Безопасное облако

Первые компании, которые начали продвигать новую модель предоставления услуг и решений — SaaS появились еще в далекие 60-е (с момента появления интернета). Эта модель сломала все стереотипы использования программного обеспечения. Теперь вам достаточно лишь запустить свой интернет-браузер и зайти на определенный портал или сайт. Никаких дорогостоящих лицензий, никаких дополнительных инвестиций в инфраструктуру, ее поддержку и развертывание. Практически моментально вы получаете доступ к функционалу, который вам необходим. Новая модель предоставила пользователям много новых преимуществ, но и вызвала ряд вопросов.

Основным из которых, встал вопрос о безопасности хранения своих данных в облаке.

С такими вопросами не раз сталкивалась и компания Мегаплан. Поэтому сегодня мы более подробно остановимся на этом пункте, дабы развеять окончательные сомнения самых больших скептиков, касаемо вопроса безопасности хранения данных в Мегаплане.

Стандартные фразы описания информационной безопасности типа:

«Для защиты используется HTTPS»

«Наши дата — центры круглосуточно охраняются»

«Мы делаем резервное копирование»

Уже давно не могут убедить клиента в безопасном хранения данных в облаке.

Мы уделяем особое внимание информационной безопасности, конфиденциальности и надежности хранения данных. Многоуровневый подход к безопасности и постоянное совершенствование программного продукта позволяют Мегаплану соответствовать самым жестким требованиям к защите данных:

Обеспечение конфиденциальности

При регистрации в Мегаплане на указанную вами почту вы получаете логин и пароль для входа в ваш Мегаплан и в личный кабинет. Сразу же данный пароль рекомендуем вам сменить на тот, который будете знать только вы.

Важно — у каждого сотрудника свой пароль и логин для входа в систему. Поэтому на вашей ответственности лежит задача обеспечить безопасное хранение логинов и паролей каждого вашего сотрудника во избежании взлома системы.

Для каждого аккаунта генерируется уникальный ключ шифратора, таким образом, даже сотрудники компании «Мегаплан» не могут просматривать ваши личные данные. Поэтому для обеспечения безопасности ваших данных, мы убедительно просим вас обеспечить кадровую безопасность в вашей компании.

В Мегаплане есть возможность наделять различных сотрудников различными правами. По умолчанию, при регистрации в Мегаплане сотрудников ниже должности директора их права во многом ограничены, но вы, как руководитель, должны проверить и настроить доступы к важной коммерческой информации только проверенным людям.

Шифрование

Шифрование производится на сервере — MD5 256bit. Например, для взлома пароля с таким типом шифровки, необходимо около 7 лет, методом безпрерывного подбора. Также можно дополнительно зашифровать трафик — для этого в настройках Мегаплана необходимо поставить галочку в пункте «Разрешить только HTTPS-запросы».

Мегаплан не передает пароль при входе в систему в открытом виде.

При необходимости в настройках Мегаплана можно включить режим HTTPS-only, тогда весь трафик будет всегда передаваться в шифрованном виде (приводит к некоторому замедлению работы).

Каждый аккаунт имеет отдельную базу данных, что делает практически невозможным получение несанкционированного доступа к данным другого аккаунта даже в случае обнаружения уязвимости класса SQL-injection.

Дата-центры

Мегаплан использует дата – центры крупнейших хостинг провайдеров в России, Германии и США, которые по международной классификации соответствуют уровню надежности Tier 3 стандарта TIA-942. А именно:

— «Караван» (Москва);

— «Хостинг центр» (Москва);

— «Хецнер» (Германия);

— «Амазон» (Ирландия, США);

— «Селектел» (Москва, Санкт-Петербург).

Сервера Мегаплана находятся в дата-центрах под круглосуточным видеонаблюдением, с пропускным режимом, системой пожаротушения и резервным энергоснабжением. Работает система мониторинга, которая круглосуточно и без выходных оповещает системных администраторов о возникающих проблемах по SMS. Вероятность того, что недоброжелатель сможет физически вынести сервер из дата-центра практически невозможна. Данные хранятся на зеркальном дисковом массиве (RAID 1). Базы данных и файлы (аттачи) синхронизируются с физически удаленными дата-центрами. В случае катастрофы в основном дата-центре максимальные потери составляют 5 минут для данных и несколько часов для аттачей.  В личном кабинете можно создать архив с базой данных и файлами и скачать его.

Резервное копирование

Помимо автоматического резервного копирования информации в дата-центрах Мегаплана, вы также можете создавать резервные копии с информацией вашей компании самостоятельно. Для этого вам необходимо быть директором или иметь права директора компании в Мегаплане, после чего вы сможете создавать резервные копии всех данных непосредственно из настроек Мегаплана.

