Segurança de Dados

Introdução

A classificação de ativos de informação da Oracle determina os requisitos de segurança de dados corporativos para sistemas gerenciados pela Oracle. As políticas da Oracle fornecem orientação global sobre controles apropriados para proteger dados corporativos, de nuvem e de clientes de acordo com a classificação de dados.

Os controles de segurança corporativa da Oracle podem ser agrupados em três categorias: controles de segurança administrativos, físicos e técnicos.

• Controles administrativos, incluindo controle de acesso lógico e processos de recursos humanos
• Controles físicos projetados para impedir o acesso físico não autorizado a servidores e ambientes de processamento de dados
• Controles técnicos, incluindo configurações seguras e criptografia para dados em repouso e em trânsito.

Criptografia

A criptografia é o processo de tornar os dados ilegíveis sem a chave específica para descriptografá-los. A Política de Proteção de Informações da Oracle define requisitos gerais para proteger dados por meio de criptografia quando estão em repouso (armazenados) em laptops, dispositivos e mídias removíveis.

A Oracle tem padrões corporativos que definem os algoritmos e protocolos criptográficos aprovados. Os produtos e serviços Oracle são necessários para usar apenas versões atualizadas de implementações aprovadas relacionadas à segurança, conforme orientado pela prática do setor. A Oracle modifica esses padrões à medida que o setor e a tecnologia evoluem, para impor, por exemplo, a descontinuação oportuna de algoritmos de criptografia mais fracos.

Criptografia de dados

A Oracle implementa uma variedade de controles técnicos de segurança projetados para proteger ativos de informações em repouso e em trânsito. Esses controles são orientados pelos padrões do setor e implementados em toda a infraestrutura corporativa:

• Sistemas corporativos, como aplicações e ferramentas de colaboração
• Mídia de armazenamento removível
• Laptops e dispositivos móveis

Gerenciamento de chave de criptografia

As soluções para o gerenciamento de chaves de criptografia na Oracle devem ser aprovadas de acordo com o CSSAP (Corporate Security Solution Assurance Process). A Oracle define os requisitos para criptografia, incluindo a força das cifras, gerenciamento de chaves, geração, troca/transmissão, armazenamento, uso e substituição. Os requisitos específicos dessa norma incluem:

• Locais e tecnologias para armazenar chaves de criptografia
• Controles para fornecer confidencialidade, disponibilidade e integridade de chaves de criptografia transmitidas, como assinaturas digitais
• Alteração de chaves de criptografia padrão
• Cronograma de substituição para vários tipos de chaves de criptografia

Descomissionamento de servidores e outros recursos de TI

A Política de Sanitização e Descarte de Mídia da Oracle define requisitos para a remoção de informações de mídias de armazenamento eletrônico (sanitização) e o descarte de informações que não são mais necessárias para proteção contra acesso não autorizado e para recuperar dados confidenciais. Mídia de armazenamento eletrônico incluem laptops, discos rígidos, dispositivos de armazenamento e mídia removível, como fita.

Mais informações

• Oracle Laptop and Mobile Device Security
• Oracle Network Security
• Oracle Software Security Assurance