Existen dos categorías básicas para la certificación y el cumplimiento de las normativas de seguridad:
- Certificaciones/cumplimiento en el nivel de las soluciones
- Certificaciones/cumplimiento en el nivel de los productos
Nivel de las soluciones
Los clientes de Esri han implementado con éxito los productos de ArcGIS en entornos que requieren las siguientes certificaciones/cumplimiento de seguridad en el nivel de soluciones:
- Estándares internacionales: ISO 2700X, ISO 17799, BS 7799, Common Criteria (CC)
- Estándares federales: FISMA (NIST), DITSCAP/DIACAP
- Regulaciones industriales: HIPAA, SOX, PCI
Otros elementos destacados relacionados con la seguridad en el nivel de las soluciones:
- Esri aloja entornos de categorías de bajo riesgo acreditados y certificados por FISMA
- Aunque los patrones de seguridad de SIG no son una garantía de orientación de NIST/FISMA para las soluciones, sirven como un punto de partida excelente para una organización y facilitan el cumplimiento de los requisitos de certificaciones
- Los proveedores de software como Esri no realizan certificaciones ni cumplimiento de seguridad en el nivel de las soluciones para los productos de software, ya que éstas son únicas para cada implementación y dependen de todos los componentes de una solución. como el hardware, las políticas administrativas y los procedimientos físicos
Nivel de los productos
- FDCC (Federal Desktop Core Configuration)
- Esri incorpora comprobaciones de cumplimiento de seguridad de FDCC en el nivel de los productos
- A partir de la versión 9.2 de los clientes basados en ArcGIS Desktop, Esri admite y prueba la compatibilidad de los productos con la configuración de seguridad de FDCC (Federal Desktop Core Configuration) http://nvd.nist.gov/fdcc/fdcc_faq.cfm
- A partir de la versión 9.3.1 de los clientes de ArcGIS Desktop, Esri utiliza herramientas validadas por SCAP para autocertificar los productos y garantizar el cumplimiento de FDCC.
- Normativa de procesamiento de información del gobierno federal (FIPS)
- Los productos SIG de Esri proporcionan funciones de seguridad básica que satisfacen las necesidades de numerosos clientes. Para ajustarse a las necesidades específicas como el cumplimiento de FIPS 140-2, los productos de Esri pueden completarse con algoritmos de seguridad de terceros que cumplan FIPS 140-2
- Los productos de Esri admiten la habilitación del uso de algoritmos que cumplen con FIPS para el cifrado, los hash y la firma de seguridad en Windows XP y versiones posteriores de Windows
Como siempre, Esri continúa evaluando la necesidad de cumplimiento de las directivas y las certificaciones adicionales conforme a los comentarios de los clientes.