Pratiche di sicurezza

Prefazione

Per Forward Email, la sicurezza è la nostra massima priorità. Abbiamo implementato misure di sicurezza complete per proteggere le tue comunicazioni email e i tuoi dati personali. Questo documento illustra le nostre pratiche di sicurezza e le misure che adottiamo per garantire la riservatezza, l'integrità e la disponibilità delle tue email.

Sicurezza dell'infrastruttura

Data center sicuri

La nostra infrastruttura è ospitata in data center conformi allo standard SOC 2 con:

  • Sicurezza fisica e sorveglianza 24 ore su 24, 7 giorni su 7
  • Controlli di accesso biometrici
  • Sistemi di alimentazione ridondanti
  • Rilevazione e spegnimento incendi avanzati
  • Monitoraggio ambientale

Sicurezza di rete

Implementiamo più livelli di sicurezza di rete:

  • Firewall di livello enterprise con rigorosi elenchi di controllo degli accessi
  • Protezione e mitigazione DDoS
  • Scansione periodica delle vulnerabilità di rete
  • Sistemi di rilevamento e prevenzione delle intrusioni
  • Crittografia del traffico tra tutti gli endpoint di servizio
  • Protezione tramite scansione delle porte con blocco automatico delle attività sospette

Important

Tutti i dati in transito vengono crittografati utilizzando TLS 1.2+ con suite di cifratura moderne.

Sicurezza e-mail

Crittografia

  • Transport Layer Security (TLS): tutto il traffico email viene crittografato in transito utilizzando TLS 1.2 o superiore
  • Crittografia end-to-end: supporto per gli standard OpenPGP/MIME e S/MIME
  • Crittografia dell'archiviazione: tutte le email archiviate vengono crittografate a riposo utilizzando la crittografia ChaCha20-Poly1305 nei file SQLite
  • Crittografia completa del disco: crittografia LUKS v2 per l'intero disco
  • Protezione completa: implementiamo crittografia a riposo, crittografia in memoria e crittografia in transito

Note

Siamo il primo e unico servizio di posta elettronica al mondo a utilizzare caselle di posta SQLite resistenti ai quanti e crittografate individualmente.

Autenticazione e autorizzazione

  • Firma DKIM: Tutte le email in uscita sono firmate con DKIM
  • SPF e DMARC: Supporto completo per SPF e DMARC per prevenire lo spoofing delle email
  • MTA-STS: Supporto per MTA-STS per applicare la crittografia TLS
  • Autenticazione a più fattori: Disponibile per tutti gli accessi agli account

Misure anti-abuso

  • Filtro antispam: Rilevamento antispam multilivello con apprendimento automatico
  • Scansione antivirus: Scansione in tempo reale di tutti gli allegati
  • Rate Limiting: Protezione da attacchi di forza bruta ed enumerazione
  • Reputazione IP: Monitoraggio della reputazione dell'IP di invio
  • Filtro contenuti: Rilevamento di URL dannosi e tentativi di phishing

Protezione dei dati

Minimizzazione dei dati

Seguiamo il principio della minimizzazione dei dati:

  • Raccogliamo solo i dati necessari per fornire il nostro servizio
  • Il contenuto delle email viene elaborato in memoria e non archiviato in modo persistente, a meno che non sia necessario per la consegna tramite IMAP/POP3
  • I log sono resi anonimi e conservati solo per il tempo necessario

Backup e ripristino

  • Backup giornalieri automatizzati con crittografia
  • Archiviazione di backup distribuita geograficamente
  • Test periodici di ripristino dei backup
  • Procedure di disaster recovery con RPO e RTO definiti

Fornitori di servizi

Selezioniamo attentamente i nostri fornitori di servizi per garantire che rispettino i nostri elevati standard di sicurezza. Di seguito sono elencati i fornitori che utilizziamo per il trasferimento internazionale di dati e il loro stato di conformità al GDPR:

Fornitore Scopo Certificato DPF Pagina di conformità al GDPR
Cloudflare CDN, protezione DDoS, DNS ✅ Sì Cloudflare GDPR
DataPacket Infrastruttura del server ❌ No DataPacket Privacy
Digital Ocean Infrastruttura cloud ❌ No DigitalOcean GDPR
Vultr Infrastruttura cloud ❌ No Vultr GDPR
Stripe Elaborazione dei pagamenti ✅ Sì Stripe Privacy Center
PayPal Elaborazione dei pagamenti ❌ No PayPal Privacy

Utilizziamo questi fornitori per garantire un servizio affidabile e sicuro, nel rispetto delle normative internazionali sulla protezione dei dati. Tutti i trasferimenti di dati vengono effettuati adottando misure di sicurezza adeguate per proteggere le vostre informazioni personali.

