ประกวดราคาจ้างจัดทำระบบพัฒนาระบบฐานข้อมูลบริการ สำนักงานปลัดกระทรวงสาธารณสุข ตำบลตลาดขวัญ อำเภอเมืองนนทบุรี จังหวัดนนทบุรี 1 ระบบ

• เพื่อให้มีความปลอดภัยของ API Gateway กลางของกระทรวงสาธารณสุข
• เพื่อให้มีระบบกระจายภาระการทํางาน (Load Balancing) รองรับการเข้าถึงจากหน่วยงาน ผู้ใช้บริการจํานวนมากพร้อมกันได้อย่างมีประสิทธิภาพ
• สามารถจัดส่งบันทึกการตรวจสอบ (Audit Logs) เพื่อใช้ในการตรวจสอบย้อนหลังได้
• เพื่อให้มีระบบการจัดการนโยบาย (Policy Management)

• การตรวจสอบและกรองคําขอและการตอบกลับ (Request And Response)
  • ระบบสามารถตรวจสอบและกรองคําขอและการตอบกลับ (Request And Response) ที่เรียกเข้ามาได้
  • ระบบสามารถกรองการเข้าถึงจากที่อยู่ (IP Address) หรือ HTTP Header ได้
  • ระบบสามารถควบคุมปริมาณ (Throttling) และจํากัดจํานวน (Rate Limit) คําขอ (Request) ที่เข้ามาได้
  • ระบบสามารถเปลี่ยนช่องทางคําขอ (Redirect Request)
• การจัดการกําหนดเส้นทาง (Routing) และระบบกระจายภาระการทํางาน (Load Balancing)
  • ระบบสามารถกําหนดเส้นทางการรับส่งข้อมูลไปยังบริการที่เหมาะสมที่สุดในขณะนั้นแบบอัตโนมัติ
  • ระบบสามารถรองรับระบบกระจายภาระการทํางาน (Load Balancing) ผ่านเทคนิค
  • ระบบสามารถกําหนดคอมพิวเตอร์แม่ข่ายสํารอง (Backup Server)
  • ระบบสามารถกําหนดรูปแบบการกระจายงาน (Load balance algorithm) ได้อย่างน้อยดังนี้ Round Robin, Lease Connection, Cookie, Hash
  • ระบบรองรับการใช้งานแบบ DNS Load Balance
• การจัดการเวอร์ชั่นของ API
  • ระบบสามารถจัดการกับการเปลี่ยนแปลงเวอร์ชั่นของ API ทําได้ง่ายไม่กระทบต่อระบบที่ใช้งานอยู่ในปัจจุบัน
• การยืนยันตัวตน (Authentication) และ การอนุญาต (Authorization)
  • ระบบสามารถตรวจสอบและยืนยันตัวตนของผู้ใช้งานและกําหนดสิทธิการเข้าถึง โดยรองรับเทคนิคการยืนยันตัวตนอย่างน้อย ได้แก่ OAuth, JWT และระบบยืนยันตัวตนแบบพื้นฐาน (Basic Authentication)
  • ระบบรองรับการเข้าสู่ระบบแบบครั้งเดียว (Single Sign-on: SSO) ที่ใช้รูปแบบ OAuth๒ และ SAML ได้เป็นอย่างน้อย
• การจํากัดอัตราการเข้าถึง (Rate Limiting)
  • ระบบสามารถกําหนดขีดจํากัดการเข้าถึง API และจัดสรรทรัพยากรได้ตามนโยบายที่กําหนดไว้ (Quotas)
• การจัดเก็บข้อมูลชั่วคราว (Caching)
  • ระบบสามารถจัดเก็บผลการตอบสนองข้อมูลชั่วคราวได้
  • ระบบสามารถเลือกเปิดและปิดการจัดเก็บผลการตอบสนองข้อมูลชั่วคราวเป็นรายตัว (API Endpoint) ได้
  • ระบบสามารถกําหนดระยะเวลาการจัดเก็บผลการตอบสนองข้อมูลชั่วคราวเป็นรายตัว (API Endpoint) ได้
• การบันทึกกิจกรรม (Log) และการเฝ้าระวังระบบ (Monitoring)
  • ระบบสามารถส่งต่อการบันทึกกิจกรรม (Log) ของคําขอและการตอบกลับไปยังบริการการจัดเก็บการบันทึกกิจกรรม (Log) ในรูปแบบมาตรฐานตามพระราชบัญญัติว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๖๐
  • ระบบสามารถวิเคราะห์ประสิทธิภาพของ API Endpoint แยกตาม API Endpoint และผู้ใช้งานได้
  • ระบบสามารถวิเคราะห์ทรัพยากรของ API Gateway ได้
• การบังคับใช้นโยบายความปลอดภัย
  • ระบบสามารถใช้การเข้ารหัสแบบ SSL/TLS เพื่อป้องกันข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาต
  • ระบบสามารถรองรับมาตรฐานการเข้ารหัสแบบ TLSv๑.๓
  • มีระบบจัดการ API Endpoint สามารถกําหนดสิทธิ์การเข้าถึงของระบบ และกําหนดสิทธิ์ (Role) ตามหน้าที่ของผู้ใช้งาน (User) ได้
• การจัดการข้อผิดพลาดและการปรับเปลี่ยนข้อความ
  • ระบบสามารถตรวจจับและจัดการข้อผิดพลาดที่เกิดขึ้นก่อนส่งกลับไปยังผู้ใช้ และปรับแต่งข้อความข้อผิดพลาดเพื่อความเข้าใจง่าย
  • ระบบสามารถตั้งค่าระยะเวลาที่รอตอบสนองราย API Endpoint ได้
  • ระบบสามารถตรวจจับและตอบคําร้องขอว่าบริการมีปัญหา เมื่อเกินระยะเวลาที่ตั้งไว้
• การควบคุมระบบ
  • ระบบสามารถความคุมการทํางานของ API Gateway ผ่านหน้า GUI หรือผ่านระบบ API ได้โดยตรง
• การขยายระบบ
  • ระบบสามารถขยายการรองรับของระบบผ่านรูปแบบ Horizontal Scaling ได้
• ระบบสามารถรองรับการเชื่อมต่อข้อมูลอย่างน้อย 5,000 Transactions ต่อวินาที
• ผู้ยื่นข้อเสนอต้องให้บริการโครงสร้างพื้นฐานและระบบประมวลผลเพื่อติดตั้งระบบให้แก่กระทรวงสาธารณสุขอย่างน้อย ๑ ปี
• ผู้ยื่นข้อเสนอจะต้องทําการทดสอบระบบ (Penetration Testing and VA Scan) ก่อนขึ้นใช้งานระบบทุกระบบในลักษณะ Major Version ทุกครั้ง
• ผู้ยื่นข้อเสนอจะต้องสนับสนุนเชิงเทคนิคการเปลี่ยนถ่ายแพลตฟอร์มบริการทางการแพทย์ดิจิทัล กระทรวงสาธารณสุขให้มาใช้ระบบ API Gateway นี้โดยไม่มีค่าใช้จ่ายเพิ่มเติม อย่างน้อย ๓ ระบบ

• งวดที่ ๑:
  • แผนการดําเนินโครงการ (เอกสาร 2 ชุด และไฟล์ .docx, .pdf ใน Flash Drive 2 ชุด)
  • การออกแบบระบบและโครงสร้างฐานข้อมูล (เอกสาร 2 ชุด และไฟล์ .docx, .pdf ใน Flash Drive 2 ชุด)
• งวดที่ ๒:
  • ขั้นตอนและกําหนดการทดสอบระบบ (User Acceptance Test : UAT Scenario) (เอกสาร 2 ชุด และไฟล์ .docx, .pdf ใน Flash Drive 2 ชุด)
• งวดที่ ๓:
  • Source Code ของระบบฐานข้อมูลบริการ (ไฟล์อิเล็กทรอนิกส์ ใน Flash Drive จํานวน 2 ชุด)
  • คู่มือการใช้งานระบบระบบฐานข้อมูลบริการ (เอกสาร 2 ชุด และไฟล์ .docx, .pdf ใน Flash Drive 2 ชุด)
  • ผลการติดตั้ง API ที่พัฒนาไว้บนระบบคอมพิวเตอร์ที่ผู้ว่าจ้างกําหนด และอธิบาย API การเชื่อมโยงข้อมูลของระบบฐานข้อมูลบริการ พร้อมวิธีการเรียกใช้ API (เอกสาร 2 ชุด และไฟล์ .docx, .pdf ใน Flash Drive 2 ชุด)
  • รายงานผลการทดสอบระบบ (Penetration Testing and VA Scan) ของระบบฐานข้อมูลบริการ (เอกสาร 2 ชุด และไฟล์ .pdf และ .docx ใน Flash Drive จํานวน 2 ชุด)
  • รายงานการเปลี่ยนถ่ายแพลตฟอร์มบริการทางการแพทย์ดิจิทัล กระทรวงสาธารณสุขให้มาใช้ระบบ API Gateway (เอกสาร 2 ชุด และไฟล์ .pdf และ .docx ใน Flash Drive จํานวน 2 ชุด)
  • สําเนาสัญญาระหว่างผู้รับจ้างกับผู้ให้บริการโครงสร้างพื้นฐานและระบบประมวลผล ในการให้ใช้งานอย่างน้อย ๑ ปี จํานวน ๒ ชุด และรับรองสําเนาจากผู้มีอํานาจอนุมัติลงนาม

