赣州东升工程造价咨询有限公司关于赣州银行中小微企业资金流信用信息共享平台项目(项目编号:GZDS2025-GZYH-G001)的公开招标公告
发布时间:2025-02-14 13:42 作者: 来源: 字号:大中小
项目概况
赣州银行中小微企业资金流信用信息共享平台项目的潜在供应商应在赣州银行官网(网址:http://www.bankgz.com/)、中国金融集中采购网(网址:http://www.cfcpn.com/)获取采购文件,并于2025年03月10日14点30分(北京时间)前提交投标文件。
一、项目基本情况:
项目编号:GZDS2025-GZYH-G001
项目名称:赣州银行中小微企业资金流信用信息共享平台项目
采购方式:公开招标
采购需求:
|
货物名称 |
主要服务内容及要求 |
数量 |
单位 |
预算金额(元) |
|
赣州银行中小微企业资金流信用信息共享平台项目 |
详见采购项目需求 |
1 |
项 |
700000.00 |
合同履行期限:2025年07月完成开发上线。
本项目不接受联合体投标。
二、申请人的资格要求:
1、具有独立承担民事责任能力的法人或其他组织或自然人;
2、具有良好的商业信誉和健全的财务会计制度;
3、具有履行合同所必需的设备和专业技术能力;
4、有依法缴纳税收和社会保障资金的良好记录;
5、参加采购活动前三年内,在经营活动中没有重大违法记录。
三、获取招标文件
2025年02月17日至2025年02月21日(工作日内)上午08∶30——12∶00,下午14∶30——17∶30,在赣州东升工程造价咨询有限公司购买,招标文件工本费300元/份,文件售后不退(供应商将招标文件工本费转入采购代理机构的指定账户【户名:赣州东升工程造价咨询有限公司,开户银行: 赣州银行滨江支行,账号:2841 0001 0308 0009 658,转账时须备注项目编号及用途】,并填写好供应商报名登记表,将供应商报名登记表和工本费转账凭证通过电子邮件发送至dszbdlgs@163.com邮箱,代理机构核实无误后,通过电子邮件将招标文件电子版发送至供应商所填写的邮箱中。
四、投标文件提交
投标截止时间:2025年03月10日14点30分(北京时间)
地点:赣州东升工程造价咨询有限公司
五、开标
时间:2025年03月10日14点30分(北京时间)
地点:赣州东升工程造价咨询有限公司
六、公告期限
自本公告发布之日起5个工作日。
七、其他补充事宜
1、投标保证金:投标保证金人民币壹仟元整,应当以支票或汇票或本票或银行转账或金融机构、担保机构出具的保函等非现金形式提交。投标供应商采用银行转账方式的,应从各自银行基本账户(自然人参加投标的,从自然人的同名账户银行账户)全额转入采购代理机构的指定账户【户名:赣州东升工程造价咨询有限公司,开户银行: 赣州银行滨江支行,账号:2841 0001 0308 0009 658,转账时须备注项目编号及用途】,并于2025年03月09日17:30(北京时间)前到账,否则投标无效;投标供应商采用支票或汇票或本票或保函方式的,须于2025年03月09日17:30(北京时间)前将支票或汇票或本票或保函原件递交给采购代理机构,否则投标无效。
八、凡对本次采购提出询问,请按以下方式联系
1.采购人信息
采购单位:赣州银行股份有限公司
地址:赣州市赣江源大道26号
电话:0797-8100953
联系人:李先生、邓先生
户名:赣州银行股份有限公司
开户行:赣州银行营业部
账号:2886 0001 0308 0000 628
2.采购代理机构信息
名称:赣州东升工程造价咨询有限公司
地址:赣州市章贡区瑞金路18号(紫金大厦4#楼5层)
联系方式:0797-8361891
3.项目联系方式
项目联系人:曾女士
电话:0797-8361891
2025年02月14日
附件1
采购项目需求
一、投标供应商须提供全新、原装,并符合标准的货物与服务。
二、所有标的的知识产权问题,由各投标供应商自行负责。
三、本招标文件提出的是最低限度的要求,投标供应商的方案应达到或优于本招标文件要求,且符合国家有关标准和规范要求。
四、采购需求:
1、项目背景
随着金融市场的不断发展,中小微企业作为经济的重要组成部分,面临着融资难、融资贵的问题。其主要原因是金融机构难以获取中小微企业的有效信用信息,从而无法准确评估企业的信用风险。资金流信用信息作为反映企业经营状况、偿债能力和履约行为的重要指标,对于解决这一问题具有关键意义。
