Заходи безпеки

Передмова

У Forward Email безпека є нашим головним пріоритетом. Ми впровадили комплексні заходи безпеки для захисту ваших електронних листів та персональних даних. У цьому документі описано наші методи безпеки та кроки, які ми вживаємо для забезпечення конфіденційності, цілісності та доступності вашої електронної пошти.

Безпека інфраструктури

Безпечні центри обробки даних

Наша інфраструктура розміщена в центрах обробки даних, що відповідають стандарту SOC 2, з:

  • Цілодобова фізична охорона та відеоспостереження
  • Біометричний контроль доступу
  • Резервні системи живлення
  • Удосконалені системи виявлення та гасіння пожежі
  • Моніторинг навколишнього середовища

Безпека мережі

Ми впроваджуємо кілька рівнів мережевої безпеки:

  • Брандмауери корпоративного рівня зі списками суворого контролю доступу
  • Захист та пом'якшення DDoS-атак
  • Регулярне сканування мережі на вразливості
  • Системи виявлення та запобігання вторгненням
  • Шифрування трафіку між усіма кінцевими точками сервісу
  • Захист скануванням портів з автоматичним блокуванням підозрілої активності

Important

Усі дані під час передачі шифруються за допомогою TLS 1.2+ із сучасними наборами шифрів.

Безпека електронної пошти

Шифрування

  • Безпека транспортного рівня (TLS): Весь електронний трафік шифрується під час передачі за допомогою TLS 1.2 або вище
  • Наскрізне шифрування: Підтримка стандартів OpenPGP/MIME та S/MIME
  • Шифрування сховища: Усі збережені електронні листи шифруються під час зберігання за допомогою шифрування ChaCha20-Poly1305 у файлах SQLite
  • Повне шифрування диска: Шифрування LUKS v2 для всього диска
  • Комплексний захист: Ми реалізуємо шифрування під час зберігання, шифрування в пам'яті та шифрування під час передачі

Note

Ми — перший і єдиний у світі сервіс електронної пошти, який використовує квантово-стійкі та індивідуально зашифровані поштові скриньки SQLite.

Автентифікація та авторизація

  • Підпис DKIM: Усі вихідні електронні листи підписуються за допомогою DKIM
  • SPF та DMARC: Повна підтримка SPF та DMARC для запобігання підміні електронної пошти
  • MTA-STS: Підтримка MTA-STS для забезпечення шифрування TLS
  • Багатофакторна автентифікація: Доступна для всіх облікових записів

Заходи проти зловживань

  • Фільтрація спаму: Багаторівневе виявлення спаму за допомогою машинного навчання
  • Сканування на віруси: Сканування всіх вкладень у режимі реального часу
  • Обмеження швидкості: Захист від атак методом перебору та переліку
  • Репутація IP-адрес: Моніторинг репутації IP-адрес відправника
  • Фільтрація контенту: Виявлення шкідливих URL-адрес та спроб фішингу

Захист даних

Мінімізація даних

Ми дотримуємося принципу мінімізації даних:

  • Ми збираємо лише ті дані, які необхідні для надання наших послуг.
  • Вміст електронної пошти обробляється в пам'яті та не зберігається постійно, окрім випадків, коли це потрібно для доставки IMAP/POP3.
  • Журнали анонімізуються та зберігаються лише стільки, скільки необхідно.

Резервне копіювання та відновлення

  • Автоматизоване щоденне резервне копіювання з шифруванням
  • Географічно розподілене сховище резервних копій
  • Регулярне тестування відновлення резервних копій
  • Процедури аварійного відновлення з визначеними RPO та RTO

Постачальники послуг

Ми ретельно відбираємо постачальників послуг, щоб забезпечити їх відповідність нашим високим стандартам безпеки. Нижче наведено постачальників, яких ми використовуємо для міжнародної передачі даних, та їхній статус відповідності GDPR:

Постачальник Мета Сертифікований DPF Сторінка відповідності GDPR
Cloudflare CDN, захист від DDoS-атак, DNS ✅ Так Cloudflare GDPR
DataPacket Серверна інфраструктура ❌ Ні DataPacket Privacy
Digital Ocean Хмарна інфраструктура ❌ Ні DigitalOcean GDPR
Vultr Хмарна інфраструктура ❌ Ні Vultr GDPR
Stripe Обробка платежів ✅ Так Stripe Privacy Center
PayPal Обробка платежів ❌ Ні PayPal Privacy

Ми використовуємо цих постачальників для забезпечення надійного та безпечного надання послуг, дотримуючись при цьому міжнародних правил захисту даних. Усі передачі даних здійснюються з дотриманням належних заходів безпеки для захисту вашої особистої інформації.

