A Oracle mantém equipes de profissionais de segurança especializados com o objetivo de avaliar a força de segurança da infraestrutura, os produtos e os serviços da empresa. Essas equipes executam vários níveis de testes de segurança complementares:
As organizações de TI da Oracle são responsáveis pela verificação de segurança dos sistemas corporativos da Oracle e dos serviços em nuvem que gerenciam, de acordo com a Política de Segurança do Servidor da Oracle e os padrões de tecnologia associados. Todas as ferramentas de verificação deverão ser aprovadas de acordo com o CSSAP (Corporate Security Solution Assurance Process, Processo de Garantia de Solução da Segurança Corporativa). Os resultados da verificação são analisados com uma abordagem baseada em riscos. Os processos de gerenciamento de mudanças são usados para tratar de quaisquer problemas identificados de acordo com a priorização baseada em riscos, de acordo com a aprovação da gerência.
As informações sobre verificações de segurança operacional dos sistemas corporativos e serviços em nuvem da Oracle são Confidenciais da Oracle e não são compartilhadas externamente.
A Oracle exige que sistemas externos e serviços em nuvem passem por testes de penetração realizados por equipes de segurança independentes. A Equipe de Teste de Penetração da Segurança da Informação Global realiza testes de penetração e supervisiona todas as linhas de negócios nos casos em que outras equipes internas de segurança ou terceiros aprovados realizam atividades de testes de penetração. Essa supervisão é projetada para impulsionar a qualidade, a precisão e a consistência das atividades de teste de penetração e sua metodologia associada. A Oracle possui requisitos de teste de penetração formais que incluem escopo de teste e definição de ambiente, ferramentas aprovadas, classificação de descobertas, categorias de explorações para tentativas via automação e etapas manuais, além de procedimentos para relatar resultados.
Todos os resultados e relatórios dos testes de penetração são analisados pelas equipes de segurança corporativa da Oracle para validar a realização de um teste completo e independente. Antes de permitir que uma linha de negócios traga um novo sistema ou serviço em nuvem para a produção, a Oracle exige que a remediação de descobertas significativas de testes de penetração seja concluída.
As informações sobre testes de penetração dos sistemas corporativos e serviços em nuvem da Oracle são Confidenciais da Oracle e não são compartilhadas externamente.
As interações de hacking ético são realizadas pela EHT ( Ethical Hacking Team, Equipe de Hacking Ético), um grupo independente de pesquisadores de segurança na organização de Segurança Global de Produtos.
Embora os relatórios de teste da EHT nunca sejam divulgados externamente, a equipe relata suas descobertas ao arquiteto de segurança corporativa, bem como à liderança sênior das linhas de negócios afetadas. Além disso, a equipe EHT é um contribuinte significativo para os Padrões de Codificação Segura da Oracle e apresenta periodicamente resultados abreviados de suas descobertas como “lições aprendidas” para o desenvolvimento da Oracle.
A Missão da Oracle Labs é simples: identificar, explorar e transferir novas tecnologias com potencial para melhorar substancialmente o software da Oracle, os serviços do Oracle Cloud e as operações corporativas. Pesquisadores da Oracle Labs procuram novas abordagens e metodologias, muitas vezes assumindo projetos com alto risco ou incerteza, ou que são difíceis de resolver em uma organização de desenvolvimento de produtos.
O compromisso da Oracle com Pesquisa e Desenvolvimento é um fator determinante no desenvolvimento de tecnologias que têm mantido a Oracle na vanguarda do setor de computadores. Embora muitas das tecnologias de ponta da Oracle tenham origem em suas organizações de desenvolvimento de produtos, a Oracle Labs é a única organização da Oracle dedicada exclusivamente à pesquisa.