Práticas de segurança

Prefácio
Na Forward Email, a segurança é nossa principal prioridade. Implementamos medidas de segurança abrangentes para proteger suas comunicações por e-mail e dados pessoais. Este documento descreve nossas práticas de segurança e as medidas que tomamos para garantir a confidencialidade, a integridade e a disponibilidade do seu e-mail.
Segurança de infraestrutura
Centros de dados seguros
Nossa infraestrutura é hospedada em data centers compatíveis com SOC 2 com:
- Segurança física e vigilância 24 horas por dia, 7 dias por semana
- Controles de acesso biométricos
- Sistemas de energia redundantes
- Detecção e supressão avançadas de incêndio
- Monitoramento ambiental
Segurança de rede
Implementamos múltiplas camadas de segurança de rede:
- Firewalls de nível empresarial com listas rigorosas de controle de acesso
- Proteção e mitigação de DDoS
- Verificação regular de vulnerabilidades de rede
- Sistemas de detecção e prevenção de intrusão
- Criptografia de tráfego entre todos os endpoints de serviço
- Proteção de varredura de portas com bloqueio automatizado de atividades suspeitas
Important
Todos os dados em trânsito são criptografados usando TLS 1.2+ com conjuntos de criptografia modernos.
Segurança de e-mail
Criptografia
- Segurança da Camada de Transporte (TLS): Todo o tráfego de e-mail é criptografado em trânsito usando TLS 1.2 ou superior
- Criptografia de Ponta a Ponta: Suporte aos padrões OpenPGP/MIME e S/MIME
- Criptografia de Armazenamento: Todos os e-mails armazenados são criptografados em repouso usando criptografia ChaCha20-Poly1305 em arquivos SQLite
- Criptografia de Disco Completo: Criptografia LUKS v2 para todo o disco
- Proteção Abrangente: Implementamos criptografia em repouso, criptografia na memória e criptografia em trânsito
Note
Somos o primeiro e único serviço de e-mail do mundo a usar caixas de correio SQLite resistentes a quantum e criptografadas individualmente.
Autenticação e Autorização
- Assinatura DKIM: Todos os e-mails enviados são assinados com DKIM
- SPF e DMARC: Suporte total para SPF e DMARC para evitar spoofing de e-mails
- MTA-STS: Suporte para MTA-STS para aplicar criptografia TLS
- Autenticação Multifator: Disponível para todos os acessos de conta
Medidas antiabuso
- Filtragem de Spam: Detecção de spam em várias camadas com aprendizado de máquina
- Verificação de Vírus: Verificação em tempo real de todos os anexos
- Limitação de Taxa: Proteção contra ataques de força bruta e enumeração
- Reputação de IP: Monitoramento da reputação de IP de envio
- Filtragem de Conteúdo: Detecção de URLs maliciosos e tentativas de phishing
Proteção de Dados
Minimização de Dados
Seguimos o princípio de minimização de dados:
- Coletamos apenas os dados necessários para fornecer nosso serviço
- O conteúdo do e-mail é processado na memória e não é armazenado de forma persistente, a menos que seja necessário para entrega IMAP/POP3
- Os registros são anonimizados e retidos apenas pelo tempo necessário
Backup e Recuperação
- Backups diários automatizados com criptografia
- Armazenamento de backup distribuído geograficamente
- Testes regulares de restauração de backup
- Procedimentos de recuperação de desastres com RPO e RTO definidos
Provedores de serviços
Selecionamos cuidadosamente nossos provedores de serviços para garantir que atendam aos nossos elevados padrões de segurança. Abaixo, listamos os provedores que utilizamos para transferência internacional de dados e seus respectivos status de conformidade com o GDPR:
Provedor | Propósito | Certificado DPF | Página de conformidade com o GDPR |
---|---|---|---|
Cloudflare | CDN, proteção DDoS, DNS | ✅ Sim | Cloudflare GDPR |
DataPacket | Infraestrutura de servidor | ❌ Não | DataPacket Privacy |
Digital Ocean | Infraestrutura de nuvem | ❌ Não | DigitalOcean GDPR |
Vultr | Infraestrutura de nuvem | ❌ Não | Vultr GDPR |
Stripe | Processamento de pagamento | ✅ Sim | Stripe Privacy Center |
PayPal | Processamento de pagamento | ❌ Não | PayPal Privacy |
Utilizamos esses provedores para garantir a prestação de serviços confiável e segura, mantendo a conformidade com as normas internacionais de proteção de dados. Todas as transferências de dados são realizadas com as devidas salvaguardas para proteger suas informações pessoais.
