Bezpečnostní praktiky

Ve společnosti Forward Email je bezpečnost naší nejvyšší prioritou. Zavedli jsme komplexní bezpečnostní opatření na ochranu vaší e-mailové komunikace a osobních údajů. Tento dokument popisuje naše bezpečnostní postupy a kroky, které podnikáme, abychom zajistili důvěrnost, integritu a dostupnost vašeho e-mailu.

Zabezpečená datová centra

Naše infrastruktura je hostována v datových centrech vyhovujících SOC 2 s:

• 24/7 fyzická ostraha a ostraha
• Biometrická kontrola přístupu
• Redundantní napájecí systémy
• Pokročilá detekce a potlačení požáru
• Monitorování životního prostředí

Zabezpečení sítě

Implementujeme několik vrstev zabezpečení sítě:

• Firewally podnikové třídy s přísnými seznamy řízení přístupu
• Ochrana a zmírnění DDoS
• Pravidelné skenování zranitelnosti sítě
• Systémy detekce a prevence narušení
• Šifrování provozu mezi všemi koncovými body služby
• Ochrana proti skenování portů s automatickým blokováním podezřelé aktivity

[!DŮLEŽITÉ] Všechna data při přenosu jsou šifrována pomocí TLS 1.2+ s moderními šifrovacími sadami.

Šifrování

• Transport Layer Security (TLS): Veškerý e-mailový provoz je při přenosu šifrován pomocí TLS 1.2 nebo vyšší
• End-to-End šifrování: Podpora standardů OpenPGP/MIME a S/MIME
• Šifrování úložiště: Všechny uložené e-maily jsou v klidu šifrovány pomocí šifrování ChaCha20-Poly1305 v souborech SQLite
• Úplné šifrování disku: LUKS v2 šifrování pro celý disk
• Komplexní ochrana: Implementujeme šifrování v klidu, šifrování v paměti a šifrování při přenosu

[!POZNÁMKA] Jsme první a jediná e-mailová služba na světě, která používá kvantově odolné a individuálně šifrované poštovní schránky SQLite.

Autentizace a autorizace

• Podepisování DKIM: Všechny odchozí e-maily jsou podepsány pomocí DKIM
• SPF a DMARC: Plná podpora SPF a DMARC, aby se zabránilo e-mailovému spoofingu
• MTA-STS: Podpora MTA-STS k vynucení šifrování TLS
• Multi-Factor Authentication: Dostupné pro všechny přístupy k účtu

Opatření proti zneužívání

• Filtrování spamu: Vícevrstvá detekce spamu se strojovým učením
• Skenování virů: Skenování všech příloh v reálném čase
• Omezení sazby: Ochrana proti útokům hrubou silou a výčtem
• IP pověst: Sledování reputace odesílající IP adresy
• Filtrování obsahu: Detekce škodlivých adres URL a pokusů o phishing

Minimalizace dat

Řídíme se zásadou minimalizace dat:

• Shromažďujeme pouze údaje nezbytné k poskytování našich služeb
• Obsah e-mailu je zpracováván v paměti a není trvale uložen, pokud to není vyžadováno pro doručení IMAP/POP3
• Protokoly jsou anonymizovány a uchovávány pouze po nezbytně nutnou dobu

Zálohování a obnova

• Automatické denní zálohování se šifrováním
• Geograficky distribuované úložiště záloh
• Pravidelné testování obnovy záloh
• Postupy obnovy po havárii s definovaným RPO a RTO

Pečlivě vybíráme naše poskytovatele služeb, abychom zajistili, že splňují naše vysoké bezpečnostní standardy. Níže jsou uvedeni poskytovatelé, které používáme pro mezinárodní přenos dat, a jejich stav souladu s GDPR:

Tyto poskytovatele využíváme k zajištění spolehlivého a bezpečného poskytování služeb při zachování souladu s mezinárodními předpisy na ochranu údajů. Všechny přenosy dat jsou prováděny s příslušnými bezpečnostními opatřeními na ochranu vašich osobních údajů.

