Cet
Amendement # 05
est soulevé pour prolonger la date de cloture pour la soumission des propositions.
La date de clôture pour la soumission des propositions révisé sera :
Le 13
novembre, 2020 @ 14h00, Heure normal de l'Est (HNE)
_________________________
Cet
Amendement # 04
est soulevé pour répondre aux neuf questions suivantes:
En ce qui concerne l’exigence de Statistique Canada, Intégrité des signatures en vertu de l’article 5.8.3, il est
« Lorsque la solution doit garantir la non-répudiation des données, pendant le transport ou en stockage, une signature numérique est requise.
Elle doit pouvoir respecter les normes du gouvernement fédéral, comme le soutien à l’intégrité des fichiers en utilisant des signatures. »
Question a)
Pouvez-vous s’il vous plaît clarifier cette exigence ainsi nous diriger vers la norme que vous faites référence?
Réponse a)
Les normes relatives aux informations A et B non classifiées, protégées et protégées peuvent être trouvées ici :
https://www.cyber.gc.ca/fr/orientation/algorithmes-cryptographiques-pour-linformation-non-classifie-protege-et-protege-b
Vous trouverez ici des conseils supplémentaires sur les réseaux et les transports :
https://www.cyber.gc.ca/fr/orientation/conseils-sur-la-configuration-securisee-des-protocoles-reseau-itsp40062
Question b)
Comment cela s’applique-t-il à un service géré en nuage pur ?
Réponse b)
Le service doit utiliser des algorithmes que la Centre canadien pour la cybersécurité juge appropriés pour les informations B protégées.
Si le fournisseur de solutions prend en charge d’autres normes plus strictes, veuillez les inclure dans votre réponse et fournir des détails qui permettront à Statistique Canada d’examiner.
________________________
Cet
Amendement # 03
est soulevé pour répondre aux neuf questions suivantes:
Questions:
Section 5.8.3 - Vérification
La solution
doit
vérifier l’intégrité (p. ex. l’exactitude) des données pendant le transport ou en stockage (c.-à-d. en utilisant possiblement un hachage sécurisé). La solution
doit
pouvoir empêcher la modification ou l’utilisation de métadonnées ou de données, sauf par le personnel autorisé.
Où la «validation» doit-elle avoir lieu si des références croisées sont nécessaires et si elles doivent être internes ou externes à la solution
Qui va posséder / maintenir les règles concernant ce qui est autorisé à quels rôles?
Réponses:
Nous sommes ouverts aux options. Veuillez fournir les avantages / inconvénients de chaque modèle.
Statistique Canada.
Question:
Section 5.8.6 - Autres exigences relatives à la sécurité
La solution
doit
pouvoir appliquer des règles en se basant sur le contenu des métadonnées et de déterminer si un fichier peut être transmis ou non.
Cela s'applique-t-il à TOUS les transferts ou s'agit-il de sous-ensembles spécifiques où la logique est-elle actuellement stockée quant aux données autorisées à être livrées où?
Réponses:
Si la solution que vous proposez permet différents niveaux d'application des règles, veuillez préciser ce que sont ces règles.
Questions:
Section 5.8.6 - Autres exigences relatives à la sécurité
La solution doit pouvoir résoudre les vulnérabilités repérées dans une analyse dans le cadre d’un projet en suivant le processus du Cadre d’évaluation de la conformité.
Pouvez-vous clarifier / expliquer plus en détail le processus du cadre d'évaluation de la conformité et son fonctionnement (en ce qui concerne Statistique Canada)?
Quels types de vulnérabilités sont analysés et s'agit-il d'un accès utilisateur / intrusion réseau?
Réponses:
- Statistique Canada procède à un examen de la sécurité de toutes les nouvelles solutions avant leur déploiement. Ce processus comprend l’autorisation de sécurité et les accréditations (SA-A) menant à l’Autorité d’exploitation (ATO). Dans le cadre de cela, nous exécutions divers tests de sécurité, y compris, mais sans s’y limiter, les analyses.
Veuillez inclure la référence à tout examen de sécurité par un tiers que la solution proposée a été par le biais (si disponible).
Elles font partie des vulnérabilités globales qui sont prises en considération.
Questions:
Section 5.9 - Exigences en matière de continuité des services
Le document décrit 100 000 utilisateurs distincts et 5 000 groupes distincts...
La solution devrait-elle avoir tous les utilisateurs chargés simultanément sur le système à un moment donné ?
A.1) Aux fins de licence, combien d’utilisateurs/comptes « actifs » sont requis pour avoir une configuration de compte d’authentification unique sur le système dans le cadre de la phase 1 ?
A.1.1) Si ce n’est pas dans LDAP / AD, les paramètres d’authentification utilisateur /compte (certificats, noms d’utilisateur, etc) actuellement évalué via CyberArk aujourd’hui (crypté avec une clé que Statistique Canada a accès aussi? ?
