Turvakäytännöt
Esipuhe
Forward Emaililla turvallisuus on meille ensisijainen prioriteetti. Olemme ottaneet käyttöön kattavat turvatoimet suojataksemme sähköpostiviestintäsi ja henkilökohtaiset tietosi. Tämä dokumentti kuvaa turvakäytäntömme ja toimenpiteet, joilla varmistamme sähköpostisi luottamuksellisuuden, eheyden ja saatavuuden.
Infrastruktuurin turvallisuus
Turvalliset datakeskukset
Infrastruktuurimme sijaitsee SOC 2 -vaatimusten mukaisissa datakeskuksissa, joissa on:
- 24/7 fyysinen turvallisuus ja valvonta
- Biometriset kulunvalvontajärjestelmät
- Varavoimajärjestelmät
- Edistynyt palontunnistus ja sammutusjärjestelmät
- Ympäristön valvonta
Verkon turvallisuus
Käytämme useita kerroksia verkkoturvallisuutta:
- Yritystason palomuurit tiukoilla pääsynvalvontalistoilla
- DDoS-suojaus ja -lieventäminen
- Säännölliset verkon haavoittuvuusskannaukset
- Tunkeutumisen havaitsemis- ja estojärjestelmät
- Liikenteen salaus kaikkien palvelupisteiden välillä
- Porttiskannauksen suojaus automaattisella epäilyttävän toiminnan estolla
Important
Kaikki siirrettävä data on salattu TLS 1.2+ -protokollalla ja moderneilla salausalgoritmeilla.
Sähköpostin turvallisuus
Salaus
- Transport Layer Security (TLS): Kaikki sähköpostiliikenne on salattu siirron aikana TLS 1.2 -versiolla tai uudemmalla
- Päästä päähän -salauksen tuki: OpenPGP/MIME- ja S/MIME-standardien tuki
- Tallennussalaus: Kaikki tallennetut sähköpostit on salattu levossa ChaCha20-Poly1305-salauksella SQLite-tiedostoissa
- Koko levyn salaus: LUKS v2 -salauksen käyttö koko levylle
- Kattava suojaus: Käytämme salausta levossa, muistissa ja siirrossa
Note
Olemme maailman ensimmäinen ja ainoa sähköpostipalvelu, joka käyttää kvanttiturvallisia ja yksilöllisesti salattuja SQLite-postilaatikoita.
Todennus ja valtuutus
- DKIM-allekirjoitus: Kaikki lähtevät sähköpostit allekirjoitetaan DKIM:llä
- SPF ja DMARC: Täysi tuki SPF:lle ja DMARC:lle sähköpostin väärentämisen estämiseksi
- MTA-STS: Tuki MTA-STS:lle TLS-salauksen pakottamiseksi
- Monivaiheinen todennus: Saatavilla kaikille tilin kirjautumisille
Väärinkäytön estotoimet
- Roskapostisuodatus: Monikerroksinen roskapostin tunnistus koneoppimisen avulla
- Virustarkistus: Kaikkien liitteiden reaaliaikainen tarkistus
- Nopeusrajoitus: Suojaus murtamis- ja tunnusten arvailuiskuja vastaan
- IP-maineen seuranta: Lähettävän IP-osoitteen maineen valvonta
- Sisällön suodatus: Haitallisten URL-osoitteiden ja tietojenkalasteluyritysten tunnistus
Tietosuoja
Tietojen minimointi
Noudatamme tietojen minimoinnin periaatetta:
- Keräämme vain palvelumme tarjoamiseen välttämättömät tiedot
- Sähköpostin sisältöä käsitellään muistissa, eikä sitä tallenneta pysyvästi, ellei IMAP/POP3-toimitus sitä vaadi
- Lokit anonymisoidaan ja säilytetään vain niin kauan kuin on tarpeen
Varmuuskopiointi ja palautus
- Automaattiset päivittäiset varmuuskopiot salauksella
- Maantieteellisesti hajautettu varmuuskopioiden tallennus
- Säännölliset varmuuskopioiden palautustestaukset
- Katastrofipalautusmenettelyt määritellyillä RPO- ja RTO-arvoilla
Palveluntarjoajat
Valitsemme palveluntarjoajamme huolellisesti varmistaaksemme, että ne täyttävät korkeat turvallisuusvaatimuksemme. Alla ovat kansainväliseen tietojen siirtoon käyttämämme palveluntarjoajat ja heidän GDPR-yhteensopivuustilanteensa:
| Palveluntarjoaja | Tarkoitus | DPF Sertifioitu | GDPR-yhteensopivuussivu |
|---|---|---|---|
| Cloudflare | CDN, DDoS-suojaus, DNS | ✅ Kyllä | Cloudflare GDPR |
| DataPacket | Palvelininfrastruktuuri | ❌ Ei | DataPacket Privacy |
| Digital Ocean | Pilvi-infrastruktuuri | ❌ Ei | DigitalOcean GDPR |
| GitHub | Lähdekoodin isännöinti, CI/CD | ✅ Kyllä | GitHub GDPR |
| Vultr | Pilvi-infrastruktuuri | ❌ Ei | Vultr GDPR |
| Stripe | Maksujen käsittely | ✅ Kyllä | Stripe Privacy Center |
| PayPal | Maksujen käsittely | ❌ Ei | PayPal Privacy |
Käytämme näitä palveluntarjoajia varmistaaksemme luotettavan ja turvallisen palvelun toimituksen samalla kun noudatamme kansainvälisiä tietosuojamääräyksiä. Kaikki tietojen siirrot toteutetaan asianmukaisin suojatoimin henkilötietojesi turvaamiseksi.
