Thực hành bảo mật

Tại Forward Email, bảo mật là ưu tiên hàng đầu của chúng tôi. Chúng tôi đã triển khai các biện pháp bảo mật toàn diện để bảo vệ thông tin liên lạc qua email và dữ liệu cá nhân của bạn. Tài liệu này nêu rõ các biện pháp bảo mật của chúng tôi và các bước chúng tôi thực hiện để đảm bảo tính bảo mật, toàn vẹn và khả dụng của email của bạn.

Trung tâm dữ liệu an toàn

Cơ sở hạ tầng của chúng tôi được lưu trữ tại các trung tâm dữ liệu tuân thủ SOC 2 với:

• An ninh vật lý và giám sát 24/7
• Kiểm soát truy cập sinh trắc học
• Hệ thống điện dự phòng
• Phát hiện và dập lửa tiên tiến
• Giám sát môi trường

Bảo mật mạng

Chúng tôi triển khai nhiều lớp bảo mật mạng:

• Tường lửa cấp doanh nghiệp với danh sách kiểm soát truy cập nghiêm ngặt
• Bảo vệ và giảm thiểu DDoS
• Quét lỗ hổng mạng thường xuyên
• Hệ thống phát hiện và ngăn chặn xâm nhập
• Mã hóa lưu lượng giữa tất cả các điểm cuối dịch vụ
• Bảo vệ quét cổng với chức năng tự động chặn hoạt động đáng ngờ

[!QUAN TRỌNG] Tất cả dữ liệu đang truyền đi đều được mã hóa bằng TLS 1.2+ với bộ mã hóa hiện đại.

Mã hóa

• Bảo mật lớp truyền tải (TLS): Tất cả lưu lượng email đều được mã hóa khi truyền tải bằng TLS 1.2 trở lên
• Mã hóa đầu cuối: Hỗ trợ cho các tiêu chuẩn OpenPGP/MIME và S/MIME
• Mã hóa lưu trữ: Tất cả các email được lưu trữ đều được mã hóa khi lưu trữ bằng mã hóa ChaCha20-Poly1305 trong các tệp SQLite
• Mã hóa toàn bộ đĩa: Mã hóa LUKS v2 cho toàn bộ đĩa
• Bảo vệ toàn diện: Chúng tôi triển khai mã hóa khi nghỉ, mã hóa trong bộ nhớ và mã hóa khi đang truyền

[!LƯU Ý] Chúng tôi là dịch vụ email đầu tiên và duy nhất trên thế giới sử dụng hộp thư SQLite được mã hóa riêng và chống lượng tử.

Xác thực và ủy quyền

• Ký DKIM: Tất cả các email gửi đi đều được ký bằng DKIM
• SPF và DMARC: Hỗ trợ đầy đủ SPF và DMARC để ngăn chặn việc giả mạo email
• MTA-STS: Hỗ trợ MTA-STS để thực thi mã hóa TLS
• Xác thực đa yếu tố: Có sẵn cho tất cả các tài khoản truy cập

Biện pháp chống lạm dụng

• Lọc thư rác: Phát hiện thư rác nhiều lớp với máy học
• Quét Virus: Quét tất cả các tệp đính kèm theo thời gian thực
• Giới hạn tỷ lệ: Bảo vệ chống lại các cuộc tấn công bằng cách dùng vũ lực và liệt kê
• Danh tiếng IP: Giám sát danh tiếng IP gửi
• Lọc nội dung: Phát hiện URL độc hại và các nỗ lực lừa đảo

Giảm thiểu dữ liệu

Chúng tôi tuân theo nguyên tắc giảm thiểu dữ liệu:

• Chúng tôi chỉ thu thập dữ liệu cần thiết để cung cấp dịch vụ của chúng tôi
• Nội dung email được xử lý trong bộ nhớ và không được lưu trữ liên tục trừ khi cần thiết để phân phối IMAP/POP3
• Nhật ký được ẩn danh và chỉ được lưu giữ trong thời gian cần thiết

