X-VPN completó la evaluación independiente de no registros.

Nos complace compartir que X-VPN ha completado un compromiso de aseguramiento independiente, confirmando que no recopilamos, almacenamos ni rastreamos sus datos de conexión, ni registramos sus actividades en línea.

Siempre hemos creído que la protección de la privacidad no debería ser solo una promesa escrita en una página web. Por eso nos sometimos a una verificación independiente para validar nuestra Política de No Registros. Sigue leyendo, estamos encantados de compartir los detalles contigo.

Puntos clave del informe de aseguramiento

Encargamos a una de las cuatro grandes firmas de contabilidad en Singapur que llevara a cabo un compromiso de aseguramiento independiente sobre las declaraciones en la Política de Privacidad de X-VPN relacionadas con el procesamiento de datos de usuarios, así como las prácticas correspondientes que respaldan esas declaraciones. La firma de auditoría de las cuatro grandes realizó este compromiso de acuerdo con la Norma Internacional sobre Compromisos de Aseguramiento (ISAE) 3000 (Revisada). 

A través de consultas con el personal relevante y una revisión de la configuración del sistema informático de X-VPN y las operaciones de TI de apoyo, esta garantía independiente confirmó los siguientes puntos clave:

• No recopilamos, almacenamos ni registramos ningún dato de tráfico, incluidas las direcciones IP de los usuarios o destinos, la actividad de navegación, los sitios web visitados, la información del servidor VPN, las consultas DNS, el contenido descargado o las marcas de tiempo de conexión.
• Solo procesamos la información mínima de cuenta y facturación necesaria para proporcionar el servicio: una dirección de correo electrónico proporcionada por el usuario (no es necesario verificarla), una contraseña almacenada como hashes unidireccionales con sal (por ejemplo, bcrypt), ID de pedido e historial de pedidos. No se requiere información personal adicional para crear o usar una cuenta.
• Solo recopilamos métricas de rendimiento agregadas y no identificables (por ejemplo, uso de CPU, consumo de memoria y disponibilidad del servicio) y no recopilamos información personal identificable.
• El registro de tráfico de usuarios y actividades está deshabilitado por diseño: las salidas del sistema y del servicio se redirigen a un sumidero nulo (/dev/null), y hay controles en su lugar para prevenir la generación o retención de registros en entornos de producción.
• Todos los servidores VPN funcionan completamente en modo solo RAM, lo que significa que todos los datos existen solo en memoria volátil y nunca se escriben ni se almacenan en ningún almacenamiento físico. Cuando un servidor se apaga, se reinicia o se vuelve a implementar, todos los datos en la memoria se borran instantáneamente y de forma permanente, garantizando un entorno sin registros verdadero y verificable.
• Los servidores de producción se implementan y gestionan a través de un sistema de automatización predefinido (THA), que impone y valida continuamente la configuración base sin registros en entornos de producción.
• Todos los cambios de código se gestionan a través de un pipeline CI/CD controlado por versiones, sujeto a revisiones de múltiples niveles y escaneos de seguridad automatizados diseñados para validar los controles relacionados con la privacidad.
• El acceso a la base de datos está protegido mediante transmisión encriptada (TLS moderno) y a través de autenticación mutua y una lista blanca de IP con monitoreo continuo.
• La Política de Privacidad se mantiene para reflejar con precisión las operaciones del sistema y las prácticas de procesamiento de datos, y los procesos de revisión, actualización y publicación son rastreables y verificables.
• El Grupo DPO opera con independencia y trazabilidad, proporcionando supervisión continua sobre la gobernanza de la privacidad alineada con los principios de no registros.

Basado en los procedimientos realizados y la evidencia obtenida, las firmas de auditoría de las Big Four verificaron nuestro cumplimiento con la Política de No Registros.

Se identificaron dos observaciones a partir de los procedimientos realizados. Sin embargo, estas observaciones no cambiaron la conclusión de la auditoría y se abordaron de inmediato. Los usuarios que deseen obtener más información pueden consultar las secciones relevantes del informe completo.

Debido a la naturaleza técnica del informe y los requisitos de divulgación relevantes, no podemos compartir públicamente extractos del informe. Sin embargo, los usuarios pueden acceder al informe completo iniciando sesión en su cuenta de X-VPN. 

Lo que esto significa para los usuarios de X-VPN

Esta garantía independiente demuestra que las declaraciones de X-VPN sobre el procesamiento de datos de los usuarios han sido verificadas por un tercero independiente basado en configuraciones del sistema, procedimientos operativos y controles de apoyo. 

Cuando usas X-VPN, no retenemos registros de actividad que podrían usarse para reconstruir cómo utilizas el servicio, identificar tu comportamiento en línea o revelar información que podría estar vinculada a tu identidad personal. Esto puede darte mayor confianza en que tu privacidad está protegida mientras usas nuestro servicio.

Por qué la verificación independiente es importante

Creemos que la confianza del usuario debe construirse sobre una base de transparencia y responsabilidad.

Esta verificación independiente de terceros nos ayuda a demostrar, de una manera más rigurosa, cómo implementamos estos principios en el diseño de nuestro sistema, los procesos operativos y los mecanismos de gobernanza. Esto no solo se trata de probar nuestros propios estándares, sino también de cómo respondemos a las expectativas de larga data de nuestros usuarios con respecto a la protección de la privacidad.

En otras palabras, nuestro objetivo es garantizar que todos nuestros usuarios sientan que su confianza es realmente valorada y que su privacidad está efectivamente protegida a través de un enfoque más transparente, riguroso y verificable. Creemos firmemente que la confianza, la privacidad y la seguridad no deberían ser extras opcionales buscados solo por unos pocos usuarios selectos, sino más bien salvaguardias fundamentales que cada usuario debería recibir al utilizar un servicio de VPN.

Un hito, no la línea de meta

Esta garantía independiente es un hito importante para X-VPN, pero no es el destino. La confianza no se construye con un solo compromiso de garantía, y la protección de la privacidad no termina con un proyecto completado. Debe reflejarse en cómo avanzamos en la gobernanza, abordamos preocupaciones y demostramos a los usuarios que estos compromisos se están cumpliendo de manera consistente en cada paso que da X-VPN.

Mirando hacia adelante, X-VPN continuará avanzando en el cumplimiento y la gobernanza de la seguridad. A medida que estos esfuerzos maduren, ampliaremos gradualmente nuestro alcance para incluir auditorías adicionales y compartiremos públicamente los hallazgos de las auditorías cuando sea apropiado. También continuaremos incorporando las preocupaciones de larga data planteadas por los usuarios y el público en nuestros marcos de gobernanza y divulgación, respondiendo con comunicación transparente y mejoras sustanciales.

Lo que esperamos que los usuarios vean no es solo un resultado de auditoría, sino un X-VPN que continúa ganando confianza a través de la acción.