決済カード業界データセキュリティ標準(PCI DSS)は、PCI 標準セキュリティ評議会によって開発された情報セキュリティ規格であり、カード保有者データを保存、処理、または送信するすべての事業体に適用されます。PCI DSS は、支払いアカウントデータを保護するために設計された技術的および運用上の要件の基準を提供します。
Under PCI DSS:
カード所有者データ(CHD)は、エンティティがシステムに保存、処理、または送信する支払いカード情報です。
カード所有者データ環境(CDE)とは、カード所有者データを保存、処理、または送信するシステムとネットワーク、および CDE に直接接続またはサポートするシステムを指します。
MongoDB はサービスプロバイダーです。つまり、別のエンティティに代わってカード所有者データ(CHD)を保存、処理、送信するエンティティ、またはカード所有者データ環境(CDE)のセキュリティに影響を与える可能性があるエンティティを意味します。
私たちは、PCI DSS コンプライアンスが MongoDB、エンドカスタマー、関係者間で共有される責任であることを理解しています。次のセクションでは、PCI DSS への準拠をサポートする MongoDB Atlas と Atlas For Government 機能について説明します。
重要
MongoDB クラウドは 2025 年 11 月時点で PCI DSS 認定サービスプロバイダーになっています。契約に関する情報を含む MongoDB の PCI DSS 検証の詳細については、以下を参照してください。
MongoDB Cloud PCI コンプライアンス(AOC)を取得するには、次の手順に従います。
既存のカスタマーは カスタマートラスト ポータル からコピーをリクエストできます
将来のお客様は、MongoDB セールスチームに連絡してアクセスをリクエストできます。
MongoDB PCI DSS 責任マトリクスは、責任者(MongoDB、カスタマー、またはその両方)に対する PCC DSS 制御の正式なマッピングです。以下の方法で責任マトリクスを取得します。
既存のカスタマーは カスタマートラスト ポータル からコピーをリクエストできます
将来のお客様は、MongoDB セールスチームに連絡してアクセスをリクエストできます。
利用可能なデータベース環境
カード所有者データを処理するシステムを設計する場合、コンプライアンス要件に基づいて2つの MongoDB データベース環境から選択できます。
MongoDB Atlas は、当社の商用完全管理データベースソリューションです。PCI DSS 検証済みの、完全管理でグローバルに利用可能なデータベースソリューションが必要な場合は、MongoDB Atlas を選択します。
Atlas for Government は、米国政府の要件向けに特別にビルドされた MongoDB Atlas の独立した専用環境です。PCI DSS が検証され、FedRAMP Moderate が認可されています。PCI DSS を含む、米国を基盤とした複数のコンプライアンス基準を満たす専用の分離された環境が必要な場合は、Atlas For Government を選択します。
注意
このページの推奨事項は、標準の Atlas ソリューションに焦点を当てています。同じトピックに関連する Atlas For Government の機能や能力の詳細については、「Atlas For Government のドキュメント」をご覧ください。
カード所有者データの保護
データの暗号化
PCI DSS は、事業が公開されたパブリックネットワークを介した送信中に、 CHD を強力な暗号化で保護することを要求しています(要件4)。
以下の MongoDB Atlas Architecture Center の記事では、この分野のコンプライアンスをサポートする Atlas の機能について説明しています。
Atlas のデータ暗号化に関するガイダンス: 転送中の暗号化(TLS)、保管時の暗号化(AES-256、BYOK、CMK、KMS、TDE)、および使用中の暗号化(CSFLE、Queryable Encryption)を確保します。
また、Atlas リソースポリシーを使用して、クラスター接続に最小 TLS バージョンを強制的に適用したり、特定の TLS 暗号スイート構成を要求したりすることもできます。
データベースアクセス制御
PCI DSS では、Business Need to Know に基づき、システムコンポーネントおよびカード会員データへのアクセスを制限することを事業体に求めています(要件7)。
以下の MongoDB Atlas Architecture Center の記事では、この分野のコンプライアンスをサポートする Atlas の機能について説明しています。
Atlas 認証に関するガイダンス: Atlas データベースへのアクセスを制御するには、Idp、Amazon Web Services、IAMロール認証、多要素認証(MFA)などのフェデレーティッド認証のような認証メカニズムで、安全なアイデンティティ管理を実装する必要があります。
Atlas 承認のガイダンス: 権限を持つ関係者のみが特定の職務と責任に基づいて CHD にアクセスできるようにするには、ロールベース アクセス制御(RBAC)で安全なアクセス管理を実装します。
ネットワークセキュリティ制御
PCI DSS は、事業体がネットワークセキュリティ制御をインストールして管理し、事業体の独自のネットワーク内でトラフィックを制御して、リソースを信頼できないネットワークへの露出から保護することを求めています(要件1)。
以下の MongoDB Atlas Architecture Center の記事では、この分野のコンプライアンスをサポートする Atlas の機能について説明しています。
Atlas ネットワークセキュリティのガイダンス: Atlas クラスターへのネットワークアクセスを保護し、送信中 ePHI を転送中の暗号化、IP アクセスリスト、ファイアウォール構成、プライベートエンドポイント、ネットワーク分離で保護します。
また、Atlas リソースポリシーを使用して、以下のネットワークセキュリティ標準を強制することができます。
ワイルドカード IP(
0.0.0.0/0)の使用を禁止して、より厳格なネットワーク制御を実施します。IP アクセス リストが空のままであることを要求するか、既存のIP アクセス リストへの追加を防ぐことで、パブリック ネットワークを介したトラフィックを禁止します。
クラウドプロバイダー間でのVPCピアリングとプライベートエンドポイント接続の変更を防ぎます。
システムアクティビティの監査、モニタリング、記録
PCI DSS では、事業体がシステムコンポーネントと CHD へのすべてのアクセスをログおよびモニタリングする必要があります(要件10)。
以下の MongoDB Atlas Architecture Center の記事では、この分野のコンプライアンスをサポートする Atlas の機能について説明しています。
Atlas の監査とログのガイダンス: ユーザー認証の試行や権限の調整などのデータベースイベントを監視、レコード、レビューします。
Atlas モニタリングとアラートのガイダンス: クラスターの健全性、パフォーマンス、運用メトリクスを追跡し、CHDに関連する異常なアクティビティを知らせるアラートを設定します。