支払い済み情報を保存、処理、送信するすべてのエンティティに適用される、PCI Standards セキュリティ協議会 によって開発された情報セキュリティ標準です。PCI DSS は、支払いアカウント データを保護するために設計された技術的および運用上の要件のベースラインを提供します。
注意
MongoDB Atlas共有責任モデルは、安全で回復力のあるデータ環境を維持するためのMongoDBとそのカスタマーの補完的な役割を定義します。このフレームワークの下、 MongoDB は基礎のプラットフォームのセキュリティと運用上の整合性を管理しますが、カスタマーは特定の配置の構成、管理、データ ポリシーに責任を負います。所有者のセキュリティと運用の優れ性の詳細な内訳については、共有責任モデルを参照してください。
Under PCI DSS:
カード所有者データ(CHD)は、エンティティがシステムに保存、処理、または送信する支払いカード情報です。
カード所有者データ環境(CDE)とは、カード所有者データを保存、処理、または送信するシステムとネットワーク、および CDE に直接接続またはサポートするシステムを指します。
MongoDB はサービスプロバイダーです。つまり、別のエンティティに代わってカード所有者データ(CHD)を保存、処理、送信するエンティティ、またはカード所有者データ環境(CDE)のセキュリティに影響を与える可能性があるエンティティを意味します。
重要
MongoDB クラウドは 1 年 11 月時点で PCI DSS 認定サービスプロバイダーになっています。契約に関する情報を含む MongoDB の PCI DSS 検証の詳細については、以下を参照してください。
MongoDB Cloud PCI コンプライアンス(AOC)を取得するには、次の手順に従います。
既存のカスタマーは カスタマートラスト ポータル からコピーをリクエストできます
将来のお客様は、MongoDB セールスチームに連絡してアクセスをリクエストできます。
MongoDB PCI DSS 責任マトリクスは、責任者(MongoDB、カスタマー、またはその両方)に対する PCC DSS 制御の正式なマッピングです。以下の方法で責任マトリクスを取得します。
既存のカスタマーは カスタマートラスト ポータル からコピーをリクエストできます
将来のお客様は、MongoDB セールスチームに連絡してアクセスをリクエストできます。
利用可能なデータベース環境
カード所有者データを処理するシステムを設計する場合、コンプライアンス要件に基づいて2つの MongoDB データベース環境から選択できます。
MongoDB Atlas は、当社の商用完全管理データベースソリューションです。PCI DSS 検証済みの、完全管理でグローバルに利用可能なデータベースソリューションが必要な場合は、MongoDB Atlas を選択します。
Atlas for Government は、米国政府の要件向けに特別にビルドされた MongoDB Atlas の独立した専用環境です。PCI DSS が検証され、FedRAMP Moderate が認可されています。PCI DSS を含む、米国を基盤とした複数のコンプライアンス基準を満たす専用の分離された環境が必要な場合は、Atlas For Government を選択します。
注意
このページの推奨事項は、標準の Atlas ソリューションに焦点を当てています。同じトピックに関連する Atlas For Government の機能や能力の詳細については、「Atlas For Government のドキュメント」をご覧ください。
カード所有者データの保護
データの暗号化
PCI DSS では、オープンでパブリック ネットワークを介した送信中に強力な暗号化で CRD を保護するエンティティが必要です(要件 4)。
以下の MongoDB Atlas Architecture Center の記事では、この分野のコンプライアンスをサポートする Atlas の機能について説明しています。
- Atlas のデータ暗号化に関するガイダンス: 転送中の暗号化(TLS)、保管時の暗号化(AES-256、BYOK、CMK、KMS、TDE)、および使用中の暗号化(CSFLE、Queryable Encryption)を確保します。
また、Atlas リソース ポリシーを使用して、最小の TLS バージョンを適用したり、クラスター接続に特定の TLS 暗号スイート構成を要求したりすることもできます。
データベースアクセス制御
PCI DSS では、Business Need to Know に基づき、システムコンポーネントおよびカード会員データへのアクセスを制限することを事業体に求めています(要件7)。
以下の MongoDB Atlas Architecture Center の記事では、この分野のコンプライアンスをサポートする Atlas の機能について説明しています。
Atlas 認証のガイダンス: IdP によるフェデレーティッド認証、 AWS IAM ロール認証、 多要素認証(MFA)などの認証メカニズムを使用して安全な ID マネジメントを実装し、Atlas データベースへのアクセスを制御します。
Atlas 承認に関するガイダンス: ロールベースのアクセス制御(RBAC) で安全なアクセス マネジメントを実装し、特定のジョブ機能と責任に基づいて承認されたユーザーのみが CHD にアクセスできるようにします。
ネットワークセキュリティ制御
PCI DSS は、事業体がネットワークセキュリティ制御をインストールして管理し、事業体の独自のネットワーク内でトラフィックを制御して、リソースを信頼できないネットワークへの露出から保護することを求めています(要件1)。
以下の MongoDB Atlas Architecture Center の記事では、この分野のコンプライアンスをサポートする Atlas の機能について説明しています。
- Atlas ネットワーク セキュリティに関するガイダンス: 転送中の暗号化、 IP アクセス リスト、ファイアウォール構成、プライベートエンドポイント、ネットワーク分離により、Atlas クラスターへのネットワーク アクセスを保護し、転送中に EPHI を保護します。
また、Atlas リソースポリシーを使用して、以下のネットワークセキュリティ標準を強制することができます。
より厳格なネットワーク制御を強制するには、ワイルドカードIP (
0.0.0.0/0)の使用を禁止します。IP アクセス リストが空のままであることを要求するか、既存のIP アクセス リストへの追加を防ぐことで、パブリック ネットワークを介したトラフィックを禁止します。
クラウドプロバイダー間でのVPCピアリングとプライベートエンドポイント接続の変更を防ぎます。
システムアクティビティの監査、モニタリング、記録
PCI DSS では、システム コンポーネントと CHD へのすべてのアクセスをログおよびモニターするエンティティが必要です(要件 10)。
以下の MongoDB Atlas Architecture Center の記事では、この分野のコンプライアンスをサポートする Atlas の機能について説明しています。
Atlas の監査とログのガイダンス: ユーザー認証の試行や権限の調整などのデータベースイベントを監視、レコード、レビューします。
Atlas のモニタリングとアラートに関するガイダンス: クラスターの健全性、パフォーマンス、運用メトリクスを追跡し、CHD に関連する匿名のアクティビティを表示する可能性のあるアラートを構成します。