ผู้ยื่นข้อเสนอต้องดําเนินการให้แล้วเสร็จภายใน ๑๒๐ วันนับถัดจากวันลงนามในสัญญา

• Eligibility Requirements:
  • เป็นนิติบุคคลผู้มีอาชีพรับจ้างที่ประกวดราคาอิเล็กทรอนิกส์
  • ต้องลงทะเบียนในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (Electronic Government Procurement : e - GP) ของกรมบัญชีกลาง
  • กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย/กฎหมายต่างประเทศ ซึ่งได้จดทะเบียนเกินกว่า ๑ ปี ต้องมีมูลค่าสุทธิของกิจการเป็นบวก
  • กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย/กฎหมายต่างประเทศ ซึ่งยังไม่มีการรายงานงบแสดงฐานะการเงินกับกรมพัฒนาธุรกิจการค้า ต้องมีทุนจดทะเบียนที่เรียกชําระมูลค่าหุ้นแล้ว ณ วันที่ยื่นข้อเสนอ ไม่ต่ํากว่า ๓ ล้านบาท
  • กรณีผู้ยื่นข้อเสนอเป็นบุคคลธรรมดา ต้องมีเงินฝากคงเหลือในบัญชีธนาคารเป็นมูลค่าไม่น้อยกว่า ๑ ใน ๔ ของมูลค่างบประมาณโครงการ
  • กรณีที่ผู้ยื่นข้อเสนอมีคุณสมบัติไม่เป็นไปตามเกณฑ์ข้างต้น สามารถขอหนังสือรับรองวงเงินสินเชื่อจากธนาคารได้ โดยต้องมีวงเงินสินเชื่อจากธนาคารไม่น้อยกว่า ๑ ใน ๔ ของมูลค่างบประมาณของโครงการ
• Standards Compliance:
  • โครงสร้างพื้นฐานและระบบประมวลผลต้องมีมาตรฐานอย่างน้อยดังนี้:
    • ISO/IEC 27001
    • CSA-STAR Cloud Security (CSA STAR)
    • มีการจัดตั้งศูนย์ข้อมูลหลักในประเทศไทย (Data Localization)
    • ISO/IEC 27799
    • ISO 27017
• Technical Capabilities:
  • ระบบสามารถรองรับการเชื่อมต่อข้อมูลอย่างน้อย 5,000 Transactions ต่อวินาที
• Personnel:
  • คุณสมบัติของผู้ทดสอบช่องโหว่และการบุกรุกระบบ (Vulnerability Assessment & Penetration Testing) จะต้องเป็นบุคลากรคนเดียว หลายคน หรือรูปแบบบริษัท ที่ผ่านการอบรมและ ได้รับประกาศนียบัตร รวมแล้วไม่น้อยกว่า ๓ ประกาศนียบัตร ตามที่ระบุใน TOR ข้อ 4.14.1

พิจารณาตัดสินโดยใช้เกณฑ์ราคา และจะพิจารณาจากราคารวม

• ระบบ API Gateway ที่พัฒนาขึ้นจะต้องมีคุณสมบัติตามที่ระบุในขอบเขตงาน ข้อ 4.1 ถึง 4.12
• ระบบสามารถรองรับการเชื่อมต่อข้อมูลอย่างน้อย 5,000 Transactions ต่อวินาที
• ระบบสามารถใช้การเข้ารหัสแบบ SSL/TLS และรองรับมาตรฐานการเข้ารหัสแบบ TLSv๑.๓
• ระบบสามารถขยายการรองรับของระบบผ่านรูปแบบ Horizontal Scaling ได้
• ผู้ยื่นข้อเสนอต้องให้บริการโครงสร้างพื้นฐานและระบบประมวลผลเพื่อติดตั้งระบบให้แก่กระทรวงสาธารณสุขอย่างน้อย ๑ ปี โดยไม่มีค่าใช้จ่ายเพิ่มเติม
• ผู้ยื่นข้อเสนอจะต้องทําการทดสอบระบบ (Penetration Testing and VA Scan) ก่อนขึ้นใช้งานระบบทุกระบบในลักษณะ Major Version ทุกครั้ง

• แบ่งการจ่ายเงินออกเป็น ๓ งวด (ร้อยละ 15, 40, และ 45 ตามลำดับ)
• ค่าปรับในกรณีส่งมอบงานล่าช้า: ร้อยละ 0.10 ของวงเงินค่าจ้างต่อวัน แต่ไม่ต่ํากว่าวันละ 100 บาท
• การรับประกันความชํารุดบกพร่อง: ๑ ปี

• ถาม: ระบบ API Gateway นี้จะช่วยแก้ไขปัญหาอะไรในการเชื่อมต่อระบบของกระทรวงสาธารณสุข?
  • ตอบ: ระบบจะช่วยแก้ไขปัญหาด้านความปลอดภัย, การควบคุมดูแล, และการตรวจสอบการใช้งาน API ที่เกิดจากการเชื่อมต่อระหว่างหน่วยงานต่างๆ ทั้งภายในและภายนอกกระทรวง
• ถาม: ระบบมีการรองรับการยืนยันตัวตนแบบใดบ้าง?
  • ตอบ: ระบบรองรับการยืนยันตัวตนอย่างน้อย ได้แก่ OAuth, JWT และระบบยืนยันตัวตนแบบพื้นฐาน (Basic Authentication) รวมถึงรองรับการเข้าสู่ระบบแบบครั้งเดียว (Single Sign-on: SSO) ที่ใช้รูปแบบ OAuth๒ และ SAML
• ถาม: ผู้ยื่นข้อเสนอต้องมีคุณสมบัติอะไรบ้างในการทดสอบช่องโหว่ของระบบ (Penetration Testing)?
  • ตอบ: ผู้ทดสอบจะต้องเป็นบุคลากรที่ผ่านการอบรมและได้รับประกาศนียบัตรที่เกี่ยวข้องกับความปลอดภัยของระบบสารสนเทศ รวมแล้วไม่น้อยกว่า 3 ประกาศนียบัตรตามที่ระบุใน TOR
• ถาม: ระบบต้องมีกลไกในการป้องกันข้อมูลอย่างไรบ้าง?
  • ตอบ: ระบบสามารถใช้การเข้ารหัสแบบ SSL/TLS เพื่อป้องกันข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาต และรองรับมาตรฐานการเข้ารหัสแบบ TLSv๑.๓
• ถาม: จะมีการประเมินประสิทธิภาพของ API Endpoint อย่างไร?
  • ตอบ: ระบบสามารถวิเคราะห์ประสิทธิภาพของ API Endpoint แยกตาม API Endpoint และผู้ใช้งานได้ โดยแสดงผลในรูปแบบ Dashboard ที่แสดงจํานวนที่ร้องขอ, จํานวนที่ตอบกลับในแต่ละชนิด (HTTP Status Code), ค่าเฉลี่ยระยะเวลาที่ตอบกลับตามช่วงเวลา (API Status) และการบันทึกกิจกรรม (Log) ที่เกิดขึ้น
• ถาม: ระบบสามารถจัดการกับข้อผิดพลาดที่เกิดขึ้นได้อย่างไร?
  • ตอบ: ระบบสามารถตรวจจับและจัดการข้อผิดพลาดที่เกิดขึ้นก่อนส่งกลับไปยังผู้ใช้ และปรับแต่งข้อความข้อผิดพลาดเพื่อความเข้าใจง่าย
• ถาม: ผู้ยื่นข้อเสนอต้องให้การสนับสนุนการเปลี่ยนถ่ายระบบเดิมมาใช้ API Gateway อย่างไร?
  • ตอบ: ผู้ยื่นข้อเสนอต้องสนับสนุนเชิงเทคนิคการเปลี่ยนถ่ายแพลตฟอร์มบริการทางการแพทย์ดิจิทัล กระทรวงสาธารณสุขให้มาใช้ระบบ API Gateway นี้โดยไม่มีค่าใช้จ่ายเพิ่มเติม อย่างน้อย ๓ ระบบ เช่นระบบ PHR ระบบ MOPH Certificate ระบบนัดหมายออนไลน์ (MOPH Appointment) ระบบแจ้งเตือน (MOPH Alert) เป็นต้น
• ถาม: ระบบ API Gateway นี้สามารถขยายขนาดเพื่อรองรับปริมาณการใช้งานที่เพิ่มขึ้นในอนาคตได้อย่างไร?
  • ตอบ: ระบบสามารถขยายการรองรับของระบบผ่านรูปแบบ Horizontal Scaling ได้
• ถาม: ผู้ยื่นข้อเสนอต้องมีคุณสมบัติเรื่อง Data Center อย่างไร?
  • ตอบ: ติดตั้งอยู่บนศูนย์ข้อมูลคอมพิวเตอร์ (Data Center) อย่างน้อย จํานวน ๒ ศูนย์ข้อมูลขึ้นไป เพื่อให้เกิดความพร้อมใช้งานสูง (High availability) โดยไม่มีค่าใช้จ่ายเพิ่มเติม และ ต้องมีมาตรฐานอย่างน้อย ดังต่อไปนี้ 4.13.1 มาตรฐานการบริหารการรักษาความความปลอดภัย ISO/IEC 27001 4.13.2 มาตรฐานความปลอดภัยสําหรับระบบคลาวด์ CSA-STAR Cloud Security (CSA STAR) มีการจัดตั้งศูนย์ข้อมูลหลักในประเทศไทย (Data Localization) 4.13.4 มาตรฐานการรักษาความมั่นคงปลอดภัยของ Health Informatics หรือข้อมูลด้านสุขภาพโดยเฉพาะ ISO/IEC 27799 4.13.5 มาตรฐานการควบคุมด้านความมั่นคงปลอดภัยบนบริการคลาวด์ ISO 27017
• ถาม: หนังสือรับรองตัวแทนจําหน่าย (Certificate) ต้องมีรายละเอียดอย่างไร
  • ตอบ: สําหรับการให้บริการโครงสร้างพื้นฐานและระบบประมวลผล ตามมาตรฐานที่กําหนดในข้อ ๔.๑๓ ในวันที่กําหนดให้ยื่นข้อเสนอ

