Меры безопасности

Предисловие
В Forward Email безопасность — наш главный приоритет. Мы внедрили комплексные меры безопасности для защиты ваших электронных писем и персональных данных. В этом документе описаны наши методы обеспечения безопасности и шаги, предпринимаемые для обеспечения конфиденциальности, целостности и доступности вашей электронной почты.
Безопасность инфраструктуры
Безопасные центры обработки данных
Наша инфраструктура размещена в центрах обработки данных, соответствующих стандарту SOC 2, с:
- Круглосуточная физическая охрана и видеонаблюдение
- Биометрический контроль доступа
- Резервные системы электропитания
- Современные системы обнаружения и тушения пожаров
- Мониторинг окружающей среды
Сетевая безопасность
Мы реализуем несколько уровней сетевой безопасности:
- Межсетевые экраны корпоративного уровня со строгими списками контроля доступа
- Защита от DDoS-атак и их устранение
- Регулярное сканирование уязвимостей сети
- Системы обнаружения и предотвращения вторжений
- Шифрование трафика между всеми конечными точками обслуживания
- Защита от сканирования портов с автоматической блокировкой подозрительной активности
Important
Все передаваемые данные шифруются с использованием протокола TLS 1.2+ с использованием современных алгоритмов шифрования.
Безопасность электронной почты
Шифрование
- Безопасность транспортного уровня (TLS): весь трафик электронной почты шифруется при передаче с использованием протокола TLS 1.2 или выше.
- Сквозное шифрование: поддержка стандартов OpenPGP/MIME и S/MIME.
- Шифрование хранилища: все хранимые электронные письма шифруются при хранении с использованием алгоритма ChaCha20-Poly1305 в файлах SQLite.
- Полное шифрование диска: шифрование LUKS v2 для всего диска.
- Комплексная защита: мы реализуем шифрование при хранении, шифрование в памяти и шифрование при передаче.
Note
Мы — первый и единственный в мире почтовый сервис, использующий квантово-устойчивые и индивидуально зашифрованные почтовые ящики SQLite.
Аутентификация и авторизация
- Подпись DKIM: Все исходящие письма подписываются DKIM.
- SPF и DMARC: Полная поддержка SPF и DMARC для предотвращения подмены писем.
- MTA-STS: Поддержка MTA-STS для обеспечения шифрования TLS.
- Многофакторная аутентификация: Доступна для всех учётных записей.
Меры по борьбе со злоупотреблениями
- Фильтрация спама: Многоуровневое обнаружение спама с использованием машинного обучения
- Сканирование на вирусы: Сканирование всех вложений в режиме реального времени
- Ограничение скорости: Защита от атак методом подбора и перебора паролей
- Репутация IP-адреса: Мониторинг репутации IP-адреса отправителя
- Фильтрация контента: Обнаружение вредоносных URL-адресов и попыток фишинга
Защита данных
Минимизация данных
Мы следуем принципу минимизации данных:
- Мы собираем только те данные, которые необходимы для предоставления наших услуг.
- Содержимое электронных писем обрабатывается в памяти и не хранится постоянно, за исключением случаев, когда это требуется для доставки по протоколам IMAP/POP3.
- Журналы анонимизируются и хранятся только в течение необходимого времени.
Резервное копирование и восстановление
- Автоматизированное ежедневное резервное копирование с шифрованием
- Географически распределенное хранилище резервных копий
- Регулярное тестирование восстановления из резервных копий
- Процедуры аварийного восстановления с заданными RPO и RTO
Поставщики услуг
Мы тщательно выбираем поставщиков услуг, чтобы гарантировать их соответствие нашим высоким стандартам безопасности. Ниже перечислены поставщики, которые мы используем для международной передачи данных, и их статус соответствия GDPR:
Поставщик | Цель | Сертифицировано DPF | Страница соответствия GDPR |
---|---|---|---|
Cloudflare | CDN, защита от DDoS-атак, DNS | ✅ Да | Cloudflare GDPR |
DataPacket | Серверная инфраструктура | ❌ Нет | DataPacket Privacy |
Digital Ocean | Облачная инфраструктура | ❌ Нет | DigitalOcean GDPR |
Vultr | Облачная инфраструктура | ❌ Нет | Vultr GDPR |
Stripe | Обработка платежей | ✅ Да | Stripe Privacy Center |
PayPal | Обработка платежей | ❌ Нет | PayPal Privacy |
Мы пользуемся услугами этих поставщиков для обеспечения надёжного и безопасного предоставления услуг с соблюдением международных норм защиты данных. Вся передача данных осуществляется с использованием соответствующих мер безопасности для защиты вашей персональной информации.
