Uso permitido e funcionários da Oracle

A Oracle possui requisitos formais para o uso da rede corporativa, sistemas de computador, sistemas de telefonia, tecnologias de mensagem, acesso à internet, dados empresariais, dados de clientes e outros recursos corporativos disponíveis para funcionários, contratados e visitantes da Oracle.

Princípios Gerais de Segurança para Comunicações

As comunicações de e para a rede corporativa da Oracle devem passar por dispositivos de segurança de rede no limite da rede. O acesso à rede corporativa da Oracle por terceiros está sujeito a aprovação prévia. Conexões remotas para a rede corporativa da Oracle devem usar exclusivamente soluções de VPN (Virtual Private Network, Rede privada virtual) aprovadas. Para saber mais sobre as práticas de gerenciamento de rede da Oracle, consulte Segurança da Comunicação em Rede.

Controles de Acesso

As operações são organizadas em grupos funcionais, onde cada função é executada por grupos distintos de funcionários. Exemplos de grupos funcionais incluem desenvolvedores, administradores de banco de dados, administradores de sistema e engenheiros de rede. Saiba mais sobre o Oracle Access Controls.

Gerenciamento de vulnerabilidades

A Oracle possui requisitos formais desenvolvidos para identificar, analisar e corrigir vulnerabilidades de segurança técnica que podem afetar nossos sistemas empresariais e seu ambiente Oracle Cloud Services.

As equipes de TI, segurança e desenvolvimento da Oracle devem monitorar as comunicações relevantes de fornecedores e do setor, incluindo os próprios avisos de segurança da Oracle, para identificar e avaliar os patches de segurança relevantes. Além disso, a Oracle exige verificações periódicas de vulnerabilidades usando sistemas de verificação automatizados para os sistemas internos e externos que ela gerencia. Os ambientes de serviço em nuvem estão sujeitos a testes de invasão, dependendo do nível de risco do sistema.

A prioridade estratégica da Oracle ao abordar vulnerabilidades descobertas na Oracle Cloud é remediar esses problemas de acordo com a gravidade e o possível impacto nos Oracle Cloud Services. A pontuação de base do CVSS (Common Vulnerability Scoring System, Sistema de pontuação de vulnerabilidades comuns) é um dos critérios usados para avaliar a gravidade relativa das vulnerabilidades. A Oracle exige que as vulnerabilidades de segurança identificadas sejam monitoradas e detectadas em um sistema de rastreamento de bugs.

A Oracle tem como objetivo concluir atividades de correção de serviços em nuvem, incluindo teste, implementação e reinicialização/reprovisionamento (se necessário) dentro de janelas de manutenção planejadas. No entanto, uma manutenção de segurança adicional fora dos períodos de manutenção programados pode ser executada, conforme descrito nas Políticas de Entrega e Hospedagem da Oracle Cloud e, quando aplicável, na documentação do pilar associado.

O Oracle Software Security Assurance é uma metodologia da Oracle que desenvolve a segurança em projetos, criações, testes e manutenção de seus produtos, sejam eles usados on-premises pelos clientes ou fornecidos pela Oracle Cloud.

Os clientes e os pesquisadores de segurança podem informar possíveis vulnerabilidades de segurança à Oracle: Como Relatar Vulnerabilidades de Segurança à Oracle ou enviando uma Solicitação de Serviço no sistema de suporte designado.

A Política de Teste de Segurança do Cliente da Oracle descreve as atividades de teste de segurança (por exemplo, teste de invasão, varredura de vulnerabilidade) que podem ser executadas por clientes da Oracle nos Produtos Oracle On-Premises e aos Oracle Cloud Services.

Monitoramento e proteção de informações de log de auditoria

A Oracle exige que os proprietários do sistema capturem e retenham logs de certas atividades relacionadas à segurança em sistemas operacionais, aplicações, bancos de dados e dispositivos de rede. Os sistemas são necessários para registrar acesso aos sistemas e aplicações Oracle, além de registrar alertas do sistema, mensagens do console e erros do sistema. A Oracle implementa controles desenvolvidos para proteger contra problemas operacionais, incluindo capacidade de arquivo de log atingida, eventos não registrados e/ou logs substituídos.

A política da Oracle exige que as linhas de negócios monitorem logs para fins de investigação de incidentes de segurança e análise forense. As atividades anômalas identificadas devem ser incorporadas aos processos de gerenciamento de eventos de segurança da linha de negócios responsável por esse sistema. O acesso a logs de segurança é fornecido com base na necessidade de conhecimento e no privilégio mínimo. Sempre que possível, os arquivos de log são protegidos por uma criptografia forte, além de outros controles de segurança, e o acesso é monitorado. Os logs gerados por sistemas com acesso à internet devem ser realocados para sistemas sem acesso à internet.

Gerenciamento de Ativos

A Política de Inventário de Ativos de Sistemas de Informação da Oracle exige um inventário preciso de todos os sistemas de informação e dispositivos que armazenam ativos de informações ao longo de seu ciclo de vida usando um sistema de inventário aprovado pela empresa. Essa política define as características de identificação necessárias que devem ser registradas para hardware de servidor, software, dados armazenados em sistemas de informação e informações necessárias para fins de recuperação de desastres e continuidade de negócios.

Tecnologia de Comunicação

A TI da Oracle gerencia soluções corporativas para colaboração e comunicação dentro da Oracle e com partes externas. As políticas da Oracle exigem que os funcionários utilizem essas ferramentas corporativas aprovadas ao processar informações confidenciais. Cada uma dessas soluções utiliza controles de segurança preventivos e de detecção, como tecnologias antimalware e antivírus.

A Oracle definiu diretrizes para a troca de informações segura com fornecedores e outros terceiros.

Aquisições

As empresas que a Oracle adquire são obrigadas a se alinhar a essas práticas de segurança como parte do processo de integração. A duração e o resultado de cada aspecto do processo de integração dependem do tamanho, da complexidade, dos compromissos contratuais anteriores e dos requisitos regulamentares aplicáveis aos produtos, serviços, pessoal e operações da empresa adquirida.