รายละเอียดขอบเขตของการจ้างงาน (Term of Reference : TOR)
จ้างจัดทําระบบพัฒนาระบบฐานข้อมูลบริการ
สํานักงานปลัดกระทรวงสาธารณสุข ตําบลตลาดขวัญ อําเภอเมืองนนทบุรี จังหวัดนนทบุรี ๑ ระบบ
๑. หลักการและเหตุผล
ตามที่รัฐบาลมีนโยบายเพื่อสร้างคุณภาพชีวิตที่ดีให้ประชาชน ด้วยการพัฒนาระบบสาธารณสุข ให้มีประสิทธิภาพมากขึ้น ยกระดับ “นโยบาย ๓๐ บาท รักษาทุกโรค” ให้ครอบคลุม มีคุณภาพและ มีประสิทธิภาพมากยิ่งขึ้น นําไปสู่นโยบายของกระทรวงสาธารณสุข ปีงบประมาณ พ.ศ. ๒๕๖๗ “ยกระดับ ๓๐ บาทรักษาทุกที่ ด้วยบัตรประชาชนใบเดียว” เพื่อให้ประชาชนสามารถเข้าถึงระบบบริการ ด้วยบัตรประชาชนใบเดียวรักษาได้ทุกที่ ทุกโรค รักษาฟรี โดยกระทรวงสาธารณสุขได้พัฒนาแพลตฟอร์ม สําหรับการให้บริการทางการแพทย์แก่ประชาชน ซึ่งการให้บริการในระบบต่าง ๆ ของกระทรวงสาธารณสุข มีการเชื่อมต่อ API Gateway (Application Programming Interfaces Gateway) หน่วยงานกับหน่วยงาน และหน่วยงานกับส่วนกลาง ทําให้ยากต่อการควบคุมดูแล รวมถึงตรวจสอบด้านความปลอดภัยของการใช้งาน API Gateway (Application Programming Interfaces Gateway) ต่าง ๆ นั้น
สํานักสุขภาพดิจิทัล สํานักงานปลัดกระทรวงสาธารณสุข ได้จัดทําโครงการจ้างจัดทําระบบพัฒนาระบบ ฐานข้อมูลบริการ สํานักงานปลัดกระทรวงสาธารณสุข ตําบลตลาดขวัญ อําเภอเมืองนนทบุรี จังหวัดนนทบุรี ๑ ระบบ เพื่อรับรองในการบริหารจัดการ ติดตาม และตรวจสอบจากส่วนกลางในการใช้งานระบบต่าง ๆ ของแพลตฟอร์ม บริการทางการแพทย์ดิจิทัล กระทรวงสาธารณสุข ให้มีประสิทธิภาพและความปลอดภัยตามมาตรฐานที่กําหนดไว้ เพื่อยกระดับคุณภาพบริการสุขภาพด้วยดิจิทัล
๒. วัตถุประสงค์
๒.๑ เพื่อให้มีความปลอดภัยของ API Gateway (Application Programming Interfaces Gateway) กลางของกระทรวงสาธารณสุข เปิดให้เชื่อมต่อระหว่างหน่วยงานกับหน่วยงาน และหน่วยงานกับส่วนกลาง
๒.๒ เพื่อให้มีระบบกระจายภาระการทํางาน (Load Balancing) รองรับการเข้าถึงจากหน่วยงาน ผู้ใช้บริการจํานวนมากพร้อมกันได้อย่างมีประสิทธิภาพ
๒.๓ สามารถจัดส่งบันทึกการตรวจสอบ (Audit Logs) เพื่อใช้ในการตรวจสอบย้อนหลังได้ ช่วยพิสูจน์ ตัวตนของบุคคลที่เข้าถึงหรือใช้งานระบบ API Gateway (Application Programming Interfaces Gateway) และรองรับการทํางานหลายรูปแบบ
๒.๔ เพื่อให้มีระบบการจัดการนโยบาย (Policy Management) เพื่อเป็นเครื่องมือในการกําหนดกฎเกณฑ์ ของผู้ใช้งานในการเข้าถึงระบบต่าง ๆ ในแพลตฟอร์มบริการทางการแพทย์ดิจิทัลได้อย่างถูกต้องและปลอดภัย ตามมาตรฐานที่กําหนดไว
ๆ
Мариов
๓. คุณสมบัติ…

