ما خوشحالیم که اعلام کنیم X-VPN یک ارزیابی مستقل را به پایان رسانده است که تأیید میکند ما دادههای اتصال شما را جمعآوری، ذخیره یا ردیابی نمیکنیم و همچنین فعالیتهای آنلاین شما را ثبت نمیکنیم.
ما همیشه بر این باور بودهایم که حفاظت از حریم خصوصی نباید فقط یک وعده نوشته شده در یک صفحه وب باشد. به همین دلیل ما یک تأیید مستقل را برای بررسی سیاست عدم ثبت اطلاعات خود انجام دادیم. ادامه دهید – خوشحالیم که جزئیات را با شما به اشتراک بگذاریم.
Table of Contents
نکات کلیدی از گزارش تضمین
ما یکی از شرکتهای بزرگ حسابداری در سنگاپور را مأمور کردیم تا یک ارزیابی مستقل در مورد بیانیههای موجود در سیاست حفظ حریم خصوصی X-VPN که به پردازش دادههای کاربران مربوط میشود و همچنین شیوههای مربوط به آن بیانیهها را انجام دهد. شرکت حسابرسی بزرگ این ارزیابی را مطابق با استاندارد بینالمللی ارزیابیهای مستقل (ISAE) 3000 (ویرایش شده) انجام داد.
از طریق استعلامات با پرسنل مربوطه و بررسی پیکربندی سیستم IT و عملیات پشتیبانی IT X-VPN، این تضمین مستقل نکات کلیدی زیر را تأیید کرد:
- ما هیچ داده ترافیکی از جمله آدرسهای IP کاربر یا مقصد، فعالیت مرور، وبسایتهای بازدید شده، اطلاعات سرور VPN، درخواستهای DNS، محتوای دانلود شده یا زمانهای اتصال را جمعآوری، ذخیره یا ثبت نمیکنیم.
- ما تنها حداقل اطلاعات حساب و صورتحساب مورد نیاز برای ارائه خدمات را پردازش میکنیم: یک آدرس ایمیل ارائه شده توسط کاربر (نیاز به تأیید ندارد)، رمز عبور ذخیره شده به صورت هشهای یکطرفه و نمکدار (مانند bcrypt)، شناسه سفارش و تاریخچه سفارش. هیچ اطلاعات شخصی اضافی برای ایجاد یا استفاده از حساب کاربری لازم نیست.
- ما تنها معیارهای عملکرد تجمیع شده و غیرقابل شناسایی (مانند استفاده از CPU، مصرف حافظه و در دسترس بودن خدمات) را جمعآوری میکنیم و اطلاعات شناسایی شخصی را جمعآوری نمیکنیم.
- ورود و ثبت فعالیتهای کاربر بهطور پیشفرض غیرفعال است: خروجیهای سیستم و خدمات به یک سینک خنثی (/dev/null) هدایت میشوند و کنترلهایی برای جلوگیری از تولید یا نگهداری لاگ در محیطهای تولید وجود دارد.
- تمام سرورهای VPN به طور کامل در حالت فقط RAM اجرا میشوند، به این معنی که تمام دادهها فقط در حافظه ناپایدار وجود دارند و هرگز بر روی هیچ ذخیرهسازی فیزیکی نوشته یا کش نمیشوند. زمانی که یک سرور خاموش، راهاندازی مجدد یا دوباره مستقر میشود، تمام دادههای موجود در حافظه به طور آنی و دائمی پاک میشوند و یک محیط واقعی و قابل تأیید بدون لاگ را تضمین میکنند.
- سرورهای تولید از طریق یک سیستم اتوماسیون از پیش تعریف شده (THA) مستقر و مدیریت میشوند که پیکربندی پایه بدون لاگ را در محیطهای تولید تحمیل و به طور مداوم اعتبارسنجی میکند.
- تمام تغییرات کد از طریق یک خط لوله CI/CD با کنترل نسخه مدیریت میشوند که تحت بررسی چند سطحی و اسکن امنیتی خودکار قرار دارد که برای تأیید کنترلهای مربوط به حریم خصوصی طراحی شده است.
- دسترسی به پایگاه داده با استفاده از انتقال رمزگذاری شده (TLS مدرن) و از طریق احراز هویت متقابل و یک لیست سفید IP با نظارت مداوم محافظت میشود.
- سیاست حفظ حریم خصوصی بهگونهای نگهداری میشود که بهطور دقیق عملیات سیستم و شیوههای پردازش دادهها را منعکس کند و فرآیندهای بازبینی، بهروزرسانی و انتشار قابل ردیابی و تأیید است.
- گروه DPO با استقلال و قابلیت ردیابی فعالیت میکند و نظارت مداوم بر حاکمیت حریم خصوصی را مطابق با اصول بدون ثبت ارائه میدهد.
