Damacana Tüketici Kontrol Yazılımı Gerekler Dokümanı

T.C.
SAĞLIK BAKANLIĞI
Türkiye Halk Sağlığı Kurumu BaĢkanlığı
DAMACANA TAKĠP SĠSTEMĠ PROJESĠ
TÜKETĠCĠ KONTROL YAZILIMI
GEREKLER DOKÜMANI
Yayın No : 0.2
Yayın Tarihi : 27.10.2014
THSK Çevre Sağlığı Daire Bşk.
Sağlık Mahallesi Hıfzıssıhha Kampüsü E Blok Kat 3
Sıhhıye/Çankaya, Ankara 06100
Tel: (0312) 565 53 37, Faks: (0312) 565 52 28
www.cevresagligi.thsk.saglik.gov.tr
[email protected]
T.C.
SAĞLIK BAKANLIĞI
Türkiye Halk Sağlığı Kurumu Başkanlığı
Damacana Takip Sistemi
Projesi
Tüketici Kontrol Yazılımı
Gerekler Dokümanı
V.0.2
Bu sayfa bilerek boş bırakılmıştır.
2 / 13
T.C.
SAĞLIK BAKANLIĞI
Türkiye Halk Sağlığı Kurumu Başkanlığı
Damacana Takip Sistemi
Projesi
Tüketici Kontrol Yazılımı
Gerekler Dokümanı
V.0.1
DeğiĢiklik Kayıtları
Yayın
No
Yayın
Tarihi
Bölüm
0.1
24.09.2014
Genel
İlk Taslak
0.2
27.10.2014
Genel
Düzeltilmiş Taslak
Yapılan DeğiĢiklik
3 / 13
T.C.
SAĞLIK BAKANLIĞI
Türkiye Halk Sağlığı Kurumu Başkanlığı
Damacana Takip Sistemi
Projesi
Tüketici Kontrol Yazılımı
Gerekler Dokümanı
V.0.2
Bu sayfa bilerek boş bırakılmıştır.
4 / 13
T.C.
SAĞLIK BAKANLIĞI
Türkiye Halk Sağlığı Kurumu Başkanlığı
Damacana Takip Sistemi
Projesi
Tüketici Kontrol Yazılımı
Gerekler Dokümanı
V.0.1
ĠÇERĠK
DeğiĢiklik Kayıtları ............................................................................................................. 3
1.
GiriĢ .......................................................................................................................... 6
1.1
Kapsam....................................................................................................................... 6
1.2
Tanımlar ..................................................................................................................... 6
1.3
Kısaltmalar ................................................................................................................. 6
2.
Referanslar .............................................................................................................. 6
2.1
Uyulması Zorunlu........................................................................................................ 6
2.2
Bilgilendirme Amaçlı................................................................................................... 7
3.
Gerekler ................................................................................................................... 8
3.1
İşlevsel Gerekler .......................................................................................................... 8
3.2
Tüketici Şikâyetleri.................................................................................................... 12
3.3
Güvenlik Gerekleri .................................................................................................... 12
3.4
Dokümantasyon Gerekleri .......................................................................................... 13
3.5
Eğitimle İlgili Gerekler .............................................................................................. 13
3.6
Kontrol ve Muayene Kuralları .................................................................................... 13
ġEKĠLLER
Şekil 1: Çevrim Dışı Tüketici Kontrolü ............................................................................................. 8
Şekil 2: Çevrim İçi Tüketici Kontrolü ............................................................................................. 10
5 / 13
T.C.
SAĞLIK BAKANLIĞI
Türkiye Halk Sağlığı Kurumu Başkanlığı
1.
Damacana Takip Sistemi
Projesi
Tüketici Kontrol Yazılımı
Gerekler Dokümanı
V.0.2
GiriĢ
1.1 Kapsam
Bu şartname, Damacana Kontrol Sistemi [DTSITD] Projesi kapsamında kullanılacak Tüketici Kontrol
Yazılım’ına ait gerekleri tanımlamaktadır.
1.2 Tanımlar
Damacana Takip Sistemine ait tüm yönetim gerçekleştiği ve verilerin güvenli
olarak saklandığı yer. Yönetimi ve koruması THSK ait olan merkezdir.
Tanımlanan gerekleri yerine getirmek ile yükümlü firma/firmalar.
