Sikkerhetspraksis

Hos Forward Email er sikkerhet vår høyeste prioritet. Vi har implementert omfattende sikkerhetstiltak for å beskytte din e-postkommunikasjon og personlige data. Dette dokumentet beskriver vår sikkerhetspraksis og trinnene vi tar for å sikre konfidensialitet, integritet og tilgjengelighet til e-posten din.

Sikre datasentre

Infrastrukturen vår er vert for SOC 2-kompatible datasentre med:

  • 24/7 fysisk sikkerhet og overvåking
  • Biometriske tilgangskontroller
  • Redundante kraftsystemer
  • Avansert branndeteksjon og slukking
  • Miljøovervåking

Nettverkssikkerhet

Vi implementerer flere lag med nettverkssikkerhet:

  • Brannmurer av bedriftskvalitet med strenge tilgangskontrolllister
  • DDoS-beskyttelse og reduksjon
  • Regelmessig skanning av nettverkssårbarheter
  • Inntrengningsdeteksjon og -forebyggende systemer
  • Trafikkkryptering mellom alle tjenesteendepunkter
  • Portskanningsbeskyttelse med automatisert blokkering av mistenkelig aktivitet

[!VIKTIG] Alle data i overføring er kryptert med TLS 1.2+ med moderne chiffersuiter.

Kryptering

  • Transport Layer Security (TLS): All e-posttrafikk er kryptert under overføring med TLS 1.2 eller høyere
  • Ende-til-ende-kryptering: Støtte for OpenPGP/MIME og S/MIME standarder
  • Lagringskryptering: Alle lagrede e-poster er kryptert i hvile med ChaCha20-Poly1305-kryptering i SQLite-filer
  • Full diskkryptering: LUKS v2-kryptering for hele disken
  • Omfattende beskyttelse: Vi implementerer encryption-at-rest, encryption-in-memory og encryption-in-transit

[!NOTE] Vi er verdens første og eneste e-posttjeneste som bruker kvantebestandige og individuelt krypterte SQLite-postbokser.

Autentisering og autorisasjon

  • DKIM Signering: Alle utgående e-poster er signert med DKIM
  • SPF og DMARC: Full støtte for SPF og DMARC for å forhindre e-postforfalskning
  • MTA-STS: Støtte for MTA-STS for å håndheve TLS-kryptering
  • Multifaktorautentisering: Tilgjengelig for alle kontotilgang

Tiltak mot misbruk

  • Spamfiltrering: Flerlags spam-deteksjon med maskinlæring
  • Virusskanning: Sanntidsskanning av alle vedlegg
  • Satsbegrensende: Beskyttelse mot brute force og oppregningsangrep
  • IP omdømme: Overvåking av sende IP-omdømme
  • Innholdsfiltrering: Deteksjon av ondsinnede URL-er og phishing-forsøk

Dataminimering

Vi følger prinsippet om dataminimering:

  • Vi samler kun inn de dataene som er nødvendige for å yte tjenesten vår
  • E-postinnhold behandles i minnet og lagres ikke vedvarende med mindre det kreves for IMAP/POP3-levering
  • Logger anonymiseres og oppbevares bare så lenge det er nødvendig

Sikkerhetskopiering og gjenoppretting

  • Automatisert daglig sikkerhetskopiering med kryptering
  • Geografisk distribuert backuplagring
  • Regelmessig testing av sikkerhetskopiering
  • Katastrofegjenopprettingsprosedyrer med definert RPO og RTO

Vi velger nøye våre tjenesteleverandører for å sikre at de oppfyller våre høye sikkerhetsstandarder. Nedenfor er leverandørene vi bruker for internasjonal dataoverføring og deres GDPR-overholdelsesstatus:

ForsørgerHensiktDPF-sertifisertGDPR-samsvarsside
CloudflareCDN, DDoS-beskyttelse, DNS✅ JaCloudflare GDPR
DatapakkeServerinfrastruktur❌ NeiDataPacket Personvern
Digitalt havSkyinfrastruktur❌ NeiDigitalOcean GDPR
VultrSkyinfrastruktur❌ NeiVultr GDPR
StripeBetalingsbehandling✅ JaStripe personvernsenter
PayPalBetalingsbehandling❌ NeiPayPals personvern

Vi bruker disse leverandørene for å sikre pålitelig, sikker tjenestelevering samtidig som vi opprettholder samsvar med internasjonale databeskyttelsesforskrifter. Alle dataoverføringer utføres med passende sikkerhetstiltak for å beskytte din personlige informasjon.

