El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un estándar de seguridad de la información desarrollado por Consejo de Seguridad de Normas PCI Esto aplica a todas las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas. PCI DSS proporciona una base de requisitos técnicos y operativos diseñados para proteger los datos de las cuentas de pago.
Según PCI DSS:
Los datos del titular de la tarjeta(CHD) son información de la tarjeta de pago que una entidad almacena, procesa o transmite en sus sistemas.
El entorno de datos del titular de la tarjeta (CDE) se refiere a los sistemas y redes que almacenan, procesan o transmiten datos del titular de la tarjeta, así como a los sistemas que se conectan directamente al CDE o lo respaldan.
MongoDB es un proveedor de servicios, es decir, una entidad que almacena, procesa o transmite datos del titular de la tarjeta (CHD) en nombre de otra entidad, o que puede afectar la seguridad del entorno de datos del titular de la tarjeta (CDE).
Entendemos que el cumplimiento de PCI DSS es una responsabilidad compartida entre MongoDB, usted y sus clientes finales. Las siguientes secciones describen las funciones de MongoDB Atlas y Atlas para Gobierno que pueden ayudarle a cumplir con PCI DSS.
Importante
MongoDB Cloud es proveedor de servicios con certificación PCI DSS desde noviembre de 2025. Para obtener más información sobre la validación PCI DSS de MongoDB, incluyendo información sobre acuerdos contractuales, consulte:
Para obtener la certificación de cumplimiento PCI (AOC) de MongoDB Cloud:
Los clientes existentes pueden solicitar una copia a través del Portal de Confianza del Cliente
Los clientes potenciales pueden solicitar acceso contactándose con el equipo de ventas de MongoDB.
La Matriz de Responsabilidad PCI DSS de MongoDB es una asignación formal de los controles PCI DSS a la parte responsable (MongoDB, el cliente o ambos). Para obtener la Matriz de Responsabilidad:
Los clientes existentes pueden solicitar una copia a través del Portal de Confianza del Cliente
Los clientes potenciales pueden solicitar acceso contactándose con el equipo de ventas de MongoDB.
Entornos de bases de datos disponibles
Al diseñar sistemas que manejan datos de titulares de tarjetas, puede elegir entre dos entornos de base de datos MongoDB según sus requisitos de cumplimiento:
MongoDB Atlas es nuestra solución de base de datos comercial totalmente administrada. Elija MongoDB Atlas si busca una solución de base de datos completamente administrada, disponible globalmente y validada por PCI DSS.
Atlas para Gobierno es un entorno independiente y dedicado de MongoDB Atlas, diseñado específicamente para los requisitos del gobierno de EE. UU. Cuenta con la validación PCI DSS y la autorización FedRAMP Moderate. Elija Atlas para Gobierno si desea un entorno dedicado y aislado que cumpla con múltiples estándares de cumplimiento normativo centrados en EE. UU., incluyendo PCI DSS.
Nota
Las recomendaciones de esta página se centran en las soluciones estándar de Atlas. Para obtener más información sobre las funciones y capacidades de Atlas para el Gobierno relacionadas con los mismos temas, consulte nuestra documentación de Atlas para el Gobierno.
Protección de los datos del titular de la tarjeta
Cifrado de datos
PCI DSS requiere que las entidades protejan CHD con criptografía fuerte durante la transmisión a través de redes públicas abiertas 4 (Requisito).
Los siguientes artículos del Centro de arquitectura de MongoDB Atlas describen las características de Atlas que respaldan el cumplimiento en esta área:
Guía para el cifrado de datos de Atlas: garantizar el cifrado de datos en tránsito (TLS), en reposo (AES-,256 BYOK, CMK, KMS, TDE) y en uso (CSFLE, cifrado consultable).
También puede utilizar las políticas de recursos de Atlas para imponer una versión mínima de TLS o requerir una configuración de conjunto de cifrado TLS específica para las conexiones de clúster.
Control de acceso a bases de datos
PCI DSS requiere que las entidades restrinjan el acceso a los componentes del sistema y a los datos del titular de la tarjeta según la necesidad empresarial de saber (requisito 7).
Los siguientes artículos del Centro de arquitectura de MongoDB Atlas describen las características de Atlas que respaldan el cumplimiento en esta área:
Orientación para la autenticación de Atlas: controle el acceso a sus bases de datos de Atlas implementando una gestión de identidad segura con mecanismos de autenticación como autenticación federada con IdP, autenticación deroles de AWS IAM, autenticación multifactor (MFA) y más.
Orientación para la autorización de Atlas: asegúrese de que solo el personal autorizado pueda acceder a CHD en función de sus funciones y responsabilidades laborales específicas mediante la implementación de una gestión de acceso seguro con control de acceso basado en roles (RBAC).
Controles de seguridad de red
PCI DSS requiere que las entidades instalen y mantengan controles de seguridad de red para controlar el tráfico dentro de las redes propias de una entidad y también para proteger los recursos de la exposición a redes no confiables (Requisito 1).
Los siguientes artículos del Centro de arquitectura de MongoDB Atlas describen las características de Atlas que respaldan el cumplimiento en esta área:
Orientación para la seguridad de la red Atlas: proteja el acceso a la red de los clústeres Atlas y proteja la ePHI durante la transmisión con cifrado en tránsito, listas de acceso IP, configuraciones de firewall, puntos finales privados y aislamiento de red.
También puede utilizar las políticas de recursos de Atlas para aplicar los siguientes estándares de seguridad de red:
Prohibir el uso de la IP comodín (
0.0.0.0/0) para imponer controles de red más estrictos.Prohibir el tráfico a través de redes públicas exigiendo que la lista de acceso IP permanezca vacía o impidiendo que se agreguen elementos a una lista de acceso IP existente.
Evite modificaciones en el emparejamiento de VPC y las conexiones de puntos finales privados entre proveedores de nube.
Auditoría, monitoreo y registro de la actividad del sistema
PCI DSS requiere que las entidades registren y monitoreen todo acceso a los componentes del sistema y CHD 10(Requisito).
Los siguientes artículos del Centro de arquitectura de MongoDB Atlas describen las características de Atlas que respaldan el cumplimiento en esta área:
Orientación para auditoría y registro de Atlas: supervise, registre y revise eventos de la base de datos, como intentos de autenticación de usuarios y ajustes de permisos.
Orientación para monitoreo y alertas de Atlas: realice un seguimiento del estado del clúster, el rendimiento y las métricas operativas, y configure alertas que puedan revelar actividad anómala relevante para CHD.