Практики безпеки

Передмова

У Forward Email безпека є нашим головним пріоритетом. Ми впровадили комплексні заходи безпеки для захисту ваших електронних комунікацій та персональних даних. Цей документ описує наші практики безпеки та кроки, які ми робимо для забезпечення конфіденційності, цілісності та доступності вашої електронної пошти.

Безпека інфраструктури

Безпечні дата-центри

Наша інфраструктура розміщена у дата-центрах, що відповідають стандарту SOC 2, з:

цілодобовою фізичною охороною та відеоспостереженням
біометричним контролем доступу
резервними системами живлення
передовими системами виявлення та гасіння пожеж
моніторингом навколишнього середовища

Безпека мережі

Ми впроваджуємо кілька рівнів мережевої безпеки:

корпоративні міжмережеві екрани з суворими списками контролю доступу
захист і пом'якшення DDoS-атак
регулярне сканування мережі на вразливості
системи виявлення та запобігання вторгненням
шифрування трафіку між усіма кінцевими точками сервісу
захист від сканування портів з автоматичним блокуванням підозрілої активності

Important

Всі дані під час передачі шифруються за допомогою TLS 1.2+ з сучасними наборами шифрів.

Безпека електронної пошти

Шифрування

Transport Layer Security (TLS): Весь поштовий трафік шифрується під час передачі за допомогою TLS 1.2 або вище
Шифрування від кінця до кінця: Підтримка стандартів OpenPGP/MIME та S/MIME
Шифрування зберігання: Всі збережені листи шифруються у стані спокою за допомогою ChaCha20-Poly1305 у файлах SQLite
Повне шифрування диска: Шифрування LUKS v2 для всього диска
Комплексний захист: Ми впроваджуємо шифрування в стані спокою, у пам’яті та під час передачі

Note

Ми — перший і єдиний у світі поштовий сервіс, що використовує квантово-стійкі та індивідуально зашифровані поштові скриньки SQLite.

Аутентифікація та авторизація

Підписування DKIM: Всі вихідні листи підписуються DKIM
SPF та DMARC: Повна підтримка SPF та DMARC для запобігання підробці листів
MTA-STS: Підтримка MTA-STS для примусового шифрування TLS
Багатофакторна аутентифікація: Доступна для всіх облікових записів

Заходи проти зловживань

Фільтрація спаму: Багаторівневе виявлення спаму з використанням машинного навчання
Сканування на віруси: Сканування всіх вкладень у режимі реального часу
Обмеження швидкості: Захист від атак грубої сили та переліку
Репутація IP: Моніторинг репутації IP-адрес відправників
Фільтрація контенту: Виявлення шкідливих URL та фішингових спроб

Захист даних

Мінімізація даних

Ми дотримуємося принципу мінімізації даних:

Ми збираємо лише ті дані, які необхідні для надання нашої послуги
Вміст електронної пошти обробляється в пам’яті і не зберігається постійно, якщо це не потрібно для доставки IMAP/POP3
Логи анонімізуються і зберігаються лише стільки, скільки необхідно

Резервне копіювання та відновлення

Автоматизовані щоденні резервні копії з шифруванням
Географічно розподілене сховище резервних копій
Регулярне тестування відновлення резервних копій
Процедури відновлення після аварій з визначеними RPO та RTO

Постачальники послуг

Ми ретельно обираємо наших постачальників послуг, щоб забезпечити відповідність їх високим стандартам безпеки. Нижче наведені постачальники, яких ми використовуємо для міжнародної передачі даних, та їх статус відповідності GDPR:

Постачальник	Призначення	Сертифікат DPF	Сторінка відповідності GDPR
Cloudflare	CDN, захист від DDoS, DNS	✅ Так	Cloudflare GDPR
DataPacket	Серверна інфраструктура	❌ Ні	DataPacket Privacy
Digital Ocean	Хмарна інфраструктура	❌ Ні	DigitalOcean GDPR
GitHub	Хостинг коду, CI/CD	✅ Так	GitHub GDPR
Vultr	Хмарна інфраструктура	❌ Ні	Vultr GDPR
Stripe	Обробка платежів	✅ Так	Stripe Privacy Center
PayPal	Обробка платежів	❌ Ні	PayPal Privacy

Ми використовуємо цих постачальників, щоб забезпечити надійне, безпечне надання послуг, одночасно дотримуючись міжнародних правил захисту даних. Всі передачі даних здійснюються з відповідними заходами безпеки для захисту вашої особистої інформації.