Conformità e audit

Valutazioni di sicurezza regolari

Il nostro team monitora, esamina e valuta regolarmente la base di codice, i server, l'infrastruttura e le pratiche. Implementiamo un programma di sicurezza completo che include:

  • Rotazione regolare delle chiavi SSH
  • Monitoraggio continuo dei log di accesso
  • Scansione di sicurezza automatizzata
  • Gestione proattiva delle vulnerabilità
  • Formazione regolare sulla sicurezza per tutti i membri del team

Conformità

Risposta all'incidente

Il nostro piano di risposta agli incidenti di sicurezza include:

  1. Rilevamento: Sistemi di monitoraggio e avviso automatizzati
  2. Contenimento: Isolamento immediato dei sistemi interessati
  3. Eradicazione: Rimozione della minaccia e analisi delle cause principali
  4. Ripristino: Ripristino sicuro dei servizi
  5. Notifica: Comunicazione tempestiva con gli utenti interessati
  6. Analisi post-incidente: Revisione completa e miglioramento

Warning

Se scopri una vulnerabilità di sicurezza, segnalala immediatamente a security@forwardemail.net.

Ciclo di vita dello sviluppo della sicurezza

Tutto il codice viene sottoposto a:

  • Raccolta dei requisiti di sicurezza
  • Modellazione delle minacce durante la progettazione
  • Pratiche di codifica sicura
  • Test di sicurezza delle applicazioni statiche e dinamiche
  • Revisione del codice con focus sulla sicurezza
  • Scansione delle vulnerabilità delle dipendenze

Rafforzamento del server

Il nostro Configurazione Ansible implementa numerose misure di rafforzamento del server:

  • Accesso USB disabilitato: le porte fisiche vengono disabilitate inserendo nella blacklist il modulo kernel usb-storage
  • Regole firewall: regole iptables rigorose che consentono solo le connessioni necessarie
  • Protezione SSH: solo autenticazione basata su chiave, accesso senza password, accesso root disabilitato
  • Isolamento dei servizi: ogni servizio viene eseguito con i privilegi minimi richiesti
  • Aggiornamenti automatici: le patch di sicurezza vengono applicate automaticamente
  • Avvio sicuro: processo di avvio verificato per prevenire manomissioni
  • Protezione del kernel: parametri del kernel sicuri e configurazioni sysctl
  • Restrizioni del file system: opzioni di montaggio noexec, nosuid e nodev ove appropriate
  • Core dump disabilitati: sistema configurato per impedire i core dump per motivi di sicurezza
  • Swap disabilitato: memoria di swap disabilitata per prevenire la perdita di dati
  • Protezione scansione porte: rilevamento e blocco automatici dei tentativi di scansione porte
  • Transparent Huge Pages disabilitate: THP disabilitato per migliorare prestazioni e sicurezza
  • Protezione dei servizi di sistema: Servizi non essenziali come Apport disabilitati
  • Gestione utenti: Principio dei privilegi minimi con utenti di deploy e DevOps separati
  • Limiti dei descrittori di file: Limiti aumentati per prestazioni e sicurezza migliori

Contratto di servizio

Manteniamo un elevato livello di disponibilità e affidabilità del servizio. La nostra infrastruttura è progettata per garantire ridondanza e tolleranza agli errori, garantendo la continuità operativa del tuo servizio di posta elettronica. Sebbene non pubblichiamo un documento SLA formale, ci impegniamo a:

  • Tempo di attività superiore al 99,9% per tutti i servizi
  • Risposta rapida alle interruzioni del servizio
  • Comunicazione trasparente in caso di incidenti
  • Manutenzione regolare durante i periodi di basso traffico

Sicurezza Open Source

In qualità di servizio open source, la nostra sicurezza trae vantaggio da:

  • Codice trasparente che può essere verificato da chiunque
  • Miglioramenti della sicurezza guidati dalla community
  • Rapida identificazione e correzione delle vulnerabilità
  • Nessuna sicurezza attraverso l'oscurità

Sicurezza dei dipendenti

  • Verifiche dei precedenti per tutti i dipendenti
  • Formazione sulla sicurezza informatica
  • Principio di accesso con privilegi minimi
  • Formazione periodica sulla sicurezza

Miglioramento continuo

Miglioriamo costantemente la nostra strategia di sicurezza attraverso:

  • Monitoraggio delle tendenze di sicurezza e delle minacce emergenti
  • Revisione e aggiornamento periodici delle policy di sicurezza
  • Feedback da parte di ricercatori e utenti della sicurezza
  • Partecipazione alla community sulla sicurezza

Per maggiori informazioni sulle nostre pratiche di sicurezza o per segnalare problemi di sicurezza, contattare security@forwardemail.net.

Risorse aggiuntive