Oracle Health and AI(OHAI) 보안 프로그램

명시된 제품은 특정 사용 사례에 어떤 제품이 제공되었는지 보여주는 예시입니다. 각 의료 기기/제품은 사용 지역의 규정을 준수하도록 설계되었습니다. 그러나 이러한 기기/제품이 다른 특정 지역에서도 사용 가능하거나 규정을 준수한다고 보장할 수 없습니다. 지역별 요구 사항을 충족하기 위해서는 현지 규정에 맞는 조정이 필요할 수 있습니다.

이 OHAI 보안 프로그램은 OHAI의 호스팅 플랫폼, 즉 클라이언트를 대신하여 OHAI가 자체 호스팅 환경에서 애플리케이션과 솔루션을 배포하는 하드웨어 및 운영 체제를 중심으로 설계되었습니다. 이러한 플랫폼의 예로는 Oracle Health Millennium®, HealtheIntent®CareAware®가 있습니다. Oracle은 호스팅 운영 시스템의 사이버 보안 및 사고 관리에 대한 소유권과 책임을 지며 호스팅 클라이언트 데이터의 기밀성, 무결성 및 가용성을 보호합니다. 고객은 최종 사용자 액세스 제어, 사용자 정의 확장/통합 추가, 합법적인 데이터 처리 등 보안의 특정 측면을 관리할 책임이 있습니다.

OHAI는 클라이언트 데이터가 호스팅되는 시설에 관계없이 동일한 보안 규정 준수 프로그램 및 정보 보안 정책을 활용하여 전 세계의 호스팅 서비스를 제공합니다. 고객 데이터는 달리 상호 합의하지 않는 한 고객이 위치한 동일한 국가에서 저장하고 호스팅됩니다. 사용되는 데이터 센터의 유형에 따라 몇 가지 운영상의 차이는 있지만 Oracle의 정보 보안 프로그램은 변경되지 않습니다.

  • OHAI 클라우드 호스팅 – 고객은 OHAI의 클라우드 호스팅 옵션을 통해 클라우드 지원 솔루션을 사용하고, 최종 사용자에게 애플리케이션을 제공하는 데 사용되는 애플리케이션 기능과 기술에 대한 최신 정보를 쉽게 얻을 수 있습니다. Oracle의 클라우드 컴퓨팅 환경인 Oracle Cloud Infrastructure(OCI)는 확장 가능하고 가용성이 높으며 비용 효율적인 클라우드 플랫폼입니다. OCI는 상용 및 정부의 퍼블릭 클라우드 리전을 보유하고 있으며, 전 세계에 위치하고 있습니다. 또한 OHAI는 일부 호스팅 서비스에 서드파티 퍼블릭 클라우드 제공업체를 활용합니다.
  • OHAI 데이터 센터 시설 – OHAI 데이터 센터 시설은 해당 시설이 위치한 지리적 영역에 대한 자연재해의 위험을 고려하여 구축됩니다. 데이터 센터는 모든 침입 시도를 억제, 지연, 탐지하기 위해 전략적으로 계층화된 방식의 물리적, 환경적 보안 조치를 취합니다. 이러한 조치는 더욱 강력하고 안전하며 신뢰할 수 있는 환경을 제공하도록 설계되었습니다.
  • 공동 위치 데이터 서비스 제공업체 – OHAI는 일부 지역에서 계층 3에 상응하는 데이터 센터 공동 위치 서비스 제공업체를 활용합니다. 데이터 센터 제공업체가 제공하는 서비스에는 데이터 센터 운영(즉, 전력 공급, 냉각, 소화) 및 OHAI 데이터 센터 케이지에 이르는 물리적 보안이 포함됩니다. 컴퓨터 장비 및 네트워킹 장비(서버, 방화벽 또는 네트워크 케이블 연결 등)는 OHAI에서 소유 및 유지 관리하며, 다른 데이터 센터 테넌트와 공유되지 않습니다. 서비스 제공업체는 OHAI 데이터 센터 케이지 내에 호스팅된 데이터에 액세스할 수 없으며, OHAI 클라이언트와 관련된 데이터를 처리하지 않습니다. 콜로케이션 서비스 제공업체 인증에는 ISO 27001, ISO 14001 인증 및 SOC 2 Type II 보고서와 같이 업계에서 인정받는 보안, 환경, 보건, 안전 인증이 포함됩니다.