• ๒ -
  m.
  คุณสมบัติของผู้ยื่นข้อเสนอ
  ๓.๑ มีความสามารถตามกฎหมาย ๓.๒ ไม่เป็นบุคคลล้มละลาย
  ๓.๓
  ไม่อยู่ระหว่างเลิกกิจการ
  ๓.๔ ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทําสัญญากับหน่วยงานของรัฐไว้ชั่วคราว เนื่องจากเป็นผู้ที่ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบที่รัฐมนตรี ว่าการกระทรวงการคลังกําหนดตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง
  ๓.๕ ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงานของหน่วยงานรัฐ ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็นหุ้นส่วน ผู้จัดการ กรรมการ ผู้จัดการ ผู้บริหาร ผู้มีอํานาจในการดําเนินงานในกิจกรรมของนิติบุคคลนั้นด้วย
  ๓.๖ มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างและ
  การบริหารพัสดุภาครัฐกําหนดในราชกิจจานุเบกษา
  ๓.๗ เป็นนิติบุคคลผู้มีอาชีพรับจ้างที่ประกวดราคาอิเล็กทรอนิกส์
  ๓.๔ ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่นที่เข้ายื่นข้อเสนอให้แก่สํานักงานปลัดกระทรวง สาธารณสุข ณ วันประกาศประกวดราคาอิเล็กทรอนิกส์ หรือไม่เป็นผู้กระทําการอันเป็นการขัดขวางการแข่งขัน อย่างเป็นธรรมในการประกวดราคาอิเล็กทรอนิกส์ครั้งนี้
  ๓.๙. ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกัน ซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทยเว้นแต่รัฐบาลของผู้ยื่น ข้อเสนอได้มีคําสั่งให้สละเอกสิทธิ์และความคุ้มกันเช่นว่านั้น
  ผู้ยื่นข้อเสนอที่ยื่นข้อเสนอในรูปแบบของ “กิจการร่วมค้า” ต้องมีคุณสมบัติดังนี้
  กรณีที่ข้อตกลงระหว่างผู้เข้าร่วมค้ากําหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก
  ข้อตกลงระหว่างผู้เข้าร่วมค้าจะต้องมีการกําหนดสัดส่วนหน้าที่และความรับผิดชอบในปริมาณงาน สิ่งของ หรือ
  มูลค่าตามสัญญาของผู้เข้าร่วมค้าหลักมากกว่าผู้เข้าร่วมค้ารายอื่นทุกราย
  กรณีที่ข้อตกลงระหว่างผู้เข้าร่วมค้ากําหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก
  กิจการร่วมค้านั้นต้องใช้ผลงานของผู้เข้าร่วมค้าหลักรายเดียวเป็นผลงานของกิจการร่วมค้าที่ยื่นข้อเสนอ
  สําหรับข้อตกลงระหว่างผู้เข้าร่วมค้าที่ไม่ได้กําหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้เข้าร่วมค้าหลัก
  ผู้เข้าร่วมค้าทุกรายจะต้องมีคุณสมบัติครบถ้วนตามเงื่อนไขที่กําหนดไว้ในเอกสารเชิญชวน
  กรณีที่ข้อตกลงระหว่างผู้เข้าร่วมค้ากําหนดให้มีการมอบหมายผู้เข้าร่วมค้ารายใดรายหนึ่ง
  เป็นผู้ยื่นข้อเสนอ ในนามกิจการร่วมค้า การยื่นข้อเสนอดังกล่าวไม่ต้องมีหนังสือมอบอํานาจ
  สําหรับข้อตกลงระหว่างผู้เข้าร่วมค้าที่ไม่ได้กําหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้ยื่นข้อเสนอ
  ผู้เข้าร่วมค้าทุกรายจะต้องลงลายมือชื่อในหนังสือมอบอํานาจให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่นข้อเสนอในนาม
  กิจการร่วมค้า
  ๓.๑๑ ผู้ยื่นข้อเสนอต้องลงทะเบียนในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (Electronic
  Government Procurement : e - GP) ของกรมบัญชีกลาง
  MA
  ๓.๑๒ ผู้ยื่นข้อเสนอ….
• 60 -
  ๓.๑๒ ผู้ยื่นข้อเสนอต้องมีมูลค่าสุทธิของกิจการ ดังนี้
  ๓.๑๒.๑ กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย/กฎหมายต่างประเทศ ซึ่งได้จดทะเบียนเกินกว่า ๑ ปี ต้องมีมูลค่าสุทธิของกิจการ จากผลต่างระหว่างสินทรัพย์สุทธิหักด้วยหนี้สินสุทธิ ที่ปรากฏในงบแสดงฐานะการเงินที่มีการตรวจรับรองแล้ว ของ ๑ ปีสุดท้ายก่อนวันยื่นข้อเสนอ ซึ่งจะต้องแสดงค่าเป็นบวก
  ๓.๑๒.๒ กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย/กฎหมายต่างประเทศ
  ซึ่งยังไม่มีการรายงานงบแสดงฐานะการเงินกับกรมพัฒนาธุรกิจการค้า ให้พิจารณาการกําหนดมูลค่าของทุนจด ทะเบียน โดยผู้ยื่นข้อเสนอจะต้องมีทุนจดทะเบียนที่เรียกชําระมูลค่าหุ้นแล้ว ณ วันที่ยื่นข้อเสนอ ไม่ต่ํากว่า ๓ ล้านบาท
  ๓.๑๒.๓ กรณีผู้ยื่นข้อเสนอเป็นบุคคลธรรมดาถือสัญชาติไทย/บุคคลธรรมดาที่มิได้ถือสัญชาติไทย ให้พิจารณาจากหนังสือรับรองเงินฝาก โดยต้องมีนาเงินฝากคงเหลือในบัญชีธนาคารเป็นมูลค่าไม่น้อยกว่า ๑ ใน ๔
  ของมูลค่างบประมาณโครงการหรือรายการที่ยื่นข้อเสนอในแต่ละครั้งและหากเป็นผู้ชนะการจัดซื้อจัดจ้างหรือเป็น ผู้ได้รับการคัดเลือก จะต้องแสดงหนังสือรับรองบัญชีเงินฝากที่มีมูลค่าดังกล่าวอีกครั้งหนึ่งในวันลงนามในสัญญา ทั้งนี้ หนังสือรับรองบัญชีเงินฝากซึ่งธนาคารออกให้แก่ผู้ยื่นข้อเสนอนับถึงวันยื่นข้อเสนอหรือวันลงนามในสัญญา
  ไม่เกิน ๙๐ วัน
  ๓.๑๒.๔ กรณีที่ผู้ยื่นข้อเสนอมีคุณสมบัติไม่เป็นไปตามข้อ ๓.๑๒.๑ ข้อ ๓.๑๒.๒ และ ข้อ ๓.๑๒.๓ ผู้ยื่นข้อเสนอสามารถขอหนังสือรับรองวงเงินสินเชื่อที่ธนาคารภายในประเทศ หรือบริษัทเงินทุน หรือบริษัทเงินทุนหลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์และประกอบธุรกิจค้ําประกัน
  ตามประกาศของธนาคารแห่งประเทศไทย ตามรายชื่อบริษัทเงินทุนที่ธนาคารแห่งประเทศไทยแจ้งเวียนให้ทราบ
  หรือเป็นสินเชื่อที่ธนาคารต่างประเทศหรือบริษัทเงินทุนหรือบริษัทเงินทุนหลักทรัพย์ที่ได้รับอนุญาตให้ประกอบ
  กิจการเงินทุนที่ธนาคารกลางของประเทศนั้นแจ้งเวียนให้ทราบ โดยพิจารณาจากยอดเงินรวมของวงเงินสินเชื่อที่ สํานักงานใหญ่รับรอง หรือที่สํานักงานสาขารับรอง (กรณีได้รับมอบอํานาจจําสักนักงานใหญ่) ซึ่งออกให้แก่ผู้ยื่น ข้อเสนอ นับถึงวันยื่นข้อเสนอไม่เกิน ๙๐ วัน โดยต้องมีวงเงินสินเชื่อจากธนาคารไม่น้อยกว่า ๑ ใน ๔ ของมูลค่า งบประมาณของโครงการหรือรายการที่ยื่นข้อเสนอในแต่ละครั้ง ทั้งนี้ สําหรับธนาคารภายในประเทศ หนังสือ
  รับรองวงเงินสินเชื่อให้เป็นไปตามแบบที่กําหนด
  ๓.๑๒.๕ กรณีนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายต่างประเทศและบุคคลธรรมดาที่มิได้ถือสัญชาติ ไทย ตามข้อ ๓.๑๒.๒ ข้อ ๓.๑๒.๓ และ ข้อ ๓.๑๒.๔ มูลค่าจะต้องเป็นไปตามอัตราแลกเปลี่ยนเงินตราตาม ประกาศที่ธนาคารแห่งประเทศไทยกําหนดในช่วงระหว่างวันที่เผยแพร่ประกาศและเอกสารเชิญชวนในระบบจัดซื้อ จัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (e-GP) หรือมีหนังสือเชิญชวน จนถึงวันเสนอราคา
