Pratiche di sicurezza
Prefazione
Per Forward Email, la sicurezza è la nostra massima priorità. Abbiamo implementato misure di sicurezza complete per proteggere le tue comunicazioni email e i tuoi dati personali. Questo documento illustra le nostre pratiche di sicurezza e le misure che adottiamo per garantire la riservatezza, l'integrità e la disponibilità delle tue email.
Sicurezza dell'infrastruttura
Data center sicuri
La nostra infrastruttura è ospitata in data center conformi allo standard SOC 2 con:
- Sicurezza fisica e sorveglianza 24 ore su 24, 7 giorni su 7
- Controlli di accesso biometrici
- Sistemi di alimentazione ridondanti
- Rilevazione e spegnimento incendi avanzati
- Monitoraggio ambientale
Sicurezza di rete
Implementiamo più livelli di sicurezza di rete:
- Firewall di livello enterprise con rigorosi elenchi di controllo degli accessi
- Protezione e mitigazione DDoS
- Scansione periodica delle vulnerabilità di rete
- Sistemi di rilevamento e prevenzione delle intrusioni
- Crittografia del traffico tra tutti gli endpoint di servizio
- Protezione tramite scansione delle porte con blocco automatico delle attività sospette
Important
Tutti i dati in transito vengono crittografati utilizzando TLS 1.2+ con suite di cifratura moderne.
Sicurezza e-mail
Crittografia
- Transport Layer Security (TLS): tutto il traffico email viene crittografato in transito utilizzando TLS 1.2 o superiore
- Crittografia end-to-end: supporto per gli standard OpenPGP/MIME e S/MIME
- Crittografia dell'archiviazione: tutte le email archiviate vengono crittografate a riposo utilizzando la crittografia ChaCha20-Poly1305 nei file SQLite
- Crittografia completa del disco: crittografia LUKS v2 per l'intero disco
- Protezione completa: implementiamo crittografia a riposo, crittografia in memoria e crittografia in transito
Note
Siamo il primo e unico servizio di posta elettronica al mondo a utilizzare caselle di posta SQLite resistenti ai quanti e crittografate individualmente.
Autenticazione e autorizzazione
- Firma DKIM: Tutte le email in uscita sono firmate con DKIM
- SPF e DMARC: Supporto completo per SPF e DMARC per prevenire lo spoofing delle email
- MTA-STS: Supporto per MTA-STS per applicare la crittografia TLS
- Autenticazione a più fattori: Disponibile per tutti gli accessi agli account
Misure anti-abuso
- Filtro antispam: Rilevamento antispam multilivello con apprendimento automatico
- Scansione antivirus: Scansione in tempo reale di tutti gli allegati
- Rate Limiting: Protezione da attacchi di forza bruta ed enumerazione
- Reputazione IP: Monitoraggio della reputazione dell'IP di invio
- Filtro contenuti: Rilevamento di URL dannosi e tentativi di phishing
Protezione dei dati
Minimizzazione dei dati
Seguiamo il principio della minimizzazione dei dati:
- Raccogliamo solo i dati necessari per fornire il nostro servizio
- Il contenuto delle email viene elaborato in memoria e non archiviato in modo persistente, a meno che non sia necessario per la consegna tramite IMAP/POP3
- I log sono resi anonimi e conservati solo per il tempo necessario
Backup e ripristino
- Backup giornalieri automatizzati con crittografia
- Archiviazione di backup distribuita geograficamente
- Test periodici di ripristino dei backup
- Procedure di disaster recovery con RPO e RTO definiti
Fornitori di servizi
Selezioniamo attentamente i nostri fornitori di servizi per garantire che rispettino i nostri elevati standard di sicurezza. Di seguito sono elencati i fornitori che utilizziamo per il trasferimento internazionale di dati e il loro stato di conformità al GDPR:
| Fornitore | Scopo | Certificato DPF | Pagina di conformità al GDPR |
|---|---|---|---|
| Cloudflare | CDN, protezione DDoS, DNS | ✅ Sì | Cloudflare GDPR |
| DataPacket | Infrastruttura del server | ❌ No | DataPacket Privacy |
| Digital Ocean | Infrastruttura cloud | ❌ No | DigitalOcean GDPR |
| Vultr | Infrastruttura cloud | ❌ No | Vultr GDPR |
| Stripe | Elaborazione dei pagamenti | ✅ Sì | Stripe Privacy Center |
| PayPal | Elaborazione dei pagamenti | ❌ No | PayPal Privacy |
Utilizziamo questi fornitori per garantire un servizio affidabile e sicuro, nel rispetto delle normative internazionali sulla protezione dei dati. Tutti i trasferimenti di dati vengono effettuati adottando misure di sicurezza adeguate per proteggere le vostre informazioni personali.
