Меры безопасности

Предисловие

В Forward Email безопасность — наш главный приоритет. Мы внедрили комплексные меры безопасности для защиты ваших электронных писем и персональных данных. В этом документе описаны наши методы обеспечения безопасности и шаги, предпринимаемые для обеспечения конфиденциальности, целостности и доступности вашей электронной почты.

Безопасность инфраструктуры

Безопасные центры обработки данных

Наша инфраструктура размещена в центрах обработки данных, соответствующих стандарту SOC 2, с:

• Круглосуточная физическая охрана и видеонаблюдение
• Биометрический контроль доступа
• Резервные системы электропитания
• Современные системы обнаружения и тушения пожаров
• Мониторинг окружающей среды

Сетевая безопасность

Мы реализуем несколько уровней сетевой безопасности:

• Межсетевые экраны корпоративного уровня со строгими списками контроля доступа
• Защита от DDoS-атак и их устранение
• Регулярное сканирование уязвимостей сети
• Системы обнаружения и предотвращения вторжений
• Шифрование трафика между всеми конечными точками обслуживания
• Защита от сканирования портов с автоматической блокировкой подозрительной активности

Безопасность электронной почты

Шифрование

• Безопасность транспортного уровня (TLS): весь трафик электронной почты шифруется при передаче с использованием протокола TLS 1.2 или выше.
• Сквозное шифрование: поддержка стандартов OpenPGP/MIME и S/MIME.
• Шифрование хранилища: все хранимые электронные письма шифруются при хранении с использованием алгоритма ChaCha20-Poly1305 в файлах SQLite.
• Полное шифрование диска: шифрование LUKS v2 для всего диска.
• Комплексная защита: мы реализуем шифрование при хранении, шифрование в памяти и шифрование при передаче.

Аутентификация и авторизация

• Подпись DKIM: Все исходящие письма подписываются DKIM.
• SPF и DMARC: Полная поддержка SPF и DMARC для предотвращения подмены писем.
• MTA-STS: Поддержка MTA-STS для обеспечения шифрования TLS.
• Многофакторная аутентификация: Доступна для всех учётных записей.

Меры по борьбе со злоупотреблениями

• Фильтрация спама: Многоуровневое обнаружение спама с использованием машинного обучения
• Сканирование на вирусы: Сканирование всех вложений в режиме реального времени
• Ограничение скорости: Защита от атак методом подбора и перебора паролей
• Репутация IP-адреса: Мониторинг репутации IP-адреса отправителя
• Фильтрация контента: Обнаружение вредоносных URL-адресов и попыток фишинга

Защита данных

Минимизация данных

Мы следуем принципу минимизации данных:

• Мы собираем только те данные, которые необходимы для предоставления наших услуг.
• Содержимое электронных писем обрабатывается в памяти и не хранится постоянно, за исключением случаев, когда это требуется для доставки по протоколам IMAP/POP3.
• Журналы анонимизируются и хранятся только в течение необходимого времени.

Резервное копирование и восстановление

• Автоматизированное ежедневное резервное копирование с шифрованием
• Географически распределенное хранилище резервных копий
• Регулярное тестирование восстановления из резервных копий
• Процедуры аварийного восстановления с заданными RPO и RTO

Поставщики услуг

Мы тщательно выбираем поставщиков услуг, чтобы гарантировать их соответствие нашим высоким стандартам безопасности. Ниже перечислены поставщики, которые мы используем для международной передачи данных, и их статус соответствия GDPR:

Поставщик	Цель	Сертифицировано DPF	Страница соответствия GDPR
Cloudflare	CDN, защита от DDoS-атак, DNS	✅ Да	Cloudflare GDPR
DataPacket	Серверная инфраструктура	❌ Нет	DataPacket Privacy
Digital Ocean	Облачная инфраструктура	❌ Нет	DigitalOcean GDPR
Vultr	Облачная инфраструктура	❌ Нет	Vultr GDPR
Stripe	Обработка платежей	✅ Да	Stripe Privacy Center
PayPal	Обработка платежей	❌ Нет	PayPal Privacy

Мы пользуемся услугами этих поставщиков для обеспечения надёжного и безопасного предоставления услуг с соблюдением международных норм защиты данных. Вся передача данных осуществляется с использованием соответствующих мер безопасности для защиты вашей персональной информации.

