Praktyki bezpieczeństwa

W Forward Email bezpieczeństwo jest naszym najwyższym priorytetem. Wdrożyliśmy kompleksowe środki bezpieczeństwa, aby chronić Twoją komunikację e-mailową i dane osobowe. Niniejszy dokument opisuje nasze praktyki bezpieczeństwa i kroki, które podejmujemy, aby zapewnić poufność, integralność i dostępność Twojej poczty e-mail.

Bezpieczne centra danych

Nasza infrastruktura jest hostowana w centrach danych zgodnych ze standardem SOC 2, wyposażonych w:

• Całodobowa ochrona fizyczna i nadzór
• Kontrola dostępu biometrycznego
• Nadmiarowe systemy zasilania
• Zaawansowana detekcja i gaszenie pożaru
• Monitorowanie środowiska

Bezpieczeństwo sieci

Wdrażamy wielowarstwowe zabezpieczenia sieciowe:

• Zapory sieciowe klasy korporacyjnej ze ścisłymi listami kontroli dostępu
• Ochrona i łagodzenie skutków ataków DDoS
• Regularne skanowanie podatności sieci
• Systemy wykrywania i zapobiegania włamaniom
• Szyfrowanie ruchu pomiędzy wszystkimi punktami końcowymi usługi
• Ochrona skanowania portów z automatycznym blokowaniem podejrzanej aktywności

[!WAŻNE] Wszystkie przesyłane dane są szyfrowane przy użyciu protokołu TLS 1.2+ z wykorzystaniem nowoczesnych szyfrów.

Szyfrowanie

• Zabezpieczenia warstwy transportowej (TLS):Cały ruch poczty elektronicznej jest szyfrowany podczas przesyłania przy użyciu protokołu TLS 1.2 lub nowszego
• Szyfrowanie typu end-to-end:Obsługa standardów OpenPGP/MIME i S/MIME
• Szyfrowanie pamięci masowej:Wszystkie przechowywane wiadomości e-mail są szyfrowane w stanie spoczynku przy użyciu szyfrowania ChaCha20-Poly1305 w plikach SQLite
• Pełne szyfrowanie dysku:Szyfrowanie LUKS v2 dla całego dysku
• Kompleksowa ochrona:Wdrażamy szyfrowanie w stanie spoczynku, szyfrowanie w pamięci i szyfrowanie w trakcie przesyłania

[!NOTE] Jesteśmy pierwszą i jedyną na świecie usługą poczty e-mail, która korzysta z odpornych na ataki kwantowe i indywidualnie szyfrowanych skrzynek pocztowych SQLite.

Uwierzytelnianie i autoryzacja

• Podpisywanie DKIM:Wszystkie wiadomości wychodzące są podpisywane za pomocą DKIM
• SPF i DMARC:Pełne wsparcie dla SPF i DMARC w celu zapobiegania podszywaniu się pod e-mail
• MTA-STS:Obsługa protokołu MTA-STS w celu wymuszenia szyfrowania TLS
• Uwierzytelnianie wieloskładnikowe:Dostępne dla wszystkich kont dostępowych

Środki antyprzemocowe

• Filtrowanie spamu:Wielowarstwowe wykrywanie spamu z wykorzystaniem uczenia maszynowego
• Skanowanie wirusów:Skanowanie wszystkich załączników w czasie rzeczywistym
• Ograniczenie szybkości:Ochrona przed atakami siłowymi i wyliczeniowymi
• Reputacja IP:Monitorowanie reputacji wysyłającego IP
• Filtrowanie treści:Wykrywanie złośliwych adresów URL i prób phishingu

Minimalizacja danych

Kierujemy się zasadą minimalizacji danych:

• Gromadzimy wyłącznie dane niezbędne do świadczenia naszych usług
• Treść wiadomości e-mail jest przetwarzana w pamięci i nie jest trwale przechowywana, chyba że jest to wymagane do dostarczenia wiadomości za pośrednictwem protokołu IMAP/POP3
• Rejestry są anonimizowane i przechowywane tylko tak długo, jak jest to konieczne

Kopie zapasowe i odzyskiwanie

• Zautomatyzowane codzienne kopie zapasowe z szyfrowaniem
• Rozproszone geograficznie przechowywanie kopii zapasowych
• Regularne testowanie przywracania kopii zapasowych
• Procedury odzyskiwania po awarii z określonymi RPO i RTO

Starannie wybieramy naszych dostawców usług, aby mieć pewność, że spełniają nasze wysokie standardy bezpieczeństwa. Poniżej wymieniono dostawców, z których korzystamy w zakresie międzynarodowego transferu danych, oraz ich status zgodności z GDPR:

Korzystamy z tych dostawców, aby zapewnić niezawodne, bezpieczne świadczenie usług przy jednoczesnym zachowaniu zgodności z międzynarodowymi przepisami o ochronie danych. Wszystkie transfery danych są przeprowadzane z odpowiednimi zabezpieczeniami w celu ochrony Twoich danych osobowych.

