O Regulamento Geral de Proteção de Dados (GDPR) é um conjunto de regulamentações que a União Europeia (UE) adotou para reger como as organizações coletam, armazenam, processam, compartilham e protegem dados pessoais na UE.
No GDPR, processador de dados é uma entidade que processa dados pessoais em nome de um controlador de dados. O MongoDB Atlas atua como processador de dados quando os controladores de dados usam o MongoDB Atlas para armazenar e gerenciar dados pessoais. Nesse contexto, você ou seus clientes finais são controladores de dados. Assunto de dados é qualquer pessoa cujos dados pessoais o MongoDB processe em seu nome.
Entendemos que a conformidade com o GDPR é uma responsabilidade compartilhada entre o MongoDB Atlas, você e seus clientes finais. O MongoDB Atlas oferece vários recursos para você cumprir o GDPR.
Importante
Para saber mais sobre o programa de privacidade e proteção de dados da MongoDB, incluindo informações sobre nosso Acordo de Processamento de Dados, consulte:
Direitos do Titular dos Dados
Sob o GDPR, os titulares de dados têm certos direitos sobre seus dados, como acessar seus dados, recebê-los em um formato utilizável, corrigir imprecisões e solicitar que exclua os dados quando apropriado.
Direito a apagar
De acordo com o GDPR, o direito a apagar os dados, também conhecido como o direito de ser esquecido, permite que o titular dos dados faça uma solicitação para excluir seus dados pessoais.
As seguintes funcionalidades do MongoDB Atlas oferecem suporte à compliance nessa área:
Orientação para a criptografia de dados do Atlas, incluindo:
Interação de dados, incluindo excluir os dados.
Direitos de Acesso, Portabilidade e Retificação
As seguintes funcionalidades do MongoDB Atlas oferecem suporte à compliance nessa área:
Capacidade de criar, ver, atualizar e excluir documentos.
Capacidade de filtro de queries e recuperar arrays de objetos.
Ferramentas para gerenciar seus clusters do MongoDB Atlas, como os comandos do Atlas CLI
atlas.Capacidade de usar os MongoDB Drivers para localizar documentos.
Retenção de dados
De acordo com o GDPR, os dados pessoais geralmente devem ser armazenados apenas pelo tempo necessário para cumprir a finalidade para a qual foram coletados.
As seguintes funcionalidades do MongoDB Atlas oferecem suporte à compliance nessa área:
Políticas de backup, incluindo configurações de tempo de retenção de snapshot.
Protegendo Dados Pessoais
De acordo com o GDPR, espera-se que os controladores e processadores de dados implementem medidas técnicas e organizacionais apropriadas para proteger dados pessoais. O MongoDB Atlas pode ajudar você a fazer isso por meio de uma faixa de recursos de segurança, incluindo os recursos a seguir.
Criptografia
A criptografia eficaz é reconhecida como um dos meios mais importantes de segurança de dados pessoais.
Criptografia de dados, incluindo criptografia em trânsito (TLS), criptografia em descanso (AES-256, BYOK, chave mestra do cliente, KMS ou TDE) e criptografia em uso (CSFLE, criptografia aleatória ou queryable encryption).
Controle de acesso e segurança de rede
Para você implementar controles de acesso e autenticação fortes, e medidas robustas de segurança de rede, consulte:
Autenticação, incluindo IU, banco de dados, API, federado, funções do AWS IAM, multifator, certificados X.508 de cliente, senhas SCRAM, chaves de API e gerenciamento de segredos.
Autorização, incluindo RBAC, funções predefinidas, provedores de identidade federados e acesso just-in-time.
Segurança de rede, incluindo TLS, listas de acesso IP, configuração de firewall, pontos de extremidade privados e isolamento de rede.
Alertas, auditoria e monitoramento
Para você manter uma variedade de logs de auditoria e registros de atividades de processamento que acompanham como os dados pessoais são acessados, usados, modificados ou compartilhados, consulte:
Auditoria, incluindo auditoria de banco de dados, filtros e eventos.
Resposta a Incidentes
Para ajudar você a manter um framework de resposta a incidentes que permite identificar, avaliar e mitigar os riscos aos dados pessoais, consulte:
Integrações de terceiros, incluindo Datadog, Microsoft Teams, PagerDuty, Prometheus e outros.
Alta Disponibilidade e Resiliência
Para você projetar sistemas com alta disponibilidade e resiliência, garantindo que os dados pessoais permaneçam acessíveis e recuperáveis, consulte:
Alta disponibilidade, incluindo replicação de banco de dados e failover automático.
Recuperação de desastres, incluindo objetivos de ponto de recuperação (RPO) e objetivos de tempo de recuperação (RTO).