Conformità e audit
Valutazioni di sicurezza regolari
Il nostro team monitora, esamina e valuta regolarmente la base di codice, i server, l'infrastruttura e le pratiche. Implementiamo un programma di sicurezza completo che include:
- Rotazione regolare delle chiavi SSH
- Monitoraggio continuo dei log di accesso
- Scansione di sicurezza automatizzata
- Gestione proattiva delle vulnerabilità
- Formazione regolare sulla sicurezza per tutti i membri del team
Conformità
- Pratiche di gestione dei dati conformi a GDPR
- Contratto di elaborazione dei dati (DPA) disponibile per i clienti aziendali
- Controlli della privacy conformi al CCPA
- Processi verificati SOC 2 Tipo II
Risposta all'incidente
Il nostro piano di risposta agli incidenti di sicurezza include:
- Rilevamento: Sistemi di monitoraggio e avviso automatizzati
- Contenimento: Isolamento immediato dei sistemi interessati
- Eradicazione: Rimozione della minaccia e analisi delle cause principali
- Ripristino: Ripristino sicuro dei servizi
- Notifica: Comunicazione tempestiva con gli utenti interessati
- Analisi post-incidente: Revisione completa e miglioramento
Warning
Se scopri una vulnerabilità di sicurezza, segnalala immediatamente a security@forwardemail.net.
Ciclo di vita dello sviluppo della sicurezza
Tutto il codice viene sottoposto a:
- Raccolta dei requisiti di sicurezza
- Modellazione delle minacce durante la progettazione
- Pratiche di codifica sicura
- Test di sicurezza delle applicazioni statiche e dinamiche
- Revisione del codice con focus sulla sicurezza
- Scansione delle vulnerabilità delle dipendenze
Rafforzamento del server
Il nostro Configurazione Ansible implementa numerose misure di rafforzamento del server:
- Accesso USB disabilitato: le porte fisiche vengono disabilitate inserendo nella blacklist il modulo kernel usb-storage
- Regole firewall: regole iptables rigorose che consentono solo le connessioni necessarie
- Protezione SSH: solo autenticazione basata su chiave, accesso senza password, accesso root disabilitato
- Isolamento dei servizi: ogni servizio viene eseguito con i privilegi minimi richiesti
- Aggiornamenti automatici: le patch di sicurezza vengono applicate automaticamente
- Avvio sicuro: processo di avvio verificato per prevenire manomissioni
- Protezione del kernel: parametri del kernel sicuri e configurazioni sysctl
- Restrizioni del file system: opzioni di montaggio noexec, nosuid e nodev ove appropriate
- Core dump disabilitati: sistema configurato per impedire i core dump per motivi di sicurezza
- Swap disabilitato: memoria di swap disabilitata per prevenire la perdita di dati
- Protezione scansione porte: rilevamento e blocco automatici dei tentativi di scansione porte
- Transparent Huge Pages disabilitate: THP disabilitato per migliorare prestazioni e sicurezza
- Protezione dei servizi di sistema: Servizi non essenziali come Apport disabilitati
- Gestione utenti: Principio dei privilegi minimi con utenti di deploy e DevOps separati
- Limiti dei descrittori di file: Limiti aumentati per prestazioni e sicurezza migliori
Contratto di servizio
Manteniamo un elevato livello di disponibilità e affidabilità del servizio. La nostra infrastruttura è progettata per garantire ridondanza e tolleranza agli errori, garantendo la continuità operativa del tuo servizio di posta elettronica. Sebbene non pubblichiamo un documento SLA formale, ci impegniamo a:
- Tempo di attività superiore al 99,9% per tutti i servizi
- Risposta rapida alle interruzioni del servizio
- Comunicazione trasparente in caso di incidenti
- Manutenzione regolare durante i periodi di basso traffico
Sicurezza Open Source
In qualità di servizio open source, la nostra sicurezza trae vantaggio da:
- Codice trasparente che può essere verificato da chiunque
- Miglioramenti della sicurezza guidati dalla community
- Rapida identificazione e correzione delle vulnerabilità
- Nessuna sicurezza attraverso l'oscurità
Sicurezza dei dipendenti
- Verifiche dei precedenti per tutti i dipendenti
- Formazione sulla sicurezza informatica
- Principio di accesso con privilegi minimi
- Formazione periodica sulla sicurezza
Miglioramento continuo
Miglioriamo costantemente la nostra strategia di sicurezza attraverso:
- Monitoraggio delle tendenze di sicurezza e delle minacce emergenti
- Revisione e aggiornamento periodici delle policy di sicurezza
- Feedback da parte di ricercatori e utenti della sicurezza
- Partecipazione alla community sulla sicurezza
Per maggiori informazioni sulle nostre pratiche di sicurezza o per segnalare problemi di sicurezza, contattare security@forwardemail.net.