Sao lưu và Phục hồi

• Sao lưu tự động hàng ngày với mã hóa
• Lưu trữ sao lưu phân tán theo địa lý
• Kiểm tra khôi phục sao lưu thường xuyên
• Quy trình phục hồi thảm họa với RPO và RTO được xác định

Chúng tôi lựa chọn cẩn thận các nhà cung cấp dịch vụ của mình để đảm bảo họ đáp ứng các tiêu chuẩn bảo mật cao của chúng tôi. Dưới đây là các nhà cung cấp chúng tôi sử dụng để truyền dữ liệu quốc tế và trạng thái tuân thủ GDPR của họ:

Chúng tôi sử dụng các nhà cung cấp này để đảm bảo cung cấp dịch vụ đáng tin cậy, an toàn trong khi vẫn tuân thủ các quy định bảo vệ dữ liệu quốc tế. Tất cả các hoạt động chuyển dữ liệu đều được thực hiện với các biện pháp bảo vệ phù hợp để bảo vệ thông tin cá nhân của bạn.

Đánh giá an ninh thường xuyên

Nhóm của chúng tôi thường xuyên theo dõi, xem xét và đánh giá cơ sở mã, máy chủ, cơ sở hạ tầng và các hoạt động. Chúng tôi triển khai một chương trình bảo mật toàn diện bao gồm:

• Xoay vòng thường xuyên các khóa SSH
• Theo dõi liên tục nhật ký truy cập
• Quét bảo mật tự động
• Quản lý lỗ hổng chủ động
• Đào tạo an ninh thường xuyên cho tất cả các thành viên trong nhóm

Sự tuân thủ

• GDPR thực hành xử lý dữ liệu tuân thủ
• Thỏa thuận xử lý dữ liệu (DPA) có sẵn cho khách hàng doanh nghiệp
• Kiểm soát quyền riêng tư tuân thủ CCPA
• Quy trình kiểm toán SOC 2 Loại II

Kế hoạch ứng phó sự cố an ninh của chúng tôi bao gồm:

1. Phát hiện: Hệ thống giám sát và cảnh báo tự động
2. Sự ngăn chặn: Cô lập ngay lập tức các hệ thống bị ảnh hưởng
3. Diệt trừ: Loại bỏ mối đe dọa và phân tích nguyên nhân gốc rễ
4. Sự hồi phục: Khôi phục dịch vụ an toàn
5. Thông báo: Giao tiếp kịp thời với người dùng bị ảnh hưởng
6. Phân tích sau sự cố: Đánh giá và cải tiến toàn diện

[!CẢNH BÁO] Nếu bạn phát hiện ra lỗ hổng bảo mật, vui lòng báo cáo ngay cho security@forwardemail.net.

flowchart LR
    A[Requirements] --> B[Design]
    B --> C[Implementation]
    C --> D[Verification]
    D --> E[Release]
    E --> F[Maintenance]
    F --> A
    B -.-> G[Threat Modeling]
    C -.-> H[Static Analysis]
    D -.-> I[Security Testing]
    E -.-> J[Final Security Review]
    F -.-> K[Vulnerability Management]

Tất cả mã đều trải qua:

• Thu thập yêu cầu bảo mật
• Mô hình hóa mối đe dọa trong quá trình thiết kế
• Thực hành mã hóa an toàn
• Kiểm tra bảo mật ứng dụng tĩnh và động
• Đánh giá mã với trọng tâm bảo mật
• Quét lỗ hổng phụ thuộc

Của chúng tôi Cấu hình Ansible thực hiện nhiều biện pháp tăng cường bảo mật máy chủ:

• Truy cập USB bị vô hiệu hóa: Các cổng vật lý bị vô hiệu hóa bằng cách đưa mô-đun hạt nhân lưu trữ usb vào danh sách đen
• Quy tắc tường lửa: Quy tắc iptables nghiêm ngặt chỉ cho phép kết nối cần thiết
• Làm cứng SSH: Chỉ xác thực dựa trên khóa, không đăng nhập bằng mật khẩu, vô hiệu hóa đăng nhập gốc
• Dịch vụ cô lập: Mỗi dịch vụ chạy với các đặc quyền tối thiểu cần thiết
• Cập nhật tự động: Các bản vá bảo mật được áp dụng tự động
• Khởi động an toàn: Quy trình khởi động được xác minh để ngăn chặn sự can thiệp
• Làm cứng hạt nhân: Bảo mật các tham số hạt nhân và cấu hình sysctl
• Hạn chế của hệ thống tập tin: các tùy chọn gắn kết noexec, nosuid và nodev khi thích hợp
• Đã vô hiệu hóa Core Dumps: Hệ thống được cấu hình để ngăn chặn việc dump lõi nhằm bảo mật
• Vô hiệu hóa hoán đổi: Bộ nhớ hoán đổi bị vô hiệu hóa để ngăn chặn rò rỉ dữ liệu
• Bảo vệ quét cổng: Tự động phát hiện và chặn các nỗ lực quét cổng
• Trang lớn trong suốt bị vô hiệu hóa: THP bị vô hiệu hóa để cải thiện hiệu suất và bảo mật
• Hệ thống dịch vụ cứng rắn: Các dịch vụ không thiết yếu như Apport đã bị vô hiệu hóa
• Quản lý người dùng: Nguyên tắc đặc quyền tối thiểu với người dùng triển khai và devops riêng biệt
• Giới hạn mô tả tập tin: Tăng giới hạn để có hiệu suất và bảo mật tốt hơn

Chúng tôi duy trì mức độ sẵn sàng và độ tin cậy của dịch vụ cao. Cơ sở hạ tầng của chúng tôi được thiết kế để dự phòng và chịu lỗi để đảm bảo dịch vụ email của bạn vẫn hoạt động. Mặc dù chúng tôi không công bố tài liệu SLA chính thức, nhưng chúng tôi cam kết:

• Thời gian hoạt động 99,9%+ cho tất cả các dịch vụ
• Phản ứng nhanh với sự gián đoạn dịch vụ
• Giao tiếp minh bạch trong các sự cố
• Bảo trì thường xuyên trong thời gian ít lưu lượng truy cập

Như một dịch vụ mã nguồn mở, lợi ích bảo mật của chúng tôi đến từ:

• Mã minh bạch có thể được kiểm tra bởi bất kỳ ai
• Cải tiến bảo mật do cộng đồng thúc đẩy
• Xác định và vá lỗ hổng nhanh chóng
• Không có sự bảo mật thông qua sự mơ hồ

• Kiểm tra lý lịch của tất cả nhân viên
• Đào tạo nhận thức an ninh
• Nguyên tắc truy cập đặc quyền tối thiểu
• Giáo dục an ninh thường xuyên

Chúng tôi liên tục cải thiện khả năng bảo mật của mình thông qua:

• Giám sát xu hướng bảo mật và các mối đe dọa mới nổi
• Thường xuyên xem xét và cập nhật các chính sách bảo mật
• Phản hồi từ các nhà nghiên cứu bảo mật và người dùng
• Tham gia vào cộng đồng an ninh

Để biết thêm thông tin về các hoạt động bảo mật của chúng tôi hoặc để báo cáo các mối quan ngại về bảo mật, vui lòng liên hệ security@forwardemail.net.

• Chính sách bảo mật
• Điều khoản dịch vụ
• Tuân thủ GDPR
• Thỏa thuận xử lý dữ liệu (DPA)
• Báo cáo lạm dụng
• Chính sách bảo mật
• Security.txt
• Kho lưu trữ GitHub
• FAQ