Pratiche di sicurezza

In Forward Email, la sicurezza è la nostra massima priorità. Abbiamo implementato misure di sicurezza complete per proteggere le tue comunicazioni e-mail e i tuoi dati personali. Questo documento delinea le nostre pratiche di sicurezza e i passaggi che adottiamo per garantire la riservatezza, l'integrità e la disponibilità della tua e-mail.

Data Center sicuri

La nostra infrastruttura è ospitata in data center conformi allo standard SOC 2 con:

  • Sicurezza fisica e sorveglianza 24 ore su 24, 7 giorni su 7
  • Controlli di accesso biometrici
  • Sistemi di alimentazione ridondanti
  • Rilevamento e spegnimento incendi avanzati
  • Monitoraggio ambientale

Sicurezza di rete

Implementiamo più livelli di sicurezza di rete:

  • Firewall di livello aziendale con rigidi elenchi di controllo degli accessi
  • Protezione e mitigazione DDoS
  • Scansione regolare delle vulnerabilità della rete
  • Sistemi di rilevamento e prevenzione delle intrusioni
  • Crittografia del traffico tra tutti gli endpoint del servizio
  • Protezione tramite scansione delle porte con blocco automatico delle attività sospette

[!IMPORTANTE] Tutti i dati in transito vengono crittografati utilizzando TLS 1.2+ con moderne suite di cifratura.

Crittografia

  • Sicurezza del livello di trasporto (TLS): Tutto il traffico e-mail viene crittografato in transito utilizzando TLS 1.2 o superiore
  • Crittografia end-to-end: Supporto per gli standard OpenPGP/MIME e S/MIME
  • Crittografia di archiviazione: Tutte le email archiviate vengono crittografate a riposo utilizzando la crittografia ChaCha20-Poly1305 nei file SQLite
  • Crittografia completa del disco: Crittografia LUKS v2 per l'intero disco
  • Protezione completa: Implementiamo la crittografia a riposo, la crittografia in memoria e la crittografia in transito

[!NOTE] Siamo il primo e unico servizio di posta elettronica al mondo a utilizzare caselle di posta SQLite crittografate individualmente e resistenti ai quanti.

Autenticazione e autorizzazione

  • Firma DKIM: Tutte le email in uscita sono firmate con DKIM
  • SPF e DMARC: Supporto completo per SPF e DMARC per prevenire lo spoofing delle e-mail
  • MTA-STS: Supporto per MTA-STS per applicare la crittografia TLS
  • Autenticazione multifattoriale: Disponibile per tutti gli accessi all'account

Misure anti-abuso

  • Filtraggio dello spam: Rilevamento dello spam multistrato con apprendimento automatico
  • Scansione antivirus: Scansione in tempo reale di tutti gli allegati
  • Limitazione della tariffa: Protezione contro attacchi di forza bruta ed enumerazione
  • Reputazione IP: Monitoraggio della reputazione IP di invio
  • Filtraggio dei contenuti: Rilevamento di URL dannosi e tentativi di phishing

Minimizzazione dei dati

Seguiamo il principio della minimizzazione dei dati:

  • Raccogliamo solo i dati necessari per fornire il nostro servizio
  • Il contenuto dell'email viene elaborato nella memoria e non memorizzato in modo persistente a meno che non sia necessario per la consegna IMAP/POP3
  • I registri vengono resi anonimi e conservati solo per il tempo necessario

Backup e ripristino

  • Backup giornalieri automatizzati con crittografia
  • Archiviazione di backup distribuita geograficamente
  • Test di ripristino del backup regolare
  • Procedure di disaster recovery con RPO e RTO definiti

Selezioniamo attentamente i nostri fornitori di servizi per garantire che rispettino i nostri elevati standard di sicurezza. Di seguito sono riportati i fornitori che utilizziamo per il trasferimento internazionale di dati e il loro stato di conformità al GDPR:

FornitoreScopoCertificato DPFPagina Conformità GDPR
Nuvola flareCDN, protezione DDoS, DNS✅ SìGDPR di Cloudflare
Pacchetto datiInfrastruttura del server❌NoRiservatezza dei pacchetti di dati
Oceano DigitaleInfrastruttura cloud❌NoGDPR di DigitalOcean
VultrInfrastruttura cloud❌NoVultr GDPR
BandaElaborazione dei pagamenti✅ SìCentro privacy Stripe
Pagamento tramite PayPalElaborazione dei pagamenti❌NoInformativa sulla privacy di PayPal

Utilizziamo questi provider per garantire un servizio affidabile e sicuro, mantenendo la conformità alle normative internazionali sulla protezione dei dati. Tutti i trasferimenti di dati vengono condotti con le opportune misure di sicurezza in atto per proteggere le tue informazioni personali.

