1. Наявність двох незалежних інсталяцій: ПРОД / НЕПРОД

Майданчик зобов’язаний підтримувати дві окремі інсталяції: продуктивну (ПРОД) та тестову (НЕПРОД).

Кожне середовище повинно мати окреме, унікальне доменне ім’я.
Мета вимоги — запобігти ситуаціям, коли тестове оточення стає доступним за тим самим доменом, що й продуктивне, навіть у неробочий час.

Використання однієї інсталяції для двох середовищ створює ризики плутанини, ускладнює процес тестування.

2. Публічна доступність НЕПРОД середовища

Забороняється обмеження доступу до НЕПРОД-оточення, окрім випадків обслуговування з попереднім погодженням.
Мета вимоги — запобігти ситуаціям, коли тестовий сайт є недоступним, зокрема з формулюванням “відкриємо лише на час тестування”

3. Заборона на доступ до непублічних API після припинення співпраці

Після завершення договірних зобов’язань з Prozorro.Sale майданчик зобов’язується протягом 72 годин забезпечити припинення викликів до непублічних API Центральної бази даних.
Це дозволяє уникнути непотрібного навантаження на інфраструктуру та запобігає виникненню зайвого трафіку після завершення співпраці.

4. Сертифікати TLS на ПРОД інсталяції

Використання безкоштовних TLS-сертифікатів (наприклад, Let’s Encrypt, ZeroSSL тощо) заборонено.
Мета вимоги — забезпечити стабільність, передбачуваність та контрольованість інфраструктури безпеки, уникнувши практик, коли фактичний сертифікат не відповідає задекларованому.

5. Вимоги КСЗІ (Комплексна система захисту інформації)

Майданчик повинен дотримуватись вимог КСЗІ.
Докладніше описано за посиланням: Вимоги КСЗІ

6. Щорічне зовнішнє пентестування

Майданчик зобов’язаний:

• проходити зовнішнє пентестування (penetration testing) на своєму НЕПРОД середовищі не рідше одного разу на рік

• надавати звіт про результати до Prozorro.Sale