《数字化运营韧性法案》(DORA) 是欧盟(EU)为帮助确保金融机构和服务提供商的数字化运营韧性制定的法规。
DORA 适用于欧盟境内众多范围监管的金融服务提供商,例如银行、信用机构、支付机构、投资公司和资产管理公司。它还涵盖加密资产服务提供商、交易场所和信用评级机构等实体。
DORA 的关键要求分为五个支柱:信息和通信技术 (ICT) 风险管理、ICT 相关事件报告、数字操作韧性测试、ICT 第三方风险管理和信息共享。
重要
要详细了解MongoDB如何在DORA合规方面为您提供支持,包括有关合同协议的信息,请参阅MongoDB信任中心的欧盟数字操作韧性法案 (DORA)页面。
支柱 1:ICT 风险管理
DORA 要求受监管公司建立识别、评估和缓解 ICT 风险的框架。该框架包括定期进行风险评估、实现控制措施以解决已识别的风险以及制定事件响应计划。
以下MongoDB Atlas功能支持此领域的合规。
高可用性,包括数据库复制和自动故障转移。
备份包括云备份、持续云备份、多区域快照分发和备份合规策略。
灾难恢复,包括恢复点目标和恢复时间目标。
具有支持合规外部标准的功能,包括 ISO/IEC 27001、SOC2 类型 II 和 PCI DSS。
网络安全,包括 TLS/SSL加密、IP访问列表、防火墙配置和私有端点。
身份验证 包括用户界面、数据库、API、联合、AWS IAM角色、多因素和SCRAM密码身份验证。此功能和指导还包括 X.509 证书、API 密钥和密钥管理。
授权 包括基于角色的访问控制 (RBAC)、预定义角色、联合身份提供程序和实时访问权限。
Atlas 审核,包括数据库Atlas 审核、创建和启用Atlas 审核过滤器以及推荐的Atlas 审核事件。
日志记录,包括手动和以编程方式访问Atlas 审核日志。
数据加密,包括传输中加密(TLS)、静态加密(AES-256、BYOK、 集合扫描、 KMS或 TDE)和使用中加密(CSFLE、随机和可查询加密)。
支柱 2:ICT 相关事件管理
DORA 要求受监管公司制定检测、报告和调查 ICT 相关事件的流程。这些流程包括建立畅通的报告渠道、根据严重性对事件进行分类的程序以及及时通知有关部门。
MongoDB Atlas支持该支柱的以下方面:
您选择的云提供商支持该支柱的以下方面:
物理安全。
支柱 3:数字化运营韧性测试
DORA 要求受监管公司定期测试其 ICT 系统和韧性措施。
以下MongoDB Atlas功能支持该领域的合规:
支柱 4:ICT 第三方风险管理
受 DORA 监管的公司需要对第三方进行尽职调查,签订概述安全预期的合同协议,并监控其表现。
以下MongoDB Atlas功能支持该领域的合规:
跨集群环境同步数据:
Mongosync (cluster-to-cluster sync)。
MongoDB Cloud 状态页面。
支柱 5:信息共享
DORA 鼓励受监管公司之间针对网络威胁的协作和信息共享。这可能包括参加行业论坛、共享威胁情报和开展联合演习。