Praktyki bezpieczeństwa

Przedmowa
W Forward Email bezpieczeństwo jest naszym najwyższym priorytetem. Wdrożyliśmy kompleksowe środki bezpieczeństwa, aby chronić Twoją komunikację e-mailową i dane osobowe. Niniejszy dokument opisuje nasze praktyki bezpieczeństwa oraz kroki, które podejmujemy w celu zapewnienia poufności, integralności i dostępności Twojej poczty e-mail.
Bezpieczeństwo infrastruktury
Bezpieczne centra danych
Nasza infrastruktura jest hostowana w centrach danych zgodnych ze standardem SOC 2, które posiadają:
- Całodobowa ochrona fizyczna i monitoring
- Biometryczna kontrola dostępu
- Redundantne systemy zasilania
- Zaawansowane wykrywanie i gaszenie pożaru
- Monitoring środowiska
Bezpieczeństwo sieci
Wdrażamy wielowarstwowe zabezpieczenia sieciowe:
- Zapory sieciowe klasy korporacyjnej ze ścisłymi listami kontroli dostępu
- Ochrona przed atakami DDoS i ich łagodzenie
- Regularne skanowanie sieci w poszukiwaniu luk w zabezpieczeniach
- Systemy wykrywania i zapobiegania włamaniom
- Szyfrowanie ruchu między wszystkimi punktami końcowymi usługi
- Ochrona poprzez skanowanie portów z automatycznym blokowaniem podejrzanej aktywności
Important
Wszystkie przesyłane dane są szyfrowane przy użyciu protokołu TLS 1.2+ z wykorzystaniem nowoczesnych szyfrów.
Bezpieczeństwo poczty e-mail
Szyfrowanie
- Transport Layer Security (TLS): Cały ruch e-mail jest szyfrowany w trakcie przesyłania przy użyciu protokołu TLS 1.2 lub nowszego.
- Szyfrowanie typu end-to-end: Obsługa standardów OpenPGP/MIME i S/MIME.
- Szyfrowanie pamięci masowej: Wszystkie przechowywane wiadomości e-mail są szyfrowane w stanie spoczynku przy użyciu szyfrowania ChaCha20-Poly1305 w plikach SQLite.
- Pełne szyfrowanie dysku: Szyfrowanie LUKS v2 dla całego dysku.
- Kompleksowa ochrona: Wdrażamy szyfrowanie w stanie spoczynku, szyfrowanie w pamięci i szyfrowanie w trakcie przesyłania.
Note
Jesteśmy pierwszą i jedyną na świecie usługą poczty e-mail korzystającą z skrzynki pocztowe SQLite odporne na ataki kwantowe i indywidualnie szyfrowane.
Uwierzytelnianie i autoryzacja
- Podpisywanie DKIM: Wszystkie wiadomości wychodzące są podpisywane za pomocą DKIM
- SPF i DMARC: Pełne wsparcie dla SPF i DMARC w celu zapobiegania podszywaniu się pod adres e-mail
- MTA-STS: Wsparcie dla MTA-STS w celu wymuszenia szyfrowania TLS
- Uwierzytelnianie wieloskładnikowe: Dostępne dla wszystkich kont
Środki przeciwdziałania nadużyciom
- Filtrowanie spamu: Wielowarstwowe wykrywanie spamu z wykorzystaniem uczenia maszynowego
- Skanowanie w poszukiwaniu wirusów: Skanowanie wszystkich załączników w czasie rzeczywistym
- Ograniczanie przepustowości: Ochrona przed atakami siłowymi i enumeracyjnymi
- Reputacja IP: Monitorowanie reputacji wysyłającego adresu IP
- Filtrowanie treści: Wykrywanie złośliwych adresów URL i prób phishingu
Ochrona danych
Minimalizacja danych
Kierujemy się zasadą minimalizacji danych:
- Gromadzimy tylko dane niezbędne do świadczenia naszych usług.
