Come ingegnere del software su un progetto, mi è stato chiesto di creare un'applicazione Microsoft Access, con interfacce personalizzate che eseguono VBA personalizzati. Quella parte sta andando bene. Recentemente però mi è stato chiesto di assicurarmi che la mia applicazione Access fosse conforme a FIPS 140-2. La distribuzione e il mantenimento di questa applicazione saranno gestiti da un'altra società partner, sono quelli che chiedono la conformità FIPS.
Ho letto la documentazione per FIPS 140-2 e capisco il suo scopo . La conformità FIPS di livello 1 è tutto ciò che è richiesto nella nostra situazione. Ho scritto un modulo in VBA per cancellare le password con SHA-1 utilizzate per accedere all'applicazione. SHA-1 è nell'elenco degli algoritmi approvati FIPS 140-2.
La mia domanda è, cos'altro deve fare uno sviluppatore software per garantire la conformità FIPS 140-2 e quanto cade nelle spalle del contraente che distribuisce l'applicazione sui propri sistemi?
L'applicazione Access è divisa, quindi il file back-end risiederà su una condivisione di rete e gli utenti regolari avranno accesso solo al file front-end. Suppongo che sia i file back-end che front-end possano essere crittografati, ma sembra che faccia parte del processo di distribuzione.