O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) é um padrão de segurança da informação desenvolvido pelo Conselho de Segurança de Padrões PCI, que se aplica a todas as entidades que armazenam, processam ou transmitem dados de titulares de cartões. O PCI DSS fornece uma base de requisitos técnicos e operacionais feitos para proteger os dados das contas de pagamento.
Under PCI DSS:
Dados do titular do cartão (CHD) são informações de cartões de pagamento que uma entidade armazena, processa ou transmite em seus sistemas.
Ambiente de Dados do Titular do Cartão (CDE) refere-se aos sistemas e redes que armazenam, processam ou transmitem dados do titular do cartão, bem como sistemas que se conectam diretamente ao CDE ou oferecem suporte a ele.
MongoDB é um provedor de serviços, ou seja, uma entidade que armazena, processa ou transmite dados do titular do cartão (CHD) em nome de outra entidade ou pode impactar a segurança do ambiente de dados do titular do cartão (CDE).
Entendemos que a conformidade com o PCI DSS é uma responsabilidade compartilhada entre o MongoDB, você e seus clientes finais. As seções a seguir descrevem os recursos do MongoDB Atlas e do Atlas para o Governo que podem oferecer suporte à sua conformidade com o PCI DSS.
Importante
O MongoDB Cloud é um provedor de serviços certificado PCI DSS desde novembro de 2025. Para aprender mais sobre a validação PCI DSS do MongoDB, incluindo informações sobre acordos contratuais, consulte:
Para obter o atestado de compliance (AOC) do MongoDB Cloud PCI:
Os clientes existentes podem solicitar uma cópia por meio do Portal de confiança do cliente
Os clientes em potencial podem solicitar acesso entrando em contato com a equipe de vendas do MongoDB.
A matriz de responsabilidade do MongoDB PCI DSS é um mapeamento formal dos controles do PCI DSS para a parte responsável (MongoDB, o cliente, ou ambos). Para obter a matriz de responsabilidade:
Os clientes existentes podem solicitar uma cópia por meio do Portal de confiança do cliente
Os clientes em potencial podem solicitar acesso entrando em contato com a equipe de vendas do MongoDB.
Ambientes de banco de dados disponíveis
Ao projetar sistemas que lidam com dados do portador do cartão, você pode escolher entre dois ambientes de banco de dados MongoDB com base em seus requisitos de conformidade:
O MongoDB Atlas é a nossa solução comercial de banco de dados totalmente gerenciada. Escolha o MongoDB Atlas quando quiser uma solução de banco de dados totalmente gerenciada e disponível globalmente que seja validada pelo PCI DSS.
O Atlas para o Governo é um ambiente separado e dedicado do MongoDB Atlas, criado especificamente para os requisitos do governo dos Estados Unidos. É validado pelo PCI DSS e autorizado no FedRAMP® Moderate. Escolha o Atlas para o Governo se quiser um ambiente dedicado e isolado que atenda a vários padrões de conformidade voltados aos EUA, incluindo o PCI DSS.
Observação
As recomendações desta página focam nas soluções padrão do Atlas. Para saber mais sobre os recursos e capacidades do Atlas para o Governo relacionados aos mesmos tópicos, consulte nossa documentação do Atlas para o Governo.
Proteção dos dados do titular do cartão
Criptografia de dados
O PCI DSS exige que as entidades protejam o CHD com criptografia forte durante a transmissão em redes públicas abertas (Requisito 4).
Os seguintes artigos do MongoDB Atlas Architecture Center descrevem os recursos do Atlas que oferecem suporte à conformidade nesta área:
Orientação para a criptografia de dados do Atlas: garanta a criptografia de dados em trânsito (TLS), em repouso (AES-256, BYOK, Chave Mestra do Cliente, KMS, TDE) e em uso (CSFLE, Queryable Encryption).
Você também pode usar Políticas de Recurso do Atlas para impor uma versão mínima TLS ou exigir uma configuração específica de conjunto de cifras TLS para conexões de cluster.
Controle de acesso ao banco de dados
O PCI DSS exige que as entidades restrinjam o acesso aos componentes do sistema e aos dados do titular do cartão por meio da Necessidade de Saber da Empresa (Requisito 7).
Os seguintes artigos do MongoDB Atlas Architecture Center descrevem os recursos do Atlas que oferecem suporte à conformidade nesta área:
Orientações para autenticação do Atlas: controle o acesso aos seus bancos de dados do Atlas implementando um gerenciamento de identidade seguro com mecanismos de autenticação, como autenticação federada com IdPs, autenticação de função do AWS IAM, autenticação multifator (MFA) e muito mais.
Orientações para Autorização do Atlas: garanta que apenas pessoal autorizado possa acessar o CHD com base em suas funções e responsabilidades específicas, implementando um gerenciamento de acesso seguro com controle de acesso baseado em funções (RBAC).
Controles de segurança de rede
O PCI DSS exige que as entidades instalem e mantenham controles de segurança de rede para controlar o tráfego dentro das próprias redes de uma entidade e também para proteger recursos da exposição a redes não confiáveis (Requisito 1).
Os seguintes artigos do MongoDB Atlas Architecture Center descrevem os recursos do Atlas que oferecem suporte à conformidade nesta área:
Orientações para a segurança da rede Atlas: proteja o acesso à rede dos clusters Atlas e proteja o ePHI (informações eletrônicas de saúde protegidas ) durante a transmissão com criptografia em trânsito, listas de acesso IP, configurações de firewall, pontos de extremidade privados e isolamento de rede.
Você também pode usar as Políticas de Recursos do Atlas para impor os seguintes padrões de segurança de rede:
Proíbir o uso do IP curinga (
0.0.0.0/0) para impor controles de rede mais rigorosos.Proiba o tráfego através de redes públicas exigindo que a lista de acesso IP permaneça vazia ou impedindo adições a uma lista de acesso IP existente.
Impeça modificações no emparelhamento de VPC e nas conexões de endpoints privados em provedores de nuvem.
Sistema de auditoria, monitoramento e registro de log de atividades
O PCI DSS exige que as entidades registrem e monitorem todo o acesso aos componentes do sistema e CHD (Requisito 10).
Os seguintes artigos do MongoDB Atlas Architecture Center descrevem os recursos do Atlas que oferecem suporte à conformidade nesta área:
orientação para Auditoria e Registro do Atlas: Monitore, registre e revise eventos do banco de dados, como tentativas de autenticação do usuário e ajustes de permissão.
Orientações para monitoramento e alertas do Atlas: acompanhe a integridade, o desempenho e as métricas operacionais do cluster e configure alertas que possam identificar atividades anômalas relevantes para o CHD.