- Treść wiadomości e-mail jest przetwarzana w pamięci i nie jest trwale przechowywana, chyba że jest to wymagane do dostarczenia wiadomości IMAP/POP3.
- Logi są anonimizowane i przechowywane tylko tak długo, jak to konieczne.
Kopia zapasowa i odzyskiwanie
- Automatyczne codzienne kopie zapasowe z szyfrowaniem
- Geograficznie rozproszone przechowywanie kopii zapasowych
- Regularne testowanie przywracania kopii zapasowych
- Procedury odzyskiwania po awarii z określonymi wartościami RPO i RTO
Dostawcy usług
Starannie dobieramy naszych dostawców usług, aby zapewnić im zgodność z naszymi wysokimi standardami bezpieczeństwa. Poniżej przedstawiamy dostawców, z których korzystamy w zakresie międzynarodowego transferu danych, oraz ich status zgodności z RODO:
Dostawca | Zamiar | Certyfikowany DPF | Strona zgodności z RODO |
---|---|---|---|
Cloudflare | CDN, ochrona DDoS, DNS | ✅ Tak | Cloudflare GDPR |
DataPacket | Infrastruktura serwerowa | ❌ Nie | DataPacket Privacy |
Digital Ocean | Infrastruktura chmurowa | ❌ Nie | DigitalOcean GDPR |
Vultr | Infrastruktura chmurowa | ❌ Nie | Vultr GDPR |
Stripe | Przetwarzanie płatności | ✅ Tak | Stripe Privacy Center |
PayPal | Przetwarzanie płatności | ❌ Nie | PayPal Privacy |
Korzystamy z usług tych dostawców, aby zapewnić niezawodne i bezpieczne świadczenie usług, zachowując jednocześnie zgodność z międzynarodowymi przepisami o ochronie danych. Wszystkie transfery danych odbywają się z zachowaniem odpowiednich zabezpieczeń w celu ochrony Twoich danych osobowych.
Zgodność i audyt
Regularne oceny bezpieczeństwa
Nasz zespół regularnie monitoruje, weryfikuje i ocenia bazę kodu, serwery, infrastrukturę i procedury. Wdrażamy kompleksowy program bezpieczeństwa, który obejmuje:
- Regularna rotacja kluczy SSH
- Ciągły monitoring logów dostępu
- Automatyczne skanowanie bezpieczeństwa
- Proaktywne zarządzanie lukami w zabezpieczeniach
- Regularne szkolenia z zakresu bezpieczeństwa dla wszystkich członków zespołu
Zgodność
- Praktyki przetwarzania danych zgodne z GDPR
- Umowa o przetwarzaniu danych (DPA) dostępne dla klientów biznesowych
- Kontrola prywatności zgodna z CCPA
- Procesy audytowane zgodnie z SOC 2 typu II
Reakcja na incydenty
Nasz plan reagowania na incydenty bezpieczeństwa obejmuje:
- Wykrywanie: Zautomatyzowane systemy monitorowania i alarmowania
- Ograniczanie: Natychmiastowa izolacja zagrożonych systemów
- Eradykacja: Usunięcie zagrożenia i analiza przyczyn źródłowych
- Odzyskiwanie: Bezpieczne przywracanie usług
- Powiadomienie: Terminowa komunikacja z zagrożonymi użytkownikami
- Analiza poincydentalna: Kompleksowy przegląd i udoskonalenie
Warning
Jeśli odkryjesz lukę w zabezpieczeniach, zgłoś ją natychmiast na adres security@forwardemail.net.