بر اساس رویههای انجام شده و شواهد بهدستآمده، شرکتهای حسابرسی بیگ فور تأیید کردند که ما با سیاست عدم ثبت اطلاعات (No-Logs Policy) مطابقت داریم.
دو مشاهده از رویههای انجام شده شناسایی شد. با این حال، این مشاهدات نتیجهگیری حسابرسی را تغییر نداد و به سرعت مورد رسیدگی قرار گرفت. کاربرانی که میخواهند بیشتر بدانند میتوانند به بخشهای مربوطه گزارش کامل مراجعه کنند.
به دلیل ماهیت فنی گزارش و الزامات افشای مربوطه، نمیتوانیم بهطور عمومی بخشهایی از گزارش را به اشتراک بگذاریم. با این حال، کاربران میتوانند با ورود به حساب X-VPN خود به گزارش کامل دسترسی پیدا کنند.
برای کاربران جدید یا رایگان، ایجاد یک حساب کاربری نیاز به اطلاعات شخصی اضافی ندارد و همچنین نیازی به پرداخت نیست.
این چه معنایی برای کاربران X-VPN دارد
این تضمین مستقل نشان میدهد که بیانیههای X-VPN در مورد پردازش دادههای کاربران توسط یک طرف سوم مستقل بر اساس پیکربندیهای سیستم، رویههای عملیاتی و کنترلهای پشتیبانی تأیید شده است.
زمانی که از X-VPN استفاده میکنید، ما سوابق فعالیتی را که میتواند برای بازسازی نحوه استفاده شما از سرویس، شناسایی رفتار آنلاین شما یا افشای اطلاعاتی که ممکن است به هویت شخصی شما مرتبط شود، نگهداری نمیکنیم. این میتواند به شما اطمینان بیشتری بدهد که حریم خصوصی شما در حین استفاده از سرویس ما محافظت شده است.
چرا تأیید مستقل مهم است
ما بر این باوریم که اعتماد کاربران باید بر پایهای از شفافیت و پاسخگویی بنا شود.
این تأییدیه مستقل از طرف سوم به ما کمک میکند تا به روشی دقیقتر نشان دهیم که چگونه این اصول را در طراحی سیستم، فرآیندهای عملیاتی و مکانیزمهای حکمرانی خود پیادهسازی میکنیم. این تنها در مورد آزمایش استانداردهای خودمان نیست، بلکه در مورد چگونگی پاسخگویی به انتظارات طولانیمدت کاربرانمان در مورد حفاظت از حریم خصوصی نیز هست.
به عبارت دیگر، هدف ما این است که اطمینان حاصل کنیم که همه کاربران ما احساس کنند اعتمادشان به طور واقعی ارزشمند است و حریم خصوصی آنها به طور مؤثری از طریق رویکردی شفاف، دقیق و قابل تأیید محافظت میشود. ما به شدت معتقدیم که اعتماد، حریم خصوصی و امنیت نباید گزینههای اضافی باشند که تنها توسط تعداد محدودی از کاربران جستجو میشوند، بلکه باید محافظتهای اساسی باشند که هر کاربر باید هنگام استفاده از خدمات VPN دریافت کند.
برای یادگیری بیشتر در مورد تأیید مستقل X-VPN، به مرکز حسابرسی مراجعه کنید.
یک نقطه عطف، نه خط پایان
این تضمین مستقل یک نقطه عطف مهم برای X-VPN است – اما این مقصد نیست. اعتماد با یک تعهد تضمینی واحد ساخته نمیشود و حفاظت از حریم خصوصی با یک پروژه کامل شده به پایان نمیرسد. این باید در نحوه پیشرفت ما در حاکمیت، رسیدگی به نگرانیها و نشان دادن به کاربران که این تعهدات در هر مرحلهای که X-VPN برمیدارد به طور مداوم انجام میشود، منعکس شود.
به جلو نگاه کرده، X-VPN به پیشبرد انطباق و حاکمیت امنیتی ادامه خواهد داد. با بالغ شدن این تلاشها، به تدریج دامنه خود را گسترش خواهیم داد تا شامل حسابرسیهای اضافی شود و در صورت مناسب بودن، نتایج حسابرسی را بهطور عمومی به اشتراک خواهیم گذاشت. همچنین به ادغام نگرانیهای دیرینهای که توسط کاربران و عموم مطرح شده است، در چارچوبهای حاکمیتی و افشای خود ادامه خواهیم داد و با ارتباط شفاف و بهبودهای قابل توجه پاسخ خواهیم داد.
آنچه ما امیدواریم کاربران ببینند تنها یک نتیجه حسابرسی نیست، بلکه یک X-VPN است که از طریق عمل به کسب اعتماد ادامه میدهد.
