Make the MongoDB docs better! We value your opinion. Share your feedback for a chance to win $100.
Click here >
Menu Docs
Página inicial do Docs
/ /
Conformidade
Página inicial do Docs
/
Centro de Arquitetura Atlas
/
Segurança
/
Conformidade
Página inicial do Docs
/
Centro de Arquitetura Atlas
/
Segurança
/
Conformidade

Conformidade com o SOC 2 Tipo I

O MongoDB Atlas e o Atlas For Government fornecem recursos que podem ajudá-lo a projetar arquiteturas que ofereçam suporte aos objetivos de Controles de Sistema e Organização (SOC) 2 TipoII da sua organização em todos os Critérios de Serviços de Confiança, incluindo Segurança, Disponibilidade, Integridade de Processamento, Confidencialidade e Privacidade.

Observação

O Modelo de responsabilidade compartilhada do MongoDB Atlas define os direitos complementares do MongoDB e de seus clientes em manter um ambiente de dados seguro e resiliente. Nesse framework, o MongoDB gerencia a segurança e a integridade operacional da plataforma subjacente, enquanto os clientes são responsáveis pelas políticas de configuração, gerenciamento e dados de suas implantações específicas. Para obter um detalhamento detalhado da propriedade em segurança e segurança operacional, consulte Modelo de responsabilidade compartilhada.

Um arquitecto empresarial responsável por decisões de alto nível sobre administração, segurança e conformidade pode usar esta página para entender melhor como os recursos do MongoDB Atlas oferecem suporte ao seu programa SOC 2 Tipo segundo. Esta página não fornece conselho legal nem substitui seus próprios processos de administração, risco e compliance (GRC).

Importante

Para obter informações sobre os relatórios de atestação, os contratos e os encargos legais do MongoDB, consulte:

Tipo SOC 2 I

O SOC 2 Tipo I avalia o design e a eficácia operacional dos controles de uma organização de serviços.

A avaliação é estruturada em torno dos Critérios de Serviços de Confiança (TSC):

  • Segurança

  • Disponibilidade

  • Integridade do processamento

  • Confidencialidade

  • Privacidade

O uso do MongoDB Atlas ou do Atlas For Government não torna, por si só, a sua organização compatível com o SOC 2 Tipo I. Em vez disso, o MongoDB Atlas fornece funcionalidades de plataforma que você pode incorporar em um framework de controle mais amplo que abrange seus aplicativos, processos e pessoas.

Relatórios SOC 2 tipo segundo

Para obter detalhes atualizados sobre a postura SOC 2 Tipo segundo do MongoDB, incluindo o período e o escopo do relatório atual, você deve usar os recursos do MongoDB Central de Confiança, não esta página. Cada um do MongoDB Atlas (ambiente comercial) e do Atlas para o Governo tem seu próprio relatório SOC 2 Tipo 2 que abrange os controles específicos e as configurações relevantes para cada ambiente.

Para solicitar o relatório SOC 2 Tipo 2atual:

Para receber um relatório SOC 2 Tipo I, você deve ser um cliente atual do MongoDB ou entrar em um nda conosco.

Escolhendo MongoDB Atlas ou Atlas para governo

O MongoDB Atlas está disponível em dois ambientes gerenciados principais, cada um coberto por seu próprio relatório SOC 2 Tipo segundo.

MongoDB Atlas (Ambiente comercial)

  • Plataforma de dados para desenvolvedores multinuvem totalmente gerenciada para uma ampla faixa de cargas de trabalho comerciais.

  • Coberto pelo relatório MongoDB Atlas SOC 2 Tipo I.

  • Pode ser apropriado quando:

    • Você não exige um ambiente autorizado pelo FedRAMP.

    • Seus requisitos regulatórios e de residência de dados podem ser satisfeitos com as regiões e controles comerciais do MongoDB Atlas .

    • Você deseja padronizar em uma única implantação do MongoDB Atlas global em todas as unidades de negócios.

A maioria dos links e exemplos no Atlas Architecture Center, incluindo esta página, concentra-se em configurações comerciais do MongoDB Atlas .

Atlas for Government

  • Um ambiente MongoDB Atlas separado e isolado implantado e gerenciado especificamente para o setor público dos EUA e cargas de trabalho regulamentadas relacionadas.

  • Coberto por um relatório dedicado SOC 2 Tipo 2 e estruturas de conformidade adicionais do setor público.

  • Normalmente apropriado para organizações com:

    • Requisitos de hospedagem, conectividade ou seleção de pessoal do governo dos EUA.

    • FedRAMP ou requisitos de framework semelhantes, além do SOC 2 Tipo I.

    • Política ou regulamento que exige um ambiente segregado para cargas de trabalho do governo.

Para obter orientações de configuração específicas do Atlas For Government, consulte a documentação do Atlas For Government.

Funcionalidades relevantes do MongoDB Atlas

Esta seção destaca os recursos do MongoDB Atlas que podem suportar cada Critério de Serviços de Confiança e direciona você para orientações detalhadas do Atlas Architecture Center. Ele não atribui um conjunto de controle completo. As organizações podem avaliar como mapear essas funcionalidades em suas próprias descrições de controle e procedimentos de teste SOC 2 Tipo I.

Segurança (controle de acesso e segurança de rede)

Conceito: O sistema está protegido contra acesso não autorizado, tanto físico quanto lógico.

