Certificación de seguridad EAL4 para Sybase ASE

4 Abr 2005 en Software

Sybase, Inc. anunció que su base de datos de clase empresarial, Sybase Adaptive Server Enterprise (ASE) 12.5.2 obtuvo una certificación de seguridad de nivel 4 (EAL4) por parte del “International Common Criteria for Information Technology Security Evaluation”, haciendo que el producto sea el más recientemente ofrecido en el mercado, en alcanzar este nivel de certificación. Este nivel de certificación, el más alto obtenido por un software de uso general, es evidencia de las impresionantes capacidades de seguridad de Sybase ASE, entre las que se cuentan:

Esquema de seguridad integrado, independiente del sistema operativo,
Diferentes esquemas de autenticación de usuarios de la base de datos (LDAP, PAM, etc.),
Definición de jerarquías de seguridad a nivel de la base de datos, a través de permisos, grupos de usuarios, perfiles de usuario y roles administrativos,
Sistema configurable de auditoría a nivel de la base de datos,
Encriptación de conexiones cliente/servidor, con el uso de SSL,
Seguridad de acceso a nivel de fila, entre otras.
La certificación “Common Criteria” (como se le conoce en inglés) es requerida por el gobierno de los Estados Unidos antes de que cualquier producto de tecnología pueda ser considerado para ser adquirido por cualquier oficina, departamento o cualquier otra organización del gobierno norteamericano. Adicionalmente, el “Common Criteria” es una evaluación de seguridad reconocida internacionalmente, requerida por numerosos gobiernos centrales alrededor del mundo para cualquiera de sus departamentos interesados en procurar productos comercialmente disponibles. La certificación “Common Criteria” también asegura que las empresas cuentan con una medida estándar del diseño de seguridad de sus productos de computación.

El “National Information Assurance Partnership Common Criteria Evaluation” verifica el cumplimiento del CCEVS (Common Criteria certification standard and Validation Scheme Validation Body) — el cual es un ente manejado por el NIST (National Institue od Standars and Technology) y la NSA (National Security Agency), ambas entidades norteamericanas. El certificado EAL4, junto con su reporte de validación, confirma que las funciones de seguridad de Sybase ASE 12.5.2 han sido evaluadas en un laboratorio acreditado y están en conformidad con el “Common Criteria”.

Con estas pruebas se encontró que Sybase ASE 12.5.2 supera los requerimientos del EAL4, brindando seguridades adicionales en el área de solución de fallas, un aspecto de  importante consideración para el gobierno de los Estados Unidos y empresas afines. Esto significa que si se descubre una falla de seguridad en el producto, existe un procedimiento claramente definido para identificar efectiva y rápidamente el problema, reportarlo, y tomar la acción correctiva. Los usuarios de Sybase ASE pueden estar tranquilos de que los problemas de seguridad son resueltos rápidamente y por expertos.

Sybase IQ 12.6, la base de datos de Sybase optimizada para inteligencia de negocios, completó la evaluación de certificación de seguridad EAL3 para su componente de administración de usuarios, y excede los requerimientos de EAL3 brindando seguridades adicionales en el área de solución de fallas. La base de datos Adaptive Server Anywhere (ASA), disponible como parte de SQL Anywhere Studio, también está siendo evaluada para la misma certificación.