Evaluación de seguridad

Descripción general

Para demostrar una vez más el liderazgo y el compromiso de Oracle con la seguridad del producto, se realizan evaluaciones de seguridad y certificaciones externas. Estas evaluaciones implican superar pruebas rigurosas en laboratorios acreditados independientes. Las evaluaciones y validaciones externas ofrecen garantías adicionales en la seguridad de nuestros productos de TI. A nivel global, estas certificaciones con frecuencia son obligatorias para la contratación pública y establecen un nivel de confianza aceptable para los compradores de TI, ya sean organismos gubernamentales, militares o comerciales.

En las evaluaciones de seguridad de TI globales hay dos componentes importantes: los criterios y la metodología con los que se llevan a cabo las evaluaciones y los programas gubernamentales que deben cumplir. Aunque los criterios son los mismos independientemente del país en el que trabaje, se aplican distintas políticas en los distintos programas. En la actualidad, Oracle participa activamente en dos criterios de evaluación de la seguridad con reconocimiento internacional:

1. Los Criterios Comunes (CC) son el único marco internacional (ISO/IEC 15408) que define un planteamiento común para evaluar las capacidades y características de seguridad de productos de TI. Los CC, que se originaron a partir de otras tres normas de seguridad nacionales, han evolucionado a lo largo de los años para mantenerse al día con las tendencias de seguridad y la tecnología de productos. Al redactar este texto, 30 países reconocen el marco y 18 de esos países, incluido EE. UU. están autorizados para emitir certificados. Un producto certificado por los Criterios Comunes es un producto que el programa gubernamental autorizado declara que ha pasado una evaluación realizada en un laboratorio de evaluación independiente y con licencia.

2. El Estándar Federal de Procesamiento de la Información (FIPS por sus siglas en inglés) es un estándar criptográfico desarrollado por el Instituto Nacional de Normas y Tecnología (NIST por sus siglas en inglés) de EE. UU. para la protección de datos confidenciales no clasificados. Los organismos federales de EE. UU. y Canadá aceptan para la contratación los módulos validados de conformidad con el estándar FIPS 140-2. Esta certificación confirma que la funcionalidad criptográfica ha sido sometida a pruebas en un laboratorio independiente y está validada por el programa gubernamental en relación con los requisitos del estándar. Los requisitos del estándar FIPS 140-2 han sido adoptados por sectores como el financiero (el sector de tarjetas de pago (PCI por sus siglas en inglés), el sector sanitario (Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA por sus siglas en inglés), la nube del gobierno (el Programa Federal de administración de riesgos y autorizaciones (FedRAMP por sus siglas en inglés)), el ejército de EE. UU. (Comando de Interoperabilidad Conjunta (JITC por sus siglas en inglés) y Soluciones Comerciales para los Programas Clasificados (CSfC por sus siglas en inglés).

Para obtener más información, consulte el sitio web Security Evaluations. Puede consultar una lista completa de las evaluaciones de seguridad de Oracle que se están llevando a cabo en este momento así como las que ya se han completado en la página de estado de las evaluaciones de seguridad de Oracle

Los blogs de evaluación de la seguridad de Oracle se centran sobre todo en las certificaciones, validaciones y programas de acreditación gubernamentales:

  1. Los Criterios Comunes y el futuro de las evaluaciones de seguridad (Mary Ann Davidson)
  2. Mejora de la velocidad de las evaluaciones de productos (Joshua Brickman)
  3. FIPS: El "Círculo vicioso" criptográfico (Joshua Brickman)

Si tiene cualquier consulta sobre las evaluaciones de seguridad de Oracle, envíe un correo electrónico a seceval_us@oracle.com.

Beneficios de las evaluaciones de seguridad

Verificación independiente La evaluación de las reclamaciones sobre seguridad de productos procede de centros de evaluación acreditados que están certificados por los programas gubernamentales.
Medidas de garantía estándar La evaluación de las reclamaciones sobre seguridad de productos procede de centros de evaluación acreditados que están certificados por los programas gubernamentales.
Mejoras de productos Las evaluaciones de seguridad pueden traducirse en mejoras en el diseño global y en la implementación de seguridad de las soluciones certificadas
Identificación de vulnerabilidades de arquitectura Las evaluaciones de seguridad permiten identificar vulnerabilidades de arquitectura