El Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) es un estándar de seguridad de la información desarrollado por la Consejo de Normas de Seguridad PCI que se aplica a todas las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas. PCI DSS proporciona una base de requisitos técnicos y operativos diseñados para proteger los datos de las cuentas de pago.
Under PCI DSS:
Datos del titular de la tarjeta (CHD) son la información de la tarjeta de pago que una entidad almacena, procesa o transmite en sus sistemas.
Entorno de datos del titular de la tarjeta (CDE) hace referencia a los sistemas y redes que almacenan, procesan o transmiten datos del titular de la tarjeta, así como a los sistemas que se conectan directamente al CDE o lo respaldan.
MongoDB es un proveedor de servicios, es decir, una entidad que almacena, procesa o transmite datos del titular de la tarjeta (CHD) en nombre de otra entidad o que puede afectar la seguridad del entorno de datos del titular de la tarjeta (CDE).
Entendemos que el cumplimiento de PCI DSS es una responsabilidad compartida entre MongoDB, usted y sus clientes finales. Las siguientes secciones describen las funcionalidades de MongoDB Atlas y Atlas para el Gobierno que pueden respaldar su cumplimiento con PCI DSS.
Importante
MongoDB Cloud es un proveedor de servicios certificado por PCI DSS desde noviembre de 2025. Para obtener más información sobre la validación PCI DSS de MongoDB, incluida información sobre acuerdos contractuales, consulte:
Para obtener la Declaración de Cumplimiento PCI de MongoDB Cloud (AOC):
Los clientes existentes pueden solicitar una copia a través del Portal de Confianza del Cliente
Los posibles clientes pueden solicitar acceso contactando con el equipo de ventas de MongoDB
La Matriz de Responsabilidad PCI DSS de MongoDB es un mapeo formal de los controles PCI DSS a la parte responsable (MongoDB, el cliente o ambos). Para obtener la matriz de responsabilidades:
Los clientes existentes pueden solicitar una copia a través del Portal de Confianza del Cliente
Los posibles clientes pueden solicitar acceso contactando con el equipo de ventas de MongoDB
Entornos de bases de datos disponibles
Cuando crees sistemas que gestionan datos de titulares de tarjetas, puedes elegir entre dos entornos de bases de datos de MongoDB en función de tus requisitos de cumplimiento:
MongoDB Atlas es nuestra solución comercial de base de datos totalmente gestionada. Elige MongoDB Atlas cuando quieras una solución de base de datos totalmente gestionada, disponible globalmente y validada por PCI DSS.
Atlas para el Gobierno es un entorno independiente y exclusivo de MongoDB Atlas creado específicamente para satisfacer los requisitos del gobierno de los Estados Unidos. Está validado por PCI DSS y autorizado por FedRAMP Moderate. Elige Atlas para el Gobierno cuando desees disponer de un entorno dedicado y aislado que cumpla con múltiples estándares de cumplimiento centrados en EE. UU., incluido PCI DSS.
Nota
Las recomendaciones de esta página se centran en las soluciones estándar de Atlas. Para obtener más información sobre las funcionalidades y capacidades de Atlas For Government relacionadas con los mismos temas, consulta nuestra Documentación de Atlas For Government.
Protegiendo los datos del titular de la tarjeta
Cifrado de datos
PCI DSS requiere que las entidades protejan CHD con criptografía robusta durante la transmisión a través de redes abiertas y públicas (Requisito 4).
Los siguientes artículos del Architecture Center de MongoDB Atlas describen las funciones de Atlas que respaldan el cumplimiento en esta área:
Orientación para el cifrado de datos de Atlas: Garantizar el cifrado de los datos en tránsito (TLS), en reposo (AES-256, BYOK, llave maestra de cliente, KMS, TDE) y en uso (CSFLE, Queryable Encryption).
También puede usar Políticas de Recursos de Atlas para imponer una versión mínima de TLS o requerir una configuración específica del conjunto de cifrado TLS para las conexiones del clúster.
Control de Acceso a la Base de Datos
PCI DSS requiere que las entidades restrinjan el acceso a los componentes del sistema y a los datos del titular de la tarjeta por Necesidad Empresarial de Conocimiento (Requisito 7).
Los siguientes artículos del Architecture Center de MongoDB Atlas describen las funciones de Atlas que respaldan el cumplimiento en esta área:
Orientación para la autenticación de Atlas: Controle el acceso a sus bases de datos de Atlas implementando una gestión segura de identidades, con mecanismos de autenticación como la autenticación federada con IdPs, autenticación de roles de AWS IAM, autenticación multifactor (MFA), y mucho más.
Orientación para la autorización de Atlas: Garantiza que solo el personal autorizado pueda acceder a CHD según sus funciones laborales y responsabilidades específicas implementando una gestión de acceso segura con control de acceso basado en roles (RBAC).
Controles de Seguridad de Red
PCI DSS exige que las entidades instalen y mantengan controles de seguridad en la red para controlar el tráfico dentro de sus propias redes y también para proteger los recursos de la exposición a redes no confiables (Requisito 1).
Los siguientes artículos del Architecture Center de MongoDB Atlas describen las funciones de Atlas que respaldan el cumplimiento en esta área:
Guía para la Seguridad de la Red de Atlas: Proteja el acceso a la red de los clústeres de Atlas y proteja el ePHI durante la transmisión con cifrado en tránsito, listas de acceso IP, configuraciones de firewall, nodos privados y aislamiento de red.
También puedes usar Políticas de recursos de Atlas para aplicar los siguientes estándares de seguridad de red:
Prohibir el uso de la IP comodín (
0.0.0.0/0) para aplicar controles de red más estrictos.Prohíbe el tráfico a través de redes públicas al exigir que la lista de acceso IP permanezca vacía o al impedir la incorporación a una lista de acceso IP existente.
Evitar modificaciones en el emparejamiento de VPC y las conexiones de nodos privados entre proveedores de la nube.
Auditoría, supervisión y registro de la actividad del sistema
PCI DSS requiere que las entidades registren y supervisen todos los accesos a los componentes del sistema y a CHD (Requisito 10).
Los siguientes artículos del Architecture Center de MongoDB Atlas describen las funciones de Atlas que respaldan el cumplimiento en esta área:
Orientación para la auditoría y el registro de Atlas: supervise, registre y revise los eventos de la base de datos, como los intentos de autenticación de usuarios y los ajustes de permisos.
Orientación para la supervisión y alertas de Atlas: Rastree la salud del clúster, el rendimiento y las métricas operativas, y configure alertas que puedan mostrar actividad anómala relevante para CHD.