Prácticas de seguridad
Prefacio
En Forward Email, la seguridad es nuestra máxima prioridad. Hemos implementado medidas de seguridad integrales para proteger sus comunicaciones por correo electrónico y sus datos personales. Este documento describe nuestras prácticas de seguridad y las medidas que tomamos para garantizar la confidencialidad, integridad y disponibilidad de su correo electrónico.
Seguridad de la infraestructura
Centros de datos seguros
Nuestra infraestructura está alojada en centros de datos compatibles con SOC 2 con:
- Seguridad física y vigilancia 24/7
- Controles de acceso biométricos
- Sistemas de energía redundantes
- Detección y extinción avanzada de incendios
- Monitoreo ambiental
Seguridad de la red
Implementamos múltiples capas de seguridad de red:
- Cortafuegos de nivel empresarial con estrictas listas de control de acceso
- Protección y mitigación de DDoS
- Análisis periódico de vulnerabilidades de la red
- Sistemas de detección y prevención de intrusiones
- Cifrado de tráfico entre todos los puntos finales del servicio
- Protección mediante escaneo de puertos con bloqueo automático de actividad sospechosa
[!IMPORTANTE] Todos los datos en tránsito están cifrados mediante TLS 1.2+ con conjuntos de cifrado modernos.
Seguridad del correo electrónico
Cifrado
- Seguridad de la capa de transporte (TLS):Todo el tráfico de correo electrónico está cifrado en tránsito mediante TLS 1.2 o superior
- Cifrado de extremo a extremo:Compatibilidad con los estándares OpenPGP/MIME y S/MIME
- Cifrado de almacenamiento:Todos los correos electrónicos almacenados se cifran en reposo mediante el cifrado ChaCha20-Poly1305 en archivos SQLite
- Cifrado de disco completo:Cifrado LUKS v2 para todo el disco
- Protección integralImplementamos cifrado en reposo, cifrado en memoria y cifrado en tránsito.
[!NOTA] Somos el primer y único servicio de correo electrónico del mundo que utiliza buzones de correo SQLite con cifrado individual y resistentes a la tecnología cuántica.
Autenticación y autorización
- Firma DKIM:Todos los correos electrónicos salientes están firmados con DKIM
- SPF y DMARC:Compatibilidad total con SPF y DMARC para evitar la suplantación de correo electrónico
- MTA-STS:Compatibilidad con MTA-STS para aplicar el cifrado TLS
- Autenticación multifactor: Disponible para el acceso a todas las cuentas
Medidas contra el abuso
- Filtrado de spamDetección de spam multicapa con aprendizaje automático
- Análisis de virus:Escaneo en tiempo real de todos los archivos adjuntos
- Limitación de velocidad: Protección contra ataques de fuerza bruta y enumeración
- Reputación de IP: Monitoreo de la reputación de IP de envío
- Filtrado de contenido:Detección de URL maliciosas e intentos de phishing
Protección de datos
Minimización de datos
Seguimos el principio de minimización de datos:
- Sólo recopilamos los datos necesarios para prestar nuestro servicio.
- El contenido del correo electrónico se procesa en la memoria y no se almacena de forma persistente a menos que sea necesario para la entrega IMAP/POP3
- Los registros se anonimizan y se conservan solo el tiempo necesario
Copia de seguridad y recuperación
- Copias de seguridad diarias automatizadas con cifrado
- Almacenamiento de respaldo distribuido geográficamente
- Pruebas periódicas de restauración de copias de seguridad
- Procedimientos de recuperación ante desastres con RPO y RTO definidos
Proveedores de servicios
Seleccionamos cuidadosamente a nuestros proveedores de servicios para garantizar que cumplan con nuestros altos estándares de seguridad. A continuación, se detallan los proveedores que utilizamos para la transferencia internacional de datos y su grado de cumplimiento del RGPD:
| Proveedor | Objetivo | Certificado DPF | Página de cumplimiento del RGPD |
|---|---|---|---|
| Flama de nube | CDN, protección DDoS, DNS | ✅ Sí | Cloudflare RGPD |
| Paquete de datos | Infraestructura del servidor | ❌No | Privacidad de paquetes de datos |
| océano digital | Infraestructura en la nube | ❌No | RGPD de DigitalOcean |
| vultr | Infraestructura en la nube | ❌No | Vultr RGPD |
| Raya | Procesamiento de pagos | ✅ Sí | Centro de privacidad de Stripe |
| Paypal | Procesamiento de pagos | ❌No | Privacidad de PayPal |
Utilizamos estos proveedores para garantizar la fiabilidad y seguridad de nuestros servicios, cumpliendo con la normativa internacional de protección de datos. Todas las transferencias de datos se realizan con las medidas de seguridad adecuadas para proteger su información personal.
Cumplimiento y Auditoría
Evaluaciones de seguridad periódicas
Nuestro equipo supervisa, revisa y evalúa periódicamente el código base, los servidores, la infraestructura y las prácticas. Implementamos un programa de seguridad integral que incluye:
- Rotación regular de claves SSH
- Monitoreo continuo de registros de acceso
- Escaneo de seguridad automatizado
- Gestión proactiva de vulnerabilidades
- Capacitación regular en seguridad para todos los miembros del equipo.
