- Strona wyszukiwania
- Spis treści
Praktyki bezpieczeństwa
Przedmowa
W Forward Email bezpieczeństwo jest naszym najwyższym priorytetem. Wdrożyliśmy kompleksowe środki bezpieczeństwa, aby chronić Twoją komunikację e-mailową i dane osobowe. Niniejszy dokument opisuje nasze praktyki bezpieczeństwa i kroki, które podejmujemy, aby zapewnić poufność, integralność i dostępność Twojej poczty e-mail.
Bezpieczeństwo infrastruktury
Bezpieczne centra danych
Nasza infrastruktura jest hostowana w centrach danych zgodnych ze standardem SOC 2, wyposażonych w:
- Całodobowa ochrona fizyczna i nadzór
- Kontrola dostępu biometrycznego
- Nadmiarowe systemy zasilania
- Zaawansowana detekcja i gaszenie pożaru
- Monitorowanie środowiska
Bezpieczeństwo sieci
Wdrażamy wielowarstwowe zabezpieczenia sieciowe:
- Zapory sieciowe klasy korporacyjnej ze ścisłymi listami kontroli dostępu
- Ochrona i łagodzenie skutków ataków DDoS
- Regularne skanowanie podatności sieci
- Systemy wykrywania i zapobiegania włamaniom
- Szyfrowanie ruchu pomiędzy wszystkimi punktami końcowymi usługi
- Ochrona skanowania portów z automatycznym blokowaniem podejrzanej aktywności
[!WAŻNE] Wszystkie przesyłane dane są szyfrowane przy użyciu protokołu TLS 1.2+ z wykorzystaniem nowoczesnych szyfrów.
Bezpieczeństwo poczty e-mail
Szyfrowanie
- Zabezpieczenia warstwy transportowej (TLS):Cały ruch poczty elektronicznej jest szyfrowany podczas przesyłania przy użyciu protokołu TLS 1.2 lub nowszego
- Szyfrowanie typu end-to-end:Obsługa standardów OpenPGP/MIME i S/MIME
- Szyfrowanie pamięci masowej:Wszystkie przechowywane wiadomości e-mail są szyfrowane w stanie spoczynku przy użyciu szyfrowania ChaCha20-Poly1305 w plikach SQLite
- Pełne szyfrowanie dysku:Szyfrowanie LUKS v2 dla całego dysku
- Kompleksowa ochrona:Wdrażamy szyfrowanie w stanie spoczynku, szyfrowanie w pamięci i szyfrowanie w trakcie przesyłania
[!NOTE] Jesteśmy pierwszą i jedyną na świecie usługą poczty e-mail, która korzysta z odpornych na ataki kwantowe i indywidualnie szyfrowanych skrzynek pocztowych SQLite.
Uwierzytelnianie i autoryzacja
- Podpisywanie DKIM:Wszystkie wiadomości wychodzące są podpisywane za pomocą DKIM
- SPF i DMARC:Pełne wsparcie dla SPF i DMARC w celu zapobiegania podszywaniu się pod e-mail
- MTA-STS:Obsługa protokołu MTA-STS w celu wymuszenia szyfrowania TLS
- Uwierzytelnianie wieloskładnikowe:Dostępne dla wszystkich kont dostępowych
Środki antyprzemocowe
- Filtrowanie spamu:Wielowarstwowe wykrywanie spamu z wykorzystaniem uczenia maszynowego
- Skanowanie wirusów:Skanowanie wszystkich załączników w czasie rzeczywistym
- Ograniczenie szybkości:Ochrona przed atakami siłowymi i wyliczeniowymi
- Reputacja IP:Monitorowanie reputacji wysyłającego IP
- Filtrowanie treści:Wykrywanie złośliwych adresów URL i prób phishingu
Ochrona danych
Minimalizacja danych
Kierujemy się zasadą minimalizacji danych:
