ve nereye erişmek istediği belirtilerek yazı ile izin alınması gerekmektedir.

5.11.     Diğer Hususlar

  • Uygulamalar, Bakanlığın göstereceği sistem odası ve sunuculara kurulacaktır. Sözleşme süresince uygulama sunucusunun değişmesi veya idarede sistem odası ya da yerleşke değişiklikleri olması durumunda yüklenici, sorumluluğundaki uygulamaları İdarenin göstereceği yeni sunucu ve sistemlere taşınma ve çalıştırılasından sorumlu olacaktır.
  • Geliştirilen sistem ile alakalı olarak Bakanlık bilgi işlem personeline teknik eğitim verilecektir. Sistemi oluşturan araçlar veya hazır paketlerin, İdare teknik personelinin Sistemi idame ettirecek ve gerekli olduğu hallerde Sistem üzerinde gerekli güncelleme ve değişiklikleri yapabilecek teknolojik ve operasyonel bilgi düzeyine gelmelerini sağlayacak düzeyde olacaktır. Yüklenici eğitimlere en az 1 uzman görevlendirecektir.
  • Bakanlık envanterinde uygulamanın mevcut olması durumunda, uygulama üzerindeki veriler, analiz ve tasarım safhasında incelenerek yeni geliştirilecek olan uygulamaya eksiksiz şekilde aktarılmasına yönelik planlama yapılacak ve veriler kayıpsız yeni sisteme aktarılacaktır. Analiz ve tasarım safhasında öngörülemeyen planlamalardan doğacak aksaklıklardan ve veri kayıplarından yüklenici sorumludur.
  • Analiz ve tasarım süreci içerisinde öngörülemeyen, ancak geliştirme ve/veya test sürecinde ortaya çıkabilecek hususlarda İdare yükleniciden ilave taleplerde bulunabilir.
  • Coğrafi Bilgi Sistemleri Genel Müdürlüğü, merkezi yapılarda (Veritabanları, Web Servisler vb. ) değişiklik yapması halinde yüklenici uygulamasında gerekli güncellemeleri yapacaktır.
  • Periyodik işletim sistemi güncellemeleri İdare tarafından yapılacak olup yüklenici uygulamanın söz konusu işletim sistemi ile sorunsuz çalışmasını sağlayacaktır. Güvenlik taramalarında çıkabilecek olan işletim sistemi ya da uygulama güvenlik açıklıklarının kapatılması konusunda yüklenici destek verecektir.
  • İdarenin kullanmış olduğu sistem alt yapısı gereği, uygulamanın üzerinde çalıştığı sunucuların Sanal ortam üzerinde çalışmasına uygun olması gerekmektedir. Uygulama cluster mimaride çalışabilmelidir.

 

5.12.     İlgili Dokümanlar

  • Bu dokümanda belirtilmeyen hususlar için Ek-4’deki CSB.YTDB.01 Birlikte Çalışma Esasları Prosedürü dokümanı ve ekleri dikkate alınmalıdır.
  • Bu dokümanda belirtilmeyen hususlar için Ek-3’deki CSB.YTDB.01.07 Veri Tabanı Standartları ve ekleri dikkate alınmalıdır.

 

 

 

 

 

  1. SİSTEM MİMARİSİ

6.1.        Yetkili kullanıcılar, tarafından e-devlet kullanıcı adı (T.C. Kimlik Numarası) ve şifresi ile bu şartnamede tanımlanan yetkileri dâhilinde erişim sağlanacaktır. Kimlik doğrulamadan sonra rol seçimi yapılacak ve çıkış yapmadan rol değiştirilebilmesi sağlanacaktır.

6.2.        Yetkili kullanıcılar, yetkileri olan bölümlere girişleri için kullanıcı adı ve şifresi ile girişlerinin ardından ekranda kullanıcı tipine göre ilgili menüler oluşturulacaktır.

6.3.        Eğitim veren kuruluş yetkilileri tarafından eğitim neticesinde başarılı olan Yeşil Sertifika Uzmanlarını sisteme tanımlayabilecektir.

6.4.        Yeşil Sertifika Uzmanları bir firmaya bağlı olmadan sisteme yetkileri dahilinde giriş yapabileceklerdir.

6.5.        Yeşil Sertifika Uzmanları, bünyelerinde çalıştıkları firma/kuruluş bilgilerini YeS-TR’ye gireceklerdir.

6.6.        Yeşil Sertifika Uzmanları, Değerlendirme Kuruluşu bünyesinde çalışmaya başladıktan sonra Yeşil Sertifika Değerlendirme Uzmanı olarak görev yapabilecektir.

6.7.        Firma bünyesinde çalışma için Değerlendirme Kuruluşu Yetkilisi ve Yeşil Sertifika Uzmanı tarafından karşılıklı onayı neticesinde olacaktır.

6.8.        Kullanıcıları aşağıda belirtilen alt maddelerdeki gibi tanımlanacaktır.

  • Yetkili İdare Kullanıcıları: Sisteme kullanıcı tanımlama yapabileceklerdir. Bütün kullanıcı, onay makamı, firma bilgilerini görebilme (şifre bilgisi hariç), oluşturabilme, aktif-pasif hale getirme, değiştirebilme yetkisine sahip olacak ve bütün projeleri/çalışmaları değişiklik yapmayacak şekilde görüntüleyebilecektir. Ayrıca, her türlü bilgi, veri bankası ve LOG raporlarını görebilecektir. Denetim yapacak kurumların yaptığı ve sisteme kaydettiği çalışmaların, raporların ve bilgi/belgelerin tamamını görebileceklerdir. Eğitim Veren Kuruluş Yetkilileri tarafından sisteme girilen kullanıcı bilgilerini onaylayabileceklerdir. Sistemin tutarlılığını, veri ve bilgilerin bütünlüğünü sağlayan sistem kısıtlarına (Projeler, sertifikalar vb.) uygun şekilde tüm fonksiyonları kullanmaya yetkili olacaklardır. Detaylı firma, kullanıcı, sertifika, eğitim raporlama ekranlarına sahip olacaktır ve tüm kullanıcıların hesaplarına ulaşabileceklerdir.
  • İl Müdürlüğü Yetkilisi: Sistem tarafından rasgele İdarece belirlenecek periyotlarda bulunduğu ildeki Yeşil Sertifika bilgileri üzerinden denetleme yaparlar. Yapılan denetim ile ilgili gerçekleştirilen çalışmaları, bilgi ve belgeleri sisteme girebilir, bu çalışmalarla ilgili raporlama yapabilirler. Uzmanların ikamet adreslerinin MERNİS’ten güncelleyebileceklerdir.
  • Eğitim Veren Kuruluş Yetkilisi: Bakanlık tarafından yetkilendirilecek kuruluşun yetkilisi olup, bu kullanıcılar; eğitimle ilgili bildirimlerini, eğitimde başarılı olan adayları veri tabanına bu ekrandan giriş yapacaklardır.
  • Kullanıcı Bilgileri aşağıdaki bilgileri içerecektir:
    • Kişi adı/soyadı,
    • C. kimlik numarası,
    • Sertifika numarası/veriliş tarihi,
    • Meslek,
    • E-posta,
    • Cep Telefonu,
    • Adres
  • Yeşil Sertifika Uzmanları: Eğitici Kuruluş tarafından sisteme tanımlanan ve değerlendirme kuruluşu bünyesinde çalışmayan kullanıcılardır. Bina veya yerleşme sahibi/temsilcisi adına bina veya yerleşme bilgilerini sisteme girerek sertifika başvurusunda bulunurlar. Sisteme projeleri ile ilgili veri, bilgi ve belge yükleme faaliyetinde bulunurlar, projelerinin takibini yapabilirler.
  • Yeşil Sertifika Değerlendirme Uzmanları: Değerlendirme kuruluşu bünyesinde görev yapan Yeşil Sertifika Uzmanları, Yeşil Sertifika Değerlendirme Uzmanı olarak yetkilidirler. Bünyelerinde çalıştıkları değerlendirme kuruluşu yetkilisi tarafından kendilerine yönlendirilen projenin yetkileri dahilindeki ilgili modülüne ilişkin değerlendirme ve puanlama yaparlar, kriter puanlamalarının girişini yaparlar, projeleri ile ilgili dosyaları görüntüleyebilirler, eksik ve hususları Değerlendirme Kuruluşu Yetkililerine iletirler.
  • Değerlendirme Kuruluşu Yetkilileri: Yeşil Sertifika Değerlendirme Uzmanlarını işe alıp işten çıkarma yetkisine sahiptirler. Kuruluşlarında çalışan Yeşil Sertifika Değerlendirme Uzmanlarına projenin ilgili bölümlerini yetkilerine göre gönderebileceklerdir. Yeşil Sertifika Uzmanları tarafından yapılan sertifika başvurularını inceler, ilgisine göre ilgili bölümleri bünyelerinde çalışan Yeşil Sertifika Değerlendirme Uzmanlarına iletilir. Sorumluluklarındaki projeye ait bilgileri görüntüleyebilir. Eksik hususları, Yeşil Sertifika Uzmanlarına iletirler. Hesaplanan belgeyi görüntüleyebilirler ve çıktısını alabilirler.
  • Firma Bilgileri aşağıdaki şekilde olacaktır.

