Cumplimiento de DORA

Pilar 1: Gestión de riesgos TIC

DORA exige a las empresas reguladas establecer un marco para identificar, evaluar y mitigar los riesgos de las TIC. Este marco incluye la realización periódica de evaluaciones de riesgos, la implementación de controles para abordar los riesgos identificados y un plan de respuesta a incidentes.

Las siguientes características de MongoDB Atlas respaldan el cumplimiento en esta área.

• Alta disponibilidad, que incluye replicación de bases de datos y conmutación por error automática.

• Copias de seguridad que incluyen copias de seguridad en la nube, copias de seguridad en la nube continuas, distribución de instantáneas en múltiples regiones y una política de cumplimiento de copias de seguridad.

• Recuperación ante desastres incluyendo objetivos de punto de recuperación y objetivos de tiempo de recuperación.

• Características para respaldar el cumplimiento de estándares externos, incluidos 27001 ISO/IEC, SOC2 Tipo II y PCI DSS.

• Seguridad de la red, incluyendo cifrado TLS/SSL, listas de acceso IP, configuración de cortafuegos y nodos privados.

• Autenticación que incluye IU, base de datos, API, autenticación federada, rol de AWS IAM, multifactor y autenticación de contraseña SCRAM. Esta función y guía también incluye509 certificados X., claves de API y gestión de secretos.

• Autorización incluyendo Control de Acceso Basado en Roles (RBAC), roles predefinidos, proveedores de identidad federados y acceso justo a tiempo.

• Auditoría, incluido la auditoría de bases de datos, la creación y habilitación de filtros de auditoría, y los eventos de auditoría recomendados.

• Registro de eventos que incluye acceso a registros de auditoría manual y programáticamente.

• Cifrado de datos, incluyendo cifrado en tránsito (TLS), en reposo (AES-256, BYOK, llave maestra de cliente, KMS o TDE) y en uso (CSFLE, aleatorio y Queryable Encryption).

Pilar 2: Gestión de Incidentes Relacionados con las TICs

DORA exige que las empresas reguladas cuenten con procesos para detectar, reportar e investigar incidentes relacionados con las TIC. Estos procesos incluyen canales de denuncia claros, procedimientos para clasificar los incidentes según su gravedad y la notificación oportuna a las autoridades competentes.

MongoDB Atlas ofrece soporte para los siguientes aspectos de este pilar:

• Autenticación.

• Localización de datos.

• Cifrado en tránsito o volumen.

• Aislamiento de red.

• Auditoría granular.

• Copia de seguridad de datos.

• Seguridad de la plataforma.

• Alta disponibilidad.

• Autoescalado.

• Arquitectura distribuida.

El(los) proveedor(es) de nube elegido(s) admite(n) el siguiente aspecto de este pilar:

• Seguridad física.

Pilar 3: Pruebas de resiliencia operativa digital

DORA requiere que las empresas reguladas realicen pruebas periódicas de sus sistemas de tecnologías de la información y medidas de resiliencia.

Las siguientes funciones de MongoDB Atlas respaldan el cumplimiento en esta área:

• Simulación de Interrupción del servicio regional.

• Prueba de failover primaria.

Pilar 4: Gestión de Riesgos de Terceros en las Tecnologías de la Información y la Comunicación (TIC)

Las empresas reguladas por DORA deben realizar la debida diligencia sobre terceros, contar con acuerdos contractuales que describan las expectativas de seguridad y supervisar su desempeño.

Las siguientes funciones de MongoDB Atlas respaldan el cumplimiento en esta área:

• Sincroniza datos en entornos de clústeres:

  • Conectar un clúster autogestionado a Atlas.

  • Conecta dos clústeres Atlas.

  • Conectar dos clústeres autogestionados.

• Paradigma de implementación de múltiples nubes.

• Mongosync (Cluster-to-Cluster Sync).

• Página de estado de MongoDB Cloud.

Pilar 5: Uso compartido de información

DORA fomenta la colaboración y el uso compartido de información sobre amenazas cibernéticas entre las empresas reguladas. Esto puede implicar participar en foros de la industria, y el uso compartido de inteligencia de amenazas y realizar ejercicios conjuntos.