Sikkerhetspraksis
Forord
Hos Forward Email er sikkerhet vår høyeste prioritet. Vi har implementert omfattende sikkerhetstiltak for å beskytte din e-postkommunikasjon og personlige data. Dette dokumentet beskriver vår sikkerhetspraksis og trinnene vi tar for å sikre konfidensialitet, integritet og tilgjengelighet til e-posten din.
Infrastruktursikkerhet
Sikre datasentre
Infrastrukturen vår er vert for SOC 2-kompatible datasentre med:
- 24/7 fysisk sikkerhet og overvåking
- Biometriske tilgangskontroller
- Redundante kraftsystemer
- Avansert branndeteksjon og slukking
- Miljøovervåking
Nettverkssikkerhet
Vi implementerer flere lag med nettverkssikkerhet:
- Brannmurer av bedriftskvalitet med strenge tilgangskontrolllister
- DDoS-beskyttelse og reduksjon
- Regelmessig skanning av nettverkssårbarheter
- Inntrengningsdeteksjon og -forebyggende systemer
- Trafikkkryptering mellom alle tjenesteendepunkter
- Portskanningsbeskyttelse med automatisert blokkering av mistenkelig aktivitet
[!VIKTIG] Alle data i overføring er kryptert med TLS 1.2+ med moderne chiffersuiter.
E-postsikkerhet
Kryptering
- Transport Layer Security (TLS): All e-posttrafikk er kryptert under overføring med TLS 1.2 eller høyere
- Ende-til-ende-kryptering: Støtte for OpenPGP/MIME og S/MIME standarder
- Lagringskryptering: Alle lagrede e-poster er kryptert i hvile med ChaCha20-Poly1305-kryptering i SQLite-filer
- Full diskkryptering: LUKS v2-kryptering for hele disken
- Omfattende beskyttelse: Vi implementerer encryption-at-rest, encryption-in-memory og encryption-in-transit
[!NOTE] Vi er verdens første og eneste e-posttjeneste som bruker kvantebestandige og individuelt krypterte SQLite-postbokser.
Autentisering og autorisasjon
- DKIM Signering: Alle utgående e-poster er signert med DKIM
- SPF og DMARC: Full støtte for SPF og DMARC for å forhindre e-postforfalskning
- MTA-STS: Støtte for MTA-STS for å håndheve TLS-kryptering
- Multifaktorautentisering: Tilgjengelig for alle kontotilgang
Tiltak mot misbruk
- Spamfiltrering: Flerlags spam-deteksjon med maskinlæring
- Virusskanning: Sanntidsskanning av alle vedlegg
- Satsbegrensende: Beskyttelse mot brute force og oppregningsangrep
- IP omdømme: Overvåking av sende IP-omdømme
- Innholdsfiltrering: Deteksjon av ondsinnede URL-er og phishing-forsøk
Databeskyttelse
Dataminimering
Vi følger prinsippet om dataminimering:
- Vi samler kun inn de dataene som er nødvendige for å yte tjenesten vår
- E-postinnhold behandles i minnet og lagres ikke vedvarende med mindre det kreves for IMAP/POP3-levering
- Logger anonymiseres og oppbevares bare så lenge det er nødvendig
Sikkerhetskopiering og gjenoppretting
- Automatisert daglig sikkerhetskopiering med kryptering
- Geografisk distribuert backuplagring
- Regelmessig testing av sikkerhetskopiering
- Katastrofegjenopprettingsprosedyrer med definert RPO og RTO
Tjenesteleverandører
Vi velger nøye våre tjenesteleverandører for å sikre at de oppfyller våre høye sikkerhetsstandarder. Nedenfor er leverandørene vi bruker for internasjonal dataoverføring og deres GDPR-overholdelsesstatus:
| Forsørger | Hensikt | DPF-sertifisert | GDPR-samsvarsside |
|---|---|---|---|
| Cloudflare | CDN, DDoS-beskyttelse, DNS | ✅ Ja | Cloudflare GDPR |
| Datapakke | Serverinfrastruktur | ❌ Nei | DataPacket Personvern |
| Digitalt hav | Skyinfrastruktur | ❌ Nei | DigitalOcean GDPR |
| Vultr | Skyinfrastruktur | ❌ Nei | Vultr GDPR |
| Stripe | Betalingsbehandling | ✅ Ja | Stripe personvernsenter |
| PayPal | Betalingsbehandling | ❌ Nei | PayPals personvern |
Vi bruker disse leverandørene for å sikre pålitelig, sikker tjenestelevering samtidig som vi opprettholder samsvar med internasjonale databeskyttelsesforskrifter. Alle dataoverføringer utføres med passende sikkerhetstiltak for å beskytte din personlige informasjon.