DTS Merkezi
YÜKLENĠCĠ
1.3 Kısaltmalar
BĠLGEM
D-Kimlik
DSB
DTS
DTSM
2D
HTTP
JSON
QR
THSK
2.
Bilgi Güvenliği İleri Teknolojiler Araştırma Merkezi
Damacana Kimlik
Daha Sonra Belirlenecek
Damacana Takip Sistemi
Damacana Takip Sistemi Merkezi
ing. Two Dimension
ing. Hypertext Transfer Protocol
ing. JavaScript Object Notation
ing. Quick Response
T.C. Sağlık Bakanlığı Türkiye Halk Sağlığı Kurumu
Referanslar
2.1 Uyulması Zorunlu
[TüKonHabServ]
Tüketici Kontrol Yazılımı Haberleşme Servisi Tanım Dokümanı
[SaTakipSis]
Satış Takip Sistem Gerekler Dokümanı
[SatBelGeDok]
Satış Belgesi Gerekler Dokümanı
[QR]
ISO/IEC 18004:2006 Information Technology Automatic Identification and Data
Capture Techniques-QR Code
[DataMatrix]
ISO/IEC 16022:2006 Information Technology Automatic Identification
and Data Capture Techniques-Data Matrix
[ISO/IEC 25051]
Systems and software Quality Requirements and Evaluation (SQuaRE)
http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.htm?csnumber=61579
[OWASP]
Open Web Application Security Project, www.owasp.org
[CWE/SANS]
CWE - Common Weakness Enumeration , http://cwe.mitre.org/top25/
[RFC 5246]
The Transport Layer Security (TLS) Protocol Version 1.2,
http://tools.ietf.org/html/rfc5246
6 / 13
T.C.
SAĞLIK BAKANLIĞI
Türkiye Halk Sağlığı Kurumu Başkanlığı
[RFC 5746]
Damacana Takip Sistemi
Projesi
Tüketici Kontrol Yazılımı
Gerekler Dokümanı
V.0.1
Transport Layer Security (TLS) Renegotiation Indication Extension
http://tools.ietf.org/html/rfc5746
2.2 Bilgilendirme Amaçlı
[DTSITD]
Damacana Takip Sistemi İhtiyaç Tanımlama Dokümanı
7 / 13
T.C.
SAĞLIK BAKANLIĞI
Türkiye Halk Sağlığı Kurumu Başkanlığı
3.
Damacana Takip Sistemi
Projesi
Tüketici Kontrol Yazılımı
Gerekler Dokümanı
V.0.2
Gerekler
3.1 ĠĢlevsel Gerekler
3.1.1
Genel Gerekler
3.1.1.1
Tüketici kontrol yazılımı, tüketiciye teslim edilen damacananın kontrolünde kullanılacaktır.
3.1.1.2
Yazılım, varsa tüketicinin şikâyetlerini THSK’ye iletmesinde kullanılacaktır.
3.1.1.3
Yazılım, Android 4.03 ve daha yüksek sürüm işletim sistemlerini destekleyecektir.
3.1.1.4
Yazılım, IOS 5.0 ve daha yüksek sürüm işletim sistemlerini destekleyecektir.
3.1.1.5
Yazılım, Windows Phone 7.0 ve daha yüksek sürüm işletim sistemlerini destekleyecektir.
3.1.1.6
Yazılım, kameralı akıllı telefon üzerinde koşacaktır.
3.1.1.7
Yazılım kameralı tablet bilgisayarlar üzerinde koşacaktır.
3.1.1.8
Yazılım, 2D karekod [QR] standardını destekleyecektir.
3.1.1.9
Yazılım, 2D karekod [DataMatrix] standardını destekleyecektir.
3.1.1.10
Tüketici kontrol yazılımı çevrim içi (online) ve çevrim dışı (offline) olarak çalışacaktır
3.1.1.11
Çevrim içi ya da çevrim dışı çalışma kullanıcı tarafından seçilebilir olacaktır.
3.1.2 Çevrim Dışı Çalışma
Tüketici Kontrol
Yazılımı
satış
belgesi
Tüketici
Şekil 1: Çevrim Dışı Tüketici Kontrolü
8 / 13
T.C.