 

  • Firmanın adı,
  • Vergi dairesi/numarası,
  • Firma yetkilisinin adı/soyadı,
  • Firma yetkilisinin T.C. kimlik numarası,
  • Adresi,
  • Telefonu,
  • E-posta

6.9.        Yazılım; Bina ve Yerleşme olarak iki bölümden oluşacaktır. İşleyiş Ek-1’de yer alan akış şemalarında belirtildiği gibi olacaktır.

6.10.     Bina ve Yerleşme için; hem mevcut hem de yeni olacak şekilde, bina için konut, ofis, eğitim, sağlık, otel, alışveriş ve ticaret merkezi ile diğer tipolojilerini içeren ve idare tarafından belirtilecek Bina ve Yerleşme teknik puanlara göre ayrı ayrı puanlama ve hesaplama bilgilerini içerecektir.

6.11.     İdare tarafından belirtilecek branşlardaki Yeşil Sertifika Uzmanları tarafından, yine idare tarafından belirtilecek Bina ve Yerleşme Ana Kategoriler için oluşturulacak klasörlere idarece belirlenecek formatta veri, bilgi ve belgeler yüklenebilecektir.

6.12.     Yeşil Sertifika Uzmanlarının başvuru dosyası, Değerlendirme Kuruluşu Yetkilisi tarafından kuruluş bünyesinde çalışan ve İdare tarafından belirtilecek branşlar dahilinde ilgili Ana Kategori sorumlusu Yeşil Sertifika Değerlendirme Uzmanlarına gönderilebilecektir.

6.13.     Yeşil Sertifika Değerlendirme Uzmanlarının yetkileri ve sayıları doğrultusunda yapılacak validasyonlar idare tarafından belirtilecektir.

6.14.     Yeşil Sertifika Değerlendirme Uzmanları tarafından sorumluluğundaki Ana Kategori kapsamında yapılan puanlamalar ayrı ayrı toplanacak, sonuç Değerlendirme Kuruluşu Yetkilisine iletilecek ve İdare tarafından belirtilecek puan aralıklarına göre ve İdare tarafından belirtilecek formatta belge üretilecektir.

6.15.      Temel Değerlendirme Kılavuzunda bulunan modülleri en az üç farklı branşdan (ilgili meslek) Yeşil Sertifika Değerlendirme Uzmanı tarafından her bir branşdan (ilgili meslek) Yeşil Sertifika Değerlendirme Uzmanı en fazla iki modülü değerlendirebilecektir.

6.16.     Yeşil Sertifika Uzmanları, Yeşil Sertifika Değerlendirme Uzmanları yetkilendirmeleri yapılırken ve bu uzmanlara sistem üzerinden belge gönderilirken, bu uzmanlar tarafından değerlendirme vb. işlemler gerçekleştirilirken yetkilerine ve meslek branşlarına ilişkin validasyonlar yapılacaktır.

6.17.     Her Ana Kategori altındaki kriterler için verilebilecek puanlar açılır pencereden seçilecek olup, zorunlu kriterler sağlanmadan ve her Ana Kategoriden alınması gereken asgari puanlar alınmadan belge üretilmeyecektir.

6.18.     Puanlama yapılan kriter için sadece verilebilecek puanlar (İdare tarafından belirtilecek) açılır pencerede yer alacak olup, bu puanlar İdare yetkili kullanıcıları tarafından değiştirilebilir şekilde olacaktır.

6.19.     İdare yetkili kullanıcıları tarafından ana kategoriler, kriterler, kriter puanları, belge sınıfı puanları tarafından istenildiğinde değiştirilebilmesine ve ilave kriter ve modül eklenmesine olanak verecek şekilde olacaktır.

6.20.     YeS-TR giriş sayfasında, İdare yetkili kullanıcıları tarafından; duyurular, yetkilendirilen uzman ve değerlendirme kuruluşların listesi vb. dokümanlar yayınlanabilecektir.

6.21.     Değerlendirme kuruluşu bünyesinde çalışan Yeşil Sertifika Değerlendirme uzmanlarının yapacağı puanlamalar sonucunda alınan puana göre YeS-TR üzerinde formatı Bakanlık tarafından belirlenecek Belge oluşturulacaktır.

  1. Teslimat ve Takvim

7.1.        Yazılım sahibi Bakanlık olacak olup, yazılımın ve kodların tüm telif hakları Bakanlığa aittir.

7.2.         İşin süresi 240 (iki yüz kırk)  takvim günüdür.