Compliance og revisjon
Regelmessige sikkerhetsvurderinger
Teamet vårt overvåker, vurderer og vurderer regelmessig kodebasen, serverne, infrastrukturen og praksisen. Vi implementerer et omfattende sikkerhetsprogram som inkluderer:
- Regelmessig rotasjon av SSH-nøkler
- Kontinuerlig overvåking av tilgangslogger
- Automatisert sikkerhetsskanning
- Proaktiv sårbarhetshåndtering
- Regelmessig sikkerhetsopplæring for alle teammedlemmer
Overholdelse
- GDPR kompatible datahåndteringspraksis
- Databehandlingsavtale (DPA) tilgjengelig for bedriftskunder
- CCPA-kompatible personvernkontroller
- SOC 2 Type II reviderte prosesser
Hendelsesrespons
Vår responsplan for sikkerhetshendelser inkluderer:
- Oppdagelse: Automatiserte overvåkings- og varslingssystemer
- Inneslutning: Umiddelbar isolasjon av berørte systemer
- Utryddelse: Fjerning av trusselen og rotårsaksanalyse
- Bedring: Sikker restaurering av tjenester
- Melding: Rettidig kommunikasjon med berørte brukere
- Analyse etter hendelsen: Omfattende gjennomgang og forbedring
[!ADVARSEL] Hvis du oppdager et sikkerhetsproblem, vennligst rapporter det umiddelbart til security@forwardemail.net.
Sikkerhetsutvikling livssyklus
flowchart LR
A[Requirements] --> B[Design]
B --> C[Implementation]
C --> D[Verification]
D --> E[Release]
E --> F[Maintenance]
F --> A
B -.-> G[Threat Modeling]
C -.-> H[Static Analysis]
D -.-> I[Security Testing]
E -.-> J[Final Security Review]
F -.-> K[Vulnerability Management]
All kode gjennomgår:
- Innsamling av sikkerhetskrav
- Trusselmodellering under design
- Sikker kodingspraksis
- Statisk og dynamisk applikasjonssikkerhetstesting
- Kodegjennomgang med sikkerhetsfokus
- Avhengighetssårbarhetsskanning
Serverherding
Vår Ansible konfigurasjon implementerer en rekke serverherdingstiltak:
- USB-tilgang deaktivert: Fysiske porter deaktiveres ved å svarteliste usb-lagringskjernemodulen
- Brannmurregler: Strenge iptables-regler som kun tillater nødvendige tilkoblinger
- SSH Herding: Kun nøkkelbasert autentisering, ingen passordpålogging, rotpålogging deaktivert
- Tjenesteisolasjon: Hver tjeneste kjører med minimale nødvendige rettigheter
- Automatiske oppdateringer: Sikkerhetsoppdateringer brukes automatisk
- Sikker oppstart: Verifisert oppstartsprosess for å forhindre tukling
- Kjerneherding: Sikre kjerneparametere og sysctl-konfigurasjoner
- Filsystemrestriksjoner: noexec-, nosuid- og nodev-monteringsalternativer der det er aktuelt
- Core Dumps deaktivert: System konfigurert for å forhindre kjernedumper for sikkerhet
- Bytte deaktivert: Bytt minne deaktivert for å forhindre datalekkasje
- Beskyttelse mot portskanning: Automatisk gjenkjenning og blokkering av portskanningsforsøk
- Gjennomsiktige enorme sider deaktivert: THP deaktivert for forbedret ytelse og sikkerhet
- System Service Herding: Ikke-essensielle tjenester som Apport deaktivert
- Brukeradministrasjon: Prinsippet om minste privilegium med separate distribusjon og devops brukere
- Filbeskrivelsesgrenser: Økte grenser for bedre ytelse og sikkerhet
Service Level Agreement
Vi opprettholder et høyt nivå av servicetilgjengelighet og pålitelighet. Infrastrukturen vår er designet for redundans og feiltoleranse for å sikre at e-posttjenesten din forblir operativ. Selv om vi ikke publiserer et formelt SLA-dokument, er vi forpliktet til å:
- 99,9 %+ oppetid for alle tjenester
- Rask respons på tjenesteforstyrrelser
- Transparent kommunikasjon under hendelser
- Regelmessig vedlikehold i perioder med lite trafikk
Sikkerhet med åpen kildekode
Som en åpen kildekode-tjeneste, vår sikkerhet drar nytte av:
- Gjennomsiktig kode som kan revideres av alle
- Samfunnsdrevne sikkerhetsforbedringer
- Rask identifisering og lapping av sårbarheter
- Ingen sikkerhet gjennom uklarhet
Ansattes sikkerhet
- Bakgrunnssjekker for alle ansatte
- Opplæring i sikkerhetsbevissthet
- Prinsippet om minst privilegert tilgang
- Vanlig sikkerhetsundervisning
Kontinuerlig forbedring
Vi forbedrer kontinuerlig vår sikkerhetsstilling gjennom:
- Overvåking av sikkerhetstrender og nye trusler
- Regelmessig gjennomgang og oppdateringer av sikkerhetspolicyer
- Tilbakemeldinger fra sikkerhetsforskere og brukere
- Deltakelse i sikkerhetsmiljøet
For mer informasjon om vår sikkerhetspraksis eller for å rapportere sikkerhetsproblemer, vennligst kontakt security@forwardemail.net.