Pravidelná bezpečnostní hodnocení

Náš tým pravidelně monitoruje, kontroluje a hodnotí kódovou základnu, servery, infrastrukturu a postupy. Zavádíme komplexní bezpečnostní program, který zahrnuje:

• Pravidelné střídání SSH klíčů
• Průběžné sledování přístupových logů
• Automatické bezpečnostní skenování
• Proaktivní správa zranitelnosti
• Pravidelné bezpečnostní školení pro všechny členy týmu

Dodržování

• GDPR vyhovující postupy nakládání s daty
• Smlouva o zpracování dat (DPA) k dispozici pro firemní zákazníky
• Kontroly ochrany soukromí v souladu se zákonem CCPA
• Auditované procesy SOC 2 typu II

Náš plán reakce na bezpečnostní incidenty zahrnuje:

1. Detekce: Automatizované monitorovací a výstražné systémy
2. Zadržování: Okamžitá izolace postižených systémů
3. Vymýcení: Odstranění hrozby a analýza hlavních příčin
4. Zotavení: Bezpečné obnovení služeb
5. Oznámení: Včasná komunikace s dotčenými uživateli
6. Analýza po incidentu: Komplexní kontrola a vylepšení

[!VAROVÁNÍ] Pokud zjistíte chybu zabezpečení, okamžitě ji nahlaste security@forwardemail.net.

flowchart LR
    A[Requirements] --> B[Design]
    B --> C[Implementation]
    C --> D[Verification]
    D --> E[Release]
    E --> F[Maintenance]
    F --> A
    B -.-> G[Threat Modeling]
    C -.-> H[Static Analysis]
    D -.-> I[Security Testing]
    E -.-> J[Final Security Review]
    F -.-> K[Vulnerability Management]

Veškerý kód prochází:

• Shromažďování bezpečnostních požadavků
• Modelování hrozeb při návrhu
• Bezpečné kódovací postupy
• Statické a dynamické testování bezpečnosti aplikací
• Kontrola kódu se zaměřením na bezpečnost
• Skenování zranitelnosti závislostí

Náš Možnost konfigurace implementuje řadu opatření pro posílení serveru:

• USB přístup zakázán: Fyzické porty jsou zakázány umístěním modulu jádra usb-storage na černou listinu
• Pravidla brány firewall: Přísná pravidla iptables povolující pouze nezbytná připojení
• SSH kalení: Pouze ověřování na základě klíče, žádné přihlášení pomocí hesla, přihlášení root zakázáno
• Servisní izolace: Každá služba běží s minimálními požadovanými oprávněními
• Automatické aktualizace: Bezpečnostní záplaty se aplikují automaticky
• Zabezpečené spouštění: Ověřený proces spouštění, aby se zabránilo neoprávněné manipulaci
• Kernel Hardening: Zabezpečené parametry jádra a konfigurace sysctl
• Omezení souborového systému: možnosti připojení noexec, nosuid a nodev tam, kde je to vhodné
• Core Dumps zakázáno: Systém je nakonfigurován tak, aby z bezpečnostních důvodů zabránil výpisům jádra
• Výměna zakázána: Swap paměti zakázán, aby se zabránilo úniku dat
• Ochrana proti skenování portů: Automatická detekce a blokování pokusů o skenování portů
• Transparentní obrovské stránky zakázány: THP zakázáno pro lepší výkon a zabezpečení
• Zpevnění systémové služby: Nepodstatné služby, jako je Appport zakázán
• Správa uživatelů: Princip nejmenších oprávnění s odděleným nasazením a devops uživatelů
• Limity deskriptoru souboru: Zvýšené limity pro lepší výkon a zabezpečení

Udržujeme vysokou úroveň dostupnosti a spolehlivosti služeb. Naše infrastruktura je navržena s ohledem na redundanci a odolnost proti chybám, aby bylo zajištěno, že vaše e-mailová služba zůstane funkční. I když nezveřejňujeme formální dokument SLA, zavazujeme se:

• 99,9%+ dostupnost všech služeb
• Rychlá reakce na přerušení služby
• Transparentní komunikace během incidentů
• Pravidelná údržba v obdobích nízkého provozu

Jako an open-source služba, naše bezpečnost těží z:

• Transparentní kód, který může kontrolovat kdokoli
• Zlepšení zabezpečení řízená komunitou
• Rychlá identifikace a oprava zranitelností
• Žádné zabezpečení skrze temnotu

• Prověrky pro všechny zaměstnance
• Školení o povědomí o bezpečnosti
• Princip nejmenšího oprávnění přístupu
• Pravidelné bezpečnostní vzdělávání

Neustále zlepšujeme naši bezpečnost prostřednictvím:

• Sledování bezpečnostních trendů a nově vznikajících hrozeb
• Pravidelná kontrola a aktualizace zásad zabezpečení
• Zpětná vazba od bezpečnostních výzkumníků a uživatelů
• Účast v bezpečnostní komunitě

Pro více informací o našich bezpečnostních postupech nebo pro nahlášení bezpečnostních problémů nás prosím kontaktujte security@forwardemail.net.

• Zásady ochrany osobních údajů
• Podmínky služby
• Soulad s GDPR
• Smlouva o zpracování dat (DPA)
• Nahlásit zneužití
• Pravidla bezpečnosti
• Security.txt
• Úložiště GitHub
• FAQ