Webová aplikace > Emergency > Technické podmínky pro provozování Emergency Modulu

1. Účel a rozsah

Tento dokument definuje minimální technické a bezpečnostní podmínky pro provozování webové a/nebo mobilní části „Emergency modulu“ (dále jen „Modul“) jako nadstavby systému Bakaláři (dále jen „Software“) na infrastruktuře Zákazníka. Cílem je zajistit provozuschopnost, bezpečnou komunikaci, kompatibilitu a předvídatelné parametry služby.

2. Definice a role

•Software – školní informační systém Bakaláři (webové a mobilní aplikace a související služby) provozovaný Zákazníkem nebo třetí stranou.

•Poskytovatel – subjekt poskytující Modul, dokumentaci a případně podporu.

•Objednatel – subjekt provozující Modul a Software na vlastní infrastruktuře (on-prem / hosting / cloud) a odpovědný za její správu.

•Produkční prostředí – prostředí, ve kterém Modul poskytuje služby koncovým uživatelům.

•Testovací (staging) prostředí – prostředí pro ověřování aktualizací a změn před nasazením na Produkční prostředí.

3. Obecné principy

•Objednatel bere na vědomí, že funkčnost Modulu je závislá na bezproblémovém běhu Softwaru v prostředí Objednatele.

•Objednatel sám a na vlastní náklady zajišťuje správu provozního prostředí, konektivitu, kapacitu a bezpečnostní opatření (např. nastavení oprávnění, antivirových aplikací, firewallu) na své infrastruktuře.

•Objednatel bere na vědomí, že dostupnost Modulu pro koncové uživatele je závislá i na dostupnosti internetové konektivity a služeb třetích stran (např. ISP, DNS, internetový tranzit); Poskytovatel neodpovídá za dopady výpadků internetové konektivity mimo infrastrukturu Poskytovatele.

•Změny v infrastruktuře Objednatele (FW, proxy, DNS, certifikáty, antivirová řešení) mohou ovlivnit funkčnost Modulu; Objednatel je povinen sám a na vlastní náklady změny řídit a testovat.

•Veškerá komunikace Modulu/Softwaru s dalšími službami musí probíhat šifrovaně, autentizovaně a auditovatelně.

4. Technické předpoklady – kompatibilita a aktualizace

4.1 Webová aplikace Bakaláři

Objednatel se zavazuje provozovat webovou aplikaci Bakaláři v nejnovější verzi, která je pro danou instanci a licenční režim dostupná, a to včetně bezpečnostních oprav (security patchů).

4.2 Mobilní aplikace Bakaláři

Objednatel zajistí, aby koncoví uživatelé používali mobilní aplikaci Bakaláři v nejnovější verzi dostupné pro jejich zařízení v rámci oficiálních obchodů Google Play a App Store.

4.3 Kompatibilita Modulu

Poskytovatel deklaruje kompatibilitu Modulu s posledními verzemi webových a mobilních aplikací Bakaláři.

Pozn.: Pokud Objednatel provozuje starší nebo nepodporovanou verzi Software nebo na již nepodporovaných platformách třetích stran (např. nepodporovaný operační/databázový systém), může být funkčnost Modulu omezena. Odpovědnost za provoz v takovém případě nese Objednatel.

5. Síťové požadavky a konektivita

5.1 Konektivita k doméně *.bakalari.cz

Z prostředí, ve kterém běží webová část aplikace Modulu, musí být možné na bázi protokolu TCP/IP kontaktovat a korektně komunikovat se všemi webovými službami běžícími na doméně *.bakalari.cz, které jsou nezbytné pro provoz Softwaru a Modulu a souvisejících funkcí.

•Objednatel zajistí povolení odchozí komunikaci z Modulu/Softwaru na cíle *.bakalari.cz dle použitých protokolů (typicky HTTPS/443).

•Objednatel nesmí blokovat SNI/Host hlavičky, pokud jsou využity pro více služeb na stejné IP.

•Pokud je v síti proxy, musí podporovat HTTPS (CONNECT), moderní šifry a hashovací funkce (AEAD, ECDHE, SHA-256, SHA-384), a nesmí narušovat TLS (pokud není výslovně povoleno a otestováno).

5.2 Dostupnost webové aplikace na portu služby

Webová aplikace Modulu musí být dostupná na bázi protokolu TCP/IP na portu, na kterém je provozovaná (např. 443 pro HTTPS). Objednatel zajistí odpovídající publikaci služby (reverse proxy / load balancer / NAT) a směrování.

•Síťová a aplikační vrstva musí umožňovat příchozí komunikaci ke službě prostřednictvím IPv4 i IPv6.

•Nesmí být aplikována omezení typu GEOIP, country-blocking či selektivní blokace, která by bránila přístupu.

•Doporučení: používat WAF a rate-limiting pro ochranu před útoky, nikoli plošné blokace bez analýzy dopadů.

5.3 DNS a domény

•Objednatel zajistí funkční veřejné DNS jméno (FQDN) pro Software.

•DNS musí směřovat na veřejně dostupnou IP / load balancer (dle architektury).

•TTL doporučeno 300–3600 s pro flexibilitu při změnách infrastruktury.

6. Šifrování, TLS a certifikáty

Modul i Software musí být provozovány tak, aby komunikace byla šifrována prostřednictvím HTTPS. Minimálním standardem je TLS 1.2; doporučeno je povolit i TLS 1.3, pokud jej infrastruktura podporuje.

Objednatel zajistí minimálně:

•podporu TLS 1.2, a to i na úrovni reverse proxy / webového serveru

•Platný serverový certifikát vydaný důvěryhodnou certifikační autoritou (CA); samopodepsané certifikáty nejsou pro produkci přípustné.