SAĞLIK BAKANLIĞI
Türkiye Halk Sağlığı Kurumu Başkanlığı
3.1.2.1
Damacana Takip Sistemi
Projesi
Tüketici Kontrol Yazılımı
Gerekler Dokümanı
V.0.1
Çevrim dışı kontrolde, aşağıdaki veriler [TüKonHabServ] kullanılacaktır.
3.1.2.1.1
damacana durum
3.1.2.1.2
damacana durum açıklama
3.1.2.1.3
su firması
3.1.2.1.4
damacana kullanım sayısı
3.1.2.1.5
damacananın son kullanım tarihi
3.1.2.1.6
suyun son kullanım tarihi
3.1.2.1.7
su satış noktası
3.1.2.1.8
su satış zamanı
3.1.2.2 Çevrim dışı çalışmada kontroller satış belgesi 2D karekod [SatBelGeDok] okunarak yapılacaktır.
3.1.2.3 Satış belgesinin 10 saniye süresince okunamaması durumunda tüketici işitsel ve görsel olarak
uyarılacaktır.
3.1.2.3.1
İşitsel olarak uyarı tonu kullanılacaktır.
3.1.2.3.2
sunulacaktır.
Görsel olarak, “Okunamayan Satış Belgesi” mesajı kullanıcı ara-yüzünde tüketiciye
3.1.2.4 Yazılım, öncelikle satış belgesinin geçerliliğini, 2D karekodda bulunan imza kontrolü ile
yapacaktır. İmza kontrolü [SatBelGeDok] dokümanında anlatıldığı gibi yapılacaktır.
3.1.2.5 İmzanın geçerli olmadığı durumda, tüketici görsel ve işitsel olarak uyarılacaktır.
3.1.2.5.1
İşitsel olarak uyarı tonu kullanılacaktır.
3.1.2.5.2
Görsel olarak, Madde 3.1.2.1 maddesinde verilen bilgilerden damacana durum bilgisi
“Tüketime uygun değildir” damacana durum açıklama bilgisi “Geçersiz satış belgesi” olarak kullanıcı
ara-yüzünde tüketiciye sunulacaktır. Diğer bilgiler kullanılmayacaktır.
3.1.2.6 İmzanın geçerli olması durumda, damacana üzerinde bulunan 2D karekoddaki d-kimlik_no ile
geçerli satış belgesi üzerindeki 2D karekoddaki d-kimlik_no’yu karşılaştırılacaktır.
3.1.2.6.1
Yazılım, damacana üzerindeki 2D karekodu okuyacaktır.
3.1.2.6.2
Yazılımın damacana üzerindeki 2D karekodu okuyamaması durumunda, damacana
kimliğini elle girme imkânı olacaktır.
3.1.2.6.3
d-Kimlik_no’ları aynı değil ise, tüketici görsel ve işitsel olarak uyarılacaktır.
3.1.2.6.3.1
İşitsel olarak uyarı tonu kullanılacaktır.
3.1.2.6.3.2
Görsel olarak, 3.1.2.1 maddesinde verilen bilgilerden damacana durum bilgisi “Tüketime
uygun değildir” damacana durum açıklama bilgisi “Geçersiz Belge ya da Damacana” olarak kullanıcı
ara-yüzünde tüketiciye sunulacaktır. Diğer bilgiler kullanılmayacaktır.
9 / 13
Damacana Takip Sistemi
Projesi
Tüketici Kontrol Yazılımı
Gerekler Dokümanı
V.0.2
T.C.
SAĞLIK BAKANLIĞI
Türkiye Halk Sağlığı Kurumu Başkanlığı
3.1.2.7 Son olarak belge üzerindeki bilgilerin doğruluğunun kontrolü için, satış belgesindeki 2D
karekodda bulunan bilgiler tüketiciye görsel ara-yüzde verilecektir.
3.1.2.7.1
Görsel olarak, 3.1.2.1 maddesinde verilen bilgilerden damacana durum bilgisi “Tüketime
uygundur” diğer bilgiler satış belgesi 2D karekodda verildiği gibi kullanıcı ara-yüzünde tüketiciye
sunulacaktır. Damacana durum açıklama bilgisi kullanılmayacaktır.