根据《中国人民银行征信中心关于启动全国中小微企业资金流信用信息共享平台第二批机构接入工作的通知》,我行为第二批接入资金流信息平台的金融机构,需按人行要求完成机构端配套系统建设及数据接入工作,实现资金流信用信息数据使用、数据提供、数据质量管理、留言工单处理、系统运行监控、用户与权限管理等功能。
2、项目目标
1.建立统一的资金流信用信息共享机制:打破金融机构之间的信息孤岛,实现资金流信用信息的互联互通,提高信息的透明度和共享效率。
2.提升金融机构的风险管理能力:为金融机构提供准确、及时的资金流信用信息,帮助其更好地评估中小微企业的信用风险,优化信贷决策,降低不良贷款率。
3.促进中小微企业融资:通过共享平台,中小微企业能够向金融机构展示自身的资金流信用状况,提高融资成功率,缓解融资难题。
推动金融监管的创新与完善:为金融监管部门提供实时、全面的资金流信用信息,增强对金融市场的监测和调控能力,防范系统性金融风险。
2.1 系统建设原则
1.安全性原则。技术选用上,应充分支持业界最先进的安全及风险防范手段和我行目前使用的安全工具。系统还应具备设定不同角色用户进行不同权限操作的功能,防止未经授权的人员误用或进行违法的操作。提供对客户行为的安全控制。
2.统一性原则。为符合业务可持续发展的需要,统一规划技术开发框架、数据管理、接口标准、用户界面风格和后台管理界面,避免因为缺乏统筹考虑,出现大量“信息孤岛”现象。
3.稳定可靠性原则。为满足将消息准确实时的推送到客户设备的业务需要,系统建设要求采用高可靠性的产品和技术,充分考虑整个系统运行的安全策略和机制,具有较强的容错能力和良好的恢复能力,保障系统安全、稳定、高效的运行;系统应具备适应互联网金融爆发式增长的能力,能够处理高并发、高强度的交易;系统的各个部分等都要求采用冗余技术,使整个系统不存在单点故障。
4.先进性原则。系统建设必须具备技术前瞻性,采用各领域的先进成熟技术,提供最佳用户体验,并根据未来技术的发展趋势选择和设计整个系统的体系结构,保证在一定时期内整个系统不会因技术落后而大规模调整,并能够通过升级保持系统的先进性,延长其生命周期,同时要保证先进的技术稳定、成熟,支持现有的各种网络协议。
5.标准化原则。遵循国家相关技术标准、国际开放技术标准、行业相关技术标准和企业相关技术标准,确保整个系统具有良好的开放性。系统设计在业务、技术两个层面都要遵从标准化原则,优先考虑国家和行业已有标准并提供支持。
6.可扩展性原则。系统设计时应充分考虑我行移动应用的发展规划,业务功能扩展能够方便、快速实现。系统软件平台应具有良好的可扩充能力,支持系统规模的扩大和业务范围的扩展。
7.可维护性原则。系统要求能记录完整的系统错误日志,能与我行现有的日志平台对接,在系统处理异常时,都能够根据日志快捷方便地定位出错误的具体位置、原因,而不是依赖查阅程序。
8.可管理性原则。系统需提供对运行情况的监控功能,从而保证系统的正常运行,同时使用有效的业务量监控技术,帮助业务发展做出准确评估,保证系统处理能力的及时扩容。系统应具备有效的、统一的手段和机制进行设备管理、应用软件版本管理、应用软件环境设置调整管理、开发管理、差错管理以及操作员、管理员管理。
9.最佳用户体验原则。系统与用户的交互界面应以最佳用户体验方式布局,方便用户操作。用户操作报错时支持清晰显示对应错误说明及处理办法。不会出现系统死锁现象。
3、业务需求
3.1业务功能
系统功能包括但不限于以下功能:
|
功能模块 |
子功能模块 |
功能项 |
功能描述 |
|
产品查询服务->往 (使用者) |
产品报告查询请求 |
产品查询 |
获取企业主体的资金流明细产品及报告产品:1、发起对共享平台报告产品查询请求; 2、接收共享平台反馈的结果信息; |
|
查看报告 |
对查询成功的产品报告数据进行展示(明细报告、产品报告) |
||
|
批量导出 |
导出查询记录信息; |
||
|
明细产品查询记录 |
查看报告 |
展示明细产品 |
|
|
数据校验 |
对明细产品记录数据进行校验,同时校验结果信息发送给共享平台 |
||
|
批量导出 |
记录查询记录信息; |
||
|
报告产品查询记录 |
查看报告 |
展示报告产品 |
|
|
数据校验 |
对产品报告记录数据进行数据校验和敏感词检测,校验结果信息发送给共享平台 |
||
|
批量导出 |
记录查询记录信息; |
||
|
产品调用服务<-来 (提供者) |
产品报告调用记录 |
提供产品报告 |
主动接受共享平台调用任务: 1、接收共享平台产品调用明细产品、报告产品请求; 2、推送本机构产品报告记录数据。 |
|
查看报告 |
支持根据记录本身“产品类型”展示产品报告 |
||
|
产品报告上报 |
支持手动提交产品报告记录。存在自动上报失败时,可以重试机制。 |
