Практики обеспечения безопасности

В Forward Email безопасность — наш главный приоритет. Мы внедрили комплексные меры безопасности для защиты ваших электронных сообщений и персональных данных. В этом документе изложены наши методы обеспечения безопасности и шаги, которые мы предпринимаем для обеспечения конфиденциальности, целостности и доступности вашей электронной почты.

Безопасные центры обработки данных

Наша инфраструктура размещена в центрах обработки данных, соответствующих стандарту SOC 2, где есть:

• Круглосуточная физическая охрана и наблюдение
• Биометрический контроль доступа
• Резервные системы питания
• Расширенные возможности обнаружения и тушения пожаров
• Мониторинг окружающей среды

Сетевая безопасность

Мы реализуем несколько уровней сетевой безопасности:

• Межсетевые экраны корпоративного уровня со строгими списками контроля доступа
• Защита от DDoS-атак и смягчение их последствий
• Регулярное сканирование сети на уязвимости
• Системы обнаружения и предотвращения вторжений
• Шифрование трафика между всеми конечными точками сервиса
• Защита от сканирования портов с автоматической блокировкой подозрительной активности

[!ВАЖНО] Все передаваемые данные шифруются с использованием TLS 1.2+ с современными наборами шифров.

Шифрование

• Безопасность транспортного уровня (TLS): Весь трафик электронной почты шифруется при передаче с использованием TLS 1.2 или выше.
• Сквозное шифрование: Поддержка стандартов OpenPGP/MIME и S/MIME
• Шифрование хранилища: Все сохраненные электронные письма шифруются при хранении с использованием шифрования ChaCha20-Poly1305 в файлах SQLite.
• Полное шифрование диска: Шифрование LUKS v2 для всего диска
• Комплексная защита: Мы реализуем шифрование в состоянии покоя, шифрование в памяти и шифрование при передаче

[!ПРИМЕЧАНИЕ] Мы являемся первым и единственным в мире сервисом электронной почты, использующим квантово-устойчивые и индивидуально зашифрованные почтовые ящики SQLite.

Аутентификация и авторизация

• Подписание DKIM: Все исходящие письма подписываются с помощью DKIM
• SPF и DMARC: Полная поддержка SPF и DMARC для предотвращения подделки электронной почты
• MTA-STS: Поддержка MTA-STS для обеспечения шифрования TLS
• Многофакторная аутентификация: Доступно для всех учетных записей

Меры по борьбе со злоупотреблениями

• Фильтрация спама: Многоуровневое обнаружение спама с помощью машинного обучения
• Сканирование на вирусы: Сканирование всех вложений в режиме реального времени
• Ограничение скорости: Защита от атак методом подбора и перебора
• Репутация ИС: Мониторинг репутации отправляющего IP
• Фильтрация контента: Обнаружение вредоносных URL-адресов и попыток фишинга

Минимизация данных

Мы следуем принципу минимизации данных:

• Мы собираем только те данные, которые необходимы для предоставления наших услуг.
• Содержимое электронной почты обрабатывается в памяти и не хранится постоянно, если только это не требуется для доставки по протоколу IMAP/POP3.
• Журналы анонимизируются и хранятся только столько времени, сколько необходимо.

Резервное копирование и восстановление

• Автоматическое ежедневное резервное копирование с шифрованием
• Географически распределенное резервное хранилище
• Регулярное тестирование восстановления резервных копий
• Процедуры восстановления после сбоев с определенными RPO и RTO

Мы тщательно выбираем наших поставщиков услуг, чтобы гарантировать, что они соответствуют нашим высоким стандартам безопасности. Ниже приведены поставщики, которых мы используем для международной передачи данных, и их статус соответствия GDPR:

Мы используем этих поставщиков для обеспечения надежной и безопасной доставки услуг, сохраняя при этом соответствие международным правилам защиты данных. Все передачи данных осуществляются с использованием соответствующих мер безопасности для защиты вашей личной информации.

