Pratiche di sicurezza
Prefazione
In Forward Email, la sicurezza è la nostra massima priorità. Abbiamo implementato misure di sicurezza complete per proteggere le tue comunicazioni e-mail e i tuoi dati personali. Questo documento delinea le nostre pratiche di sicurezza e i passaggi che adottiamo per garantire la riservatezza, l'integrità e la disponibilità della tua e-mail.
Sicurezza delle infrastrutture
Data Center sicuri
La nostra infrastruttura è ospitata in data center conformi allo standard SOC 2 con:
- Sicurezza fisica e sorveglianza 24 ore su 24, 7 giorni su 7
- Controlli di accesso biometrici
- Sistemi di alimentazione ridondanti
- Rilevamento e spegnimento incendi avanzati
- Monitoraggio ambientale
Sicurezza di rete
Implementiamo più livelli di sicurezza di rete:
- Firewall di livello aziendale con rigidi elenchi di controllo degli accessi
- Protezione e mitigazione DDoS
- Scansione regolare delle vulnerabilità della rete
- Sistemi di rilevamento e prevenzione delle intrusioni
- Crittografia del traffico tra tutti gli endpoint del servizio
- Protezione tramite scansione delle porte con blocco automatico delle attività sospette
[!IMPORTANTE] Tutti i dati in transito vengono crittografati utilizzando TLS 1.2+ con moderne suite di cifratura.
Sicurezza della posta elettronica
Crittografia
- Sicurezza del livello di trasporto (TLS): Tutto il traffico e-mail viene crittografato in transito utilizzando TLS 1.2 o superiore
- Crittografia end-to-end: Supporto per gli standard OpenPGP/MIME e S/MIME
- Crittografia di archiviazione: Tutte le email archiviate vengono crittografate a riposo utilizzando la crittografia ChaCha20-Poly1305 nei file SQLite
- Crittografia completa del disco: Crittografia LUKS v2 per l'intero disco
- Protezione completa: Implementiamo la crittografia a riposo, la crittografia in memoria e la crittografia in transito
[!NOTE] Siamo il primo e unico servizio di posta elettronica al mondo a utilizzare caselle di posta SQLite crittografate individualmente e resistenti ai quanti.
Autenticazione e autorizzazione
- Firma DKIM: Tutte le email in uscita sono firmate con DKIM
- SPF e DMARC: Supporto completo per SPF e DMARC per prevenire lo spoofing delle e-mail
- MTA-STS: Supporto per MTA-STS per applicare la crittografia TLS
- Autenticazione multifattoriale: Disponibile per tutti gli accessi all'account
Misure anti-abuso
- Filtraggio dello spam: Rilevamento dello spam multistrato con apprendimento automatico
- Scansione antivirus: Scansione in tempo reale di tutti gli allegati
- Limitazione della tariffa: Protezione contro attacchi di forza bruta ed enumerazione
- Reputazione IP: Monitoraggio della reputazione IP di invio
- Filtraggio dei contenuti: Rilevamento di URL dannosi e tentativi di phishing
Protezione dei dati
Minimizzazione dei dati
Seguiamo il principio della minimizzazione dei dati:
- Raccogliamo solo i dati necessari per fornire il nostro servizio
- Il contenuto dell'email viene elaborato nella memoria e non memorizzato in modo persistente a meno che non sia necessario per la consegna IMAP/POP3
- I registri vengono resi anonimi e conservati solo per il tempo necessario
Backup e ripristino
- Backup giornalieri automatizzati con crittografia
- Archiviazione di backup distribuita geograficamente
- Test di ripristino del backup regolare
- Procedure di disaster recovery con RPO e RTO definiti
Fornitori di servizi
Selezioniamo attentamente i nostri fornitori di servizi per garantire che rispettino i nostri elevati standard di sicurezza. Di seguito sono riportati i fornitori che utilizziamo per il trasferimento internazionale di dati e il loro stato di conformità al GDPR:
| Fornitore | Scopo | Certificato DPF | Pagina Conformità GDPR |
|---|---|---|---|
| Nuvola flare | CDN, protezione DDoS, DNS | ✅ Sì | GDPR di Cloudflare |
| Pacchetto dati | Infrastruttura del server | ❌No | Riservatezza dei pacchetti di dati |
| Oceano Digitale | Infrastruttura cloud | ❌No | GDPR di DigitalOcean |
| Vultr | Infrastruttura cloud | ❌No | Vultr GDPR |
| Banda | Elaborazione dei pagamenti | ✅ Sì | Centro privacy Stripe |
| Pagamento tramite PayPal | Elaborazione dei pagamenti | ❌No | Informativa sulla privacy di PayPal |
Utilizziamo questi provider per garantire un servizio affidabile e sicuro, mantenendo la conformità alle normative internazionali sulla protezione dei dati. Tutti i trasferimenti di dati vengono condotti con le opportune misure di sicurezza in atto per proteggere le tue informazioni personali.
