Biztonsági gyakorlatok

Előszó

A Forward Emailnél a biztonság a legfontosabb prioritásunk. Átfogó biztonsági intézkedéseket vezettünk be az e-mailes kommunikáció és a személyes adatok védelme érdekében. Ez a dokumentum felvázolja biztonsági gyakorlatunkat és azokat a lépéseket, amelyeket e-mailjei bizalmasságának, integritásának és elérhetőségének biztosítása érdekében teszünk.

Infrastruktúra biztonság

Biztonságos adatközpontok

Infrastruktúránk SOC 2-kompatibilis adatközpontokban található, a következő helyeken:

  • 24/7-es fizikai biztonság és megfigyelés
  • Biometrikus hozzáférés-vezérlés
  • Redundáns energiaellátó rendszerek
  • Fejlett tűzjelzés és -oltás
  • Környezeti monitorozás

Hálózati biztonság

Többszintű hálózati biztonságot valósítunk meg:

  • Vállalati szintű tűzfalak szigorú hozzáférés-vezérlési listákkal
  • DDoS-védelem és -csökkentés
  • Rendszeres hálózati sebezhetőség-vizsgálat
  • Behatolásészlelő és -megelőző rendszerek
  • Forgalom titkosítása az összes szolgáltatási végpont között
  • Portszkennelési védelem a gyanús tevékenységek automatikus blokkolásával

Important

Minden átvitt adat TLS 1.2+ titkosítással és modern titkosítócsomagokkal van titkosítva.

E-mail biztonság

Titkosítás

  • Transport Layer Security (TLS): Az összes e-mail forgalmat TLS 1.2 vagy újabb titkosítással titkosítjuk átvitel közben.
  • Végponttól végpontig terjedő titkosítás: OpenPGP/MIME és S/MIME szabványok támogatása.
  • Tárolási titkosítás: Az összes tárolt e-mailt ChaCha20-Poly1305 titkosítással titkosítjuk nyugalmi állapotban az SQLite fájlokban.
  • Teljes lemeztitkosítás: LUKS v2 titkosítás a teljes lemezre.
  • Átfogó védelem: Inaktív, memóriában tárolt és átvitel közbeni titkosítást alkalmazunk.

Note

Mi vagyunk a világ első és egyetlen e-mail szolgáltatója, amely a kvantum-rezisztens és egyedileg titkosított SQLite postaládák szolgáltatást használja.

Hitelesítés és engedélyezés

  • DKIM aláírás: Minden kimenő e-mail DKIM aláírással van ellátva.
  • SPF és DMARC: Teljes körű SPF és DMARC támogatás az e-mail-hamisítás megakadályozása érdekében.
  • MTA-STS: MTA-STS támogatás a TLS titkosítás kikényszerítéséhez.
  • Többtényezős hitelesítés: Minden fiókhozzáféréshez elérhető.

Visszaélés elleni intézkedések

  • Spam szűrés: Többrétegű spamészlelés gépi tanulással
  • Víruskeresés: Az összes melléklet valós idejű vizsgálata
  • Sebességkorlátozás: Védelem a nyers erő és a felsorolási támadások ellen
  • IP hírnév: A küldő IP hírnevének figyelése
  • Tartalomszűrés: Rosszindulatú URL-ek és adathalász kísérletek észlelése

Adatvédelem

Adatminimalizálás

Az adatminimalizálás elvét követjük:

  • Csak a szolgáltatásunk nyújtásához szükséges adatokat gyűjtjük.
  • Az e-mail tartalmat a memóriában dolgozzuk fel, és nem tároljuk állandó jelleggel, kivéve, ha az IMAP/POP3 kézbesítéshez szükséges.
  • A naplókat anonimizáljuk, és csak a szükséges ideig őrzzük meg.

Biztonsági mentés és helyreállítás

  • Automatizált napi biztonsági mentések titkosítással
  • Földrajzilag elosztott biztonsági mentéstár
  • Rendszeres biztonsági mentés-helyreállítási tesztelés
  • Katasztrófa utáni helyreállítási eljárások meghatározott RPO-val és RTO-val

Szolgáltatók

Szolgáltatóinkat gondosan válogatjuk meg, hogy biztosan megfeleljenek magas biztonsági előírásainknak. Az alábbiakban felsoroljuk a nemzetközi adatátvitelhez igénybe vett szolgáltatóinkat és azok GDPR-megfelelőségi státuszát:

Szolgáltató Cél DPF-tanúsítvánnyal GDPR megfelelőségi oldal
Cloudflare CDN, DDoS védelem, DNS ✅ Igen Cloudflare GDPR
DataPacket Szerver infrastruktúra ❌ Nem DataPacket Privacy
Digital Ocean Felhőinfrastruktúra ❌ Nem DigitalOcean GDPR
Vultr Felhőinfrastruktúra ❌ Nem Vultr GDPR
Stripe Fizetésfeldolgozás ✅ Igen Stripe Privacy Center
PayPal Fizetésfeldolgozás ❌ Nem PayPal Privacy

Ezeket a szolgáltatókat a megbízható és biztonságos szolgáltatásnyújtás biztosítása érdekében használjuk, miközben betartjuk a nemzetközi adatvédelmi előírásokat. Minden adatátvitelt megfelelő biztosítékok mellett végzünk személyes adatainak védelme érdekében.