 

  1. Garanti ve Bakım
    • Yüklenici, Sözleşme kapsamına giren tüm ürün ve hizmetlerin uygulamanın kabul tarihinden itibaren 2 (iki) yıl süreyle ücretsiz yerinde bakımını ve garanti hizmetini sağlayacaktır.
    • İdare 4077 sayılı Tüketicinin Korunması Hakkında Kanunda belirtilen haklarını saklı tutar.
    • Garanti kapsamındaki hizmetler uygulamayı aksatmayacak şekilde yapılacaktır.
    • Yüklenici, garanti süreci boyunca sistemde ortaya çıkabilecek sorunların giderilmesinden sorumludur.
    • Garanti süresi içinde saptanan uygulama, yazılım hatalarının ve performans yetersizliklerinin düzeltilmesi amacıyla, ya da kullanıcılardan gelen geri beslemeleri, yazılımda düzeltici, uyarlayıcı ya da iyileştirici değişiklikler yapılacaktır.
    • Yüklenici, YeS-TR Sisteminde garanti süresinde ortaya çıkan sorunların giderilmesini takiben 10 (on) gün içinde, dokümantasyonda ortaya çıkacak değişiklikleri gerçekleştirecek ve İdare’ye sadece düzeltme kısmını içerecek şekilde bu dokümantasyonu ulaştıracaktır.
    • Yüklenici, garanti süresi içerisinde, sözleşme kapsamındaki kendi sağladığı yazılımların, gelişen yeni teknolojiler doğrultusunda çıkan tüm üst ürünlerini, İdare’nin talep etmesi halinde ücretsiz olarak sağlayacaktır.
    • Garanti sürecinde ortaya çıkabilecek sorunların yoğunluğuna göre garantide istenilen hizmet koşullarını yerine getirmek için yüklenici ekstra personel çalıştırmak zorunda kalabilir. Bu durum yüklenicinin sorumluluğundadır.
    • Yüklenici, bakım ve onarım konusunda gerekli bakım-onarım ve teknik destek hizmetlerini garanti süresince ücretsiz olarak verecektir.
    • Garanti süresince yüklenici, sistemin kullanımı sırasında ortaya çıkabilecek tüm sorunları ve ihtiyaçları gidermek üzere İdare bünyesinde mesai saatleri içinde haftada 1 gün olmak üzere 1 (bir) yazılım geliştirme uzmanı bulunduracaktır. Bu personel yapacağı çalışmalarda, ilgili İdare personeli ile birlikte koordineli olarak hareket edecektir. Bu personel, İdare’ce onaylandıktan sonra göreve başlayacak, değişiklik durumunda İdare’nin onayı alınacaktır.
  2. Proje Ekibi
    • Yüklenici işin süresi boyunca yazılım işinde en az 3 (üç) yıl deneyime sahip en az 2 (iki) yazılım geliştirme uzmanını iş dahilinde görevlendirecektir.
    • Yüklenici, yukarıdaki kriterleri sağlayan personeli çalıştırdığını ve söz konusu personelin niteliğini ve deneyim süresini gösteren belgeleri yer tesliminin yapıldığı tarihten itibaren beş gün içinde idareye sunacaktır.
    • Bu personel yapacağı çalışmalarda, ilgili İdare personeli ile birlikte koordineli olarak hareket edecektir. Bu personel, İdare’ce onaylandıktan sonra göreve başlayacak, değişiklik durumunda İdare’nin onayı alınacaktır.
    • Programda kayıtlı kullanıcı yetkililerinin ve belgelerin geçerlilik tarihi idare tarafından belirlenecek sürede olacak ve bu süre idare yetkili kullanıcıları tarafından değiştirilebilecek şekilde olacaktır. Program, sertifika ve belgelerin geçerlilik sürelerini otomatik görevlerle kontrol ederek pasife alma işlemini gerçekleştirecektir.
    • İdare tarafından belirlenecek yerde ve sayıda personele 3 (Üç) gün yazılımla ilgili eğitim verilecektir.

 

 

EKLER:

Ek-1 : Yeşil Sertifika İş Akış Şemaları

Ek-2 : Web Uygulama Güvenliği Sızma Testleri İsterleri

Ek-3 : CSB.YTDB.01.07 Veri Tabanı Standartları

Ek-4 :  CSB.YTDB.01 Birlikte Çalışma Esasları Prosedürü

 

 

 

 

 

 

 

 

EK-1

YEŞİL SERTİFİKA İŞ AKIŞ ŞEMASI
Bina/Yerleşme

Sahibi/Temsilcisi

   Yeşil Sertifika Uzmanı

(YeS-TR Giriş)

Başvuru Dosyası
YeS-TR
   Değerlendirme Kuruluşu
           Yeşil Sertifika Değerlendirme Uzmanları
Başvuru Dosyası İnceleme
    YEŞİL

SERTİFİKA

YeS-TR  /   Temel Değerlendirme Kriterleri
       YeS-TR’de Değerlendirme Kuruluşu ile Anlaşma

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

YEŞİL SERTİFİKA BİNA İŞ AKIŞI

 

YEŞİL SERTİFİKA YERLEŞME İŞ AKIŞI

* Temel Değerlendirme Kılavuzunda bulunan modülleri en az üç farklı branştan (ilgili meslek) Yeşil Sertifika Değerlendirme Uzmanı tarafından,

* Her bir branştan (ilgili meslek) Yeşil Sertifika Değerlendirme Uzmanı en fazla iki modülü (İNO modülü hariç) değerlendirebilecektir.

 

                                                                                                 EK-2

WEB UYGULAMA GÜVENLİĞİ SIZMA TESTLERİ

  1. Şartname konusu Uygulama Yazılımı için ‘Uygulama Güvenliği Sızma Testleri’ gerçekleştirilmelidir.
  2. Testler OWASP literatüründe bulunan OWASP Application Security Verification Standard Level 2 sağlanacak şekilde yapılacaktır.
  3. Uygulama Sızma Testleri fiziksel olarak İdare’nin yerleşkesinde Bilgisayar, yerel ağ bağlantısı ve internet bağlantısının sağlandığı ortamda gerçekleştirilecek böylece elde edilen test bulguları hiçbir şekilde İdare dışına çıkarılmayacaktır.
  4. Uygulama Sızma Testleri otomatik araçların yanı sıra elle yapılan testleri de kapsayacak, araçların bulduğu zafiyetler ikinci kez elle kontrol edilerek doğrulanacaktır.
  5. Tespit edilen zafiyetlerin Yüklenici tarafından düzeltilmesinden sonra zafiyetlerin giderildiğinden ve zafiyetlerin giderilmesine ilişkin yürütülen çalışmaların yeni zafiyetlere neden olmadığından emin olmak üzere doğrulama denetimleri gerçekleştirilecek ve varsa problemleri giderene kadar iyileştirme ve doğrulama denetimi adımları tekrarlanacaktır. Bu adım tamamlanmadan kabul işlemlerine geçilmeyecektir.
  6. Uygulama Güvenliği Sızma Testleri sırasında kullanılmak üzere İdare tarafından temin edilen ve bu işler esnasında hâsıl olan her türlü doküman, yazılım, kod, veri, teknik ve gizli bilgi İdare’nin inhisarında olup; anılan bilgi, belge, doküman, kod ve yazılımları gizli tutacak ve muhafaza edilecek ve bunlar hakkında, İdare’nin izin vermesi hali dışında, kısmen veya tamamen üçüncü şahıs veya kuruluşlara doğrudan veya dolaylı hiçbir şekilde paylaşım ve açıklama yapmayacaktır.
  7. Uygulama Güvenliği Sızma Testleri sonuçlarına istinaden Yüklenici tarafından yapılacak düzeltmeler sonucunda Yazılımın işlevsel isterlerinde değişiklik olmayacaktır.
  8. İdare Güvenlik cihazlarını olağan biçimde çalıştırmaya devam edecek, Güvenlik Test Uzman(lar)ının işini kolaylaştıracak ya da zorlaştıracak herhangi bir yeni düzenleme yapılmayacaktır. Ayrıca Güvenlik Test Uzman(lar)ına İdare’nin güvenlik uygulamalarına ilişkin herhangi bir ön bilgi verilmeyecektir.
  9. Uygulama Sızma Testleri esnasında tüm iletişim Güvenlik Test Uzman(lar)ı, İdare Proje Yöneticisi, Yüklenici Proje Yöneticisi ve Bilgi Güvenliği Şube Müdürlüğü arasında olacaktır.
  10. Uygulama Sızma Testlerine ilişkin sonuç raporları sözlü açıklamaya gerek bırakmayacak biçimde net olarak düzenlenmelidir. Güvenlik Test Uzman(lar)ı tarafından hazırlanacak Uygulama Yazılımı Güvenlik Testleri raporu, en az aşağıdaki konuları kapsayacaktır:
  • Yönetici özeti
  • Denetim çalışması esnasında incelemeye ve değerlendirmeye esas olan hususlar (araştırılan zafiyetler, yapılan sızma denemeleri v. b.)
  • Kanıtları ile tespit edilen Güvenlik Problemleri,
  • Çözüm önerileri (mümkün olan durumlar için alternatifli).
  1. Güvenlik Test Uzman(lar)ı ilgili testleri gerçekleştirmelidir.
  2. Yüklenici yeni geliştirilen uygulamalar için TSE tarafından onaylı A ve B sınıfı firmalara sızma testi ve zafiyet tarama testlerini yaptıracak ve test sonuçlarını idareye teslim edecektir.