서드파티 데이터 센터 콜로케이션 서비스 공급자를 사용하더라도 Oracle의 보안 프로그램 관리 방식은 변경되지 않으며 서비스 공급자에게 시스템이나 네트워크에 대한 액세스 권한이 제공되지도 않습니다.

정책 및 절차

OHAI는 OHAI 플랫폼에서 유지 관리되는 정보를 보호하기 위해 고안된 역할, 책임, 정책 및 절차를 명확하게 정의하여 문서화된 정보의 개인정보를 보호하고 보안 및 위험 관리 프로그램을 유지합니다. OHAI의 프로그램은 최소한 다음 작업을 수행합니다.

  • 특정 개인에게 데이터 보안 책임 및 책임을 배정합니다.
  • OHAI 플랫폼의 허용 가능한 사용 방법을 설명합니다.
  • OHAI 최종 사용자, 관리자 및 운영 체제에 대한 액세스 제어 및 암호 속성을 제공합니다.
  • OHAI 최종 사용자 인증 요구사항을 적용합니다.
  • OHAI 호스팅 운영 환경의 감사 로깅 및 모니터링을 설명합니다.
  • OHAI의 사고 대응 계획;
  • 적절한 위험 관리 제어, 보안 인증 및 정기적인 위험 평가에 대해 설명합니다.
  • OHAI의 네트워크, 사무실 및 데이터 센터에 대한 물리적 및 환경적 보안 요구사항을 설명합니다.

OHAI는 보안 정책 및 절차의 종이 사본이나 전자 사본을 엄밀히 제어하며 이를 배포하지 않습니다. OHAI는 보안 프로그램을 정기적으로 검토하고 수정하여 변화하는 기술, 규정, 법률, 위험, 산업 및 보안 관행 및 기타 비즈니스 요구를 반영합니다.


기술 보안

ID 및 액세스 관리

OHAI는 클라이언트 시스템에 대한 액세스 권한을 역할, 필수 교육 완료 및 직무 책임에 필요한 최소 권한 원칙에 따라 부여합니다. 액세스 승인 프로세스는 액세스가 규정 준수 요구 사항을 충족하여 적절히 부여되도록 엄격하게 시행됩니다.

팀은 액세스 권한을 모니터링하고 매월 비활성 상태를 확인하여 액세스 인가를 적절하게 취소해야 합니다. 직원 ID는 VPN 연결을 사용할 때 이중 인증을 통해 검증됩니다. 기업 네트워크와 분리된 클라우드 환경에 액세스하려면 승인된 VPN을 사용하는 인증이 필요합니다.

액세스 승인 프로세스는 액세스가 규정 준수 요구 사항을 충족하여 적절히 부여되도록 엄격하게 시행됩니다. 직원 고용이 (자발적으로 또는 비자발적으로) 종료되면 해당 액세스도 취소됩니다.

구성 관리 및 네트워크 보호

OHAI는 플랫폼 보호를 위해 보안 프로그램 내에서 다양하게 겹쳐 있는 보안 애플리케이션 및 대책을 사용합니다. 다음은 플랫폼 보호를 위해 OHAI가 배포하는 보안 기술의 몇 가지 예입니다.

