Biztonsági gyakorlatok
Előszó
A Forward Emailnél a biztonság a legfőbb prioritásunk. Átfogó biztonsági intézkedéseket vezettünk be az e-mail kommunikáció és a személyes adatok védelme érdekében. Ez a dokumentum felvázolja biztonsági gyakorlatunkat, valamint azokat a lépéseket, amelyeket az Ön e-mailjei titkosságának, integritásának és elérhetőségének biztosítása érdekében teszünk.
Infrastruktúra biztonság
Biztonságos adatközpontok
Infrastruktúránk SOC 2-kompatibilis adatközpontokban található, amelyek:
- 24 órás fizikai biztonság és megfigyelés
- Biometrikus hozzáférés-szabályozás
- Redundáns energiaellátó rendszerek
- Fejlett tűzérzékelés és -elnyomás
- Környezeti monitoring
Hálózati biztonság
Több rétegű hálózati biztonságot valósítunk meg:
- Vállalati szintű tűzfalak szigorú hozzáférés-felügyeleti listákkal
- DDoS védelem és mérséklés
- Rendszeres hálózati sebezhetőségi vizsgálat
- Behatolásjelző és -megelőzési rendszerek
- Forgalom titkosítása az összes szolgáltatásvégpont között
- Portszkennelés elleni védelem a gyanús tevékenységek automatikus blokkolásával
[!FONTOS] Az összes átvitelben lévő adat TLS 1.2+ és modern titkosítási csomagokkal titkosítva van.
E-mail biztonság
Titkosítás
- Transport Layer Security (TLS): Az összes e-mail forgalom TLS 1.2 vagy újabb verzióval titkosítva van
- Végpontok közötti titkosítás: OpenPGP/MIME és S/MIME szabványok támogatása
- Tárolási titkosítás: Az összes tárolt e-mail nyugalmi állapotban ChaCha20-Poly1305 titkosítással titkosítva van SQLite fájlokban
- Teljes lemeztitkosítás: LUKS v2 titkosítás a teljes lemezre
- Átfogó védelem: Nyugalmi titkosítást, memóriatitkosítást és átvitel közbeni titkosítást valósítunk meg
[!JEGYZET] Mi vagyunk a világ első és egyetlen olyan e-mail szolgáltatása, amely kvantumálló és egyedileg titkosított SQLite postafiókokat használ.
Hitelesítés és engedélyezés
- DKIM aláírás: Minden kimenő e-mail DKIM-mel van aláírva
- SPF és DMARC: Az SPF és a DMARC teljes támogatása az e-mail-hamisítás megakadályozása érdekében
- MTA-STS: Az MTA-STS támogatása a TLS titkosítás érvényesítéséhez
- Többtényezős hitelesítés: Minden fiókhoz elérhető
Visszaélés elleni intézkedések
- Spam szűrés: Többrétegű spamészlelés gépi tanulással
- Víruskeresés: Valós idejű szkennelés az összes mellékletről
- Rate Limiting: Védelem a nyers erő és a felsorolásos támadások ellen
- IP hírnév: A küldő IP hírnevének figyelése
- Tartalomszűrés: Rosszindulatú URL-ek és adathalászati kísérletek észlelése
Adatvédelem
Adatminimalizálás
Az adatminimalizálás elvét követjük:
- Csak a szolgáltatásunk nyújtásához szükséges adatokat gyűjtjük
- Az e-mail tartalmat a rendszer a memóriában dolgozza fel, és nem tárolja folyamatosan, kivéve, ha az IMAP/POP3 kézbesítéshez szükséges
- A naplókat anonimizáljuk, és csak addig őrizzük meg, ameddig szükséges
Biztonsági mentés és helyreállítás
- Automatizált napi biztonsági mentések titkosítással
- Földrajzilag elosztott biztonsági mentési tárhely
- Rendszeres biztonsági mentési helyreállítási tesztelés
- Katasztrófa utáni helyreállítási eljárások meghatározott RPO-val és RTO-val
Szolgáltatók
Gondosan választjuk ki szolgáltatóinkat, hogy megbizonyosodjunk arról, hogy megfelelnek magas biztonsági követelményeinknek. Az alábbiakban felsoroljuk azokat a szolgáltatókat, amelyeket nemzetközi adatátvitelhez használunk, és azok GDPR-megfelelőségi állapotát:
| Szolgáltató | Célja | DPF tanúsítvánnyal rendelkezik | GDPR megfelelőségi oldal |
|---|---|---|---|
| CloudFlare | CDN, DDoS védelem, DNS | ✅ Igen | Cloudflare GDPR |
| DataPacket | Szerver infrastruktúra | ❌ Nem | DataPacket adatvédelem |
| Digitális óceán | Felhő infrastruktúra | ❌ Nem | DigitalOcean GDPR |
| Vultr | Felhő infrastruktúra | ❌ Nem | Vultr GDPR |
| Csík | Fizetés feldolgozása | ✅ Igen | Stripe adatvédelmi központ |
| PayPal | Fizetés feldolgozása | ❌ Nem | PayPal adatvédelem |
Ezeket a szolgáltatókat a megbízható, biztonságos szolgáltatásnyújtás biztosítására használjuk, miközben betartjuk a nemzetközi adatvédelmi előírásokat. Minden adatátvitelre megfelelő biztosítékok mellett kerül sor az Ön személyes adatainak védelme érdekében.