Valutazioni di sicurezza regolari

Il nostro team monitora, esamina e valuta regolarmente la base di codice, i server, l'infrastruttura e le pratiche. Implementiamo un programma di sicurezza completo che include:

  • Rotazione regolare delle chiavi SSH
  • Monitoraggio continuo dei log di accesso
  • Scansione di sicurezza automatizzata
  • Gestione proattiva delle vulnerabilità
  • Formazione regolare sulla sicurezza per tutti i membri del team

Conformità

Il nostro piano di risposta agli incidenti di sicurezza include:

  1. Rilevamento: Sistemi di monitoraggio e allerta automatizzati
  2. Contenimento: Isolamento immediato dei sistemi interessati
  3. Eradicazione: Rimozione della minaccia e analisi della causa principale
  4. Recupero: Ripristino sicuro dei servizi
  5. Notifica: Comunicazione tempestiva con gli utenti interessati
  6. Analisi post-incidente: Revisione completa e miglioramento

[!WARNING] Se scopri una vulnerabilità di sicurezza, segnalala immediatamente a security@forwardemail.net.

flowchart LR
    A[Requirements] --> B[Design]
    B --> C[Implementation]
    C --> D[Verification]
    D --> E[Release]
    E --> F[Maintenance]
    F --> A
    B -.-> G[Threat Modeling]
    C -.-> H[Static Analysis]
    D -.-> I[Security Testing]
    E -.-> J[Final Security Review]
    F -.-> K[Vulnerability Management]

Tutto il codice viene sottoposto a:

  • Raccolta dei requisiti di sicurezza
  • Modellazione delle minacce durante la progettazione
  • Pratiche di codifica sicure
  • Test di sicurezza delle applicazioni statiche e dinamiche
  • Revisione del codice con attenzione alla sicurezza
  • Scansione delle vulnerabilità delle dipendenze

Nostro Configurazione Ansible implementa numerose misure di rafforzamento del server:

  • Accesso USB disabilitato: Le porte fisiche vengono disabilitate inserendo nella blacklist il modulo kernel usb-storage
  • Regole del firewall: Rigide regole iptables che consentono solo le connessioni necessarie
  • Indurimento SSH: Solo autenticazione basata su chiave, accesso senza password, accesso root disabilitato
  • Isolamento del servizio: Ogni servizio viene eseguito con i privilegi minimi richiesti
  • Aggiornamenti automatici: Le patch di sicurezza vengono applicate automaticamente
  • Avvio sicuro: Processo di avvio verificato per prevenire manomissioni
  • Indurimento del kernel: Parametri kernel sicuri e configurazioni sysctl
  • Restrizioni del file system: opzioni di montaggio noexec, nosuid e nodev ove appropriato
  • Core dump disabilitati: Sistema configurato per prevenire i core dump per motivi di sicurezza
  • Scambio disabilitato: Memoria di swap disabilitata per evitare perdite di dati
  • Protezione tramite scansione delle porte: Rilevamento e blocco automatizzati dei tentativi di scansione delle porte
  • Pagine enormi trasparenti disabilitate: THP disabilitato per migliorare le prestazioni e la sicurezza
  • Rafforzamento del servizio di sistema: Servizi non essenziali come Apport disabilitati
  • Gestione degli utenti: Principio del privilegio minimo con utenti separati per distribuzione e devops
  • Limiti del descrittore di file: Limiti aumentati per migliori prestazioni e sicurezza

Manteniamo un elevato livello di disponibilità e affidabilità del servizio. La nostra infrastruttura è progettata per ridondanza e tolleranza agli errori per garantire che il tuo servizio di posta elettronica rimanga operativo. Sebbene non pubblichiamo un documento SLA formale, ci impegniamo a:

  • Uptime del 99,9%+ per tutti i servizi
  • Risposta rapida alle interruzioni del servizio
  • Comunicazione trasparente durante gli incidenti
  • Manutenzione regolare durante i periodi di basso traffico

Come un servizio open source, la nostra sicurezza trae vantaggio da:

  • Codice trasparente che può essere verificato da chiunque
  • Miglioramenti della sicurezza guidati dalla comunità
  • Rapida identificazione e correzione delle vulnerabilità
  • Nessuna sicurezza attraverso l'oscurità

  • Verifiche dei precedenti per tutti i dipendenti
  • Formazione sulla consapevolezza della sicurezza
  • Principio di accesso con privilegi minimi
  • Formazione sulla sicurezza regolare

Miglioriamo costantemente la nostra posizione in materia di sicurezza attraverso:

  • Monitoraggio delle tendenze di sicurezza e delle minacce emergenti
  • Revisione e aggiornamenti regolari delle policy di sicurezza
  • Feedback da ricercatori e utenti della sicurezza
  • Partecipazione alla comunità della sicurezza

Per ulteriori informazioni sulle nostre pratiche di sicurezza o per segnalare problemi di sicurezza, contattare security@forwardemail.net.