DORA 合规性

支柱 1：ICT 风险管理

DORA 要求受监管公司建立识别、评估和缓解 ICT 风险的框架。该框架包括定期进行风险评估、实施控制措施以解决已识别的风险以及制定事件响应计划。

以下MongoDB Atlas功能支持此领域的合规。

• 高可用性，包括数据库复制和自动故障转移。

• 备份包括云备份、持续云备份、多区域快照分发和备份合规策略。

• 灾难恢复，包括恢复点目标和恢复时间目标。

• 支持合规外部标准的功能，包括 ISO/IEC27001 、SOC2 类型 II 和 PCI DSS。

• 网络安全，包括 TLS/SSL加密、 IP访问权限列表、防火墙配置和私有端点。

• 身份验证包括用户界面、数据库、 API、联合、AWS IAM角色、多因素和SCRAM密码身份验证。此功能和指导还包括 X.509 证书、 API密钥和密钥管理。

• 授权包括基于角色的访问控制 (RBAC)、预定义角色、联合身份提供商和实时访问权限。

• 审核，包括数据库审核、创建和启用Atlas 审核筛选器以及推荐的Atlas 审核事件。

• 日志记录，包括手动和以编程方式访问Atlas 审核日志。

• 数据加密，包括传输中加密(TLS)、静态加密（AES-256 、BYOK、 集合扫描、 KMS或 TDE）和使用中加密（CSFLE、随机和可查询加密）。

支柱 2：ICT 相关事件管理

DORA 要求受监管公司制定检测、报告和调查 ICT 相关事件的流程。这些流程包括建立畅通的报告渠道、根据严重性对事件进行分类的程序以及及时通知有关部门。

MongoDB Atlas支持该支柱的以下方面：

• 身份验证。

• 数据本地化。

• 传输中或批量加密。

• 网络隔离性。

• 精细审核。

• 数据备份。

• 平台安全。

• 高可用性。

• 自动伸缩。

• 分布式架构。

您选择的云提供商支持该支柱的以下方面：

• 物理安全。

支柱 3：数字化运营弹性测试

DORA 要求受监管公司定期测试其 ICT 系统和韧性措施。

以下MongoDB Atlas功能支持该领域的合规：

• 区域停电模拟。

• 主节点故障转移测试。

支柱 4：ICT 第三方风险管理

受 DORA 监管的公司需要对第三方进行尽职调查，签订概述安全预期的合同协议，并监控其表现。

以下MongoDB Atlas功能支持该领域的合规：

• 跨集群环境同步数据：

  • 将自管理集群连接到Atlas。

  • 连接两个Atlas集群。

  • 连接两个自管理集群。

• 多云部署范例。

• Mongosync（集群到集群同步）。

• MongoDB Cloud 状态页面。

支柱 5：信息共享

DORA 鼓励受监管公司之间针对网络威胁的协作和信息共享。这可能包括参加行业论坛、共享威胁情报和开展联合演习。

以下MongoDB Atlas功能支持该领域的合规：

• 审核日志记录。

• 第三方集成。

• 监控和警报。

• 加密和密钥管理。

• 专用网络。

• 备份恢复。