O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) é um padrão de segurança da informação desenvolvido pelo Conselho de Segurança de Padrões PCI que se aplica a todas as entidades que armazenam, processam ou transmitem dados do titular do cartão. O PCI DSS fornece uma linha de base de requisitos técnicos e operacionais projetados para proteger os dados da conta de pagamento.
Em PCI DSS:
Dados do portador do cartão (CHD) são informações do cartão de pagamento que uma entidade armazena, processa ou transmite em seus sistemas.
Ambiente de dados doportador do cartão (CDE) refere-se aos sistemas e redes que armazenam, processam ou transmitem dados do portador do cartão, bem como aos sistemas que se conectam diretamente ou suportam o CDE.
O MongoDB é um provedor de serviços, ou seja, uma entidade que armazena, processa ou transmite dados do portador do cartão (CHD) em nome de outra entidade ou pode impacto a segurança do ambiente de dados do portador do cartão (CDE).
Entendemos que a conformidade com o PCI DSS é uma responsabilidade compartilhada entre o MongoDB, você e seus clientes finais. As seções a seguir descrevem os recursos do MongoDB Atlas e Atlas For Government que podem apoiar sua conformidade com o PCI DSS.
Importante
O MongoDB Cloud é um provedor de serviços certificado por PCI DSS desde 2025 de novembro. Para saber mais sobre a validação do PCI DSS do MongoDB, incluindo informações sobre acordos contratuais, consulte:
Para obter o Atestado de Conformidade (AOC) do MongoDB Cloud:
Os clientes existentes podem solicitar uma cópia por meio do Portal de confiança do cliente
Clientes em potencial podem solicitar acesso entrar em contato com a equipe de vendas do MongoDB
A matriz de responsabilidades do PCI DSS do MongoDB é um mapeamento oficial dos controles do PCI DSS para a parte responsável (o MongoDB, o cliente ou ambos). Para obter a matriz de responsabilidade:
Os clientes existentes podem solicitar uma cópia por meio do Portal de confiança do cliente
Clientes em potencial podem solicitar acesso entrar em contato com a equipe de vendas do MongoDB
Ambientes de banco de dados disponíveis
Ao arquitetar sistemas que lidam com dados do portador do cartão, você pode escolher entre dois ambientes de banco de dados MongoDB com base em seus requisitos de conformidade:
O MongoDB Atlas é a nossa solução comercial de banco de dados totalmente gerenciado. Escolha o MongoDB Atlas quando desejar uma solução de banco de dados totalmente gerenciada e disponível globalmente que seja validada pelo PCI DSS.
O Atlas For Government é um ambiente separado e dedicado do MongoDB Atlas, criado especificamente para os requisitos do governo dos EUA. É PCI DSS validado e FedRAMP Moderate autorizado. Escolha o Atlas For Government quando quiser um ambiente dedicado e isolado que atenda a vários padrões de conformidade centralizados nos EUA, incluindo o PCI DSS.
Observação
As recomendações nesta página concentram-se em soluções padrão do Atlas . Para saber mais sobre os recursos e capacidades do Atlas For Government relacionados aos mesmos tópicos, consulte nossa documentação do Atlas For Government.
Proteção de dados do portador do cartão
Criptografia de dados
O PCI DSS exige que as entidades protejam oCHD com criptografia forte durante a transmissão em redes públicas abertas 4 (requisito).
Os seguintes artigos do MongoDB Atlas Architecture Center descrevem os recursos do Atlas que oferecem suporte à conformidade nessa área:
Orientação para criptografia de dados do Atlas : Garanta a criptografia de dados em trânsito (TLS), em repouso (AES-,256 BYOK, CMK, KMS, TDE) e em uso (CSFLE, Queryable Encryption).
Você também pode usar as Políticas de Recursos do Atlas para impor uma versão mínima do TLS ou exigir uma configuração específica do conjunto de cifras do TLS para conexões de cluster.
Controle de acesso ao banco de dados
O PCI DSS exige que as entidades restrinjam o acesso aos componentes do sistema e aos dados do titular do cartão pela necessidade comercial de saber (requisito 7).
Os seguintes artigos do MongoDB Atlas Architecture Center descrevem os recursos do Atlas que oferecem suporte à conformidade nessa área:
Orientação para Autenticação do Atlas: Controle o acesso aos seus bancos de dados do Atlas implementando o gerenciamento de identidade seguro com mecanismos de autenticação como Autenticação Federada com IdPs, autenticação defunção AWS IAM, autenticação multifatorial (MFA) e muito mais.
Orientação para autorização do Atlas: Garanta que somente o pessoal autorizado possa acessar o CR com base em suas funções e responsabilidades específicas de tarefa , implementando o gerenciamento de acesso seguro com controle de acesso baseado em função (RBAC).
Controles de segurança de rede
O PCI DSS exige que as entidades instalem e mantenham controles de segurança de rede para controlar o tráfego dentro das redes da própria entidade e também para proteger os recursos da exposição a redes não confiáveis (Requisito 1).
Os seguintes artigos do MongoDB Atlas Architecture Center descrevem os recursos do Atlas que oferecem suporte à conformidade nessa área:
Orientação para a Segurança de Rede Atlas: Proteja o acesso de rede aos clusters Atlas e proteja o ePHI durante a transmissão com criptografia em trânsito, listas de acesso IP, configurações de firewall , endpoints privados e isolamento de rede.
Você também pode utilizar as Políticas de Recursos do Atlas para impor os seguintes padrões de segurança de rede:
Proiba o uso do IP curinga (
0.0.0.0/0) para impor controles de rede mais rigorosos.Proiba o tráfego através de redes públicas exigindo que a lista de acesso IP permaneça vazia ou impedindo adições a uma lista de acesso IP existente.
Impeça modificações no emparelhamento de VPC e nas conexões de endpoints privados em provedores de nuvem.
Auditoria, monitoramento e registro da atividade do sistema
O PCI DSS exige que as entidades registrem e monitorem todo o acesso aos componentes do sistema e aoCHD 10(requisito).
Os seguintes artigos do MongoDB Atlas Architecture Center descrevem os recursos do Atlas que oferecem suporte à conformidade nessa área:
orientação para Auditoria e Registro do Atlas: Monitore, registre e revise eventos do banco de dados, como tentativas de autenticação do usuário e ajustes de permissão.
Orientações para o Atlas Monitoring e Alertas: Acompanhe a integridade, o desempenho e as métricas operacionais do cluster e configure alertas que podem exibir atividades anômalas relevantes para o CC.