支付卡行业数据安全标准 (PCI DSS) 是由 PCI 标准安全委员会 制定的信息安全标准,适用于存储、进程或传输持卡人数据的所有实体。 PCI DSS 提供了旨在保护支付账户数据的技术和操作要求基线。
根据 PCI DSS:
持卡人数据 (CHD) 是实体在其系统中存储、处理或传输的支付卡信息。
持卡人数据环境(CDE)是指存储、进程或传输持卡人数据的系统和网络,以及直接连接或支持CDE 的系统。
MongoDB是一个服务提供商,是指代表另一个实体存储、处理或传输持卡人数据 (CHD) 或可能影响持卡人数据环境 (CDE) 安全的实体。
我们知道,PCI DSS合规是MongoDB 、您和您的最终客户的共同责任。以下部分介绍了可以支持合规PCI DSS 的MongoDB Atlas和Atlas For Government 功能。
重要
可用数据库环境
在设计处理持卡人数据的系统时,您可以根据合规要求在两个MongoDB 数据库环境之间进行选择:
MongoDB Atlas是我们完全托管的商业数据库解决方案。如果您需要完全托管、全球可用且经过 PCI DSS 验证的数据库解决方案,请选择MongoDB Atlas 。
Atlas For Government 是MongoDB Atlas的独立专用环境,专为满足美国政府要求而构建。它经过了 PCI DSS 验证和 FedRAMP Moderate 授权。如果您需要一个专用的隔离环境,满足多个以美国为中心的合规标准(包括 PCI DSS),请选择Atlas For Government。
注意
此页面上的建议重点关注标准Atlas解决方案。要详细学习;了解与相同主题相关的Atlas For Government 特性和功能,请参阅Atlas For Government 文档。
保护持卡人数据
数据加密
PCI DSS 要求实体在通过开放的公共网络传输期间使用强大的加密技术保护 CHD(要求4 )。
以下MongoDB Atlas架构中心文章介绍了支持该领域合规的Atlas功能:
您还可以使用Atlas资源策略来实施最低 TLS 版本,或要求为集群连接进行特定的 TLS 密码套件配置。
数据库访问控制
PCI DSS 要求实体根据“业务须知”限制对系统组件和持卡人数据的访问权限(要求 7)。
以下MongoDB Atlas架构中心文章介绍了支持该领域合规的Atlas功能:
网络安全控制
PCI DSS 要求实体安装和维护网络安全控制措施,以控制实体自有网络内的流量,并保护资源免遭不可信网络的影响(要求 1)。
以下MongoDB Atlas架构中心文章介绍了支持该领域合规的Atlas功能:
Atlas网络安全指南:通过传输加密、 IP访问权限列表、防火墙配置、私有端点和网络隔离性,保护对Atlas集群的网络访问权限,并在传输过程中保护 ePHI。
禁止使用通配符IP (
0.0.0.0/0),以实施更严格的网络控制。通过要求IP访问列表保持为空或阻止向现有IP访问列表添加内容,禁止通过公共网络的流量。
防止修改云提供商的VPC对等互连和私有端点连接。
审核、监控和记录系统活动
PCI DSS 要求实体日志和监控对系统组件和 CHD 的所有访问权限(要求10 )。
以下MongoDB Atlas架构中心文章介绍了支持该领域合规的Atlas功能:
Atlas 审核和日志记录指导:监控、记录和查看数据库事件,例如用户身份验证尝试和权限调整。