Práticas de Segurança

Na Forward Email, a segurança é nossa maior prioridade. Implementamos medidas de segurança abrangentes para proteger suas comunicações por e-mail e dados pessoais. Este documento descreve nossas práticas de segurança e as etapas que tomamos para garantir a confidencialidade, integridade e disponibilidade do seu e-mail.

Centros de dados seguros

Nossa infraestrutura é hospedada em data centers compatíveis com SOC 2 com:

  • Segurança física e vigilância 24 horas por dia, 7 dias por semana
  • Controles de acesso biométricos
  • Sistemas de energia redundantes
  • Detecção e supressão avançadas de incêndio
  • Monitoramento ambiental

Segurança de rede

Implementamos múltiplas camadas de segurança de rede:

  • Firewalls de nível empresarial com listas de controle de acesso rigorosas
  • Proteção e mitigação de DDoS
  • Verificação regular de vulnerabilidades de rede
  • Sistemas de detecção e prevenção de intrusão
  • Criptografia de tráfego entre todos os pontos de extremidade do serviço
  • Proteção de varredura de porta com bloqueio automático de atividades suspeitas

[!IMPORTANTE] Todos os dados em trânsito são criptografados usando TLS 1.2+ com conjuntos de criptografia modernos.

Criptografia

  • Segurança da Camada de Transporte (TLS): Todo o tráfego de e-mail é criptografado em trânsito usando TLS 1.2 ou superior
  • Criptografia de ponta a ponta: Suporte para padrões OpenPGP/MIME e S/MIME
  • Criptografia de armazenamento: Todos os e-mails armazenados são criptografados em repouso usando criptografia ChaCha20-Poly1305 em arquivos SQLite
  • Criptografia de disco completo: Criptografia LUKS v2 para todo o disco
  • Proteção abrangente: Implementamos criptografia em repouso, criptografia na memória e criptografia em trânsito

[!NOTA] Somos o primeiro e único serviço de e-mail do mundo a usar caixas de correio SQLite resistentes a quantum e criptografadas individualmente.

Autenticação e Autorização

  • Assinatura DKIM: Todos os e-mails enviados são assinados com DKIM
  • FPS e DMARC: Suporte total para SPF e DMARC para evitar falsificação de e-mail
  • MTA-STS: Suporte para MTA-STS para impor criptografia TLS
  • Autenticação multifator: Disponível para todos os acessos de conta

Medidas anti-abuso

  • Filtragem de Spam: Detecção de spam em várias camadas com aprendizado de máquina
  • Verificação de vírus: Verificação em tempo real de todos os anexos
  • Limitação de taxa: Proteção contra ataques de força bruta e enumeração
  • Reputação de IP: Monitoramento da reputação de IP de envio
  • Filtragem de conteúdo: Detecção de URLs maliciosos e tentativas de phishing

Minimização de dados

Seguimos o princípio de minimização de dados:

  • Nós apenas coletamos os dados necessários para fornecer nosso serviço
  • O conteúdo do e-mail é processado na memória e não armazenado de forma persistente, a menos que seja necessário para entrega IMAP/POP3
  • Os registros são anonimizados e mantidos apenas pelo tempo necessário

Backup e Recuperação

  • Backups diários automatizados com criptografia
  • Armazenamento de backup distribuído geograficamente
  • Testes regulares de restauração de backup
  • Procedimentos de recuperação de desastres com RPO e RTO definidos

Selecionamos cuidadosamente nossos provedores de serviços para garantir que eles atendam aos nossos altos padrões de segurança. Abaixo estão os provedores que usamos para transferência internacional de dados e seu status de conformidade com o GDPR:

FornecedorPropósitoCertificado DPFPágina de conformidade com GDPR
nuvemflareCDN, proteção DDoS, DNS✅ SimCloudflare RGPD
Pacote de dadosInfraestrutura do servidor❌ NãoPrivacidade do DataPacket
Oceano DigitalInfraestrutura de nuvem❌ NãoDigitalOcean RGPD
VultrInfraestrutura de nuvem❌ NãoVultr RGPD
ListraProcessamento de pagamento✅ SimCentro de Privacidade Stripe
PayPalProcessamento de pagamento❌ NãoPrivacidade do PayPal

Usamos esses provedores para garantir entrega de serviço confiável e segura, mantendo a conformidade com os regulamentos internacionais de proteção de dados. Todas as transferências de dados são conduzidas com salvaguardas apropriadas para proteger suas informações pessoais.

