デジタル運用回復力法(DORA)は、金融機関およびサービスプロバイダーのデジタル運用回復力を確保するために欧州連合(EU)が採用した一連の規則です。
DORA は、金融機関、クレジット組織、支払い組織、運用会社、アセットマネジメント会社など、EU 内の規制された金融サービス プロバイダーの範囲に適用されます。また、暗号化アセット サービス プロバイダー、トランザクション場所、クレジット評価エージェントなどのエンティティもカバーします。
DORA の主要要件は、情報通信技術(ICT)リスクマネジメント、ICT 関連インシデントのレポート作成、デジタル運用回復力テスト、ICT サードパーティのリスクマネジメント、情報共有の 5 つの柱に該当します。
重要
契約に関する情報を含む、 MongoDB がDOR にコンプライアンスでどのようにサポートを提供できるかについて詳しくは、 MongoDB信頼センターの EU デジタル データベース キャパシティーでのページをご覧ください。
ピリオド 1: ID リスクマネジメント
DORA は、規制された会社に対して、ICTリスクを識別、評価、軽減するためのフレームワークを確立することを要求します。このフレームワークには、定期的なリスク評価の実施、特定されたリスクに対処するための実装、インシデント応答の計画が含まれます。
次のMongoDB Atlasの機能は、この領域におけるコンプライアンスをサポートしています。
データベースレプリケーションと 自動フェイルオーバーを含む 高可用性 。
クラウドバックアップ、継続的なクラウドバックアップ、マルチリージョンスナップショットの分散、バックアップコンプライアンスポリシーを含むバックアップ。
ISO/IEC 27001、SOC2 Type II、PCI DSS などの外部標準へのコンプライアンスをサポートする機能。
TLS/SSL暗号化、IPアクセスリスト、ファイアウォール構成、プライベートエンドポイントなどのネットワークセキュリティ。
認証 には、 UI、データベース、 API、フェデレーティッド、 AWS IAM ロール、多要素、 SCRAM パスワード認証などがあります。この機能とガイダンスには、X.509 証明書、APIキー、シークレットマネジメントも含まれています。
承認を含むRBAC(Role base Access Control、ロールベースのアクセス制御)、事前定義されたロール、フェデレーティッド IdP、Just-in-time アクセス。
監査 データベース監査、監査するフィルターの作成と有効化、および推奨される監査するイベントを含む監査。
監査するログ への手動およびプログラムによるアクセスを含む ログ 。
データ暗号化( TLS)、保管時(AES-256、BY OK、CMK、KMS、または TDE)、使用中(CSFLE、ランダム、クエリ可能な暗号化)。
ピリオド 2: EKT 関連のインシデントマネジメント
DORA は、規制会社に対して、ICT 関連のインシデントを検出、報告、調査するためのプロセスを備えていることを要求します。これらのプロセスには、明確なレポート作成チャンネル、重大度に基づいてインシデントを分類する手順、関連機関への適時通知が含まれます。
MongoDB Atlas は、このピリオドの次の要素をサポートしています。
データのローカライズ。
プラットフォームのセキュリティ。
分散されたアーキテクチャ。
選択したクラウドプロバイダーは、このピリオドの次のアスペクトをサポートします。
物理的なセキュリティ。
ピリオド 3: デジタル運用回復力テスト
DORA は、規制会社に対して、ICT システムと回復力の対策の定期的なテストを行うことを要求します。
次のMongoDB Atlasの機能は、この領域におけるコンプライアンスをサポートしています。
ピラー 4: ICT サードパーティのリスクマネジメント
DORAで規制されている会社は、サードパーティに対して適切な管理を実行し、セキュリティの期待を概説する契約書を保持し、そのパフォーマンスをモニターする必要があります。
次のMongoDB Atlasの機能は、この領域におけるコンプライアンスをサポートしています。
クラスター環境間でデータを同期します。
Mongosync(クラスター間同期)。
MongoDB クラウド ステータス ページ。
ピリオド 5: 情報共有
DRAM は、規制会社間でのコラボレーションと情報の共有を推奨しています。これには、業界フォーラムへの参加、リスクインテリジェンスの共有、統合グループの実行が含まれます。