  • 안티바이러스 소프트웨어 – 안티바이러스(AV) 소프트웨어, 맬웨어 방지 소프트웨어, 보정 제어는 호스팅 환경 전반에 걸쳐 적절하게 사용됩니다. 패턴 파일 업데이트는 매일 배포됩니다. 인바운드 데이터는 실시간으로 스캔되고 시스템 드라이브는 매주 스캔됩니다. AV 소프트웨어 및 검사 엔진은 바이러스 서명을 최신 상태로 유지하는 것 외에도 효율성을 유지하고 향상하기 위해 업데이트됩니다.
  • 네트워크 방화벽 – 경계 네트워크 및 중요한 기반 구조 연결은 업계 표준 네트워크 방화벽 기술로 보호됩니다.
  • 침입 방지 시스템(IPS) – 인라인 어플라이언스는 악의적이거나 비정상적인 동작을 식별하기 위해 네트워크 기반 구조 내에 전략적으로 배치됩니다. 방화벽의 인터페이스를 통과하는 각 연결과 핵심 네트워크를 통과하는 각각의 주요 연결은 유효성을 검사합니다.
  • 서비스 거부 – OHAI는 인터넷 서비스 제공업체와 긴밀히 협력하여 서비스 거부 접근 권한 공격을 감지하고 방어합니다.
  • 프록시 서버 – 대상 서버와의 연결을 설정하기 전에 공용 네트워크에서 외부 애플리케이션 접근 권한이 웜 및 바이러스에 감염되었는지를 스캔합니다. 아웃바운드 웹 및 FTP 요청은 승인된 목록에 대해 필터링되어 웜 및 바이러스 감염 검사를 거칩니다.
  • 시스템 강화 – 보안 구성의 산업 표준 관행에 대해 서버 템플리트가 업데이트됩니다. 새 이미지는 필요에 따라 모든 새 서버와 이전 서버에 로드됩니다.
  • 패치 관리 – OHAI는 시스템 변경에 대한 가시성을 제공하는 자동화된 시스템 인벤토리 및 패치 시스템을 유지 관리합니다. OHAI는 파트너 관계를 통해 최신 패치 알림을 받고 해당 플랫폼 내에 패치를 적용하기 전에 다양한 프로세스를 사용하여 패치를 테스트합니다.
  • 환경 구분 – OHAI는 개발, 테스트 및 클라이언트 프로덕션 환경의 적절한 논리적 및 물리적 분리를 유지합니다.

시스템 관리

시스템 레벨 로그

OHAI는 엔터프라이즈 보안 로깅 저장소의 네트워크 장치, 보안 기반 구조 구성 요소 및 서버 시스템에 대한 액세스 및 작업을 기록합니다. 로그는 시스템 이벤트의 모니터링, 분석, 문제 해결, 준수 및 감사를 위해 보안 정보 및 이벤트 관리(SIEM) 도구로 전송됩니다. SIEM을 사용하면 보안 담당자는 일반적인 이벤트 프로필을 개발하여 비정상적인 활동에 집중하고, 오탐을 방지하고, 이상 징후를 식별하고, 중요하지 않은 경고를 방지할 수 있습니다.

암호화 및 암호 저장소

OHAI는 적절한 암호화 방식을 사용하여 데이터를 보호합니다. OHAI는 위험 평가를 수행하여 데이터가 소비되는 방식과 데이터의 전반적인 민감도를 평가합니다. 데이터는 공용 네트워크를 통해 전송 시 암호화됩니다. OHAI는 클라이언트 네트워크 공용 및 개인 키 기반 구조를 관리합니다. 암호화 모듈에서 지원하는 경우, OHAI는 FIPS 140-2 알고리즘을 사용하기 위해 노력하고 있습니다. OHAI는 또한 AES(고급 암호화 표준) 및 TLS(전송 중 보안) 암호화 프로토콜도 지원합니다.

취약점 및 위협 관리

침투 테스트는 적합한 업계 자격 및 인증서를 보유한 OHAI 보안 전문가가 수행합니다. 또한 OHAI는 매년 외부 침투 테스트를 수행하기 위해 서드파티와 협력합니다. OHAI의 보안 전문가는 OHAI의 취약점 및 위협 관리 프로그램의 일환으로 OHAI와 고객 모두에게 식별된 취약점 및 위협의 위험 잠재력을 분석하고 정량화합니다.

OHAI는 OHAI 플랫폼의 지속적인 프로덕션 스캐닝을 수행합니다. OHAI는 환경에 대한 예상 영향 및 외부 노출에 따라 취약점을 평가합니다. 취약점에 점수를 부여한 뒤에는, 취약점을 완화하거나 해결하기 위한 프로세스가 시작됩니다.

