Veiligheidspraktijken
Voorwoord
Bij Forward Email is beveiliging onze topprioriteit. We hebben uitgebreide beveiligingsmaatregelen geïmplementeerd om uw e-mailcommunicatie en persoonlijke gegevens te beschermen. Dit document beschrijft onze beveiligingspraktijken en de stappen die we nemen om de vertrouwelijkheid, integriteit en beschikbaarheid van uw e-mail te waarborgen.
Infrastructuurbeveiliging
Veilige datacenters
Onze infrastructuur wordt gehost in SOC 2-conforme datacenters met:
- 24/7 fysieke beveiliging en bewaking
- Biometrische toegangscontroles
- Redundante energiesystemen
- Geavanceerde branddetectie en -bestrijding
- Milieumonitoring
Netwerkbeveiliging
Wij implementeren meerdere lagen netwerkbeveiliging:
- Firewalls van ondernemingskwaliteit met strikte toegangscontrolelijsten
- Bescherming en beperking van DDoS
- Regelmatige netwerkkwetsbaarheidsscans
- Intrusiedetectie- en preventiesystemen
- Verkeersversleuteling tussen alle service-eindpunten
- Bescherming tegen poortscanning met automatische blokkering van verdachte activiteiten
[!BELANGRIJK] Alle gegevens in transit worden gecodeerd met TLS 1.2+ met moderne cipher suites.
E-mailbeveiliging
Encryptie
- Transportlaagbeveiliging (TLS): Al het e-mailverkeer wordt tijdens de overdracht versleuteld met TLS 1.2 of hoger
- End-to-end-encryptie: Ondersteuning voor OpenPGP/MIME en S/MIME standaarden
- Opslagversleuteling:Alle opgeslagen e-mails worden in rust versleuteld met behulp van ChaCha20-Poly1305-versleuteling in SQLite-bestanden
- Volledige schijfversleuteling: LUKS v2-codering voor de gehele schijf
- Uitgebreide bescherming: We implementeren encryptie-in-rust, encryptie-in-memory en encryptie-in-transit
[!NOTE] Wij zijn 's werelds eerste en enige e-mailservice die gebruikmaakt van kwantumbestendige en individueel gecodeerde SQLite-mailboxen.
Authenticatie en autorisatie
- DKIM-ondertekening:Alle uitgaande e-mails zijn ondertekend met DKIM
- SPF en DMARC: Volledige ondersteuning voor SPF en DMARC om e-mailspoofing te voorkomen
- MTA-STS: Ondersteuning voor MTA-STS om TLS-encryptie af te dwingen
- Multi-factor-authenticatie: Beschikbaar voor alle accounttoegang
Maatregelen tegen misbruik
- Spamfiltering: Meerlaagse spamdetectie met machine learning
- Virusscannen: Realtime scannen van alle bijlagen
- Snelheidsbeperking: Bescherming tegen brute force- en enumeratie-aanvallen
- IP-reputatie: Monitoring van de reputatie van het verzenden van IP
- Inhoudsfiltering: Detectie van kwaadaardige URL's en phishingpogingen
Gegevensbescherming
Gegevensminimalisatie
Wij hanteren het principe van dataminimalisatie:
- Wij verzamelen alleen de gegevens die nodig zijn om onze service te verlenen
- E-mailinhoud wordt in het geheugen verwerkt en niet permanent opgeslagen, tenzij dit vereist is voor IMAP/POP3-levering
- Logs worden geanonimiseerd en alleen bewaard zolang dat nodig is
Back-up en herstel
- Geautomatiseerde dagelijkse back-ups met encryptie
- Geografisch verspreide back-upopslag
- Regelmatige back-uphersteltests
- Procedures voor herstel na een ramp met gedefinieerde RPO en RTO
Dienstverleners
We selecteren onze serviceproviders zorgvuldig om ervoor te zorgen dat ze voldoen aan onze hoge veiligheidsnormen. Hieronder staan de providers die we gebruiken voor internationale gegevensoverdracht en hun GDPR-nalevingsstatus:
| Aanbieder | Doel | DPF-gecertificeerd | Pagina voor naleving van de AVG |
|---|---|---|---|
| Wolkflare | CDN, DDoS-beveiliging, DNS | ✅ Ja | Cloudflare AVG |
| Gegevenspakket | Serverinfrastructuur | ❌ Nee | DataPacket-privacy |
| Digitale Oceaan | Cloudinfrastructuur | ❌ Nee | AVG van DigitalOcean |
| vultr | Cloudinfrastructuur | ❌ Nee | Vultr AVG |
| Streep | Betalingsverwerking | ✅ Ja | Stripe Privacycentrum |
| PayPal | Betalingsverwerking | ❌ Nee | PayPal-privacy |
Wij gebruiken deze providers om betrouwbare, veilige dienstverlening te garanderen en tegelijkertijd te voldoen aan de internationale regelgeving inzake gegevensbescherming. Alle gegevensoverdrachten worden uitgevoerd met passende waarborgen om uw persoonlijke informatie te beschermen.