  ๓.๑๒.๖ กรณีตาม ๓.๑๒.๑ - ๓.๑๒.๔ ยกเว้นสําหรับกรณีดังต่อไปนี้
  ๓.๑๒.๖.๑ กรณีที่ผู้ยื่นข้อเสนอเป็นหน่วยงานของรัฐ
  ๓.๑๒.๖.๒ นิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยที่อยู่ระหว่างการฟื้นฟูกิจการตาม
  พระราชบัญญัติล้มละลาย (ฉบับที่ ๑๐) พ.ศ. ๒๕๖๑
  ๔. ขอบเขตของงาน…
• ๔ -
  ๔. ขอบเขตของงาน
  ดังต่อไปนี้
  ที่เข้ามาได้
  ผู้ยื่นข้อเสนอต้องดําเนินการจัดทําระบบพัฒนาระบบฐานข้อมูลบริการ (API Gateway) รายละเอียด
  ๔.๑ การตรวจสอบและกรองคําขอและการตอบกลับ (Request And Response)
  ที่เรียกเข้ามาได้
  ๔.๑.๑ ระบบสามารถตรวจสอบและกรองคําขอและการตอบกลับ (Request And Response)
  ๔.๑.๒ ระบบสามารถกรองการเข้าถึงจากที่อยู่ (IP Address) หรือ HTTP Header ได้ ๔.๑.๓ ระบบสามารถควบคุมปริมาณ (Throttling) และจํากัดจํานวน (Rate Limit) คําขอ (Request)
  ๔.๑.๔ ระบบสามารถเปลี่ยนช่องทางคําขอ (Redirect Request) ที่เรียกเข้ามาไปยังช่องทางอื่น ที่กําหนดไว้ได้ (Fallback Rule) หากเครื่องมือจัดการ API (External API) เกิดขัดข้องหรือไม่สามารถให้บริการได้
  (Service Down)
  ๔.๒ การจัดการกําหนดเส้นทาง (Routing) และระบบกระจายภาระการทํางาน (Load Balancing)
  ๔.๒.๑ ระบบสามารถกําหนดเส้นทางการรับส่งข้อมูลไปยังบริการที่เหมาะสมที่สุดในขณะนั้น
  แบบอัตโนมัต
  ๔.๒.๒ ระบบสามารถรองรับระบบกระจายภาระการทํางาน (Load Balancing) ผ่านเทคนิค เพื่อรักษาความเสถียรของระบบ
  ๔.๒.๓ ระบบสามารถกําหนดคอมพิวเตอร์แม่ข่ายสํารอง (Backup Server) หากคอมพิวเตอร์แม่ข่าย ในตัวกระจายงาน (Load Balance Pool) ไม่สามารถให้บริการได้
  ๔.๒.๔ ระบบสามารถกําหนดรูปแบบการกระจายงาน (Load balance algorithm) ได้อย่างน้อยดังนี้
  Round Robin, Lease Connection, Cookie, Hash
  ๔.๒.๕ ระบบรองรับการใช้งานแบบ DNS Load Balance
  ๔.๓ การจัดการเวอร์ชั่นของ API
  อยู่ในปัจจุบัน
  ๔.๓.๑ ระบบสามารถจัดการกับการเปลี่ยนแปลงเวอร์ชั่นของ API ทําได้ง่ายไม่กระทบต่อระบบที่ใช้งาน
  ๔.๔ การยืนยันตัวตน (Authentication) และ การอนุญาต (Authorization)
  ๔.๔.๑ ระบบสามารถตรวจสอบและยืนยันตัวตนของผู้ใช้งานและกําหนดสิทธิการเข้าถึง โดยรองรับเทคนิคการยืนยันตัวตนอย่างน้อย ได้แก่ OAuth, JWT และระบบยืนยันตัวตนแบบพื้นฐาน
  (Basic Authentication)
  ๔.๔.๒ ระบบรองรับการเข้าสู่ระบบแบบครั้งเดียว (Single Sign-on: SSO) ที่ใช้รูปแบบ OAuth๒ และ SAML ได้เป็นอย่างน้อย
  ๔.๕ การจํากัด…
  мароб
  Sw
• & -
  ๔.๕ การจํากัดอัตราการเข้าถึง (Rate Limiting)
  ๔.๕.๑ ระบบสามารถกําหนดขีดจํากัดการเข้าถึง API และจัดสรรทรัพยากรได้ตามนโยบาย
  ที่กําหนดไว้ (Quotas)
  ๔.๖ การจัดเก็บข้อมูลชั่วคราว (Caching)
  ๔.๖.๑ ระบบสามารถจัดเก็บผลการตอบสนองข้อมูลชั่วคราวได้ โดยสามารถกําหนดว่า
  จะเลือกเก็บผลการตอบสนองใดและเก็บไว้นานเท่าใด ช่วยลดเวลาตอบสนองและภาระการประมวลผล
  ที่ backend โดยการจัดเก็บข้อมูลที่ไม่ต้องการการปรับปรุงแบบเรียลไทม์
  ๔.๖.๒ ระบบสามารถเลือกเปิดและปิดการจัดเก็บผลการตอบสนองข้อมูลชั่วคราวเป็นรายตัว
  (API Endpoint) ได้
  ๔.๖.๓ ระบบสามารถกําหนดระยะเวลาการจัดเก็บผลการตอบสนองข้อมูลชั่วคราวเป็นรายตัว (API Endpoint) ได้
  ๔.๗ การบันทึกกิจกรรม (Log) และการเฝ้าระวังระบบ (Monitoring)
  ๔.๗.๑ ระบบสามารถส่งต่อการบันทึกกิจกรรม (Log) ของคําขอและการตอบกลับไปยังบริการ การจัดเก็บการบันทึกกิจกรรม (Log) ในรูปแบบมาตรฐานตามพระราชบัญญัติว่าด้วยการกระทําความผิดเกี่ยวกับ คอมพิวเตอร์ พ.ศ. ๒๕๖๐ และเพิ่มเติม ดังนี้
  และผู้ใช้งานได้
  ๔.๗.๑.๑ วันเวลาที่ส่งคําขอหรือการตอบกลับ
  ๔.๗.๑.๒ ข้อมูลที่ร้องขอหรือตอบกลับ
  ๔.๗.๑.๓ บริการที่เรียกใช้หรือบริการที่ตอบกลับ
  ๔.๗.๑.๔ ชื่อผู้ร้องขอและชื่อหน่วยบริการที่เรียกใช้ระบบ
  ๔.๗.๒ ระบบสามารถวิเคราะห์ประสิทธิภาพของ API Endpoint แยกตาม API Endpoint
  ๔.๒.๒.๑ ระบบสามารถแสดงผลในรูปแบบ Dashboard ได้
  ๔.๒.๒.๒ ระบบสามารถแสดงผลจํานวนที่ร้องขอ, จํานวนที่ตอบกลับในแต่ละชนิด
  (HTTP Status Code), ค่าเฉลี่ยระยะเวลาที่ตอบกลับตามช่วงเวลา (API Status)
  ๔.๒.๒.๓ ระบบสามารถแสดงการบันทึกกิจกรรม (Log) ที่เกิดขึ้นได้
  ๔.๗.๓ ระบบสามารถวิเคราะห์ทรัพยากรของ API Gateway ได้
  ๔.๗.๓.๑ ระบบสามารถแสดงผลในรูปแบบ Dashboard ได้
  ๔.๗.๓.๒ ระบบสามารถแสดงผลจํานวนทรัพยากรที่ใช้ในระบบได้ เช่น ร้อยละของการใช้งาน
  ของหน่วยประมวลผลกลาง, ปริมาณหน่วยความจําหลัก (RAM), ปริมาณการรับส่งข้อมูลขาเข้า, ปริมาณการรับส่ง ข้อมูลขาออก
  в мариот
  ฉ
  ๕.๘ การบังคับ…
• b-
  ๔.๔ การบังคับใช้นโยบายความปลอดภัย
  ๔.๔.๑ ระบบสามารถใช้การเข้ารหัสแบบ SSL/TLS เพื่อป้องกันข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาต ๔.๔.๒ ระบบสามารถรองรับมาตรฐานการเข้ารหัสแบบ TLSv๑.๓
  ๔.๔.๓ มีระบบจัดการ API Endpoint สามารถกําหนดสิทธิ์การเข้าถึงของระบบ และกําหนดสิทธิ์ (Role) ตามหน้าที่ของผู้ใช้งาน (User) ได้
  ๔.๙ การจัดการข้อผิดพลาดและการปรับเปลี่ยนข้อความ
  ๔.๔.๑ ระบบสามารถตรวจจับและจัดการข้อผิดพลาดที่เกิดขึ้นก่อนส่งกลับไปยังผู้ใช้ และ ปรับแต่งข้อความข้อผิดพลาดเพื่อความเข้าใจง่าย
  ๔.๔.๒ ระบบสามารถตั้งค่าระยะเวลาที่รอตอบสนองราย API Endpoint ได้
  ๔.๔.๓ ระบบสามารถตรวจจับและตอบคําร้องขอว่าบริการมีปัญหา เมื่อเกินระยะเวลาที่ตั้งไว้
  ๔.๑๐ การควบคุมระบบ
  ๔.๑๐.๑ ระบบสามารถความคุมการทํางานของ API Gateway ผ่านหน้า GUI หรือผ่านระบบ API ได้โดยตรง
  ๔.๑๑ การขยายระบบ
  ๔.๑๑.๑ ระบบสามารถขยายการรองรับของระบบผ่านรูปแบบ Horizontal Scaling ได้