Yhteensopivuus ja auditointi
Säännölliset turvallisuusarvioinnit
Tiimimme valvoo, tarkistaa ja arvioi säännöllisesti koodipohjaa, palvelimia, infrastruktuuria ja käytäntöjä. Toteutamme kattavan turvallisuusohjelman, joka sisältää:
- SSH-avainten säännöllisen kierrätyksen
- Pääsylokien jatkuvan valvonnan
- Automaattisen turvallisuusskannauksen
- Ennakoivan haavoittuvuuksien hallinnan
- Säännöllisen turvallisuuskoulutuksen kaikille tiimin jäsenille
Yhteensopivuus
- GDPR -yhteensopivat tietojenkäsittelykäytännöt
- Tietojenkäsittelysopimus (DPA) saatavilla yritysasiakkaille
- CCPA-yhteensopivat tietosuojakontrollit
- SOC 2 Type II -auditoinnit prosesseissa
Tapahtumavaste
Turvallisuustapahtumien vasteohjelmamme sisältää:
- Havaitseminen: Automaattiset valvonta- ja hälytysjärjestelmät
- Rajoittaminen: Vaikutettujen järjestelmien välitön eristäminen
- Poistaminen: Uhan poistaminen ja juurisyyn analyysi
- Palauttaminen: Palveluiden turvallinen palauttaminen
- Ilmoittaminen: Ajantasainen viestintä vaikutuksista kärsineille käyttäjille
- Tapahtuman jälkeinen analyysi: Kattava tarkastelu ja parannukset
Warning
Jos löydät turvallisuuspuutteen, ilmoita siitä välittömästi osoitteeseen security@forwardemail.net.
Turvallisen kehityksen elinkaari
Kaikki koodi käy läpi:
- Turvavaatimusten keräämisen
- Uhkamallinnuksen suunnittelun aikana
- Turvalliset koodauskäytännöt
- Staattisen ja dynaamisen sovellusturvatestauksen
- Koodikatselmoinnin, jossa keskitytään turvallisuuteen
- Riippuvuuksien haavoittuvuusskannauksen
Palvelimen koventaminen
Meidän Ansible-konfiguraatiomme toteuttaa lukuisia palvelimen koventamistoimia:
- USB-yhteys poistettu käytöstä: Fyysiset portit on poistettu käytöstä mustalistamalla usb-storage-ytin moduuli
- Palomuurisäännöt: Tiukat iptables-säännöt, jotka sallivat vain tarvittavat yhteydet
- SSH-koventaminen: Vain avainpohjainen todennus, ei salasanasisäänkirjautumista, root-kirjautuminen poistettu käytöstä
- Palveluiden eristäminen: Jokainen palvelu toimii vähimmillä tarvittavilla oikeuksilla
- Automaattiset päivitykset: Turvapäivitykset asennetaan automaattisesti
- Turvallinen käynnistys: Varmennettu käynnistysprosessi manipuloinnin estämiseksi
- Ytimen koventaminen: Turvalliset ydinparametrit ja sysctl-konfiguraatiot
- Tiedostojärjestelmän rajoitukset: noexec, nosuid ja nodev liitosehdot soveltuvin osin
- Core dumpien poisto käytöstä: Järjestelmä on konfiguroitu estämään core dumpit turvallisuuden vuoksi
- Swap-muistin poisto käytöstä: Swap-muisti poistettu käytöstä tietovuotojen estämiseksi
- Porttiskannauksen suojaus: Automaattinen porttiskannausyritysten tunnistus ja esto
- Läpinäkyvien suurten sivujen poisto käytöstä: THP poistettu käytöstä suorituskyvyn ja turvallisuuden parantamiseksi
- Järjestelmäpalveluiden koventaminen: Ei-välttämättömät palvelut kuten Apport poistettu käytöstä
- Käyttäjähallinta: Vähimmän oikeuden periaate erillisillä deploy- ja devops-käyttäjillä
- Tiedostokuvauksen rajat: Rajojen nostaminen paremman suorituskyvyn ja turvallisuuden vuoksi
Palvelutasosopimus
Pidämme yllä korkeaa palvelun saatavuutta ja luotettavuutta. Infrastruktuurimme on suunniteltu redundanssia ja vikasietoisuutta varten varmistaaksemme, että sähköpostipalvelusi pysyy toiminnassa. Vaikka emme julkaise virallista SLA-asiakirjaa, sitoudumme:
- Yli 99,9 % käyttöaikaan kaikille palveluille
- Nopeaan reagointiin palvelukatkojen aikana
- Läpinäkyvään viestintään häiriötilanteissa
- Säännölliseen ylläpitoon vähäliikenteisinä aikoina
Avoimen lähdekoodin turvallisuus
Avoimen lähdekoodin palveluna open-source service turvallisuutemme hyötyy:
- Läpinäkyvästä koodista, jota kuka tahansa voi tarkastaa
- Yhteisön ohjaamista turvallisuusparannuksista
- Haavoittuvuuksien nopeasta tunnistamisesta ja korjaamisesta
- Ei turvallisuutta piilottamisen kautta
Työntekijöiden turvallisuus
- Taustatarkastukset kaikille työntekijöille
- Turvallisuustietoisuuskoulutus
- Vähimmän oikeuden pääsy
- Säännöllinen turvallisuuskoulutus
Jatkuva parantaminen
Parannamme jatkuvasti turvallisuusasemiamme seuraavasti:
- Turvallisuustrendien ja uusien uhkien seuranta
- Turvallisuuspolitiikkojen säännöllinen tarkastelu ja päivitys
- Palautteen kerääminen tietoturvatutkijoilta ja käyttäjiltä
- Osallistuminen turvallisuusyhteisöön
Lisätietoja turvallisuuskäytännöistämme tai turvallisuushuolien raportoinnista saa ottamalla yhteyttä osoitteeseen security@forwardemail.net.