El Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) es un estándar de seguridad de la información desarrollado por el Consejo de Normas de Seguridad PCI que se aplica a todas las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas. La norma PCI DSS proporciona una base de requisitos técnicos y operativos diseñados para proteger los datos de las cuentas de pago.
Nota
El Modelo de Responsabilidad Compartida de MongoDB Atlas define los deberes complementarios de MongoDB y sus clientes en el mantenimiento de un entorno de datos seguro y resiliente. Bajo este marco, MongoDB gestiona la seguridad y la integridad operativa de la plataforma subyacente, mientras que los clientes son responsables de la configuración, gestión y políticas de datos de sus implementaciones específicas. Para obtener un desglose detallado de la propiedad en materia de seguridad y excelencia operativa, consulta el Modelo de Responsabilidad Compartida.
Under PCI DSS:
Datos del titular de la tarjeta (CHD) son la información de la tarjeta de pago que una entidad almacena, procesa o transmite en sus sistemas.
Entorno de datos del titular de la tarjeta (CDE) hace referencia a los sistemas y redes que almacenan, procesan o transmiten datos del titular de la tarjeta, así como a los sistemas que se conectan directamente al CDE o lo respaldan.
MongoDB es un proveedor de servicios, es decir, una entidad que almacena, procesa o transmite datos del titular de la tarjeta (CHD) en nombre de otra entidad o que puede afectar la seguridad del entorno de datos del titular de la tarjeta (CDE).
Importante
MongoDB Cloud es un proveedor de servicios certificado por PCI DSS desde noviembre de 1. Para obtener más información sobre la validación PCI DSS de MongoDB, incluida información sobre acuerdos contractuales, consulte:
Para obtener la Declaración de Cumplimiento PCI de MongoDB Cloud (AOC):
Los clientes existentes pueden solicitar una copia a través del Portal de Confianza del Cliente
Los posibles clientes pueden solicitar acceso contactando con el equipo de ventas de MongoDB
La Matriz de Responsabilidad PCI DSS de MongoDB es un mapeo formal de los controles PCI DSS a la parte responsable (MongoDB, el cliente o ambos). Para obtener la matriz de responsabilidades:
Los clientes existentes pueden solicitar una copia a través del Portal de Confianza del Cliente
Los posibles clientes pueden solicitar acceso contactando con el equipo de ventas de MongoDB
Entornos de bases de datos disponibles
Cuando crees sistemas que gestionan datos de titulares de tarjetas, puedes elegir entre dos entornos de bases de datos de MongoDB en función de tus requisitos de cumplimiento:
MongoDB Atlas es nuestra solución comercial de base de datos totalmente gestionada. Elige MongoDB Atlas cuando quieras una solución de base de datos totalmente gestionada, disponible globalmente y validada por PCI DSS.
Atlas para el Gobierno es un entorno independiente y exclusivo de MongoDB Atlas creado específicamente para satisfacer los requisitos del gobierno de los Estados Unidos. Está validado por PCI DSS y autorizado por FedRAMP Moderate. Elige Atlas para el Gobierno cuando desees disponer de un entorno dedicado y aislado que cumpla con múltiples estándares de cumplimiento centrados en EE. UU., incluido PCI DSS.
Nota
Las recomendaciones de esta página se centran en las soluciones estándar de Atlas. Para obtener más información sobre las funcionalidades y capacidades de Atlas For Government relacionadas con los mismos temas, consulta nuestra Documentación de Atlas For Government.
Protegiendo los datos del titular de la tarjeta
Cifrado de datos
El PCI DSS exige que las entidades protejan el CHD con una criptografía sólida durante la transmisión en redes abiertas y públicas (Requisito 4).
Los siguientes artículos del Architecture Center de MongoDB Atlas describen las funciones de Atlas que respaldan el cumplimiento en esta área:
- Orientación para el cifrado de datos de Atlas: Garantizar el cifrado de los datos en tránsito (TLS), en reposo (AES-256, BYOK, llave maestra de cliente, KMS, TDE) y en uso (CSFLE, Queryable Encryption).
También puedes utilizar políticas de recursos de Atlas para imponer una versión mínima de TLS o exigir una configuración específica de la suite de cifrado TLS para las conexiones del clúster.
Control de Acceso a la Base de Datos
PCI DSS requiere que las entidades restrinjan el acceso a los componentes del sistema y a los datos del titular de la tarjeta por Necesidad Empresarial de Conocimiento (Requisito 7).
Los siguientes artículos del Architecture Center de MongoDB Atlas describen las funciones de Atlas que respaldan el cumplimiento en esta área:
Orientación para la autenticación de Atlas: controla el acceso a tus bases de datos de Atlas implementando una gestión de identidad segura con mecanismos de autenticación como la autenticación federada con IdP, AWS IAM autenticación de roles, autenticación multifactor (MFA) y más.
Orientación para la Autorización de Atlas: Garantiza que solo el personal autorizado pueda acceder a CHD según sus funciones y responsabilidades específicas laborales, implementando una gestión de acceso segura con control de acceso basado en roles (RBAC).
Controles de Seguridad de Red
PCI DSS exige que las entidades instalen y mantengan controles de seguridad en la red para controlar el tráfico dentro de sus propias redes y también para proteger los recursos de la exposición a redes no confiables (Requisito 1).
Los siguientes artículos del Architecture Center de MongoDB Atlas describen las funciones de Atlas que respaldan el cumplimiento en esta área:
- Orientación para la seguridad de red de Atlas: Protege el acceso a la red de los clústeres de Atlas y salvaguarda la ePHI durante la transmisión mediante cifrado en tránsito, listas de acceso IP, configuraciones de firewall, nodos privados y aislamiento de red.
También puedes usar Políticas de recursos de Atlas para aplicar los siguientes estándares de seguridad de red:
Prohíbe el uso de la IP comodín (
0.0.0.0/0) para aplicar controles de red más estrictos.Prohíbe el tráfico a través de redes públicas al exigir que la lista de acceso IP permanezca vacía o al impedir la incorporación a una lista de acceso IP existente.
Evita modificaciones a VPC de emparejamiento y conexiones de nodos privados entre proveedores de nube.
Auditoría, supervisión y registro de la actividad del sistema
PCI DSS requiere que las entidades registren y supervisen todo el acceso a los componentes del sistema y CHD (Requisito 10).
Los siguientes artículos del Architecture Center de MongoDB Atlas describen las funciones de Atlas que respaldan el cumplimiento en esta área:
Orientación para la auditoría y el registro de Atlas: se supervisa, registra y revisa los eventos de la base de datos, como los intentos de autenticación de usuarios y los ajustes de permisos.
Orientación para la supervisión y las alertas de Atlas: Rastrea el estado del clúster, el rendimiento y las métricas operativas, y configura alertas que puedan identificar actividad anómala relevante para CHD.