Megfelelőség és auditálás

Rendszeres biztonsági felmérések

Csapatunk rendszeresen figyeli, felülvizsgálja és értékeli a kódbázist, a szervereket, az infrastruktúrát és a gyakorlatokat. Átfogó biztonsági programot vezetünk be, amely a következőket tartalmazza:

  • SSH kulcsok rendszeres cseréje
  • Hozzáférési naplók folyamatos monitorozása
  • Automatizált biztonsági szkennelés
  • Proaktív sebezhetőségkezelés
  • Rendszeres biztonsági képzés minden csapattag számára

Megfelelőség

  • GDPR szabványnak megfelelő adatkezelési gyakorlatok
  • Adatfeldolgozási megállapodás (DPA) üzleti ügyfelek számára elérhető
  • CCPA szabványnak megfelelő adatvédelmi szabályozások
  • SOC 2 II. típusú auditált folyamatok

Eseményre adott válasz

Biztonsági incidensekre vonatkozó elhárítási tervünk a következőket tartalmazza:

  1. Észlelés: Automatizált monitorozó és riasztórendszerek
  2. Elszigetelés: Az érintett rendszerek azonnali elszigetelése
  3. Megsemmisítés: A fenyegetés eltávolítása és a kiváltó ok elemzése
  4. Helyreállítás: A szolgáltatások biztonságos helyreállítása
  5. Értesítés: Időbeni kommunikáció az érintett felhasználókkal
  6. Incidens utáni elemzés: Átfogó felülvizsgálat és fejlesztés

Warning

Ha biztonsági rést fedez fel, kérjük, azonnal jelentse a security@forwardemail.net címen.

Biztonsági fejlesztési életciklus

Minden kód a következőn megy keresztül:

  • Biztonsági követelmények összegyűjtése
  • Fenyegetésmodellezés a tervezés során
  • Biztonságos kódolási gyakorlatok
  • Statikus és dinamikus alkalmazásbiztonsági tesztelés
  • Kód áttekintése biztonsági fókuszban
  • Függőségek sebezhetőségének vizsgálata

Szerver megerősítése

A Ansible konfiguráció számos szerverbiztonsági intézkedést valósít meg:

  • USB hozzáférés letiltva: A fizikai portok letiltásra kerülnek az usb-storage kernel modul feketelistázásával.* Tűzfal szabályok: Szigorú iptables szabályok, amelyek csak a szükséges kapcsolatokat engedélyezik.* SSH megerősítés: Csak kulcsalapú hitelesítés, jelszóval történő bejelentkezés nélkül, root bejelentkezés letiltva.* Szolgáltatás elkülönítése: Minden szolgáltatás minimálisan szükséges jogosultságokkal fut.* Automatikus frissítések: A biztonsági javítások automatikusan kerülnek alkalmazásra.* Biztonságos rendszerindítás: Ellenőrzött rendszerindítási folyamat a manipuláció megakadályozása érdekében.* Kernel megerősítés: Biztonságos kernel paraméterek és sysctl konfigurációk.* Fájlrendszer-korlátozások: noexec, nosuid és nodev csatolási opciók, ahol szükséges.* Alapszintű memóriaképek letiltva: A rendszer konfigurálva van a biztonsági okokból a lapszintű memóriaképek megakadályozására.* Csere letiltva: A swap memória letiltva az adatszivárgás megakadályozása érdekében.* Portszkennelés elleni védelem: A portszkennelési kísérletek automatikus észlelése és blokkolása.* Átlátszó hatalmas oldalak letiltva: A THP letiltva a jobb teljesítmény és biztonság érdekében.* Rendszerszolgáltatás-erősítés: Nem létfontosságú szolgáltatások, mint például az Apport letiltva.* Felhasználó Felügyelet: A minimális jogosultságok elve különálló deploy és devops felhasználókkal
  • Fájlleíró korlátok: Megnövelt korlátok a jobb teljesítmény és biztonság érdekében

Szolgáltatási szintű megállapodás

Magas szintű szolgáltatási rendelkezésre állást és megbízhatóságot biztosítunk. Infrastruktúránkat redundanciára és hibatűrésre terveztük, hogy biztosítsuk e-mail szolgáltatása működőképességét. Bár nem teszünk közzé hivatalos SLA-dokumentumot, elkötelezettek vagyunk a következők iránt:

  • 99,9%+ rendelkezésre állás minden szolgáltatásra
  • Gyors reagálás a szolgáltatáskimaradásokra
  • Átlátható kommunikáció incidensek esetén
  • Rendszeres karbantartás alacsony forgalmú időszakokban

Nyílt forráskódú biztonság

nyílt forráskódú szolgáltatás felhasználóként a biztonságunk a következőkből származik:

  • Átlátható kód, amelyet bárki auditálhat
  • Közösség által vezérelt biztonsági fejlesztések
  • A sebezhetőségek gyors azonosítása és javítása
  • Nincs biztonság a homályosság miatt

Alkalmazotti biztonság

  • Minden alkalmazott háttérellenőrzése
  • Biztonsági tudatossági képzés
  • A legalacsonyabb jogosultságú hozzáférés elve
  • Rendszeres biztonsági oktatás

Folyamatos fejlesztés

Biztonsági helyzetünket folyamatosan fejlesztjük az alábbiak révén:

  • Biztonsági trendek és felmerülő fenyegetések figyelése
  • Biztonsági szabályzatok rendszeres felülvizsgálata és frissítése
  • Visszajelzések biztonsági kutatóktól és felhasználóktól
  • Részvétel a biztonsági közösségben

Biztonsági gyakorlatunkkal kapcsolatos további információkért vagy biztonsági aggályok bejelentéséhez kérjük, vegye fel a kapcsolatot a security@forwardemail.net címen.

További források