식별한 취약점으로 위험성을 평가하고, 심각도 수준에 따라 위험을 완화하거나 해결합니다. 이 분석에는 NIST의 공통 취약점 점수 부여 시스템(NIST CVSS)과 같은 업계 표준 사용 및 업계 표준 도구를 사용하는 내부 침투 환경 스캔이 포함됩니다. OHAI는 아래에 규정된 시간 내에 취약점을 패치하기 위해 노력하고 있습니다.

  • 긴급 – 승인된 임시해결책 방법을 사용할 수 있는 경우 2주, 연관된 임시해결책을 사용할 수 없는 경우 48시간
  • 중요 – 30일
  • 높음 – 90일
  • 중간 – 180일
  • 낮음 – 365일

물리적 및 환경적 보안

물리적 및 환경적 보안 조치는 시도된 침입을 억제, 지연 및 감지하기 위한 전략적 계층형 접근 방식에 구현됩니다. 이러한 조치는 설비에 고유한 요구에 따라 설계되었으며, 중요한 시스템에 더욱 강력한 보안 및 안정적인 환경을 제공할 수 있도록 합니다.

OHAI는 Oracle Health 데이터 센터 및 OHAI에서 활용하는 모든 공동 위치 서비스 제공업체가 최소한 다음과 같은 물리적 및 환경적 보안 제어를 유지 관리하도록 보장합니다.

  • 액세스 제어 시스템을 통해 OHAI 직원과 공인된 서드파티만 출입할 수 있도록 제한합니다.
  • 화재 감지 및 억제 시스템, 냉각 시스템, 습도 제어, 배전 제어, 무정전 전원 공급 장치 및 백업 발전기 기능과 같은 업계 표준 환경 제어에 따라 설계된 설비를 갖춥니다.
  • 산업 표준 매개변수 제어(예: 경비소, 물리적 장벽, 비디오 감시 및 적절한 내후성 설계)에 따라 설계된 설비를 갖춥니다.

사고 관리

즉시 대응 센터(IRC)

IRC의 주요 업무는 고객 지원 데스크의 두 번째 및 세 번째 계층 지원 호출에 응답하고 보고된 이슈를 해결하는 것입니다. 보고된 이슈는 문서화되어 중앙 저장소에 저장됩니다. IRC 팀은 시스템 모니터링 도구를 사용하여 경보 및 경고를 추적 및 대응하고 적절한 조치를 취합니다. OHAI의 IRC는 24시간 연중무휴 지원합니다.

컴퓨터 보안 사고 대응 센터(CSIRC)

OHAI의 컴퓨터 보안 사고 대응 센터(CSIRC)는 보안 사고 이벤트 관리를위한 제어 센터입니다. OHAI 플랫폼에서 24시간 연중무휴 지속적인 위협 모니터링을 담당합니다. CSIRC 팀은 OHAI 환경을 보호하기 위해 국제, 연방 및 기술 산업 위협 인텔리전스 정보에 대한 응답을 수집하고 조정합니다. 또한 업계 표준 도구를 활용하여 로그를 체계적으로 분석함으로써 잠재적인 무단 활동을 식별하고 잠재적 위협에 집중할 수 있습니다.

보안 사고

OHAI는 플랫폼 내에서 발생하는 시스템 보안 이벤트를 조사, 완화 및 전달하기 위해 보안 사고 관리 프로세스를 유지 관리합니다. 영향을 받는 클라이언트는 관련 보안 사고를 적시에 파악하고 권장되는 시정 조치를 취해야 합니다.

보안 이벤트 관리

OHAI는 "유명한" 취약점 사건을 고객에게 통지하거나 공개적으로 언급하지 않습니다. OHAI의 단독 재량에 따라 OHAI는 수집된 위협 인텔리전스에 따라 즉각적인 주의가 필요하다고 판단한 취약점에 대해서는 구체적인 대응을 시행할 수 있습니다. 그렇지 않은 경우, OHAI는 클라이언트에 통지하거나 클라이언트의 취약점 검토 요청을 처리하지 않습니다.