Соответствие требованиям и аудит
Регулярные оценки безопасности
Наша команда регулярно отслеживает, проверяет и оценивает кодовую базу, серверы, инфраструктуру и применяемые методы. Мы внедряем комплексную программу безопасности, которая включает в себя:
- Регулярная ротация SSH-ключей
- Постоянный мониторинг журналов доступа
- Автоматизированное сканирование безопасности
- Проактивное управление уязвимостями
- Регулярное обучение по безопасности для всех членов команды
Соответствие
- Практики обработки данных, соответствующие GDPR
- Соглашение об обработке данных (DPA) доступен для корпоративных клиентов
- Средства управления конфиденциальностью, соответствующие CCPA
- Процессы, прошедшие аудит SOC 2 Тип II
Реагирование на инциденты
Наш план реагирования на инциденты безопасности включает:
- Обнаружение: Автоматизированные системы мониторинга и оповещения
- Сдерживание: Немедленная изоляция затронутых систем
- Устранение: Устранение угрозы и анализ первопричин
- Восстановление: Безопасное восстановление сервисов
- Уведомление: Своевременное информирование затронутых пользователей
- Анализ после инцидента: Комплексный анализ и улучшение
Warning
Если вы обнаружили уязвимость безопасности, немедленно сообщите об этом по адресу security@forwardemail.net.
Жизненный цикл разработки безопасности
Весь код подвергается:
- Сбор требований безопасности
- Моделирование угроз на этапе проектирования
- Безопасные методы кодирования
- Статическое и динамическое тестирование безопасности приложений
- Проверка кода с акцентом на безопасность
- Сканирование уязвимостей зависимостей
Укрепление сервера
Наш Конфигурация Ansible реализует многочисленные меры по защите сервера:
- Доступ к USB отключен: Физические порты отключены путём добавления модуля ядра usb-storage в чёрный список.
- Правила брандмауэра: Строгие правила iptables, разрешающие только необходимые соединения.
- Усиление защиты SSH: Только аутентификация по ключам, вход без пароля, вход с правами root отключен.
- Изоляция служб: Каждая служба работает с минимальными необходимыми привилегиями.
- Автоматические обновления: Исправления безопасности применяются автоматически.
- Безопасная загрузка: Проверенная загрузка для предотвращения несанкционированного доступа.
- Усиление защиты ядра: Безопасные параметры ядра и конфигурации sysctl.
- Ограничения файловой системы: Параметры монтирования noexec, nosuid и nodev, где это применимо.
- Дампы ядра отключены: Система настроена на предотвращение дампов ядра в целях безопасности.
- Подкачка отключена: Подкачка памяти отключена для предотвращения утечки данных.
- Защита от сканирования портов: Автоматическое обнаружение и блокировка сканирования портов. Попытки
- Прозрачные огромные страницы отключены: THP отключен для повышения производительности и безопасности
- Усиление защиты системных служб: Необязательные службы, такие как Apport, отключены
- Управление пользователями: Принцип наименьших привилегий с разделением пользователей для развертывания и DevOps
- Ограничения на количество файловых дескрипторов: Увеличенные ограничения для повышения производительности и безопасности
Соглашение об уровне обслуживания
Мы поддерживаем высокий уровень доступности и надежности сервиса. Наша инфраструктура разработана с учётом резервирования и отказоустойчивости, чтобы гарантировать бесперебойную работу вашей электронной почты. Хотя мы не публикуем официальное соглашение об уровне обслуживания (SLA), мы обязуемся:
- Более 99,9% времени безотказной работы всех сервисов
- Быстрое реагирование на сбои в работе сервисов
- Прозрачное взаимодействие во время инцидентов
- Регулярное техническое обслуживание в периоды низкой нагрузки
Безопасность с открытым исходным кодом
Как служба с открытым исходным кодом, наша безопасность выигрывает за счет:
- Прозрачный код, доступный для аудита любым пользователем
- Улучшения безопасности, инициированные сообществом
- Быстрое выявление и устранение уязвимостей
- Отсутствие безопасности через неизвестность
Безопасность сотрудников
- Проверка биографических данных всех сотрудников
- Обучение по вопросам безопасности
- Принцип минимальных привилегий доступа
- Регулярное обучение по вопросам безопасности
Постоянное совершенствование
Мы постоянно улучшаем нашу позицию по безопасности посредством:
- Мониторинг тенденций безопасности и возникающих угроз
- Регулярный пересмотр и обновление политик безопасности
- Отзывы исследователей и пользователей безопасности
- Участие в жизни сообщества специалистов по безопасности
Чтобы получить дополнительную информацию о наших методах обеспечения безопасности или сообщить о проблемах безопасности, свяжитесь с нами по адресу security@forwardemail.net.