Documentación de Oracle Cloud Infrastructure

Políticas de pruebas de seguridad de Oracle Cloud

En esta sección se describen las políticas de pruebas de seguridad y pruebas funcionales de Oracle Cloud, pruebas que implican herramientas de extracción de datos y la forma en que puede enviar una solicitud para programar las pruebas de nuestros servicios.

Pruebas de vulnerabilidad e introducción de seguridad de Oracle Cloud

La política de pruebas de seguridad de Oracle Cloud describe cuándo y cómo puede realizar determinados tipos de pruebas de seguridad de los servicios de Oracle Cloud Infrastructure, incluidas las pruebas de vulnerabilidad e introducción, así como las pruebas relacionadas con las herramientas de extracción de datos. Las pruebas de los servicios de Oracle Cloud solo pueden realizarlas los clientes que tengan una cuenta de Oracle con los privilegios necesarios para presentar solicitudes de mantenimiento de servicio y los que estén conectados al entorno que se someterá a dichas pruebas.

Oracle realiza periódicamente pruebas de vulnerabilidad e introducción, así como evaluaciones de seguridad en relación con la infraestructura, las plataformas y las aplicaciones de Oracle Cloud. Estas pruebas están destinadas a validar y mejorar la seguridad general de los servicios de Oracle Cloud.

Sin embargo, Oracle no evalúa ni prueba ningún componente (incluidas las aplicaciones que no sean de Oracle, bases de datos que no sean de Oracle u otro software, código o datos que no sea de Oracle, según corresponda) que Vd. gestione o introduzca a través de los Servicios Oracle Cloud o, incluso, mediante la introducción que Vd. desarrolle o cree en estos (los "Componentes de Cliente"). Esta política no aborda ni proporciona el derecho a realizar pruebas de materiales de terceros incluidos en los componentes del cliente.

Salvo que se permita o se restrinja en sus acuerdos de los servicios de Oracle Cloud, el administrador de servicio que tenga acceso de nivel de sistema a los servicios de Oracle Cloud puede ejecutar pruebas de vulnerabilidad e introducción de los componentes del cliente incluidos en determinados servicios de Oracle Cloud de acuerdo con las siguientes reglas y restricciones.

Pruebas de vulnerabilidad e introducción permitidas

A continuación se explica dónde están permitidas las pruebas de vulnerabilidad e introducción de los componentes del cliente:

  • IaaS: con sus propias herramientas de supervisión y pruebas, puede realizar pruebas de vulnerabilidad e introducción de las ofertas adquiridas de Oracle Infrastructure as a Service (IaaS) de inquilino único. De acuerdo con el proceso establecido a continuación, Vd. debe notificar a Oracle antes de efectuar dichas pruebas de vulnerabilidad e introducción. Con las pruebas de vulnerabilidad e introducción, puede evaluar la seguridad de los componentes del cliente, sin embargo, no podrá evaluar ningún otro aspecto o componente de los servicios de Oracle Cloud, incluidas las instalaciones, el hardware y las redes que son propiedad o están gestionados por Oracle o sus agentes y otorgantes de licencia.
  • PaaS: con sus propias herramientas de supervisión y prueba, puede realizar pruebas de vulnerabilidad e introducción de las ofertas adquiridas de Oracle Platform as a Service (PaaS) de inquilino único. De acuerdo con el proceso establecido a continuación, Vd. debe notificar a Oracle antes de efectuar dichas pruebas de vulnerabilidad e introducción. Con las pruebas de vulnerabilidad e introducción, puede evaluar la seguridad de los componentes del cliente, sin embargo, no podrá evaluar ningún otro aspecto o componente de los servicios de Oracle Cloud, incluidas las instalaciones, el hardware, las redes, las aplicaciones y el software que son propiedad o están gestionados por Oracle o sus agentes y otorgantes de licencia. Para mayor claridad, no podrá evaluar ninguna aplicación de Oracle instalada en el servicio de PaaS.
  • SaaS: las pruebas de vulnerabilidad e introducción no están permitidas para las ofertas de Oracle Software as a Service (SaaS).

Reglas de interacción de pruebas de seguridad de Oracle Cloud

Las siguientes reglas de interacción se aplican a las pruebas de vulnerabilidad e introducción en la nube:

  • Las pruebas no deben tener como objetivo ninguna otra suscripción ni ningún otro recurso de cliente de Oracle Cloud, ni ningún componente de infraestructura compartida.

  • No debe realizar ninguna prueba que exceda la cuota de ancho de banda o cualquier otro recurso suscrito.