Cykl rozwoju zabezpieczeń
Cały kod przechodzi:
- Gromadzenie wymagań bezpieczeństwa
- Modelowanie zagrożeń podczas projektowania
- Bezpieczne praktyki kodowania
- Statyczne i dynamiczne testowanie bezpieczeństwa aplikacji
- Przegląd kodu ze szczególnym uwzględnieniem bezpieczeństwa
- Skanowanie podatności na zależności
Wzmocnienie serwera
Nasz Konfiguracja Ansible wdraża liczne środki wzmacniające serwer:
- Dostęp USB wyłączony: Porty fizyczne są wyłączane poprzez umieszczenie modułu jądra USB-storage na czarnej liście.
- Reguły zapory sieciowej: Surowe reguły iptables zezwalające tylko na niezbędne połączenia.
- Wzmocnienie SSH: Tylko uwierzytelnianie oparte na kluczu, brak logowania hasłem, logowanie root wyłączone.
- Izolacja usług: Każda usługa działa z minimalnymi wymaganymi uprawnieniami.
- Automatyczne aktualizacje: Poprawki bezpieczeństwa są stosowane automatycznie.
- Bezpieczny rozruch: Zweryfikowany proces rozruchu w celu zapobiegania manipulacjom.
- Wzmocnienie jądra: Bezpieczne parametry jądra i konfiguracje sysctl.
- Ograniczenia systemu plików: Opcje montowania noexec, nosuid i nodev, jeśli dotyczy.
- Wyłączone zrzuty pamięci: System skonfigurowany w celu zapobiegania zrzutom pamięci ze względów bezpieczeństwa.
- Wyłączona pamięć wymiany: Wyłączona pamięć wymiany, aby zapobiec wyciekowi danych.
- Ochrona przed skanowaniem portów: Automatyczne wykrywanie i blokowanie prób skanowania portów.
- Przezroczysty Duże strony wyłączone: THP wyłączone dla poprawy wydajności i bezpieczeństwa
- Wzmocnienie usług systemowych: Usługi nieistotne, takie jak Apport, wyłączone
- Zarządzanie użytkownikami: Zasada najmniejszych uprawnień z oddzielnymi użytkownikami wdrożeniowymi i DevOps
- Limit deskryptorów plików: Zwiększone limity dla lepszej wydajności i bezpieczeństwa
Umowa o poziomie usług
Utrzymujemy wysoki poziom dostępności i niezawodności usług. Nasza infrastruktura jest zaprojektowana z myślą o redundancji i odporności na błędy, aby zapewnić ciągłość działania Twojej usługi poczty elektronicznej. Chociaż nie publikujemy formalnego dokumentu SLA, zobowiązujemy się do:
- 99,9%+ dostępności wszystkich usług
- Szybka reakcja na zakłócenia w świadczeniu usług
- Przejrzysta komunikacja w przypadku awarii
- Regularna konserwacja w okresach niskiego ruchu
Bezpieczeństwo Open Source
Jako usługa typu open source nasze bezpieczeństwo korzystają z następujących korzyści:
- Przejrzysty kod, który może być audytowany przez każdego
- Ulepszenia bezpieczeństwa wprowadzane przez społeczność
- Szybka identyfikacja i łatanie luk
- Brak konieczności zabezpieczania się poprzez ukrywanie
Bezpieczeństwo pracowników
- Weryfikacja przeszłości wszystkich pracowników
- Szkolenia z zakresu bezpieczeństwa
- Zasada dostępu z najmniejszymi uprawnieniami
- Regularne szkolenia z zakresu bezpieczeństwa
Ciągłe doskonalenie
Ciągle udoskonalamy naszą postawę w zakresie bezpieczeństwa poprzez:
- Monitorowanie trendów bezpieczeństwa i pojawiających się zagrożeń
- Regularny przegląd i aktualizacja polityk bezpieczeństwa
- Informacje zwrotne od badaczy bezpieczeństwa i użytkowników
- Udział w społeczności zajmującej się bezpieczeństwem
Aby uzyskać więcej informacji na temat naszych praktyk bezpieczeństwa lub zgłosić kwestie związane z bezpieczeństwem, skontaktuj się z nami pod adresem security@forwardemail.net.