Aplicam-se as seguintes orientações e funcionalidades relevantes do MongoDB Atlas :

Identidade e autenticação

A orientação para a autenticação do Atlas abrange:

  • Autenticação da IU do MongoDB Atlas

  • Autenticação do banco de dados

  • Autenticação da Administration API do MongoDB Atlas

  • Autenticação federada (SSO)

  • AWS Autenticação de função IAM

  • Autenticação multifatorial (MFA)

  • X.509 certificados de cliente

  • Autenticação de senha SCRAM

  • Gerenciamento de segredos

Autorização e privilégio mínimo

A orientação para a Autorização Atlas abrange:

  • Controle de acesso baseado em função (RBAC)

  • Funções integradas e funções personalizadas

  • Acesso dentro do prazo para usuários de banco de dados com limite de tempo

Segurança e isolamento de rede

A orientação para a Segurança de Rede Atlas abrange:

  • Criptografia TLS/SSL obrigatória

  • Listas de acesso IP

  • pontos de extremidade privados (AWS PrivateLink, Azure Private Link, GCP Private Service Connect)

  • Emparelhamento de VPC/VNet e padrões de isolamento de rede

Ao documento os controles de segurança para o SOC 2 TipoII, você pode fazer referência a como essas funcionalidades impõem limites fortes de autenticação, autorização e rede para o plano de controle e o acesso ao plano de dados do MongoDB Atlas .

Confidencialidade e privacidade (Proteção de dados e criptografia)

Conceito: As informações designadas como confidenciais são protegidas e as informações pessoais são coletadas, usadas, retidas, disponibilizadas e destruídas de acordo com os compromisso de privacidade.

Aplicam-se as seguintes orientações e funcionalidades relevantes do MongoDB Atlas :

Criptografia em trânsito, em repouso e em uso

A orientação para o Atlas Data criptografia abrange:

  • Criptografia em trânsito (TLS)

  • Criptografia em repouso usando criptografia de disco do provedor de nuvem (AES-256)

  • Criptografia em descanso com gerenciamento de chaves de cliente (BYOK/chave mestra do cliente via KMS)

  • Criptografia em uso por meio de Queryable Encryption e criptografia no nível do campo do lado do cliente (CSFLE)

Backups e retenção

A orientação para o Atlas Backups abrange:

  • Configurações de retenção de snapshot e backup

  • Backups contínuos da nuvem

  • Políticas de compliance de backup (para retenção no estilo gravar-uma-vez-ler-muitas e proteção contra exclusão)

Nas descrições de controle do SOC 2 TipoII, você pode mapear essas funcionalidades para controles que abordam a confidencialidade dos dados em repouso e em trânsito, gerenciamento de chaves criptográficas, proteção de backup e gerenciamento do ciclo de vida dos dados alinhados com suas próprias políticas de retenção e privacidade.

Disponibilidade (alta disponibilidade, recuperação de desastre e backups)

Conceito: o sistema está disponível para operação e uso conforme comprometido ou acordado.

Aplicam-se as seguintes orientações e funcionalidades relevantes do MongoDB Atlas :

Arquitetura de alta disponibilidade

A orientação para a Alta Disponibilidade do Atlas abrange:

  • Arquiteturas de conjunto de réplicas e failover automático

  • Dimensionamento de cluster e padrões de implantação para atender às metas de disponibilidade

Recuperação de desastres e RTO/RPO

A orientação para a Recuperação de desastres do Atlas abrange:

  • Definir e validar o objetivo de tempo de recuperação (RTO)

  • Definir e validar o Recovery Point Objective (RPO)

  • Padrões de DR usando redundância regional e recuperação baseada em backup

Backups e distribuição de snapshots

A orientação para o Atlas Backups abrange:

  • Backups agendados para a nuvem e backups contínuos

  • Estratégias de restauração e distribuição de snapshots multirregional

Escalabilidade e capacidade

A orientação para a escalabilidade do Atlas abrange:

  • Dimensionamento vertical e horizontal (fragmentação e alterações de nível)

  • Dimensionamento automático de computação e armazenamento

  • Estratégias de arquivamento e níveis de dados

  • Recomendações com reconhecimento de paradigma de implantação

Para os controles de disponibilidade do Tipo 2 do SOC 2, as organizações podem combinar a configuração do MongoDB Atlas (por exemplo, arquiteturas de multirregional , políticas de backup, janelas de manutenção) com sua própria resposta a instâncias e livros de execução de DR.

Integridade de processamento (audita, monitoramento e registro)

Conceito: o processamento do sistema é completo, preciso, pontual e autorizado.

Aplicam-se as seguintes orientações e funcionalidades relevantes do MongoDB Atlas :

Auditoria de banco de dados

A orientação para a auditoria do Atlas abrange:

  • Habilitando a auditoria de banco de dados em M10+ clusters

  • Criar e refinar filtros de auditar

  • Eventos de auditar recomendados (por exemplo, autenticação, alterações de privilégio , alterações de esquema)

Registro e acesso a dados de auditar

A orientação para o Atlas Logging abrange:

  • Baixar e streaming de logs e logs de auditar do MongoDB

  • Exportação programática de registros (por exemplo, para plataformas S3 ou SIEM)

  • Pontos de integração para análise adicional

Monitoramento e alertas

A orientação para o Atlas monitoramento e Alertas abrange:

  • Principais métricas e painéis (desempenho, utilização de recursos, replicação)

  • Configurações de alerta recomendadas

  • Integração com ferramentas externas de monitoramento e gerenciamento de instâncias

  • Exemplos de automação para políticas de alerta

Em um contexto do SOC 2 Tipo 2, essas capacidades normalmente suportam controles ao redor de:

  • Monitoramento da correção e pontualidade do processamento.

  • Detectar e investigar atividades anormais.

  • Aplicação do controle de alterações e da segregação de funções por meio de provas de auditar .

Voltar

PCI DSS

Próximo

Auditoria e registro

Nesta página