Evaluación de seguridad

Descripción general

Para demostrar aún mejor la posición de liderazgo y el compromiso de Oracle con la seguridad del producto, se realizan certificaciones y evaluaciones de seguridad externas. Estas evaluaciones implican pruebas rigurosas de laboratorios acreditados de forma independiente. Las evaluaciones y validaciones externas proporcionan una garantía adicional en la seguridad de nuestros productos de Tecnología Informática. A nivel mundial, con frecuencia estas certificaciones son obligatorias para la contratación pública y establecen un nivel aceptable de confianza para los compradores de Tecnología Informática; sean estos gubernamentales, militares o comerciales.

Hay dos componentes importantes de las evaluaciones de seguridad de Tecnología Informática globales; los criterios y la metodología con los que se realizan las evaluaciones, y los esquemas gubernamentales que los rigen. Si bien los criterios son los mismos, independientemente del país en el que esté trabajando, se aplican diferentes políticas en todos los esquemas. En la actualidad, Oracle participa activamente en dos criterios de evaluación de seguridad reconocidos internacionalmente:

1. La norma Common Criteria (CC, Criterios comunes) es el único marco internacional (ISO/IEC 15408) que define un enfoque común para evaluar las capacidades y funciones de la seguridad de los productos de Tecnología Informática. Common Criteria (CC), procedente de otros tres estándares de seguridad nacional, ha evolucionado a lo largo de los años para mantenerse al día con las tendencias de seguridad y la tecnología de productos. En este momento, 30 países reconocen el marco, mientras que 18 de esos países, incluidos los Estados Unidos, están autorizados para emitir certificados. Un producto certificado de Common Criteria es aquel que un plan de gobierno autorizado afirma que superó una evaluación realizada por un laboratorio de evaluación independiente y con licencia.

2. El Estándar Federal de Procesamiento de la Información (FIPS) 140-2 es un estándar criptográfico desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST) en los EE. UU. para la protección de datos confidenciales pero no clasificados. Agencias federales de los EE. UU. y Canadá aceptan para su adquisición los módulos validados conforme a FIPS 140-2. Esta certificación confirma que un laboratorio independiente probó la funcionalidad criptográfica y que el plan del gobierno la validó en función de los requisitos del estándar. Industrias como la financiera, (Payment Card Industry (PCI)), de salud (Health Insurance Portability and Accountability Act (HIPAA)), la nube gubernamental (FedRAMP) y la milicia estadounidense (Joint Interoperability Command (JITC) y las Soluciones Comerciales de Uso Clasificado (CSfC)) han adoptado los requisitos de FIPS 140-2.

Para obtener más información, consulte el sitio web Security Evaluations. Para obtener una lista completa de las evaluaciones de seguridad de Oracle actualmente en progreso, así como las ya completadas, vaya a la página Estado de las evaluaciones de seguridad de Oracle.

Los blogs de evaluación de Oracle Security se centran principalmente en certificaciones gubernamentales, validaciones y programas de acreditación:

  1. Common Criteria y el futuro de las evaluaciones de seguridad (Mary Ann Davidson)
  2. Mejorar la velocidad de las evaluaciones de productos (Joshua Brickman)
  3. FIPS: El Crypto "Catch 22" (Joshua Brickman)

Envíe un correo electrónico a seceval_us@oracle.com para todas las consultas sobre las evaluaciones de seguridad de Oracle.

Beneficios de seguridad de las evaluaciones

Verificación independiente La evaluación de las solicitudes de seguridad del producto proviene de instalaciones de evaluación acreditadas que están certificadas por planes gubernamentales
Medidas estándar de aseguramiento La evaluación de las solicitudes de seguridad del producto proviene de instalaciones de evaluación acreditadas que están certificadas por planes gubernamentales
Mejoras de productos Las evaluaciones de seguridad pueden mejorar el diseño general y la implementación de la seguridad en las soluciones certificadas
Identificación de vulnerabilidades arquitectónicas Las evaluaciones de seguridad pueden llevar a la identificación de vulnerabilidades arquitectónicas