변경 관리

OHAI는 정보 기술 기반 구조 라이브러리(ITIL) 모범 사례를 기반으로 변경 관리 프로세스를 유지 관리하며, 이러한 변경과 관련된 위험의 유형 및 수준을 중심으로 설계되었습니다. OHAI의 정책에서는 OHAI가 영향을 받는 클라이언트와 클라이언트 시스템에 관한 비정기적인 변경 사항을 전달해야 합니다. 변경 사항은 검증되고 검토되며, 변경에 따른 위험에 상응하는 승인을 받습니다. OHAI는 변경 권고 보드(CAB)를 사용하여 알려진 작동 중지 시간 또는 증가한 위험과 관련된 중요한 변경 사항을 검토합니다. 변경 사항은 OHAI의 중앙 집중식 변경 요청 시스템 내에서 기록되고 유지 관리됩니다. 클라이언트는 자신이 수행하는 시스템 수정 사항을 제어하고 문서화할 책임이 있습니다.


우발상황 계획

OHAI의 우발상황 프로그램은 ISO 22301을 기반으로 하며 사고 중 내부 및 외부 클라이언트 기능 (예: 중단, 손실, 비상 또는 위기로 이어질 수 있거나 발생할 수 있는 상황)을 지원하여 필수 기술의 지속적인 운영을 보장하도록 설계되었습니다.

장애 복구 및 복원력

OHAI는 프로덕션 환경에 대한 중단을 최소화할 수 있는 중복된 고가용성 기반 구조를 제공합니다. 심각한 사고가 발생하면 OHAI는 확립되고, 행사되고, 문서화된 우발상황 프로그램을 따라 상업적으로 합리적인 조치를 취해 가능한 한 신속하고 효과적으로 서비스를 복원합니다. OHAI의 우발상황 계획 프로그램의 사고 관리 부분은 매년 테스트, 검토 및 업데이트됩니다. OHAI는 해당 플랫폼을 기반으로 다양한 수준의 재난 복구 서비스를 제공합니다.


소프트웨어 개발 수명 주기

OHAI는 보안 관행을 Oracle과 연계하고 있습니다. OHAI는 신제품 개발을 위해 제품 개발 수명 주기의 모든 단계를 포괄하는 Oracle Software Security Assurance(OSSA)를 활용합니다. 이것은 제품의 설계, 구축, 테스트 및 유지 관리에 보안을 구축하기 위한 Oracle의 방법론입니다. Oracle의 보안 개발 관행은 OWASP Top 10에 식별된 취약점을 포함한 일반적인 취약점을 보강하기 위한 것입니다. 자세한 내용은 https://www.oracle.com/corporate/security-practices/assurance/development/에서 확인하실 수 있습니다.


직원

보안 인식

OHAI의 보안 인식 프로그램은 직원들이 직무와 연관된 필수 교육 및 훈련 활동에 참여하도록 요구합니다. 이러한 활동은 OHAI의 보안 태세의 효율성을 유지하기 위해 고안되었으며, 다음 사항을 포함합니다.

  • 지속적인 교육 캠페인
  • 연간 보안 교육
  • 현지화된 보안 교육
  • 피싱 및 기타 사기 인식
  • 맞춤형 보안 공지

고용 요건 지침

2003년에 OHAI는 신원조사 과정을 통해 제안 단계에 있는 채용 후보자를 정기적으로 선별하는 과정에 착수했습니다. OHAI는 2012년부터 고용 절차를 시작하기 전에 채용 후보자가 약물 검사에 응할 것을 요구하기 시작했습니다.

신원조사

OHAI의 지원자 신원조사 프로세스는 지원자의 잠재적 역할 및 해당 법률에 따라 달라집니다. 예를 들어, 해당 법률에서 허용하는 범위 내에서 미국 및 캐나다의 신원조사는 다음으로 구성됩니다.

  • 5년 전부터의 고용 기록
  • 역할에 따라 요구되는 교육 검증(최고 학위)
  • 7년 전까지 확인하는 범죄 이력 검색
  • 주민등록 번호 추적(미국만 해당)
  • 보건의료 제재 검사(미국만 해당)
  • 글로벌 제재 및 집행 확인
  • 약물 검사(특정 포지션에만 해당)
  • 전문 인증서(특정 포지션에만 해당)

하청업체

OHAI는 하청업체가 OHAI의 고객에게 서비스를 제공하는 직원의 역량과 자격요건을 보장할 것을 요구합니다. 하청업체 직원은 자신들이 수행하는 서비스에 적용되는 신원조사를 완료해야 합니다. 이러한 신원조사는 OHAI가 OHAI 직원에게 요구하는 신원조사보다 최소한 규범적이어야 합니다.