Güvenlik İle İlgili Diğer Hususlar

  1. Yüklenici yazılım tasarımını Bakanlık Bilgi Güvenliği Politikalarına (Kullanıcı Erişim Yönetimi, Parola, Şifreleme v.b.) uygun olarak Bilgi Güvenliği Şube Müdürlüğü ile koordine olarak yapmalıdır.
  2. Bakanlık Bilgi Güvenlik Politikaları gereği Yükleniciye Uzaktan Erişim (VPN) sağlanmayacaktır.
  3. Yüklenici teklif edeceği tüm uygulama yazılımlarının ve güncellemelerinin bütün kaynak kodları ile Yazılı Geliştirme süreci için gerekli bütün dokümantasyonu İdareye 2 (iki) kopya CD halinde elektronik ortamda teslim edecektir. Ayrıca Yüklenici geliştirdiği Yazılım ile ilgili kullanmış olduğu her türlü kullanıcı kodu, parola, function, procedure, trigger ve veri tabanı nesnelerine ait kodları açık ve şifrelenmemiş olarak İdareye teslim edecektir. Bakanlık kaynak kodları derleyerek kabul işlemlerine başlayacaktır.
  4. Hizmetin gerçekleşmesi için, kaynak kodlarda kullanılmış 3. Parti yazılımlar var ise Bakanlık adına lisanslı olarak İdare’ye teslim edilecektir.
  5. Yüklenici ‘Kurumsal Gizlilik Anlaşması’ ve bu projede görev alacak tüm Yüklenici çalışanları ‘3. Taraf Çalışanları Gizlilik Anlaşması’nı imzalayacaktır.

 

 

 

 

 

 

 

 

 

 

 

                                                                                                                                                          EK-3

 

VERİ TABANI STANDARTLARI

 

 

İçindekiler

 

1       Amaç. 23

2       Kapsam.. 23

3       Kısaltmalar ve Tanımlar 23

4       Veri Tabanı Standartları 24

 

  1. Amaç

Bu doküman, Çevre ve Şehircilik Bakanlığı Veri Tabanı Standartlarını belirlemek amacıyla oluşturulmuştur.

  1. Kapsam

Bu doküman, Çevre ve Şehircilik Bakanlığı’nı kapsamaktadır.

  1. Kısaltmalar ve Tanımlar
TerimTanım/Açıklama
BakanlıkT. C. Çevre ve Şehircilik Bakanlığı

 

 

  1. Veri Tabanı Standartları
    • Bakanlığımızda MSSQL, ORACLE ve PostgreSQL veri tabanlarına destek verilebilmektedir.
    • Uygulama altyapıları veri tabanlarından bağımsız şekilde geliştirilecektir. İdarenin altyapı değişikliğine gitmesi durumunda konfigürasyon ayarlarının değiştirilmesiyle farklı veri tabanları arasında geçiş yapılabilmelidir.
    • İdare tarafından önerilen kullanım dili Türkçedir. Veri tabanı nesnelerinde Türkçe kelimeler kullanılırken Türkçe karakterler (ı, ğ, ü, ş, ö, ç) kullanılmamalıdır. Veri tabanı ögeleri isimlendirilirken anlamlı kelimeler kullanılmalıdır. Fakat projede farklı dil kullanımını gerektiriyor ise işe başlanmadan kullanılacak dil planlanarak tüm veri tabanı bileşenlerinde seçilen dil kullanılmalıdır. Kısmi olarak farklı dillerde isimlendirmeler kesinlikle yapılmamalıdır.
    • İngilizce için; COMPUTER_INFORMATION, PERSONAL_INFORMATION vs.
    • Türkçe için; BILGISAYAR_BILGILERI, KISI_BILGILERI gibi.
    • Veri tabanı ögeleri isimlendirilirken kullanılan veri tabanı sisteminin kabul görmüş notasyonlarından biri tercih edilmelidir ve tüm tasarımda bu notasyona sadık kalınmalıdır. İdare tarafından önerilen SQL Server için Pascal Casing, Oracle için Bütün harfler büyük harf olarak yazılmalıdır. Her kelimenin arasında altçizgi (_) kullanılmalıdır.
    • SQL Server: KullaniciYetkiRol, KullaniciRol, TrgKullaniciYetki gibi
    • ORACLE: KULLANICI_YETKI_ROL, KULLANICI_ROL, TRG_KULLANICI_YETKI
    • Veri tabanı ögeleri isimlendirilirken tablo dışındaki diğer bileşenler için kabul görmüş ön ekler eklenmelidir. Otomatik isimlendirmeler yapılmamalıdır.
    • Trigger: TRG_PERSONEL_BILGI,
    • View: VW_PERSONEL_BILGI,
    • Sequence: SEQ_PERSONEL_BILGI,
    • Index: IDX_PERSONEL_PERSONEL_ID,
    • Primary Key: PK_PERSONEL
    • Veri tabanı tasarımı yapılırken, kullanılan veri tabanı ilişkisel veri tabanı ise normalizasyon kurallarına riayet edilmelidir.
    • Veri tabanı tasarımında tüm bileşenler performans kriterlerine uygun tasarlanmalıdır. Bu tasarımlar Veri Yönetimi Şube Müdürlüğünce mutabık kalınarak sonlandırılmalıdır. Örneğin;
    • Select cümleleri içerisinde yıldız (*) kullanılmamalıdır.
    • Gereksiz veri sorgusundan kaçınılmalıdır.
    • OLTP veritabanlarında sorgular en geç 10 saniye içerisinde sonuç kümesine dönecek şekilde hazırlanmalıdır.
    • İlişkisel veri tabanı sistemleri üzerinde pdf, excel, image benzeri dosyalar tutulmamalıdır.
    • Uygulama tarafında kritiklik ve/veya hukuki açılardan log bilgisi tutulması gereken durumlarda Yazılım Teknolojileri Daire Başkanlığı – Veri Yönetim Şube Müdürlüğü ile irtibat kurulmalı ve bu verilerin değişikliklere kapalı (Non-updateable, Non-Deletable) yapılarda tutulması sağlanmalıdır.
    • Elle yazılmış SQL sorgularında okunabilirliği arttırmak açısından SQL’ler formatlanmalı ve alias’lar düzgün bir şekilde isimlendirmelidir.

