Praktik Keamanan

Di Forward Email, keamanan adalah prioritas utama kami. Kami telah menerapkan langkah-langkah keamanan yang komprehensif untuk melindungi komunikasi email dan data pribadi Anda. Dokumen ini menguraikan praktik keamanan kami dan langkah-langkah yang kami ambil untuk memastikan kerahasiaan, integritas, dan ketersediaan email Anda.

Pusat Data Aman

Infrastruktur kami dihosting di pusat data yang sesuai SOC 2 dengan:

• Keamanan fisik dan pengawasan 24/7
• Kontrol akses biometrik
• Sistem daya redundan
• Deteksi dan pemadaman kebakaran tingkat lanjut
• Pemantauan lingkungan

Keamanan Jaringan

Kami menerapkan beberapa lapisan keamanan jaringan:

• Firewall tingkat perusahaan dengan daftar kontrol akses yang ketat
• Perlindungan dan mitigasi DDoS
• Pemindaian kerentanan jaringan secara teratur
• Sistem deteksi dan pencegahan intrusi
• Enkripsi lalu lintas antara semua titik akhir layanan
• Perlindungan pemindaian port dengan pemblokiran otomatis aktivitas mencurigakan

[!PENTING] Semua data yang dikirim dienkripsi menggunakan TLS 1.2+ dengan rangkaian sandi modern.

Enkripsi

• Keamanan Lapisan Transportasi (TLS):Semua lalu lintas email dienkripsi saat transit menggunakan TLS 1.2 atau lebih tinggi
• Enkripsi Ujung-ke-Ujung: Dukungan untuk standar OpenPGP/MIME dan S/MIME
• Enkripsi Penyimpanan:Semua email yang disimpan dienkripsi saat tidak aktif menggunakan enkripsi ChaCha20-Poly1305 dalam file SQLite
• Enkripsi Disk Penuh: Enkripsi LUKS v2 untuk seluruh disk
• Perlindungan Komprehensif:Kami menerapkan enkripsi-saat-diam, enkripsi-dalam-memori, dan enkripsi-saat-transit

[!CATATAN] Kami adalah layanan email pertama dan satu-satunya di dunia yang menggunakan kotak surat SQLite yang tahan kuantum dan terenkripsi secara individual.

Autentikasi dan Otorisasi

• Penandatanganan DKIM:Semua email keluar ditandatangani dengan DKIM
• SPF dan DMARC: Dukungan penuh untuk SPF dan DMARC untuk mencegah spoofing email
• MTA-STS: Dukungan untuk MTA-STS untuk menerapkan enkripsi TLS
• Autentikasi Multi-Faktor: Tersedia untuk semua akses akun

Langkah-langkah Anti-Penyalahgunaan

• Penyaringan Spam: Deteksi spam berlapis-lapis dengan pembelajaran mesin
• Pemindaian Virus: Pemindaian semua lampiran secara real-time
• Pembatasan Tarif: Perlindungan terhadap serangan brute force dan enumerasi
• Reputasi IP: Pemantauan reputasi IP pengirim
• Penyaringan Konten: Deteksi URL berbahaya dan upaya phishing

Minimalisasi Data

Kami mengikuti prinsip minimalisasi data:

• Kami hanya mengumpulkan data yang diperlukan untuk menyediakan layanan kami
• Konten email diproses dalam memori dan tidak disimpan secara terus-menerus kecuali diperlukan untuk pengiriman IMAP/POP3
• Log dianonimkan dan disimpan hanya selama diperlukan

Pencadangan dan Pemulihan

• Pencadangan harian otomatis dengan enkripsi
• Penyimpanan cadangan yang didistribusikan secara geografis
• Pengujian pemulihan cadangan rutin
• Prosedur pemulihan bencana dengan RPO dan RTO yang ditentukan

Kami memilih penyedia layanan kami dengan cermat untuk memastikan mereka memenuhi standar keamanan tinggi kami. Berikut adalah penyedia yang kami gunakan untuk transfer data internasional dan status kepatuhan GDPR mereka:

Kami menggunakan penyedia ini untuk memastikan pengiriman layanan yang andal dan aman sekaligus mematuhi peraturan perlindungan data internasional. Semua transfer data dilakukan dengan perlindungan yang tepat untuk melindungi informasi pribadi Anda.

