- Страница поиска
- Оглавление
Практики обеспечения безопасности
предисловие
В Forward Email безопасность — наш главный приоритет. Мы внедрили комплексные меры безопасности для защиты ваших электронных сообщений и персональных данных. В этом документе изложены наши методы обеспечения безопасности и шаги, которые мы предпринимаем для обеспечения конфиденциальности, целостности и доступности вашей электронной почты.
Безопасность инфраструктуры
Безопасные центры обработки данных
Наша инфраструктура размещена в центрах обработки данных, соответствующих стандарту SOC 2, где есть:
- Круглосуточная физическая охрана и наблюдение
- Биометрический контроль доступа
- Резервные системы питания
- Расширенные возможности обнаружения и тушения пожаров
- Мониторинг окружающей среды
Сетевая безопасность
Мы реализуем несколько уровней сетевой безопасности:
- Межсетевые экраны корпоративного уровня со строгими списками контроля доступа
- Защита от DDoS-атак и смягчение их последствий
- Регулярное сканирование сети на уязвимости
- Системы обнаружения и предотвращения вторжений
- Шифрование трафика между всеми конечными точками сервиса
- Защита от сканирования портов с автоматической блокировкой подозрительной активности
[!ВАЖНО] Все передаваемые данные шифруются с использованием TLS 1.2+ с современными наборами шифров.
Безопасность электронной почты
Шифрование
- Безопасность транспортного уровня (TLS): Весь трафик электронной почты шифруется при передаче с использованием TLS 1.2 или выше.
- Сквозное шифрование: Поддержка стандартов OpenPGP/MIME и S/MIME
- Шифрование хранилища: Все сохраненные электронные письма шифруются при хранении с использованием шифрования ChaCha20-Poly1305 в файлах SQLite.
- Полное шифрование диска: Шифрование LUKS v2 для всего диска
- Комплексная защита: Мы реализуем шифрование в состоянии покоя, шифрование в памяти и шифрование при передаче
[!ПРИМЕЧАНИЕ] Мы являемся первым и единственным в мире сервисом электронной почты, использующим квантово-устойчивые и индивидуально зашифрованные почтовые ящики SQLite.
Аутентификация и авторизация
- Подписание DKIM: Все исходящие письма подписываются с помощью DKIM
- SPF и DMARC: Полная поддержка SPF и DMARC для предотвращения подделки электронной почты
- MTA-STS: Поддержка MTA-STS для обеспечения шифрования TLS
- Многофакторная аутентификация: Доступно для всех учетных записей
Меры по борьбе со злоупотреблениями
- Фильтрация спама: Многоуровневое обнаружение спама с помощью машинного обучения
- Сканирование на вирусы: Сканирование всех вложений в режиме реального времени
- Ограничение скорости: Защита от атак методом подбора и перебора
- Репутация ИС: Мониторинг репутации отправляющего IP
- Фильтрация контента: Обнаружение вредоносных URL-адресов и попыток фишинга
Защита данных
Минимизация данных
Мы следуем принципу минимизации данных:
- Мы собираем только те данные, которые необходимы для предоставления наших услуг.
- Содержимое электронной почты обрабатывается в памяти и не хранится постоянно, если только это не требуется для доставки по протоколу IMAP/POP3.
- Журналы анонимизируются и хранятся только столько времени, сколько необходимо.
Резервное копирование и восстановление
- Автоматическое ежедневное резервное копирование с шифрованием
- Географически распределенное резервное хранилище
- Регулярное тестирование восстановления резервных копий
- Процедуры восстановления после сбоев с определенными RPO и RTO
Поставщики услуг
Мы тщательно выбираем наших поставщиков услуг, чтобы гарантировать, что они соответствуют нашим высоким стандартам безопасности. Ниже приведены поставщики, которых мы используем для международной передачи данных, и их статус соответствия GDPR:
Поставщик | Цель | Сертифицировано DPF | Страница соответствия GDPR |
---|---|---|---|
Облачная вспышка | CDN, защита от DDoS-атак, DNS | ✅ Да | GDPR |
Пакет данных | Серверная инфраструктура | ❌ Нет | Конфиденциальность DataPacket |
Цифровой океан | Облачная инфраструктура | ❌ Нет | DigitalOcean GDPR |
Вультр | Облачная инфраструктура | ❌ Нет | Vultr GDPR |
Полоса | Обработка платежей | ✅ Да | Центр конфиденциальности Stripe |
PayPal | Обработка платежей | ❌ Нет | Конфиденциальность PayPal |
Мы используем этих поставщиков для обеспечения надежной и безопасной доставки услуг, сохраняя при этом соответствие международным правилам защиты данных. Все передачи данных осуществляются с использованием соответствующих мер безопасности для защиты вашей личной информации.
