- Stránka vyhledávání
- Obsah
Bezpečnostní praktiky
Úvodní slovo
Ve společnosti Forward Email je bezpečnost naší nejvyšší prioritou. Zavedli jsme komplexní bezpečnostní opatření na ochranu vaší e-mailové komunikace a osobních údajů. Tento dokument popisuje naše bezpečnostní postupy a kroky, které podnikáme, abychom zajistili důvěrnost, integritu a dostupnost vašeho e-mailu.
Zabezpečení infrastruktury
Zabezpečená datová centra
Naše infrastruktura je hostována v datových centrech vyhovujících SOC 2 s:
- 24/7 fyzická ostraha a ostraha
- Biometrická kontrola přístupu
- Redundantní napájecí systémy
- Pokročilá detekce a potlačení požáru
- Monitorování životního prostředí
Zabezpečení sítě
Implementujeme několik vrstev zabezpečení sítě:
- Firewally podnikové třídy s přísnými seznamy řízení přístupu
- Ochrana a zmírnění DDoS
- Pravidelné skenování zranitelnosti sítě
- Systémy detekce a prevence narušení
- Šifrování provozu mezi všemi koncovými body služby
- Ochrana proti skenování portů s automatickým blokováním podezřelé aktivity
[!DŮLEŽITÉ] Všechna data při přenosu jsou šifrována pomocí TLS 1.2+ s moderními šifrovacími sadami.
Zabezpečení e-mailu
Šifrování
- Transport Layer Security (TLS): Veškerý e-mailový provoz je při přenosu šifrován pomocí TLS 1.2 nebo vyšší
- End-to-End šifrování: Podpora standardů OpenPGP/MIME a S/MIME
- Šifrování úložiště: Všechny uložené e-maily jsou v klidu šifrovány pomocí šifrování ChaCha20-Poly1305 v souborech SQLite
- Úplné šifrování disku: LUKS v2 šifrování pro celý disk
- Komplexní ochrana: Implementujeme šifrování v klidu, šifrování v paměti a šifrování při přenosu
[!POZNÁMKA] Jsme první a jediná e-mailová služba na světě, která používá kvantově odolné a individuálně šifrované poštovní schránky SQLite.
Autentizace a autorizace
- Podepisování DKIM: Všechny odchozí e-maily jsou podepsány pomocí DKIM
- SPF a DMARC: Plná podpora SPF a DMARC, aby se zabránilo e-mailovému spoofingu
- MTA-STS: Podpora MTA-STS k vynucení šifrování TLS
- Multi-Factor Authentication: Dostupné pro všechny přístupy k účtu
Opatření proti zneužívání
- Filtrování spamu: Vícevrstvá detekce spamu se strojovým učením
- Skenování virů: Skenování všech příloh v reálném čase
- Omezení sazby: Ochrana proti útokům hrubou silou a výčtem
- IP pověst: Sledování reputace odesílající IP adresy
- Filtrování obsahu: Detekce škodlivých adres URL a pokusů o phishing
Ochrana dat
Minimalizace dat
Řídíme se zásadou minimalizace dat:
- Shromažďujeme pouze údaje nezbytné k poskytování našich služeb
- Obsah e-mailu je zpracováván v paměti a není trvale uložen, pokud to není vyžadováno pro doručení IMAP/POP3
- Protokoly jsou anonymizovány a uchovávány pouze po nezbytně nutnou dobu
Zálohování a obnova
- Automatické denní zálohování se šifrováním
- Geograficky distribuované úložiště záloh
- Pravidelné testování obnovy záloh
- Postupy obnovy po havárii s definovaným RPO a RTO
Poskytovatelé služeb
Pečlivě vybíráme naše poskytovatele služeb, abychom zajistili, že splňují naše vysoké bezpečnostní standardy. Níže jsou uvedeni poskytovatelé, které používáme pro mezinárodní přenos dat, a jejich stav souladu s GDPR:
Poskytovatel | Účel | Certifikace DPF | Stránka souladu s GDPR |
---|---|---|---|
Zataženo | CDN, ochrana DDoS, DNS | ✅ Ano | Cloudflare GDPR |
DataPacket | Serverová infrastruktura | ❌ Ne | Ochrana osobních údajů DataPacket |
Digitální oceán | Cloudová infrastruktura | ❌ Ne | DigitalOcean GDPR |
Vultr | Cloudová infrastruktura | ❌ Ne | Vultr GDPR |
Proužek | Zpracování plateb | ✅ Ano | Stripe Privacy Center |
PayPal | Zpracování plateb | ❌ Ne | Ochrana osobních údajů PayPal |
Tyto poskytovatele využíváme k zajištění spolehlivého a bezpečného poskytování služeb při zachování souladu s mezinárodními předpisy na ochranu údajů. Všechny přenosy dat jsou prováděny s příslušnými bezpečnostními opatřeními na ochranu vašich osobních údajů.
