A Lei de Resiliência Operacional Digital (DORA) é um conjunto de regulamentações que a União Europeia (UE) adotou para ajudar a garantir a resiliência operacional digital de bancos e provedores de serviços.
A DORA se aplica a uma ampla gama de provedores de serviços financeiros regulamentados na UE, como bancos, Instituições de crédito, Instituições de pagamento, empresas de capitalização e empresas de gerenciamento de ativos. Abrange também entidades como fornecedores de serviços de criptoativos, locais de negociação e agencias de classificação de crédito.
Os principais requisitos do DORA se enquadram em cinco colunas: gerenciamento de riscos de tecnologia da informação e comunicação (ICT), relatórios de incidentes relacionados a TIC, teste de resiliência operacional digital, gerenciamento de riscos de terceiros de ICT e compartilhamento de informações.
Para saber mais sobre como o MongoDB pode ajudá-lo em conformidade com a DORA, consulte a página da Lei de Resiliência Operacional Digital (DORA) da UE no MongoDB Trust Center.
Pilar 1: gerenciamento de riscos de TIC
A DORA exige que as empresas regulamentadas estabeleçam uma estrutura para identificar, avaliar e mitigar os riscos de TIC. Essa estrutura inclui realizar avaliações de risco regulares, implementar controles para lidar com os riscos identificados e ter um plano para resposta a incidentes.
As seguintes funcionalidades do MongoDB Atlas oferecem suporte à conformidade nessa área.
Alta disponibilidade, incluindo replicação de banco de dados e failover automático.
Backups, incluindo backups na nuvem, backups contínuos na nuvem, distribuição de snapshots de multirregional e uma política de compliance de backup.
Recuperação de desastres, incluindo objetivo de ponto de recuperação e objetivo de tempo de recuperação.
Recursos para oferecer suporte à conformidade com padrões externos, incluindo 27001 ISO/IEC, SOC2 TipoII e PCI DSS.
Segurança de rede, incluindo criptografia TLS/SSL, listas de acesso IP, configuração de firewall e endpoints privados.
Autenticação, incluindo autenticação de UI, banco de dados, API, federada, função AWS IAM, multifator e autenticação de senha SCRAM. Essa funcionalidade e orientação também incluem509 certificados X., chaves de API e gerenciamento de segredos.
Autorização, incluindo controle de acesso baseado em função (RBAC), funções predefinidas, fornecedores de identidade federados e acesso dentro do prazo.
Auditoria, incluindo auditoria de banco de dados , criação e ativação de filtros de auditar e eventos de auditar recomendados.
Registro, incluindo o acesso manual e programático aos registros de auditar .
Criptografia de dados, incluindo criptografia em trânsito (TLS), em repouso (AES-,256 BYOK, CMK, KMS ou TDE) e em uso (CSFLE, criptografia aleatória e consultável).
Pilar 2: Gerenciamento de Incidentes Relacionados à TIC
O DORA exige que as empresas regulamentadas tenham processos em vigor para detectar, relatar e investigar incidentes relacionados à TIC. Esses processos incluem canais de notificação claros, procedimentos para classificar incidentes com base na gravidade e notificação oportuna às autoridades relevantes.
O MongoDB Atlas suporta os seguintes aspectos deste coluna:
Localização de dados.
Segurança da plataforma.
Arquitetura distribuída.
O(s) provedor de nuvem escolhido(s) oferece(m) suporte ao seguinte aspecto deste coluna:
Segurança física.
Pilar 3: Teste de resiliência operacional digital
A DORA exige que as empresas regulamentadas realizem testes regulares de seus sistemas de TIC e medidas de resiliência.
As seguintes funcionalidades do MongoDB Atlas oferecem suporte à compliance nessa área:
Pilar 4: gerenciamento de riscos de terceiros para TIC
As empresas regulamentadas pela DORA precisam realizar a auditoria prévia em terceiros, ter acordos contratuais descrevendo as expectativas de segurança e monitorando seu desempenho.
As seguintes funcionalidades do MongoDB Atlas oferecem suporte à compliance nessa área:
Sincronizar dados entre ambientes de cluster:
Mongosync (sincronização de cluster para cluster).
Pilar 5: compartilhamento de informações
A DORA apoia a colaboração e o compartilhamento de informações sobre ciberameaças entre empresas regulamentadas. Isso pode envolver a participação em fóruns do setor, o compartilhamento de informações sobre riscos e a realização de exercícios conjuntos.
As seguintes funcionalidades do MongoDB Atlas oferecem suporte à compliance nessa área: