Güvenlik Değerlendirmesi

Genel Bakış

Oracle, bazı ürünleri harici güvenlik değerlendirmelerine gönderir. Bu değerlendirmeler, hükümet organları tarafından tamamlanan daha ileri düzey gözetim ve tasdik yetkisine sahip, bağımsız olarak onaylanmış kuruluşlar ("laboratuvarlar") tarafından gerçekleştirilen sıkı testleri içerir. Bağımsız onay, Oracle müşterilerine doğrulanmış ürünlerin güvenlik durumuna ilişkin ek güvence sağlamaya yardımcı olur.

Genel Kriterler (ISO/IEC 15408) ve FIPS

Oracle, küresel pazar talebinin yanı sıra satın alma ve düzenleme gerekliliklerini yansıttığından, Genel Kriterler (CC) ve FIPS standartlarına bağlıdır.

Genel Kriterler (ISO/IEC 15408), BT ürünlerinin güvenlik özellik ve olanaklarının değerlendirilmesine ilişkin ortak bir yaklaşım tanımlayan uluslararası çerçevedir.

Federal Bilgi İşleme Standardı (FIPS) 140, hassas ancak gizli olarak sınıflandırılmamış verilerin korunması için ABD'deki Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından geliştirilen bir şifreleme standardıdır. FIPS 140-2'ye uygun olduğu doğrulanan kriptografi, ABD ve Kanada'da Federal Kurumların satın alımı için kabul edilmiştir. Bir dizi sektöre özgü düzenleme ve standartta FIPS 140-2 gerekliliklerine atıfta bulunulur. Bunlar arasında kredi kartı verilerinin işlenmesine yönelik Ödeme Kartı Sektör Güvenlik Standartları Konseyi (PCI SSC) standartları, sağlık sektöründe uygulanan Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA), ABD Silahlı Kuvvetleri'de uygulanan Ortak Birlikte Çalışabilirlik Komutanlığı (JITC) vb. yer alır. ABD Federal Risk ve Yetki Yönetim Programı (FedRAMP) gerekliliklerine göre "onaylanmış kriptografik teknikler", FIPS 140-2 uyarınca, onaylanmış kriptografik modüller kümesi olarak yorumlanmaktadır.

FedRAMP tarafından yetkilendirilen bulut çözümleri, bu çözümlerde dağıtılan kriptografik mekanizmaların FIPS 140-2 sertifikasına sahip olmasını zorunlu kılmaktadır.

Gerek FedRAMP Orta Derece gerekse Yüksek Derece için Güvenlik Kontrolleri Genel Hattı (kontrol kimliği: SA-4) kılavuzunda "Genel Kriterler'ine (ISO/IEC 15408) göre değerlendirilen ürünlerin kullanımı kesinlikle tercih edilir." ibaresi yer almaktadır.

Güvenlik Değerlendirmelerinin Avantajları

FIPS 140-2 ve Genel Kriterler gibi güvenlik değerlendirmeleri, müşterilere Oracle ürünlerinin kritik verileri işlemeye yönelik sıkı gerekliliklere uygun olduğu konusunda ek güvence vermektedir. Müşteriler, onaylanmış üçüncü taraf test kuruluşları tarafından değerlendirilen Oracle ürünlerinden yararlanarak karmaşık bilgi işlem ortamları için geçerli olan ve sayıları giderek artan düzenleme gerekliliklerini karşılamaya yardımcı olabilir.

Oracle ürünlerine yönelik tamamlanan ve devam eden güvenlik değerlendirmelerinin tam listesi için lütfen Oracle Güvenlik Değerlendirmelerinin Durumu sayfasına bakın.