Para agentes de IA: hay un índice de documentación disponible en https://www.mongodb.com/es/docs/llms.txt; las versiones en Markdown de todas las páginas están disponibles agregando .md a cualquier ruta URL.
Make the MongoDB docs better! We value your opinion. Share your feedback for a chance to win $100.
MongoDB Branding Shape
Click here >
Docs Menu
Docs Home
/ /
Cumplimiento
Docs Home
/
Atlas Architecture Center
/
Seguridad
/
Cumplimiento
Docs Home
/
Atlas Architecture Center
/
Seguridad
/
Cumplimiento

Cumplimiento SOC 2 Tipo II

MongoDB Atlas y Atlas For gobierno brindan funcionalidad que pueden ayudarte a diseñar arquitecturas que respalden los Controles del sistema y de la organización (SOC) de tu organización, 2 para los objetivos de tipo II en los Criterios de Trust Services, incluido seguridad, disponibilidad, confiabilidad del procesamiento, confidencialidad y privacidad.

Nota

El Modelo de Responsabilidad Compartida de MongoDB Atlas define los deberes complementarios de MongoDB y sus clientes en el mantenimiento de un entorno de datos seguro y resiliente. Bajo este marco, MongoDB gestiona la seguridad y la integridad operativa de la plataforma subyacente, mientras que los clientes son responsables de la configuración, gestión y políticas de datos de sus implementaciones específicas. Para obtener un desglose detallado de la propiedad en materia de seguridad y excelencia operativa, consulta el Modelo de Responsabilidad Compartida.

Un arquitecto empresarial que sea responsable de la gobernanza de alto nivel, la seguridad y las decisiones de cumplimiento puede utilizar esta página para entender mejor cómo las capacidades de MongoDB Atlas respaldan su programa SOC 2 Tipo II. Esta página no ofrece consejo legal ni sustituye a tus propios procesos de gobierno, riesgo y cumplimiento (GRC).

Importante

Para obtener información sobre los reportes de atestación, contratos y compromisos legales de MongoDB, consulta:

SOC 2 Tipo II

SOC 2 Tipo II evalúa el diseño y la eficacia operativa de los controles de una organización de servicios.

La evaluación está estructurada en torno a los Criterios de los servicios de confianza (TSC):

  • Seguridad

  • Disponibilidad

  • Integridad de procesamiento

  • Confidencialidad

  • Privacidad

El uso de MongoDB Atlas o Atlas para el Gobierno no garantiza que tu organización cumpla automáticamente con SOC 2 Tipo II. En su lugar, MongoDB Atlas proporciona capacidades de plataforma que puedes incorporar a un marco de control más amplio que abarque tus aplicaciones, procesos y personas.

Informes SOC 2 Tipo II

Para obtener detalles actualizados sobre la postura SOC 2 Tipo II de MongoDB, incluyendo el período y alcance del informe actual, debes utilizar los recursos del MongoDB Centro de Confianza, no esta página. MongoDB Atlas (entorno comercial) y Atlas para el Gobierno tienen cada uno su propio informe SOC 2 Tipo II que cubre los controles y configuraciones específicas relevantes para cada entorno.

Para solicitar el informe actual SOC 2 Tipo II:

Para recibir un informe de SOC de tipo II 2, debes ser un cliente actual de MongoDB o firmar un NDA con nosotros.

Elegir MongoDB Atlas o Atlas Para el Gobierno

MongoDB Atlas está disponible en dos principales entornos gestionados, cada uno de los cuales cuenta con su propio informe de SOC 2 Tipo II.

MongoDB Atlas (Entorno Comercial)

  • Plataforma de datos para desarrolladores totalmente gestionada, de múltiples nubes, para una amplia variedad de cargas de trabajo comerciales.

  • Cubierto por el informe de MongoDB Atlas SOC 2 Tipo II.

  • Puede ser apropiado cuando:

    • No se requiere un entorno autorizado por FedRAMP.