서드파티 위험 관리

OHAI는 데이터 및 기타 기밀 정보에 대한 해당 기관의 접근 권한에 따라 플랫폼을 제공하기 위해 콜로케이션 서비스 제공업체 및 공급자와 비즈니스 협력 계약 및 비밀보장계약을 체결해야 합니다. OHAI는 공급자에 대한 OHAI 평가 프로세스의 일부로 공급자가 데이터 보안 질의서를 작성 완료하도록 요구합니다. 또한 OHAI는 공급자의 위험 프로파일을 기반으로 공급자에 대한 연간 공급자 보안 위험도 평가를 수행합니다.

역외 리소스

OHAI는 전 세계에 사무실과 동료를 둔 글로벌 기업입니다. OHAI의 현재 운영 및 지원 모델에는 글로벌 동료의 리소스 활용이 포함됩니다. OHAI는 해당 플랫폼이 호스팅되는 국가 외부의 플랫폼에 대한 임시 액세스를 제공할 수 있습니다. 플랫폼에 접근 권한을 가진 모든 직원은 특정 역할에 관한 필수 교육 및 관련 활동에 참여해야 하며, OHAI의 보안 정책 및 프로세스를 따라야합니다. 교육 기록은 규정 준수를 위해 추적 및 유지 관리됩니다.

미디어 말소

OHAI의 호스팅 서비스 제공에 사용되는 모든 스토리지 미디어는 전자 미디어 처분에 대한 OHAI의 정책에 따라 제거 및 폐기됩니다. 이 정책은 HIPAA 보안 규칙, ISO 27001 및 NIST 800-88을 준수합니다.

OHAI는 해당 위치에서 사용할 수 있도록 클라이언트에게 하드웨어를 제공할 수 있습니다. OHAI 제공 하드웨어에 저장되지만 클라이언트 사이트에 있는 모든 정보는 클라이언트의 책임으로 간주됩니다. 이러한 경우 클라이언트는 하드웨어 사용 주기가 끝날 때 데이터 스토리지 미디어의 삭제 또는 이와 관련된 결정을 내릴 책임이 있습니다.


인증 및 감사

OHAI는 정기적으로 내부 평가와 외부 감사를 수행하여 플랫폼 및 OHAI의 운영에 존재하는 통제를 검토하고, OHAI가 OHAI 보안 프로그램에 따라 효과적으로 작동하고 있는지 검증합니다.

1996년의 HIPAA(Health Insurance Portability and Accountability Act)

OHAI는 HIPAA(HITECH에서 개정)를 준수하는 데 필요한 제어를 설정하고 유지합니다. HIPAA(내부 또는 외부) 평가는 매년 실시되며 미국 지역의 모든 적절한 기업 및 고객 환경을 조사합니다.

SOC 1 및 SOC 2 Type II 증명

서드파티 증명은 보안, 가용성 및 기밀성과 관련된 AICPA 신뢰 서비스 원칙과 관련된 OHAI의 위험 완화 효과를 측정하고 테스트하여 OHAI의 호스팅 환경에서 수행됩니다. SOC 보고서는 AICPA SSAE 지침에 따라 준비되며 OHAI에서 관리하는 호스팅 서비스 및 제어에 따라 다르며 현재 미국, 캐나다 및 스웨덴의 호스팅 위치를 포함합니다. OHAI는 끊임없이 변화하는 비즈니스 요구 사항을 검토하므로 SOC 보고 위치가 변경될 수 있습니다. Oracle은 고객과 협력하여 고객이 OHAI(해당하는 경우) 또는 콜로케이션 제공업체로부터 적절한 SOC 보고서(해당하는 경우)받을 수 있도록 지원합니다.