Регулярные оценки безопасности

Наша команда регулярно отслеживает, проверяет и оценивает кодовую базу, серверы, инфраструктуру и практики. Мы реализуем комплексную программу безопасности, которая включает:

• Регулярная ротация ключей SSH
• Постоянный мониторинг журналов доступа
• Автоматическое сканирование безопасности
• Проактивное управление уязвимостями
• Регулярное обучение по безопасности для всех членов команды

Согласие

• GDPR Соответствующие правила обработки данных
• Соглашение об обработке данных (DPA) доступно для бизнес-клиентов
• Контроль конфиденциальности, соответствующий CCPA
• Процессы, проверенные SOC 2 Type II

Наш план реагирования на инциденты безопасности включает:

1. Обнаружение: Автоматизированные системы мониторинга и оповещения
2. Сдерживание: Немедленная изоляция затронутых систем
3. Искоренение: Устранение угрозы и анализ первопричины
4. Восстановление: Безопасное восстановление услуг
5. Уведомление: Своевременная коммуникация с затронутыми пользователями
6. Анализ после инцидента: Комплексный обзор и улучшение

[!ВНИМАНИЕ] Если вы обнаружили уязвимость безопасности, немедленно сообщите об этом security@forwardemail.net.

flowchart LR
    A[Requirements] --> B[Design]
    B --> C[Implementation]
    C --> D[Verification]
    D --> E[Release]
    E --> F[Maintenance]
    F --> A
    B -.-> G[Threat Modeling]
    C -.-> H[Static Analysis]
    D -.-> I[Security Testing]
    E -.-> J[Final Security Review]
    F -.-> K[Vulnerability Management]

Весь код подвергается:

• Сбор требований безопасности
• Моделирование угроз во время проектирования
• Безопасные методы кодирования
• Статическое и динамическое тестирование безопасности приложений
• Обзор кода с упором на безопасность
• Сканирование уязвимостей зависимостей

Наш Конфигурация Ansible реализует многочисленные меры по защите сервера:

• Доступ к USB отключен: Физические порты отключены путем внесения в черный список модуля ядра usb-storage
• Правила брандмауэра: Строгие правила iptables, разрешающие только необходимые соединения
• Усиление SSH: Только аутентификация на основе ключей, вход без пароля, вход с правами root отключен
• Изоляция сервиса: Каждая служба работает с минимальными необходимыми привилегиями
• Автоматические обновления: Исправления безопасности применяются автоматически
• Безопасная загрузка: проверенный процесс загрузки для предотвращения несанкционированного доступа
• Укрепление ядра: Безопасные параметры ядра и конфигурации sysctl
• Ограничения файловой системы: параметры монтирования noexec, nosuid и nodev, где это уместно
• Основные дампы отключены: Система настроена на предотвращение дампов ядра в целях безопасности
• Подкачка отключена: Подкачка памяти отключена для предотвращения утечки данных
• Защита от сканирования портов: Автоматическое обнаружение и блокировка попыток сканирования портов
• Прозрачные огромные страницы отключены: THP отключен для повышения производительности и безопасности
• Усиление безопасности системного обслуживания: Неосновные услуги, такие как Apport, отключены
• Управление пользователями: Принцип наименьших привилегий с разделением пользователей на развертывание и devops
• Ограничения дескриптора файла: Увеличенные лимиты для лучшей производительности и безопасности

Мы поддерживаем высокий уровень доступности и надежности сервиса. Наша инфраструктура разработана для избыточности и отказоустойчивости, чтобы гарантировать, что ваш почтовый сервис останется работоспособным. Хотя мы не публикуем формальный документ SLA, мы обязуемся:

• 99,9%+ времени безотказной работы всех служб
• Быстрое реагирование на перебои в обслуживании
• Прозрачное общение во время инцидентов
• Регулярное техническое обслуживание в периоды низкой посещаемости

Как служба с открытым исходным кодом, наша безопасность выигрывает за счет:

• Прозрачный код, который может проверить любой желающий
• Улучшения безопасности, инициированные сообществом
• Быстрое выявление и устранение уязвимостей
• Никакой безопасности из-за неизвестности

• Проверка биографических данных всех сотрудников
• Обучение по вопросам безопасности
• Принцип наименьших привилегий доступа
• Регулярное обучение по вопросам безопасности

Мы постоянно улучшаем нашу позицию по безопасности посредством:

• Мониторинг тенденций безопасности и возникающих угроз
• Регулярный обзор и обновление политик безопасности
• Отзывы исследователей безопасности и пользователей
• Участие в сообществе безопасности

Для получения дополнительной информации о наших методах обеспечения безопасности или для сообщения о проблемах безопасности свяжитесь с нами security@forwardemail.net.

• политика конфиденциальности
• условия обслуживания
• Соответствие GDPR
• Соглашение об обработке данных (DPA)
• Сообщить о нарушении
• Политика безопасности
• Security.txt
• Репозиторий GitHub
• FAQ