נהלי אבטחה
הקדמה
ב-Forward Email, האבטחה היא העדיפות העליונה שלנו. יישמנו אמצעי אבטחה מקיפים כדי להגן על תקשורת הדואר האלקטרוני שלך ועל הנתונים האישיים שלך. מסמך זה מפרט את נהלי האבטחה שלנו ואת הצעדים שאנו נוקטים כדי להבטיח את סודיות, שלמות וזמינות הדואר האלקטרוני שלך.
אבטחת תשתיות
מרכזי נתונים מאובטחים
התשתית שלנו מתארחת במרכזי נתונים התואמים ל-SOC 2 עם:
- אבטחה פיזית ומעקב 24/7
- בקרות גישה ביומטריות
- מערכות חשמל מיותרות
- גילוי וכיבוי אש מתקדמים
- ניטור סביבתי
אבטחת רשת
אנו מיישמים שכבות מרובות של אבטחת רשת:
- חומות אש ברמת ארגון עם רשימות בקרת גישה מחמירות
- הגנה והפחתת התקפות DDoS
- סריקות פגיעות רשת סדירות
- מערכות גילוי ומניעת חדירות
- הצפנת תעבורה בין כל נקודות הקצה של השירות
- הגנה מסריקות פורטים עם חסימה אוטומטית של פעילות חשודה
Important
כל הנתונים בתנועה מוצפנים באמצעות TLS 1.2+ עם ערכות הצפנה מודרניות.
אבטחת דואר אלקטרוני
הצפנה
- TLS (Transport Layer Security): כל תעבורת הדואר האלקטרוני מוצפנת בתנועה באמצעות TLS 1.2 ומעלה
- הצפנה מקצה לקצה: תמיכה בסטנדרטים OpenPGP/MIME ו-S/MIME
- הצפנת אחסון: כל המיילים המאוחסנים מוצפנים במנוחה באמצעות הצפנת ChaCha20-Poly1305 בקבצי SQLite
- הצפנת דיסק מלאה: הצפנת LUKS v2 לכל הדיסק
- הגנה מקיפה: אנו מיישמים הצפנה במנוחה, בזיכרון ובתנועה
Note
אנו שירות הדואר האלקטרוני הראשון והיחיד בעולם המשתמש ב**תיבות דואר SQLite מוצפנות באופן אינדיבידואלי ועמידות לקוונטים**.
אימות והרשאות
- חתימת DKIM: כל המיילים היוצאים חתומים ב-DKIM
- SPF ו-DMARC: תמיכה מלאה ב-SPF ו-DMARC למניעת זיוף דואר אלקטרוני
- MTA-STS: תמיכה ב-MTA-STS לאכיפת הצפנת TLS
- אימות רב-שלבי: זמין לכל גישה לחשבון
אמצעי מניעה נגד שימוש לרעה
- סינון ספאם: זיהוי ספאם רב-שכבתי עם למידת מכונה
- סריקת וירוסים: סריקה בזמן אמת של כל הקבצים המצורפים
- הגבלת קצב: הגנה מפני התקפות כוח גס וספירה
- מוניטורינג של מוניטין IP: מעקב אחר מוניטין כתובת ה-IP השולחת
- סינון תוכן: זיהוי כתובות URL זדוניות וניסיונות פישינג
הגנת נתונים
מזעור נתונים
אנו פועלים לפי עקרון מזעור הנתונים:
- אנו אוספים רק את הנתונים הנחוצים לספק את השירות שלנו
- תוכן הדואר מעובד בזיכרון ואינו נשמר באופן קבוע אלא אם כן נדרש למשלוח IMAP/POP3
- הלוגים מנותחים ומאוחסנים רק כל עוד נדרש
גיבוי ושחזור
- גיבויים יומיים אוטומטיים עם הצפנה
- אחסון גיבויים מפוזר גאוגרפית
- בדיקות שיחזור גיבוי תקופתיות
- נהלי התאוששות מאסון עם RPO ו-RTO מוגדרים
ספקי שירות
אנו בוחרים בקפידה את ספקי השירות שלנו כדי להבטיח שהם עומדים בסטנדרטים הגבוהים שלנו לאבטחה. להלן הספקים בהם אנו משתמשים להעברת נתונים בינלאומית ומצב ההתאמה שלהם ל-GDPR:
| ספק | מטרה | מוסמך DPF | דף התאמה ל-GDPR |
|---|---|---|---|
| Cloudflare | CDN, הגנה מפני DDoS, DNS | ✅ כן | Cloudflare GDPR |
| DataPacket | תשתית שרתים | ❌ לא | DataPacket Privacy |
| Digital Ocean | תשתית ענן | ❌ לא | DigitalOcean GDPR |
| GitHub | אחסון קוד מקור, CI/CD | ✅ כן | GitHub GDPR |
| Vultr | תשתית ענן | ❌ לא | Vultr GDPR |
| Stripe | עיבוד תשלומים | ✅ כן | Stripe Privacy Center |
| PayPal | עיבוד תשלומים | ❌ לא | PayPal Privacy |
אנו משתמשים בספקים אלו כדי להבטיח אספקת שירות אמינה ובטוחה תוך שמירה על תאימות לתקנות הגנת מידע בינלאומיות. כל העברות הנתונים מתבצעות עם אמצעי הגנה מתאימים לשמירה על המידע האישי שלך.