||
|
明细产品提供记录 |
查看报告 |
展示明细产品 |
|
|
报告产品提供记录 |
查看报告 |
展示报告产品 |
|
|
资金账号报告整合 |
资金账号报告整合 |
报告汇总查看 |
1、支持主体名称+统一社会信用编码、资金账号、币种类型三类维度将产品报告结果进行整合汇总查看,包括明细、产品报告; 2、支持机构内、机构外的报告汇总查看。 |
|
账户委托绑定管理 |
企业主体管理 |
维护企业主体信息 |
支持企业主体信息和主体资金账户信息进行新增、修改功能。 |
|
启用 |
支持主体信息置为启用“状态”,企业主体和资金账户可以正常使用。 |
||
|
停用 |
支持主体信息置为停用“状态”,企业主体和资金账户不可以使用。 |
||
|
批量导出 |
支持以Excel文件批量导出主体信息; |
||
|
导入主体信息 |
批量导入 |
支持Excel文件导入主体信息和资金账号信息 |
|
|
错误下载 |
支持对导入失败的记录写入文件,可以下载错误进行查看 |
||
|
账户委托记录 |
委托记录 |
1、接收资金账号绑定(简易模式/标准模式)请求、撤销委托协议通知、取消委托协议通知; 2、校验协议内容更新认证结果,更新资金账号委托状态(有效、失效)。 |
|
|
批量导出 |
支持以Excel文件批量导出资金账户委托记录信息; |
||
|
委托状态查询 |
查询委托协议 |
支持对共享平台协议状态查询,根据查询结果更新委托协议状态(有效、失效) |
|
|
批量导出 |
支持以Excel文件批量导出协议状态查询记录信息; |
||
|
账户授权协议管理 |
授权申请记录 |
网页端授权申请 |
1、向共享平台上报网页端查询授权申请,接收共享平台授权相关信息; 2、根据授权结果更新上报状态(申请中、申请失败、申请成功、申请失效、授权成功)。 |
|
小程序授权申请 |
1、向共享平台上报小程序的申请授权,接收共享平台授权相关信息 2、根据授权结果更新上报状态(申请中、申请失败、申请成功、申请失效、授权成功) |
||
|
关闭授权 |
1、根据授权申请编号提交共享平台进行终止授权申请 2、对授权协议进行批量终止并将授权申请置为“已关闭”状态 |
||
|
授权协议信息 |
产品报告查询 |
1、支持通过授权协议编号进行明细产品、报告产品查询申请,请求共享平台获取报告结果记录; 2、同“产品查询服务->往”模块,便捷用户操作。 |
|
|
终止授权协议 |
1、根据授权协议编号提交共享平台进行上报终止授权申请; 2、支持将同一授权申请编号下的授权协议进行单笔/批量授权终止。 |
||
|
审核授权协议 |
支持共享平台推送的撤销授权请求任务,机构根据要求提交人工审核结果;处理完成后上报共享平台。 |
||
|
批量导出 |
支持以Excel文件批量导出授权协议信息; |
||
|
授权协议查询 |
查询授权状态 |
1、支持向共享平台查询授权协议状态,共享平台反馈结果; 2、系统通过反馈结果更新授权协议状态(正常、已终止、已撤销、撤销中) |
|
|
批量导出 |
支持以Excel文件批量授权协议状态查询记录信息; |
||
|
资金流产品管理 |
明细产品管理 |
维护明细产品信息 |
支持页面修改、新增明细产品数据 |
|
查看报告 |
展示产品报告 |
||
|
重新生成报告 |
抽数、对数据进行校验并生成报告,完成报告产品采集 |
||
|
报告产品记录 |
查看报告 |
展示产品报告 |
|
|
任务处理信息 |
数据采集 |
对账户资金流水进行采集、加工的ETL任务统一调度查看执行结果: 1、 通过接口表采集资金流水数据加工为共享平台所需的报告类产品过程; 2、按照规范要求进行数据质量验证,对出错的数据进行错误记录,通过校验的正常数据加工成报告类产品。 |
|
|
数据质量管理 |
行内数据校验管理 |
查看校验 |
1、在数据采集、数据加工、报文生成、报文报送、报文接收各个环节中具备符合监管数据报送要求的校验功能; 2、检验范围:数据检验结果汇总表、数据校验结果明细表、不明确含义取值明细表、不满足更新时点明细表、时间区间不满足连续性明细表; 3、支持关联对应资金信息数据项进行修改; 4、数据校验错误定位准确,提示语简单易懂。 |
|
行外数据校验管理 |
查看校验 |
1、对查询获取到的产品报告按照人行共享平中要求进行质量校验; 2、数据校验错误定位准确,提示语简单易懂; 3、支持校验结果存在错误记录时,可对报告校验的结果,通过接口报文的形式发送至人行共享平台。 |
|
|
异议工单管理 |