Conformidade e Auditoria
Avaliações regulares de segurança
Nossa equipe monitora, revisa e avalia regularmente a base de código, os servidores, a infraestrutura e as práticas. Implementamos um programa de segurança abrangente que inclui:
- Rotação regular de chaves SSH
- Monitoramento contínuo de logs de acesso
- Verificação de segurança automatizada
- Gerenciamento proativo de vulnerabilidades
- Treinamento regular de segurança para todos os membros da equipe
Conformidade
- Práticas de tratamento de dados em conformidade com GDPR
- Contrato de Processamento de Dados (DPA) disponível para clientes empresariais
- Controles de privacidade em conformidade com CCPA
- Processos auditados SOC 2 Tipo II
Resposta a incidentes
Nosso plano de resposta a incidentes de segurança inclui:
- Detecção: Sistemas automatizados de monitoramento e alerta
- Contenção: Isolamento imediato dos sistemas afetados
- Erradicação: Remoção da ameaça e análise da causa raiz
- Recuperação: Restauração segura dos serviços
- Notificação: Comunicação oportuna com os usuários afetados
- Análise pós-incidente: Revisão e melhoria abrangentes
Warning
Se você descobrir uma vulnerabilidade de segurança, informe-a imediatamente para security@forwardemail.net.
Ciclo de vida de desenvolvimento de segurança
Todo código passa por:
- Levantamento de requisitos de segurança
- Modelagem de ameaças durante o projeto
- Práticas de codificação seguras
- Testes de segurança de aplicações estáticas e dinâmicas
- Revisão de código com foco em segurança
- Varredura de vulnerabilidades de dependência
Proteção do servidor
Nosso Configuração Ansible implementa inúmeras medidas de proteção do servidor:
- Acesso USB Desativado: Portas físicas são desativadas ao colocar o módulo do kernel usb-storage na lista negra
- Regras de Firewall: Regras rígidas do iptables, permitindo apenas conexões necessárias
- Proteção SSH: Autenticação baseada apenas em chave, sem login com senha, login root desabilitado
- Isolamento de Serviço: Cada serviço é executado com os privilégios mínimos necessários
- Atualizações Automáticas: Patches de segurança são aplicados automaticamente
- Inicialização Segura: Processo de inicialização verificado para evitar adulterações
- Proteção do Kernel: Parâmetros do kernel e configurações sysctl seguros
- Restrições do Sistema de Arquivos: opções de montagem noexec, nosuid e nodev, quando apropriado
- Core Dumps Desativados: Sistema configurado para impedir core dumps por motivos de segurança
- Swap Desativado: Memória swap desabilitada para evitar vazamento de dados
- Proteção de Varredura de Portas: Detecção e bloqueio automatizados de tentativas de varredura de portas
- Páginas Enormes Transparentes Desativadas: THP desabilitado para melhor desempenho e segurança
- Serviço do Sistema Reforço: Serviços não essenciais, como o Appport, desabilitados
- Gerenciamento de Usuários: Princípio do menor privilégio com usuários separados de implantação e DevOps
- Limites do Descritor de Arquivos: Limites aumentados para melhor desempenho e segurança
Acordo de Nível de Serviço
Mantemos um alto nível de disponibilidade e confiabilidade do serviço. Nossa infraestrutura foi projetada para oferecer redundância e tolerância a falhas, garantindo que seu serviço de e-mail permaneça operacional. Embora não publiquemos um SLA formal, temos o compromisso de:
- Mais de 99,9% de disponibilidade para todos os serviços
- Resposta rápida a interrupções de serviço
- Comunicação transparente durante incidentes
- Manutenção regular durante períodos de baixo tráfego
Segurança de código aberto
Como serviço de código aberto, nossa segurança se beneficia de:
- Código transparente que pode ser auditado por qualquer pessoa
- Melhorias de segurança conduzidas pela comunidade
- Identificação e correção rápidas de vulnerabilidades
- Sem segurança por obscuridade
Segurança do Funcionário
- Verificação de antecedentes de todos os funcionários
- Treinamento de conscientização sobre segurança
- Princípio do acesso com privilégios mínimos
- Treinamento regular sobre segurança
Melhoria Contínua
Melhoramos continuamente nossa postura de segurança por meio de:
- Monitoramento de tendências de segurança e ameaças emergentes
- Revisão e atualizações regulares das políticas de segurança
- Feedback de pesquisadores e usuários de segurança
- Participação na comunidade de segurança
Para obter mais informações sobre nossas práticas de segurança ou para relatar preocupações de segurança, entre em contato com security@forwardemail.net.