Соблюдение и аудит
Регулярные оценки безопасности
Наша команда регулярно отслеживает, проверяет и оценивает кодовую базу, серверы, инфраструктуру и практики. Мы реализуем комплексную программу безопасности, которая включает:
- Регулярная ротация ключей SSH
- Постоянный мониторинг журналов доступа
- Автоматическое сканирование безопасности
- Проактивное управление уязвимостями
- Регулярное обучение по безопасности для всех членов команды
Согласие
- GDPR Соответствующие правила обработки данных
- Соглашение об обработке данных (DPA) доступно для бизнес-клиентов
- Контроль конфиденциальности, соответствующий CCPA
- Процессы, проверенные SOC 2 Type II
Реагирование на инциденты
Наш план реагирования на инциденты безопасности включает:
- Обнаружение: Автоматизированные системы мониторинга и оповещения
- Сдерживание: Немедленная изоляция затронутых систем
- Искоренение: Устранение угрозы и анализ первопричины
- Восстановление: Безопасное восстановление услуг
- Уведомление: Своевременная коммуникация с затронутыми пользователями
- Анализ после инцидента: Комплексный обзор и улучшение
[!ВНИМАНИЕ] Если вы обнаружили уязвимость безопасности, немедленно сообщите об этом security@forwardemail.net.
Жизненный цикл разработки безопасности
flowchart LR
A[Requirements] --> B[Design]
B --> C[Implementation]
C --> D[Verification]
D --> E[Release]
E --> F[Maintenance]
F --> A
B -.-> G[Threat Modeling]
C -.-> H[Static Analysis]
D -.-> I[Security Testing]
E -.-> J[Final Security Review]
F -.-> K[Vulnerability Management]
Весь код подвергается:
- Сбор требований безопасности
- Моделирование угроз во время проектирования
- Безопасные методы кодирования
- Статическое и динамическое тестирование безопасности приложений
- Обзор кода с упором на безопасность
- Сканирование уязвимостей зависимостей
Усиление защиты сервера
Наш Конфигурация Ansible реализует многочисленные меры по защите сервера:
- Доступ к USB отключен: Физические порты отключены путем внесения в черный список модуля ядра usb-storage
- Правила брандмауэра: Строгие правила iptables, разрешающие только необходимые соединения
- Усиление SSH: Только аутентификация на основе ключей, вход без пароля, вход с правами root отключен
- Изоляция сервиса: Каждая служба работает с минимальными необходимыми привилегиями
- Автоматические обновления: Исправления безопасности применяются автоматически
- Безопасная загрузка: проверенный процесс загрузки для предотвращения несанкционированного доступа
- Укрепление ядра: Безопасные параметры ядра и конфигурации sysctl
- Ограничения файловой системы: параметры монтирования noexec, nosuid и nodev, где это уместно
- Основные дампы отключены: Система настроена на предотвращение дампов ядра в целях безопасности
- Подкачка отключена: Подкачка памяти отключена для предотвращения утечки данных
- Защита от сканирования портов: Автоматическое обнаружение и блокировка попыток сканирования портов
- Прозрачные огромные страницы отключены: THP отключен для повышения производительности и безопасности
- Усиление безопасности системного обслуживания: Неосновные услуги, такие как Apport, отключены
- Управление пользователями: Принцип наименьших привилегий с разделением пользователей на развертывание и devops
- Ограничения дескриптора файла: Увеличенные лимиты для лучшей производительности и безопасности
Соглашение об уровне обслуживания
Мы поддерживаем высокий уровень доступности и надежности сервиса. Наша инфраструктура разработана для избыточности и отказоустойчивости, чтобы гарантировать, что ваш почтовый сервис останется работоспособным. Хотя мы не публикуем формальный документ SLA, мы обязуемся:
- 99,9%+ времени безотказной работы всех служб
- Быстрое реагирование на перебои в обслуживании
- Прозрачное общение во время инцидентов
- Регулярное техническое обслуживание в периоды низкой посещаемости
Безопасность с открытым исходным кодом
Как служба с открытым исходным кодом, наша безопасность выигрывает за счет:
- Прозрачный код, который может проверить любой желающий
- Улучшения безопасности, инициированные сообществом
- Быстрое выявление и устранение уязвимостей
- Никакой безопасности из-за неизвестности
Безопасность сотрудников
- Проверка биографических данных всех сотрудников
- Обучение по вопросам безопасности
- Принцип наименьших привилегий доступа
- Регулярное обучение по вопросам безопасности
Постоянное совершенствование
Мы постоянно улучшаем нашу позицию по безопасности посредством:
- Мониторинг тенденций безопасности и возникающих угроз
- Регулярный обзор и обновление политик безопасности
- Отзывы исследователей безопасности и пользователей
- Участие в сообществе безопасности
Для получения дополнительной информации о наших методах обеспечения безопасности или для сообщения о проблемах безопасности свяжитесь с нами security@forwardemail.net.