Меры безопасности

Предисловие

В Forward Email безопасность — наш главный приоритет. Мы внедрили комплексные меры безопасности для защиты ваших электронных писем и персональных данных. В этом документе описаны наши методы обеспечения безопасности и шаги, предпринимаемые для обеспечения конфиденциальности, целостности и доступности вашей электронной почты.

Безопасность инфраструктуры

Безопасные центры обработки данных

Наша инфраструктура размещена в центрах обработки данных, соответствующих стандарту SOC 2, с:

  • Круглосуточная физическая охрана и видеонаблюдение
  • Биометрический контроль доступа
  • Резервные системы электропитания
  • Современные системы обнаружения и тушения пожаров
  • Мониторинг окружающей среды

Сетевая безопасность

Мы реализуем несколько уровней сетевой безопасности:

  • Межсетевые экраны корпоративного уровня со строгими списками контроля доступа
  • Защита от DDoS-атак и их устранение
  • Регулярное сканирование уязвимостей сети
  • Системы обнаружения и предотвращения вторжений
  • Шифрование трафика между всеми конечными точками обслуживания
  • Защита от сканирования портов с автоматической блокировкой подозрительной активности

Important

Все передаваемые данные шифруются с использованием протокола TLS 1.2+ с использованием современных алгоритмов шифрования.

Безопасность электронной почты

Шифрование

  • Безопасность транспортного уровня (TLS): весь трафик электронной почты шифруется при передаче с использованием протокола TLS 1.2 или выше.
  • Сквозное шифрование: поддержка стандартов OpenPGP/MIME и S/MIME.
  • Шифрование хранилища: все хранимые электронные письма шифруются при хранении с использованием алгоритма ChaCha20-Poly1305 в файлах SQLite.
  • Полное шифрование диска: шифрование LUKS v2 для всего диска.
  • Комплексная защита: мы реализуем шифрование при хранении, шифрование в памяти и шифрование при передаче.

Note

Мы — первый и единственный в мире почтовый сервис, использующий квантово-устойчивые и индивидуально зашифрованные почтовые ящики SQLite.

Аутентификация и авторизация

  • Подпись DKIM: Все исходящие письма подписываются DKIM.
  • SPF и DMARC: Полная поддержка SPF и DMARC для предотвращения подмены писем.
  • MTA-STS: Поддержка MTA-STS для обеспечения шифрования TLS.
  • Многофакторная аутентификация: Доступна для всех учётных записей.

Меры по борьбе со злоупотреблениями

  • Фильтрация спама: Многоуровневое обнаружение спама с использованием машинного обучения
  • Сканирование на вирусы: Сканирование всех вложений в режиме реального времени
  • Ограничение скорости: Защита от атак методом подбора и перебора паролей
  • Репутация IP-адреса: Мониторинг репутации IP-адреса отправителя
  • Фильтрация контента: Обнаружение вредоносных URL-адресов и попыток фишинга

Защита данных

Минимизация данных

Мы следуем принципу минимизации данных:

  • Мы собираем только те данные, которые необходимы для предоставления наших услуг.
  • Содержимое электронных писем обрабатывается в памяти и не хранится постоянно, за исключением случаев, когда это требуется для доставки по протоколам IMAP/POP3.
  • Журналы анонимизируются и хранятся только в течение необходимого времени.

Резервное копирование и восстановление

  • Автоматизированное ежедневное резервное копирование с шифрованием
  • Географически распределенное хранилище резервных копий
  • Регулярное тестирование восстановления из резервных копий
  • Процедуры аварийного восстановления с заданными RPO и RTO

Поставщики услуг

Мы тщательно выбираем поставщиков услуг, чтобы гарантировать их соответствие нашим высоким стандартам безопасности. Ниже перечислены поставщики, которые мы используем для международной передачи данных, и их статус соответствия GDPR:

Поставщик Цель Сертифицировано DPF Страница соответствия GDPR
Cloudflare CDN, защита от DDoS-атак, DNS ✅ Да Cloudflare GDPR
DataPacket Серверная инфраструктура ❌ Нет DataPacket Privacy
Digital Ocean Облачная инфраструктура ❌ Нет DigitalOcean GDPR
Vultr Облачная инфраструктура ❌ Нет Vultr GDPR
Stripe Обработка платежей ✅ Да Stripe Privacy Center
PayPal Обработка платежей ❌ Нет PayPal Privacy

Мы пользуемся услугами этих поставщиков для обеспечения надёжного и безопасного предоставления услуг с соблюдением международных норм защиты данных. Вся передача данных осуществляется с использованием соответствующих мер безопасности для защиты вашей персональной информации.

