Praktik Keamanan
Kata Pengantar
Di Forward Email, keamanan adalah prioritas utama kami. Kami telah menerapkan langkah-langkah keamanan komprehensif untuk melindungi komunikasi email dan data pribadi Anda. Dokumen ini menguraikan praktik keamanan kami dan langkah-langkah yang kami ambil untuk memastikan kerahasiaan, integritas, dan ketersediaan email Anda.
Keamanan Infrastruktur
Pusat Data Aman
Infrastruktur kami dihosting di pusat data yang sesuai dengan SOC 2 dengan:
- Keamanan dan pengawasan fisik 24/7
- Kontrol akses biometrik
- Sistem daya redundan
- Deteksi dan pemadaman kebakaran canggih
- Pemantauan lingkungan
Keamanan Jaringan
Kami menerapkan beberapa lapisan keamanan jaringan:
- Firewall kelas perusahaan dengan daftar kontrol akses yang ketat
- Perlindungan dan mitigasi DDoS
- Pemindaian kerentanan jaringan secara berkala
- Sistem deteksi dan pencegahan intrusi
- Enkripsi lalu lintas antar titik akhir layanan
- Perlindungan pemindaian port dengan pemblokiran otomatis aktivitas mencurigakan
Important
Semua data yang dikirim dienkripsi menggunakan TLS 1.2+ dengan rangkaian sandi modern.
Keamanan Email
Enkripsi
- Keamanan Lapisan Transportasi (TLS): Semua lalu lintas email dienkripsi saat transit menggunakan TLS 1.2 atau yang lebih tinggi
- Enkripsi Ujung-ke-Ujung: Dukungan untuk standar OpenPGP/MIME dan S/MIME
- Enkripsi Penyimpanan: Semua email yang tersimpan dienkripsi saat tidak aktif menggunakan enkripsi ChaCha20-Poly1305 dalam file SQLite
- Enkripsi Disk Penuh: Enkripsi LUKS v2 untuk seluruh disk
- Perlindungan Komprehensif: Kami menerapkan enkripsi saat tidak aktif, enkripsi dalam memori, dan enkripsi saat transit
Note
Kami adalah layanan email pertama dan satu-satunya di dunia yang menggunakan kotak surat SQLite yang tahan kuantum dan terenkripsi secara individual.
Autentikasi dan Otorisasi
- Penandatanganan DKIM: Semua email keluar ditandatangani dengan DKIM
- SPF dan DMARC: Dukungan penuh untuk SPF dan DMARC guna mencegah spoofing email
- MTA-STS: Dukungan untuk MTA-STS guna menerapkan enkripsi TLS
- Autentikasi Multifaktor: Tersedia untuk semua akses akun
Tindakan Anti-Penyalahgunaan
- Penyaringan Spam: Deteksi spam berlapis dengan pembelajaran mesin
- Pemindaian Virus: Pemindaian semua lampiran secara real-time
- Pembatasan Kecepatan: Perlindungan terhadap serangan brute force dan enumerasi
- Reputasi IP: Pemantauan reputasi IP pengirim
- Penyaringan Konten: Deteksi URL berbahaya dan upaya phishing
Perlindungan Data
Minimalisasi Data
Kami mengikuti prinsip minimalisasi data:
- Kami hanya mengumpulkan data yang diperlukan untuk menyediakan layanan kami
- Konten email diproses dalam memori dan tidak disimpan secara permanen kecuali diperlukan untuk pengiriman IMAP/POP3
- Log dianonimkan dan disimpan hanya selama diperlukan
Pencadangan dan Pemulihan
- Pencadangan harian otomatis dengan enkripsi
- Penyimpanan cadangan yang tersebar secara geografis
- Pengujian pemulihan cadangan secara berkala
- Prosedur pemulihan bencana dengan RPO dan RTO yang telah ditentukan
Penyedia Layanan
Kami memilih penyedia layanan kami dengan cermat untuk memastikan mereka memenuhi standar keamanan tinggi kami. Berikut adalah penyedia yang kami gunakan untuk transfer data internasional dan status kepatuhan GDPR mereka:
| Penyedia | Tujuan | Bersertifikat DPF | Halaman Kepatuhan GDPR |
|---|---|---|---|
| Cloudflare | CDN, perlindungan DDoS, DNS | ✅ Ya | Cloudflare GDPR |
| DataPacket | Infrastruktur server | ❌ Tidak | DataPacket Privacy |
| Digital Ocean | Infrastruktur awan | ❌ Tidak | DigitalOcean GDPR |
| Vultr | Infrastruktur awan | ❌ Tidak | Vultr GDPR |
| Stripe | Pemrosesan pembayaran | ✅ Ya | Stripe Privacy Center |
| PayPal | Pemrosesan pembayaran | ❌ Tidak | PayPal Privacy |
Kami menggunakan penyedia ini untuk memastikan penyediaan layanan yang andal dan aman, sekaligus mematuhi peraturan perlindungan data internasional. Semua transfer data dilakukan dengan perlindungan yang memadai untuk melindungi informasi pribadi Anda.