תאימות וביקורת
הערכות אבטחה תקופתיות
הצוות שלנו עוקב, בוחן ומעריך באופן קבוע את בסיס הקוד, השרתים, התשתית והנהלים. אנו מיישמים תוכנית אבטחה מקיפה הכוללת:
- סיבוב קבוע של מפתחות SSH
- ניטור רציף של יומני גישה
- סריקות אבטחה אוטומטיות
- ניהול פגיעויות פרואקטיבי
- הדרכות אבטחה תקופתיות לכל חברי הצוות
תאימות
- נהלי טיפול בנתונים התואמים ל-GDPR
- הסכם עיבוד נתונים (DPA) זמין ללקוחות עסקיים
- בקרות פרטיות התואמות ל-CCPA
- תהליכים מבוקרי SOC 2 Type II
תגובה לאירועים
תוכנית התגובה שלנו לאירועי אבטחה כוללת:
- זיהוי: מערכות ניטור והתראה אוטומטיות
- הכנסה לכליאה: בידוד מיידי של מערכות מושפעות
- הכחדה: הסרת האיום וניתוח שורש הבעיה
- שחזור: שיחזור מאובטח של השירותים
- הודעה: תקשורת בזמן עם המשתמשים המושפעים
- ניתוח לאחר האירוע: סקירה מקיפה ושיפור
Warning
אם גילית פגיעות אבטחה, אנא דווח עליה מיד ל-security@forwardemail.net.
מחזור חיי פיתוח אבטחה
כל הקוד עובר:
- איסוף דרישות אבטחה
- מודל איומים במהלך התכנון
- שיטות קידוד מאובטחות
- בדיקות אבטחה סטטיות ודינמיות של היישום
- סקירת קוד עם דגש על אבטחה
- סריקת פגיעויות בתלויות
הקשחת שרת
הקונפיגורציה של Ansible שלנו מיישמת אמצעי הקשחת שרת רבים:
- גישה ל-USB מושבתת: פורטים פיזיים מושבתים על ידי חסימת מודול הליבה usb-storage
- חוקי חומת אש: חוקי iptables מחמירים המאפשרים רק חיבורים נחוצים
- הקשחת SSH: אימות מבוסס מפתח בלבד, ללא כניסה עם סיסמה, כניסת root מושבתת
- בידוד שירותים: כל שירות רץ עם ההרשאות המינימליות הנדרשות
- עדכונים אוטומטיים: תיקוני אבטחה מוחלים אוטומטית
- אתחול מאובטח: תהליך אתחול מאומת למניעת זיופים
- הקשחת ליבה: פרמטרי ליבה מאובטחים וקונפיגורציות sysctl
- הגבלות מערכת קבצים: אפשרויות mount noexec, nosuid, ו-nodev במקומות המתאימים
- הפסקת core dumps: המערכת מוגדרת למנוע core dumps למען האבטחה
- השבתת Swap: זיכרון swap מושבת למניעת דליפת נתונים
- הגנה מפני סריקת פורטים: זיהוי וחסימה אוטומטית של ניסיונות סריקת פורטים
- השבתת Transparent Huge Pages: THP מושבת לשיפור ביצועים ואבטחה
- הקשחת שירותי מערכת: שירותים לא חיוניים כמו Apport מושבתים
- ניהול משתמשים: עיקרון ההרשאה המינימלית עם משתמשים נפרדים לפריסה ול-DevOps
- מגבלות תיאורי קבצים: הגדלת מגבלות לביצועים ואבטחה טובים יותר
הסכם רמת שירות
אנו שומרים על רמת זמינות ואמינות גבוהה של השירות. התשתית שלנו מתוכננת לרדונדנס ועמידות לתקלות כדי להבטיח ששירות הדואר האלקטרוני שלכם יישאר פעיל. למרות שאיננו מפרסמים מסמך SLA פורמלי, אנו מחויבים ל:
- זמינות של 99.9%+ לכל השירותים
- תגובה מהירה להפרעות בשירות
- תקשורת שקופה במהלך תקלות
- תחזוקה סדירה בזמני עומס נמוכים
אבטחת קוד פתוח
כשירות קוד פתוח, האבטחה שלנו נהנית מ:
- קוד שקוף שניתן לבדוק על ידי כל אחד
- שיפורים באבטחה מונחי קהילה
- זיהוי ותיקון מהיר של פגיעויות
- ללא אבטחה באמצעות טשטוש
אבטחת עובדים
- בדיקות רקע לכל העובדים
- הדרכות מודעות אבטחה
- עיקרון ההרשאה המינימלית
- חינוך אבטחה סדיר
שיפור מתמיד
אנו משפרים ללא הפסקה את עמדת האבטחה שלנו באמצעות:
- מעקב אחר מגמות אבטחה ואיומים מתפתחים
- סקירה ועדכון סדיר של מדיניות האבטחה
- משוב מחוקרי אבטחה ומשתמשים
- השתתפות בקהילת האבטחה
למידע נוסף על שיטות האבטחה שלנו או לדיווח על חששות אבטחה, אנא פנו ל- security@forwardemail.net.