Bezpečnostní praktiky

Ve společnosti Forward Email je bezpečnost naší nejvyšší prioritou. Zavedli jsme komplexní bezpečnostní opatření na ochranu vaší e-mailové komunikace a osobních údajů. Tento dokument popisuje naše bezpečnostní postupy a kroky, které podnikáme, abychom zajistili důvěrnost, integritu a dostupnost vašeho e-mailu.

Zabezpečená datová centra

Naše infrastruktura je hostována v datových centrech vyhovujících SOC 2 s:

  • 24/7 fyzická ostraha a ostraha
  • Biometrická kontrola přístupu
  • Redundantní napájecí systémy
  • Pokročilá detekce a potlačení požáru
  • Monitorování životního prostředí

Zabezpečení sítě

Implementujeme několik vrstev zabezpečení sítě:

  • Firewally podnikové třídy s přísnými seznamy řízení přístupu
  • Ochrana a zmírnění DDoS
  • Pravidelné skenování zranitelnosti sítě
  • Systémy detekce a prevence narušení
  • Šifrování provozu mezi všemi koncovými body služby
  • Ochrana proti skenování portů s automatickým blokováním podezřelé aktivity

[!DŮLEŽITÉ] Všechna data při přenosu jsou šifrována pomocí TLS 1.2+ s moderními šifrovacími sadami.

Šifrování

  • Transport Layer Security (TLS): Veškerý e-mailový provoz je při přenosu šifrován pomocí TLS 1.2 nebo vyšší
  • End-to-End šifrování: Podpora standardů OpenPGP/MIME a S/MIME
  • Šifrování úložiště: Všechny uložené e-maily jsou v klidu šifrovány pomocí šifrování ChaCha20-Poly1305 v souborech SQLite
  • Úplné šifrování disku: LUKS v2 šifrování pro celý disk
  • Komplexní ochrana: Implementujeme šifrování v klidu, šifrování v paměti a šifrování při přenosu

[!POZNÁMKA] Jsme první a jediná e-mailová služba na světě, která používá kvantově odolné a individuálně šifrované poštovní schránky SQLite.

Autentizace a autorizace

  • Podepisování DKIM: Všechny odchozí e-maily jsou podepsány pomocí DKIM
  • SPF a DMARC: Plná podpora SPF a DMARC, aby se zabránilo e-mailovému spoofingu
  • MTA-STS: Podpora MTA-STS k vynucení šifrování TLS
  • Multi-Factor Authentication: Dostupné pro všechny přístupy k účtu

Opatření proti zneužívání

  • Filtrování spamu: Vícevrstvá detekce spamu se strojovým učením
  • Skenování virů: Skenování všech příloh v reálném čase
  • Omezení sazby: Ochrana proti útokům hrubou silou a výčtem
  • IP pověst: Sledování reputace odesílající IP adresy
  • Filtrování obsahu: Detekce škodlivých adres URL a pokusů o phishing

Minimalizace dat

Řídíme se zásadou minimalizace dat:

  • Shromažďujeme pouze údaje nezbytné k poskytování našich služeb
  • Obsah e-mailu je zpracováván v paměti a není trvale uložen, pokud to není vyžadováno pro doručení IMAP/POP3
  • Protokoly jsou anonymizovány a uchovávány pouze po nezbytně nutnou dobu

Zálohování a obnova

  • Automatické denní zálohování se šifrováním
  • Geograficky distribuované úložiště záloh
  • Pravidelné testování obnovy záloh
  • Postupy obnovy po havárii s definovaným RPO a RTO

Pečlivě vybíráme naše poskytovatele služeb, abychom zajistili, že splňují naše vysoké bezpečnostní standardy. Níže jsou uvedeni poskytovatelé, které používáme pro mezinárodní přenos dat, a jejich stav souladu s GDPR:

PoskytovatelÚčelCertifikace DPFStránka souladu s GDPR
ZataženoCDN, ochrana DDoS, DNS✅ AnoCloudflare GDPR
DataPacketServerová infrastruktura❌ NeOchrana osobních údajů DataPacket
Digitální oceánCloudová infrastruktura❌ NeDigitalOcean GDPR
VultrCloudová infrastruktura❌ NeVultr GDPR
ProužekZpracování plateb✅ AnoStripe Privacy Center
PayPalZpracování plateb❌ NeOchrana osobních údajů PayPal

Tyto poskytovatele využíváme k zajištění spolehlivého a bezpečného poskytování služeb při zachování souladu s mezinárodními předpisy na ochranu údajů. Všechny přenosy dat jsou prováděny s příslušnými bezpečnostními opatřeními na ochranu vašich osobních údajů.