Örneğin;

SELECT

   TESIS.ID AS TESIS_ID,

    TESIS.ADI AS TESIS_ADI,

    IL.ADI AS IL_ADI,

    ILCE.ADI AS ILCE_ADI

FROM COB_TESIS TESIS

    LEFT JOIN COB_IL IL ON (IL.ID= TESIS.IL_ID)

    LEFT JOIN COB_ILCE ILCE ON (ILCE.ID=TESIS.ILCE_ID)

WHERE

    TESIS.IL_ID IN (34,6)

  • Bütün tabloların bir birincil anahtarı olması gerekmektedir. Genellikle bu anahtar tablonun “IDENTITY” sütunudur ve “ID” olarak isimlendirilir. Olabildiğince birden fazla alanın birincil anahtar yapılandırılmasından kaçınılmalıdır.
  • Veri tabanı sistemleri üzerindeki hesapların yönetimi, hesap açılması, veri erişimi talebi, toplu veri girişi veya test ortamından gerçek ortama veri tabanının aktarılması, yedek alınması, yedekten dönülmesi, şifre yönetimi konularında Yazılım Teknolojileri Dairesi Başkanlığı – Veri Yönetimi Şube Müdürlüğü ile mutabık kalınarak ilgili işlemler yapılmalıdır.
  • Veri düzenliliği, performans sorunları ve oluşabilecek risklerden dolayı veri tabanı üzerinde DB Link tanımlamaya izin verilmemektedir.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

                                                                                                                                   EK-4

 

BİRLİKTE ÇALIŞMA ESASLARI PROSEDÜRÜ

 

İçindekiler

 

1     GİRİŞ. 3

1.1      Amaç. 3

1.2      Kapsam.. 3

2     GENEL HUSUSLAR.. 3

3     YAZILIM GELİŞTİRME SÜREÇLERİ 3

4     YTDB GÖREVLERİ 3

5     ORTAK STANDARTLAR.. 4

5.1      Geliştirme Standartları 4

5.2      Veri tabanı Standartları 5

5.3      Bilgi Güvenliği 5

5.4      Oturum Yönetimi 5

5.5      Yetkilendirme. 6

5.6      Arayüzler 6

5.7      Mekânsal Veri Yönetimi 6

5.8      Bilgilendirme, Uyarı, Hata Mesajları ve Hata Yönetimi 7

5.9      Sürüm Takibi 7

5.10    Entegrasyon ve Servisler 8

5.11    Test İşlemleri 8

5.12    Kütüphaneler/Lisanslar 8

5.13    Diğer Hususlar 9

6     BİRLİKTE ÇALIŞMA İLKELERİ 9

6.1      Kurum Kaynaklarına Erişim.. 9

6.2      Veri Tabanı Sistemlerine Erişim.. 9

7     İLGİLİ DOKÜMANLAR.. 11

 

 

 

  • GİRİŞ
    • Amaç

Bu doküman, T.C. Çevre ve Şehircilik Bakanlığı’nın kurum içi ve kurum dışı kaynaklarla geliştirilen ve idame ettirilen yazılımların tutarlı ve sürdürülebilir bir yapıda geliştirilmesi, paydaşlar ile verimli çalışma ortamının oluşmasına yönelik uyulacak temel kuralların belirlenmesi amacıyla hazırlanmıştır.

Bu esaslar ile belirli bir yazılım geliştirme kültürünün oluşması, çalışma ortamına katılan geliştiricilerin uygulamaya adaptasyonunun kolaylaşması, yazılımların sürdürebilirliğinin artması ve bakım maliyetlerinde tasarruf edilmesi hedeflenmektedir.

  • Kapsam

T.C. Çevre ve Şehircilik Bakanlığı’nda geliştirilecek ve/veya bakımı yapılacak olan yazılımlara ilişkin, yazılım geliştirme kuralları, sürekli entegrasyon ve süreç yönetimi ürünleri, mimari ve tasarım kuralları, test süreçleri ve entegrasyon yöntemleri, veri tabanı tasarım ve kullanım kuralları, dokümantasyon işlemleri ile hata ve günlükleme işlemleri, isimlendirme kuralları ve birlikte çalışmaya ilişkin kurallar bütünü bu dokümantasyonun kapsamını oluşturmaktadır.

  • GENEL HUSUSLAR

Uygulamalar Bakanlık tarafından sunulacak olan Microsoft. Net platformu üzerinde çalışan C# dilinde geliştirilmiş framework ile geliştirilecektir. Framework’e ilişkin bilgiler CBS.YTDB.01.02 CSBFramework API ve Kullanımı dokümanında mevcuttur.

Mevcut Framework’ün geliştirilecek sistemin ihtiyaçlarını karşılamaması veya eksik kalması durumunda, Yüklenici Framework üzerimdeki gerekli iyileştirmeyi yapacaktır.  Uygulama ihtiyaçları farklı teknolojilerin kullanılmasını gerektiriyor ise, yüklenicinin bu gereksinime ilişkin raporu ve Yazılım Teknolojileri Daire Başkanlığının onayı ile farklı teknoloji seçimi yapılabilir.

  • YAZILIM GELİŞTİRME SÜREÇLERİ

Yazılım geliştirme süreçleri; kapsam analizi, analiz ve tasarım çalışmaları, yazılım geliştirme işlemleri, test işlemleri, uygulama ve bakım süreçlerini kapsamaktadır. CSB.YTDB.01.01 Yazılım Geliştirme Süreçleri dokümanında tarif edilmiştir. Yazılım geliştirme süreçlerine ait akış CSB.YTDB.01.09 Yazılım Geliştirme Prosesi dokümanında tarif edilmiştir.

  • YTDB GÖREVLERİ

Yazılım Teknolojileri Dairesi şubelerinin görev ve sorumlulukları CSB.YTDB.01.04 Rol; Görev Ve Sorumluluk Dağılımı  dokümanında tarif edilmiştir. Rol, Görev ve Sorumluluklara ilişkin görev grupları  CSB.YTDB.01.03 Görev Grupları  dokümanında tarif edilmiştir. Yazılım Geliştirme işlerine ilişkin bilişim teknik esasları CSB.YTDB.01.05 Teknik Şartname Esasları  (Yazılım Geliştirme Şartnameleri) dokümanında tarif edilmiştir. Bakımı yapılacak olan yazılımlara ilişkin bilişim teknik esasları CSB.YTDB.01.06 Teknik Şartname Esasları  (Yazılım Bakım Şartnameleri) dokümanında tarif edilmiştir.