异议工单信息 |
处理工单 |
接收共享平台下发异议工单信息,根据机构内部要求提交人工处理结果。等待共享平台返回审核意见,出现共享平台不同意审核结果需要机构再次提交人工处理结果。 |
|
上报处理 |
支持与共享平台进行对接,将处理结果反馈至共享平台端; |
||
|
查看审核 |
支持保存历史留言工单的接收、处理记录,以供查询 |
||
|
统计分析管理 |
账户委托分析 |
统计 |
根据条件统计账户委托授权相关数据:账号绑定、授权申请、授权协议 |
|
导出 |
导出统计结果 |
||
|
产品提供分析 |
统计 |
根据条件统计产品提供情况 |
|
|
导出 |
导出统计结果 |
||
|
产品查询分析 |
导出 |
导出统计结果 |
|
|
统计 |
根据条件统计产品调用情况 |
||
|
报文交互管理 |
报文交互信息 |
查看报文交互记录 |
记录机构往来共享平台交互的报文信息 |
|
共享平台探测 |
平台探测信息 |
简单探测 |
主要用于监测机构与共享平台间网络的连通性:手动发起接入机构-->共享平台简单探测 |
|
双向探测 |
主要用于监测机构与共享平台间网络的连通性:发起接入机构与共享平台间双向探测 |
||
|
通知信息管理 |
预警信息管理 |
预警规则配置 |
记录账号绑定、授权申请、授权协议、异议工单、数据质量、系统运行情况多种维度预警信息,机构根据实际情况启用或停用预警规则 |
|
短信通知管理 |
信息接收者管理 |
维护信息接收者信息:新增、修改、删除、导入 |
|
|
短信模板管理 |
1、账号绑定、授权申请、授权协议信息通知 2、提供有效模板内容,支持维护短信发送信息和信息接收人。支持新增、修改、删除、启用、停用。 |
||
|
短信发送记录 |
记录短信发送情况,支持删除、批量导出,发送失败的记录可以手动重新发送 |
||
|
接入验收管理 |
接入验收信息 |
测试数据提取 |
根据条件提取测试数据生成验收文件 |
|
导入人行测试数据 |
根据人行测试数据生成验收文件 |
||
|
下载 |
下载人行所需的验收文件 |
||
|
系统信息管理 |
机构信息管理 |
新增、修改 |
新增机构信息;修改机构信息; |
|
角色信息管理 |
新增、修改、删除、启用、停用、导出 |
新增角色信息;修改角色信息;删除没有关联账户的角色;角色启用;角色停用;根据条件筛选导出数据; |
|
|
用户信息管理 |
新增、修改、启用、停用、导出 |
新增用户信息;修改用户信息;用户启用;用户停用;根据条件筛选导出数据; |
|
|
重置密码 |
将用户登录密码进行重置; |
||
|
平台用户管理 |
平台用户信息管理 |
新增平台用户信息,修改用户信息,启用/停用平台用户; 根据条件筛选导出数据; |
|
|
返显密码:返显用户密码; |
|||
|
平台用户关联管理 |
新增平台用户与系统用户关联关系,删除平台用户与系统用户关联关系 |
||
|
数字证书管理 |
证书绑定管理 |
证书绑定 |
新增数字证书进行系统绑定 |
|
证书下载 |
对绑定的数字证书进行下载 |
||
|
参数配置管理 |
参数配置管理 |
修改 |
修改参数配置信息;例如下载、打印次数,以及其他监管要求或者系统等参数的设定 |
|
第三方支付机构维护 |
第三方支付机构维护 |
维护机构信息 |
对第三方支付机构进行新增、修改、删除 |
|
公告信息管理(非必要) |
公告信息管理 |
公告信息维护 |
维护公告内容:新增、修改、删除 |
|
发布 |
发布机构内容公示通知、政策法规公告 |
||
|
日志信息管理(非必要) |
日志信息记录 |
日志记录 |
详细记录业务操作日志、查询日志、系统登录日志、系统运行日志、系统异常日志等,支持日志下载 |
|
审批工作管理 |
审批流程配置 |
流程配置 |
支持【产品报告查询】、【异议工单处理】业务工作流程审批,管理员可根据审批角色制定审批流程,支持单级审批和多级逐级审批 |
|
审批代办管理 |
流程跟踪 |
展示审批设计流程和每个审批节点审批情况 |
|
|
办理任务 |
展示业务信息,审批人选择“同意”或“拒绝”并填写审批原因 |
||
|
审批核准记录 |
流程跟踪 |
展示审批设计流程和每个审批节点审批情况 |
|
|
查看记录 |
展示业务信息和审批结果 |
||
|
仿真模拟子系统(非必要) |
仿真模块管理 |
任务下发请求、删除、搜索,查看。 |
模拟共享平台从绑定账户,授权、查询、提供、工单,回执报文等各环节报文下发信息,用以在内测阶段验证全流程可行性。 |
3.3 数据要求
