Оборудование Anaplan размещено в центрах обработки данных в штате Вирджиния (США) и в Амстердаме (ЕС). Их локация выбрана не случайно – учитывалась низкая вероятность землетрясений, наводнений и других стихийных бедствий. Каждый объект прошёл строгую проверку на наличие, внедрение и соблюдение мер безопасности, и строго охраняется сотрудниками службы безопасности в круглосуточном режиме. Все доступы и действия на объекте заносятся в журнал, записываются на видео и хранятся от 30 дней, а для входа на каждый объект требуется предварительная авторизация, паспортный контроль и подтверждение биометрических данных.

Все центры обработки данных строго придерживаются следующих стандартов обеспечения безопасности и конфиденциальности:

• ISO 27002:2013 – стандарт информационный безопасности;
• Отчёты SOC – среда управления безопасностью в центрах обработки данных Anaplan проходит проверку по форме отчета SSAE 16 (SOC-1), в ЕС –по сертификату ISO 27001;
• Самостоятельная сертификация на соответствие принципам соглашений Safe Harbor между ЕС и США, Швейцарией и США, инициированные Министерством торговли США;
• Знак конфиденциальности TRUSTe Privacy Seal, подтверждающий, что положение о конфиденциальности на сайте Anaplan соответствует требованиям программы TRUSTe;
• Знак TRUSTe Safe Harbor о соответствии стандартам EU Safe Harbor Framework, установленным Министерством торговли США и Европейским союзом.

В случае возникновения сбоя архитектура резервирования Anaplan обеспечивает непрерывность работы клиентской службы за счет задействования вспомогательных систем. Эти же самые гарантии безопасности касаются сохранности данных, предоставленных клиентами.

Защита каждого объекта организована с помощью системы безопасности с многоуровневой архитектурой, состоящей из брандмауэров, систем обнаружения вторжений (IDS), антивирусных и антишпионских программ.

Кроме того, инфраструктура внутренней сети разделена на надежные сегменты с помощью брандмауэров, виртуальных сетей (VLAN) и списков контроля доступа (ACL), ограничивающих доступ и коммуникацию между системами. Это означает, что без соответствующей авторизации ни одна система или лицо не смогут получить доступ к другой системе.

Все серверы работают под управлением ОС Linux и защищены по стандартам Center for Internet Security (CIS). Все узлы периодически сканируются на наличие уязвимостей и угроз безопасности с помощью лучшей в отрасли программы Nessus. А управление и контроль серверов происходит с помощью системы автоматизации для обеспечения единообразия конфигурации во всей среде.

В Anaplan используется программный стек с поддержкой ACID, который гарантирует постоянную безопасность данных. Что это означает? Если происходит сбой какой-либо части транзакции, то происходит отмена всей транзакции и модель остается без изменений благодаря атомарности операций. Такое единообразие позволяет сохранять работоспособность модели при внедрении любых изменений. Большое количество транзакций может выполняться одновременно и независимо друг от друга с помощью изоляции. А устойчивость к внешним факторам позволяет сохранить состояние транзакции после выполнения даже в случае сбоя или ошибки.

• Все изменения и результаты вычислений заносятся в журнал в режиме реального времени.
• Полная модель данных хранится в зашифрованной сети хранения данных (SAN).
• Журналы запросов пользователей записываются на жесткий диск, поэтому все изменения в памяти фиксируются.
• Хранение и доступ к данным осуществляется через единый защищенный интерфейс.
• Попадание нешифрованных данных в интернет исключено.
• Сотрудникам категорически запрещено пользоваться в центрах обработки данных Wi-Fi и съемными носителями.

Anaplan поддерживает для своих клиентов широкий спектр настраиваемых способов управления безопасностью для своих клиентов. К ним относятся:

• ID пользователей для обеспечения выполнения конкретных действий только ответственным лицом.
• Блокировка доступа после нескольких неудачных попыток входа в систему.
• Смена пароля после первого входа и определенного периода использования. Правила надёжности пароля.
• Завершение сеанса работы, если пользователь неактивен в течение определенного времени.
• Предоставление доступа новым пользователям через администратора, назначенного клиентом.
• Поддержка SAML 2.0 SSO - сервера единого входа), используемой по усмотрению клиента для контроля пользователей. Двухфакторная аутентификация пользователей.

Все сотрудники проходят специальную проверку анкетных данных перед приёмом на работу, а после трудоустройства – обязательное обучение по процедурам конфиденциальности и обеспечению безопасности документированной информации. Специалисты в отделах разработки, обеспечения качества, технической эксплуатации и безопасности проходят дополнительное обучение. Кроме того, весь штат компании подписывает «Соглашения по обеспечению конфиденциальности данных клиентов».