Pravidelná bezpečnostní hodnocení

Náš tým pravidelně monitoruje, kontroluje a hodnotí kódovou základnu, servery, infrastrukturu a postupy. Zavádíme komplexní bezpečnostní program, který zahrnuje:

  • Pravidelné střídání SSH klíčů
  • Průběžné sledování přístupových logů
  • Automatické bezpečnostní skenování
  • Proaktivní správa zranitelnosti
  • Pravidelné bezpečnostní školení pro všechny členy týmu

Dodržování

  • GDPR vyhovující postupy nakládání s daty
  • Smlouva o zpracování dat (DPA) k dispozici pro firemní zákazníky
  • Kontroly ochrany soukromí v souladu se zákonem CCPA
  • Auditované procesy SOC 2 typu II

Náš plán reakce na bezpečnostní incidenty zahrnuje:

  1. Detekce: Automatizované monitorovací a výstražné systémy
  2. Zadržování: Okamžitá izolace postižených systémů
  3. Vymýcení: Odstranění hrozby a analýza hlavních příčin
  4. Zotavení: Bezpečné obnovení služeb
  5. Oznámení: Včasná komunikace s dotčenými uživateli
  6. Analýza po incidentu: Komplexní kontrola a vylepšení

[!VAROVÁNÍ] Pokud zjistíte chybu zabezpečení, okamžitě ji nahlaste security@forwardemail.net.

flowchart LR
    A[Requirements] --> B[Design]
    B --> C[Implementation]
    C --> D[Verification]
    D --> E[Release]
    E --> F[Maintenance]
    F --> A
    B -.-> G[Threat Modeling]
    C -.-> H[Static Analysis]
    D -.-> I[Security Testing]
    E -.-> J[Final Security Review]
    F -.-> K[Vulnerability Management]

Veškerý kód prochází:

  • Shromažďování bezpečnostních požadavků
  • Modelování hrozeb při návrhu
  • Bezpečné kódovací postupy
  • Statické a dynamické testování bezpečnosti aplikací
  • Kontrola kódu se zaměřením na bezpečnost
  • Skenování zranitelnosti závislostí

Náš Možnost konfigurace implementuje řadu opatření pro posílení serveru:

  • USB přístup zakázán: Fyzické porty jsou zakázány umístěním modulu jádra usb-storage na černou listinu
  • Pravidla brány firewall: Přísná pravidla iptables povolující pouze nezbytná připojení
  • SSH kalení: Pouze ověřování na základě klíče, žádné přihlášení pomocí hesla, přihlášení root zakázáno
  • Servisní izolace: Každá služba běží s minimálními požadovanými oprávněními
  • Automatické aktualizace: Bezpečnostní záplaty se aplikují automaticky
  • Zabezpečené spouštění: Ověřený proces spouštění, aby se zabránilo neoprávněné manipulaci
  • Kernel Hardening: Zabezpečené parametry jádra a konfigurace sysctl
  • Omezení souborového systému: možnosti připojení noexec, nosuid a nodev tam, kde je to vhodné
  • Core Dumps zakázáno: Systém je nakonfigurován tak, aby z bezpečnostních důvodů zabránil výpisům jádra
  • Výměna zakázána: Swap paměti zakázán, aby se zabránilo úniku dat
  • Ochrana proti skenování portů: Automatická detekce a blokování pokusů o skenování portů
  • Transparentní obrovské stránky zakázány: THP zakázáno pro lepší výkon a zabezpečení
  • Zpevnění systémové služby: Nepodstatné služby, jako je Appport zakázán
  • Správa uživatelů: Princip nejmenších oprávnění s odděleným nasazením a devops uživatelů
  • Limity deskriptoru souboru: Zvýšené limity pro lepší výkon a zabezpečení

Udržujeme vysokou úroveň dostupnosti a spolehlivosti služeb. Naše infrastruktura je navržena s ohledem na redundanci a odolnost proti chybám, aby bylo zajištěno, že vaše e-mailová služba zůstane funkční. I když nezveřejňujeme formální dokument SLA, zavazujeme se:

  • 99,9%+ dostupnost všech služeb
  • Rychlá reakce na přerušení služby
  • Transparentní komunikace během incidentů
  • Pravidelná údržba v obdobích nízkého provozu

Jako an open-source služba, naše bezpečnost těží z:

  • Transparentní kód, který může kontrolovat kdokoli
  • Zlepšení zabezpečení řízená komunitou
  • Rychlá identifikace a oprava zranitelností
  • Žádné zabezpečení skrze temnotu

  • Prověrky pro všechny zaměstnance
  • Školení o povědomí o bezpečnosti
  • Princip nejmenšího oprávnění přístupu
  • Pravidelné bezpečnostní vzdělávání

Neustále zlepšujeme naši bezpečnost prostřednictvím:

  • Sledování bezpečnostních trendů a nově vznikajících hrozeb
  • Pravidelná kontrola a aktualizace zásad zabezpečení
  • Zpětná vazba od bezpečnostních výzkumníků a uživatelů
  • Účast v bezpečnostní komunitě

Pro více informací o našich bezpečnostních postupech nebo pro nahlášení bezpečnostních problémů nás prosím kontaktujte security@forwardemail.net.