(1)确保数据在传输及业务处理过程中的正确性、完整性、一致性、安全性、不可抵赖性和防篡改性;
(2)敏感数据信息(密码等)须加密存储;
2、系统架构要求
2.1 系统的建设应遵循开放性、先进性、可扩展性、稳定性、安全性、经济性、前瞻性和可维护性相结合的原则。
2.2 投标供应商提供建议的系统软硬件平台及网络部署解决方案,系统所采用的软硬件平台应符合我行开发技术架构规范,方案应充分考虑业务发展、国产化软硬件支持和后续灾备建设的要求,系统不依赖于任何特定的操作系统、数据库、中间件和硬件平台,且具有高效稳定、可扩展性和可维护性强等特点。
2.3 具备良好的移植能力,完全支持虚拟机部署,且不影响系统功能。
2.4 支持全栈国产化适配,支持当下主流的国产化服务器、操作系统、数据库、中间件以及芯片,满足全栈国产化要求。同时支持国产化部署。
2.5 系统设计应遵循高内聚、低耦合的理念。能够按照我行ESB规范实现与行内现有系统的对接;对系统中的各种网络协议、硬件接口、数据接口等进行统一规划,满足我行现有系统的信息交互要求;同时预留接口实现与后期规划系统的对接,为未来的系统扩展奠定基础。
2.6 提供关于该系统的全部技术接口标准及相关工具,并对采购人将来可能引进或开发的第三方软件或服务提供支持;提供完整的接口、二次开发等相关技术文档资料,进行全面的技术转移。
2.7 与相关系统应具有良好的可对接性,能快速地实现与行内常用软件及应用服务进行集成,根据采购人要求可为相关对接开发工作免费提供相关的技术支持。
2.8 系统具有较强的配置功能,通过配置参数即可实现对现有功能或范围的调整及扩展,对常用参数提供灵活配置,如设备参数、系统参数等,以及各类审批流程、权限的灵活配置。
2.9 应遵循我行日志规范要求生成日志文件,系统具有详细的审计日志,包括系统日志、应用日志、错误日志、用户登录、注销和日常操作等日志,满足全面的审计要求。
2.10 设计方案必须符合行方系统建设安全规范,具备完善的安全管理机制,保证系统的功能安全、网络安全和数据安全,保证系统长期、稳定、可靠的运行。
2.11 系统支持服务器集群部署,支持负载均衡,支持两地三中心部署。
2.12 投标供应商提供的软件系统、SDK及第三方软件、SDK等不得设置、使用期限、文件大小、文件数量、设备数量、容量、流量等限制条件,也不得与硬件设备或相关配置(例如:IP地址、网卡、CPU等)进行绑定。投标供应商提供的软件系统及第三方软件包括开发平台、运行平台等系统应支持未来用户扩展要求。
2.13 客户端浏览器应兼容主流浏览器(IE、firefox 、Chrome 等)的最新版本,避免对单一浏览器的依赖。应用软件客户端应适配国产操作系统自带的免费浏览器或国产浏览器,不需要额外对浏览器进行设置或加载控件。
2.14 系统需满足我行的数据标准要求,符合行内各项数据规范,按照我行数据标准规范、数据同步规范和服务标准规范接入行内数据平台。若存在不符合我行数据标准的情形,须在项目实施过程中完成系统改造。
2.15 按照数据安全规范对敏感数据在传输、处理、存储环节进行加密脱敏处理。
2.16 支持国密算法加签、验签、加密、解密(软硬算法都支持)。
2.17 数据存储结构合理,具有合理的数据治理方案(例如系统备份、恢复、优化、空间规划等),避免冗余数据、清理垃圾数据、纠正不合规数据、补录缺失数据,具有良好的扩展性、维护性和稳定性。
2.18 支持goldenDB、TDSQL数据库,如暂不支持,在项目实施过程中应完成改造。
2.19 数据库库表设计时字段应包含创建时间、最后修改时间等时间属性或是否有效等标志属性。
2.20 数据库的每张表都应该具备生命周期管理的策略,尤其是流水表及操作日志等。
2.21 系统应遵循我行数据标准,依照我行数据标准落地。
2.22 支持录入和存储生僻字,支持UTF-8、GB-18030-2022等常用字符集,支持国标大字符集,支持在各系统数据交换过程中的码制转换。
2.23 投标供应商提供的产品需包含项目相关的具有合法使用权的工具软件和第三方SDK等,并且承诺使用的所有工具和软件没有所有权和知识产权纠纷,并保证工具软件和第三方SDK的可用性和可靠性。
3、系统技术功能要求
3.1 投标供应商中标后需协助采购人进行业务需求细化及补充完善,并最终实现业务需求。
3.2 投标供应商中标后必须在预定期限内实现业务需求所有功能模块。可根据需求增加功能,但不能减少功能。
3.3 具备数据清理机制及配套工具,以实现历史数据的归档备份、数据清理。
3.4 对海量数据采用读写分离、分库分表、内存数据处理等技术手段,保证海量数据处理高效性,支持高并发处理。