Naleving en auditing
Regelmatige veiligheidsbeoordelingen
Ons team controleert, beoordeelt en beoordeelt regelmatig de codebase, servers, infrastructuur en praktijken. We implementeren een uitgebreid beveiligingsprogramma dat het volgende omvat:
- Regelmatige rotatie van SSH-sleutels
- Continue monitoring van toegangslogboeken
- Geautomatiseerde beveiligingsscans
- Proactief kwetsbaarheidsbeheer
- Regelmatige beveiligingstraining voor alle teamleden
Naleving
- GDPR conforme gegevensverwerkingspraktijken
- Gegevensverwerkingsovereenkomst (DPA) beschikbaar voor zakelijke klanten
- CCPA-conforme privacycontroles
- SOC 2 Type II gecontroleerde processen
Reactie op incidenten
Ons plan voor respons op beveiligingsincidenten omvat:
- Detectie: Geautomatiseerde monitoring- en waarschuwingssystemen
- Inperking: Onmiddellijke isolatie van de getroffen systemen
- Uitroeiing: Verwijdering van de bedreiging en analyse van de grondoorzaak
- Herstel: Veilige herstelling van diensten
- Kennisgeving: Tijdige communicatie met getroffen gebruikers
- Analyse na het incident: Uitgebreide beoordeling en verbetering
[!WAARSCHUWING] Als u een beveiligingslek ontdekt, meld dit dan onmiddellijk aan security@forwardemail.net.
Levenscyclus van beveiligingsontwikkeling
flowchart LR
A[Requirements] --> B[Design]
B --> C[Implementation]
C --> D[Verification]
D --> E[Release]
E --> F[Maintenance]
F --> A
B -.-> G[Threat Modeling]
C -.-> H[Static Analysis]
D -.-> I[Security Testing]
E -.-> J[Final Security Review]
F -.-> K[Vulnerability Management]
Alle code ondergaat:
- Verzamelen van beveiligingsvereisten
- Bedreigingsmodellering tijdens ontwerp
- Veilige coderingspraktijken
- Statische en dynamische applicatiebeveiligingstesten
- Codebeoordeling met focus op beveiliging
- Afhankelijkheidskwetsbaarheidsscanning
Serververharding
Ons Ansible-configuratie implementeert talrijke serverbeveiligingsmaatregelen:
- USB-toegang uitgeschakeld: Fysieke poorten worden uitgeschakeld door de usb-storage kernelmodule op een zwarte lijst te zetten
- Firewall-regels: Strikte iptables-regels die alleen noodzakelijke verbindingen toestaan
- SSH-verharding: Alleen authenticatie op basis van sleutels, geen wachtwoordaanmelding, root-aanmelding uitgeschakeld
- Service-isolatie: Elke service wordt uitgevoerd met de minimaal vereiste rechten
- Automatische updates: Beveiligingspatches worden automatisch toegepast
- Veilig opstarten: Geverifieerd opstartproces om manipulatie te voorkomen
- Kernelverharding: Veilige kernelparameters en sysctl-configuraties
- Beperkingen van het bestandssysteem: noexec, nosuid en nodev mountopties waar van toepassing
- Core Dumps uitgeschakeld: Systeem geconfigureerd om core dumps te voorkomen voor de beveiliging
- Ruilen uitgeschakeld: Wisselgeheugen uitgeschakeld om datalekken te voorkomen
- Poortscanbeveiliging: Geautomatiseerde detectie en blokkering van poortscanpogingen
- Transparante grote pagina's uitgeschakeld: THP uitgeschakeld voor verbeterde prestaties en beveiliging
- Systeemservice-hardening: Niet-essentiële diensten zoals Apport zijn uitgeschakeld
- Gebruikersbeheer: Principe van de minste privileges met afzonderlijke implementatie- en Devops-gebruikers
- Limieten voor bestandsdescriptoren: Hogere limieten voor betere prestaties en beveiliging
Service Level Overeenkomst
We handhaven een hoog niveau van servicebeschikbaarheid en betrouwbaarheid. Onze infrastructuur is ontworpen voor redundantie en fouttolerantie om ervoor te zorgen dat uw e-mailservice operationeel blijft. Hoewel we geen formeel SLA-document publiceren, zijn we toegewijd aan:
- 99,9%+ uptime voor alle services
- Snelle reactie op serviceonderbrekingen
- Transparante communicatie tijdens incidenten
- Regelmatig onderhoud tijdens rustige periodes
Open Source-beveiliging
Als een open-source service, onze beveiligingsvoordelen van:
- Transparante code die door iedereen gecontroleerd kan worden
- Door de community aangestuurde beveiligingsverbeteringen
- Snelle identificatie en patching van kwetsbaarheden
- Geen veiligheid door onduidelijkheid
Werknemersbeveiliging
- Achtergrondcontroles voor alle werknemers
- Training in beveiligingsbewustzijn
- Principe van toegang met de minste privileges
- Regelmatige veiligheidsopleiding
Continue verbetering
Wij verbeteren voortdurend onze beveiligingspositie door:
- Monitoring van beveiligingstrends en opkomende bedreigingen
- Regelmatige herziening en updates van het beveiligingsbeleid
- Feedback van beveiligingsonderzoekers en gebruikers
- Deelname aan de veiligheidsgemeenschap
Voor meer informatie over onze beveiligingspraktijken of om beveiligingsproblemen te melden, kunt u contact opnemen met security@forwardemail.net.