Biztonsági gyakorlatok

A Forward Emailnél a biztonság a legfőbb prioritásunk. Átfogó biztonsági intézkedéseket vezettünk be az e-mail kommunikáció és a személyes adatok védelme érdekében. Ez a dokumentum felvázolja biztonsági gyakorlatunkat, valamint azokat a lépéseket, amelyeket az Ön e-mailjei titkosságának, integritásának és elérhetőségének biztosítása érdekében teszünk.

Biztonságos adatközpontok

Infrastruktúránk SOC 2-kompatibilis adatközpontokban található, amelyek:

  • 24 órás fizikai biztonság és megfigyelés
  • Biometrikus hozzáférés-szabályozás
  • Redundáns energiaellátó rendszerek
  • Fejlett tűzérzékelés és -elnyomás
  • Környezeti monitoring

Hálózati biztonság

Több rétegű hálózati biztonságot valósítunk meg:

  • Vállalati szintű tűzfalak szigorú hozzáférés-felügyeleti listákkal
  • DDoS védelem és mérséklés
  • Rendszeres hálózati sebezhetőségi vizsgálat
  • Behatolásjelző és -megelőzési rendszerek
  • Forgalom titkosítása az összes szolgáltatásvégpont között
  • Portszkennelés elleni védelem a gyanús tevékenységek automatikus blokkolásával

[!FONTOS] Az összes átvitelben lévő adat TLS 1.2+ és modern titkosítási csomagokkal titkosítva van.

Titkosítás

  • Transport Layer Security (TLS): Az összes e-mail forgalom TLS 1.2 vagy újabb verzióval titkosítva van
  • Végpontok közötti titkosítás: OpenPGP/MIME és S/MIME szabványok támogatása
  • Tárolási titkosítás: Az összes tárolt e-mail nyugalmi állapotban ChaCha20-Poly1305 titkosítással titkosítva van SQLite fájlokban
  • Teljes lemeztitkosítás: LUKS v2 titkosítás a teljes lemezre
  • Átfogó védelem: Nyugalmi titkosítást, memóriatitkosítást és átvitel közbeni titkosítást valósítunk meg

[!JEGYZET] Mi vagyunk a világ első és egyetlen olyan e-mail szolgáltatása, amely kvantumálló és egyedileg titkosított SQLite postafiókokat használ.

Hitelesítés és engedélyezés

  • DKIM aláírás: Minden kimenő e-mail DKIM-mel van aláírva
  • SPF és DMARC: Az SPF és a DMARC teljes támogatása az e-mail-hamisítás megakadályozása érdekében
  • MTA-STS: Az MTA-STS támogatása a TLS titkosítás érvényesítéséhez
  • Többtényezős hitelesítés: Minden fiókhoz elérhető

Visszaélés elleni intézkedések

  • Spam szűrés: Többrétegű spamészlelés gépi tanulással
  • Víruskeresés: Valós idejű szkennelés az összes mellékletről
  • Rate Limiting: Védelem a nyers erő és a felsorolásos támadások ellen
  • IP hírnév: A küldő IP hírnevének figyelése
  • Tartalomszűrés: Rosszindulatú URL-ek és adathalászati kísérletek észlelése

Adatminimalizálás

Az adatminimalizálás elvét követjük:

  • Csak a szolgáltatásunk nyújtásához szükséges adatokat gyűjtjük
  • Az e-mail tartalmat a rendszer a memóriában dolgozza fel, és nem tárolja folyamatosan, kivéve, ha az IMAP/POP3 kézbesítéshez szükséges
  • A naplókat anonimizáljuk, és csak addig őrizzük meg, ameddig szükséges

Biztonsági mentés és helyreállítás

  • Automatizált napi biztonsági mentések titkosítással
  • Földrajzilag elosztott biztonsági mentési tárhely
  • Rendszeres biztonsági mentési helyreállítási tesztelés
  • Katasztrófa utáni helyreállítási eljárások meghatározott RPO-val és RTO-val

Gondosan választjuk ki szolgáltatóinkat, hogy megbizonyosodjunk arról, hogy megfelelnek magas biztonsági követelményeinknek. Az alábbiakban felsoroljuk azokat a szolgáltatókat, amelyeket nemzetközi adatátvitelhez használunk, és azok GDPR-megfelelőségi állapotát:

SzolgáltatóCéljaDPF tanúsítvánnyal rendelkezikGDPR megfelelőségi oldal
CloudFlareCDN, DDoS védelem, DNS✅ IgenCloudflare GDPR
DataPacketSzerver infrastruktúra❌ NemDataPacket adatvédelem
Digitális óceánFelhő infrastruktúra❌ NemDigitalOcean GDPR
VultrFelhő infrastruktúra❌ NemVultr GDPR
CsíkFizetés feldolgozása✅ IgenStripe adatvédelmi központ
PayPalFizetés feldolgozása❌ NemPayPal adatvédelem

Ezeket a szolgáltatókat a megbízható, biztonságos szolgáltatásnyújtás biztosítására használjuk, miközben betartjuk a nemzetközi adatvédelmi előírásokat. Minden adatátvitelre megfelelő biztosítékok mellett kerül sor az Ön személyes adatainak védelme érdekében.