Regularne oceny bezpieczeństwa

Nasz zespół regularnie monitoruje, przegląda i ocenia bazę kodu, serwery, infrastrukturę i praktyki. Wdrażamy kompleksowy program bezpieczeństwa, który obejmuje:

• Regularna rotacja kluczy SSH
• Ciągły monitoring logów dostępu
• Automatyczne skanowanie bezpieczeństwa
• Proaktywne zarządzanie podatnością
• Regularne szkolenia z zakresu bezpieczeństwa dla wszystkich członków zespołu

Zgodność

• GDPR zgodne z przepisami praktyki przetwarzania danych
• Umowa o przetwarzaniu danych (DPA) dostępne dla klientów biznesowych
• Kontrola prywatności zgodna z CCPA
• Procesy audytowane zgodnie z SOC 2 typu II

Nasz plan reagowania na incydenty bezpieczeństwa obejmuje:

1. Wykrywanie:Zautomatyzowane systemy monitorowania i ostrzegania
2. Powstrzymywanie:Natychmiastowa izolacja dotkniętych systemów
3. Likwidacja:Usunięcie zagrożenia i analiza przyczyn źródłowych
4. Powrót do zdrowia:Bezpieczne przywracanie usług
5. Powiadomienie:Terminowa komunikacja z użytkownikami, których to dotyczy
6. Analiza poincydentalna:Kompleksowy przegląd i udoskonalenie

[!OSTRZEŻENIE] Jeśli odkryjesz lukę w zabezpieczeniach, zgłoś ją natychmiast do security@forwardemail.net.

flowchart LR
    A[Requirements] --> B[Design]
    B --> C[Implementation]
    C --> D[Verification]
    D --> E[Release]
    E --> F[Maintenance]
    F --> A
    B -.-> G[Threat Modeling]
    C -.-> H[Static Analysis]
    D -.-> I[Security Testing]
    E -.-> J[Final Security Review]
    F -.-> K[Vulnerability Management]

Cały kod przechodzi:

• Zbieranie wymagań bezpieczeństwa
• Modelowanie zagrożeń podczas projektowania
• Bezpieczne praktyki kodowania
• Testowanie bezpieczeństwa aplikacji statycznych i dynamicznych
• Przegląd kodu ze szczególnym uwzględnieniem bezpieczeństwa
• Skanowanie podatności na zależności

Nasz Konfiguracja Ansible wdraża liczne środki wzmacniające serwer:

• Dostęp USB wyłączony:Porty fizyczne są wyłączane poprzez umieszczenie modułu jądra usb-storage na czarnej liście
• Reguły zapory sieciowej:Surowe reguły iptables zezwalające tylko na niezbędne połączenia
• Utwardzanie SSH: Tylko uwierzytelnianie oparte na kluczach, brak logowania hasłem, logowanie roota wyłączone
• Izolacja usług:Każda usługa działa z minimalnymi wymaganymi uprawnieniami
• Aktualizacje automatyczne:Poprawki zabezpieczeń są stosowane automatycznie
• Bezpieczny rozruch:Zweryfikowano proces rozruchu w celu zapobiegania manipulacjom
• Utwardzanie jądra:Bezpieczne parametry jądra i konfiguracje sysctl
• Ograniczenia systemu plików: opcje montowania noexec, nosuid i nodev, jeśli jest to właściwe
• Zrzuty rdzenia wyłączone:System skonfigurowany w celu zapobiegania zrzutom pamięci ze względów bezpieczeństwa
• Zamiana wyłączona: Pamięć wymiany wyłączona, aby zapobiec wyciekowi danych
• Ochrona skanowania portów:Automatyczne wykrywanie i blokowanie prób skanowania portów
• Przezroczyste ogromne strony wyłączone:THP wyłączone w celu poprawy wydajności i bezpieczeństwa
• Utwardzanie usług systemowych: Usługi niebędące niezbędne, takie jak Apport, są wyłączone
• Zarządzanie użytkownikami:Zasada najmniejszych uprawnień z oddzielnymi użytkownikami wdrażania i devops
• Limity deskryptorów plików: Zwiększone limity dla lepszej wydajności i bezpieczeństwa

Utrzymujemy wysoki poziom dostępności i niezawodności usług. Nasza infrastruktura jest zaprojektowana pod kątem redundancji i tolerancji błędów, aby zapewnić, że Twoja usługa poczty e-mail pozostanie operacyjna. Chociaż nie publikujemy formalnego dokumentu SLA, zobowiązujemy się do:

• 99,9%+ dostępności wszystkich usług
• Szybka reakcja na zakłócenia w świadczeniu usług
• Przejrzysta komunikacja w trakcie incydentów
• Regularna konserwacja w okresach małego ruchu

Jako usługa typu open source, nasze bezpieczeństwo korzystają z:

• Przejrzysty kod, który może być audytowany przez każdego
• Ulepszenia bezpieczeństwa wprowadzane przez społeczność
• Szybka identyfikacja i łatanie luk w zabezpieczeniach
• Brak bezpieczeństwa poprzez niejasność

• Weryfikacja przeszłości wszystkich pracowników
• Szkolenie w zakresie świadomości bezpieczeństwa
• Zasada najmniejszych uprawnień dostępu
• Regularne szkolenia w zakresie bezpieczeństwa

Ciągle udoskonalamy nasze standardy bezpieczeństwa poprzez:

• Monitorowanie trendów bezpieczeństwa i pojawiających się zagrożeń
• Regularny przegląd i aktualizacja zasad bezpieczeństwa
• Opinie badaczy ds. bezpieczeństwa i użytkowników
• Udział we wspólnocie bezpieczeństwa

Aby uzyskać więcej informacji na temat naszych praktyk bezpieczeństwa lub zgłosić problemy związane z bezpieczeństwem, skontaktuj się z nami security@forwardemail.net.

• Polityka prywatności
• Warunki usługi
• Zgodność z RODO
• Umowa o przetwarzaniu danych (DPA)
• Zgłoś nadużycie
• Polityka bezpieczeństwa
• Security.txt
• Repozytorium GitHub
• FAQ