  ๔.๑๒ ระบบสามารถรองรับการเชื่อมต่อข้อมูลอย่างน้อย 5,000 Transactions ต่อวินาที
  ๔.๑๓ ผู้ยื่นข้อเสนอต้องให้บริการโครงสร้างพื้นฐานและระบบประมวลผลเพื่อติดตั้งระบบให้แก่กระทรวง สาธารณสุขอย่างน้อย ๑ ปี นับจากส่งมอบระบบ ติดตั้งอยู่บนศูนย์ข้อมูลคอมพิวเตอร์ (Data Center) อย่างน้อย จํานวน ๒ ศูนย์ข้อมูลขึ้นไป เพื่อให้เกิดความพร้อมใช้งานสูง (High availability) โดยไม่มีค่าใช้จ่ายเพิ่มเติม และ ต้องมีมาตรฐานอย่างน้อย ดังต่อไปนี้
  STAR)
  ๔.๑๓.๑ มาตรฐานการบริหารการรักษาความความปลอดภัย ISO/IEC 27001
  ๔.๑๓.๒ มาตรฐานความปลอดภัยสําหรับระบบคลาวด์ CSA-STAR Cloud Security (CSA
  มีการจัดตั้งศูนย์ข้อมูลหลักในประเทศไทย (Data Localization)
  ๔.๑๓.๔ มาตรฐานการรักษาความมั่นคงปลอดภัยของ Health Informatics หรือข้อมูล
  ด้านสุขภาพโดยเฉพาะ ISO/IEC 27799
  ๔.๑๓.๕ มาตรฐานการควบคุมด้านความมั่นคงปลอดภัยบนบริการคลาวด์ ISO 27017
  ๔.๑๔ ผู้ยื่นข้อเสนอจะต้องทําการทดสอบระบบ (Penetration Testing and VA Scan) ก่อนขึ้นใช้งาน ระบบทุกระบบในลักษณะ Major Version ทุกครั้ง โดยมีรายละเอียดอย่างน้อย ดังนี้
  ๔.๑๔.๑ คุณสมบัติของผู้ทดสอบช่องโหว่และการบุกรุกระบบ (Vulnerability Assessment & Penetration Testing) จะต้องเป็นบุคลากรคนเดียว หลายคน หรือรูปแบบบริษัท ที่ผ่านการอบรมและ ได้รับประกาศนียบัตรรวมแล้วไม่น้อยกว่า ๓ ประกาศนียบัตร ดังนี้
  ๔.๑๔.๑.๑ Certified…
  p
• ๗ -
  ๔.๑๔.๑.๑ Certified Information Systems Security Professional (CISSP) - ISC2
  ๔.๑๔.๑.๒ Certified Information Security Manager (CISM) – ISACA
  ๔.๑๔.๑.๓ Certified in Risk and Information Systems Control (CRISC) – ISACA
  ๔.๑๔.๑.๔ Certified Secure Software Lifecycle Professional (CSSLP)
  ๔.๑๔.๑.๕ Certified Data Privacy Solutions Engineer (CDPSE)
  ๔.๑๔.๑.๖ GIAC Exploit Researcher and Advanced Penetration Tester (GXPN)
  ๔.๑๔.๑.๗ GIAC Web Application Penetration Tester (GWAPT)
  ๔.๑๔.๑.๘ GIAC Penetration Testing Certification (GPEN)
  ๔.๑๔.๑.๙ Offensive Security Experienced Penetration Tester (OSEP)
  ๔.๑๔.๑.๑๐ Offensive Security Web Expert (OSWE)๔.๑๔.๑.๑๑ Offensive
  Security Certified Expert (OSCE)
  ๔.๑๔.๑.๑๒ Offensive Security Certified Professional (OSCP)
  ๔.๑๔.๑.๑๓ EC-Council Certified Security Analyst (ECSA)
  ๔.๑๔.๑.๑๔ Certified Ethical Hacker (CEH)
  ๔.๑๔.๑.๑๕ System Security Certified Practitioners (SSCP) - ISC2
  ๔.๑๔.๑.๑๖ Certified Penetration Testing Engineer (CPTE) - Mile2
  ๔.๑๔.๑.๑๗ CompTIA PenTest+
  ๔.๑๔.๑.๑๘ CREST Practitioner Security Analyst - CREST CPSA
  ๔.๑๔.๑.๑๙ CREST Registered Penetration Tester - CREST CRT
  ๔.๑๔.๒ มีผลการตรวจสอบ วิเคราะห์ ประเมินและจัดลําดับความเสี่ยงด้านความมั่นคงปลอดภัย เทคโนโลยีสารสนเทศและการสื่อสาร เพื่อเฝ้าระวังภัยคุกคามทางไซเบอร์ (Penetration Testing) โดยทําการทดสอบ เจาะระบบจากภายในเครือข่ายองค์กร และภายนอกเครือข่ายองค์กร ด้วยวิธีการแบบ Grey-Box Penetration Testing การดําเนินงานจะต้องครอบคลุมการทดสอบ หาเป้าหมายทั้งแบบทางตรงและทางอ้อม จัดทํารายงาน ที่แสดงขั้นตอนหรือวิธีการในการบุกรุก พร้อมทั้งดําเนินการวิเคราะห์และสรุปผลการดําเนินงาน แนวทางในการปรับปรุง แก้ไข ประเมิน และจัดลําดับความเสี่ยง และดําเนินการแก้ไขปิดช่องโหว่ที่ตรวจพบ โดยวิเคราะห์ผลเชื่อมโยง ช่องโหว่ที่ตรวจพบกับเกณฑ์มาตรฐานและแนวทางปฏิบัติ ดังนี้
  อย่างน้อย ดังนี้
  ๔.๑๔.๒.๑ มาตรฐาน Penetration Testing Execution Standard (PTES)
  ๔.๑๔.๒.๒ Open Web Application Security Project (OWASP) TOP10 เวอร์ชั่นล่าสุด ๔.๑๔.๓ จัดทํารายงานผลการดําเนินการตรวจสอบช่องโหว่ที่สําคัญ (Vulnerability Assessment)
  мрагий
  ๔.๑๔.๓.๑ สรุปผล…
  1
  ๔.๑๔.๓.๑ สรุปผลการดําเนินการตรวจสอบ วิเคราะห์ และประเมินความเสี่ยง
  ของช่องโหว่ที่สําคัญและการจัดลําดับความเสี่ยงที่ต้องเร่งดําเนินการแก้ไข
  ๔.๑๔.๓.๒ สรุปผลการทดสอบการเจาะระบบจากภายในเครือข่ายองค์กรและภายนอก เครือข่ายองค์กรด้วยวิธีการแบบ Grey-Box Penetration Testing รายงานแสดง ขั้นตอนวิธีการในการบุกรุก พร้อมทั้งดําเนินการวิเคราะห์และสรุปผลการดําเนินงานแนวทางในการปรับปรุงแก้ไข ประเมินและจัดลําดับ ความเสี่ยง โดยจะต้องอ้างอิงกับมาตรฐานและแนวทางปฏิบัติ ได้แก่ มาตรฐาน Penetration Testing Execution
  Standard (PTES) และ OWASP
  ๔.๑๔.๓.๓ สรุปผลการตรวจสอบจากการใช้เครื่องมือตรวจสอบ (Scanning Tool) ๔.๑๔.๓.๔ สรุปการดําเนินการแก้ไขปิดช่องโหว่ที่ตรวจพบ
  ๔.๑๔.๓.๕ ข้อเสนอแนะแนวทางการป้องกันและแก้ไขปิดช่องโหว่และการบุกรุก
  ๔.๑๕ ผู้ยื่นข้อเสนอจะต้องสนับสนุนเชิงเทคนิคการเปลี่ยนถ่ายแพลตฟอร์มบริการทางการแพทย์ดิจิทัล กระทรวงสาธารณสุขให้มาใช้ระบบ API Gateway นี้โดยไม่มีค่าใช้จ่ายเพิ่มเติม อย่างน้อย ๓ ระบบ เช่นระบบ PHR ระบบ MOPH Certificate ระบบนัดหมายออนไลน์ (MOPH Appointment) ระบบแจ้งเตือน (MOPH Alert) เป็นต้น
  ๕. สถาปัตยกรรม
  หน่วยงาน
  Data Exchange Gateway Concept Design
  API Gateway
  Services
  หน่วยงาน รพ
  (Dynamic IP)
  Agent
  หน่วยงานกลาง
  (Dynamic IP)
  Agent
  หน่วยงานเขต
  (Static IP)
  Secure FTPS
  Score HTTPS
  Secure S
  Security Level
  Public Dynamic IP (Kong Agent)
  • Public Static IP
  • Site to Site VPN (SD-WAN)
  • Private Link
  магой
  API Exchange Gateway
  APLMOPH
  Whitelist Control
  Service A
  Whitelst Control
  Service B
  1.Logs
  2.Access Control 3.Policy
  4.Rate Limit
  Site 1
  Logs
  Site 2
  Site 3
  Multi-Site Cloud
  รูปภาพ Data Exchange Gate Concept Design
  a
  Service B
  Security connected
  Whitelist