    • Tus requisitos normativos y de residencia de datos pueden cumplirse con las regiones y los controles comerciales de MongoDB Atlas.

    • Desea estandarizar una sola presencia global de MongoDB Atlas en todas las unidades de negocio.

La mayoría de los enlaces y ejemplos en el Atlas Architecture Center, incluida esta página, se enfocan en configuraciones comerciales de MongoDB Atlas.

Atlas para gobiernos

  • Un entorno de MongoDB Atlas separado y aislado, desplegado y gestionado específicamente para el sector público estadounidense y cargas de trabajo reguladas relacionadas.

  • Cubierto por un informe dedicado de tipo SOC 2 tipo II e incluye marcos de cumplimiento adicionales para el sector público.

  • Por lo general, apropiado para organizaciones con:

    • Requisitos del gobierno de EE. UU. para el alojamiento, conectividad o selección de personal.

    • FedRAMP u otros requisitos de marcos similares además de SOC 2 Tipo II.

    • Política o reglamento que requiere un entorno segregado para cargas de trabajo gubernamentales.

Para ver la orientaciónde configuración específica de Atlas For Government, consulta la documentación de Atlas For Government.

Funcionalidades relevantes de MongoDB Atlas

Esta sección destaca las características de MongoDB Atlas que pueden respaldar cada Criterio de Servicios de Confianza y te dirige a la guía detallada del Atlas Architecture Center. No prescribe un conjunto de controles completo. Las organizaciones pueden evaluar cómo mapear estas capacidades en sus propias descripciones de control y procedimientos de prueba de SOC 2 Tipo II.

Seguridad (control de acceso y seguridad de la red)

Concepto: El sistema está protegido contra el acceso no autorizado, tanto físico como lógico.

Se aplican las siguientes orientaciones y funcionalidades relevantes de MongoDB Atlas:

Identidad y autenticación

Orientación para la autenticación de Atlas abarca:

  • Autenticación de la interfaz de usuario de MongoDB Atlas

  • Autenticación de bases de datos

  • Autenticación de la API de administración de MongoDB Atlas

  • Autenticación federada (SSO)

  • AWS Autenticación de rol IAM

  • Autenticación multifactor (MFA)

  • Certificados de cliente X.509

  • Autenticación de contraseña SCRAM

  • Gestión de secretos

Autorización y mínimo privilegio

Orientación para la autorización de Atlas abarca:

  • Control de acceso basado en roles (RBAC)

  • Roles integrados y roles personalizados

  • Acceso justo a tiempo para usuarios de bases de datos con límite de tiempo

Seguridad y aislamiento de la red

Orientación para la seguridad de la red Atlas incluye:

  • Cifrado TLS/SSL obligatorio

  • Listas de acceso IP

  • nodos privados (AWS PrivateLink, Azure Private Link, GCP Private Service Connect)

  • Emparejamiento VPC/VNet y patrones de aislamiento de red

Cuando documentas los controles de seguridad para SOC 2 Tipo II, puedes hacer referencia a cómo estas capacidades aplican una autenticación, autorización y límites de red sólidos para el acceso al plano de control y al plano de datos de MongoDB Atlas.

Confidencialidad y privacidad (protección de datos y cifrado)

Concepto: La información designada como confidencial está protegida, y la información personal se recopila, utiliza, conserva, divulga y destruye de acuerdo con los compromisos de privacidad.

Se aplican las siguientes orientaciones y funcionalidades relevantes de MongoDB Atlas:

Cifrado en tránsito, en reposo y en uso

Orientación para el cifrado de datos de Atlas cubre:

  • Cifrado en tránsito (TLS)

  • Cifrado en reposo mediante el cifrado de disco del proveedor de nube (AES-256)

  • Encriptación en reposo con gestión de claves del cliente (BYOK/llave maestra de cliente través de KMS)

  • Cifrado en uso mediante Queryable Encryption y cifrado a nivel de campo del lado del cliente (CSFLE)

