Join us at MongoDB.local London on 7 May to unlock new possibilities for your data. Use WEB50 to save 50%.
Register now >
Docs Menu
Docs Home
/ /
Cumplimiento
Docs Home
/
Atlas Architecture Center
/
Seguridad
/
Cumplimiento
Docs Home
/
Atlas Architecture Center
/
Seguridad
/
Cumplimiento

Cumplimiento del tipo SOC 2 II

MongoDB Atlas y Atlas For Government proporcionan características que pueden ayudarle a diseñar arquitecturas que respalden los objetivos de Controles de Sistema y Organización (SOC) 2 Tipo II de su organización en todos los Criterios de Servicios de Confianza, incluidos Seguridad, Disponibilidad, Integridad del Procesamiento, Confidencialidad y Privacidad.

Un arquitecto empresarial responsable de las decisiones de alto nivel en materia de gobernanza, seguridad y cumplimiento normativo puede utilizar esta página para comprender mejor cómo las funcionalidades de MongoDB Atlas respaldan su programa SOC 2 Tipo II. Esta página no ofrece asesoramiento legal ni sustituye sus propios procesos de gobernanza, riesgo y cumplimiento (GRC).

Importante

Para obtener información sobre los informes de certificación, los contratos y los compromisos legales de MongoDB, consulte:

  • Centro de privacidad de MongoDB

  • Centro de confianza de MongoDB

SOC 2 Tipo II

SOC 2 Tipo II evalúa el diseño y la eficacia operativa de los controles de una organización de servicios.

La evaluación se estructura en torno a los Criterios de Servicios de Confianza (TSC):

  • Seguridad

  • Disponibilidad

  • Integridad del procesamiento

  • Confidencialidad

  • Privacidad

El uso de MongoDB Atlas o Atlas For Government no garantiza automáticamente que su organización cumpla con la norma SOC 2 Tipo II. En cambio, MongoDB Atlas proporciona funcionalidades de plataforma que puede integrar en un marco de control más amplio que abarque sus aplicaciones, procesos y personal.

Informes SOC 2 Tipo II

Para obtener información actualizada sobre 2 la postura SOC Tipo II de MongoDB, incluyendo el período y el alcance del informe actual, consulte los recursos del Centro de confianza de MongoDB, no esta página. MongoDB Atlas (entorno comercial) y Atlas para el gobierno cuentan con su propio 2 informe SOC Tipo II, que abarca los controles y configuraciones específicos relevantes para cada entorno.

Para solicitar el informe SOC 2 Tipo II actual:

Para recibir un informe SOC 2 Tipo II, debe ser cliente actual de MongoDB o firmar un acuerdo de confidencialidad con nosotros.

Elegir MongoDB Atlas o Atlas para Gobierno

MongoDB Atlas está disponible en dos entornos gestionados principales, cada uno cubierto por su propio informe SOC 2 Tipo II.

MongoDB Atlas (Entorno comercial)

  • Plataforma de datos para desarrolladores multi-nube totalmente gestionada para una amplia gama de cargas de trabajo comerciales.

  • Cubierto por el informe MongoDB Atlas SOC 2 Tipo II.

  • Puede ser apropiado cuando:

    • No se requiere un entorno autorizado por FedRAMP.

    • Los requisitos de residencia de datos y las normativas vigentes pueden cumplirse con las regiones y los controles comerciales de MongoDB Atlas.

    • Desea estandarizar una única implementación global de MongoDB Atlas en todas las unidades de negocio.

La mayoría de los enlaces y ejemplos del Centro de Arquitectura de Atlas, incluida esta página, se centran en configuraciones comerciales de MongoDB Atlas.

Atlas para el Gobierno

  • Un entorno MongoDB Atlas independiente y aislado, implementado y administrado específicamente para el sector público de EE. UU. y las cargas de trabajo reguladas relacionadas.

  • Cubierto por un informe SOC 2 Tipo II específico y marcos de cumplimiento adicionales del sector público.

  • Generalmente apropiado para organizaciones con:

    • Requisitos del gobierno de EE. UU. en materia de alojamiento web, conectividad o verificación de antecedentes del personal.

    • Requisitos de FedRAMP o marcos similares además de SOC 2 Tipo II.

    • Política o reglamento que exige un entorno segregado para las cargas de trabajo gubernamentales.

Para obtener instrucciones de configuración específicas para Atlas For Government, consulte la documentación de Atlas For Government.

Características relevantes de MongoDB Atlas

Esta sección destaca las características de MongoDB Atlas que admiten cada criterio de Trust Services y remite a la guía detallada del Atlas Architecture Center. No prescribe un conjunto completo de controles. Las organizaciones pueden evaluar cómo integrar estas capacidades en sus propias descripciones de controles SOC 2 Tipo II y procedimientos de prueba.

Seguridad (Control de acceso y seguridad de red)

Concepto: El sistema está protegido contra el acceso no autorizado, tanto físico como lógico.

Se aplican las siguientes directrices y características relevantes de MongoDB Atlas:

Identidad y autenticación

La guía para la autenticación de Atlas abarca:

  • Autenticación de la interfaz de usuario de MongoDB Atlas

  • Autenticación de base de datos

  • Autenticación de la API de administración de MongoDB Atlas

  • Autenticación federada (SSO)

  • AWS autenticación de rol deIAM

  • Autenticación multifactor (MFA)

  • Certificados de cliente X.509

  • Autenticación de contraseña SCRAM

  • Gestión de secretos

Autorización y principio de mínimo privilegio

La guía para la autorización de Atlas abarca:

  • Control de acceso basado en roles (RBAC)

  • Roles integrados y roles personalizados

  • Acceso justo a tiempo para usuarios de bases de datos con plazos de tiempo limitados.

