支払いカード 組織データ セキュリティ標準(PCI DSS)は、 PCI 標準セキュリティ カウンター によって開発された情報セキュリティ標準であり、カード所有者データを保存、処理、または送信するすべてのエンティティに適用されます。 PCI DSS は、支払いアカウント データを保護するために設計された技術的および運用上の要件のベースラインを提供します。
PCI DSS の場合
カード所有者データ(CHD)は、エンティティがシステム内に保存、処理、または送信する支払いカード情報です。
カード所有者データ環境(CDE)とは、カード所有者データを保存、処理、または送信するシステムとネットワーク、および CDE に直接接続またはサポートするシステムを指します。
MongoDBは サービス プロバイダー です。つまり、別のエンティティのためにカード所有者データ(CHD)を保存、処理、送信するエンティティであるか、カード所有者データ環境(CDE)のセキュリティに影響可能性があるエンティティです。
PCI DSSへのコンプライアンスは、 MongoDB 、ユーザー、エンド カスタマー間で共有される責任であることを理解しています。次のセクションでは、PCI DSS へのコンプライアンスをサポートできるMongoDB Atlasおよび Atlas for Government の機能について説明します。
重要
MongoDB Cloud は、2025 年 11 月現在、PCI DSS 認定サービスプロバイダーです。契約に関する情報を含む MongoDB の PCI DSS 検証の詳細については、以下を参照してください。
MongoDB Cloud PCI コンプライアンス(AOC)を取得するには次の手順に従います。
既存のカスタマーは カスタマートラスト ポータル からコピーをリクエストできます
将来のカスタマーは、 MongoDB の営業チームに連絡してアクセス権をリクエストできます
MongoDB PCI DSS 責任マトリクスは、PCI DSS 制御を所有する者(MongoDB、カスタマー、またはその両方)へのPCI DSS 制御の形式的なマッピングです。応答マトリクスを取得するには、以下の手順を行います。
既存のカスタマーは カスタマートラスト ポータル からコピーをリクエストできます
将来のカスタマーは、 MongoDB の営業チームに連絡してアクセス権をリクエストできます
利用可能なデータベース環境
カード所有者データを取り扱うシステムをアーキテクチャする場合、コンプライアンス要件に基づいて 2 つのMongoDBデータベース環境から選択できます。
MongoDB Atlasは、当社の商用フルマネージドデータベースソリューションです。 PCI DSS 検証済みの、フルマネージドでグローバルに利用できるデータベースソリューションが必要な場合は、 MongoDB Atlasを選択します。
Atlas for Government は、米国政府の要件向けに特別に構築されたMongoDB Atlasの別の専用環境です。 PCI DSS が検証され、FedRAMP Moderate が認可されています。 PCI DSS などの米国を基盤とした複数のコンプライアンス標準を満たす専用の分離された環境が必要な場合は、Atlas for Governmentを選択します。
注意
このページの推奨事項は、標準の Atlas ソリューションに焦点を当てています。同じトピックに関連する Atlas for Government の機能の詳細については、 Atlas for Government のドキュメントを参照してください。
カード所有者データの保護
データの暗号化
PCI DSS では、オープンでパブリックなネットワークでの送信中に強力な暗号化で CHD を保護するためのエンティティが必要です(要件4 )。
MongoDB Atlasアーキテクチャセンターの次の記事では、この領域のコンプライアンスをサポートする Atlas の機能について説明しています。
Atlas データ暗号化に関するガイダンス: 転送中(TLS)、保存中(AES-256 、BYEK、CMK、KMS、TDE)、使用中(CSFLE、 Queryable Encryption )のデータ暗号化を強制します。
また、Atlas リソース ポリシーを使用して、最小の TLS バージョンを適用したり、クラスター接続に特定の TLS 暗号スイート構成を要求したりすることもできます。
データベース アクセス制御
PCI DSS では、ビジネスが必要な操作によってシステム コンポーネントとカード所有者データへのアクセスを制限するエンティティが必要です(要件 7)。
MongoDB Atlasアーキテクチャセンターの次の記事では、この領域のコンプライアンスをサポートする Atlas の機能について説明しています。
Atlas 認証のガイダンス: IdP によるフェデレーティッド認証、 AWS IAM ロール認証、 多要素認証(MFA)などの認証メカニズムを使用して安全な ID マネジメントを実装し、Atlas データベースへのアクセスを制御します。
Atlas 認証に関するガイダンス: ロールベースのアクセス制御(RBAC) で安全なアクセス管理を実装し、特定のジョブ機能と責任に基づいて承認されたユーザーのみが CHD にアクセスできるようにします。
ネットワーク セキュリティ制御
PCI DSS では、エンティティが独自のネットワーク内のトラフィックを制御し、リソースを信頼できないネットワークへの露出から保護するために、ネットワークセキュリティ制御をインストールおよび維持するエンティティが必要です(要件 1)。
MongoDB Atlasアーキテクチャセンターの次の記事では、この領域のコンプライアンスをサポートする Atlas の機能について説明しています。
Atlas ネットワーク セキュリティに関するガイダンス: 転送中の暗号化、 IPアクセス リスト、ファイアウォール構成、プライベートエンドポイント、ネットワーク分離により、Atlas クラスターへのネットワーク アクセスを保護し、転送中に EPHI を保護します。
Atlas リソース ポリシー を使用して、次のネットワーク セキュリティ標準を強制することもできます。
より厳格なネットワーク制御を強制するには、ワイルドカードIP (
0.0.0.0/0)の使用を禁止します。IP アクセス リストが空のままであることを要求するか、既存のIP アクセス リストへの追加を防ぐことで、パブリック ネットワークを介したトラフィックを禁止します。
クラウドプロバイダー間でのVPCピアリングとプライベートエンドポイント接続の変更を防ぎます。
システム活動の監査、モニタリング、ログ記録
PCI DSS では、システム コンポーネントと CHD へのすべてのアクセスをログおよびモニターするエンティティが必要です(要件10 )。
MongoDB Atlasアーキテクチャセンターの次の記事では、この領域のコンプライアンスをサポートする Atlas の機能について説明しています。
Atlas の監査とログのガイダンス: ユーザー認証の試行や権限の調整などのデータベースイベントを監視、レコード、レビューします。
Atlas のモニタリングとアラートに関するガイダンス: クラスターの健全性、パフォーマンス、運用メトリクスを追跡し、CHD に関連する匿名のアクティビティを表示する可能性のあるアラートを構成します。