Beveiligingspraktijken
Voorwoord
Bij Forward Email staat veiligheid voorop. We hebben uitgebreide beveiligingsmaatregelen geïmplementeerd om uw e-mailcommunicatie en persoonsgegevens te beschermen. Dit document beschrijft onze beveiligingspraktijken en de stappen die we nemen om de vertrouwelijkheid, integriteit en beschikbaarheid van uw e-mail te waarborgen.
Infrastructuurbeveiliging
Beveiligde datacenters
Onze infrastructuur wordt gehost in SOC 2-conforme datacenters met:
- 24/7 fysieke beveiliging en bewaking
- Biometrische toegangscontrole
- Redundante stroomsystemen
- Geavanceerde branddetectie en -bestrijding
- Omgevingsbewaking
Netwerkbeveiliging
Wij implementeren meerdere lagen netwerkbeveiliging:
- Firewalls van enterprise-kwaliteit met strikte toegangscontrolelijsten
- DDoS-beveiliging en -mitigatie
- Regelmatige scans op netwerkkwetsbaarheden
- Systemen voor inbraakdetectie en -preventie
- Versleuteling van verkeer tussen alle service-eindpunten
- Beveiliging met poortscans en automatische blokkering van verdachte activiteiten
Important
Alle gegevens die worden verzonden, worden versleuteld met TLS 1.2+ en moderne coderingssuites.
E-mailbeveiliging
Versleuteling
- Transport Layer Security (TLS): Al het e-mailverkeer wordt tijdens de overdracht versleuteld met TLS 1.2 of hoger
- End-to-end encryptie: Ondersteuning voor OpenPGP/MIME- en S/MIME-standaarden
- Opslagversleuteling: Alle opgeslagen e-mails worden in rust versleuteld met ChaCha20-Poly1305-versleuteling in SQLite-bestanden
- Volledige schijfversleuteling: LUKS v2-versleuteling voor de gehele schijf
- Uitgebreide bescherming: We implementeren encryptie in rust, encryptie in het geheugen en encryptie tijdens de overdracht
Note
Wij zijn 's werelds eerste en enige e-mailservice die kwantumbestendige en individueel gecodeerde SQLite-mailboxen gebruikt.
Authenticatie en autorisatie
- DKIM-ondertekening: Alle uitgaande e-mails worden ondertekend met DKIM
- SPF en DMARC: Volledige ondersteuning voor SPF en DMARC om e-mailspoofing te voorkomen
- MTA-STS: Ondersteuning voor MTA-STS om TLS-encryptie af te dwingen
- Multi-factorauthenticatie: Beschikbaar voor alle accounttoegang
Anti-misbruikmaatregelen
- Spamfiltering: Meerlaagse spamdetectie met machine learning
- Virusscanning: Realtime scannen van alle bijlagen
- Rate Limiting: Bescherming tegen brute force- en enumeratieaanvallen
- IP-reputatie: Monitoring van de reputatie van het verzend-IP
- Contentfiltering: Detectie van kwaadaardige URL's en phishingpogingen
Gegevensbescherming
Gegevensminimalisatie
Wij volgen het principe van dataminimalisatie:
- We verzamelen alleen de gegevens die nodig zijn om onze service te leveren.
- E-mailinhoud wordt in het geheugen verwerkt en niet permanent opgeslagen, tenzij dit nodig is voor IMAP/POP3-levering.
- Logs worden geanonimiseerd en alleen bewaard zolang dat nodig is.
Back-up en herstel
- Geautomatiseerde dagelijkse back-ups met encryptie
- Geografisch verspreide back-upopslag
- Regelmatige back-uphersteltests
- Procedures voor noodherstel met gedefinieerde RPO en RTO
Dienstverleners
We selecteren onze dienstverleners zorgvuldig om ervoor te zorgen dat ze voldoen aan onze hoge veiligheidsnormen. Hieronder vindt u de dienstverleners die we gebruiken voor internationale gegevensoverdracht en hun AVG-nalevingsstatus:
| Aanbieder | Doel | DPF-gecertificeerd | AVG-nalevingspagina |
|---|---|---|---|
| Cloudflare | CDN, DDoS-beveiliging, DNS | ✅ Ja | Cloudflare GDPR |
| DataPacket | Serverinfrastructuur | ❌ Nee | DataPacket Privacy |
| Digital Ocean | Cloudinfrastructuur | ❌ Nee | DigitalOcean GDPR |
| Vultr | Cloudinfrastructuur | ❌ Nee | Vultr GDPR |
| Stripe | Betalingsverwerking | ✅ Ja | Stripe Privacy Center |
| PayPal | Betalingsverwerking | ❌ Nee | PayPal Privacy |
We maken gebruik van deze providers om een betrouwbare en veilige dienstverlening te garanderen en tegelijkertijd te voldoen aan de internationale regelgeving inzake gegevensbescherming. Alle gegevensoverdrachten worden uitgevoerd met passende waarborgen om uw persoonsgegevens te beschermen.