Kepatuhan dan Audit
Penilaian Keamanan Reguler
Tim kami secara berkala memantau, meninjau, dan menilai basis kode, server, infrastruktur, dan praktik kami. Kami menerapkan program keamanan komprehensif yang mencakup:
- Rotasi kunci SSH secara berkala
- Pemantauan log akses secara berkelanjutan
- Pemindaian keamanan otomatis
- Manajemen kerentanan proaktif
- Pelatihan keamanan rutin untuk seluruh anggota tim
Kepatuhan
- Praktik penanganan data yang sesuai dengan GDPR
- Perjanjian Pemrosesan Data (DPA) tersedia untuk pelanggan bisnis
- Kontrol privasi yang sesuai dengan CCPA
- Proses yang diaudit SOC 2 Tipe II
Respons Insiden
Rencana respons insiden keamanan kami meliputi:
- Deteksi: Sistem pemantauan dan peringatan otomatis
- Penahanan: Isolasi segera sistem yang terdampak
- Pemberantasan: Penghapusan ancaman dan analisis akar penyebab
- Pemulihan: Pemulihan layanan yang aman
- Notifikasi: Komunikasi tepat waktu dengan pengguna yang terdampak
- Analisis Pasca-insiden: Tinjauan dan perbaikan komprehensif
Warning
Jika Anda menemukan kerentanan keamanan, harap segera laporkan ke security@forwardemail.net.
Siklus Pengembangan Keamanan
Semua kode mengalami:
- Pengumpulan persyaratan keamanan
- Pemodelan ancaman selama desain
- Praktik pengkodean yang aman
- Pengujian keamanan aplikasi statis dan dinamis
- Peninjauan kode dengan fokus keamanan
- Pemindaian kerentanan dependensi
Pengerasan Server
Konfigurasi Ansible kami menerapkan sejumlah langkah penguatan server:
- Akses USB Dinonaktifkan: Port fisik dinonaktifkan dengan memasukkan modul kernel usb-storage ke daftar hitam
- Aturan Firewall: Aturan iptables yang ketat hanya mengizinkan koneksi yang diperlukan
- Pengerasan SSH: Hanya autentikasi berbasis kunci, tanpa login kata sandi, login root dinonaktifkan
- Isolasi Layanan: Setiap layanan berjalan dengan hak istimewa minimum yang diperlukan
- Pembaruan Otomatis: Patch keamanan diterapkan secara otomatis
- Boot Aman: Proses boot terverifikasi untuk mencegah manipulasi
- Pengerasan Kernel: Mengamankan parameter kernel dan konfigurasi sysctl
- Pembatasan Sistem Berkas: Opsi pemasangan noexec, nosuid, dan nodev jika diperlukan
- Pembuangan Inti Dinonaktifkan: Sistem dikonfigurasi untuk mencegah pembuangan inti demi keamanan
- Swap Dinonaktifkan: Memori swap dinonaktifkan untuk mencegah kebocoran data
- Perlindungan Pemindaian Port: Deteksi dan pemblokiran otomatis upaya pemindaian port
- Halaman Besar Transparan Dinonaktifkan: THP dinonaktifkan untuk meningkatkan kinerja dan keamanan
- Layanan Sistem Pengerasan: Layanan non-esensial seperti Apport dinonaktifkan
- Manajemen Pengguna: Prinsip hak istimewa terkecil dengan pengguna deploy dan devops terpisah
- Batas Deskriptor Berkas: Peningkatan batas untuk performa dan keamanan yang lebih baik
Perjanjian Tingkat Layanan
Kami menjaga ketersediaan dan keandalan layanan tingkat tinggi. Infrastruktur kami dirancang untuk redundansi dan toleransi kesalahan guna memastikan layanan email Anda tetap beroperasi. Meskipun kami tidak menerbitkan dokumen SLA resmi, kami berkomitmen untuk:
- Uptime 99,9%+ untuk semua layanan
- Respons cepat terhadap gangguan layanan
- Komunikasi transparan selama insiden
- Pemeliharaan rutin selama periode lalu lintas rendah
Keamanan Sumber Terbuka
Sebagai layanan sumber terbuka, keamanan kami mendapat manfaat dari:
- Kode transparan yang dapat diaudit oleh siapa pun
- Peningkatan keamanan berbasis komunitas
- Identifikasi dan perbaikan kerentanan yang cepat
- Keamanan tanpa hambatan
Keamanan Karyawan
- Pemeriksaan latar belakang untuk semua karyawan
- Pelatihan kesadaran keamanan
- Prinsip akses dengan hak istimewa paling rendah
- Pendidikan keamanan berkala
Peningkatan Berkelanjutan
Kami terus meningkatkan postur keamanan kami melalui:
- Pemantauan tren keamanan dan ancaman yang muncul
- Tinjauan dan pembaruan kebijakan keamanan secara berkala
- Umpan balik dari peneliti dan pengguna keamanan
- Partisipasi dalam komunitas keamanan
Untuk informasi lebih lanjut tentang praktik keamanan kami atau untuk melaporkan masalah keamanan, silakan hubungi security@forwardemail.net.