Сотрудники Anaplan не имеют права доступа к данным клиентов и не могут просматривать информацию о конечном пользователе без предоставления заказчиком соответствующего разрешения. Доступ специалистам Anaplan к производственной инфраструктуре предоставляется клиентом с помощью двухфакторной аутентификации RSA через безопасное VPN-соединение. Более того, доступ к любому серверу центра обработки данных основан на принципе «минимальной привилегии» и дополнительно защищен технологией инфраструктуры открытых ключей (PKI) SSH. Каждый вход проверяется и заносится в журнал.

В Anaplan каждый из сотрудников, отвечающих за управление, риски, проверку и соответствие стандартам в области безопасности, имеет многолетний опыт работы в отрасли и один или несколько признанных в индустрии сертификатов: CISSP, CISM, CISA, CIPT, CIPM, CIPP/US, Sec+ и Net+.

Все вложения и данные, предоставляемые Anaplan клиентом, тщательно проверяются на наличие вирусов и вредоносного ПО, чтобы не допустить заражения систем заказчиков. Веб-приложение разработчика регулярно сканируется средствами WAS от компании QualysGuard, ведущего в области безопасности поставщика. Для этой же задачи также используются технологии Nessus и Burp Scanner.

Все системы, используемые при работе с платформой Anaplan, заносят информацию о каждом действии в системный журнал и на централизованный сервер syslog. К подобным действиям относятся каждый доступ клиента или сотрудников к информации и все вносимые изменения данных клиентом или сотрудниками.

Журналы безопасности хранятся в безопасном месте для избежания несанкционированного доступа на срок от 365 дней.

Anaplan использует стандартные для отрасли способы шифрования для защиты данных клиентов во время любой передачи информации между заказчиком и сервером – с помощью HTTPS с использованием TLS 1.2. Обмен ключами осуществляется с помощью браузера с использованием 2048-битных сертификатов, обеспечивающих максимальный уровень надёжности и конфиденциальности.

Остальные данные в системе хранятся в уникальном несчитываемом двоичном формате, а диск, на котором они находятся, полностью зашифрован по технологии AES-256.

Согласно принятым в отрасли стандартам, все данные на объекте хранятся на резервных зашифрованных сетевых дисках сети SAN по технологии AES-256. Потоковая передача информации выполняется в режиме реального времени в удаленный центр резервного копирования и аварийного восстановления данных с помощью 2048-битного шифрования SSL. Хранение данных осуществляется в нескольких местах, и каждая модель копируется на вспомогательное устройство, которое активируется в случае выхода из строя основного блока.

Конечные пользователи по желанию могут выполнять архивирование моделей на своих рабочих местах, а все изменения моделей просматриваются и могут быть легко отменены до предыдущей версии.

Планы восстановления после аварийного сбоя тестируются Anaplan ежегодно. Для этого используются объекты, которые географически удалены от основных центров обработки данных. Если производственные возможности в основных центрах обработки данных становятся недоступны, в онлайн-режиме активизируются функции DR.

Anaplan работает над сокращением времени, затрачиваемом на полное восстановление работоспособности (RTO, recovery time objective), и на данный момент этот показатель составляет 12 часов после сообщения о сбое. При этом максимальный период времени, за который могут быть потеряны данные в результате инцидента (RPO, recovery point objective) составляет 30 минут.

Anaplan строго соблюдает задокументированные процедуры управления изменениями для всех уровней служб, работа которых охватывает приложения, операционную систему, сервер и слои сети. Все изменения конфигурации контролируются с помощью системы отслеживания ошибок.

При расторжении договора данные компаний, которые были предоставлены в Anaplan, сохраняются в неактивном состоянии у вендора в течение 30 дней, в переходном состоянии – ещё 30 дней, после чего перезаписываются или удаляются. Anaplan оставляет за собой право уменьшить срок хранения таких данных после расторжения договора – всё это регулируется в индивидуальном порядке контрактными требованиями.

У Anaplan есть выработанная процедура управления событиями. К примеру, у вас, пользователя платформы вендора, произошёл инцидент, касающийся безопасности данных. В этом случае необходимо сообщить по адресу security@anaplan.com, подробно изложив проблему. Аналитик по вопросам безопасности обрабатывает полученную информацию и при необходимости эскалируют событие в службу безопасности, специалисты которой дополнительно уведомляют об инциденте юридическую службу для успешного исхода потенциального нарушения и ликвидируют последствия инцидента.