3.5 系统应使用SDK完全开源或者拥有所有源代码的稳定版本开发语言。不能使用存在商业专利未公开源码模块的Oracle JDK。
4、系统性能要求
4.2 系统事务处理能力(TPS):系统处理能力不低于30笔/秒。
4.3 系统平均响应时间:接口类业务处理等待时间不超过1秒,页面类业务处理等待时间不超过3秒。
4.4 服务器资源使用率:CPU和内存的使用率在系统运行高峰时均不超过80%,日常运行时均不超过50%。
4.5 集群建设:支持负载均衡部署,关键服务器需支持横向扩展。
4.6 交易成功率:系统运行时综合交易成功率不低于99%。
4.7 系统应具备足够的稳定性、较强的容错能力,能够提供保证系统正常稳定运行的高可用性方案。在运行环境安全稳定的基础上,应保证应用系统 7×24 小时不间断、稳定运行。
4.8 系统有完善的内存利用及管理功能,不得出现内存泄漏、进程大量锁死等影响系统性能的情况。
5、系统安全要求
5.1 系统要有高度的安全性,应用系统在不同层次进行安全控制,要求安全控制粒度在字段级别。提供信息数据加密技术,对信息、文件以及数据库、日志中的涉密信息进行加密处理。
5.2 系统应具备访问权限的识别和控制功能,没有进行安全认证的用户不得登入系统。系统中的各功能权限可以灵活设置,并分级控制。
5.3 系统用户管理应保证用户的唯一性,系统应该有完备的密码复杂性策略(最短长度、字符类别种类及数量、定时更换、禁止连续、密码历史、锁定机制等),不能以明文方式回显口令,口令应加密存储,提供口令恢复或重置功能。系统应具有防口令猜测功能、防暴力破解功能。
5.4 应用系统应提供合理的输入/输出合法性检测方式,对输入输出数据进行合法性验证,采取有效的措施保证导入导出数据的保密性与完整性。
5.5 有效防止数据被非法访问、篡改、丢失、复制。需对用户重要操作计入操作日志。
5.6 系统应具有完善的日志功能,能够记录系统异常情况及其他安全事件。系统日志分级清晰,分类清楚,时间点明确,内容连贯,含义清楚,方便查找错误和问题。能够提供详细有效的系统运行、用户使用等日志,便于对故障、事件和错误等进行分析和定位,方便事件处理和解决。有自动的日终数据备份或日志清理等功能。系统应支持安全审计,对关键事件要进行日志记录,且日志保存内容能够支持审计,日志的访问要有严格的访问控制,确保日志安全性、可用性,并提供符合要求的日志查询工具。审计日志应至少保存 1 年。
5.7 应用系统的日志具备数据脱敏功能,系统可以客户化的配置相应的敏感信息字段,系统可以根据配置的敏感信息字段对日志的内容自动进行脱敏处理。
5.8 应用系统所用安全协议、密码算法符合国家标准和相关法规、符合监管要求和行方规定,能够进行安全协议、密码算法的更换和升级。
5.9 重要数据及文件具有完善的手动、自动备份恢复功能。
5.10 提供灾难恢复的技术方案。
5.11 系统用户角色权限设计应遵循最小使用原则。应用系统部署应制定安全部署基线,应用服务部署应遵循最小范围原则。例如,应该使用没有安全漏洞和安全隐患的应用组件;应该对部属用户对磁盘文件及系统操作权限最小化;应对系统的操作都有授权访问措施等。
5.12 信息系统发生异常时,应向外部服务或应用程序的客户发送通用的信息或重定向到特定应用网页,不应暴露可能导致信息泄露的消息。不应暴露包括函数名以及调试内部版本出问题的行数的堆栈跟踪详细信息。
5.13 满足《中国银监会关于印发商业银行业务连续性监管指引的通知》(银监发【2011】104号)中有关要求,具备成熟完善的应急预案、灾难备份及其恢复的方案。并对该备份可提供的安全级别做出说明。
5.14 系统的各项安全性要求应满足现行的国家标准、金融行业标准及密码行业标准等规定的强制标准要求,对于推荐要求也应满足,如有未能满足应在投标文件、合同等中予以明确声明。
5.15 应用系统应确保不使用存在已知安全风险的开发组件、框架,上线投产前需通过我行组织的安全渗透测试,确保系统中不存在中级及以上级别的漏洞,应用系统维保期内,投标供应商应免费无条件提供及时的安全缺陷修复服务,在发现自身产品存在高风险安全漏洞时,应及时通知采购人并提供有效的升级修复方案。
5.16 满足监管及国家标准规范文件的要求,包括但不限于:《金融服务信息安全指南》(GB/T 27910-2011)、《个人金融信息保护技术规范》、《商业银行应用程序接口安全管理规范》、《移动金融客户端应用软件安全管理规范》、《金融科技应用风险专项摸排要求》、《中华人民共和国个人信息保护法》《中华人民共和国消费者权益保护法》。