Naleving en auditing
Regelmatige beveiligingsbeoordelingen
Ons team controleert, beoordeelt en beoordeelt regelmatig de codebase, servers, infrastructuur en procedures. We implementeren een uitgebreid beveiligingsprogramma dat het volgende omvat:
- Regelmatige rotatie van SSH-sleutels
- Continue monitoring van toegangslogs
- Geautomatiseerde beveiligingsscans
- Proactief kwetsbaarheidsbeheer
- Regelmatige beveiligingstraining voor alle teamleden
Naleving
- GDPR-conforme gegevensverwerkingspraktijken
- Gegevensverwerkingsovereenkomst (DPA) beschikbaar voor zakelijke klanten
- CCPA-conforme privacycontroles
- SOC 2 Type II-gecontroleerde processen
Incidentrespons
Ons plan voor respons op beveiligingsincidenten omvat:
- Detectie: Geautomatiseerde monitoring- en waarschuwingssystemen
- Containment: Onmiddellijke isolatie van getroffen systemen
- Uitroeiing: Verwijdering van de bedreiging en analyse van de hoofdoorzaak
- Herstel: Veilig herstel van services
- Melding: Tijdige communicatie met getroffen gebruikers
- Analyse na incident: Uitgebreide evaluatie en verbetering
Warning
Als u een beveiligingslek ontdekt, meld dit dan onmiddellijk aan security@forwardemail.net.
Levenscyclus van beveiligingsontwikkeling
Alle code ondergaat:
- Verzamelen van beveiligingsvereisten
- Bedreigingsmodellering tijdens het ontwerp
- Veilige coderingsmethoden
- Statische en dynamische applicatiebeveiligingstesten
- Codebeoordeling met beveiligingsfocus
- Scannen op afhankelijkheidskwetsbaarheid
Serververharding
Onze Ansible-configuratie implementeert talrijke serverbeveiligingsmaatregelen:
- USB-toegang uitgeschakeld: Fysieke poorten worden uitgeschakeld door de USB-opslagkernelmodule op een zwarte lijst te plaatsen
- Firewallregels: Strikte iptables-regels die alleen noodzakelijke verbindingen toestaan
- SSH-beveiliging: Alleen sleutelgebaseerde authenticatie, geen wachtwoordaanmelding, root-aanmelding uitgeschakeld
- Service-isolatie: Elke service wordt uitgevoerd met minimaal vereiste rechten
- Automatische updates: Beveiligingspatches worden automatisch toegepast
- Beveiligd opstarten: Geverifieerd opstartproces om manipulatie te voorkomen
- Kernelbeveiliging: Veilige kernelparameters en sysctl-configuraties
- Beperkingen bestandssysteem: noexec-, nosuid- en nodev-koppelingsopties waar van toepassing
- Coredumps uitgeschakeld: Systeem geconfigureerd om coredumps te voorkomen voor de beveiliging
- Swap uitgeschakeld: Swapgeheugen uitgeschakeld om datalekken te voorkomen
- Beveiliging poortscanning: Automatische detectie en blokkering van poortscanpogingen
- Transparante grote pagina's uitgeschakeld: THP uitgeschakeld voor verbeterde prestaties en Beveiliging
- Systeemserviceverharding: Niet-essentiële services zoals Apport uitgeschakeld
- Gebruikersbeheer: Principe van minimale privileges met aparte implementatie- en DevOps-gebruikers
- Bestandsdescriptorlimieten: Verhoogde limieten voor betere prestaties en beveiliging
Service Level Agreement
We handhaven een hoog niveau van beschikbaarheid en betrouwbaarheid van onze diensten. Onze infrastructuur is ontworpen voor redundantie en fouttolerantie om ervoor te zorgen dat uw e-mailservice operationeel blijft. Hoewel we geen formeel SLA-document publiceren, streven we ernaar:
- 99,9%+ uptime voor alle services
- Snelle reactie op serviceonderbrekingen
- Transparante communicatie tijdens incidenten
- Regelmatig onderhoud tijdens periodes met weinig verkeer
Open Source Beveiliging
Als open-source service profiteert u van onze beveiliging:
- Transparante code die door iedereen gecontroleerd kan worden
- Door de community aangestuurde beveiligingsverbeteringen
- Snelle identificatie en patching van kwetsbaarheden
- Geen beveiliging door onduidelijkheid
Medewerkersbeveiliging
- Achtergrondcontroles voor alle medewerkers
- Training in beveiligingsbewustzijn
- Principe van minimale toegangsrechten
- Regelmatige beveiligingstraining
Continue verbetering
Wij verbeteren voortdurend onze beveiligingshouding door:
- Monitoring van beveiligingstrends en opkomende bedreigingen
- Regelmatige evaluatie en updates van beveiligingsbeleid
- Feedback van beveiligingsonderzoekers en gebruikers
- Deelname aan de beveiligingscommunity
Voor meer informatie over onze beveiligingspraktijken of om beveiligingsproblemen te melden, kunt u contact opnemen met security@forwardemail.net.