A.2) Il est mentionné LDAP / AD. Est-ce que c’est là que la gestion de l’utilisateur sera fait à partir? Si oui, tous les utilisateurs sont actuellement dans LDAP / AD maintenant?
A.3) Y a-t-il des PMA internes et externes qui seront mis à profit pour permettre la protection correcte des données du point de vue de l’accès?
Quels sont les utilisateurs simultanés max prévus qui utiliseront le système à un moment donné ?
Réponses:
Un seuil de 500 utilisateurs connectés simultanément sera acceptable.
Veuillez faire savoir à Statistique Canada quelles sont les limites de la solution proposée.
A.1) 10 000 est le nombre que nous visons.
Veuillez vous donner des précisions sur vos options de licence, vos niveaux.
A.1.1) La solution héritée actuelle prend en charge LDAP/AD, ainsi que sa propre capacité de gestion utilisateur.
Tout est enregistré à l’intérieur de la chambre forte et sont donc tous cryptés en utilisant le protocole de voûte.
Une interface Web et une interface Windows de bureau sont disponibles pour gérer les utilisateurs.
L’authentification est implémentée à l’aide du nom d’utilisateur/mot de passe et de l’authentification de clé publique pour les utilisateurs de SFTP.
A.2) Statistique Canada est ouverte aux options. Nos utilisateurs internes sont gérés à l’aide de Microsoft Active Directory.
A.3) Oui. Toutefois, Statistique Canada est ouverte aux options.
B) Plus de 500 utilisateurs simultanés.
Question:
Statistique Canada honorera-t-elle d’autres questions du même fournisseur tant qu’elle est dans le tableau de temps imparti?
Réponse:
Cela sera limité à l’intérieur des délais d’affichage (date de clôture RFI est le 9 novembre 2020)
_____________________
Cet
Amendement # 02
est soulevé pour répondre aux neuf questions suivantes:
Question 1:
Les données requises pour exécuter la solution.
Clarification:
Demandez-vous les exigences du serveur? Système d’exploitation, unité centrale de traitement, mémoire, disque dur, etc.?
Réponse 1:
- Y a-t-il des exigences spécifiques (autres que le matériel) qui doivent exister pour permettre à la solution proposée de fonctionner? - Par exemple, peut inclure des limitations spécifiques (limitation du nombre de processus simultanés, limites supérieures dans le nombre de fichiers par période de temps, etc.)
Question 2:
Identifiez toutes les exigences énoncées dans la solution que votre organisation ne peut pas satisfaire ou fournir. Pour chaque élément que votre organisation ne peut pas rencontrer ou fournir, décrivez à votre avis pourquoi c’est et, si possible, proposez une solution alternative.
Identification des données sensibles aux données du client.
Clarification:
Comment voulez-vous identifier les données sensibles ? Est-ce basé sur le nom du fichier ou autre chose?
Réponse 2:
Dans le cas où le fournisseur de solutions identifie des exigences qui sont ou ne peuvent pas être remplies par la solution proposée, veuillez décrire celles qui relèvent de cette catégorie (ne peuvent pas être remplies). Si possible, décrivez une solution alternative prise en charge dans la solution proposée qui pourrait être utilisée comme solution alternative.
Inclure toute capacité /fonctionnalité potentielle pour gérer les données B protégées.
Question 3:
Normes du gouvernement fédéral telles que le soutien à l’intégrité des dossiers à l’aide de signatures.
Clarification:
Vous demandez si nous prenons en charge les systèmes de données de maintenance ou s’il s’agit d’autre chose?
Réponse 3:
Quels sont les mécanismes/normes utilisés dans la solution proposée pour soutenir l’intégrité des informations transmises (fichiers) (p. ex., authentifier les signatures numériques, normes de chiffrement, etc.)
Question 4:
Signature numérique pour non-répudiation des données, pendant le transport ou dans le stockage.
Clarification:
Je ne sais pas ce que vous demandez ici. Puis-je obtenir quelqu’un pour élaborer à ce sujet?
Réponse 4:
Quels sont les mécanismes/normes utilisés dans la solution proposée pour soutenir l’intégrité des informations transmises (fichiers) (p. ex., authentifier les signatures numériques, normes de chiffrement, etc.)
Question 5:
Intégrité des données (données et métadonnées) pendant le transport et le stockage (c.-à-d. hachage sécurisé). Vérification des données de destination – aucun conflit avec l’emplacement entrant et sortant – le conflit refuse l’envoi à la cible.
Clarification:
Qu’est-ce qui provoquerait un conflit? Fichier existe déjà?
Réponse 5:
Décrivez les fonctionnalités qui permettent/supportent l’intégrité de l’actif d’information (métadonnées de fichier et charge utile) (en veillant à ce que le fichier n’ait pas été modifié lors de son transport/transmission et de son stockage).
