Prácticas de seguridad

En Forward Email, la seguridad es nuestra máxima prioridad. Hemos implementado medidas de seguridad integrales para proteger sus comunicaciones por correo electrónico y sus datos personales. Este documento describe nuestras prácticas de seguridad y las medidas que tomamos para garantizar la confidencialidad, integridad y disponibilidad de su correo electrónico.

Centros de datos seguros

Nuestra infraestructura está alojada en centros de datos compatibles con SOC 2 con:

  • Seguridad física y vigilancia 24/7
  • Controles de acceso biométricos
  • Sistemas de energía redundantes
  • Detección y extinción avanzada de incendios
  • Monitoreo ambiental

Seguridad de la red

Implementamos múltiples capas de seguridad de red:

  • Cortafuegos de nivel empresarial con estrictas listas de control de acceso
  • Protección y mitigación de DDoS
  • Análisis periódico de vulnerabilidades de la red
  • Sistemas de detección y prevención de intrusiones
  • Cifrado de tráfico entre todos los puntos finales del servicio
  • Protección mediante escaneo de puertos con bloqueo automático de actividad sospechosa

[!IMPORTANTE] Todos los datos en tránsito están cifrados mediante TLS 1.2+ con conjuntos de cifrado modernos.

Cifrado

  • Seguridad de la capa de transporte (TLS):Todo el tráfico de correo electrónico está cifrado en tránsito mediante TLS 1.2 o superior
  • Cifrado de extremo a extremo:Compatibilidad con los estándares OpenPGP/MIME y S/MIME
  • Cifrado de almacenamiento:Todos los correos electrónicos almacenados se cifran en reposo mediante el cifrado ChaCha20-Poly1305 en archivos SQLite
  • Cifrado de disco completo:Cifrado LUKS v2 para todo el disco
  • Protección integralImplementamos cifrado en reposo, cifrado en memoria y cifrado en tránsito.

[!NOTA] Somos el primer y único servicio de correo electrónico del mundo que utiliza buzones de correo SQLite con cifrado individual y resistentes a la tecnología cuántica.

Autenticación y autorización

  • Firma DKIM:Todos los correos electrónicos salientes están firmados con DKIM
  • SPF y DMARC:Compatibilidad total con SPF y DMARC para evitar la suplantación de correo electrónico
  • MTA-STS:Compatibilidad con MTA-STS para aplicar el cifrado TLS
  • Autenticación multifactor: Disponible para el acceso a todas las cuentas

Medidas contra el abuso

  • Filtrado de spamDetección de spam multicapa con aprendizaje automático
  • Análisis de virus:Escaneo en tiempo real de todos los archivos adjuntos
  • Limitación de velocidad: Protección contra ataques de fuerza bruta y enumeración
  • Reputación de IP: Monitoreo de la reputación de IP de envío
  • Filtrado de contenido:Detección de URL maliciosas e intentos de phishing

Minimización de datos

Seguimos el principio de minimización de datos:

  • Sólo recopilamos los datos necesarios para prestar nuestro servicio.
  • El contenido del correo electrónico se procesa en la memoria y no se almacena de forma persistente a menos que sea necesario para la entrega IMAP/POP3
  • Los registros se anonimizan y se conservan solo el tiempo necesario

Copia de seguridad y recuperación

  • Copias de seguridad diarias automatizadas con cifrado
  • Almacenamiento de respaldo distribuido geográficamente
  • Pruebas periódicas de restauración de copias de seguridad
  • Procedimientos de recuperación ante desastres con RPO y RTO definidos

Seleccionamos cuidadosamente a nuestros proveedores de servicios para garantizar que cumplan con nuestros altos estándares de seguridad. A continuación, se detallan los proveedores que utilizamos para la transferencia internacional de datos y su grado de cumplimiento del RGPD:

ProveedorObjetivoCertificado DPFPágina de cumplimiento del RGPD
Flama de nubeCDN, protección DDoS, DNS✅ SíCloudflare RGPD
Paquete de datosInfraestructura del servidor❌NoPrivacidad de paquetes de datos
océano digitalInfraestructura en la nube❌NoRGPD de DigitalOcean
vultrInfraestructura en la nube❌NoVultr RGPD
RayaProcesamiento de pagos✅ SíCentro de privacidad de Stripe
PaypalProcesamiento de pagos❌NoPrivacidad de PayPal

Utilizamos estos proveedores para garantizar la fiabilidad y seguridad de nuestros servicios, cumpliendo con la normativa internacional de protección de datos. Todas las transferencias de datos se realizan con las medidas de seguridad adecuadas para proteger su información personal.

