Práticas de Segurança
Prefácio
Na Forward Email, a segurança é nossa maior prioridade. Implementamos medidas de segurança abrangentes para proteger suas comunicações por e-mail e dados pessoais. Este documento descreve nossas práticas de segurança e as etapas que tomamos para garantir a confidencialidade, integridade e disponibilidade do seu e-mail.
Segurança de Infraestrutura
Centros de dados seguros
Nossa infraestrutura é hospedada em data centers compatíveis com SOC 2 com:
- Segurança física e vigilância 24 horas por dia, 7 dias por semana
- Controles de acesso biométricos
- Sistemas de energia redundantes
- Detecção e supressão avançadas de incêndio
- Monitoramento ambiental
Segurança de rede
Implementamos múltiplas camadas de segurança de rede:
- Firewalls de nível empresarial com listas de controle de acesso rigorosas
- Proteção e mitigação de DDoS
- Verificação regular de vulnerabilidades de rede
- Sistemas de detecção e prevenção de intrusão
- Criptografia de tráfego entre todos os pontos de extremidade do serviço
- Proteção de varredura de porta com bloqueio automático de atividades suspeitas
[!IMPORTANTE] Todos os dados em trânsito são criptografados usando TLS 1.2+ com conjuntos de criptografia modernos.
Segurança de e-mail
Criptografia
- Segurança da Camada de Transporte (TLS): Todo o tráfego de e-mail é criptografado em trânsito usando TLS 1.2 ou superior
- Criptografia de ponta a ponta: Suporte para padrões OpenPGP/MIME e S/MIME
- Criptografia de armazenamento: Todos os e-mails armazenados são criptografados em repouso usando criptografia ChaCha20-Poly1305 em arquivos SQLite
- Criptografia de disco completo: Criptografia LUKS v2 para todo o disco
- Proteção abrangente: Implementamos criptografia em repouso, criptografia na memória e criptografia em trânsito
[!NOTA] Somos o primeiro e único serviço de e-mail do mundo a usar caixas de correio SQLite resistentes a quantum e criptografadas individualmente.
Autenticação e Autorização
- Assinatura DKIM: Todos os e-mails enviados são assinados com DKIM
- FPS e DMARC: Suporte total para SPF e DMARC para evitar falsificação de e-mail
- MTA-STS: Suporte para MTA-STS para impor criptografia TLS
- Autenticação multifator: Disponível para todos os acessos de conta
Medidas anti-abuso
- Filtragem de Spam: Detecção de spam em várias camadas com aprendizado de máquina
- Verificação de vírus: Verificação em tempo real de todos os anexos
- Limitação de taxa: Proteção contra ataques de força bruta e enumeração
- Reputação de IP: Monitoramento da reputação de IP de envio
- Filtragem de conteúdo: Detecção de URLs maliciosos e tentativas de phishing
Proteção de Dados
Minimização de dados
Seguimos o princípio de minimização de dados:
- Nós apenas coletamos os dados necessários para fornecer nosso serviço
- O conteúdo do e-mail é processado na memória e não armazenado de forma persistente, a menos que seja necessário para entrega IMAP/POP3
- Os registros são anonimizados e mantidos apenas pelo tempo necessário
Backup e Recuperação
- Backups diários automatizados com criptografia
- Armazenamento de backup distribuído geograficamente
- Testes regulares de restauração de backup
- Procedimentos de recuperação de desastres com RPO e RTO definidos
Provedores de serviços
Selecionamos cuidadosamente nossos provedores de serviços para garantir que eles atendam aos nossos altos padrões de segurança. Abaixo estão os provedores que usamos para transferência internacional de dados e seu status de conformidade com o GDPR:
| Fornecedor | Propósito | Certificado DPF | Página de conformidade com GDPR |
|---|---|---|---|
| nuvemflare | CDN, proteção DDoS, DNS | ✅ Sim | Cloudflare RGPD |
| Pacote de dados | Infraestrutura do servidor | ❌ Não | Privacidade do DataPacket |
| Oceano Digital | Infraestrutura de nuvem | ❌ Não | DigitalOcean RGPD |
| Vultr | Infraestrutura de nuvem | ❌ Não | Vultr RGPD |
| Listra | Processamento de pagamento | ✅ Sim | Centro de Privacidade Stripe |
| PayPal | Processamento de pagamento | ❌ Não | Privacidade do PayPal |
Usamos esses provedores para garantir entrega de serviço confiável e segura, mantendo a conformidade com os regulamentos internacionais de proteção de dados. Todas as transferências de dados são conduzidas com salvaguardas apropriadas para proteger suas informações pessoais.