Copias de seguridad y retención

Orientación para la recuperación ante desastres de Atlas cubre:

  • Configuraciones de retención de snapshots y copias de seguridad

  • Copias de seguridad continuas en la nube

  • Políticas de cumplimiento de copias de seguridad (para retención de estilo guardar-una-vez-leer-varias y protección contra eliminación)

En las descripciones de control de tu SOC 2 Tipo II, puedes asociar estas capacidades a controles que aborden la confidencialidad de los datos en reposo y en tránsito, la gestión de claves criptográficas, la protección de copias de seguridad y la gestión del ciclo de vida de los datos alineada con tus propias políticas de retención y privacidad.

Disponibilidad (alta disponibilidad, recuperación ante desastres, y copias de seguridad)

Concepto: El sistema está disponible para su operación y uso según lo comprometido o acordado.

Se aplican las siguientes orientaciones y funcionalidades relevantes de MongoDB Atlas:

Arquitectura de alta disponibilidad

Orientación para la Alta Disponibilidad de Atlas cubre:

  • Arquitecturas de sets de réplicas y conmutación por error automática

  • Dimensionamiento de clústeres y patrones de implementación para cumplir los objetivos de disponibilidad

Recuperación ante desastres y RTO/RPO

Orientación para la recuperación ante desastres de Atlas cubre:

  • Definición y validación del Objetivo de Tiempo de Recuperación (RTO)

  • Definir y validar el recovery punto objective (RPO)

  • Patrones de DR utilizando redundancia regional y recuperación basada en copias de seguridad

Copias de seguridad y distribución de instantáneas

Orientación para la recuperación ante desastres de Atlas cubre:

  • Copias de seguridad programadas en la nube y copias de seguridad continuas

  • Estrategias de distribución y restauración de snapshots multiregión

Escalabilidad y capacidad

Orientación para la escalabilidad de Atlas cubre:

  • Escalado vertical y horizontal (particionado y cambios de niveles)

  • Escalado automático de cómputo y almacenamiento

  • Estrategias de archivado y niveles de datos

  • Recomendaciones conscientes del paradigma de implementación

Para los controles de Disponibilidad SOC 2 Tipo II, las organizaciones pueden combinar la configuración de MongoDB Atlas (por ejemplo, arquitecturas multirregión, políticas de copias de seguridad, períodos de mantenimiento) con sus propios playbooks de respuesta a incidentes y recuperación de desastres (DR).

Integridad del procesamiento (Auditoría, supervisión y Registro)

Concepto: El procesamiento del sistema es completo, exacto, oportuno y autorizado.

Se aplican las siguientes orientaciones y funcionalidades relevantes de MongoDB Atlas:

Auditoría de bases de datos

Orientación para la auditoría de Atlas cubre:

  • Activación de la auditoría de la base de datos en clústeres M10+

  • Crear y perfeccionar filtros de auditoría

  • Eventos de auditoría recomendados (por ejemplo, autenticación, cambios de privilegios, cambios de esquema)

Registro y acceso a datos de auditoría

Orientación para el registro en Atlas cubre:

  • Descargar y transmitir los registros y registros de auditoría de MongoDB

  • Exportación programática de registros (por ejemplo, a S3 o plataformas SIEM)

  • Puntos de integración para análisis adicional

Supervisión y alertas

Orientación para la supervisión y las alertas de Atlas cubre:

  • Métricas clave y tableros (rendimiento, uso de recursos, replicación)

  • Configuraciones de alertas recomendadas

  • Integración con herramientas externas de supervisión y gestión de incidentes

  • Ejemplos de automatización para políticas de alertas

En un contexto SOC 2 de Tipo II, estas capacidades generalmente respaldan los controles en torno a:

  • Supervisar la precisión y puntualidad del procesamiento.

  • Detectar e investigar actividades anómalas.

  • Aplicar el control de cambios y la segregación de funciones a través de pruebas de auditoría.

Volver

PCI DSS

Next

Auditoría y registro

En esta página