Seguridad y aislamiento de la red

La guía para la seguridad de la red Atlas abarca:

  • Cifrado TLS/SSL obligatorio

  • Listas de acceso IP

  • Puntos de conexión privados(AWS PrivateLink, Azure Private Link, GCP Private Service Connect)

  • Patrones de emparejamiento y aislamiento de red de VPC/VNet

Al documentar los controles de seguridad para SOC 2 Tipo II, puede hacer referencia a cómo estas capacidades imponen una autenticación sólida, autorización y límites de red para el acceso al plano de control y al plano de datos de MongoDB Atlas.

Confidencialidad y privacidad (Protección de datos y cifrado)

Concepto: La información designada como confidencial está protegida, y la información personal se recopila, utiliza, conserva, divulga y destruye de conformidad con los compromisos de privacidad.

Se aplican las siguientes directrices y características relevantes de MongoDB Atlas:

Cifrado en tránsito, en reposo y en uso

La guía para el cifrado de datos de Atlas abarca:

  • Cifrado en tránsito (TLS)

  • Cifrado en reposo mediante cifrado de disco del proveedor de la nube (AES-256)

  • Cifrado en reposo con gestión de claves del cliente (BYOK/CMK a través de KMS)

  • El cifrado se utiliza mediante cifrado consultable y cifrado a nivel de campo del lado del cliente (CSFLE).

Copias de seguridad y retención

La guía para copias de seguridad de Atlas abarca:

  • Configuraciones de retención de instantáneas y copias de seguridad

  • Copias de seguridad continuas en la nube

  • Políticas de cumplimiento de copias de seguridad (para retención de estilo escritura única, listo para múltiples copias y protección contra la eliminación)

En las descripciones de los controles SOC 2 Tipo II, puede asignar estas capacidades a controles que aborden la confidencialidad de los datos en reposo y en tránsito, la gestión de claves criptográficas, la protección de copias de seguridad y la gestión del ciclo de vida de los datos, en consonancia con sus propias políticas de retención y privacidad.

Disponibilidad (alta disponibilidad, recuperación ante desastres y copias de seguridad)

Concepto: El sistema está disponible para su funcionamiento y uso según lo acordado o comprometido.

Se aplican las siguientes directrices y características relevantes de MongoDB Atlas:

Arquitectura de alta disponibilidad

La guía para la alta disponibilidad de Atlas abarca:

  • Arquitecturas de conjuntos de réplicas y conmutación por error automática

  • Dimensionamiento de clústeres y patrones de despliegue para cumplir con los objetivos de disponibilidad.

Recuperación ante desastres y RTO/RPO

La guía para la recuperación ante desastres de Atlas abarca:

  • Definición y validación del objetivo de tiempo de recuperación (RTO)

  • Definición y validación del Objetivo de Punto de Recuperación (RPO)

  • Patrones de recuperación ante desastres mediante redundancia regional y recuperación basada en copias de seguridad

Copias de seguridad y distribución de instantáneas

La guía para copias de seguridad de Atlas abarca:

  • Copias de seguridad programadas en la nube y copias de seguridad continuas

  • Estrategias de distribución y restauración de instantáneas multirregionales

Escalabilidad y capacidad

La guía para la escalabilidad de Atlas abarca:

  • Escalado vertical y horizontal (fragmentación y cambios de nivel)

  • Escalado automático de la capacidad de procesamiento y almacenamiento.

  • Estrategias de clasificación y archivo de datos

  • Recomendaciones que tienen en cuenta el paradigma de implementación

Para los controles de disponibilidad de tipo II de SOC 2, las organizaciones pueden combinar la configuración de MongoDB Atlas (por ejemplo, arquitecturas multirregión, políticas de copia de seguridad, ventanas de mantenimiento) con sus propios manuales de respuesta a incidentes y recuperación ante desastres.

Integridad del procesamiento (auditoría, monitoreo y registro)

Concepto: El procesamiento del sistema es completo, preciso, oportuno y autorizado.

Se aplican las siguientes directrices y características relevantes de MongoDB Atlas:

Auditoría de bases de datos

La guía para la auditoría de Atlas abarca:

  • Habilitación de la auditoría de bases de datos en clústeres M10+

  • Creación y perfeccionamiento de filtros de auditoría

  • Eventos de auditoría recomendados (por ejemplo, autenticación, cambios de privilegios, cambios de esquema)

Registro y acceso a los datos de auditoría

La guía para el registro Atlas abarca:

  • Descarga y transmisión de registros y registros de auditoría de MongoDB

  • Exportación programática de registros (por ejemplo, a plataformas S3 o SIEM)

  • Puntos de integración para análisis adicionales

Monitoreo y alertas

La guía para la supervisión y las alertas de Atlas abarca:

  • Métricas y paneles clave (rendimiento, utilización de recursos, replicación)

  • Configuraciones de alerta recomendadas

  • Integración con herramientas externas de monitorización y gestión de incidentes.

  • Ejemplos de automatización para políticas de alerta

En un contexto SOC 2 Tipo II, estas capacidades suelen admitir controles relacionados con:

  • Supervisar la exactitud y la puntualidad del procesamiento.

  • Detección e investigación de actividad anómala.

  • Garantizar el control de cambios y la segregación de funciones mediante evidencia de auditoría.

Volver

PCI DSS

Next

Auditoría y registro

En esta página