Cumplimiento
- GDPR prácticas de manejo de datos conformes
- Acuerdo de procesamiento de datos (APD) disponible para clientes comerciales
- Controles de privacidad que cumplen con la CCPA
- Procesos auditados SOC 2 Tipo II
Respuesta a incidentes
Nuestro plan de respuesta a incidentes de seguridad incluye:
- Detección:Sistemas automatizados de monitoreo y alerta
- Contención:Aislamiento inmediato de los sistemas afectados
- Erradicación:Eliminación de la amenaza y análisis de la causa raíz
- Recuperación:Restauración segura de servicios
- Notificación: Comunicación oportuna con los usuarios afectados
- Análisis posterior al incidente: Revisión y mejora integral
[!ADVERTENCIA] Si descubre una vulnerabilidad de seguridad, infórmelo inmediatamente a security@forwardemail.net.
Ciclo de vida del desarrollo de seguridad
flowchart LR
A[Requirements] --> B[Design]
B --> C[Implementation]
C --> D[Verification]
D --> E[Release]
E --> F[Maintenance]
F --> A
B -.-> G[Threat Modeling]
C -.-> H[Static Analysis]
D -.-> I[Security Testing]
E -.-> J[Final Security Review]
F -.-> K[Vulnerability Management]
Todo el código pasa por:
- Recopilación de requisitos de seguridad
- Modelado de amenazas durante el diseño
- Prácticas de codificación segura
- Pruebas de seguridad de aplicaciones estáticas y dinámicas
- Revisión de código con enfoque en seguridad
- Análisis de vulnerabilidades de dependencia
Fortalecimiento del servidor
Nuestro Configuración de Ansible Implementa numerosas medidas de fortalecimiento del servidor:
- Acceso USB deshabilitado:Los puertos físicos se deshabilitan al incluir en la lista negra el módulo del kernel de almacenamiento USB
- Reglas del firewall:Reglas estrictas de iptables que permiten solo las conexiones necesarias
- Endurecimiento de SSH:Solo autenticación basada en clave, sin inicio de sesión con contraseña, inicio de sesión raíz deshabilitado
- Aislamiento del servicio:Cada servicio se ejecuta con los privilegios mínimos requeridos
- Actualizaciones automáticas:Los parches de seguridad se aplican automáticamente
- Arranque seguro:Proceso de arranque verificado para evitar manipulaciones
- Endurecimiento del núcleo:Parámetros de kernel seguros y configuraciones de sysctl
- Restricciones del sistema de archivos:opciones de montaje noexec, nosuid y nodev cuando corresponda
- Volcados de memoria deshabilitados:Sistema configurado para evitar volcados de memoria por motivos de seguridad
- Intercambio deshabilitado:Memoria de intercambio deshabilitada para evitar fugas de datos
- Protección de escaneo de puertos:Detección y bloqueo automatizados de intentos de escaneo de puertos
- Páginas enormes transparentes deshabilitadas:THP deshabilitado para mejorar el rendimiento y la seguridad
- Fortalecimiento del servicio del sistema: Servicios no esenciales como Apport deshabilitados
- Gestión de usuarios:Principio de mínimo privilegio con usuarios de implementación y de DevOps separados
- Límites del descriptor de archivo:Límites aumentados para un mejor rendimiento y seguridad
Acuerdo de Nivel de Servicio
Mantenemos un alto nivel de disponibilidad y fiabilidad del servicio. Nuestra infraestructura está diseñada para ofrecer redundancia y tolerancia a fallos, garantizando así la operatividad de su servicio de correo electrónico. Si bien no publicamos un documento formal de Acuerdo de Nivel de Servicio (SLA), nos comprometemos a:
- Más del 99,9 % de tiempo de actividad para todos los servicios
- Respuesta rápida a las interrupciones del servicio
- Comunicación transparente durante incidentes
- Mantenimiento regular durante períodos de poco tráfico
Seguridad de código abierto
Como un servicio de código abiertoNuestra seguridad se beneficia de:
- Código transparente que puede ser auditado por cualquier persona
- Mejoras de seguridad impulsadas por la comunidad
- Identificación rápida y parcheo de vulnerabilidades
- No hay seguridad a través de la oscuridad
Seguridad de los empleados
- Verificación de antecedentes para todos los empleados
- Capacitación en concienciación sobre seguridad
- Principio de acceso con mínimos privilegios
- Educación regular en seguridad
Mejora continua
Mejoramos continuamente nuestra postura de seguridad a través de:
- Monitoreo de tendencias de seguridad y amenazas emergentes
- Revisión periódica y actualizaciones de las políticas de seguridad
- Comentarios de investigadores y usuarios de seguridad
- Participación en la comunidad de seguridad
Para obtener más información sobre nuestras prácticas de seguridad o para informar inquietudes de seguridad, comuníquese con security@forwardemail.net.