Практики безопасности

Практики безопасности Forward Email

Предисловие

В Forward Email безопасность — наш главный приоритет. Мы внедрили комплексные меры безопасности для защиты вашей электронной переписки и персональных данных. В этом документе изложены наши практики безопасности и шаги, которые мы предпринимаем для обеспечения конфиденциальности, целостности и доступности вашей электронной почты.

Безопасность инфраструктуры

Безопасные дата-центры

Наша инфраструктура размещена в дата-центрах, соответствующих стандарту SOC 2, с:

  • круглосуточной физической охраной и видеонаблюдением
  • биометрическим контролем доступа
  • резервными системами электропитания
  • современными системами обнаружения и тушения пожаров
  • мониторингом окружающей среды

Сетевая безопасность

Мы реализуем несколько уровней сетевой безопасности:

  • корпоративные межсетевые экраны с жесткими списками контроля доступа
  • защита и смягчение DDoS-атак
  • регулярное сканирование сети на уязвимости
  • системы обнаружения и предотвращения вторжений
  • шифрование трафика между всеми конечными точками сервиса
  • защита от сканирования портов с автоматической блокировкой подозрительной активности

Important

Все данные в транзите шифруются с использованием TLS 1.2+ с современными наборами шифров.

Безопасность электронной почты

Шифрование

  • Transport Layer Security (TLS): Весь почтовый трафик шифруется в транзите с использованием TLS 1.2 или выше
  • Конечное шифрование (End-to-End Encryption): Поддержка стандартов OpenPGP/MIME и S/MIME
  • Шифрование хранения: Все сохранённые письма шифруются в состоянии покоя с использованием ChaCha20-Poly1305 в файлах SQLite
  • Полное шифрование диска: Шифрование всего диска с помощью LUKS v2
  • Комплексная защита: Мы реализуем шифрование в состоянии покоя, в памяти и в транзите

Note

Мы — первая и единственная в мире почтовая служба, использующая квантово-устойчивые и индивидуально зашифрованные почтовые ящики SQLite.

Аутентификация и авторизация

  • Подпись DKIM: Все исходящие письма подписываются с помощью DKIM
  • SPF и DMARC: Полная поддержка SPF и DMARC для предотвращения подделки писем
  • MTA-STS: Поддержка MTA-STS для принудительного использования TLS-шифрования
  • Многофакторная аутентификация: Доступна для всех аккаунтов

Меры против злоупотреблений

  • Фильтрация спама: Многоуровневое обнаружение спама с использованием машинного обучения
  • Сканирование на вирусы: Проверка всех вложений в режиме реального времени
  • Ограничение скорости: Защита от атак перебора и перечисления
  • Репутация IP: Мониторинг репутации IP-адресов отправителей
  • Фильтрация контента: Обнаружение вредоносных URL и фишинговых попыток

Защита данных

Минимизация данных

Мы придерживаемся принципа минимизации данных:

  • Собираем только те данные, которые необходимы для предоставления сервиса
  • Содержимое писем обрабатывается в памяти и не сохраняется постоянно, если это не требуется для доставки через IMAP/POP3
  • Логи анонимизируются и хранятся только столько, сколько необходимо

Резервное копирование и восстановление

  • Автоматическое ежедневное резервное копирование с шифрованием
  • Географически распределённое хранилище резервных копий
  • Регулярное тестирование восстановления из резервных копий
  • Процедуры аварийного восстановления с определёнными RPO и RTO

Поставщики услуг

Мы тщательно выбираем наших поставщиков услуг, чтобы гарантировать соответствие высоким стандартам безопасности. Ниже приведены поставщики, которых мы используем для международной передачи данных, и их статус соответствия GDPR:

Поставщик Назначение Сертифицирован DPF Страница соответствия GDPR
Cloudflare CDN, защита от DDoS, DNS ✅ Да Cloudflare GDPR
DataPacket Серверная инфраструктура ❌ Нет DataPacket Privacy
Digital Ocean Облачная инфраструктура ❌ Нет DigitalOcean GDPR
GitHub Хостинг исходного кода, CI/CD ✅ Да GitHub GDPR
Vultr Облачная инфраструктура ❌ Нет Vultr GDPR
Stripe Обработка платежей ✅ Да Stripe Privacy Center
PayPal Обработка платежей ❌ Нет PayPal Privacy

Мы используем этих поставщиков для обеспечения надёжного и безопасного предоставления услуг при соблюдении международных правил защиты данных. Все передачи данных осуществляются с применением соответствующих мер защиты для охраны вашей личной информации.