Megfelelés és auditálás
Rendszeres biztonsági értékelések
Csapatunk rendszeresen figyeli, felülvizsgálja és értékeli a kódbázist, a szervereket, az infrastruktúrát és a gyakorlatokat. Átfogó biztonsági programot valósítunk meg, amely magában foglalja:
- Az SSH-kulcsok rendszeres forgatása
- A hozzáférési naplók folyamatos figyelése
- Automatikus biztonsági szkennelés
- Proaktív sebezhetőség-kezelés
- Rendszeres biztonsági képzés minden csapattag számára
Megfelelés
- GDPR megfelelő adatkezelési gyakorlat
- Adatfeldolgozási szerződés (DPA) üzleti ügyfelek számára elérhető
- CCPA-kompatibilis adatvédelmi szabályozások
- SOC 2 Type II auditált folyamatok
Incidensre adott válasz
Biztonsági incidensre adott választervünk a következőket tartalmazza:
- Érzékelés: Automatizált megfigyelő és riasztó rendszerek
- Elzárás: Az érintett rendszerek azonnali leválasztása
- Felszámolás: A fenyegetés eltávolítása és a kiváltó ok elemzése
- Helyreállítás: A szolgáltatások biztonságos helyreállítása
- Bejelentés: Időben történő kommunikáció az érintett felhasználókkal
- Incidens utáni elemzés: Átfogó áttekintés és javítás
[!FIGYELMEZTETÉS] Ha biztonsági rést észlel, kérjük, azonnal jelentse a következő címen security@forwardemail.net.
Biztonságfejlesztési életciklus
flowchart LR
A[Requirements] --> B[Design]
B --> C[Implementation]
C --> D[Verification]
D --> E[Release]
E --> F[Maintenance]
F --> A
B -.-> G[Threat Modeling]
C -.-> H[Static Analysis]
D -.-> I[Security Testing]
E -.-> J[Final Security Review]
F -.-> K[Vulnerability Management]
Minden kód a következőkön megy keresztül:
- Biztonsági követelmények összegyűjtése
- Veszélymodellezés a tervezés során
- Biztonságos kódolási gyakorlatok
- Statikus és dinamikus alkalmazásbiztonsági tesztelés
- Kódellenőrzés a biztonságra összpontosítva
- Függőségi sebezhetőség vizsgálata
Szerver keményedés
A miénk Lehetséges konfiguráció számos szerver keményítési intézkedést hajt végre:
- USB hozzáférés letiltva: A fizikai portok letiltása az usb-tároló kernelmodul feketelistájával történik
- Tűzfalszabályok: Szigorú iptables szabályok, amelyek csak a szükséges kapcsolatokat teszik lehetővé
- SSH keményedés: Csak kulcs alapú hitelesítés, jelszó bejelentkezés nélkül, root bejelentkezés letiltva
- Szolgáltatás elkülönítése: Minden szolgáltatás minimális szükséges jogosultságokkal fut
- Automatikus frissítések: A biztonsági javítások automatikusan kerülnek alkalmazásra
- Biztonságos rendszerindítás: Ellenőrzött rendszerindítási folyamat a manipuláció megelőzése érdekében
- Kernel keményedés: Biztonságos kernelparaméterek és sysctl konfigurációk
- Fájlrendszer-korlátozások: noexec, nosuid és nodev csatolási lehetőségek, ahol szükséges
- Magkidobások letiltva: A rendszer úgy van konfigurálva, hogy a biztonság érdekében megakadályozza a mag kiíratását
- Csere letiltva: Swap memória letiltva az adatszivárgás elkerülése érdekében
- Port szkennelés védelem: A portkeresési kísérletek automatikus észlelése és blokkolása
- Átlátszó hatalmas oldalak letiltva: THP letiltva a jobb teljesítmény és biztonság érdekében
- A rendszerszolgáltatás keményítése: A nem alapvető szolgáltatások, például az Apport letiltva
- Felhasználókezelés: A legkisebb jogosultság elve külön telepített és devops felhasználókkal
- Fájlleíró korlátok: Megnövelt korlátok a jobb teljesítmény és biztonság érdekében
Szolgáltatási szint megállapodás
Fenntartjuk a szolgáltatások magas szintű rendelkezésre állását és megbízhatóságát. Infrastruktúránkat redundanciára és hibatűrésre terveztük, hogy az e-mail szolgáltatás továbbra is működőképes maradjon. Bár nem teszünk közzé hivatalos SLA-dokumentumot, elkötelezettek vagyunk a következők mellett:
- 99,9%+ rendelkezésre állás minden szolgáltatásnál
- Gyors reagálás a szolgáltatási zavarokra
- Átlátható kommunikáció az események során
- Rendszeres karbantartás alacsony forgalmú időszakokban
Nyílt forráskódú biztonság
Mint egy nyílt forráskódú szolgáltatás, biztonságunk előnyei:
- Átlátszó kód, amelyet bárki ellenőrizhet
- Közösség által vezérelt biztonsági fejlesztések
- A sebezhetőségek gyors azonosítása és javítása
- Nincs biztonság a homályon keresztül
Munkavállalói biztonság
- Háttérellenőrzés minden alkalmazottnál
- Biztonsági tudatosság képzés
- A legkisebb hozzáférés elve
- Rendszeres biztonsági oktatás
Folyamatos fejlesztés
Folyamatosan fejlesztjük biztonsági helyzetünket az alábbiakkal:
- A biztonsági trendek és a felmerülő fenyegetések nyomon követése
- A biztonsági szabályzatok rendszeres felülvizsgálata és frissítése
- Biztonsági kutatók és felhasználók visszajelzései
- Részvétel a biztonsági közösségben
Ha további információra van szüksége biztonsági gyakorlatunkról vagy biztonsági aggályokat szeretne jelenteni, kérjük, lépjen kapcsolatba velünk security@forwardemail.net.