3.1.3 Çevrim İçi Çalışma
Tüketici Kontrol
Yazılımı
Tüketici
DTS Merkezi
Yazılımı
Tüketici Kontrol Yazılımı
Haberleşme Servisi
Şekil 2: Çevrim İçi Tüketici Kontrolü
10 / 13
T.C.
SAĞLIK BAKANLIĞI
Türkiye Halk Sağlığı Kurumu Başkanlığı
Damacana Takip Sistemi
Projesi
Tüketici Kontrol Yazılımı
Gerekler Dokümanı
V.0.1
3.1.3.1 Çevrim içi çalışmada, kontrol DTS Merkezi yazılımı ile bağlantı kurularak yapılacaktır.
3.1.3.2 Çevrim içi kontrolde aşağıdaki veriler [TüKonHabServ] kullanılacaktır.
3.1.3.2.1
damacana durum
3.1.3.2.2
damacana durum açıklama
3.1.3.2.3
su firması
3.1.3.2.4
damacana kullanım sayısı
3.1.3.2.5
suyun son kullanım tarihi
3.1.3.2.6
damacananın son kullanım tarihi
3.1.3.2.7
su satış noktası
3.1.3.2.8
su satış zamanı
3.1.3.2.9
iletkenlik değeri
3.1.3.2.10
pH değeri
3.1.3.3 Yazılım, damacana üzerindeki 2D karekodu okuyacaktır.
3.1.3.4 Yazılımın damacana üzerindeki 2D karekodu okuyamaması durumunda, damacana kimliğini elle
girme imkânı olacaktır.
3.1.3.5 Yazılım damacana kimliğini öğrendikten sonra DTS Merkez yazılımına sorgu istek mesajı
gönderecektir.
3.1.3.6 DTS Merkezi Yazılımından gelen yanıt olumsuz ise (404 Not Found) tüketici görsel ve işitsel
olarak uyaracaktır.
3.1.3.6.1
İşitsel olarak uyarı tonu kullanılacaktır.
3.1.3.6.2
Görsel olarak, 3.1.3.2 maddesinde verilen bilgilerden damacana durum bilgisi
“Tüketime uygun değildir” damacana durum açıklama bilgisi “Kayıt Dışı Damacana” olarak kullanıcı
ara-yüzünde tüketiciye sunulacaktır. Diğer bilgiler kullanılmayacaktır.
3.1.3.7 DTS Merkezi Yazılımından gelen yanıt olumlu ise (200 OK), mesaj içindeki bilgileri damacana
kimlik numarası (d-kimlik_no) ile birlikte tüketiciye kullanıcı ara-yüzünde sunacaktır.
3.1.3.7.1
200 OK mesajında damacana durum bilgisi “Tüketime uygun değildir” ise, ilave olarak
işitsel uyarı tonu kullanılacaktır.
3.1.3.8 Tüketici satış fişi ile yazılımdaki bilgilerin uyuşup uyuşmadığını kontrol edecektir.
3.1.3.9 Yazılım, DTS Merkezi Yazılımı ile Tüketici Kontrol Yazılımı Haberleşme Servisi Tanımla
Dokümanında anlatıldığı gibi haberleşecektir [TüKonHabServ].
11 / 13
T.C.
SAĞLIK BAKANLIĞI
Türkiye Halk Sağlığı Kurumu Başkanlığı
Damacana Takip Sistemi
Projesi
Tüketici Kontrol Yazılımı
Gerekler Dokümanı
V.0.2
3.2 Tüketici ġikâyetleri
3.2.1 Tüketici, Kontrol Yazılımını kullanarak tespit ettiği uygunsuzlukları THSK’ya bildirerek şikâyette
bulunabilecektir.
3.2.2 Şikayet bildirim mesajı, damacana kimlik bilgisini, firma bilgisini, satıcı bilgisini ve şikayetleri
DTS Merkezi yazılımına iletecektir.
3.2.3 Şikâyet çevrim içi kontrol yazılımı vasıtası ile yapılabilecektir.
3.2.4 Tüketici şikâyetleri D-kimlik numarası ile yapılacaktır.
3.2.5 Uygunsuzluk bildirebilmek için tüketici kontrol yazılımı ara yüzünde bir “Şikayet Bildir” seçeneği
olacaktır.