- Gromadzimy wyłącznie dane niezbędne do świadczenia naszych usług
- Treść wiadomości e-mail jest przetwarzana w pamięci i nie jest trwale przechowywana, chyba że jest to wymagane do dostarczenia wiadomości za pośrednictwem protokołu IMAP/POP3
- Rejestry są anonimizowane i przechowywane tylko tak długo, jak jest to konieczne
Kopie zapasowe i odzyskiwanie
- Zautomatyzowane codzienne kopie zapasowe z szyfrowaniem
- Rozproszone geograficznie przechowywanie kopii zapasowych
- Regularne testowanie przywracania kopii zapasowych
- Procedury odzyskiwania po awarii z określonymi RPO i RTO
Dostawcy usług
Starannie wybieramy naszych dostawców usług, aby mieć pewność, że spełniają nasze wysokie standardy bezpieczeństwa. Poniżej wymieniono dostawców, z których korzystamy w zakresie międzynarodowego transferu danych, oraz ich status zgodności z GDPR:
| Dostawca | Zamiar | Certyfikowany DPF | Strona dotycząca zgodności z RODO |
|---|---|---|---|
| Rozbłysk chmur | CDN, ochrona DDoS, DNS | ✅ Tak | Cloudflare RODO |
| Pakiet danych | Infrastruktura serwerowa | ❌ Nie | Prywatność DataPacket |
| Cyfrowy ocean | Infrastruktura chmurowa | ❌ Nie | DigitalOcean RODO |
| Vultr | Infrastruktura chmurowa | ❌ Nie | Vultr RODO |
| Naszywka | Przetwarzanie płatności | ✅ Tak | Centrum prywatności Stripe |
| Płatność kartą | Przetwarzanie płatności | ❌ Nie | Prywatność PayPal |
Korzystamy z tych dostawców, aby zapewnić niezawodne, bezpieczne świadczenie usług przy jednoczesnym zachowaniu zgodności z międzynarodowymi przepisami o ochronie danych. Wszystkie transfery danych są przeprowadzane z odpowiednimi zabezpieczeniami w celu ochrony Twoich danych osobowych.
Zgodność i audyt
Regularne oceny bezpieczeństwa
Nasz zespół regularnie monitoruje, przegląda i ocenia bazę kodu, serwery, infrastrukturę i praktyki. Wdrażamy kompleksowy program bezpieczeństwa, który obejmuje:
- Regularna rotacja kluczy SSH
- Ciągły monitoring logów dostępu
- Automatyczne skanowanie bezpieczeństwa
- Proaktywne zarządzanie podatnością
- Regularne szkolenia z zakresu bezpieczeństwa dla wszystkich członków zespołu
Zgodność
- GDPR zgodne z przepisami praktyki przetwarzania danych
- Umowa o przetwarzaniu danych (DPA) dostępne dla klientów biznesowych
- Kontrola prywatności zgodna z CCPA
- Procesy audytowane zgodnie z SOC 2 typu II
Reagowanie na incydenty
Nasz plan reagowania na incydenty bezpieczeństwa obejmuje:
- Wykrywanie:Zautomatyzowane systemy monitorowania i ostrzegania
- Powstrzymywanie:Natychmiastowa izolacja dotkniętych systemów
- Likwidacja:Usunięcie zagrożenia i analiza przyczyn źródłowych
- Powrót do zdrowia:Bezpieczne przywracanie usług
- Powiadomienie:Terminowa komunikacja z użytkownikami, których to dotyczy
- Analiza poincydentalna:Kompleksowy przegląd i udoskonalenie
[!OSTRZEŻENIE] Jeśli odkryjesz lukę w zabezpieczeniach, zgłoś ją natychmiast do security@forwardemail.net.