5. ระยะเวลา…

• 6 -

5. ระยะเวลาดําเนินการ
   ผู้ยื่นข้อเสนอต้องดําเนินการให้แล้วเสร็จภายใน ๑๒๐ วันนับถัดจากวันลงนามในสัญญา
   ๗. การส่งมอบงาน
   ผู้ยื่นข้อเสนอต้องดําเนินการตามขอบเขตของงานให้แล้วเสร็จภายใน ๑๒๐ วัน หลังจากนับถัดจากวันลง นามในสัญญา โดยผู้ยื่นข้อเสนอจะต้องส่งมอบงานจํานวน ๓ งวด ประกอบด้วย ดังนี้
   ๗.๑ งวดที่ ๑ (ร้อยละ ๑๕) ของมูลค่างาน : ผู้ยื่นข้อเสนอต้องดําเนินการตามขอบเขตของงานให้แล้ว เสร็จภายใน ๓๐ วัน หลังจากนับถัดจากวันลงนามในสัญญา ดังนี้
   ๗.๑.๑ แผนการดําเนินโครงการ ในรูปแบบเอกสาร จํานวน ๒ ชุด และในรูปแบบ ไฟล์อิเล็กทรอนิกส์นามสกุล .docx และ .pdf ใน Flash Drive จํานวน ๒ ชุด
   ๗.๑.๒ การออกแบบระบบและโครงสร้างฐานข้อมูล ในรูปแบบเอกสาร จํานวน ๒ ชุด และ ในรูปแบบไฟล์อิเล็กทรอนิกส์นามสกุล .docx และ .pdf ใน Flash Drive จํานวน ๒ ชุด
   ๗.๒ งวดที่ ๒ (ร้อยละ ๔๐) ของมูลค่างาน : ผู้ยื่นข้อเสนอต้องดําเนินการตามขอบเขตของงานให้แล้ว เสร็จภายใน ๙๐ วัน หลังจากนับถัดจากวันลงนามในสัญญา ดังนี้
   ๗.๒.๑ ขั้นตอนและกําหนดการทดสอบระบบ (User Acceptance Test : UAT Scenario) ในรูปแบบเอกสาร จํานวน ๒ ชุด และในรูปแบบไฟล์อิเล็กทรอนิกส์นามสกุล .docx และ .pdf ใน Flash Drive จํานวน ๒ ชุด
   ๗.๓ งวดที่ ๓ (ร้อยละ ๔๕) ของมูลค่างาน : ผู้ยื่นข้อเสนอต้องดําเนินการตามขอบเขตของงานให้แล้ว เสร็จภายใน ๑๒๐ วัน หลังจากนับถัดจากวันลงนามในสัญญา ดังนี้
   จํานวน ๒ ชุด
   ๗.๓.๑ Source Code ของระบบฐานข้อมูลบริการ ในรูปแบบอิเล็กทรอนิกส์ ใน Flash Drive
   ๗.๓.๒ คู่มือการใช้งานระบบระบบฐานข้อมูลบริการ ในรูปแบบเอกสาร จํานวน ๒ ชุด และในรูปแบบไฟล์อิเล็กทรอนิกส์นามสกุล .docx และ .pdf ใน Flash Drive จํานวน ๒ ชุด
   ๗.๓.๓ ผลการติดตั้ง API ที่พัฒนาไว้บนระบบคอมพิวเตอร์ที่ผู้ว่าจ้างกําหนด และอธิบาย API การเชื่อมโยงข้อมูลของระบบฐานข้อมูลบริการ พร้อมวิธีการเรียกใช้ API ในรูปแบบเอกสาร จํานวน ๒ ชุด และในรูปแบบไฟล์อิเล็กทรอนิกส์นามสกุล .docx และ .pdf ใน Flash Drive จํานวน ๒ ชุด
   ๗.๓.๔ รายงานผลการทดสอบระบบ (Penetration Testing and VA Scan) ของระบบ ฐานข้อมูลบริการ ตามข้อ ๔.๑๔ ในรูปแบบเอกสาร จํานวน ๒ ชุด และอิเล็กทรอนิกส์ ไฟล์ .pdf และ .docx ใน Flash Drive จํานวน ๒ ชุด
   ๗.๓.๕ รายงานการเปลี่ยนถ่ายแพลตฟอร์มบริการทางการแพทย์ดิจิทัล กระทรวง สาธารณสุขให้มาใช้ระบบ API Gateway จํานวน ๒ ชุด และอิเล็กทรอนิกส์ ไฟล์ .pdf และ .docx ใน Flash Drive
   จํานวน ๒ ชุด
   марк
   ๗.๓.๖ สําเนา….
   ๗.๓.๖
   สําเนาสัญญาระหว่างผู้รับจ้างกับผู้ให้บริการโครงสร้างพื้นฐานและระบบประมวลผล ในการให้ใช้งานอย่างน้อย ๑ ปี จํานวน ๒ ชุด และรับรองสําเนาจากผู้มีอํานาจอนุมัติลงนาม
6. งวดงานและการจ่ายเงิน
   แบ่งการจ่ายเงินออกเป็น ๓ งวด ดังนี้
   งวดที่ ๑ โดยจะจ่ายเมื่อผู้ยื่นข้อเสนอดําเนินการส่งมอบงาน และคณะกรรมการตรวจรับพัสดุได้ตรวจรับ งานงวดที่ ๑ ถูกต้องครบถ้วนตามสัญญาแล้ว เป็นเงินร้อยละ ๑๕
   งวดที่ ๒ โดยจะจ่ายเมื่อผู้ยื่นข้อเสนอดําเนินการส่งมอบงาน และคณะกรรมการตรวจรับพัสดุได้ตรวจรับ งานงวดที่ ๒ ถูกต้องครบถ้วนตามสัญญาแล้ว เป็นเงินร้อยละ ๔๐
   งวดที่ ๓ โดยจะจ่ายเมื่อผู้ยื่นข้อเสนอดําเนินการส่งมอบงาน และคณะกรรมการตรวจรับพัสดุได้ตรวจรับ งานงวดที่ ๓ ถูกต้องครบถ้วนตามสัญญาแล้ว เป็นเงินร้อยละ ๔๕
   ๙. หลักเกณฑ์ในการพิจารณาคัดเลือกข้อเสนอ
   ในการพิจารณาผลการยื่นข้อเสนอประกวดราคาอิเล็กทรอนิกส์ครั้งนี้ จะพิจารณาตัดสินโดยใช้เกณฑ์ราคา
   และจะพิจารณาจากราคารวม
   ๑๐. อัตราค่าปรับ
   ในกรณีผู้ยื่นข้อเสนอไม่สามารถส่งมอบงานในระยะเวลาที่กําหนด ผู้ยื่นข้อเสนอจะต้องชําระเงินค่าปรับ เป็นรายวัน ในอัตราร้อยละ ๐.๑๐ ของวงเงินค่าจ้าง แต่ไม่ต่ํากว่าวันละ ๑๐๐ บาท นับถัดจากวันที่ครบกําหนดแล้ว เสร็จตามสัญญาหรือข้อตกลงเป็นหนังสือ หรือวันที่ผู้ว่าจ้างได้ขยายให้จนถึงวันที่ผู้ยื่นข้อเสนอได้ส่งมอบงานถูกต้อง ครบถ้วนตามสัญญาหรือข้อตกลง
   ๑๑. งบประมาณ
   งบประมาณรายจ่ายประจําปีงบประมาณ พ.ศ.๒๕๖๗ งบลงทุน สํานักงานปลัดกระทรวงสาธารณสุข จํานวน ๒๐,000,000 บาท (ยี่สิบล้านบาทถ้วน)
   ๑๒. การรับประกันความชํารุดบกพร่องของงานจ้าง
   หากมีเหตุชํารุดบกพร่องหรือเสียหายเกิดขึ้นจากการจ้างนี้ ภายในกําหนด ๑ (หนึ่ง) ปี นับถัดจากวันที่ ได้รับมอบงานดังกล่าว ซึ่งความชํารุดบกพร่องหรือเสียหายนั้น เกิดจากความบกพร่องของผู้ยื่นข้อเสนออันเกิด จากการใช้วัสดุที่ไม่ถูกต้องหรือทําไว้ไม่เรียบร้อย หรือทําไม่ถูกต้องตามหลักวิชาหรือเทคนิคด้านคอมพิวเตอร์ ผู้ยื่นข้อเสนอจะต้องรีบทําการแก้ไขให้ใช้การได้ดีดังเดิมเป็นที่เรียบร้อย ภายในกําหนด ๒๔ (ยี่สิบสี่) ชั่วโมง นับถัด จากวันที่ได้รับแจ้งเป็นหนังสือจากผู้ว่าจ้างด้วยค่าใช้จ่ายของผู้ยื่นข้อเสนอเอง หากผู้ยื่นข้อเสนอไม่ทําการแก้ไขให้
   ถูกต้องเรียบร้อยภายในเวลาดังกล่าว ให้ผู้ว่าจ้างมีสิทธิที่จะทําการนั้นเองหรือจ้างผู้อื่นให้ทํางานนั้น โดยผู้ยื่น ข้อเสนอต้องเป็นผู้ออกค่าใช้จ่ายเพื่อการดังกล่าวทั้งสิ้น
   ในกรณีเร่งด่วนจําเป็นต้องรีบแก้ไขเหตุชํารุดบกพร่องหรือเสียหายโดยเร็ว และไม่อาจรอให้ผู้ยื่นข้อเสนอ
   แก้ไขในระยะเวลาที่กําหนดไว้ตามวรรคหนึ่งได้ ผู้ว่าจ้างมีสิทธิเข้าจัดการแก้ไขเหตุชํารุดบกพร่องหรือเสียหายนั้นเอง หรือจ้างผู้อื่นให้ซ่อมแซมความชํารุดบกพร่องหรือเสียหาย โดยผู้ยื่นข้อเสนอต้องรับผิดชอบชําระค่าใช้จ่ายทั้งหมด
   многоб
   h
   การที่ผู้…
   การที่ผู้ว่าจ้างทําการนั้นเอง หรือจ้างผู้อื่นให้ทํางานนั้นแทนผู้ยื่นข้อเสนอ ไม่ทําให้ผู้ยื่นข้อเสนอหลุดพ้น จากความรับผิดตามสัญญา หากผู้ยื่นข้อเสนอไม่ชดใช้ค่าใช้จ่ายหรือค่าเสียหายตามที่ผู้ว่าจ้างเรียกร้อง ผู้ว่าจ้าง
   มีสิทธิบังคับจากหลักประกันการปฏิบัติตามสัญญาได้
   ๑๓. ลิขสิทธิ์
   ๆ
   ลิขสิทธิ์ใด ๆ รวมถึงโปรแกรมคอมพิวเตอร์ ที่เกิดขึ้นจากการดําเนินงานตามสัญญาฉบับนี้ ให้ผู้ว่าจ้าง และการกระทําอย่างใดอย่างหนึ่งแก่งานอันมีลิขสิทธิ์โดยไม่ได้รับอนุญาตจากผู้ว่าจ้าง
   เป็นผู้มีลิขสิทธิ์ในงานนั้น
   ให้ถือเป็นการละเมิดลิขสิทธิ์
   ๑๔. การรักษาความลับของข้อมูล
   และ/หรือ
   ผู้รับจ้างจะต้องจัดการเก็บรักษาข้อมูลต่าง ๆ ที่เกี่ยวกับการดําเนินงานตามสัญญานี้ที่ผู้รับจ้างได้รับจาก ผู้ว่าจ้าง ซึ่งรวมถึงข้อมูลต่าง ๆ ที่ ผู้ว่าจ้างได้จัดทําขึ้นเนื่องจากการดําเนินงานนี้อย่างเป็นความลับ ความลับทางการค้าของผู้ว่าจ้าง และผู้รับจ้างต้องหามาตรการในการจัดเก็บข้อมูลที่เป็นความลับให้มิดชิด ทั้งนี้ ผู้รับจ้างจะต้องลงนามใน “สัญญาการเก็บรักษาข้อมูลที่เป็นความลับและข้อตกลงการประมวลผลข้อมูลส่วนบุคคล Non-Disclosure Agreement (NDA) and Data Processing Agreement (DPA)” พร้อมสัญญาจ้าง ๑๕. ข้อสงวนสิทธิ์
   ผู้ซื้อมีสิทธิที่จะเปลี่ยนแปลง แก้ไข เพิ่มเติม หรือลดเนื้องานตามรายละเอียดในสัญญาได้ การเพิ่มหรือลดเนื้องาน คู่สัญญาทั้งสองฝ่ายจะได้ตกลงเรื่องราคาใหม่โดยถือราคาที่ระบุไว้ในสัญญาเป็นฐาน ถ้าการเพิ่มหรือลดงานจําเป็นต้องมีการขยายหรือลดเวลา ให้ตกลงไปในคราวเดียวกัน
   ๑๖. หน่วยงานผู้รับผิดชอบ
   สํานักสุขภาพดิจิทัล สํานักงานปลัดกระทรวงสาธารณสุข
   ๑๗. เงื่อนไขอื่นๆ
   ๑๗.๑ ราคาที่เสนอจะต้องเสนอกําหนดยืนราคาไม่น้อยกว่า ๑๘๐ วัน (หนึ่งร้อยแปดสิบวัน) ตั้งแต่วันเสนอราคา โดยภายในวันที่กําหนดยืนราคา ผู้ยื่นข้อเสนอต้องรับผิดชอบราคาที่ตนได้เสนอไว้ และจะถอนการเสนอราคามิได้
   ๑๗.๒ ผู้ยื่นข้อเสนอจะต้องศึกษาข้อกําหนดเงื่อนไขและตรวจสอบรายละเอียดขอบเขตของงานตามที่ กําหนดไว้ในเอกสารฉบับนี้ ให้ถูกต้องครบถ้วน โดยกําหนดให้ผู้ยื่นข้อเสนอ จัดทําตารางเปรียบเทียบขอบเขตของ งานตามที่กําหนดไว้ในข้อ ๔ แนบมาพร้อมกับการยื่นข้อเสนอ ในวันที่กําหนดให้ยื่นข้อเสนอ
   ледалот
   ๑๗.๓ ตาราง…