Conformidade e Auditoria
Avaliações de segurança regulares
Nossa equipe monitora, revisa e avalia regularmente a base de código, servidores, infraestrutura e práticas. Implementamos um programa de segurança abrangente que inclui:
- Rotação regular de chaves SSH
- Monitoramento contínuo de logs de acesso
- Verificação de segurança automatizada
- Gerenciamento proativo de vulnerabilidades
- Treinamento regular de segurança para todos os membros da equipe
Conformidade
- GDPR práticas de tratamento de dados compatíveis
- Acordo de Processamento de Dados (DPA) disponível para clientes empresariais
- Controles de privacidade compatíveis com CCPA
- Processos auditados SOC 2 Tipo II
Resposta a incidentes
Nosso plano de resposta a incidentes de segurança inclui:
- Detecção: Sistemas automatizados de monitoramento e alerta
- Contenção: Isolamento imediato dos sistemas afetados
- Erradicação: Remoção da ameaça e análise da causa raiz
- Recuperação: Restauração segura dos serviços
- Notificação: Comunicação oportuna com usuários afetados
- Análise pós-incidente: Revisão e melhoria abrangentes
[!AVISO] Se você descobrir uma vulnerabilidade de segurança, informe-a imediatamente para security@forwardemail.net.
Ciclo de vida do desenvolvimento de segurança
flowchart LR
A[Requirements] --> B[Design]
B --> C[Implementation]
C --> D[Verification]
D --> E[Release]
E --> F[Maintenance]
F --> A
B -.-> G[Threat Modeling]
C -.-> H[Static Analysis]
D -.-> I[Security Testing]
E -.-> J[Final Security Review]
F -.-> K[Vulnerability Management]
Todo código passa por:
- Coleta de requisitos de segurança
- Modelagem de ameaças durante o design
- Práticas de codificação seguras
- Testes de segurança de aplicativos estáticos e dinâmicos
- Revisão de código com foco em segurança
- Verificação de vulnerabilidade de dependência
Endurecimento do servidor
Nosso Configuração Ansible implementa inúmeras medidas de proteção do servidor:
- Acesso USB desabilitado: As portas físicas são desabilitadas ao colocar o módulo do kernel usb-storage na lista negra
- Regras de firewall: Regras rígidas do iptables permitindo apenas conexões necessárias
- Reforço SSH: Somente autenticação baseada em chave, sem login por senha, login root desabilitado
- Isolamento de serviço:Cada serviço é executado com privilégios mínimos necessários
- Atualizações Automáticas: Os patches de segurança são aplicados automaticamente
- Inicialização segura: Processo de inicialização verificado para evitar adulteração
- Endurecimento do Kernel: Parâmetros seguros do kernel e configurações sysctl
- Restrições do sistema de arquivos: opções de montagem noexec, nosuid e nodev quando apropriado
- Core Dumps Desabilitados: Sistema configurado para evitar core dumps por segurança
- Troca Desativada: Memória swap desabilitada para evitar vazamento de dados
- Proteção de varredura de porta: Detecção e bloqueio automatizados de tentativas de varredura de portas
- Páginas Enormes Transparentes Desativadas: THP desabilitado para melhor desempenho e segurança
- Endurecimento do serviço do sistema: Serviços não essenciais como o Appport desabilitados
- Gerenciamento de usuários: Princípio do menor privilégio com usuários separados de implantação e devops
- Limites do descritor de arquivo: Limites aumentados para melhor desempenho e segurança
Acordo de Nível de Serviço
Mantemos um alto nível de disponibilidade e confiabilidade do serviço. Nossa infraestrutura é projetada para redundância e tolerância a falhas para garantir que seu serviço de e-mail permaneça operacional. Embora não publiquemos um documento SLA formal, estamos comprometidos com:
- Mais de 99,9% de tempo de atividade para todos os serviços
- Resposta rápida a interrupções de serviço
- Comunicação transparente durante incidentes
- Manutenção regular durante períodos de baixo tráfego
Segurança de código aberto
Como um serviço de código aberto, nossa segurança se beneficia de:
- Código transparente que pode ser auditado por qualquer pessoa
- Melhorias de segurança conduzidas pela comunidade
- Identificação rápida e correção de vulnerabilidades
- Nenhuma segurança através da obscuridade
Segurança dos funcionários
- Verificação de antecedentes para todos os funcionários
- Treinamento de conscientização sobre segurança
- Princípio do acesso com privilégios mínimos
- Educação regular em segurança
Melhoria Contínua
Melhoramos continuamente nossa postura de segurança por meio de:
- Monitoramento de tendências de segurança e ameaças emergentes
- Revisão regular e atualizações das políticas de segurança
- Feedback de pesquisadores e usuários de segurança
- Participação na comunidade de segurança
Para obter mais informações sobre nossas práticas de segurança ou para relatar preocupações de segurança, entre em contato security@forwardemail.net.