Il existe deux catégories de base pour la certification/conformité en matière de sécurité :
- Certifications/Conformité au niveau des solutions
- Certifications/Conformité au niveau des produits
Au niveau des solutions
Les clients Esri ont réussi à déployer les produits ArcGIS dans des environnements nécessitant des certifications/une conformité en matière de sécurité au niveau des solutions :
- Normes internationales : ISO 2700X, ISO 17799, BS 7799, Common Criteria (CC)
- Normes fédérales : FISMA (NIST), DITSCAP/DIACAP
- Normes du secteur : HIPAA, SOX, PCI
Autres éléments à noter concernant la sécurité au niveau des solutions :
- Esri héberge les environnements de catégorie faibles risques certifiés et accrédités FISMA.
- Les modèles de sécurité SIG ne constituent pas des conseils NIST/FISMA pour votre solution, mais servent de point de départ pour une organisation et facilitent la conformité avec les exigences de certification.
- Les éditeurs de logiciels comme Esri ne garantissent pas la certification/conformité en matière de sécurité au niveau des solutions pour les logiciels, car ils sont propres à chaque déploiement et dépendent de tous les composants d'une solution comme le matériel, les stratégies d'administration et les procédures physiques.
Au niveau des produits
- FDCC (Federal Desktop Core Configuration)
- Esri incorpore les vérifications de conformité de sécurité FDCC au niveau des produits.
- À partir de la version 9.2 des clients ArcGIS Desktop, Esri prend en charge et teste intégralement la compatibilité du produit avec les paramètres de sécurité FDCC http://nvd.nist.gov/fdcc/fdcc_faq.cfm
- À partir de la version 9.3.1 des clients ArcGIS Desktop, Esri utilise les outils validés SCAP pour autocertifier les produits et garantir la conformité FDCC.
- FIPS (Federal Information Processing Standards)
- Les produits SIG d'Esri contiennent des fonctions de sécurité de base qui répondent aux besoins de nombreux clients. Pour satisfaire des besoins spécifiques, comme la conformité à la norme FIPS 140-2, les produits Esri peuvent être étendus avec des algorithmes de sécurité tiers compatibles FIPS 140-2.
- Les produits Esri sont compatibles en activant l'utilisation des algorithmes compatibles FIPS pour le paramètre de sécurité de signature, de chiffrement et de hachage de Windows XP et des versions supérieures de Windows.
Esri continue à estimer les besoins en matière de certifications supplémentaires et/ou de conformité selon les commentaires des clients.