נוהלי אבטחה

ב-Forward Email, האבטחה היא בראש סדר העדיפויות שלנו. יישמנו אמצעי אבטחה מקיפים כדי להגן על תקשורת הדוא"ל והנתונים האישיים שלך. מסמך זה מתאר את נוהלי האבטחה שלנו ואת הצעדים שאנו נוקטים כדי להבטיח את הסודיות, היושרה והזמינות של הדוא"ל שלך.

מרכזי נתונים מאובטחים

התשתית שלנו מתארחת במרכזי נתונים תואמי SOC 2 עם:

• אבטחה ומעקב פיזיים 24/7
• בקרות גישה ביומטריות
• מערכות חשמל מיותרות
• גילוי וכיבוי אש מתקדמים
• ניטור סביבתי

אבטחת רשת

אנו מיישמים שכבות מרובות של אבטחת רשת:

• חומות אש בדרגה ארגונית עם רשימות בקרת גישה קפדניות
• הגנה והפחתה של DDoS
• סריקת פגיעות רשת רגילה
• מערכות זיהוי ומניעת חדירה
• הצפנת תנועה בין כל נקודות הקצה של השירות
• הגנת סריקת יציאות עם חסימה אוטומטית של פעילות חשודה

[!חָשׁוּב] כל הנתונים במעבר מוצפנים באמצעות TLS 1.2+ עם חבילות צופן מודרניות.

הצפנה

• אבטחת שכבת תחבורה (TLS): כל תעבורת הדוא"ל מוצפנת במעבר באמצעות TLS 1.2 ומעלה
• הצפנה מקצה לקצה: תמיכה בתקני OpenPGP/MIME ו-S/MIME
• הצפנת אחסון: כל הודעות הדוא"ל המאוחסנות מוצפנות במצב מנוחה באמצעות הצפנת ChaCha20-Poly1305 בקבצי SQLite
• הצפנת דיסק מלאה: הצפנת LUKS v2 עבור כל הדיסק
• הגנה מקיפה: אנו מיישמים הצפנה במנוחה, הצפנה בזיכרון והצפנה במעבר

[!פֶּתֶק] אנחנו שירות הדואר האלקטרוני הראשון והיחיד בעולם שמשתמש בתיבות דואר SQLite עמידות קוונטיות ומוצפנות בנפרד.

אימות והרשאה

• DKIM חתימה: כל הודעות האימייל היוצאות חתומות ב-DKIM
• SPF ו-DMARC: תמיכה מלאה ב-SPF וב-DMARC למניעת זיוף דוא"ל
• MTA-STS: תמיכה ב-MTA-STS לאכיפת הצפנת TLS
• אימות רב-גורמי: זמין לכל גישה לחשבון

אמצעים נגד התעללות

• סינון דואר זבל: זיהוי דואר זבל רב-שכבתי עם למידת מכונה
• סריקת וירוסים: סריקה בזמן אמת של כל הקבצים המצורפים
• גבול דירוג: הגנה מפני התקפות כוח גס וספירה
• מוניטין IP: ניטור מוניטין שליחת IP
• סינון תוכן: זיהוי כתובות אתרים זדוניות וניסיונות דיוג

מזעור נתונים

אנו פועלים לפי העיקרון של מזעור נתונים:

• אנו אוספים רק את הנתונים הדרושים כדי לספק את השירות שלנו
• תוכן הדואר האלקטרוני מעובד בזיכרון ואינו מאוחסן באופן מתמיד אלא אם כן נדרש למשלוח IMAP/POP3
• היומנים הם אנונימיים ונשמרים רק כל עוד יש צורך

גיבוי ושחזור

• גיבוי יומי אוטומטי עם הצפנה
• אחסון גיבוי בחלוקה גיאוגרפית
• בדיקות שחזור גיבוי רגילות
• נהלי התאוששות מאסון עם RPO ו-RTO מוגדרים

אנו בוחרים בקפידה את ספקי השירותים שלנו כדי להבטיח שהם עומדים בתקני האבטחה הגבוהים שלנו. להלן הספקים שבהם אנו משתמשים להעברת נתונים בינלאומית וסטטוס התאימות ל-GDPR שלהם:

אנו משתמשים בספקים אלה כדי להבטיח אספקת שירות אמינה ומאובטחת תוך שמירה על עמידה בתקנות הגנת מידע בינלאומיות. כל העברת הנתונים מתבצעת עם אמצעי הגנה מתאימים כדי להגן על המידע האישי שלך.