Compliance a audit
Pravidelná bezpečnostní hodnocení
Náš tým pravidelně monitoruje, kontroluje a hodnotí kódovou základnu, servery, infrastrukturu a postupy. Zavádíme komplexní bezpečnostní program, který zahrnuje:
- Pravidelné střídání SSH klíčů
- Průběžné sledování přístupových logů
- Automatické bezpečnostní skenování
- Proaktivní správa zranitelnosti
- Pravidelné bezpečnostní školení pro všechny členy týmu
Dodržování
- GDPR vyhovující postupy nakládání s daty
- Smlouva o zpracování dat (DPA) k dispozici pro firemní zákazníky
- Kontroly ochrany soukromí v souladu se zákonem CCPA
- Auditované procesy SOC 2 typu II
Odezva na incident
Náš plán reakce na bezpečnostní incidenty zahrnuje:
- Detekce: Automatizované monitorovací a výstražné systémy
- Zadržování: Okamžitá izolace postižených systémů
- Vymýcení: Odstranění hrozby a analýza hlavních příčin
- Zotavení: Bezpečné obnovení služeb
- Oznámení: Včasná komunikace s dotčenými uživateli
- Analýza po incidentu: Komplexní kontrola a vylepšení
[!VAROVÁNÍ] Pokud zjistíte chybu zabezpečení, okamžitě ji nahlaste security@forwardemail.net.
Životní cyklus vývoje zabezpečení
flowchart LR
A[Requirements] --> B[Design]
B --> C[Implementation]
C --> D[Verification]
D --> E[Release]
E --> F[Maintenance]
F --> A
B -.-> G[Threat Modeling]
C -.-> H[Static Analysis]
D -.-> I[Security Testing]
E -.-> J[Final Security Review]
F -.-> K[Vulnerability Management]
Veškerý kód prochází:
- Shromažďování bezpečnostních požadavků
- Modelování hrozeb při návrhu
- Bezpečné kódovací postupy
- Statické a dynamické testování bezpečnosti aplikací
- Kontrola kódu se zaměřením na bezpečnost
- Skenování zranitelnosti závislostí
Hardening serveru
Náš Možnost konfigurace implementuje řadu opatření pro posílení serveru:
- USB přístup zakázán: Fyzické porty jsou zakázány umístěním modulu jádra usb-storage na černou listinu
- Pravidla brány firewall: Přísná pravidla iptables povolující pouze nezbytná připojení
- SSH kalení: Pouze ověřování na základě klíče, žádné přihlášení pomocí hesla, přihlášení root zakázáno
- Servisní izolace: Každá služba běží s minimálními požadovanými oprávněními
- Automatické aktualizace: Bezpečnostní záplaty se aplikují automaticky
- Zabezpečené spouštění: Ověřený proces spouštění, aby se zabránilo neoprávněné manipulaci
- Kernel Hardening: Zabezpečené parametry jádra a konfigurace sysctl
- Omezení souborového systému: možnosti připojení noexec, nosuid a nodev tam, kde je to vhodné
- Core Dumps zakázáno: Systém je nakonfigurován tak, aby z bezpečnostních důvodů zabránil výpisům jádra
- Výměna zakázána: Swap paměti zakázán, aby se zabránilo úniku dat
- Ochrana proti skenování portů: Automatická detekce a blokování pokusů o skenování portů
- Transparentní obrovské stránky zakázány: THP zakázáno pro lepší výkon a zabezpečení
- Zpevnění systémové služby: Nepodstatné služby, jako je Appport zakázán
- Správa uživatelů: Princip nejmenších oprávnění s odděleným nasazením a devops uživatelů
- Limity deskriptoru souboru: Zvýšené limity pro lepší výkon a zabezpečení
Smlouva o úrovni služeb
Udržujeme vysokou úroveň dostupnosti a spolehlivosti služeb. Naše infrastruktura je navržena s ohledem na redundanci a odolnost proti chybám, aby bylo zajištěno, že vaše e-mailová služba zůstane funkční. I když nezveřejňujeme formální dokument SLA, zavazujeme se:
- 99,9%+ dostupnost všech služeb
- Rychlá reakce na přerušení služby
- Transparentní komunikace během incidentů
- Pravidelná údržba v obdobích nízkého provozu
Zabezpečení otevřeného zdroje
Jako an open-source služba, naše bezpečnost těží z:
- Transparentní kód, který může kontrolovat kdokoli
- Zlepšení zabezpečení řízená komunitou
- Rychlá identifikace a oprava zranitelností
- Žádné zabezpečení skrze temnotu
Zabezpečení zaměstnanců
- Prověrky pro všechny zaměstnance
- Školení o povědomí o bezpečnosti
- Princip nejmenšího oprávnění přístupu
- Pravidelné bezpečnostní vzdělávání
Neustálé zlepšování
Neustále zlepšujeme naši bezpečnost prostřednictvím:
- Sledování bezpečnostních trendů a nově vznikajících hrozeb
- Pravidelná kontrola a aktualizace zásad zabezpečení
- Zpětná vazba od bezpečnostních výzkumníků a uživatelů
- Účast v bezpečnostní komunitě
Pro více informací o našich bezpečnostních postupech nebo pro nahlášení bezpečnostních problémů nás prosím kontaktujte security@forwardemail.net.