Cumplimiento de DORA

Pilar 1: Gestión de riesgos TIC

DORA exige a las empresas reguladas establecer un marco para identificar, evaluar y mitigar los riesgos de las TIC. Este marco incluye la realización periódica de evaluaciones de riesgos, la implementación de controles para abordar los riesgos identificados y un plan de respuesta a incidentes.

Las siguientes características de MongoDB Atlas respaldan el cumplimiento en esta área.

• Alta disponibilidad incluyendo replicación de bases de datos y conmutación por error automática.

• Copias de seguridad que incluyen copias de seguridad en la nube, copias de seguridad en la nube continuas, distribución de instantáneas en múltiples regiones y una política de cumplimiento de copias de seguridad.

• Recuperación ante desastres, incluidos objetivos de puntos de recuperación y objetivos de tiempo de recuperación.

• Características para respaldar el cumplimiento de estándares externos, incluidos 27001 ISO/IEC, SOC2 Tipo II y PCI DSS.

• Seguridad de red que incluye cifrado TLS/SSL, listas de acceso IP, configuración de firewall y puntos finales privados.

• Autenticación que incluye IU, base de datos, API, autenticación federada, rol de AWS IAM, multifactor y autenticación de contraseña SCRAM. Esta función y guía también incluye509 certificados X., claves de API y gestión de secretos.

• Autorización que incluye control de acceso basado en roles (RBAC), roles predefinidos, proveedores de identidad federados y acceso justo a tiempo.

• Auditoría que incluye auditoría de bases de datos, creación y habilitación de filtros de auditoría y eventos de auditoría recomendados.

• Registro, incluido el acceso a los registros de auditoría de forma manual y programática.

• Cifrado de datos, incluido el cifrado en tránsito (TLS), en reposo (AES-,256 BYOK, CMK, KMS o TDE) y en uso (CSFLE, cifrado aleatorio y consultable).

Pilar 2: Gestión de incidentes relacionados con las TIC

DORA exige que las empresas reguladas cuenten con procesos para detectar, reportar e investigar incidentes relacionados con las TIC. Estos procesos incluyen canales de denuncia claros, procedimientos para clasificar los incidentes según su gravedad y la notificación oportuna a las autoridades competentes.

MongoDB Atlas respalda los siguientes aspectos de este pilar:

• Autenticación.

• Localización de datos.

• Cifrado en tránsito o volumen.

• Aislamiento de red.

• Auditoría granular.

• Copia de seguridad de datos.

• Seguridad de la plataforma.

• Alta disponibilidad.

• Autoescalado.

• Arquitectura distribuida.

Los proveedores de nube que usted elija respaldan el siguiente aspecto de este pilar:

• Seguridad física.

Pilar 3: Pruebas de resiliencia operativa digital

DORA requiere que las empresas reguladas realicen pruebas periódicas de sus sistemas de TIC y medidas de resiliencia.

Las siguientes características de MongoDB Atlas respaldan el cumplimiento en esta área:

• Simulación de interrupción regional.

• Prueba de conmutación por error primaria.

Pilar 4: Gestión de riesgos de terceros en las TIC

Las empresas reguladas por DORA deben realizar la debida diligencia con respecto a terceros, tener acuerdos contractuales que describan las expectativas de seguridad y monitorear su desempeño.

Las siguientes características de MongoDB Atlas respaldan el cumplimiento en esta área:

• Sincronizar datos entre entornos de clúster:

  • Conecte un clúster autogestionado a Atlas.

  • Conectar dos clústeres Atlas.

  • Conectar dos clústeres autogestionados.

• Paradigma de implementación de múltiples nubes.

• Mongosync (sincronización de clúster a clúster).

• Página de estado de MongoDB Cloud.

Pilar 5: Intercambio de información

DORA fomenta la colaboración y el intercambio de información sobre ciberamenazas entre empresas reguladas. Esto puede implicar la participación en foros del sector, el intercambio de información sobre amenazas y la realización de ejercicios conjuntos.