3.2.6 Tüketici kendisine sunulan şikâyet seçeneklerinden bir ya da birden fazlasını seçebilecektir.
3.2.7 Tüketici ’ye aşağıdaki seçenekler sunulacaktır.
3.2.7.1 Damacana suyu kirlidir.
3.2.7.2 Damacana içi temiz yıkanmamış.
3.2.7.3 Damacana hasar görmüş.
3.2.7.4 Damacana üzerindeki D-kimlik hasar görmüş.
3.2.7.5 Satıcı satış belgesi teslim edilmedi.
3.2.7.6 Uygun olmayan taşıma
3.2.7.7 Diğer
3.2.7.7.1
Tüketici “Diğer” seçeneğini tercih ettiğinde kendisine en fazla 300 Türkçe karakter
yazabileceği bir alan sunulacaktır.
3.2.8 Tüketici tercihini yaptıktan sonra şikayetini gönderecektir.
3.3 Güvenlik Gerekleri
3.3.1 Tüketici tarafında bulunan yazılımın DTSM ile haberleşmesinde TLS protokolü kullanılacaktır.
3.3.1.1
Yazılım, TLS v1.2’yi (veya daha sonraki güncel versiyonları) kapsayacaktır. Farklılıklar
özellikle belirtilmedikçe [RFC 5246]’ da tanımlanan ve bazı iyileştirmeleri içeren [RFC 5746]’ da
anlatılan yapı kullanılacaktır. Kısıtlamalar aşağıda verilmiştir.
3.3.1.1.1
El sıkışma protokolünde, “tek taraflı sertifika tabanlı kimlik doğrulama” yapısı
kullanılacaktır. DTSM’nin sertifikası tüketici yazılımı tarafından kontrol edilecektir.
3.3.1.1.2
DTSM’nin TLS sertifikasını yayımlayan kurumun sertifikası tüketici yazılımına
gömülecektir.
3.3.1.1.3
Tüketici yazılımı sertifika kontrollerini yapacaktır.
12 / 13
T.C.
SAĞLIK BAKANLIĞI
Türkiye Halk Sağlığı Kurumu Başkanlığı
3.3.1.1.4
Damacana Takip Sistemi
Projesi
Tüketici Kontrol Yazılımı
Gerekler Dokümanı
V.0.1
Aşağıdaki şifre takımı (ciphersuit) desteklenecektir:
CipherSuite TLS_RSA_WITH_AES_256_CBC_SHA256 = { 0x00,0x3D }.
3.3.1.1.5
“Session Resumption” olmayacaktır.
3.3.2 Yazılım güncellemeleri için THSK’den onay alınacaktır.
3.3.3 Yazılım güncellemelerinde yalnızca aynı ya da üst versiyondaki yazılımın güncellenmesine izin
verilecektir.
3.3.4 Yazılım internette imzalı (Appstore, Android Market, Windows Market imzalı) olarak
bulunacaktır.
3.3.5 Yazılım, ISO/IEC 25051[ISO/IEC 25051] standardına uygun olarak gerçekleştirilecektir.
3.3.6 Yazılım, OWASP top ten [OWASP] ve CWE/SANS top 25 [CWE/SANS] kriterlerine uygun
olarak geliştirilmiş olacaktır.
3.4 Dokümantasyon Gerekleri
3.4.1.1 Kullanıcı el kitabı yazılımla birlikte teslim edilecektir.
3.5 Eğitimle Ġlgili Gerekler
3.5.1
DSB
3.6 Kontrol ve Muayene Kuralları
3.6.1
Genel
3.6.1.1 Kabul testleri BİLGEM tarafından belirlenecek bir heyet tarafından yapılacaktır.
3.6.1.2 Kabul test dokümanı, yapılacak ilk kabul testinden önce BİLGEM’ye sunulacak, gerekli görülen
ilave ve değişikliklerden sonra kabul testleri için referans doküman olarak kullanılacaktır.
3.6.1.3 Yazılım güvenlik testleri bağımsız bir test merkezine yaptırılıp test sonuçları kabul test
dokümanları ile birlikte BİLGEM’e teslim edilecektir.
3.6.1.4 Kabul testleri için gerekli test ve ölçü aletleri ve gerekli tüm harcamalar YÜKLENİCİ tarafından
karşılanacaktır.
3.6.1.5 Kabul testleri esnasındaki tüm masraflar YÜKLENİCİ tarafından karşılanacaktır.
13 / 13