Відповідність та аудит

Регулярні оцінки безпеки

Наша команда регулярно моніторить, переглядає та оцінює кодову базу, сервери, інфраструктуру та практики. Ми впроваджуємо комплексну програму безпеки, яка включає:

Регулярну ротацію SSH-ключів
Безперервний моніторинг журналів доступу
Автоматизоване сканування безпеки
Проактивне управління вразливостями
Регулярне навчання з безпеки для всіх членів команди

Відповідність

Практики обробки даних, що відповідають GDPR
Доступна Угода про обробку даних (DPA) для бізнес-клієнтів
Контролі конфіденційності, що відповідають CCPA
Процеси, перевірені аудитом SOC 2 Type II

Реагування на інциденти

Наш план реагування на інциденти безпеки включає:

Виявлення: Автоматизовані системи моніторингу та оповіщення
Ізоляція: Негайне відокремлення уражених систем
Усунення: Видалення загрози та аналіз кореневої причини
Відновлення: Безпечне відновлення сервісів
Повідомлення: Своєчасне інформування постраждалих користувачів
Аналіз після інциденту: Комплексний огляд та вдосконалення

Warning

Якщо ви виявили вразливість безпеки, будь ласка, негайно повідомте про це на security@forwardemail.net.

Життєвий цикл розробки безпеки

Весь код проходить:

Збір вимог безпеки
Моделювання загроз під час проєктування
Практики безпечного кодування
Статичне та динамічне тестування безпеки застосунків
Перегляд коду з акцентом на безпеку
Сканування вразливостей залежностей

Загартування сервера

Наш Ansible конфігурація реалізує численні заходи загартування сервера:

Доступ до USB вимкнено: Фізичні порти вимкнені шляхом внесення модуля ядра usb-storage до чорного списку
Правила брандмауера: Строгі правила iptables, що дозволяють лише необхідні з’єднання
Загартування SSH: Тільки автентифікація на основі ключів, без входу за паролем, вхід root заборонено
Ізоляція сервісів: Кожен сервіс працює з мінімальними необхідними привілеями
Автоматичні оновлення: Патчі безпеки застосовуються автоматично
Безпечне завантаження: Перевірений процес завантаження для запобігання підробці
Загартування ядра: Безпечні параметри ядра та конфігурації sysctl
Обмеження файлової системи: опції монтування noexec, nosuid та nodev там, де це доречно
Відключені core dumps: Система налаштована для запобігання core dumps з міркувань безпеки
Відключений swap: Swap пам’ять вимкнена для запобігання витоку даних
Захист від сканування портів: Автоматичне виявлення та блокування спроб сканування портів
Відключені Transparent Huge Pages: THP вимкнено для покращення продуктивності та безпеки
Загартування системних сервісів: Відключені неважливі сервіси, такі як Apport
Управління користувачами: Принцип найменших привілеїв з окремими користувачами deploy та devops
Обмеження дескрипторів файлів: Підвищені ліміти для кращої продуктивності та безпеки

Угода про рівень обслуговування

Ми підтримуємо високий рівень доступності та надійності сервісу. Наша інфраструктура спроєктована з урахуванням надлишковості та відмовостійкості, щоб забезпечити безперервну роботу вашої поштової служби. Хоча ми не публікуємо офіційний документ SLA, ми зобов’язуємося:

99.9%+ часу безвідмовної роботи для всіх сервісів
Швидке реагування на збої в роботі сервісів
Прозору комунікацію під час інцидентів
Регулярне обслуговування у періоди низького навантаження

Безпека відкритого коду

Як сервіс з відкритим кодом, наша безпека базується на:

Прозорому коді, який може перевірити будь-хто
Покращеннях безпеки, керованих спільнотою
Швидкому виявленні та усуненні вразливостей
Відсутності безпеки через приховування

Безпека працівників

Перевірка біографії всіх працівників
Навчання з підвищення обізнаності про безпеку
Принцип найменших привілеїв доступу
Регулярна освіта з безпеки

Постійне вдосконалення

Ми постійно покращуємо нашу безпеку через:

Моніторинг тенденцій безпеки та нових загроз
Регулярний перегляд та оновлення політик безпеки
Зворотний зв’язок від дослідників безпеки та користувачів
Участь у спільноті безпеки

Для отримання додаткової інформації про наші практики безпеки або для повідомлення про проблеми безпеки, будь ласка, зв’яжіться з security@forwardemail.net.