デジタル運用回復力法(DRA)は、金融機関とサービス プロバイダーのデジタル運用回復力を確保するためにUnion (EU)が採用した一連の規則です。
DRA は、金融機関、クレジット組織、支払い組織、運用会社、アセットマネジメント会社など、EU 内の規制された金融サービス プロバイダーの範囲に適用されます。また、暗号化アセット サービス プロバイダー、トランザクション場所、クレジット評価エージェントなどのエンティティもカバーします。
DOR の主要要件は、情報と通信技術(IC)リスク管理、IdP 関連のインシデント報告、デジタル運用回復力テスト、IdP サードパーティのリスク管理、情報共有の 5 つのプロジェクトに該当します。
MongoDB がDOR にコンプライアンスどのようにサポートされているかについて詳しくは、 MongoDBトラスト センターの EU デジタル演算子回復力アクション(DOR)ページを 参照してください。
ピリオド 1: ID リスク管理
DRAM は、規制組織に対して、IdP リスクを識別、評価、軽減するためのフレームワークを確立することを要求します。このフレームワークには、定期的なリスク評価の実行、特定されたリスクに対処するための制御の実装、インシデント応答のプランが含まれます。
次のMongoDB Atlas は、この領域におけるコンプライアンスをサポートしています。
データベースレプリケーションと 自動フェイルオーバーを含む 高可用性 。
クラウドバックアップ、継続的なクラウドバックアップ、マルチリージョンスナップショットの分散、バックアップコンプライアンスポリシーを含むバックアップ。
ISO/IEC27001 、SOC2 Type II、PCI DSS などの外部標準へのコンプライアンスをサポートする機能。
TLS/SSL暗号化、 IPアクセス リスト、ファイアウォール構成、プライベートエンドポイントなどのネットワーク セキュリティ。
認証 には、 UI、データベース、 API、フェデレーティッド、 AWS IAM ロール、多要素、 SCRAM パスワード認証などがあります。この機能とガイダンスには、X.509 証明書、 APIキー、シークレット管理も含まれています。
RBAC(Role base Access Control、ロールベースのアクセス制御)、事前定義されたロール、フェデレーティッド ID プロバイダー、Just-in-time アクセスなどの認可。
監査するログ への手動およびプログラムによるアクセスを含む ログ 。
データ暗号化( TLS)、保管時(AES-256 、BY OK、CMK、KMS、または TDE)、使用中(CSFLE、ランダム、クエリ可能な暗号化)。
ピリオド 2: EKT 関連のインシデントマネジメント
DRA は、規制組織に対して、IdP 関連のインシデントを検出、報告、調査するためのプロセスを備えていることを要求します。これらのプロセスには、明確なレポート作成チャネル、重大度に基づいてインシデントを分類する手順、関連機関への適時通知の作成が含まれます。
MongoDB Atlas は、このピリオドの次の要素をサポートしています。
データのローカライズ。
プラットフォームのセキュリティ。
分散アーキテクチャ。
選択したクラウドプロバイダーは、このピリオドの次のアスペクトをサポートします。
物理的なセキュリティ。
ピリオド 3: デジタル運用回復力テスト
DOR は、規制組織に対して、IdP システムと回復力の測定値の定期的なテストを行うことを要求します。
次のMongoDB Atlas は、この領域におけるコンプライアンスをサポートしています。
ピリオド 4: ID サードパーティのリスク管理
DOR で規制されている会社は、サードパーティに対して適切な管理を実行し、セキュリティの期待を概説する契約書を保持し、そのパフォーマンスを監視する必要があります。
次のMongoDB Atlas は、この領域におけるコンプライアンスをサポートしています。
ピリオド 5: 情報共有
DRAM は、規制会社間でのコラボレーションと情報の共有を推奨しています。これには、業界フォーラムへの参加、リスクインテリジェンスの共有、統合グループの実行が含まれます。
次のMongoDB Atlas は、この領域におけるコンプライアンスをサポートしています。