Como ingeniero de software en un proyecto, me pidieron que hiciera una aplicación de Microsoft Access, con interfaces personalizadas que ejecutan VBA personalizado. Esa parte va bien. Aunque recientemente se me pidió que me asegurara de que mi aplicación de Access cumple con FIPS 140-2. La implementación y el mantenimiento de esta aplicación serán manejados por otra compañía asociada, ellos son los que solicitan el cumplimiento de las normas FIPS.
He leído la documentación para FIPS 140-2 y entiendo su propósito . El cumplimiento de FIPS de nivel 1 es todo lo que se requiere en nuestra situación. He escrito un módulo en VBA para procesar las contraseñas con SHA-1 utilizado para iniciar sesión en la aplicación. SHA-1 está en la lista de algoritmos aprobados por FIPS 140-2.
Mi pregunta es, ¿qué más tiene que hacer un desarrollador de software para garantizar el cumplimiento de FIPS 140-2, y qué tanto cae en los hombros del contratista que implementa la aplicación en sus sistemas?
La aplicación de Access está dividida, por lo que el archivo de back-end vivirá en un recurso compartido de red y los usuarios normales solo tendrán acceso al archivo de front-end. Supongo que tanto los archivos de back-end como los de front-end podrían estar cifrados, pero eso parece ser parte del proceso de implementación.