  • ORTAK STANDARTLAR
    • Geliştirme Standartları
      • Projelerde N katmanlı mimari kullanılarak servis tabanlı tasarlanmalıdır ve İş katmanı diğer katmanlarda soyutlanmalıdır.
      • Geliştirilen kod ve/veya düzenlenen kod mümkün olduğu kadar basit ve okunaklı olmalıdır.
      • İç içe sınıflar hariç olmak koşulu ile her bir sınıf, ara yüz, “enum”, ”struct” kendine ait ayrı bir dosya içerisinde mümkün olduğunca basit ve okunaklı tutulmalıdır.
      • Kod içerisinde ö, ç, ş, i, ü, ğ, ı gibi Türkçe karakterler sınıf, metot ve değişken adlarında kullanılmamalıdır.
      • Web servisler, kullanıcı girdileri, dosya gibi harici kaynaklardan sisteme kabul edilecek olan her türlü bilgi/nesne öncelikle uygulamanın iş katmanında doğrulanmalıdır.
      • Bir fonksiyonun içinde aynı anda birden fazla farklı işin gerçekleştirilmesinden kaçınılmalıdır. Fonksiyonlar olabildiğince tek bir işi yerine getirmek için yazılmalıdır.
      • Proje içerisindeki tüm bileşenlerde (Class, Method, Property, Değişken vb.) isimlendirmeler proje başlangıcında geliştirilen dilin kabul görmüş notasyonlarından biri belirlenmelidir. Projenin tamamında bu notasyona sadık kalınarak geliştirme yapılmalıdır. (Java Notation, Pascal Case, Hungarian Notation vs.)
      • İdare olarak önerilen dil Türkçedir ve tüm bileşenler Türkçe isimler verilerek proje tamamlanmalıdır. Geliştirme döneminde hangi dil kullanılırsa kullanılsın İdareye sunulan dokümanlar(analiz ve tasarım raporları, geliştirmeye ilişkin dokümanlar vb.) Türkçe olarak teslim edilecektir.
      • İsimlendirmelerde ilgili bileşeni mantıksal olarak ifade etmeyen, mantıksız hiçbir etiket isim vb. kullanılmamalıdır. Ayrıca etiketlendirmelere veya isimlendirmelere projenin tamamında sadık kalınmalıdır.
      • Kodlar içerisinde girinti, boşluk, açıklama satırları gibi kod düzenini ilgilendiren tüm konulara dikkat edilmelidir. Örneğin; Boşluk (Space) karakteri ile girintiler ayarlanmamalıdır, Açıklama satırları geliştirilen dile özgü kabul görmüş şekilde yazılmalıdır, Kodlarda olabildiğinde açıklama satırları (Comment) zengin olmalıdır. Kodlar bloklar haline getirilmelidir.
      • Projeler içerisinde statik ve gereksiz konfigürasyonlar, sayı, metin, referans dosyaları, projeyi ilgilendirmeyen bileşenler bulunmamalıdır.
    • int SorguZamanPeriyodu=5000;
    • string BaglanilacakVeritabaniCumlesi=”localhost”;
    • string BaglanilacakIp = “10.117.100.10”;

gibi kod içerisinde statik atamalar olmamalıdır.

  • Sayısal değerler yerine enum, metinler ise resource dosyalarında tutulmalıdır. Path için kullanılan tüm tanımlar uygulama çalışma dizini referans alınarak belirtilmelidir. Özellikle bir path verilmesi gerekiyor ise bunlar konfigürasyon dosyaları içerisinden çağrılmalıdır.
  • Projeye ilişkin tüm kaynaklar açısından performans kriterleri göz önünde bulundurulmalıdır. İdare ile mutabakat sağlanarak gerekli performans, stres testleri yapılmalıdır. Örneğin;
  • string birleştirme işlemlerinde StringBuilder kullanılmalıdır.
  • Static olması gereken değişken veya metod static olmalıdır.
  • Kodun gereksiz veya hiçbir zaman çalışmayacak kod bloklarını barındırması gibi.
    • Projede geliştirilen ara yüzler kolay öğrenilebilir ve kullanılabilir yapıda ayrıca kullanım kolaylığı açısından gerekli işlevselliğe sahip olmalıdır.
    • İş akışı ve süreç yönetimi, birimler, aktörler, servis adresi gibi zamanla değişme özelliği içeren tüm süreç, olaylar ve durumlar dinamik olarak tasarlanacak, sistem yöneticisi tarafından yönetilebilir olacaktır. Kod içerisine gömülü ayar, parametre, tanım ve akışlara yer verilmeyecektir.
  • Veri tabanı Standartları

Veri tabanı standartları, CSB.YTDB.01.07 Veri Tabanı Standartları dokümanında tarif edilmiştir.

  • Bilgi Güvenliği

Bilgi Güvenliği standartları, CSB.YTDB.01.08 Bilgi Güvenliği Standartları dokümanında tarif edilmiştir.