Соответствие требованиям и аудит

Регулярные оценки безопасности

Наша команда регулярно отслеживает, проверяет и оценивает кодовую базу, серверы, инфраструктуру и применяемые методы. Мы внедряем комплексную программу безопасности, которая включает в себя:

  • Регулярная ротация SSH-ключей
  • Постоянный мониторинг журналов доступа
  • Автоматизированное сканирование безопасности
  • Проактивное управление уязвимостями
  • Регулярное обучение по безопасности для всех членов команды

Соответствие

  • Практики обработки данных, соответствующие GDPR
  • Соглашение об обработке данных (DPA) доступен для корпоративных клиентов
  • Средства управления конфиденциальностью, соответствующие CCPA
  • Процессы, прошедшие аудит SOC 2 Тип II

Реагирование на инциденты

Наш план реагирования на инциденты безопасности включает:

  1. Обнаружение: Автоматизированные системы мониторинга и оповещения
  2. Сдерживание: Немедленная изоляция затронутых систем
  3. Устранение: Устранение угрозы и анализ первопричин
  4. Восстановление: Безопасное восстановление сервисов
  5. Уведомление: Своевременное информирование затронутых пользователей
  6. Анализ после инцидента: Комплексный анализ и улучшение

Warning

Если вы обнаружили уязвимость безопасности, немедленно сообщите об этом по адресу security@forwardemail.net.

Жизненный цикл разработки безопасности

Весь код подвергается:

  • Сбор требований безопасности
  • Моделирование угроз на этапе проектирования
  • Безопасные методы кодирования
  • Статическое и динамическое тестирование безопасности приложений
  • Проверка кода с акцентом на безопасность
  • Сканирование уязвимостей зависимостей

Укрепление сервера

Наш Конфигурация Ansible реализует многочисленные меры по защите сервера:

  • Доступ к USB отключен: Физические порты отключены путём добавления модуля ядра usb-storage в чёрный список.
  • Правила брандмауэра: Строгие правила iptables, разрешающие только необходимые соединения.
  • Усиление защиты SSH: Только аутентификация по ключам, вход без пароля, вход с правами root отключен.
  • Изоляция служб: Каждая служба работает с минимальными необходимыми привилегиями.
  • Автоматические обновления: Исправления безопасности применяются автоматически.
  • Безопасная загрузка: Проверенная загрузка для предотвращения несанкционированного доступа.
  • Усиление защиты ядра: Безопасные параметры ядра и конфигурации sysctl.
  • Ограничения файловой системы: Параметры монтирования noexec, nosuid и nodev, где это применимо.
  • Дампы ядра отключены: Система настроена на предотвращение дампов ядра в целях безопасности.
  • Подкачка отключена: Подкачка памяти отключена для предотвращения утечки данных.
  • Защита от сканирования портов: Автоматическое обнаружение и блокировка сканирования портов. Попытки
  • Прозрачные огромные страницы отключены: THP отключен для повышения производительности и безопасности
  • Усиление защиты системных служб: Необязательные службы, такие как Apport, отключены
  • Управление пользователями: Принцип наименьших привилегий с разделением пользователей для развертывания и DevOps
  • Ограничения на количество файловых дескрипторов: Увеличенные ограничения для повышения производительности и безопасности

Соглашение об уровне обслуживания

Мы поддерживаем высокий уровень доступности и надежности сервиса. Наша инфраструктура разработана с учётом резервирования и отказоустойчивости, чтобы гарантировать бесперебойную работу вашей электронной почты. Хотя мы не публикуем официальное соглашение об уровне обслуживания (SLA), мы обязуемся:

  • Более 99,9% времени безотказной работы всех сервисов
  • Быстрое реагирование на сбои в работе сервисов
  • Прозрачное взаимодействие во время инцидентов
  • Регулярное техническое обслуживание в периоды низкой нагрузки

Безопасность с открытым исходным кодом

Как служба с открытым исходным кодом, наша безопасность выигрывает за счет:

  • Прозрачный код, доступный для аудита любым пользователем
  • Улучшения безопасности, инициированные сообществом
  • Быстрое выявление и устранение уязвимостей
  • Отсутствие безопасности через неизвестность

Безопасность сотрудников

  • Проверка биографических данных всех сотрудников
  • Обучение по вопросам безопасности
  • Принцип минимальных привилегий доступа
  • Регулярное обучение по вопросам безопасности

Постоянное совершенствование

Мы постоянно улучшаем нашу позицию по безопасности посредством:

  • Мониторинг тенденций безопасности и возникающих угроз
  • Регулярный пересмотр и обновление политик безопасности
  • Отзывы исследователей и пользователей безопасности
  • Участие в жизни сообщества специалистов по безопасности

Чтобы получить дополнительную информацию о наших методах обеспечения безопасности или сообщить о проблемах безопасности, свяжитесь с нами по адресу security@forwardemail.net.

Дополнительные ресурсы