Это осуществляется на странице «Резервное копирование». Чтобы создать резервную копию, нажмите на кнопку «Заказать создание резервной копии». При этом появится запись «Создание резервной копии запланировано». После того, как копия будет создана, информация о ней появится на этой же странице, и вы сможете использовать её для восстановления данных.

Рекомендации для клиентов по информационной безопасности

Высокий уровень защиты информации нашего сервиса – это только часть программы информационной безопасности, которую должен внедрять наш клиент в своей компании. Не забывайте, что все зависит от людей, которые вас окружают. Не давайте им никакой возможности получить ваши данные:

Храните пароли и логины к Мегаплану в безопасных местах!

Проводите беседы с коллективом, чтобы никто и никому не давал возможность заходить в Мегаплан под своим паролем (даже самым проверенным и лучшим сотрудникам)!

Изначально наделяйте всех сотрудников отдельными правами в Мегаплане!

Делайте резервные копии и храните их в самых потаенных местах!

И не забывайте с периодичностью проверять своих сотрудников на преданность и честность!

Очень часто утечка данных происходит там, где вы ее совсем не ждете. И при наличии сотрудника-шпиона в вашей компании вам вряд ли поможет любая система защиты данных.

Порядок взаимодействия с органами власти

Во-первых, компания «Мегаплан» не является собственником той информации, которую вы передаете на хранение в наши дата-центры, соответственно и выдать ее на запрос уполномоченных органов не может, так как не является ее непосредственным владельцем.

Во-вторых, согласно ст.7 ЗУ «Про информацию» от 2 октября 1992 г. (с дополнениями и изменениями) – запрещается изъятие и уничтожение печатных изданий, экспонатов, информационных банков, документов с архивных, библиотечных, музейных фондов кроме установленных законом случаев или на основании решения суда.

То есть для законного изъятия вашей информации в дата-центре необходимо:

  1. Возбуждение в отношении вас или вашего юридического лица уголовного дела;
  2. Наличие договора между вашей компанией и компанией Мегаплан, на основании которого будет установлено, что все свои данные вы храните именно на сервере Мегаплана;
  3. Признание информации, которая хранится на сервере Мегаплана вещественным доказательством по делу;
  4. Получение санкционированного судебного решения на выемку вашей информации в дата-центре либо исключительно ваше на то согласие.

Только после всех этих шагов есть возможность у силовых структур получить вашу информацию. Это в случае, если она хранится в Украине.

Но наши дата центры в России, Германии и США – представляете, насколько усложняется процесс.

И даже, если все идет именно по вышеперечисленному сценарию, у вас есть запасной вариант – пока силовые структуры получают необходимые разрешения, вы за 5 минут делаете резервную копию вашей информации на аккаунте Мегаплана и немедленно обращаетесь с запросом в техподдержку Мегаплана об уничтожении данных в вашем аккаунте. Таким образом, пока будут получены все необходимые разрешения – ваша информация опять вне угрозы.

Ну и самое страшное – это вариант, если силовые структуры все же изъяли сервер, на котором находится ваша информация, а вы не смогли этому восприпятствовать, то, как указывалось ранее, система шифрования позволит извлечь ваши данные только спустя 7 лет непрерывной работы по расшифровке ваших данных методом непрерывного подбора.

Для убежденных скептиков

Если вы до сих пор переживаете за безопасность хранения вашей информации – для вас мы предусмотрели работу в коробочной версии Мегаплана. То есть вы устанавливаете Мегаплан на собственном или арендованном сервере и обслуживаете его силами собственных технических специалистов. У вас есть преимущества в усиленной защите данных, ограничив доступ по IP. А это значит никакой зависимости от стабильности интернета, от посторонних сотрудников в дата-центрах и постоянной боязни потери ваших данных в облаке.

Но не забывайте о мероприятиях для проверки своих собственных сотрудников на порядочность и неподкупность и о том, что при необходимости, к вам в серверную в любой момент могут нагрянуть представители правоохранительных органов с санкционированным или может даже и несанкционированным изъятием серверов.

Либо есть второй вариант безопасного хранения данных с коробочной версией – вы можете организовать свое независимое облако. То есть, вы можете расположить свой сервер, с установленной на него коробкой Мегаплана где угодно – там, где до него не доберется ни одна структура. И только вы будете знать, где находится ваш сервер.

А теперь подумайте, какой вариант хранения данных все же безопаснее и более приемлем непосредственно вам?

Автор: Наталья Омельченко Директор по маркетингу компании «Мегаплан. Украина»