Evaluaciones de seguridad periódicas

Nuestro equipo supervisa, revisa y evalúa periódicamente el código base, los servidores, la infraestructura y las prácticas. Implementamos un programa de seguridad integral que incluye:

  • Rotación regular de claves SSH
  • Monitoreo continuo de registros de acceso
  • Escaneo de seguridad automatizado
  • Gestión proactiva de vulnerabilidades
  • Capacitación regular en seguridad para todos los miembros del equipo.

Cumplimiento

Nuestro plan de respuesta a incidentes de seguridad incluye:

  1. Detección:Sistemas automatizados de monitoreo y alerta
  2. Contención:Aislamiento inmediato de los sistemas afectados
  3. Erradicación:Eliminación de la amenaza y análisis de la causa raíz
  4. Recuperación:Restauración segura de servicios
  5. Notificación: Comunicación oportuna con los usuarios afectados
  6. Análisis posterior al incidente: Revisión y mejora integral

[!ADVERTENCIA] Si descubre una vulnerabilidad de seguridad, infórmelo inmediatamente a security@forwardemail.net.

flowchart LR
    A[Requirements] --> B[Design]
    B --> C[Implementation]
    C --> D[Verification]
    D --> E[Release]
    E --> F[Maintenance]
    F --> A
    B -.-> G[Threat Modeling]
    C -.-> H[Static Analysis]
    D -.-> I[Security Testing]
    E -.-> J[Final Security Review]
    F -.-> K[Vulnerability Management]

Todo el código pasa por:

  • Recopilación de requisitos de seguridad
  • Modelado de amenazas durante el diseño
  • Prácticas de codificación segura
  • Pruebas de seguridad de aplicaciones estáticas y dinámicas
  • Revisión de código con enfoque en seguridad
  • Análisis de vulnerabilidades de dependencia

Nuestro Configuración de Ansible Implementa numerosas medidas de fortalecimiento del servidor:

  • Acceso USB deshabilitado:Los puertos físicos se deshabilitan al incluir en la lista negra el módulo del kernel de almacenamiento USB
  • Reglas del firewall:Reglas estrictas de iptables que permiten solo las conexiones necesarias
  • Endurecimiento de SSH:Solo autenticación basada en clave, sin inicio de sesión con contraseña, inicio de sesión raíz deshabilitado
  • Aislamiento del servicio:Cada servicio se ejecuta con los privilegios mínimos requeridos
  • Actualizaciones automáticas:Los parches de seguridad se aplican automáticamente
  • Arranque seguro:Proceso de arranque verificado para evitar manipulaciones
  • Endurecimiento del núcleo:Parámetros de kernel seguros y configuraciones de sysctl
  • Restricciones del sistema de archivos:opciones de montaje noexec, nosuid y nodev cuando corresponda
  • Volcados de memoria deshabilitados:Sistema configurado para evitar volcados de memoria por motivos de seguridad
  • Intercambio deshabilitado:Memoria de intercambio deshabilitada para evitar fugas de datos
  • Protección de escaneo de puertos:Detección y bloqueo automatizados de intentos de escaneo de puertos
  • Páginas enormes transparentes deshabilitadas:THP deshabilitado para mejorar el rendimiento y la seguridad
  • Fortalecimiento del servicio del sistema: Servicios no esenciales como Apport deshabilitados
  • Gestión de usuarios:Principio de mínimo privilegio con usuarios de implementación y de DevOps separados
  • Límites del descriptor de archivo:Límites aumentados para un mejor rendimiento y seguridad

Mantenemos un alto nivel de disponibilidad y fiabilidad del servicio. Nuestra infraestructura está diseñada para ofrecer redundancia y tolerancia a fallos, garantizando así la operatividad de su servicio de correo electrónico. Si bien no publicamos un documento formal de Acuerdo de Nivel de Servicio (SLA), nos comprometemos a:

  • Más del 99,9 % de tiempo de actividad para todos los servicios
  • Respuesta rápida a las interrupciones del servicio
  • Comunicación transparente durante incidentes
  • Mantenimiento regular durante períodos de poco tráfico

Como un servicio de código abiertoNuestra seguridad se beneficia de:

  • Código transparente que puede ser auditado por cualquier persona
  • Mejoras de seguridad impulsadas por la comunidad
  • Identificación rápida y parcheo de vulnerabilidades
  • No hay seguridad a través de la oscuridad

  • Verificación de antecedentes para todos los empleados
  • Capacitación en concienciación sobre seguridad
  • Principio de acceso con mínimos privilegios
  • Educación regular en seguridad

Mejoramos continuamente nuestra postura de seguridad a través de:

  • Monitoreo de tendencias de seguridad y amenazas emergentes
  • Revisión periódica y actualizaciones de las políticas de seguridad
  • Comentarios de investigadores y usuarios de seguridad
  • Participación en la comunidad de seguridad

Para obtener más información sobre nuestras prácticas de seguridad o para informar inquietudes de seguridad, comuníquese con security@forwardemail.net.