Oracle sendet bestimmte Produkte zu externen Sicherheitsbewertungen ein. Diese Bewertungen umfassen strenge Tests durch unabhängig akkreditierte Organisationen („Labore“), die von staatlichen Stellen überwacht und zertifiziert werden. Die unabhängige Überprüfung bietet Kunden von Oracle zusätzliche Gewährleistung in Bezug auf die Sicherheit der überprüften Produkte.
Oracle bekennt sich zu den Standards Common Criteria (CC) und FIPS 140, da diese Standards die globale Marktnachfrage sowie Beschaffungs- und behördliche Anforderungen widerspiegeln.
Bei Common Criteria (ISO/IEC 15408) handelt es sich um ein internationales Framework, das einen allgemeinen Ansatz für die Bewertung der Sicherheitsfunktionen von IT-Produkten definiert.
Der Federal Information Processing Standard (FIPS) 140 ist ein kryptografischer Standard, der vom National Institute of Standards und Technology (NIST) in den USA zum Schutz von sensiblen, jedoch nicht klassifizierten Daten entwickelt wurde. Mit FIPS 140-2 konforme Kryptografie wird von Bundesbehörden in den USA und in Kanada zur Beschaffung akzeptiert. Eine Reihe branchenspezifischer Vorschriften und Standards verweisen auf die Anforderungen von FIPS 140-2. Dies umfasst die Standards des Payment Card Industry Security Standards Council (PCI SSC) zur Verarbeitung von Kreditkartendaten, den Health Insurance Portability and Accountability Act (HIPAA) im Gesundheitswesen, Joint Interoperability Command (JITC) im US-Militär usw. Die Anforderungen des Federal Risk and Authorization Management Program (FedRAMP) interpretieren „zugelassene Kryptografietechniken“ als den Satz von Kryptografiemodulen, die gemäß FIPS 140-2 validiert sind.
Bei FedRAMP-autorisierte Cloud-Lösungen müssen alle in diesen Lösungen implementierten kryptografischen Mechanismen über FIPS 140-2-Zertifizierung verfügen.
Für sowohl FedRAMP Moderate und High lautet die Security Controls Baseline (Kontroll-ID: SA-4): „Die Verwendung von Produkten mit Common Criteria (ISO/IEC 15408)-Bewertung wird dringend empfohlen.“
Sicherheitsbewertungen wie FIPS 140-2 und Common Criteria bieten Kunden zusätzliche Sicherheit, dass Produkte von Oracle den strengen Anforderungen für die Verarbeitung wichtiger Daten entsprechen. Durch den Einsatz von Oracle Produkten, die von akkreditierten Testeinrichtungen Dritter bewertet wurden, können Kunden dazu beitragen, die zunehmenden gesetzlichen Anforderungen zu erfüllen, die für ihre komplexen Computerumgebungen gelten.
Eine vollständige Liste aller Sicherheitsbeurteilungen von Oracle Produkten, die bereits abgeschlossen oder aktuell durchgeführt werden, finden Sie auf der Seite Status der Oracle Sicherheitsbeurteilungen.