BE:Liquid Democracy - Requirements/OpenID

Anforderungen an einen OpenID Server

OID-HW-01		Performance Anforderungen
Motivation:		Der Server dient der Authentifizierung aller an den verschiedenen LD-Systemen beteiligten Piraten. In der Testphase dürften dies <100 Teilnehmer sein. Der Landesverband Berlin hat z.Zt. (Okt.2009) ~1000 Mitglieder, Bundesweit sind mit >12000 Personen zu rechnen.
Req.	-01	Ausreichende Kapazität für 100 Teilnehmer
Prio.	T-1	Ausreichende Kapazität für 100 Teilnehmer
Req.	-02	Ausreichende Kapazität für 2000 Teilnehmer
Prio.	L-1	Ausreichende Kapazität für 2000 Teilnehmer
Req.	-03	Ausreichende Kapazität für mehr als 20000 Teilnehmer
Prio.	F-1	Ausreichende Kapazität für mehr als 20000 Teilnehmer
Req.	-04	Ausfallsicherheit; der Server muß 99% der Zeit zur Verfügung stehen, darin eingeschlossen sind Wartungen und notwendige Updates.
Prio.	L-2

OID-HW-02		Sicherheits Anforderungen
Motivation:		Der OpenID Server enthält kritische personenbezogene Daten aller LD-Teilnehmer und ist zudem eine zentrale Architekturkomponente des gesamten LD-Systems.
Req.	-01	Der Zugriff auf die Hardware muß durch geeignete Maßnahmen beschränkt und protokolliert werden. Zum Beispiel: Kameraüberwachung 4-Augen Prinzip (es sind 2 Personen für den Zugang zum Server nötig)
Prio.	L-2
Req.	-02	Die Hardware muß gegen tektonische Erschütterungen, Naturkatastrophen und terroristische Akte gesichert sein.
Prio.	B-3

OID-SW-01		Sicherheits Anforderungen
Motivation:		Der OpenID Server enthält kritische personenbezogene Daten aller LD-Teilnehmer und ist zudem eine zentrale Architekturkomponente des gesamten LD-Systems.
Req.	-01	Verschlüsselte Speicherung aller Passworte
Prio.	T-1	Verschlüsselte Speicherung aller Passworte
Req.	-02	Die Übertragung der Anmeldeinformationen muß verschlüsselt erfolgen
Prio.	T-1
Req.	-03	Sämtliche Kommunikation mit dem OID System muß verschlüsselt erfolgen
Prio.	T-2

OID-SW-02		Implementierungen
Motivation:		Da das von der Piratenpartei Deutschlands (PPD) erpropte LD-System auch für andere Bereiche Vorbildcharakter entwickeln soll muß die Partizipierungsmöglichkeit von anderen Gruppen und Organisationen ermöglicht sein.
Req.	-01	Die Anwendung muß ausreichend Dokumentiert und ihre wesentlichen Funktionen beschrieben sein.
Prio.	T-2
Req.	-02	Der Quellcode muß öffentlich verfügbar sein.
Prio.	T-2	Der Quellcode muß öffentlich verfügbar sein.
Req.	-03	Die für den Betrieb notwendigen Softwarekomponenten müssen in ihrer aktuell eingesetzten Version unter OpenSource-Lizenzen verfügbar sein, die mindestens den jeweils aktuellen Kriterien der Open Source Initiative genügen.
Prio.	T-2

OID-SW-03		Funktionalität
Motivation:
Req.	-01	Statusänderungen (Austritt, Ruhende Mitgliedschaft, etc) müssen unterstützt werden.
Prio.	T-2
Req.	-02	Jedem Teilnehmer müssen zur Laufzeit weitere dynamische Attribute zugewiesen werden können (z.B. Wahlbezirk).
Prio.	T-3
Req.	-03	Änderungszeitpunkte für Statusänderungen müssen unterstützt werden.
Prio.	T-3
Req.	-04	Das Einrichten von Benutzerkonten für jeden Piraten muß unterstützt werden.
Prio.	T-3

OID-OP-01		Sicherheitsanforderungen
Motivation:		Der OpenID Server enthält kritische personenbezogene Daten aller LD-Teilnehmer und darf daher nicht jedem zugänglich sein. Zudem müssen demokratische Grundsätze aufrecht erhalten werden
Req.	-01	Wahl/Ernennung geeigneter technischer Administratoren, sowie Definition ihrer Aufgaben: Verwaltung der Hard- u. Softwarekomponenten Löschen und Ändern von Teilnehmerdaten nur im expliziten, einzelfallbezogenen Auftrag des Vorstandes.
Prio.	T-1
Req.	-02	Authentifizierung von anonymisierten Personendaten durch den Generalsekretär, hierzu sind nötig: Satzungs/Geschäftsordnungsänderungen Zugriffssichere Protokollierung von erfolgten Authentifizierungen durch den Generalsekretär Zugriffssichere Protokollierung von Änderungen gespeicherter Teilnehmerdaten (Adress-, Statusänderungen)
Prio.	T-1
Req.	-03	Pseudonyme müssen gelöscht und neu angelegt werden können. Dies hat mit wenig Aufwand zu erfolgen (Entlastung des GS).
Prio.	T-1
Req.	-04	Entkopplung der Authentifizierung von der Vergabe der öffentlichen Pseudonyme.
Prio.	L-1

OID-OP-02		Verwaltung der Teilnehmerdaten
Motivation:
Req.	-01	Pseudonyme müssen gelöscht und neu angelegt werden können. Dies hat mit wenig Aufwand zu erfolgen (Entlastung des GS).
Prio.	T-2
Req.	-02	Die Information darüber, welche Pseudonyme welchem Mitglied zugeordnet sind und waren, ist für 3 Jahre sicher gegen unbefugten Zugriff und vor Verlust geschützt aufzubewahren.
Prio.	T-3
Req.	-03	Die Landesmitgliederversammlung kann beantragen, dass diese Daten von einem dafür bestimmten Gremium geprüft werden.
Prio.	T-2