5.17 积极配合赣州银行内外部审计机构检查,配合银行业监管机构检查,并根据检查结果进行整改,系统实施过程中监管政策及规范如果出现调整或更新,投标供应商需做相应调整以满足新的监管要求。
6、系统源代码开放要求
6.1 投标供应商所提供的底层算法、开发工具、平台产品、SDK等必须拥有完全独立的自主知识产权。投标供应商应向采购人承诺提供全部源代码(如不能提供需给出具体说明),且提供完整、准确的开发手册、相关说明文档。
6.2 在本次系统开发客户化过程中形成的源码,由采购人拥有。
6.3 采购人享有基于应用软件源代码基础扩展和功能修改的权利,并享有新开发功能的知识产权。
6.4 系统应保持代码风格的一致性,并提供准确和详细的代码注释,为系统后续修改提供便利,涉及规格说明和程序模块的修改,应在代码的注释行中充分记录下来。
6.5 投标供应商应免费向采购人提供开发培训和指导。
6.6 投标供应商须出具提供产品所有源代码(含现场开发的源代码)的承诺书并加盖公章。承诺提供全部源代码及源代码说明文档,进行无保留的知识转移,并与提供给我行的产品版本一致。同时投标供应商承诺在项目实施过程中所用到的第三方软件、源代码,不存在任何知识产权争议,采购人可以安全、合法地使用,并确保采购人无需支付额外费用。
7、系统使用要求
7.1 要求系统灵活,参数化程度高,具有良好的可配置性,非技术人员也可以经过简单培训后进行快速配置。
7.2 要求提供的平台能够很好的实现业务功能扩展,功能模块的结构设计是开放式、可扩展的,以便于根据我行业务和管理等方面的变化,对消息模板、功能模块等进行修改或者添加,数据存储和应用程序要分离,程序不得写死账号、名称、配置参数等信息。
7.3 系统响应速度要快、并发能力要强,能够保证可接入用户使用软件的高效访问。
7.4 系统运行稳定,各功能模块中数据的访问、传输、下载、分析、应用等过程必须有严格的权限控制。
7.5 系统交付使用后,不能出现系统崩溃、数据丢失等现象,同时系统要具有容错功能和防护功能,对输入项提供有效性数据检查,对于不正确的操作要给出适当的提示。
7.6 系统中所有提示信息应简单明确、易于理解,不应在出错或异常提示中出现用户看不懂的开发专业术语。
7.7 系统操作设置应遵循统一的风格,应用系统的风格应和操作系统风格保持一致。在同一信息系统中所有操作界面元素(按钮、操作图标、链接)的摆放方式应保持一致,以降低用户学习成本。在同一信息系统中,所有同类型操作应使用统一标识。
7.8 系统应对鼠标单击、双击触发的事件类型进行严格区分,避免用户误操作。
7.9 系统后端出错及异常提示后退回原界面时,应保留原界面中用户已经填写的内容,防止界面信息丢失、用户重新填写。对提交后出错或异常状态系统应给予用户一个友好的提示和帮助。并将界面控制焦点置于发生错误的控件对象上,将用户在该界面中所有的填写异常信息完整提示,避免多次提交失败。
7.10 系统应具有友好的显示界面,方便、实用、快捷的操作界面和操作菜单。
7.11 信息系统发生异常时,应终止当前业务,井对当前业务进行回滚操作,保证业务的完整性和有效性,必要时可以注销当前用户会话。
8、系统运维要求
8.1 业务监控:支持模型运行指标监控,识别模型服务异常告警机制,统计成功率、异常率等。实时监控业务处理情况,针对异常情况,可以通过制定一些逻辑及阈值产生报警。完成接入我行统一应用监控平台。
8.2 数据监控:支持对数据库监控,包括能否正常连接、sql执行耗时情况等。
8.3 技术监控:实时监控进程、内存、交易量、交易成功率、接口通讯、网络连接等信息,可以通过制定一些逻辑及阈值产生报警。协助接入我行统一应用监控平台。
8.4 文件处理监控:监控本系统与外围系统之间的文件是否按时到达、处理是否及时、文件内容处理成功率。
8.5 系统监控功能与系统建设同步进行,同步需求分析、同步设计、同步测试、同步上线试运行。
8.6 日常维护:提供系统服务的启停、维护窗口等常见的可视化运维工具。
8.7 备份和清理:根据事先制定的备份/清理策略对消息数据、程序、日志进行自动化的备份、恢复和清理。同时支持手工操作。
8.8 数据库数据备份、恢复方案:包括人工、自动、定时、全量、增量等,同时根据业务数据增长情况评测最佳备份方案。
8.9 应用系统灾备需求:不允许因为系统故障和故障恢复过程而中断系统服务。其物理部署架构必须保证在系统中不存在单点故障,提高系统的稳定性;对于在系统的运行过程中出现的各种各样的意外情况,必须及时发现和排除。
8.10 系统在出错时,应正确提示异常信息,支持快速准确捕获系统异常信息。异常信息应包含针对开发和维护人员调试使用的系统信息。