Соответствие требованиям и аудит

Регулярные оценки безопасности

Наша команда регулярно отслеживает, проверяет и оценивает кодовую базу, серверы, инфраструктуру и применяемые методы. Мы внедряем комплексную программу безопасности, которая включает в себя:

• Регулярная ротация SSH-ключей
• Постоянный мониторинг журналов доступа
• Автоматизированное сканирование безопасности
• Проактивное управление уязвимостями
• Регулярное обучение по безопасности для всех членов команды

Соответствие

• Практики обработки данных, соответствующие GDPR
• Соглашение об обработке данных (DPA) доступен для корпоративных клиентов
• Средства управления конфиденциальностью, соответствующие CCPA
• Процессы, прошедшие аудит SOC 2 Тип II

Реагирование на инциденты

Наш план реагирования на инциденты безопасности включает:

1. Обнаружение: Автоматизированные системы мониторинга и оповещения
2. Сдерживание: Немедленная изоляция затронутых систем
3. Устранение: Устранение угрозы и анализ первопричин
4. Восстановление: Безопасное восстановление сервисов
5. Уведомление: Своевременное информирование затронутых пользователей
6. Анализ после инцидента: Комплексный анализ и улучшение

Жизненный цикл разработки безопасности

Весь код подвергается:

• Сбор требований безопасности
• Моделирование угроз на этапе проектирования
• Безопасные методы кодирования
• Статическое и динамическое тестирование безопасности приложений
• Проверка кода с акцентом на безопасность
• Сканирование уязвимостей зависимостей

Укрепление сервера

Наш Конфигурация Ansible реализует многочисленные меры по защите сервера:

• Доступ к USB отключен: Физические порты отключены путём добавления модуля ядра usb-storage в чёрный список.
• Правила брандмауэра: Строгие правила iptables, разрешающие только необходимые соединения.
• Усиление защиты SSH: Только аутентификация по ключам, вход без пароля, вход с правами root отключен.
• Изоляция служб: Каждая служба работает с минимальными необходимыми привилегиями.
• Автоматические обновления: Исправления безопасности применяются автоматически.
• Безопасная загрузка: Проверенная загрузка для предотвращения несанкционированного доступа.
• Усиление защиты ядра: Безопасные параметры ядра и конфигурации sysctl.
• Ограничения файловой системы: Параметры монтирования noexec, nosuid и nodev, где это применимо.
• Дампы ядра отключены: Система настроена на предотвращение дампов ядра в целях безопасности.
• Подкачка отключена: Подкачка памяти отключена для предотвращения утечки данных.
• Защита от сканирования портов: Автоматическое обнаружение и блокировка сканирования портов. Попытки
• Прозрачные огромные страницы отключены: THP отключен для повышения производительности и безопасности
• Усиление защиты системных служб: Необязательные службы, такие как Apport, отключены
• Управление пользователями: Принцип наименьших привилегий с разделением пользователей для развертывания и DevOps
• Ограничения на количество файловых дескрипторов: Увеличенные ограничения для повышения производительности и безопасности

Соглашение об уровне обслуживания

Мы поддерживаем высокий уровень доступности и надежности сервиса. Наша инфраструктура разработана с учётом резервирования и отказоустойчивости, чтобы гарантировать бесперебойную работу вашей электронной почты. Хотя мы не публикуем официальное соглашение об уровне обслуживания (SLA), мы обязуемся:

• Более 99,9% времени безотказной работы всех сервисов
• Быстрое реагирование на сбои в работе сервисов
• Прозрачное взаимодействие во время инцидентов
• Регулярное техническое обслуживание в периоды низкой нагрузки

Безопасность с открытым исходным кодом

Как служба с открытым исходным кодом, наша безопасность выигрывает за счет:

• Прозрачный код, доступный для аудита любым пользователем
• Улучшения безопасности, инициированные сообществом
• Быстрое выявление и устранение уязвимостей
• Отсутствие безопасности через неизвестность

Безопасность сотрудников

• Проверка биографических данных всех сотрудников
• Обучение по вопросам безопасности
• Принцип минимальных привилегий доступа
• Регулярное обучение по вопросам безопасности

Постоянное совершенствование

Мы постоянно улучшаем нашу позицию по безопасности посредством:

• Мониторинг тенденций безопасности и возникающих угроз
• Регулярный пересмотр и обновление политик безопасности
• Отзывы исследователей и пользователей безопасности
• Участие в жизни сообщества специалистов по безопасности

Чтобы получить дополнительную информацию о наших методах обеспечения безопасности или сообщить о проблемах безопасности, свяжитесь с нами по адресу security@forwardemail.net.

Дополнительные ресурсы

• политика конфиденциальности
• Условия обслуживания
• Соответствие GDPR
• Соглашение об обработке данных (DPA)
• Сообщить о нарушении
• Политика безопасности
• Security.txt
• Репозиторий GitHub
• FAQ