  • Oturum Yönetimi
    • Bakanlığın oturum yönetimine ilişkin bir mekanizma sunması durumunda, uygulama ihtiyaçları aksi bir durum gerektirmiyorsa uygulamalar bu yapı ile entegre çalışacaklardır.
    • Oturum yönetimini uygulama yönetiyor ise, oturum tekil tanımlayıcısının (Session ID) gizliliği ve güvenliliği sağlanmalıdır.
    • Oturum yönetimini uygulama yönetiyor ise, Oturum yönetimi için kullanılan ve uygulamayı kullanan bütün kullanıcılar için tekil olması gereken değerler (session id, token v.b.) güçlü bir rastgele veri üreticisinden temin edilmeli ve tahmin edilemez derecede karmaşık olmalıdır.
  • Yetkilendirme
    • Uygulama, kullanıcının erişim yetkisi bulunmayan veri, kaynak, sayfa, modül, fonksiyon ve bölümlere erişimini engelleyecek şekilde yapılandırılmalıdır.
    • Uygulamada tutulacak yetkilendirmeler için sistem hiyerarşik yetkilendirmeyi desteklemelidir. Bir kullanıcı grubu, başka bir kullanıcı grubuna üye yapılabilmelidir. Yetkiler üye olunan gruptan otomatik olarak devralınabilmelidir. Üye olunan gruptan dolayı sahip olunan yetki ilgili kullanıcı veya grup için gerektiğinde yasaklanabilmelidir.
    • Uygulamada tutulacak yetkilendirmeler için tüm kullanıcılara ait ortak işlemleri tanımlayabilmek için, tüm kullanıcılar (Everyone, Genel vb.) sistem rolü olmalıdır ve bu rol standart olarak tüm kullanıcılara verilmelidir.
  • Arayüzler
    • Sistem, güncel zengin içerikli internet uygulama teknolojileri kullanılarak web tabanlı mimaride geliştirilmelidir. İstemci tarafı güncel ve yaygın kullanılan web tarayıcılarda (Internet Explorer ve Firefox, Chrome, vb.) sorunsuz ve aynı fonksiyonellikte çalışmalıdır. Uygulama mobil cihazlardan sorunsuz bir şekilde erişilebilir ve işlevlerini yerine getirebilir olmalıdır. Ancak geliştirilecek uygulamanın farklı arayüz gereksinimleri varsa(Form, consol, soket vb.), bu durum gerekçeleri ile beraber yazılı olarak Yazılım Teknolojileri Dairesi Başkanlığına sunulur, onay alınmasına müteakip geliştirme yapılabilir.
    • Geliştirilecek arayüzlerde, Bootstrap, Semantic UI, Yahoo YUI gibi güncel kabul görmüş frontend framework altyapıları tercih edilmelidir. Arayüzler Responsive yapıda, HTML5 CSS3 teknolojileri kullanılarak geliştirilecektir. Güncel teknolojiler kullanılarak, Bakanlık kurumsal kimliği, görev alanı, geliştirilecek uygulamanın niteliği dikkate alınarak uygun ve uyumlu bir ara yüz tercih edilmelidir.
    • Geliştirilecek ara yüzlerde, veri girişleri sırasında doğrulamalar, kullanım yönergeleri ve yardım metinleri yer almalıdır. Geliştirilecek kullanıcı ara yüzü kolay öğrenilebilir ve kullanılabilir yapıda olmalı, ekranlar standart bir görünüme sahip olmalıdır.
    • Uygulamadaki tüm ara yüz/sayfaların görünümü bütünleşik bir yapı içinde tasarlanmalı ve tüm nesneler uyumlu, yazıtipi, ikon, renk, stil kullanımları sayfalar arasında tutarlı ve kullanıcıyı yormayacak bir bütünlük içinde olmalıdır.
    • Ara yüzlerin veri tabanı sunucusuna direk bağlantısı olmayacaktır.
    • Uygulama kodlama aşamasında, sayfa, sınıf, fonksiyon, metod vb. içerisine, metoda ait geliştirme notu, açıklama ve bilgilendirmeler ekleyecektir.
  • Mekânsal Veri Yönetimi
    • Uygulamanın ihtiyaç duyacağı mekânsal veri ve altyapılar, Bakanlığın sunacağı altyapılar (Atlas, Kent Bilgi Sistemleri vb.) ile entegre çalışacaktır. Ancak geliştirilecek uygulamanın farklı gereksinimleri varsa bu durum gerekçeleri ile beraber yazılı olarak Yazılım Teknolojileri Dairesi Başkanlığına sunulur, onay alınmasına müteakip geliştirme yapılabilir.
  • Bilgilendirme, Uyarı, Hata Mesajları ve Hata Yönetimi
    • Uygulamalarda, hatalı verilerin oluşmasını engellemek için önlemler alınacaktır. Veri bütünlüğü gerektiren işlemlerde verilerin tutarlı bir şekilde (transactional integrity) veri tabanına yazılmasını sağlayacaktır.
    • İdarenin talep etmesi durumunda, bildirim, mesaj ve hatalar sistem içerisinde kolaylıkla takip edilebilir yapıda kod ve numaralar verilmelidir.
    • Hata durumunda; aktif kullanıcı, ip adresi, zaman bilgisi, hata numarası, hata mesajı, hata detayı(hatanın oluştuğu sayfa bilgisi, hatanın oluştuğu fonksiyon/procedure, sayfadaki nesneler ve kullanıcı girdileri vb.) bilgileri (kişisel verilerin korunması kanunu esasına göre) tutulmalıdır. Bu kayıtlara sistem yöneticisi tarafından uygulama üzerinden erişilebilecek, sorgulanabilecek ve sorgu sonuçları Word/Excel/PDF gibi formatlarda kaydedilebilmelidir.
    • Geliştirilen uygulamalarda son kullanıcının anlamayacağı sistem tarafından otomatik oluşan hata, bilgilendirmeler kullanıcının anlayacağı şekilde yansıtılarak günlüklenmelidir.
    • İdarenin talep etmesi halinde yazılımların olası hataları veya kullanıcı sorunlarına yönelik iş takip uygulaması kullanılacaktır. Bakanlıkta hali hazırda kurulu bulunan sistem veya yüklenici tarafından kurulacak merkezi bir yapı üzerinden tüm proje süreci, hata ve akışlar izlenebilir, raporlanabilir olacaktır.
  • Sürüm Takibi

Proje geliştirme süreci İdare tarafından sağlanan altyapı ile aşağıda tanımlanan süreçler yürütülmelidir:

  • Yazılım geliştirme ve yazılımda yapılan değişikliklerin takip edilebilmesi için İdarenin sağladığı kaynak kod yönetimi uygulaması kullanılmalıdır.
  • Kaynak kod yönetimi uygulamasında test ile canlı ortam oluşturularak uygulama geliştirilmelidir.
  • Canlı ortam daima tamamlanan kodun son ve kararlı halini içermelidir.
  • Bakanlık imkânları ile geliştirilen uygulamalar için oluşturulan tüm iş tanımları iş takip uygulaması aracılığıyla yönetilir.
  • Geliştirilen uygulamanın mutlaka test ve canlı yayınlarının olması gerekmektedir.
  • İdare tarafından sağlanan kaynak kod yönetimi uygulaması kullanılmadığı takdirde ilgili uygulamanın geliştirme ve istikrarlı sürümleri ayrıca İdarenin kaynak kod yönetimi uygulamasına eklenerek yayınlama süreci yapılmalıdır.
  • Geliştirilen uygulamaya ilişkin tüm kaynak kod gönderimlerinde ilgili değişikliğe ait talep numarası veya talep açıklaması ilgili gönderimle ilişkilendirilmelidir.
  • Entegrasyon ve Servisler
    • Uygulamada sunulacak veya kullanılacak servisler Web Servis Havuzu ürünüyle uyumlu ve entegre şekilde çalışmalıdır.
    • Kurum bünyesindeki iç ve dış servislerin kullanımında, uygulama sorumluları, eriştikleri bilgilerin gizliliğini, bütünlüğünü ve erişilebilirliğini korumakla gerekli tedbirleri almak/aldırtmakla yükümlüdür.
    • Servislere erişim ve kullanım ile ilgili bilgilendirme ve yönlendirmeler ilgili birimdeki teknik personel tarafından yürütülür.
    • Uygulamalar tarafından yapılan tüm istekler hem uygulamanın kendisi hem de Web Servis Havuzu tarafından kayıt altına alınır. Bu kayıt bilgisinde asgari, uygulama iç kullanıcısı kullanıcı adı, IP adresi, yapılan işlem, zaman bilgisi, kullanılan servis ve metot bilgisi vb. servis çağrılarını yapan kullanıcı bilgilerini içerir. Kayıt tutulmamasından doğacak yasal sorumluluk servisi talep eden birime aittir.
    • Geliştirilen uygulamalardaki servis günlük kayıtları, Yazılım Teknolojileri Dairesi Başkanlığı görüşleri doğrultusunda gerçekleştirilmelidir.
  • Test İşlemleri

Uygulama ihtiyaç analizi sonucunda ortaya konulan ve kullanıcı ihtiyaçlarına göre şekillenen test senaryoları, geliştirilecek yazılımın ihtiva etmesi gereken yazılım özelliklerine dair test işlemleri aşağıda yer almaktadır.

  • İşlevsel gereksinimlerin test edildiği fonksiyon testleri,
  • Bir işlemin aynı anda birden çok kez yapılması ve sonuçların izlenmesine bağlı stres testleri,
  • Sistemin hangi koşullarda ve noktada zorlanacağını veya çökeceğini tespit için yük testleri,
  • Kullanıcı ara yüzlerinin beklentilere cevap verip vermediğini ölçmek için kullanılabilirlik testleri,

yapılarak, testlerin raporu Kuruma sunulacaktır.

