Практики обеспечения безопасности

В Forward Email безопасность — наш главный приоритет. Мы внедрили комплексные меры безопасности для защиты ваших электронных сообщений и персональных данных. В этом документе изложены наши методы обеспечения безопасности и шаги, которые мы предпринимаем для обеспечения конфиденциальности, целостности и доступности вашей электронной почты.

Безопасные центры обработки данных

Наша инфраструктура размещена в центрах обработки данных, соответствующих стандарту SOC 2, где есть:

  • Круглосуточная физическая охрана и наблюдение
  • Биометрический контроль доступа
  • Резервные системы питания
  • Расширенные возможности обнаружения и тушения пожаров
  • Мониторинг окружающей среды

Сетевая безопасность

Мы реализуем несколько уровней сетевой безопасности:

  • Межсетевые экраны корпоративного уровня со строгими списками контроля доступа
  • Защита от DDoS-атак и смягчение их последствий
  • Регулярное сканирование сети на уязвимости
  • Системы обнаружения и предотвращения вторжений
  • Шифрование трафика между всеми конечными точками сервиса
  • Защита от сканирования портов с автоматической блокировкой подозрительной активности

[!ВАЖНО] Все передаваемые данные шифруются с использованием TLS 1.2+ с современными наборами шифров.

Шифрование

  • Безопасность транспортного уровня (TLS): Весь трафик электронной почты шифруется при передаче с использованием TLS 1.2 или выше.
  • Сквозное шифрование: Поддержка стандартов OpenPGP/MIME и S/MIME
  • Шифрование хранилища: Все сохраненные электронные письма шифруются при хранении с использованием шифрования ChaCha20-Poly1305 в файлах SQLite.
  • Полное шифрование диска: Шифрование LUKS v2 для всего диска
  • Комплексная защита: Мы реализуем шифрование в состоянии покоя, шифрование в памяти и шифрование при передаче

[!ПРИМЕЧАНИЕ] Мы являемся первым и единственным в мире сервисом электронной почты, использующим квантово-устойчивые и индивидуально зашифрованные почтовые ящики SQLite.

Аутентификация и авторизация

  • Подписание DKIM: Все исходящие письма подписываются с помощью DKIM
  • SPF и DMARC: Полная поддержка SPF и DMARC для предотвращения подделки электронной почты
  • MTA-STS: Поддержка MTA-STS для обеспечения шифрования TLS
  • Многофакторная аутентификация: Доступно для всех учетных записей

Меры по борьбе со злоупотреблениями

  • Фильтрация спама: Многоуровневое обнаружение спама с помощью машинного обучения
  • Сканирование на вирусы: Сканирование всех вложений в режиме реального времени
  • Ограничение скорости: Защита от атак методом подбора и перебора
  • Репутация ИС: Мониторинг репутации отправляющего IP
  • Фильтрация контента: Обнаружение вредоносных URL-адресов и попыток фишинга

Минимизация данных

Мы следуем принципу минимизации данных:

  • Мы собираем только те данные, которые необходимы для предоставления наших услуг.
  • Содержимое электронной почты обрабатывается в памяти и не хранится постоянно, если только это не требуется для доставки по протоколу IMAP/POP3.
  • Журналы анонимизируются и хранятся только столько времени, сколько необходимо.

Резервное копирование и восстановление

  • Автоматическое ежедневное резервное копирование с шифрованием
  • Географически распределенное резервное хранилище
  • Регулярное тестирование восстановления резервных копий
  • Процедуры восстановления после сбоев с определенными RPO и RTO

Мы тщательно выбираем наших поставщиков услуг, чтобы гарантировать, что они соответствуют нашим высоким стандартам безопасности. Ниже приведены поставщики, которых мы используем для международной передачи данных, и их статус соответствия GDPR:

ПоставщикЦельСертифицировано DPFСтраница соответствия GDPR
Облачная вспышкаCDN, защита от DDoS-атак, DNS✅ ДаGDPR
Пакет данныхСерверная инфраструктура❌ НетКонфиденциальность DataPacket
Цифровой океанОблачная инфраструктура❌ НетDigitalOcean GDPR
ВультрОблачная инфраструктура❌ НетVultr GDPR
ПолосаОбработка платежей✅ ДаЦентр конфиденциальности Stripe
PayPalОбработка платежей❌ НетКонфиденциальность PayPal

Мы используем этих поставщиков для обеспечения надежной и безопасной доставки услуг, сохраняя при этом соответствие международным правилам защиты данных. Все передачи данных осуществляются с использованием соответствующих мер безопасности для защиты вашей личной информации.