8.11 系统应提供多种日志类型的记录,包括系统运行日志、错误日志、登陆日志、调试日志。程序发生异常时,应在日志中记录详细的错误消息,便于维护者查找失效的原因。日志应遵循相应的日志规范要求。系统应支持日志开关配置,在需要调试的时候由运行维护人员决定是否开启日志,调试日志应把执行的SQL语句的执行时间、所用时长、执行结果写到日志文件中。
8.12 系统有自动异常处理机制,并将异常情况登记入库。
8.13 提供常见问题快速处理手册。
8.14 需与我行devops对接,支持一键启停,一键部署等;支持优雅启停,版本更新不影响业务处理。
9、系统风险控制要求
9.1 风险识别:针对项目全生命周期,包括整个实施过程、各个管理过程、重要的阶段和里程碑,和软件系统层面存在的风险点进行识别,包括(但不限于)需求风险、技术风险、资源(人员、设备、 环境)风险、沟通风险、管理风险、不可抗因素等。
9.2 风险应对策略:针对上述识别出来的风险点制定风险应对策略和具体方法,包括(但不限于)高端人员或产品团队支持,产品或技术支持,职责划分,制度与规范,策划与计划,培训与沟通等。
9.3 风险预案:针对断网等突发情况,投标供应商需在业务方案和技术方案中提供完整可行的预案。
10、知识产权要求
10.1 赣州银行拥有在本项目中由投标供应商提供的应用程序的永久使用、修改和复制权。
10.2 投标供应商实施本项目,需配备投标供应商开发的其它基础软件产品的,投标供应商须向赣州银行提供本项目应用程序相关的基础软件产品(包括但不限于发明、发现及相关技术资料、文档、程序源代码、可执行程序等)的全部源代码及文档(包括但不限于系统概要设计方案、系统详细设计方案、用户手册、测试报告、系统技术手册),赣州银行拥有在其范围内的永久使用、修改和复制权。
10.3 在项目实施中所产生的所有工作成果(包括但不限于发明、发现及相关技术资料、文档、程序源代码、可执行程序等)的知识产权归赣州银行所有。未经赣州银行同意,投标供应商不得再以任何形式使用以上成果,也不得将以上成果透露给任何第三方。
10.4 赣州银行可授权为其提供维护服务的第三方可以代表赣州银行对系统进行修改和复制,但赣州银行不用于其它任何商业用途。
10.5 赣州银行可授权其村镇银行等附属机构使用在项目实施中所产生的所有工作成果(包括但不限于发明、发现及相关技术资料、文档、程序源代码、可执行程序等)。
10.6 投标供应商系统所用到的第三方软件(包括开发平台、运行平台等其他非自有产权软件)必须是正版产品,具有原厂商授权,且必须为企业级应用产品,因侵权所产生的责任及费用由投标供应商承担。
10.7 投标供应商承诺所涉及第三方产品的知识产权/版权由投标供应商负责办理,并取得原知识产权/版权人的授权。由于投标供应商未取得原产权/版权人的授权,造成赣州银行损失的,由投标供应商负责。
10.8 投标供应商保证其所提供的产品及服务不侵犯第三方的知识产权,否则,由此给赣州银行造成的一切损失由投标供应商承担。
10.9 投标供应商系统所用到的第三方软件在性能、效率、安全性等方面必须满足赣州银行实际需求及未来五年的发展需求。系统上线五年内,因系统设计缺陷或考虑不足,为了支撑系统正常运行所必须追加的任何第三方软件费用由投标供应商承担。
11、系统版本管理要求
11.1 要求有完善的版本管理和文档管理的机制,对每一个版本都有详细的说明,实时更新各种项目文档。
11.2 版本发布要求采用增量发布形式。
11.3 源代码版本与文档管理支持与采购人配置管理软件或系统的集成。
五、商务条款
1、服务期限:2025年07月完成开发上线。
2、服务地点:采购人指定地点。
3、履约保证金:中标供应商须在发放中标通知书后30日内向采购人缴足中标总价5%的履约保证金,应当以支票、汇票、本票或者金融机构、担保机构出具的保函等非现金形式提交。履约保证金在项目验收合格并签署验收报告后无息退还给中标供应商,中标供应商未按合同约定履行义务时,履约保证金不予退还。
4、付款方式:付款方式按3:6:1专用的比例进行付款。项目组成员进场且项目合同签订生效后,中标人提供增值税专票和付款申请后一个月内,招标人支付合同总价的30%给中标人,项目验收合格并签署验收报告后招标人支付合同总价的60%给中标人,同时无息退还履约保证金。项目验收合格并签署验收报告后,进入系统免费维护期。系统免费维护期截止后,招标人支付合同总价的10%给中标人。
附件2
|
供应商报名登记表 |
|
项目名称: |
|
项目编号: |
|
品目号: |
|
供应商名称: |
|
联系人及联系方式: |
|
邮箱: |
|
通讯地址: |
赣公网安备36070002000058号