DORA 컴플라이언스

기둥 1: ICT 위험 관리

DORA는 규제 대상 회사가 정보통신기술(ICT) 위험을 식별, 평가 및 완화할 수 있는 프레임워크 구축하도록 요구하고 있습니다. 이 프레임워크 에는 정기적인 위험 평가 수행, 식별된 위험을 주소 하기 위한 제어 구현, 사고 대응 계획 수립이 포함됩니다.

다음 MongoDB Atlas 기능은 이 영역에서 컴플라이언스 지원 .

• 데이터베이스 복제 및 자동 페일오버 포함한 고가용성.

• 백업 에는 클라우드 백업, 지속적인 클라우드 백업, 멀티 리전 스냅샷 배포 및 백업 컴플라이언스 정책이 포함됩니다.

• 복구 점 목표 및 복구 시간 목표를 포함한 재해 복구.

• ISO/IEC 27001, SOC2 유형 II 및 PCI DSS를 포함한 외부 표준의 컴플라이언스 지원 기능 입니다.

• TLS/SSL 암호화, IP 액세스 목록, 방화벽 구성, 비공개 엔드포인트 포함한 네트워크 보안.

• 인증 UI, 데이터베이스, API, 연합, AWS IAM 역할, 다중 인증 및 SCRAM 비밀번호 인증 포함한. 이 기능 및 지침 X.509 인증서, API 키 및 비밀 관리 도 포함됩니다.

• 권한 부여 (RBAC(역할 기반 액세스 제어), 사전 정의된 역할, 연합 자격 증명 공급자, JIT(Just-In-Time) 액세스 포함).

• 데이터베이스 감사, 감사 필터 생성 및 활성화, 권장 감사 이벤트를 포함한 감사.

• 감사로그에 수동 및 프로그래밍 방식으로 액세스하는 것을 포함한 로깅.

• 데이터 암호화 전송 중 암호화 (TLS), 미사용 데이터(AES-256, BYOK, CMK, KMS 또는 TDE), 사용 중 암호화(CSFLE, 무작위 및 쿼리 가능 암호화 )를 포함한 데이터 암호화 입니다.

기둥 2: 정보통신기술(ICT) 관련 인시던트 관리

DORA는 규제 대상 회사가 정보통신기술(ICT) 관련 사고를 감지, 보고 및 조사하는 프로세스를 마련할 것을 요구합니다. 이러한 프로세스에는 명확한 보고 채널, 심각도에 따라 사고를 분류하는 절차, 관련 기관에 시기적절한 알림을 설정하는 것이 포함됩니다.

MongoDB Atlas 이 기둥의 다음 측면을 지원합니다.

• 인증.

• 데이터 현지화.

• 전송 또는 볼륨 암호화.

• 네트워크 격리.

• 세분화된 감사.

• 데이터 백업.

• 플랫폼 보안.

• 고가용성.

• 자동 확장.

• 분산된 아키텍처.

선택한 클라우드 공급자 는 이 기둥의 다음 측면을 지원합니다.

• 물리적 보안.

핵심 3: 디지털 운영 회복 탄력성 테스트

DORA는 규제 대상 회사들이 자사의 정보통신기술(ICT) 시스템 및 회복 탄력성 조치에 대한 정기적 테스트를 수행하도록 요구하고 있습니다.

다음 MongoDB Atlas 기능은 이 영역에서 컴플라이언스 지원 .

• 리전 장애 시뮬레이션.

• 프라이머리 페일오버 테스트.

기둥 4: 정보통신기술(ICT) 타사 위험 관리

DORA 규제를 받는 회사는 제3자에 대한 실사를 수행하고, 보안 기대치를 간략하게 설명하는 계약을 체결하고, 성과를 모니터해야 합니다.

다음 MongoDB Atlas 기능은 이 영역에서 컴플라이언스 지원 .

• 클러스터 환경 간에 데이터 동기화:

  • 자체 관리형 클러스터를 Atlas 에 연결합니다.

  • 두 개의 Atlas 클러스터를 연결합니다.

  • 두 개의 자체 관리형 클러스터를 연결합니다.

• 멀티 클라우드 배포서버 패러다임.

• Mongosync (cluster-to-cluster sync).

• MongoDB 클라우드 상태 페이지.

기둥 5: 정보 공유

DORA는 규제 대상 회사 간에 사이버 위협에 대한 협업과 정보 공유를 권장합니다. 여기에는 업계 포럼에 참여하고, 위협 인텔리전스를 공유 , 합동 훈련을 수행하는 등이 포함될 수 있습니다.