X-VPN Concluiu a Avaliação Independente de Sem Registros

Estamos felizes em compartilhar que o X-VPN completou um engajamento de garantia independente, confirmando que não coletamos, armazenamos ou rastreamos seus dados de conexão, nem registramos suas atividades online.

Sempre acreditamos que a proteção da privacidade não deve ser apenas uma promessa escrita em uma página da web. É por isso que passamos por uma verificação independente para validar nossa Política de Sem Registros. Continue lendo — estamos felizes em compartilhar os detalhes com você.

Pontos-chave do Relatório de Garantia

Contratamos uma das Big Four accounting firms em Cingapura para conduzir um engajamento de garantia independente sobre as declarações na Política de Privacidade do X-VPN relacionadas ao processamento de dados do usuário, bem como as práticas correspondentes que apoiam essas declarações. A firma de auditoria Big Four realizou este engajamento de acordo com a Norma Internacional sobre Engajamentos de Garantia (ISAE) 3000 (Revisada). 

Através de consultas com pessoal relevante e uma revisão da configuração do sistema de TI da X-VPN e das operações de TI de suporte, esta garantia independente confirmou os seguintes pontos-chave:

• Não coletamos, armazenamos ou registramos nenhum dado de tráfego, incluindo endereços IP de usuários ou destinos, atividade de navegação, sites visitados, informações do servidor VPN, consultas DNS, conteúdo baixado ou timestamps de conexão.
• Processamos apenas as informações mínimas de conta e faturamento necessárias para fornecer o serviço: um endereço de e-mail fornecido pelo usuário (não é necessário ser verificado), senha armazenada como hashes unidirecionais com sal (por exemplo, bcrypt), ID do pedido e histórico de pedidos. Nenhuma informação pessoal adicional é necessária para criar ou usar uma conta.
• Coletamos apenas métricas de desempenho agregadas e não identificáveis (por exemplo, uso de CPU, consumo de memória e disponibilidade de serviço) e não coletamos informações pessoalmente identificáveis.
• O registro de tráfego e atividade do usuário está desativado por design: as saídas do sistema e do serviço são redirecionadas para um descarte nulo (/dev/null), e controles estão em vigor para evitar a geração ou retenção de logs em ambientes de produção.
• Todos os servidores VPN funcionam inteiramente em modo apenas de RAM, o que significa que todos os dados existem apenas na memória volátil e nunca são gravados ou armazenados em nenhum armazenamento físico. Quando um servidor é desligado, reiniciado ou reimplantado, todos os dados na memória são instantaneamente e permanentemente apagados, garantindo um ambiente verdadeiro e verificável sem registros.
• Os servidores de produção são implantados e gerenciados por meio de um sistema de automação predefinido (THA), que impõe e valida continuamente a configuração base sem logs em ambientes de produção.
• Todas as alterações de código são gerenciadas por meio de um pipeline CI/CD controlado por versão, sujeito a revisões em múltiplos níveis e varreduras de segurança automatizadas projetadas para validar controles relacionados à privacidade.
• O acesso ao banco de dados é protegido usando transmissão criptografada (TLS moderno) e através de autenticação mútua e uma lista de permissões de IP com monitoramento contínuo.
• A Política de Privacidade é mantida para refletir com precisão as operações do sistema e as práticas de processamento de dados, e os processos de revisão, atualização e publicação são rastreáveis e verificáveis.
• O Grupo DPO opera com independência e rastreabilidade, fornecendo supervisão contínua sobre a governança de privacidade alinhada aos princípios de não registro.

Com base nos procedimentos realizados e nas evidências obtidas, as quatro grandes empresas de auditoria verificaram nossa conformidade com a Política de No-Logs. 

Duas observações foram identificadas a partir dos procedimentos realizados. No entanto, essas observações não mudaram a conclusão da auditoria e foram prontamente tratadas. Os usuários que desejam saber mais podem consultar as seções relevantes do relatório completo.

Devido à natureza técnica do relatório e aos requisitos de divulgação relevantes, não podemos compartilhar publicamente trechos do relatório. No entanto, os usuários podem acessar o relatório completo fazendo login em sua conta X-VPN. 

O que isso significa para os usuários do X-VPN

Esta garantia independente demonstra que as declarações da X-VPN sobre o processamento de dados dos usuários foram verificadas por uma terceira parte independente com base nas configurações do sistema, procedimentos operacionais e controles de suporte. 

Quando você usa o X-VPN, não mantemos registros de atividade que possam ser usados para reconstruir como você usa o serviço, identificar seu comportamento online ou revelar informações que possam ser vinculadas à sua identidade pessoal. Isso pode lhe dar maior confiança de que sua privacidade está protegida enquanto usa nosso serviço.

Por que a Verificação Independente é Importante

Acreditamos que a confiança do usuário deve ser construída sobre uma base de transparência e responsabilidade.

Essa verificação independente de terceiros nos ajuda a demonstrar, de uma maneira mais rigorosa, como implementamos esses princípios em nosso design de sistema, processos operacionais e mecanismos de governança. Isso não se trata apenas de testar nossos próprios padrões, mas também de como respondemos às expectativas de longa data de nossos usuários em relação à proteção da privacidade.

Em outras palavras, nosso objetivo é garantir que todos os nossos usuários sintam que sua confiança é genuinamente valorizada e que sua privacidade é efetivamente protegida por meio de uma abordagem mais transparente, rigorosa e verificável. Acreditamos firmemente que confiança, privacidade e segurança não devem ser extras opcionais buscados apenas por alguns poucos usuários, mas sim salvaguardas fundamentais que todo usuário deve receber ao utilizar um serviço de VPN.

Um Marco, Não a Linha de Chegada

Esta garantia independente é um marco importante para o X-VPN — mas não é o destino. A confiança não é construída por um único compromisso de garantia, e a proteção da privacidade não termina com um projeto concluído. Isso deve ser refletido em como avançamos na governança, abordamos preocupações e demonstramos aos usuários que esses compromissos estão sendo consistentemente cumpridos em cada passo que o X-VPN dá.

Olhando para o futuro, o X-VPN continuará a avançar na conformidade e na governança de segurança. À medida que esses esforços amadurecem, expandiremos gradualmente nosso escopo para incluir auditorias adicionais e compartilharemos publicamente os resultados das auditorias quando apropriado. Também continuaremos a incorporar preocupações de longa data levantadas por usuários e pelo público em nossas estruturas de governança e divulgação, respondendo com comunicação transparente e melhorias substanciais.

O que esperamos que os usuários vejam não é apenas um resultado de auditoria, mas um X-VPN que continua a ganhar confiança por meio de ações.