Regelmessige sikkerhetsvurderinger

Teamet vårt overvåker, vurderer og vurderer regelmessig kodebasen, serverne, infrastrukturen og praksisen. Vi implementerer et omfattende sikkerhetsprogram som inkluderer:

  • Regelmessig rotasjon av SSH-nøkler
  • Kontinuerlig overvåking av tilgangslogger
  • Automatisert sikkerhetsskanning
  • Proaktiv sårbarhetshåndtering
  • Regelmessig sikkerhetsopplæring for alle teammedlemmer

Overholdelse

  • GDPR kompatible datahåndteringspraksis
  • Databehandlingsavtale (DPA) tilgjengelig for bedriftskunder
  • CCPA-kompatible personvernkontroller
  • SOC 2 Type II reviderte prosesser

Vår responsplan for sikkerhetshendelser inkluderer:

  1. Oppdagelse: Automatiserte overvåkings- og varslingssystemer
  2. Inneslutning: Umiddelbar isolasjon av berørte systemer
  3. Utryddelse: Fjerning av trusselen og rotårsaksanalyse
  4. Bedring: Sikker restaurering av tjenester
  5. Melding: Rettidig kommunikasjon med berørte brukere
  6. Analyse etter hendelsen: Omfattende gjennomgang og forbedring

[!ADVARSEL] Hvis du oppdager et sikkerhetsproblem, vennligst rapporter det umiddelbart til security@forwardemail.net.

flowchart LR
    A[Requirements] --> B[Design]
    B --> C[Implementation]
    C --> D[Verification]
    D --> E[Release]
    E --> F[Maintenance]
    F --> A
    B -.-> G[Threat Modeling]
    C -.-> H[Static Analysis]
    D -.-> I[Security Testing]
    E -.-> J[Final Security Review]
    F -.-> K[Vulnerability Management]

All kode gjennomgår:

  • Innsamling av sikkerhetskrav
  • Trusselmodellering under design
  • Sikker kodingspraksis
  • Statisk og dynamisk applikasjonssikkerhetstesting
  • Kodegjennomgang med sikkerhetsfokus
  • Avhengighetssårbarhetsskanning

Vår Ansible konfigurasjon implementerer en rekke serverherdingstiltak:

  • USB-tilgang deaktivert: Fysiske porter deaktiveres ved å svarteliste usb-lagringskjernemodulen
  • Brannmurregler: Strenge iptables-regler som kun tillater nødvendige tilkoblinger
  • SSH Herding: Kun nøkkelbasert autentisering, ingen passordpålogging, rotpålogging deaktivert
  • Tjenesteisolasjon: Hver tjeneste kjører med minimale nødvendige rettigheter
  • Automatiske oppdateringer: Sikkerhetsoppdateringer brukes automatisk
  • Sikker oppstart: Verifisert oppstartsprosess for å forhindre tukling
  • Kjerneherding: Sikre kjerneparametere og sysctl-konfigurasjoner
  • Filsystemrestriksjoner: noexec-, nosuid- og nodev-monteringsalternativer der det er aktuelt
  • Core Dumps deaktivert: System konfigurert for å forhindre kjernedumper for sikkerhet
  • Bytte deaktivert: Bytt minne deaktivert for å forhindre datalekkasje
  • Beskyttelse mot portskanning: Automatisk gjenkjenning og blokkering av portskanningsforsøk
  • Gjennomsiktige enorme sider deaktivert: THP deaktivert for forbedret ytelse og sikkerhet
  • System Service Herding: Ikke-essensielle tjenester som Apport deaktivert
  • Brukeradministrasjon: Prinsippet om minste privilegium med separate distribusjon og devops brukere
  • Filbeskrivelsesgrenser: Økte grenser for bedre ytelse og sikkerhet

Vi opprettholder et høyt nivå av servicetilgjengelighet og pålitelighet. Infrastrukturen vår er designet for redundans og feiltoleranse for å sikre at e-posttjenesten din forblir operativ. Selv om vi ikke publiserer et formelt SLA-dokument, er vi forpliktet til å:

  • 99,9 %+ oppetid for alle tjenester
  • Rask respons på tjenesteforstyrrelser
  • Transparent kommunikasjon under hendelser
  • Regelmessig vedlikehold i perioder med lite trafikk

Som en åpen kildekode-tjeneste, vår sikkerhet drar nytte av:

  • Gjennomsiktig kode som kan revideres av alle
  • Samfunnsdrevne sikkerhetsforbedringer
  • Rask identifisering og lapping av sårbarheter
  • Ingen sikkerhet gjennom uklarhet

  • Bakgrunnssjekker for alle ansatte
  • Opplæring i sikkerhetsbevissthet
  • Prinsippet om minst privilegert tilgang
  • Vanlig sikkerhetsundervisning

Vi forbedrer kontinuerlig vår sikkerhetsstilling gjennom:

  • Overvåking av sikkerhetstrender og nye trusler
  • Regelmessig gjennomgang og oppdateringer av sikkerhetspolicyer
  • Tilbakemeldinger fra sikkerhetsforskere og brukere
  • Deltakelse i sikkerhetsmiljøet

For mer informasjon om vår sikkerhetspraksis eller for å rapportere sikkerhetsproblemer, vennligst kontakt security@forwardemail.net.