  • Está estrictamente prohibido utilizar cualquier herramienta o servicio de manera que realice ataques de denegación de servicio (DoS) o simulación de este tipo, o cualquier "prueba de carga" contra cualquier activo de Oracle Cloud, incluido el suyo.

  • Es necesario realizar la exploración de puertos en un modo no agresivo.

  • Es responsable de validar de manera independiente que las herramientas o los servicios empleados durante las pruebas de vulnerabilidad e introducción no realizan ataques de DoS ni simulaciones de este tipo, antes de la evaluación de las instancias. Esta responsabilidad incluye garantizar que cualquier tercero contratado realice evaluaciones de manera que no se infrinja esta política.

  • Las prácticas de ingeniería social con los empleados de Oracle y las pruebas físicas de vulnerabilidad e introducción de las instalaciones de Oracle están prohibidas.

  • No debe intentar acceder al entorno o los datos de otro cliente ni a ningún contenedor (por ejemplo, máquina virtual).

  • Las pruebas seguirán estando sujetas a los términos y las condiciones de los acuerdos bajo los que adquirió los servicios de Oracle Cloud, y ningún aspecto de esta política se considerará como una cesión de derechos o privilegios adicionales con respecto a dichos servicios.

  • Si cree que ha detectado un posible problema de seguridad relacionado con Oracle Cloud, debe notificarlo a Oracle en el plazo de 24 horas indicando la información pertinente a My Oracle Support. Debe crear una solicitud de servicio en el plazo de 24 horas y no debe revelar esta información públicamente ni a ningún tercero. Tenga en cuenta que puede resolver algunos de los problemas y las vulnerabilidades que detecte aplicando los parches más recientes en las instancias.

  • En caso de que acceda involuntariamente a los datos de otro cliente, debe terminar de forma inmediata todas las pruebas e informar a Oracle en el plazo de una hora indicando la información pertinente a My Oracle Support.

  • Será responsable de los daños a Oracle Cloud u otros clientes de Oracle Cloud que haya podido causar con las pruebas en caso de incumplimiento de estas reglas de interacción.

Proceso de notificación

El proceso para notificar a Oracle su elección de realizar una prueba de vulnerabilidad e introducción según lo requiere esta política se puede encontrar en Envío de una notificación de prueba de seguridad en la nube.

Pruebas funcionales de Oracle Cloud

Importante

Debe cumplir los términos de esta política y la política de pruebas de seguridad de Oracle Cloud al realizar pruebas funcionales.

Esta política describe cómo y cuándo puede realizar pruebas funcionales de los servicios de Oracle Cloud. El objetivo de las pruebas funcionales es validar las funciones de los servicios de Oracle Cloud para asegurarse de que cumplen especificaciones o requisitos funcionales específicos. Esto a menudo se conoce como pruebas de caja negra, pruebas de regresión o pruebas de unidad, por las que se evalúa la funcionalidad de la aplicación sin necesidad de examinar las estructuras internas o el código fuente.

Las siguientes reglas se aplican a las pruebas funcionales de los servicios de Oracle Cloud:

  • No debe realizar ninguna prueba en el entorno de producción. Antes del despliegue, debe probar todos los cambios en un entorno de prueba.
  • Puede realizar pruebas funcionales con herramientas manuales o automatizadas.
  • Puede realizar pruebas funcionales para validar las funciones principales del servicio de Oracle Cloud para cumplir los requisitos de negocio, incluidas la facilidad de uso, la accesibilidad y la gestión de errores.
  • No debe utilizar procedimientos o herramientas de pruebas funcionales para probar otros aspectos del servicio de Oracle Cloud, como el rendimiento, la fiabilidad y la escalabilidad.
  • Puede realizar pruebas de unidad, pruebas de aceptación del usuario, pruebas de regresión y pruebas de caja negra para probar la funcionalidad de los servicios de Oracle Cloud.

Herramientas de extracción de datos

Cualquier uso de herramientas o tecnologías de extracción de datos con los servicios de Oracle Cloud para recopilar datos disponibles mediante cualquier interfaz de usuario de Oracle o mediante llamadas de servicio web requiere el permiso expreso por escrito de Oracle. Oracle se reserva el derecho de exigir que Oracle valide y pruebe las herramientas de análisis de datos propuestas antes de utilizarlas en producción, y que Oracle las valide y vuelva a probar anualmente.

Herramientas automatizadas

Oracle no hace ninguna recomendación sobre las herramientas de prueba automatizadas de terceros que puede utilizar.