Richtlinie für Entwicklung und Hosting von Anwendungen durch externe Dritte Freigegeben v1

Anforderungen / Vorgaben für Entwicklung und Hosting von Anwendungen durch externe Dritte

Entwicklung und Hosting durch externe Dritte sind grundsätzlich zulässig. Für die Programmierung sind die nachfolgenden Vorgaben zu beachten.

Bei Entwicklungen im größeren Umfang sollten Planung und Durchführung der Entwicklung im Rahmen eines Projekts unter Berücksichtigung der Vorgaben zum Vorgehensmodell aus dem Projektmanagement erfolgen und dabei unter anderem auch Auswirkungsanalysen vorgenommen werden.

Vor Entwicklung findet die Geschäftsanbahnung statt (Auswahl Vertragspartner, Vertragsprüfung, Einbeziehung Fachabteilung, Datenschutz und Informationssicherheit); sie ist nicht Bestandteil dieser Richtlinie.

Ziel der Richtlinie ist eine eindeutige Anforderung an die Anwendungsentwicklung mit Vorgaben zur Anforderungsermittlung und zum Entwicklungsziel.

1. Vorgaben bei Beauftragung und Entwicklung

1. Hosting und Infrastruktur: Effektives Datenmanagement und Datenschutz; Hosting ausschließlich auf deutschen Servern und in Deutschland.
2. Sicherheitsanforderungen und Verschlüsselungen: Verschlüsselung von Daten bei Übertragung und im Ruhezustand, regelmäßige Sicherheitsaudits, robuste Zugriffssteuerung, SSL-Verschlüsselung für Web-Anwendungen.
3. Programmiervorgaben: Gängige Programmiersprache, einheitlicher Code-Stil, Benennungskonventionen, Kommentare, Dokumentation, Fehlerbehandlung, Logging, Modulstruktur, automatisierte Tests, Versionskontrolle.
4. Eigentumsrechte: werden in der Vertragsverhandlungsphase geregelt.
5. Programmumgebungen:
   • Entwicklungsumgebung (Dev): Tatsächliche Entwicklung, individueller Arbeitsstil.
   • Testumgebung (Test): Unit-, Integrations- und Systemtests. Produktionsnah, mit Testdaten statt realer Daten.
   • Produktionsumgebung: Nur getestete und freigegebene Versionen; Änderungen streng kontrolliert; regelmäßige Backups.
6. Protokollfunktionen und Versionierungen:
   • Logging: Informations-, Fehler- und Debug-Protokolle.
   • Versionierung: Empfehlung Semantische Versionierung (Hauptversion, Nebenversion, Patch-Version).
7. Berechtigungsmanagement: Ausgestaltung gemäß Richtlinie Kompetenzverwaltung.
8. Releasemanagement: Siehe Abschnitt 2.
9. Fehlerbehandlung: User meldet Fehler an Produktverantwortlichen; Kontakt zum Dienstleister zur Analyse. Bug → Patch-Release durch Dienstleister; Infrastruktur-Fehler → vollständige Behebung durch Dienstleister.
10. Datensicherheit und Datenschutz: Einhaltung DSGVO und relevanter Vorschriften; Bereitstellung von Interne-Revisionsberichten, TOMs und Zertifizierungen muss gewährleistet sein.
11. Schulung und Support: Schulungen und regelmäßige Supportleistungen.
12. Überwachung und Optimierung: Regelmäßige Überwachung nach Implementierung sowie Performance-Optimierungen.
13. ForumISM: Abbildung gemäß Richtlinie zur Bearbeitung von Geschäftsprozessen in ForumISM.
14. ForumOSM: Abbildung gemäß Richtlinie Outsourcing / Auslagerung.
15. Allgemeine Punkte und weitere Regelungen: Bei Neuentwicklungen sind durch den Dienstleister folgende Dokumentationen zu erstellen:
    • Anwenderdokumentation
    • Technische Systemdokumentation
    • Betriebsdokumentation
    • Schnittstellenübersicht und Datenfluss
    Die Abnahme liegt beim Fachbereich (auch für Changes).
16. System- und Hardware-Anforderungen: Mehrkernprozessor, ausreichender RAM, Speicherplatz, regelmäßige Datensicherung, Kompatibilität mit Betriebssystem, Firewalls, Antivirus, Intrusion-Detection, Verschlüsselung für gespeicherte und übertragene Daten.
17. Beendigung der Nutzung: Ordnungsgemäße Entfernung/Löschung aller Daten unter Einhaltung der Datenschutzanforderungen.

2. Anforderungs- und Entwicklungsprozess bzw. Test und Abnahme

2.1. Anforderungen

1. Inhaltliche Grundanforderungen aus Pflichtenheft, Geschäftsprozess oder Projekt.
2. Agile Umsetzung in User Stories aus dem Backlog.
3. Bei neuer Version: Anwenderdokumentation durch Unternehmensentwicklung aktualisiert.
4. Bei neuer Version: Technische Systemdokumentation durch Dienstleister aktualisiert.
5. Breiteneinsatz nach Abnahme.

2.2. Abnahme und Testverfahren

a) Entwicklertest: Der Entwickler testet einzelne Vorgänge in der Testumgebung. Testdaten werden gemocked, sodass keine Bankdaten weitergegeben werden müssen. Tests erfolgen physisch beim Dienstleister; Bestätigung über das digitale Board.

b) Funktionstest: Eine weitere Person aus Team DIP oder Fachabteilung testet Vorgänge in der Testumgebung. Die Testumgebung ist komplett von Produktion getrennt und mit eigener Instanz.

2.3. Ausbringung von freigegebenen Releases

Bei Erfüllung aller Voraussetzungen wird mit dem Dienstleister ein Termin vereinbart und die Anwendung released. Das Change-Management wird im Forum ISM gepflegt. Im Fehlerfall wendet sich der Anwender an die Unternehmensentwicklung.