  • Kütüphaneler/Lisanslar
    • Uygulama geliştirmede kullanılan kütüphaneler kaynak kodlarıyla ve lisanslı ise lisanslarıyla birlikte teslim edilecektir. Üçüncü parti ticari kütüphanelerin lisansları ve destek süreleri azami proje ömrünü kapsamalı ve Bakanlık adına geliştirici sürümü tescil ettirilmelidir.
    • Uygulama geliştirme platformunun doğal bileşenleri dışında, kaynak kodu verilmeyen herhangi bir bileşen, modül ve kütüphane kullanılamaz.
  • Diğer Hususlar
    • İdarenin sağlayacağı tüm sunucularda 3. parti yazılımlar, veri tabanı yönetim sistemi yazılımları, uzak bağlantı araçları ve sunucu ile ilintili olmayan diğer uygulamalar sunuculara yüklenmemelidir.
    • Geliştirilen uygulamalarda çıkan hatalar aşağıda yer alan tabloya göre seviyelendirilerek İdarenin belirleyeceği sürelerde çözüme kavuşturulacaktır.

 

ÖncelikAçıklama
Seviye 1Kritik: Sistem çalışmıyor, mutlaka düzelmesi gerekir.
Seviye 2Önemli: Hata sistemi olumsuz etkiliyor, bazı bileşenler çalışmıyor, düzeltilmesi gerekir. Performans ile ilgili problemler var.
Seviye 3Minör: Ana fonksiyonalite çalışıyor, sorunsuz bir sonuç üretilebiliyor, ancak işleyiş daha iyi olabilir. Pilota veya üretim ortamına engel değildir.
Seviye 4Basit: Hata sistemde sorun yaratmamaktadır. Pilota veya üretim ortamına engel değildir.
  • BİRLİKTE ÇALIŞMA İLKELERİ
    • Kurum Kaynaklarına Erişim
      • Kurum kaynaklarına erişim için ilgili birimlerin talep edeceği formların (sunucu talep formu, kullanıcı tanımlama ve erişim formu, mesai sonrası veya hafta sonu çalışmaya için izinlerin alınması vb.) doldurulması ve izinlerin alınması esastır.
      • Bakanlık Bilgi Güvenliği politikaları çerçevesinde kurum dışı sürekli erişime (Uzaktan Erişim, VPN, TeamViewer vb.) izin verilmemektedir. İdarenin onayı ile olağanüstü durumlarda, belirli zaman aralığında kısıtlı uzaktan erişime izin verilmektedir. Bunun için İdareden proje, tarih ve saat aralığı ve nereye erişmek istediği belirtilerek yazı ile izin alınması gerekmektedir.
    • Veri Tabanı Sistemlerine Erişim
      • Veri tabanlarına erişim talebi, Veri Tabanı Erişim Talep Formu doldurulup imzalatılarak resmi bir şekilde yapılmalıdır.
      • Test veya sunum çalışmaları test veri tabanı üzerinden yapılmalıdır. Yazılım geliştirme ve test çalışmaları gerçek veri tabanı üzerinde yapılmayacaktır.
      • Pdf/Excel/Word/Image türündeki dosyalar uygulamanın çalıştığı sunucuda değil Bakanlık tarafından belirlenen ilgili sunucular üzerinde saklanacaktır. Veri tabanı tasarlanırken bu tür verilerin dosya sunucu da saklanıp erişileceğine göre yapılmalıdır.
      • Yetkilendirme işlemleri, veri sahibinin onayı doğrultusunda Yazılım Teknolojileri Dairesi Başkanlığı – Veri Yönetimi Şube Müdürlüğü tarafından veri tabanı objelerine yetki verilerek gerçekleştirilecektir.
      • Uygulama tarafında kritiklik ve/veya hukuki açılardan log bilgisi tutulmalıdır ve Yazılım Teknolojileri Dairesi Başkanlığı – Veri Yönetimi Şube Müdürlüğü ile irtibat kurulmalı ve bu verilerin değişikliklere kapalı (Non-updateable, Non-Deletable) yapılarda tutulması sağlanmalıdır.
      • View oluşturma işlemleri, Yazılım Teknolojileri Dairesi Başkanlığı – Veri Yönetimi Şube Müdürlüğü yetkililerince performans değerlendirme kriterlerine uygunsa yapılacaktır.
      • Verilen kullanıcı adı ve parola, ilk girişte değiştirilmek zorundadır. Yeni parola güvenlik ilkelerine uygun olarak belirlenmelidir.
      • Parolalar CSB.BGYS.PR.30_Parola Ve Gizli Kimlik Bilgisi Kullanımı Prosedürü’ne uygun olarak üzere belirli zaman aralıklarında yenilenmelidir. Uygulama geliştiren firma veya kurum personelinin bu durumun farkında olması ve yazılım tasarımını yaparken parola esnekliğini güvenli bir şekilde sağlayacak bir metot kullanmaları gerekmektedir.
      • Parola değişikliklerinden öncelikle proje sahibi birim sorumludur. Bu nedenle proje devri veya personel değişimi durumunda parolaların yenilenmesi mutlaka sağlanmalıdır.
      • Veri tabanı parolaları uygulama tarafında açık bir şekilde saklanmamalı ve kullanılmamalıdır.
      • Veri tabanı yedekleri yetkisi olmayan kişilerle paylaşılmamalıdır.
      • Gerçek (Production) veri tabanlarındaki tasarım değişiklikleri (ddl) hizmet kesintilerini önlemek için mesai saatleri dışında yapılmak zorundadır.
      • Toplu veri girişi (Import/backup) yapılmak üzere kuruma teslim edilen dosya şu kuralları sağlamalıdır:

ORACLE için;

  • Veri datapump (expdp) yoluyla komut satırından alınmalıdır.
  • Log dosyası veri dosyası ile birlikte teslim edilmelidir.
  • Veri yedeği şema ya da tablo seviyesinde alınmalıdır.

SQL SERVER için;

  • Veri tabanı backup’ı full alınmalıdır.
  • İLGİLİ DOKÜMANLAR
  • Yazılım Geliştirme Süreçleri CSB.YTDB.01.01 Yazılım Geliştirme Süreçleri dokümanında mevcuttur.
  • Framework ile alakalı bilgiler CSB.YTDB.01.02 Framework API ve Kullanımı dokümanında mevcuttur.
  • Görev grupları CSB.YTDB.01.03 Görev Grupları dokümanında mevcuttur.
  • Yazılım Teknolojileri Dairesi şubelerinin görev ve sorumlulukları CSB.YTDB.01.04 Rol; Görev Ve Sorumluluk Dağılımı  dokümanında tarif edilmiştir
  • Geliştirilecek olan yazılımlara ilişkin bilgiler CSB.YTDB.01.05 Teknik Şartname Esasları  (Yazılım Geliştirme Şartnameleri) dokümanında mevcuttur.
  • Bakımı yapılacak olan yazılımlara ilişkin bilgiler CSB.YTDB.01.06 Teknik Şartname Esasları  (Yazılım Bakım Şartnameleri) dokümanında mevcuttur.
  • Veri tabanı standartları CSB.YTDB.01.07 Veri Tabanı Standartları dokümanında mevcuttur.
  • Bilgi güvenliği standartları CSB.YTDB.01.08 Bilgi Güvenliği Standartları dokümanında mevcuttur.
  • Yazılım geliştirme süreçlerine ait akış CSB.YTDB.01.09 Yazılım Geliştirme Prosesi dokümanında mevcuttur.