Rendszeres biztonsági értékelések

Csapatunk rendszeresen figyeli, felülvizsgálja és értékeli a kódbázist, a szervereket, az infrastruktúrát és a gyakorlatokat. Átfogó biztonsági programot valósítunk meg, amely magában foglalja:

  • Az SSH-kulcsok rendszeres forgatása
  • A hozzáférési naplók folyamatos figyelése
  • Automatikus biztonsági szkennelés
  • Proaktív sebezhetőség-kezelés
  • Rendszeres biztonsági képzés minden csapattag számára

Megfelelés

  • GDPR megfelelő adatkezelési gyakorlat
  • Adatfeldolgozási szerződés (DPA) üzleti ügyfelek számára elérhető
  • CCPA-kompatibilis adatvédelmi szabályozások
  • SOC 2 Type II auditált folyamatok

Biztonsági incidensre adott választervünk a következőket tartalmazza:

  1. Érzékelés: Automatizált megfigyelő és riasztó rendszerek
  2. Elzárás: Az érintett rendszerek azonnali leválasztása
  3. Felszámolás: A fenyegetés eltávolítása és a kiváltó ok elemzése
  4. Helyreállítás: A szolgáltatások biztonságos helyreállítása
  5. Bejelentés: Időben történő kommunikáció az érintett felhasználókkal
  6. Incidens utáni elemzés: Átfogó áttekintés és javítás

[!FIGYELMEZTETÉS] Ha biztonsági rést észlel, kérjük, azonnal jelentse a következő címen security@forwardemail.net.

flowchart LR
    A[Requirements] --> B[Design]
    B --> C[Implementation]
    C --> D[Verification]
    D --> E[Release]
    E --> F[Maintenance]
    F --> A
    B -.-> G[Threat Modeling]
    C -.-> H[Static Analysis]
    D -.-> I[Security Testing]
    E -.-> J[Final Security Review]
    F -.-> K[Vulnerability Management]

Minden kód a következőkön megy keresztül:

  • Biztonsági követelmények összegyűjtése
  • Veszélymodellezés a tervezés során
  • Biztonságos kódolási gyakorlatok
  • Statikus és dinamikus alkalmazásbiztonsági tesztelés
  • Kódellenőrzés a biztonságra összpontosítva
  • Függőségi sebezhetőség vizsgálata

A miénk Lehetséges konfiguráció számos szerver keményítési intézkedést hajt végre:

  • USB hozzáférés letiltva: A fizikai portok letiltása az usb-tároló kernelmodul feketelistájával történik
  • Tűzfalszabályok: Szigorú iptables szabályok, amelyek csak a szükséges kapcsolatokat teszik lehetővé
  • SSH keményedés: Csak kulcs alapú hitelesítés, jelszó bejelentkezés nélkül, root bejelentkezés letiltva
  • Szolgáltatás elkülönítése: Minden szolgáltatás minimális szükséges jogosultságokkal fut
  • Automatikus frissítések: A biztonsági javítások automatikusan kerülnek alkalmazásra
  • Biztonságos rendszerindítás: Ellenőrzött rendszerindítási folyamat a manipuláció megelőzése érdekében
  • Kernel keményedés: Biztonságos kernelparaméterek és sysctl konfigurációk
  • Fájlrendszer-korlátozások: noexec, nosuid és nodev csatolási lehetőségek, ahol szükséges
  • Magkidobások letiltva: A rendszer úgy van konfigurálva, hogy a biztonság érdekében megakadályozza a mag kiíratását
  • Csere letiltva: Swap memória letiltva az adatszivárgás elkerülése érdekében
  • Port szkennelés védelem: A portkeresési kísérletek automatikus észlelése és blokkolása
  • Átlátszó hatalmas oldalak letiltva: THP letiltva a jobb teljesítmény és biztonság érdekében
  • A rendszerszolgáltatás keményítése: A nem alapvető szolgáltatások, például az Apport letiltva
  • Felhasználókezelés: A legkisebb jogosultság elve külön telepített és devops felhasználókkal
  • Fájlleíró korlátok: Megnövelt korlátok a jobb teljesítmény és biztonság érdekében

Fenntartjuk a szolgáltatások magas szintű rendelkezésre állását és megbízhatóságát. Infrastruktúránkat redundanciára és hibatűrésre terveztük, hogy az e-mail szolgáltatás továbbra is működőképes maradjon. Bár nem teszünk közzé hivatalos SLA-dokumentumot, elkötelezettek vagyunk a következők mellett:

  • 99,9%+ rendelkezésre állás minden szolgáltatásnál
  • Gyors reagálás a szolgáltatási zavarokra
  • Átlátható kommunikáció az események során
  • Rendszeres karbantartás alacsony forgalmú időszakokban

Mint egy nyílt forráskódú szolgáltatás, biztonságunk előnyei:

  • Átlátszó kód, amelyet bárki ellenőrizhet
  • Közösség által vezérelt biztonsági fejlesztések
  • A sebezhetőségek gyors azonosítása és javítása
  • Nincs biztonság a homályon keresztül

  • Háttérellenőrzés minden alkalmazottnál
  • Biztonsági tudatosság képzés
  • A legkisebb hozzáférés elve
  • Rendszeres biztonsági oktatás

Folyamatosan fejlesztjük biztonsági helyzetünket az alábbiakkal:

  • A biztonsági trendek és a felmerülő fenyegetések nyomon követése
  • A biztonsági szabályzatok rendszeres felülvizsgálata és frissítése
  • Biztonsági kutatók és felhasználók visszajelzései
  • Részvétel a biztonsági közösségben

Ha további információra van szüksége biztonsági gyakorlatunkról vagy biztonsági aggályokat szeretne jelenteni, kérjük, lépjen kapcsolatba velünk security@forwardemail.net.