הערכות אבטחה רגילות

הצוות שלנו עוקב באופן קבוע אחר, סוקר ומעריך את בסיס הקוד, השרתים, התשתית והפרקטיקות. אנו מיישמים תוכנית אבטחה מקיפה הכוללת:

• סיבוב קבוע של מפתחות SSH
• ניטור רציף של יומני גישה
• סריקת אבטחה אוטומטית
• ניהול פגיעות פרואקטיבי
• הדרכת אבטחה שוטפת לכל חברי הצוות

הַתאָמָה

• GDPR נוהלי טיפול בנתונים תואמים
• הסכם עיבוד נתונים (DPA) זמין ללקוחות עסקיים
• בקרות פרטיות תואמות CCPA
• תהליכים מבוקרים מסוג SOC 2 Type II

תוכנית התגובה לאירועי אבטחה שלנו כוללת:

1. איתור: מערכות ניטור והתראה אוטומטיות
2. בלימה: בידוד מיידי של מערכות מושפעות
3. עֲקִירָה: הסרת האיום וניתוח סיבת השורש
4. הִתאוֹשְׁשׁוּת: שחזור מאובטח של שירותים
5. הוֹדָעָה: תקשורת בזמן עם המשתמשים המושפעים
6. ניתוח שלאחר האירוע: סקירה ושיפור מקיפים

[!אַזהָרָה] אם אתה מגלה פגיעות אבטחה, אנא דווח על כך מיד ל security@forwardemail.net.

flowchart LR
    A[Requirements] --> B[Design]
    B --> C[Implementation]
    C --> D[Verification]
    D --> E[Release]
    E --> F[Maintenance]
    F --> A
    B -.-> G[Threat Modeling]
    C -.-> H[Static Analysis]
    D -.-> I[Security Testing]
    E -.-> J[Final Security Review]
    F -.-> K[Vulnerability Management]

כל הקוד עובר:

• איסוף דרישות אבטחה
• דוגמנות איומים במהלך העיצוב
• שיטות קידוד מאובטחות
• בדיקת אבטחת יישומים סטטית ודינמית
• סקירת קוד עם מיקוד אבטחה
• סריקת פגיעות תלות

שֶׁלָנוּ תצורה אפשרית מיישם מספר רב של אמצעי הקשחת שרתים:

• גישה USB מושבתת: יציאות פיזיות מושבתות על ידי רישום שחור של מודול ליבת ה-USB
• כללי חומת אש: חוקי iptables קפדניים המאפשרים רק חיבורים נחוצים
• התקשות SSH: אימות מבוסס מפתח בלבד, ללא כניסה לסיסמה, התחברות שורש מושבתת
• בידוד שירות: כל שירות פועל עם מינימום הרשאות נדרשות
• עדכונים אוטומטיים: תיקוני אבטחה מוחלים באופן אוטומטי
• אתחול מאובטח: תהליך אתחול מאומת למניעת שיבוש
• התקשות גרעין: פרמטרי ליבה מאובטחים ותצורות sysctl
• הגבלות מערכת קבצים: אפשרויות הרכבה של noexec, nosuid ו-nodev במידת הצורך
• Core Dumps מושבת: מערכת מוגדרת למנוע השלכות ליבה לצורך אבטחה
• החלפה מושבתת: החלפת זיכרון מושבתת כדי למנוע דליפת נתונים
• הגנת סריקת יציאות: זיהוי וחסימה אוטומטיים של ניסיונות סריקת יציאות
• דפי ענק שקופים מושבתים: THP מושבת לשיפור הביצועים והאבטחה
• הקשחת שירות מערכת: שירותים לא חיוניים כמו Apport disabled
• ניהול משתמשים: עקרון ההרשאות הקטנות ביותר עם פריסה ושחרור נפרדים של משתמשים
• מגבלות מתאר קובץ: הגבלות מוגברות לביצועים ואבטחה טובים יותר

אנו שומרים על רמה גבוהה של זמינות ואמינות שירות. התשתית שלנו מתוכננת ליותר וסובלנות לתקלות כדי להבטיח ששירות הדוא"ל שלך יישאר פעיל. אמנם איננו מפרסמים מסמך SLA רשמי, אך אנו מחויבים ל:

• 99.9%+ זמן פעולה עבור כל השירותים
• תגובה מהירה לשיבושים בשירות
• תקשורת שקופה בזמן תקלות
• תחזוקה שוטפת בתקופות דלות תנועה

בתור שירות קוד פתוח, האבטחה שלנו מרוויחה מ:

• קוד שקוף שניתן לביקורת על ידי כל אחד
• שיפורי אבטחה מונעי קהילה
• זיהוי מהיר ותיקון של נקודות תורפה
• אין אבטחה דרך ערפול

• בדיקות רקע לכל העובדים
• אימון מודעות לאבטחה
• עיקרון של גישה לפחות הרשאות
• חינוך בטחוני רגיל

אנו משפרים ללא הרף את עמדת האבטחה שלנו באמצעות:

• ניטור מגמות אבטחה ואיומים מתעוררים
• בדיקה שוטפת ועדכונים למדיניות האבטחה
• משוב מחוקרי אבטחה ומשתמשים
• השתתפות בקהילת האבטחה

למידע נוסף על נוהלי האבטחה שלנו או לדיווח על חששות אבטחה, אנא צור קשר security@forwardemail.net.

• מדיניות הפרטיות
• תנאי השירות
• תאימות ל-GDPR
• הסכם עיבוד נתונים (DPA)
• דווח על שימוש לרעה
• מדיניות אבטחה
• Security.txt
• מאגר GitHub
• FAQ