•Zakázat slabé šifry a protokoly (např. TLS 1.0/1.1, RC4, 3DES).

Doporučeno je i zavedení HSTS (pokud nebrání integračním scénářům), včetně zajištění přesměrování HTTP→HTTPS.

Pokud Objednatel využívá TLS inspekci (MITM) na proxy, musí zajistit, že nedojde k porušení funkčnosti a že je zachována důvěryhodnost certifikátů. Veškeré takové zásahy musí být předem otestovány.

7. Provozní a bezpečnostní standardy

7.2 Logování a audit

•Objednatel zajistí bezpečné uložení logů po dobu min. 90 dnů (doporučeno 180+).

7.3 Zálohování a obnova

•Objednatel provádí pravidelné každodenní zálohy konfigurace aplikace Bakaláři.

7.4 Aktualizace a správa zranitelností

•Objednatel udržuje OS, runtime, databáze a web server v podporované verzi a instaluje bezpečnostní aktualizace v souladu s doporučeními výrobce.

7.5 Časová synchronizace

•Servery Objednatele musí mít správně nastavený čas (NTP) s odchylkou maximálně 1 minutu.

•Chybný čas může způsobit neplatnost tokenů, certifikátů a problém s auditní stopou.

8. Technické podmínky pro běh webových a mobilních aplikací

Aplikace Bakaláři provozovaná Objednatelem musí splňovat oficiální technické podmínky výrobce Softwaru pro provoz webových a mobilních aplikací uvedených na https://napoveda.bakalari.cz v sekci „Správa systému“. Jejich splnění je nezbytným předpokladem funkčnosti Modulu.

•Objednatel musí dodržet požadavky na platformu, web server, databázi a síťové parametry dle dokumentace Softwaru.

•Pokud Software poskytuje integrační rozhraní (API), musí být povoleno a dostupné pro Modul v rozsahu integrace.

9. Minimální parametry infrastruktury (doporučení)

Minimální parametry infrastruktury jsou shodné s požadavky na aplikaci Bakaláři.

10. Podporované klientské platformy

Podporované klientské platformy jsou shodné s technickými požadavky na webovou a mobilní aplikaci Bakaláři.

V případě potíží s fungováním konkrétních zařízení se za referenční platformy považují:

•Webová aplikace

onotebook s OS Windows 11 a internetovým prohlížečem Microsoft Edge

•Mobilní aplikace

oAndroid – mobilní telefon Samsung Galaxy S26

oiOS – mobilní telefon iPhone 17

Referenční platformy představují základní testovací konfigurace, na nichž je funkčnost Modulu primárně vyvíjena a ověřována. Funkčnost na ostatních zařízeních a kombinacích operačních systémů a prohlížečů je podporována v souladu s obecně platnými standardy, avšak nemusí být garantována ve stejném rozsahu jako na referenčních platformách.

11. Akceptační kritéria pro uvedení Modulu do rutinního provozu

V rámci úvodní konfigurace Modulu a přípravy na rutinní provoz je nezbytné ověřit splnění minimálně následujících bodů:

1.Webová aplikace Bakaláři jsou v nejnovější dostupné stabilní verzi.

2.Mobilní aplikace Bakaláři na referenčních zařízeních Objednavatele je v nejnovější verzi dostupná v App Store/Google Play.

3.Z prostředí Modulu je funkční TCP/IP konektivita na požadované služby *.bakalari.cz (min. HTTPS/443), včetně DNS resoluce.

4.Modul je dostupný na definovaném veřejném FQDN a portu (typicky 443) bez blokací typu GEOIP, které by bránily oprávněnému přístupu.

5.Komunikace s Modulem probíhá výhradně přes HTTPS s TLS 1.2+; certifikát je platný a důvěryhodný.

12. Odpovědnosti a výluky

12.1 Odpovědnost Objednatele

•Provoz a správa infrastruktury (servery, síť, FW, WAF, LB, DNS, proxy, certifikáty).

•Dodržení technických podmínek Software a aktualizace Software i OS/platformy.

•Zálohování, monitoring, reakce na incidenty na své infrastruktuře.

•Zajištění právního titulu pro zpracování osobních údajů a splnění povinností dle příslušných předpisů.

12.2 Odpovědnost Poskytovatele

•Opravy chyb v Modulu a poskytování aktualizací.

•Konzultace k nasazení v rozsahu sjednané podpory.

12.3 Výluky

•Nefunkčnost způsobená nedodržením podmínek Objednatelem (blokace portů, GEOIP, neplatný certifikát, zastaralé verze).

•Incidenty vyvolané škodlivým softwarem, průnikem do infrastruktury Objednatele nebo chybnou správou přístupů.

•Nedostupnost služeb třetích stran (např. externí služby Softwaru).

•Nefunkčnost HW/SW/síťové infrastruktury na straně Objednatele.

13. Doporučené pro provoz (best practices)

•Monitoring dostupnosti (HTTP/HTTPS), latence a chybovosti integrace; alerting na výpadky.

•Oddělení prostředí (test vs produkce) a řízené nasazování změn (change management).

•Je doporučeno, aby Software byl provozován na serveru s redundantním zdrojem napájení (např. UPS), aby nedošlo k nefunkčnosti Modulu při vypnutí hlavního přívodu elektřiny. Stejná pravidla platí i pro ostatní kritickou infrastrukturu (např. prvky zajišťující připojení k ISP).

Aktuální znění obchodních podmínek vztahujících se k Emergency modulu je umístěno https://skola.bakalari.cz („Naše škola v Bakalářích“)