Conformidade com DORA

Pilar 1: gerenciamento de riscos de TIC

A DORA exige que as empresas regulamentadas estabeleçam um framework para identificar, avaliar e mitigar os riscos de TIC. Esse framework inclui realizar avaliações de risco regulares, implementar controles para lidar com os riscos identificados e ter um plano para resposta a incidentes.

As seguintes funcionalidades do MongoDB Atlas oferecem suporte à conformidade nessa área.

• Alta disponibilidade, incluindo replicação de banco de dados e failover automático.

• Backups incluindo backups em nuvem, backups contínuos em nuvem, distribuição de snapshots multirregionais e uma política de compliance de backup.

• Recuperação de desastres, incluindo objetivo de ponto de recuperação e objetivo de tempo de recuperação.

• Recursos para oferecer suporte à conformidade com padrões externos, incluindo ISO/IEC 27001, SOC2 TipoII e PCI DSS.

• Segurança de rede, incluindo criptografia TLS/SSL, listas de acesso IP, configuração de firewall e pontos de extremidade privados.

• Autenticação, incluindo autenticação de IU, banco de dados, API, federado, função AWS IAM, multifator e autenticação de senha SCRAM. Essa funcionalidade e orientação também incluem certificados X.509, chaves de API e gerenciamento de segredos.

• Autorização incluindo controle de acesso baseado em função (RBAC), funções predefinidas, provedores de identidade federados e acesso just-in-time.

• Auditoria, incluindo auditoria de banco de dados, criação e ativação de filtros de auditar e eventos de auditar recomendados.

• Logs, incluindo o acesso manual e programático aos logs de auditar.

• Criptografia de dados, incluindo criptografia em trânsito (TLS), em repouso (AES-256, BYOK, chave mestra do cliente, KMS ou TDE) e em uso (CSFLE, criptografia aleatória e queryable encryption).

Pilar 2: Gerenciamento de Incidentes Relacionados à TIC

O DORA exige que as empresas regulamentadas tenham processos em vigor para detectar, relatar e investigar incidentes relacionados à TIC. Esses processos incluem canais de relatório claros, procedimentos para classificar incidentes com base na gravidade e notificação oportuna às autoridades relevantes.

O MongoDB Atlas oferece suporte aos seguintes aspectos deste pilar:

• Autenticação.

• Localização de dados.

• Criptografia em trânsito ou volume.

• Isolamento de rede.

• Auditoria granular.

• Backup de dados.

• Segurança da plataforma.

• Alta disponibilidade.

• Auto-scaling.

• Arquitetura distribuída.

O(s) provedor de nuvem escolhido(s) oferece(m) suporte ao seguinte aspecto deste coluna:

• Segurança física.

Pilar 3: Teste de resiliência operacional digital

A DORA exige que as empresas regulamentadas realizem testes regulares de seus sistemas de TIC e medidas de resiliência.

As seguintes funcionalidades do MongoDB Atlas oferecem suporte à compliance nessa área:

• Simulação de interrupção regional.

• Teste de failover primário.

Pilar 4: gerenciamento de riscos de terceiros para TIC

As empresas regulamentadas pela DORA precisam realizar a auditoria prévia em terceiros, ter acordos contratuais descrevendo as expectativas de segurança e monitorando seu desempenho.

As seguintes funcionalidades do MongoDB Atlas oferecem suporte à compliance nessa área:

• Sincronização de dados entre ambientes de cluster:

  • Conecte um cluster autogerenciado ao Atlas.

  • Conectar dois Atlas clusters.

  • Conecte dois clusters autogerenciados.

• Paradigma de implantação multinuvem.

• Mongosync (cluster-to-cluster sync).

• Página destatus da nuvem do MongoDB.

Pilar 5: compartilhamento de informações

A DORA apoia a colaboração e o compartilhamento de informações sobre ciberameaças entre empresas regulamentadas. Isso pode envolver a participação em fóruns do setor, o compartilhamento de informações sobre riscos e a realização de exercícios conjuntos.