Question 6:
Traitement des règles - appliquer des règles basées sur les métadonnées pour déterminer les transmissions ou non.
Clarification:
Puis-je obtenir un exemple des métadonnées ?
Réponse 6:
Décrire les caractéristiques de la solution proposée qui informent l’état des informations transmises (fichier) telles que les informations transmises, la livraison reconnues, le fichier ouvert, etc.
Question 7:
Interopérable - Norme ouverte pour communiquer avec d’autres produits au niveau des composants ?
Clarification:
Besoin de plus d’informations à ce sujet.
Réponse 7:
La solution proposée prend-elle en charge les interfaces de programmation d’applications qui lui permettent de s’intégrer ou d’interagir avec d’autres solutions (p. ex., services d’annuaire, services de chiffrement, Services de déclaration, etc.). Si oui, fournissez une liste.
Question 8:
Utilisateurs autorisés - Pouvez-vous confirmer le nombre attendu d’utilisateurs internes et externes qui auront besoin d’accéder à la plate-forme ? Pour les utilisateurs externes en particulier, quelle partie de ceux-ci nécessiterait plus d’accès que le simple téléchargement et le téléchargement, et quelle partie nécessiterait un accès de collaboration complet avec modifier, créer en toute sécurité et inviter des privilèges?
Réponse 8:
Nous avons plus de 28K utilisateurs externes.
La grande majorité de l’utilisation se fait dans le cadre d’un scénario de téléchargement/téléchargement (déclenché par l’utilisateur final)
Un petit nombre de ces téléchargements/téléchargements sont entièrement automatisés.
Le service actuel de transfert de fichiers ne considère pas la collaboration comme un cas d’utilisation.
Question 9:
Automatisation - Pouvez-vous fournir des détails sur la fréquence, le volume et les descriptions de processus (c.-à-d. source, destination, protocole, numérisation)? Combien de processus d’automatisation sont actifs dans la solution actuelle ?
Avec le service actuel de transfert de fichiers, nous avons déployé quelques centaines de processus automatisés – la majorité d’entre eux sont bidirectionnels
Les points de terminaison représentent les « coffres forts ». Un processus donné peut avoir plusieurs points de terminaison / coffres forts (même fichier transféré à plusieurs utilisateurs)
Réponse 9:
La fréquence à laquelle les processus de transfert s’exécutent peut varier (entre 1-6 minutes)
La source et la destination peuvent être n’importe quel endroit à l’intérieur ou à l’extérieur de notre organisation.
Les protocoles actuels incluent le protocole HTTPS, FTPS, SFTP et Vault La numérisation est prise en charge dans la solution actuelle.
----------------------
Cet
Amendement # 01 est soulevé pour répondre à une question reçue concernant l’article 6.4.
Question:
Pourriez-vous confirmer si les 9 éléments de l’article 6.4 « Les principales caractéristiques de la preuve » doivent être fournis sous forme de réponse écrite avec des captures d’écran, ou si SPC fera des présentations en direct avec les répondants après la clôture de cette RFI? Nous essayons de déterminer si la réponse pour les 9 points de cette section sont nécessaires avec la réponse avant la date d’échéance, ou si les présentations auront lieu à une date ultérieure.
Réponse:
En ce qui concerne les articles 9 de l’article 6.4 « Fonctionnalités clés sollicitées pour démontrer », nous organiserons des séances de démonstration où les fournisseurs de solutions seront invités à passer en revue chacune des fonctionnalités et à la démontrer. Nous demandons toutefois que les fournisseurs de solutions incluent un texte qui démontre qu’une telle fonctionnalité est disponible dans leur solution recommandée/proposée.
-------------------
Demande de renseignements (DDR):
Définition du besoin :
Pour remplacer les logiciels disponibles sur le marché en fin de vie actuelle sécurisée de Statistique Canada pour transférer des fichiers avec des partenaires
Exigences en matière de sécurité :
Cette demande de proposition contient une obligation en matière de sécurité pour le vendeur et son personnel.
2. Accords commerciaux:
Ce besoin est assujetti aux dispositions de l ’Accord sur les marchés publics
de l’Organisation mondiale du commerce
(AMP-OMC), de l’ Accord de libre-échange entre le Canada et le Chili
(ALECC), de l’ Accord de libre-échange Canada-Pérou , de l’ Accord de libre-échange Canada-Colombie , de l’ Accord de libre-échange Canada-Panama
(s’il est exécutoire), et de l’ Accord sur le commerce intérieur (ACI ).
3. La date de clôture pour la soumission des propositions sera
Le 9 novembre, 2020 @ 14h00, Heure normal de l'Est (HNE)
4. Enquêtes des soumissionnaires :
Les fournisseurs peuvent adresser leurs questions ou les soumettre par courriel à :
SPC Centre de Données DDP
ssc.ssc-dc-rfp-spc-cd-dp.spc@canada.ca