Соответствие и аудит

Регулярные оценки безопасности

Наша команда регулярно контролирует, проверяет и оценивает кодовую базу, серверы, инфраструктуру и практики. Мы внедряем комплексную программу безопасности, которая включает:

  • Регулярную ротацию SSH-ключей
  • Непрерывный мониторинг журналов доступа
  • Автоматизированное сканирование безопасности
  • Проактивное управление уязвимостями
  • Регулярное обучение безопасности всех членов команды

Соответствие

  • Практики обработки данных, соответствующие GDPR
  • Соглашение об обработке данных (DPA) доступно для корпоративных клиентов
  • Контроль конфиденциальности, соответствующий CCPA
  • Процессы, прошедшие аудит SOC 2 Type II

Реагирование на инциденты

Наш план реагирования на инциденты безопасности включает:

  1. Обнаружение: Автоматизированные системы мониторинга и оповещения
  2. Локализация: Немедленная изоляция затронутых систем
  3. Устранение: Удаление угрозы и анализ первопричины
  4. Восстановление: Безопасное восстановление сервисов
  5. Уведомление: Своевременное информирование затронутых пользователей
  6. Анализ после инцидента: Всесторонний обзор и улучшение

Warning

Если вы обнаружили уязвимость в безопасности, пожалуйста, немедленно сообщите об этом на security@forwardemail.net.

Жизненный цикл разработки безопасности

Весь код проходит:

  • Сбор требований по безопасности
  • Моделирование угроз на этапе проектирования
  • Практики безопасного программирования
  • Статическое и динамическое тестирование безопасности приложений
  • Рецензирование кода с акцентом на безопасность
  • Сканирование уязвимостей зависимостей

Укрепление сервера

Наш Ansible конфиг реализует множество мер по укреплению сервера:

  • Доступ к USB отключен: Физические порты отключены путем занесения модуля ядра usb-storage в черный список
  • Правила файрвола: Строгие правила iptables, разрешающие только необходимые подключения
  • Укрепление SSH: Только аутентификация по ключу, без входа по паролю, вход root отключен
  • Изоляция сервисов: Каждый сервис работает с минимально необходимыми привилегиями
  • Автоматические обновления: Патчи безопасности применяются автоматически
  • Безопасная загрузка: Проверенный процесс загрузки для предотвращения подмены
  • Укрепление ядра: Безопасные параметры ядра и конфигурации sysctl
  • Ограничения файловой системы: опции монтирования noexec, nosuid и nodev там, где это уместно
  • Отключение дампов памяти: Система настроена на предотвращение создания core dump для безопасности
  • Отключение swap: Swap-память отключена для предотвращения утечки данных
  • Защита от сканирования портов: Автоматическое обнаружение и блокировка попыток сканирования портов
  • Отключение Transparent Huge Pages: THP отключены для повышения производительности и безопасности
  • Укрепление системных сервисов: Отключены несущественные сервисы, такие как Apport
  • Управление пользователями: Принцип наименьших привилегий с отдельными пользователями deploy и devops
  • Лимиты дескрипторов файлов: Повышенные лимиты для лучшей производительности и безопасности

Соглашение об уровне обслуживания

Мы поддерживаем высокий уровень доступности и надежности сервиса. Наша инфраструктура спроектирована с учетом избыточности и отказоустойчивости, чтобы обеспечить бесперебойную работу вашей почты. Хотя мы не публикуем формальный документ SLA, мы обязуемся:

  • 99.9%+ времени безотказной работы всех сервисов
  • Быстрой реакции на сбои в работе
  • Прозрачной коммуникации во время инцидентов
  • Регулярного обслуживания в периоды низкой нагрузки

Безопасность с открытым исходным кодом

Как сервис с открытым исходным кодом, наша безопасность обеспечивается:

  • Прозрачным кодом, который может проверить любой
  • Улучшениями безопасности, инициируемыми сообществом
  • Быстрым выявлением и исправлением уязвимостей
  • Отсутствием безопасности за счет секретности

Безопасность сотрудников

  • Проверка биографии всех сотрудников
  • Обучение осведомленности по безопасности
  • Доступ по принципу наименьших привилегий
  • Регулярное обучение по безопасности

Непрерывное улучшение

Мы постоянно улучшаем нашу безопасность через:

  • Мониторинг тенденций безопасности и новых угроз
  • Регулярный пересмотр и обновление политик безопасности
  • Обратную связь от исследователей безопасности и пользователей
  • Участие в сообществе безопасности

Для получения дополнительной информации о наших практиках безопасности или для сообщения о проблемах безопасности, пожалуйста, свяжитесь с security@forwardemail.net.

Дополнительные ресурсы