Introduction

La classification des actifs d'information d'Oracle détermine les exigences de sécurité des données d'entreprise pour les systèmes gérés par Oracle. Les politiques d'Oracle fournissent des conseils à l'échelle mondiale pour les contrôles appropriés conçus pour protéger les données d'entreprise, cloud et client conformément à la classification des données.

Les contrôles de sécurité d'entreprise d'Oracle peuvent être regroupés en trois catégories : contrôles de sécurité administratifs, physiques et techniques.

• Contrôles administratif, notamment le contrôle d'accès logique et les processus de ressources humaines
• Contrôles physiques conçus pour empêcher l'accès physique non autorisé aux serveurs et aux environnements de traitement des données
• Contrôles techniques, y compris les configurations sécurisées et le chiffrement des données au repos et en transit.

Chiffrement

Le chiffrement est le processus qui rend les données illisibles sans la clé spécifique pour déchiffrer les données. La Politique de protection des informations d'Oracle définit les exigences de haut niveau relatives à la protection des données par chiffrement lorsque les données sont inactives (dans le stockage) sur des ordinateurs portables, des appareils et des supports amovibles.

Oracle dispose de normes d'entreprise qui définissent les algorithmes et protocoles cryptographiques approuvés. Les produits et services Oracle sont tenus d'utiliser uniquement des versions à jour des implémentations approuvées relatives à la sécurité, conformément aux pratiques du secteur. Oracle modifie ces normes à mesure que le secteur et la technologie évoluent, pour appliquer, par exemple, l'abandon opportun des algorithmes de chiffrement plus faibles.

Chiffrer les données

Oracle met en œuvre un large éventail de contrôles de sécurité techniques conçus pour protéger les ressources d'informations au repos et en transit. Ces contrôles sont guidés par les normes du secteur et sont déployés dans l'infrastructure de l'entreprise :

• Systèmes d'entreprise tels que les applications et les outils de collaboration
• Média de stockage amovible
• Ordinateurs portables et appareils mobiles

Gestion des clés de chiffrement

Les solutions de gestion des clés de chiffrement chez Oracle doivent être approuvées par le processus d'assurance de la solution de sécurité d'entreprise (CSSAP). Oracle définit les exigences en matière de chiffrement, notamment les forces de chiffrement, la gestion des clés, la génération, l'échange/la transmission, le stockage, l'utilisation et le remplacement. Les exigences spécifiques de cette norme comprennent :

• Emplacements et technologies de stockage des clés de chiffrement
• Contrôles permettant de garantir la confidentialité, la disponibilité et l'intégrité des clés de chiffrement transmises, telles que les signatures numériques
• Modification des clés de chiffrement par défaut
• Planification du remplacement des différents types de clé de chiffrement

Mise hors service de serveurs et d'autres ressources informatiques

Les Politiques d'Oracle relatives à la sanitisation et à la mise au rebut des médias définissent les exigences relatives à la suppression des informations provenant du support de stockage électronique (sanitisation) et à la destruction des informations qui ne sont plus nécessaires pour se protéger contre la récupération et la reconstruction non autorisées de données confidentielles. Les médias de stockage électroniques comprennent les ordinateurs portables, les disques durs, les périphériques de stockage et les médias amovibles tels que les bandes.