Avaliação de Segurança

Visão Geral

Para demonstrar ainda mais a posição de liderança e o compromisso da Oracle com a segurança do produto, são realizadas avaliações e certificações de segurança externa. Essas avaliações envolvem testes rigorosos por laboratórios credenciados independentes. Avaliações e validações externas fornecem garantia adicional na segurança de nossos produtos de TI. Globalmente, essas certificações geralmente são obrigatórias para aquisições do governo e estabelecem um nível aceitável de confiança para os compradores de TI, sejam eles governamentais, militares ou comerciais.

Existem dois componentes importantes de avaliações globais de segurança de TI: os critérios e a metodologia nas quais as avaliações são realizadas e as medidas governamentais que as regem. Embora os critérios sejam os mesmos, independentemente do país em que você trabalha, políticas diferentes são impostas pelas medidas. Atualmente, a Oracle participa de modo ativo de dois critérios de avaliação de segurança reconhecidos internacionalmente:

1. Common Criteria (CC) é a única estrutura internacional (ISO/IEC 15408) que define uma abordagem comum para avaliar os recursos e capacidades de segurança dos produtos de TI. Originada de três outros padrões de segurança nacional, a CC evoluiu ao longo dos anos para acompanhar as tendências de segurança e a tecnologia de produtos. Até o momento, 30 países reconhecem a estrutura, enquanto 18 desses países, incluindo os EUA, estão autorizados a emitir certificados. Um produto certificado pela Common Criteria é aquele aprovado em uma avaliação por um laboratório licenciado e independente conforme uma medida governamental autorizada.

2. O Federal Information Processing Standard (FIPS) 140-2 é um padrão criptográfico desenvolvido pelo National Institute of Standards and Technology (NIST) nos EUA para a proteção de dados confidenciais, mas não classificados. Os módulos validados de acordo com o FIPS 140-2 são aceitos para aquisições por Agências Federais nos EUA e no Canadá. Essa certificação confirma que a funcionalidade criptográfica foi testada por um laboratório independente e validada pela medida governamental em função dos requisitos do padrão. Os requisitos do FIPS 140-2 foram adotados por setores, como Financeiro (Payment Card Industry [PCI]), Saúde (Health Insurance Portability and Accountability Act [HIPAA]), Nuvem Governamental (FedRAMP) e Exército dos EUA (Joint Interoperability Command [JITC] e Commercial Solutions for Classified [CSfC]).

Para obter mais informações, consulte o site Avaliações de Segurança. Para obter uma lista completa das avaliações de segurança do Oracle em andamento, bem como aquelas já concluídas, consulte a página de Status das Avalições de Segurança da Oracle.

Os blogs de avaliação do Oracle Security se concentram principalmente em certificações governamentais, validações e programas de credenciamento:

  1. Critérios Comuns e o Futuro das Avaliações de Segurança (Mary Ann Davidson)
  2. Melhoria da Velocidade das Avaliações de Produtos (Joshua Brickman)
  3. FIPS: O Cripto "Catch 22" (Joshua Brickman)

Envie um e-mail para seceval_us@oracle.com com suas dúvidas referentes às avaliações de segurança da Oracle.

Benefícios de Segurança das Avaliações

Verificação Independente A avaliação das reivindicações de segurança do produto vem de instalações de avaliação credenciadas que são certificadas por medidas governamentais
Medidas padrão de garantia A avaliação das reivindicações de segurança do produto vem de instalações de avaliação credenciadas que são certificadas por medidas governamentais
Aprimoramentos do produto As avaliações de segurança podem levar a melhorias no design geral e a implementação de segurança nas soluções certificadas
Identificação de vulnerabilidades de arquitetura Avaliações de segurança podem levar à identificação de vulnerabilidades arquiteturais