Praktyki bezpieczeństwa

W Forward Email bezpieczeństwo jest naszym najwyższym priorytetem. Wdrożyliśmy kompleksowe środki bezpieczeństwa, aby chronić Twoją komunikację e-mailową i dane osobowe. Niniejszy dokument opisuje nasze praktyki bezpieczeństwa i kroki, które podejmujemy, aby zapewnić poufność, integralność i dostępność Twojej poczty e-mail.

Bezpieczne centra danych

Nasza infrastruktura jest hostowana w centrach danych zgodnych ze standardem SOC 2, wyposażonych w:

  • Całodobowa ochrona fizyczna i nadzór
  • Kontrola dostępu biometrycznego
  • Nadmiarowe systemy zasilania
  • Zaawansowana detekcja i gaszenie pożaru
  • Monitorowanie środowiska

Bezpieczeństwo sieci

Wdrażamy wielowarstwowe zabezpieczenia sieciowe:

  • Zapory sieciowe klasy korporacyjnej ze ścisłymi listami kontroli dostępu
  • Ochrona i łagodzenie skutków ataków DDoS
  • Regularne skanowanie podatności sieci
  • Systemy wykrywania i zapobiegania włamaniom
  • Szyfrowanie ruchu pomiędzy wszystkimi punktami końcowymi usługi
  • Ochrona skanowania portów z automatycznym blokowaniem podejrzanej aktywności

[!WAŻNE] Wszystkie przesyłane dane są szyfrowane przy użyciu protokołu TLS 1.2+ z wykorzystaniem nowoczesnych szyfrów.

Szyfrowanie

  • Zabezpieczenia warstwy transportowej (TLS):Cały ruch poczty elektronicznej jest szyfrowany podczas przesyłania przy użyciu protokołu TLS 1.2 lub nowszego
  • Szyfrowanie typu end-to-end:Obsługa standardów OpenPGP/MIME i S/MIME
  • Szyfrowanie pamięci masowej:Wszystkie przechowywane wiadomości e-mail są szyfrowane w stanie spoczynku przy użyciu szyfrowania ChaCha20-Poly1305 w plikach SQLite
  • Pełne szyfrowanie dysku:Szyfrowanie LUKS v2 dla całego dysku
  • Kompleksowa ochrona:Wdrażamy szyfrowanie w stanie spoczynku, szyfrowanie w pamięci i szyfrowanie w trakcie przesyłania

[!NOTE] Jesteśmy pierwszą i jedyną na świecie usługą poczty e-mail, która korzysta z odpornych na ataki kwantowe i indywidualnie szyfrowanych skrzynek pocztowych SQLite.

Uwierzytelnianie i autoryzacja

  • Podpisywanie DKIM:Wszystkie wiadomości wychodzące są podpisywane za pomocą DKIM
  • SPF i DMARC:Pełne wsparcie dla SPF i DMARC w celu zapobiegania podszywaniu się pod e-mail
  • MTA-STS:Obsługa protokołu MTA-STS w celu wymuszenia szyfrowania TLS
  • Uwierzytelnianie wieloskładnikowe:Dostępne dla wszystkich kont dostępowych

Środki antyprzemocowe

  • Filtrowanie spamu:Wielowarstwowe wykrywanie spamu z wykorzystaniem uczenia maszynowego
  • Skanowanie wirusów:Skanowanie wszystkich załączników w czasie rzeczywistym
  • Ograniczenie szybkości:Ochrona przed atakami siłowymi i wyliczeniowymi
  • Reputacja IP:Monitorowanie reputacji wysyłającego IP
  • Filtrowanie treści:Wykrywanie złośliwych adresów URL i prób phishingu

Minimalizacja danych

Kierujemy się zasadą minimalizacji danych:

  • Gromadzimy wyłącznie dane niezbędne do świadczenia naszych usług
  • Treść wiadomości e-mail jest przetwarzana w pamięci i nie jest trwale przechowywana, chyba że jest to wymagane do dostarczenia wiadomości za pośrednictwem protokołu IMAP/POP3
  • Rejestry są anonimizowane i przechowywane tylko tak długo, jak jest to konieczne

Kopie zapasowe i odzyskiwanie

  • Zautomatyzowane codzienne kopie zapasowe z szyfrowaniem
  • Rozproszone geograficznie przechowywanie kopii zapasowych
  • Regularne testowanie przywracania kopii zapasowych
  • Procedury odzyskiwania po awarii z określonymi RPO i RTO

Starannie wybieramy naszych dostawców usług, aby mieć pewność, że spełniają nasze wysokie standardy bezpieczeństwa. Poniżej wymieniono dostawców, z których korzystamy w zakresie międzynarodowego transferu danych, oraz ich status zgodności z GDPR:

DostawcaZamiarCertyfikowany DPFStrona dotycząca zgodności z RODO
Rozbłysk chmurCDN, ochrona DDoS, DNS✅ TakCloudflare RODO
Pakiet danychInfrastruktura serwerowa❌ NiePrywatność DataPacket
Cyfrowy oceanInfrastruktura chmurowa❌ NieDigitalOcean RODO
VultrInfrastruktura chmurowa❌ NieVultr RODO
NaszywkaPrzetwarzanie płatności✅ TakCentrum prywatności Stripe
Płatność kartąPrzetwarzanie płatności❌ NiePrywatność PayPal

Korzystamy z tych dostawców, aby zapewnić niezawodne, bezpieczne świadczenie usług przy jednoczesnym zachowaniu zgodności z międzynarodowymi przepisami o ochronie danych. Wszystkie transfery danych są przeprowadzane z odpowiednimi zabezpieczeniami w celu ochrony Twoich danych osobowych.

Regularne oceny bezpieczeństwa

Nasz zespół regularnie monitoruje, przegląda i ocenia bazę kodu, serwery, infrastrukturę i praktyki. Wdrażamy kompleksowy program bezpieczeństwa, który obejmuje:

  • Regularna rotacja kluczy SSH
  • Ciągły monitoring logów dostępu
  • Automatyczne skanowanie bezpieczeństwa
  • Proaktywne zarządzanie podatnością
  • Regularne szkolenia z zakresu bezpieczeństwa dla wszystkich członków zespołu

Zgodność

  • GDPR zgodne z przepisami praktyki przetwarzania danych
  • Umowa o przetwarzaniu danych (DPA) dostępne dla klientów biznesowych
  • Kontrola prywatności zgodna z CCPA
  • Procesy audytowane zgodnie z SOC 2 typu II

Nasz plan reagowania na incydenty bezpieczeństwa obejmuje:

  1. Wykrywanie:Zautomatyzowane systemy monitorowania i ostrzegania
  2. Powstrzymywanie:Natychmiastowa izolacja dotkniętych systemów
  3. Likwidacja:Usunięcie zagrożenia i analiza przyczyn źródłowych
  4. Powrót do zdrowia:Bezpieczne przywracanie usług
  5. Powiadomienie:Terminowa komunikacja z użytkownikami, których to dotyczy
  6. Analiza poincydentalna:Kompleksowy przegląd i udoskonalenie

[!OSTRZEŻENIE] Jeśli odkryjesz lukę w zabezpieczeniach, zgłoś ją natychmiast do security@forwardemail.net.

flowchart LR
    A[Requirements] --> B[Design]
    B --> C[Implementation]
    C --> D[Verification]
    D --> E[Release]
    E --> F[Maintenance]
    F --> A
    B -.-> G[Threat Modeling]
    C -.-> H[Static Analysis]
    D -.-> I[Security Testing]
    E -.-> J[Final Security Review]
    F -.-> K[Vulnerability Management]

Cały kod przechodzi:

  • Zbieranie wymagań bezpieczeństwa
  • Modelowanie zagrożeń podczas projektowania
  • Bezpieczne praktyki kodowania
  • Testowanie bezpieczeństwa aplikacji statycznych i dynamicznych
  • Przegląd kodu ze szczególnym uwzględnieniem bezpieczeństwa
  • Skanowanie podatności na zależności

Nasz Konfiguracja Ansible wdraża liczne środki wzmacniające serwer:

  • Dostęp USB wyłączony:Porty fizyczne są wyłączane poprzez umieszczenie modułu jądra usb-storage na czarnej liście
  • Reguły zapory sieciowej:Surowe reguły iptables zezwalające tylko na niezbędne połączenia
  • Utwardzanie SSH: Tylko uwierzytelnianie oparte na kluczach, brak logowania hasłem, logowanie roota wyłączone
  • Izolacja usług:Każda usługa działa z minimalnymi wymaganymi uprawnieniami
  • Aktualizacje automatyczne:Poprawki zabezpieczeń są stosowane automatycznie
  • Bezpieczny rozruch:Zweryfikowano proces rozruchu w celu zapobiegania manipulacjom
  • Utwardzanie jądra:Bezpieczne parametry jądra i konfiguracje sysctl
  • Ograniczenia systemu plików: opcje montowania noexec, nosuid i nodev, jeśli jest to właściwe
  • Zrzuty rdzenia wyłączone:System skonfigurowany w celu zapobiegania zrzutom pamięci ze względów bezpieczeństwa
  • Zamiana wyłączona: Pamięć wymiany wyłączona, aby zapobiec wyciekowi danych
  • Ochrona skanowania portów:Automatyczne wykrywanie i blokowanie prób skanowania portów
  • Przezroczyste ogromne strony wyłączone:THP wyłączone w celu poprawy wydajności i bezpieczeństwa
  • Utwardzanie usług systemowych: Usługi niebędące niezbędne, takie jak Apport, są wyłączone
  • Zarządzanie użytkownikami:Zasada najmniejszych uprawnień z oddzielnymi użytkownikami wdrażania i devops
  • Limity deskryptorów plików: Zwiększone limity dla lepszej wydajności i bezpieczeństwa

Utrzymujemy wysoki poziom dostępności i niezawodności usług. Nasza infrastruktura jest zaprojektowana pod kątem redundancji i tolerancji błędów, aby zapewnić, że Twoja usługa poczty e-mail pozostanie operacyjna. Chociaż nie publikujemy formalnego dokumentu SLA, zobowiązujemy się do:

  • 99,9%+ dostępności wszystkich usług
  • Szybka reakcja na zakłócenia w świadczeniu usług
  • Przejrzysta komunikacja w trakcie incydentów
  • Regularna konserwacja w okresach małego ruchu

Jako usługa typu open source, nasze bezpieczeństwo korzystają z:

  • Przejrzysty kod, który może być audytowany przez każdego
  • Ulepszenia bezpieczeństwa wprowadzane przez społeczność
  • Szybka identyfikacja i łatanie luk w zabezpieczeniach
  • Brak bezpieczeństwa poprzez niejasność

  • Weryfikacja przeszłości wszystkich pracowników
  • Szkolenie w zakresie świadomości bezpieczeństwa
  • Zasada najmniejszych uprawnień dostępu
  • Regularne szkolenia w zakresie bezpieczeństwa

Ciągle udoskonalamy nasze standardy bezpieczeństwa poprzez:

  • Monitorowanie trendów bezpieczeństwa i pojawiających się zagrożeń
  • Regularny przegląd i aktualizacja zasad bezpieczeństwa
  • Opinie badaczy ds. bezpieczeństwa i użytkowników
  • Udział we wspólnocie bezpieczeństwa

Aby uzyskać więcej informacji na temat naszych praktyk bezpieczeństwa lub zgłosić problemy związane z bezpieczeństwem, skontaktuj się z nami security@forwardemail.net.