Avaliações de segurança regulares

Nossa equipe monitora, revisa e avalia regularmente a base de código, servidores, infraestrutura e práticas. Implementamos um programa de segurança abrangente que inclui:

  • Rotação regular de chaves SSH
  • Monitoramento contínuo de logs de acesso
  • Verificação de segurança automatizada
  • Gerenciamento proativo de vulnerabilidades
  • Treinamento regular de segurança para todos os membros da equipe

Conformidade

  • GDPR práticas de tratamento de dados compatíveis
  • Acordo de Processamento de Dados (DPA) disponível para clientes empresariais
  • Controles de privacidade compatíveis com CCPA
  • Processos auditados SOC 2 Tipo II

Nosso plano de resposta a incidentes de segurança inclui:

  1. Detecção: Sistemas automatizados de monitoramento e alerta
  2. Contenção: Isolamento imediato dos sistemas afetados
  3. Erradicação: Remoção da ameaça e análise da causa raiz
  4. Recuperação: Restauração segura dos serviços
  5. Notificação: Comunicação oportuna com usuários afetados
  6. Análise pós-incidente: Revisão e melhoria abrangentes

[!AVISO] Se você descobrir uma vulnerabilidade de segurança, informe-a imediatamente para security@forwardemail.net.

flowchart LR
    A[Requirements] --> B[Design]
    B --> C[Implementation]
    C --> D[Verification]
    D --> E[Release]
    E --> F[Maintenance]
    F --> A
    B -.-> G[Threat Modeling]
    C -.-> H[Static Analysis]
    D -.-> I[Security Testing]
    E -.-> J[Final Security Review]
    F -.-> K[Vulnerability Management]

Todo código passa por:

  • Coleta de requisitos de segurança
  • Modelagem de ameaças durante o design
  • Práticas de codificação seguras
  • Testes de segurança de aplicativos estáticos e dinâmicos
  • Revisão de código com foco em segurança
  • Verificação de vulnerabilidade de dependência

Nosso Configuração Ansible implementa inúmeras medidas de proteção do servidor:

  • Acesso USB desabilitado: As portas físicas são desabilitadas ao colocar o módulo do kernel usb-storage na lista negra
  • Regras de firewall: Regras rígidas do iptables permitindo apenas conexões necessárias
  • Reforço SSH: Somente autenticação baseada em chave, sem login por senha, login root desabilitado
  • Isolamento de serviço:Cada serviço é executado com privilégios mínimos necessários
  • Atualizações Automáticas: Os patches de segurança são aplicados automaticamente
  • Inicialização segura: Processo de inicialização verificado para evitar adulteração
  • Endurecimento do Kernel: Parâmetros seguros do kernel e configurações sysctl
  • Restrições do sistema de arquivos: opções de montagem noexec, nosuid e nodev quando apropriado
  • Core Dumps Desabilitados: Sistema configurado para evitar core dumps por segurança
  • Troca Desativada: Memória swap desabilitada para evitar vazamento de dados
  • Proteção de varredura de porta: Detecção e bloqueio automatizados de tentativas de varredura de portas
  • Páginas Enormes Transparentes Desativadas: THP desabilitado para melhor desempenho e segurança
  • Endurecimento do serviço do sistema: Serviços não essenciais como o Appport desabilitados
  • Gerenciamento de usuários: Princípio do menor privilégio com usuários separados de implantação e devops
  • Limites do descritor de arquivo: Limites aumentados para melhor desempenho e segurança

Mantemos um alto nível de disponibilidade e confiabilidade do serviço. Nossa infraestrutura é projetada para redundância e tolerância a falhas para garantir que seu serviço de e-mail permaneça operacional. Embora não publiquemos um documento SLA formal, estamos comprometidos com:

  • Mais de 99,9% de tempo de atividade para todos os serviços
  • Resposta rápida a interrupções de serviço
  • Comunicação transparente durante incidentes
  • Manutenção regular durante períodos de baixo tráfego

Como um serviço de código aberto, nossa segurança se beneficia de:

  • Código transparente que pode ser auditado por qualquer pessoa
  • Melhorias de segurança conduzidas pela comunidade
  • Identificação rápida e correção de vulnerabilidades
  • Nenhuma segurança através da obscuridade

  • Verificação de antecedentes para todos os funcionários
  • Treinamento de conscientização sobre segurança
  • Princípio do acesso com privilégios mínimos
  • Educação regular em segurança

Melhoramos continuamente nossa postura de segurança por meio de:

  • Monitoramento de tendências de segurança e ameaças emergentes
  • Revisão regular e atualizações das políticas de segurança
  • Feedback de pesquisadores e usuários de segurança
  • Participação na comunidade de segurança

Para obter mais informações sobre nossas práticas de segurança ou para relatar preocupações de segurança, entre em contato security@forwardemail.net.