Überblick

Die traditionellen Grenzen zwischen Hardware und Software verschwimmen zunehmend, da viele Hardwaresysteme eingebetteten und konfigurierbaren Softwarecode wie beispielsweise Firmware verwenden. Die Sicherheitsrichtlinien und -praktiken von Oracle erstrecken sich auch auf Hardwaresysteme und regeln die Beschaffung, Konstruktion, Entwicklung und Wartung solcher Systeme. Diese Richtlinien und Praktiken gelten für von Oracle entwickelte Hardware sowie für Hardware von Drittanbietern, die für den Unternehmensgebrauch, die Nutzung von Oracle Cloud oder zur Integration in andere Oracle Produkte erworben wurde.

Beschaffung von Oracle unabhängigen Hardwaresystemen für Oracle Cloud und Unternehmensanwendungen

Hardwarekäufe zur Unterstützung von Oracle Cloud und internen Systemen werden über die standardmäßigen Oracle Hardware-Lieferkettenprozesse abgewickelt. Diese Prozesse dienen dazu, die Lieferanten von Oracle ordnungsgemäß zu überprüfen, den Erwerb gefälschter Produkte zu verhindern und nur von vertrauenswürdigen Anbietern zu beziehen. Potenzielle Lieferanten werden einer Bewertung unterzogen, beispielsweise einer Beurteilung ihrer finanziellen Lage, ihrer Integrität und ihrer Sicherheitspraktiken.

Oracle unterhält ein eigenes Team für ethisches Hacking, das Sicherheitsbewertungen für Oracle unabhängige Hardware durchführt, deren Anschaffung geprüft wird. Diese Sicherheitsbewertungen dienen dazu, Sicherheitslücken in der Hardware oder Firmware aufzudecken und die Wirksamkeit der vom Lieferanten angegebenen Sicherheitsfunktionen zu überprüfen. Oracle arbeitet mit seinen Hardware-Lieferanten zusammen, um festgestellte Lücken zu schließen.

Hardware, die für die Verwendung in Oracle Cloud oder internen IT-Organisationen bestimmt ist, unterliegt denselben Praktiken. Darüber hinaus werden Hardwareprodukte vor ihrer Anschaffung von Oracle Mitarbeitern formal auf ihre Eignung für den vorgesehenen Zweck, beispielsweise ihre Skalierbarkeit, sowie auf inhärente Hardware- und Softwaresicherheit geprüft. Die Sicherheitsmaßnahmen des Lieferanten werden ebenfalls formal bewertet, um sicherzustellen, dass der Anbieter über angemessene Richtlinien zur Behebung von Sicherheitsmängeln verfügt.

Sicherheit in Oracle Hardwaresystemen

Die meisten Hardwareprodukte, wie beispielsweise Firmware, enthalten eingebettete Softwarekomponenten. Die Richtlinien und Verfahren von Oracle Software Security Assurance erstrecken sich auch auf die Entwicklung von Oracle Code, der auf Oracle Hardwaresystemen verwendet wird. Das vorrangige Ziel dieser Richtlinien und Verfahren ist es, die Einführung von Sicherheitslücken zu verhindern, die zu einer Schwächung der in den Systemen vorgesehenen Sicherheitskontrollen führen könnten.

Wartung von Hardwaresystemen, die in Oracle Cloud verwendet werden

Wenn Software-Updates für Oracle und von Drittanbietern stammende Hardware, die in Oracle Cloud verwendet wird, an Oracle gesendet werden, bewerten die Cloud-Betriebsteams das vorgeschlagene Update in einer Testumgebung, die von der Produktionsumgebung getrennt ist und diese genau widerspiegelt. Nach dem Test werden die Software-Updates über ein kontrolliertes privates Netzwerk von der Testumgebung in die Produktion übertragen.

Versandpraktiken für Hardware

Oracle und seine Logistikdienstleister sind für die Verwahrung und Kontrolle der Hardware von der Abholung am Ursprungsort bis zur Erfüllung der geltenden Incoterms verantwortlich. In den meisten Fällen arbeitet Oracle nach einem Liefermodell, d. h., Oracle hat die Kontrolle bis zur Unterschrift des Kunden (DDP) oder bis zur Lieferung an einen bestimmten Flughafen (DAP). Jeder Abschnitt des Lieferprozesses wird im System des Transportunternehmens dokumentiert, und die Fracht wird an jedem Umschlagpunkt auf Beschädigungen oder Manipulationen überprüft.

Jede Ausnahme wird auf den Versandpapieren und/oder im System des Logistikdienstleisters vermerkt. Jede DDP-Lieferung muss nach der Überprüfung auf Beschädigungen oder Manipulationen (z. B. entfernte Klebebänder oder andere Bänder an der Hardware) vom Kunden unterschrieben werden. DAP-Aufträge gelten als abgeschlossen, wenn das Flugzeug dort angekommen ist, wo Oracle eine bestätigte Meldung der Fluggesellschaft über die Verladung der Ware an Bord (COB) erhalten hat.