Penilaian Keamanan Reguler

Tim kami secara teratur memantau, meninjau, dan menilai basis kode, server, infrastruktur, dan praktik. Kami menerapkan program keamanan komprehensif yang mencakup:

• Rotasi kunci SSH secara teratur
• Pemantauan berkelanjutan terhadap log akses
• Pemindaian keamanan otomatis
• Manajemen kerentanan proaktif
• Pelatihan keamanan rutin untuk semua anggota tim

Kepatuhan

• GDPR praktik penanganan data yang patuh
• Perjanjian Pemrosesan Data (DPA) tersedia untuk pelanggan bisnis
• Kontrol privasi yang sesuai dengan CCPA
• Proses yang diaudit SOC 2 Tipe II

Rencana respons insiden keamanan kami meliputi:

1. Deteksi: Sistem pemantauan dan peringatan otomatis
2. Penahanan: Isolasi segera sistem yang terkena dampak
3. Pemberantasan: Penghapusan ancaman dan analisis akar penyebabnya
4. Pemulihan: Pemulihan layanan yang aman
5. Pemberitahuan: Komunikasi tepat waktu dengan pengguna yang terdampak
6. Analisis Pasca Insiden:Tinjauan dan perbaikan yang komprehensif

[!PERINGATAN] Jika Anda menemukan kerentanan keamanan, harap segera laporkan ke security@forwardemail.net.

flowchart LR
    A[Requirements] --> B[Design]
    B --> C[Implementation]
    C --> D[Verification]
    D --> E[Release]
    E --> F[Maintenance]
    F --> A
    B -.-> G[Threat Modeling]
    C -.-> H[Static Analysis]
    D -.-> I[Security Testing]
    E -.-> J[Final Security Review]
    F -.-> K[Vulnerability Management]

Semua kode mengalami:

• Pengumpulan persyaratan keamanan
• Pemodelan ancaman selama desain
• Praktik pengkodean yang aman
• Pengujian keamanan aplikasi statis dan dinamis
• Tinjauan kode dengan fokus keamanan
• Pemindaian kerentanan ketergantungan

Kita Konfigurasi Ansible menerapkan sejumlah langkah penguatan server:

• Akses USB DinonaktifkanPort fisik dinonaktifkan dengan memasukkan modul kernel penyimpanan usb ke dalam daftar hitam
• Aturan Firewall: Aturan iptables yang ketat hanya mengizinkan koneksi yang diperlukan
• Pengerasan SSH: Hanya autentikasi berbasis kunci, tidak ada login kata sandi, login root dinonaktifkan
• Isolasi Layanan:Setiap layanan berjalan dengan hak istimewa minimal yang diperlukan
• Pembaruan Otomatis:Patch keamanan diterapkan secara otomatis
• Booting Aman: Proses boot terverifikasi untuk mencegah gangguan
• Pengerasan Kernel: Mengamankan parameter kernel dan konfigurasi sysctl
• Pembatasan Sistem Berkas: opsi pemasangan noexec, nosuid, dan nodev jika sesuai
• Core Dumps Dinonaktifkan: Sistem dikonfigurasi untuk mencegah core dump demi keamanan
• Swap Dinonaktifkan: Memori swap dinonaktifkan untuk mencegah kebocoran data
• Perlindungan Pemindaian Port: Deteksi otomatis dan pemblokiran upaya pemindaian port
• Halaman Besar Transparan Dinonaktifkan: THP dinonaktifkan untuk meningkatkan kinerja dan keamanan
• Pengerasan Layanan Sistem: Layanan non-esensial seperti Apport dinonaktifkan
• Manajemen Pengguna: Prinsip hak istimewa paling sedikit dengan pengguna deploy dan devops yang terpisah
• Batasan Deskriptor File: Peningkatan batas untuk kinerja dan keamanan yang lebih baik

Kami menjaga ketersediaan dan keandalan layanan pada tingkat tinggi. Infrastruktur kami dirancang untuk redundansi dan toleransi kesalahan guna memastikan layanan email Anda tetap beroperasi. Meskipun kami tidak menerbitkan dokumen SLA formal, kami berkomitmen untuk:

• Uptime 99,9%+ untuk semua layanan
• Respon cepat terhadap gangguan layanan
• Komunikasi transparan selama insiden
• Perawatan rutin selama periode lalu lintas rendah

Sebagai sebuah layanan sumber terbuka, manfaat keamanan kami berasal dari:

• Kode transparan yang dapat diaudit oleh siapa saja
• Peningkatan keamanan yang digerakkan oleh komunitas
• Identifikasi dan perbaikan kerentanan secara cepat
• Tidak ada keamanan melalui ketidakjelasan

• Pemeriksaan latar belakang untuk semua karyawan
• Pelatihan kesadaran keamanan
• Prinsip akses dengan hak istimewa paling rendah
• Pendidikan keamanan reguler

Kami terus meningkatkan postur keamanan kami melalui:

• Pemantauan tren keamanan dan ancaman yang muncul
• Tinjauan dan pembaruan rutin terhadap kebijakan keamanan
• Umpan balik dari peneliti dan pengguna keamanan
• Partisipasi dalam komunitas keamanan

Untuk informasi lebih lanjut tentang praktik keamanan kami atau untuk melaporkan masalah keamanan, silakan hubungi security@forwardemail.net.

• Rahasia pribadi
• Persyaratan Layanan
• Kepatuhan GDPR
• Perjanjian Pemrosesan Data (DPA)
• Laporkan Penyalahgunaan
• Kebijakan keamanan
• Security.txt
• Repositori GitHub
• FAQ