ISO 27001/27002:2022

OHAI의 정보 보안 관리 프레임워크(ISMF)는 ISO 27001/27002:2022 표준 원칙을 준수하며 ISMF의 정책은 대부분의 OHAI 플랫폼에 적용됩니다.

Oracle은 캐나다, 스웨덴, 영국, 프랑스, 오스트레일리아의 콜로케이션 데이터 센터와 물리적 및 환경적 보안 제어를 위한 공공 클라우드 서비스 제공업체에 종속성을 가집니다. 독립 감사자에 따르면 Oracle Health 소유의 데이터 센터 및 사무실만 Oracle Health의 ISO 인증에 식별 및 포함될 수 있습니다. 콜로케이션 데이터 센터를 관리하는 프로세스는 ISO 인증에 명시된 Oracle Health 사무소에서 다룹니다. Oracle Health는 콜로케이션 데이터 센터 서비스 제공업체 내 데이터 센터를 관리하는 프로세스가 Oracle Health의 ISO 인증에 포함되었는지 확인할 수 있습니다. 이는 전 세계적으로 사용되는 다수의 콜로케이션 데이터 센터 서비스 제공업체에도 동일하게 적용됩니다. Oracle Health는 미국에서 데이터 센터만 소유하고 있으므로 인증에서 식별됩니다. 특정 콜로케이션 데이터 센터 서비스 공급자 운영의 경우, 고객은 공급자의 자체 ISO 인증에 의존해야 합니다.

침투 테스트 요약 보고서

OHAI는 매년 서드파티와 협력하여 OHAI 플랫폼에 대해 외부 침투 테스트를 수행합니다. OHAI는 침투 테스트 요약 보고서를 받습니다. 이 보고서에는 수행된 침투 테스트 내용이 기술되어 있고, 침투 테스트의 수행에 업계 표준 방법론과 테스트 도구, 국가 취약성 데이터베이스가 사용되었다는 확인이 있으며, 플랫폼 내에서 유명한 취약점이 기재되어 있습니다. OHAI는 위험을 기반으로 식별된 취약점을 해결하고 적극적으로 모니터링되는 문제 해결 계획을 통해 이러한 취약점을 해소합니다.

PCI-DSS – 결제 카드 산업 데이터 보안 표준

OHAI는 특정 OHAI 솔루션에서 지원하는 결제 처리를 위한 레벨 1 서비스 제공업체로서 PCI DSS 규정 준수를 입증하기 위해 서드파티 규정 준수 증명(AoC)을 받습니다. 이 AoC에서 지원하는 OHAI 솔루션에 대한 자세한 내용은 OHAI 담당자에게 문의하시길 바랍니다.

EU-U.S. Privacy Shield 프레임워크

OHAI는 EU-U.S. Privacy Shield 및 Swiss-U.S. Privacy Shield에 대한 자체 인증을 취득했습니다.

지원 클라이언트 보안 질의서

고객이 보안 질의서나 보안 평가의 작성을 요청하면 OHAI는 상기 설명과 같이 Oracle의 보안 규정 준수 프로그램에 따른 해당 서드파티 문서를 제공합니다. 해당하는 경우, 사전 완료된 표준화된 보안 질의서(CAIQ) 또는 서드파티 애플리케이션의 공급자 위험 관리 개요와 같은 추가 문서가 제공될 수 있습니다. 고객은 이 보고서를 활용하여 OHAI의 보안 상태 및 계약 조건 준수 여부를 평가할 수 있습니다. Oracle은 이러한 표준 결과물을 통해 해결되지 않은 합리적인 특정 보안 평가 질문에 답변하기 위해 고객과 협력하게 됩니다.

Oracle의 다양한 보안 제어 방식 중 하나는 OHAI나 Oracle의 클라이언트를 추가적인 위험에 노출할 수 있는 기밀과 민감한 정보를 제공하지 않는 것입니다. Oracle은 사용자의 데이터 보안을 매우 중요하게 생각하며, 서드파티 감사자가 Oracle 보안 프로그램을 검증한 뒤에는 민감한 특정 정보에 대한 요청을 충족할 목적으로 데이터를 위험에 빠뜨리지 않습니다.