Conformità e auditing
Valutazioni di sicurezza regolari
Il nostro team monitora, esamina e valuta regolarmente la base di codice, i server, l'infrastruttura e le pratiche. Implementiamo un programma di sicurezza completo che include:
- Rotazione regolare delle chiavi SSH
- Monitoraggio continuo dei log di accesso
- Scansione di sicurezza automatizzata
- Gestione proattiva delle vulnerabilità
- Formazione regolare sulla sicurezza per tutti i membri del team
Conformità
- GDPR pratiche di gestione dei dati conformi
- Contratto di elaborazione dei dati (DPA) disponibile per i clienti aziendali
- Controlli della privacy conformi al CCPA
- Processi verificati SOC 2 Tipo II
Risposta agli incidenti
Il nostro piano di risposta agli incidenti di sicurezza include:
- Rilevamento: Sistemi di monitoraggio e allerta automatizzati
- Contenimento: Isolamento immediato dei sistemi interessati
- Eradicazione: Rimozione della minaccia e analisi della causa principale
- Recupero: Ripristino sicuro dei servizi
- Notifica: Comunicazione tempestiva con gli utenti interessati
- Analisi post-incidente: Revisione completa e miglioramento
[!WARNING] Se scopri una vulnerabilità di sicurezza, segnalala immediatamente a security@forwardemail.net.
Ciclo di sviluppo della sicurezza
flowchart LR
A[Requirements] --> B[Design]
B --> C[Implementation]
C --> D[Verification]
D --> E[Release]
E --> F[Maintenance]
F --> A
B -.-> G[Threat Modeling]
C -.-> H[Static Analysis]
D -.-> I[Security Testing]
E -.-> J[Final Security Review]
F -.-> K[Vulnerability Management]
Tutto il codice viene sottoposto a:
- Raccolta dei requisiti di sicurezza
- Modellazione delle minacce durante la progettazione
- Pratiche di codifica sicure
- Test di sicurezza delle applicazioni statiche e dinamiche
- Revisione del codice con attenzione alla sicurezza
- Scansione delle vulnerabilità delle dipendenze
Protezione del server
Nostro Configurazione Ansible implementa numerose misure di rafforzamento del server:
- Accesso USB disabilitato: Le porte fisiche vengono disabilitate inserendo nella blacklist il modulo kernel usb-storage
- Regole del firewall: Rigide regole iptables che consentono solo le connessioni necessarie
- Indurimento SSH: Solo autenticazione basata su chiave, accesso senza password, accesso root disabilitato
- Isolamento del servizio: Ogni servizio viene eseguito con i privilegi minimi richiesti
- Aggiornamenti automatici: Le patch di sicurezza vengono applicate automaticamente
- Avvio sicuro: Processo di avvio verificato per prevenire manomissioni
- Indurimento del kernel: Parametri kernel sicuri e configurazioni sysctl
- Restrizioni del file system: opzioni di montaggio noexec, nosuid e nodev ove appropriato
- Core dump disabilitati: Sistema configurato per prevenire i core dump per motivi di sicurezza
- Scambio disabilitato: Memoria di swap disabilitata per evitare perdite di dati
- Protezione tramite scansione delle porte: Rilevamento e blocco automatizzati dei tentativi di scansione delle porte
- Pagine enormi trasparenti disabilitate: THP disabilitato per migliorare le prestazioni e la sicurezza
- Rafforzamento del servizio di sistema: Servizi non essenziali come Apport disabilitati
- Gestione degli utenti: Principio del privilegio minimo con utenti separati per distribuzione e devops
- Limiti del descrittore di file: Limiti aumentati per migliori prestazioni e sicurezza
Contratto di servizio
Manteniamo un elevato livello di disponibilità e affidabilità del servizio. La nostra infrastruttura è progettata per ridondanza e tolleranza agli errori per garantire che il tuo servizio di posta elettronica rimanga operativo. Sebbene non pubblichiamo un documento SLA formale, ci impegniamo a:
- Uptime del 99,9%+ per tutti i servizi
- Risposta rapida alle interruzioni del servizio
- Comunicazione trasparente durante gli incidenti
- Manutenzione regolare durante i periodi di basso traffico
Sicurezza Open Source
Come un servizio open source, la nostra sicurezza trae vantaggio da:
- Codice trasparente che può essere verificato da chiunque
- Miglioramenti della sicurezza guidati dalla comunità
- Rapida identificazione e correzione delle vulnerabilità
- Nessuna sicurezza attraverso l'oscurità
Sicurezza dei dipendenti
- Verifiche dei precedenti per tutti i dipendenti
- Formazione sulla consapevolezza della sicurezza
- Principio di accesso con privilegi minimi
- Formazione sulla sicurezza regolare
Miglioramento continuo
Miglioriamo costantemente la nostra posizione in materia di sicurezza attraverso:
- Monitoraggio delle tendenze di sicurezza e delle minacce emergenti
- Revisione e aggiornamenti regolari delle policy di sicurezza
- Feedback da ricercatori e utenti della sicurezza
- Partecipazione alla comunità della sicurezza
Per ulteriori informazioni sulle nostre pratiche di sicurezza o per segnalare problemi di sicurezza, contattare security@forwardemail.net.