Cykl rozwoju zabezpieczeń
flowchart LR
A[Requirements] --> B[Design]
B --> C[Implementation]
C --> D[Verification]
D --> E[Release]
E --> F[Maintenance]
F --> A
B -.-> G[Threat Modeling]
C -.-> H[Static Analysis]
D -.-> I[Security Testing]
E -.-> J[Final Security Review]
F -.-> K[Vulnerability Management]
Cały kod przechodzi:
- Zbieranie wymagań bezpieczeństwa
- Modelowanie zagrożeń podczas projektowania
- Bezpieczne praktyki kodowania
- Testowanie bezpieczeństwa aplikacji statycznych i dynamicznych
- Przegląd kodu ze szczególnym uwzględnieniem bezpieczeństwa
- Skanowanie podatności na zależności
Utwardzanie serwera
Nasz Konfiguracja Ansible wdraża liczne środki wzmacniające serwer:
- Dostęp USB wyłączony:Porty fizyczne są wyłączane poprzez umieszczenie modułu jądra usb-storage na czarnej liście
- Reguły zapory sieciowej:Surowe reguły iptables zezwalające tylko na niezbędne połączenia
- Utwardzanie SSH: Tylko uwierzytelnianie oparte na kluczach, brak logowania hasłem, logowanie roota wyłączone
- Izolacja usług:Każda usługa działa z minimalnymi wymaganymi uprawnieniami
- Aktualizacje automatyczne:Poprawki zabezpieczeń są stosowane automatycznie
- Bezpieczny rozruch:Zweryfikowano proces rozruchu w celu zapobiegania manipulacjom
- Utwardzanie jądra:Bezpieczne parametry jądra i konfiguracje sysctl
- Ograniczenia systemu plików: opcje montowania noexec, nosuid i nodev, jeśli jest to właściwe
- Zrzuty rdzenia wyłączone:System skonfigurowany w celu zapobiegania zrzutom pamięci ze względów bezpieczeństwa
- Zamiana wyłączona: Pamięć wymiany wyłączona, aby zapobiec wyciekowi danych
- Ochrona skanowania portów:Automatyczne wykrywanie i blokowanie prób skanowania portów
- Przezroczyste ogromne strony wyłączone:THP wyłączone w celu poprawy wydajności i bezpieczeństwa
- Utwardzanie usług systemowych: Usługi niebędące niezbędne, takie jak Apport, są wyłączone
- Zarządzanie użytkownikami:Zasada najmniejszych uprawnień z oddzielnymi użytkownikami wdrażania i devops
- Limity deskryptorów plików: Zwiększone limity dla lepszej wydajności i bezpieczeństwa
Umowa o poziomie usług
Utrzymujemy wysoki poziom dostępności i niezawodności usług. Nasza infrastruktura jest zaprojektowana pod kątem redundancji i tolerancji błędów, aby zapewnić, że Twoja usługa poczty e-mail pozostanie operacyjna. Chociaż nie publikujemy formalnego dokumentu SLA, zobowiązujemy się do:
- 99,9%+ dostępności wszystkich usług
- Szybka reakcja na zakłócenia w świadczeniu usług
- Przejrzysta komunikacja w trakcie incydentów
- Regularna konserwacja w okresach małego ruchu
Bezpieczeństwo Open Source
Jako usługa typu open source, nasze bezpieczeństwo korzystają z:
- Przejrzysty kod, który może być audytowany przez każdego
- Ulepszenia bezpieczeństwa wprowadzane przez społeczność
- Szybka identyfikacja i łatanie luk w zabezpieczeniach
- Brak bezpieczeństwa poprzez niejasność
Bezpieczeństwo pracowników
- Weryfikacja przeszłości wszystkich pracowników
- Szkolenie w zakresie świadomości bezpieczeństwa
- Zasada najmniejszych uprawnień dostępu
- Regularne szkolenia w zakresie bezpieczeństwa
Ciągłe doskonalenie
Ciągle udoskonalamy nasze standardy bezpieczeństwa poprzez:
- Monitorowanie trendów bezpieczeństwa i pojawiających się zagrożeń
- Regularny przegląd i aktualizacja zasad bezpieczeństwa
- Opinie badaczy ds. bezpieczeństwa i użytkowników
- Udział we wspólnocie bezpieczeństwa
Aby uzyskać więcej informacji na temat naszych praktyk bezpieczeństwa lub zgłosić problemy związane z bezpieczeństwem, skontaktuj się z nami security@forwardemail.net.