Відповідність та аудит

Регулярні оцінки безпеки

Наша команда регулярно моніторить, перевіряє та оцінює кодову базу, сервери, інфраструктуру та методи. Ми впроваджуємо комплексну програму безпеки, яка включає:

  • Регулярна ротація SSH-ключів
  • Безперервний моніторинг журналів доступу
  • Автоматизоване сканування безпеки
  • Проактивне управління вразливостями
  • Регулярне навчання з безпеки для всіх членів команди

Відповідність

  • Практики обробки даних, що відповідають вимогам GDPR
  • Угода про обробку даних (DPA) доступний для бізнес-клієнтів
  • Контроль конфіденційності, що відповідає вимогам CCPA
  • Процеси, що пройшли аудит SOC 2 типу II

Реакція на інцидент

Наш план реагування на інциденти безпеки включає:

  1. Виявлення: Автоматизовані системи моніторингу та оповіщення
  2. Стримування: Негайна ізоляція уражених систем
  3. Ліквідація: Видалення загрози та аналіз першопричини
  4. Відновлення: Безпечне відновлення послуг
  5. Повідомлення: Своєчасне спілкування з ураженими користувачами
  6. Аналіз після інциденту: Комплексний огляд та вдосконалення

Warning

Якщо ви виявите вразливість безпеки, негайно повідомте про це на адресу security@forwardemail.net.

Життєвий цикл розробки безпеки

Весь код проходить:

  • Збір вимог до безпеки
  • Моделювання загроз під час проектування
  • Практики безпечного кодування
  • Статичне та динамічне тестування безпеки додатків
  • Перевірка коду з акцентом на безпеку
  • Сканування вразливостей залежностей

Посилення захисту сервера

Наш Конфігурація Ansible реалізує численні заходи посилення захисту сервера:

  • Доступ до USB вимкнено: Фізичні порти вимкнено шляхом додавання модуля ядра usb-storage до чорного списку
  • Правила брандмауера: Суворі правила iptables, що дозволяють лише необхідні підключення
  • Посилення захисту SSH: Тільки автентифікація на основі ключів, вхід без пароля, вхід root вимкнено
  • Ізоляція служб: Кожна служба працює з мінімальними необхідними правами
  • Автоматичні оновлення: Патчі безпеки застосовуються автоматично
  • Безпечне завантаження: Перевірений процес завантаження для запобігання несанкціонованому доступу
  • Посилення захисту ядра: Захищені параметри ядра та конфігурації sysctl
  • Обмеження файлової системи: параметри монтування noexec, nosuid та nodev, де це доречно
  • Дампи основного ядра вимкнено: Система налаштована на запобігання дампам основного ядра з міркувань безпеки
  • Підміна вимкнена: Пам'ять підміни вимкнена для запобігання витоку даних
  • Захист сканування портів: Автоматичне виявлення та блокування спроб сканування портів
  • Прозорі величезні сторінки вимкнено: THP вимкнено для покращення продуктивності та безпеки
  • Посилення захисту системних служб: Несуттєві служби, такі як Apport, вимкнено
  • Керування користувачами: Принцип найменших привілеїв з окремими користувачами розгортання та розробки
  • Обмеження файлових дескрипторів: Збільшені обмеження для кращої продуктивності та безпеки

Угода про рівень обслуговування

Ми підтримуємо високий рівень доступності та надійності послуг. Наша інфраструктура розроблена з урахуванням резервування та відмовостійкості, щоб забезпечити працездатність вашої поштової служби. Хоча ми не публікуємо офіційного документа SLA, ми прагнемо:

  • 99,9%+ часу безвідмовної роботи для всіх послуг
  • Швидке реагування на перебої в обслуговуванні
  • Прозора комунікація під час інцидентів
  • Регулярне технічне обслуговування в періоди низького трафіку

Безпека з відкритим кодом

Як сервіс з відкритим кодом, наша безпека має такі переваги:

  • Прозорий код, який може бути перевірений будь-ким
  • Покращення безпеки, ініційовані спільнотою
  • Швидке виявлення та виправлення вразливостей
  • Відсутність безпеки через невідомість

Служба безпеки співробітників

  • Перевірка біографічних даних усіх співробітників
  • Навчання з питань безпеки
  • Принцип мінімального доступу
  • Регулярне навчання з питань безпеки

Постійне вдосконалення

Ми постійно вдосконалюємо нашу систему безпеки шляхом:

  • Моніторинг тенденцій безпеки та нових загроз
  • Регулярний перегляд та оновлення політик безпеки
  • Зворотній зв'язок від дослідників безпеки та користувачів
  • Участь у спільноті безпеки

Щоб отримати додаткову інформацію про наші методи безпеки або повідомити про проблеми з безпекою, зверніться за адресою security@forwardemail.net.

Додаткові ресурси