Регулярные оценки безопасности

Наша команда регулярно отслеживает, проверяет и оценивает кодовую базу, серверы, инфраструктуру и практики. Мы реализуем комплексную программу безопасности, которая включает:

  • Регулярная ротация ключей SSH
  • Постоянный мониторинг журналов доступа
  • Автоматическое сканирование безопасности
  • Проактивное управление уязвимостями
  • Регулярное обучение по безопасности для всех членов команды

Согласие

  • GDPR Соответствующие правила обработки данных
  • Соглашение об обработке данных (DPA) доступно для бизнес-клиентов
  • Контроль конфиденциальности, соответствующий CCPA
  • Процессы, проверенные SOC 2 Type II

Наш план реагирования на инциденты безопасности включает:

  1. Обнаружение: Автоматизированные системы мониторинга и оповещения
  2. Сдерживание: Немедленная изоляция затронутых систем
  3. Искоренение: Устранение угрозы и анализ первопричины
  4. Восстановление: Безопасное восстановление услуг
  5. Уведомление: Своевременная коммуникация с затронутыми пользователями
  6. Анализ после инцидента: Комплексный обзор и улучшение

[!ВНИМАНИЕ] Если вы обнаружили уязвимость безопасности, немедленно сообщите об этом security@forwardemail.net.

flowchart LR
    A[Requirements] --> B[Design]
    B --> C[Implementation]
    C --> D[Verification]
    D --> E[Release]
    E --> F[Maintenance]
    F --> A
    B -.-> G[Threat Modeling]
    C -.-> H[Static Analysis]
    D -.-> I[Security Testing]
    E -.-> J[Final Security Review]
    F -.-> K[Vulnerability Management]

Весь код подвергается:

  • Сбор требований безопасности
  • Моделирование угроз во время проектирования
  • Безопасные методы кодирования
  • Статическое и динамическое тестирование безопасности приложений
  • Обзор кода с упором на безопасность
  • Сканирование уязвимостей зависимостей

Наш Конфигурация Ansible реализует многочисленные меры по защите сервера:

  • Доступ к USB отключен: Физические порты отключены путем внесения в черный список модуля ядра usb-storage
  • Правила брандмауэра: Строгие правила iptables, разрешающие только необходимые соединения
  • Усиление SSH: Только аутентификация на основе ключей, вход без пароля, вход с правами root отключен
  • Изоляция сервиса: Каждая служба работает с минимальными необходимыми привилегиями
  • Автоматические обновления: Исправления безопасности применяются автоматически
  • Безопасная загрузка: проверенный процесс загрузки для предотвращения несанкционированного доступа
  • Укрепление ядра: Безопасные параметры ядра и конфигурации sysctl
  • Ограничения файловой системы: параметры монтирования noexec, nosuid и nodev, где это уместно
  • Основные дампы отключены: Система настроена на предотвращение дампов ядра в целях безопасности
  • Подкачка отключена: Подкачка памяти отключена для предотвращения утечки данных
  • Защита от сканирования портов: Автоматическое обнаружение и блокировка попыток сканирования портов
  • Прозрачные огромные страницы отключены: THP отключен для повышения производительности и безопасности
  • Усиление безопасности системного обслуживания: Неосновные услуги, такие как Apport, отключены
  • Управление пользователями: Принцип наименьших привилегий с разделением пользователей на развертывание и devops
  • Ограничения дескриптора файла: Увеличенные лимиты для лучшей производительности и безопасности

Мы поддерживаем высокий уровень доступности и надежности сервиса. Наша инфраструктура разработана для избыточности и отказоустойчивости, чтобы гарантировать, что ваш почтовый сервис останется работоспособным. Хотя мы не публикуем формальный документ SLA, мы обязуемся:

  • 99,9%+ времени безотказной работы всех служб
  • Быстрое реагирование на перебои в обслуживании
  • Прозрачное общение во время инцидентов
  • Регулярное техническое обслуживание в периоды низкой посещаемости

Как служба с открытым исходным кодом, наша безопасность выигрывает за счет:

  • Прозрачный код, который может проверить любой желающий
  • Улучшения безопасности, инициированные сообществом
  • Быстрое выявление и устранение уязвимостей
  • Никакой безопасности из-за неизвестности

  • Проверка биографических данных всех сотрудников
  • Обучение по вопросам безопасности
  • Принцип наименьших привилегий доступа
  • Регулярное обучение по вопросам безопасности

Мы постоянно улучшаем нашу позицию по безопасности посредством:

  • Мониторинг тенденций безопасности и возникающих угроз
  • Регулярный обзор и обновление политик безопасности
  • Отзывы исследователей безопасности и пользователей
  • Участие в сообществе безопасности

Для получения дополнительной информации о наших методах обеспечения безопасности или для сообщения о проблемах безопасности свяжитесь с нами security@forwardemail.net.