Teknisk systembeskrivelse for Nettskjema

Figur med teknisk systembeskrivelse
Nettskjema er en web-applikasjon for datainnsamling som er utviklet og driftet av Universitetet i Oslo, og brukes av Universitets- og høyskolesektoren (etter avtale).
  • Nettskjema er laget med Java, JavaScript og Freemarker.
  • Systemet er designet for svært høy oppetid og skalerbar kapasitet.
  • Løsningen benytter ACE lastbalanserer, Apache web-server og Jboss applikasjonserver.
  • Skjemadesign og svar på vanlige skjema lagres i Oracle database.
  • Integrasjon mot Tjenester for Sensitive Data (TSD) med kryptert sikker lagring av sensitive data

Sikkerhet

Nettskjema utvikles og driftes av USIT, og alle servere står på USITs serverrom. All datatrafikk mellom brukerens nettleser og applikasjonen går over https og krypteres med SSL. Nettskjematjenesten følger de regler for sikkerhet som er gitt i  IT-sikkerhetshåndbok for Universitetet i Oslo.

Applikasjonen sikkerhetstestes jevnlig. Alle post-operasjoner er beskyttet med CSRF-token.

Pålogging

Nettskjema støtter flere typer autentisering:

  • Web-login for Feide-brukere (SAML)
  • ID-porten-innlogging nivå 3–4 (SAML)
  • Token-autorisering

Autorisering med token

Et token som brukes av respondenter er 80 tegn tilfeldig generert kode, som gir tilgang til begrenset bruk, og kun kan brukes én gang (kun gyldig første gang den brukes).

  1. Ved invitasjoner autoriseres én enkelt besvarelse via token.
  2. Tilgang til å redigere egen besvarelse én gang etter at den er levert (kan bestille nytt token via e-post).

Integrasjon mot Tjenester for Sensitive Data (TSD)

Nettskjema kan levere PGP-krypterte svar direkte til TSD, uten at svarene er innom Nettskjemas database. 

Dette kan settes opp for forskningsprosjekter som har behov for sikker lagring av sensitive data. Et skjema kan da settes da opp med en Public Key for prosjektet som alle svar krypteres med. Besvarelser leveres fullkryptert til prosjektets sikre lagringsområde i TSD. 

Se Tjenester for Sensitive Data (TSD)

Informasjonssikkerhet og risikovurdering for Nettskjema

Relevante ROS-analyser og vedlegg for Nettskjema og TSD-integrasjon:

Tilgang via webservice (API)

På forespørsel kan det gis tilgang til Nettskjema via et REST-API som leverer JSON. Ta kontakt hvis dette er aktuelt.

Det er per feb 2017 mulig å hente ut data for et spesifikt skjema via API.

Det er på planen at all funksjonalitet skal bli tilgjengelig via API.

Uthenting av data

Data kan hentes ut av admin-grensesnitt (via nettleser) av den som har skriverett til skjemaet. Det er flere varianter av datauthenting:

  • Enkel grafisk fremstilling av svar på et skjema
  • Oversikt over enkeltsvar for et skjema
  • Eksport av samtlige besvarelser for et skjema i excel-format eller som tab-separert fil
Publisert 2. mai 2016 09:41 - Sist endret 10. jan. 2019 14:46