• ๑๒ -
  ๑๗.๓ ตารางตามข้อ ๑๗.๒ กําหนดให้มีรายละเอียดอย่างน้อยดังนี้
  ขอบเขตของงาน (TOR)
  และข้อกําหนด
  ให้ระบุขอบเขตของงาน (TOR) และข้อกําหนด ที่สํานักสุขภาพดิจิทัล
  สํานักงานปลัดกระทรวง
  ผู้ยื่นเสนอราคาเสนอ
  เปรียบเทียบขอบเขตงาน
  เอกสารอ้างอิง (ถ้ามี)
  ที่ผู้ยื่นเสนอราคาเสนอ
  ให้ระบุขอบเขตของงาน สามารถดําเนินการได้ตาม ให้ระบุเอกสารอ้างอิง
  (TOR) และข้อกําหนด
  ข้อกําหนด
  หรือ อ้างอิงตามเอกสาร
  ส่
  ที่ผู้ยื่นเสนอราคาเสนอ
  ข้อกําหนด (ถ้ามี)
  สาธารณสุขกําหนด
  ๑๗.๔. ผู้ยื่นข้อเสนอต้องแนบหนังสือรับรองตัวแทนจําหน่าย (Certificate) สําหรับการให้บริการโครงสร้าง พื้นฐานและระบบประมวลผล ตามมาตรฐานที่กําหนดในข้อ ๔.๑๓ ในวันที่กําหนดให้ยื่นข้อเสนอ
  (ลงชื่อ…………
  мостов
  (นายภาณุพงศ์ ตันติรัตน์) นายแพทย์ชํานาญการ
  ประธานกรรมการ
  (ลงชื่อ)……
  ..กรรมการ
  (นายนิรทร ศรีสุโข)
  (ลงชื่อ).
  นายแพทย์ชํานาญการพิเศษ
  (นายศุภโชค มาศปกรณ์) นายแพทย์ชํานาญการพิเศษ
  ….กรรมการ