X-VPN завершил независимую оценку без ведения логов.

Мы рады сообщить, что X-VPN завершил независимую проверку, подтвердив, что мы не собираем, не храним и не отслеживаем ваши данные о подключении, а также не ведем учет вашей онлайн-активности.

Мы всегда считали, что защита конфиденциальности не должна быть просто обещанием, написанным на веб-странице. Вот почему мы прошли независимую проверку, чтобы подтвердить нашу Политику отсутствия логов. Читайте дальше — мы рады поделиться с вами подробностями.

Ключевые моменты из отчета о гарантии

Мы поручили одной из Большой четверки бухгалтерских фирм в Сингапуре провести независимую проверку заявлений в Политике конфиденциальности X-VPN, касающихся обработки пользовательских данных, а также соответствующих практик, поддерживающих эти заявления. Бухгалтерская фирма Большой четверки выполнила эту проверку в соответствии с Международным стандартом по обеспечению (ISAE) 3000 (Пересмотренным). 

В результате запросов к соответствующим сотрудникам и анализа конфигурации ИТ-системы X-VPN и поддерживающих ИТ-операций, данное независимое подтверждение подтвердило следующие ключевые моменты:

• Мы не собираем, не храним и не регистрируем никаких данных о трафике, включая IP-адреса пользователей или назначения, активность в интернете, посещенные веб-сайты, информацию о VPN-серверах, DNS-запросы, загруженный контент или временные метки соединений.
• Мы обрабатываем только минимальную информацию об учетной записи и выставлении счетов, необходимую для предоставления услуги: адрес электронной почты, предоставленный пользователем (не требуется подтверждение), пароль, хранящийся в виде соленых односторонних хешей (например, bcrypt), идентификатор заказа и история заказов. Для создания или использования учетной записи не требуется дополнительная личная информация.
• Мы собираем только агрегированные, неидентифицируемые показатели производительности (например, использование ЦП, потребление памяти и доступность сервиса) и не собираем личную идентифицируемую информацию.
• Журналирование пользовательского трафика и активности отключено по умолчанию: выводы системы и сервиса перенаправляются в нулевой источник (/dev/null), и установлены меры для предотвращения генерации или хранения журналов в производственных средах.
• Все VPN-серверы работают исключительно в режиме только оперативной памяти, что означает, что все данные существуют только в энергозависимой памяти и никогда не записываются или не кэшируются на каком-либо физическом носителе. Когда сервер выключается, перезагружается или повторно разворачивается, все данные в памяти мгновенно и навсегда стираются, обеспечивая истинную и проверяемую среду без логов.
• Серверы производства развертываются и управляются через предопределенную автоматизированную систему (THA), которая обеспечивает и постоянно проверяет базовую конфигурацию без ведения журналов в производственных средах.
• Все изменения кода управляются через CI/CD конвейер с контролем версий, подлежат многоуровневому обзору и автоматизированному сканированию безопасности, предназначенному для проверки контроля, связанного с конфиденциальностью.
• Доступ к базе данных защищен с помощью зашифрованной передачи (современный TLS) и через взаимную аутентификацию и белый список IP с постоянным мониторингом.
• Политика конфиденциальности поддерживается для точного отражения операций системы и практик обработки данных, а процессы проверки, обновления и публикации являются отслеживаемыми и проверяемыми.
• Группа DPO работает с независимостью и отслеживаемостью, обеспечивая постоянный контроль за управлением конфиденциальностью в соответствии с принципами отсутствия логов.

На основе проведенных процедур и полученных доказательств, четыре крупнейшие аудиторские фирмы подтвердили наше соблюдение Политики отсутствия логов.

Было выявлено два наблюдения в ходе проведенных процедур. Однако эти наблюдения не изменили выводы аудита и были быстро устранены. Пользователи, желающие узнать больше, могут обратиться к соответствующим разделам полного отчета.

Из-за технического характера отчета и соответствующих требований к раскрытию информации мы не можем публично делиться отрывками из отчета. Однако пользователи могут получить доступ к полному отчету, войдя в свою учетную запись X-VPN.

Что это значит для пользователей X-VPN

Это независимое подтверждение демонстрирует, что заявления X-VPN относительно обработки пользовательских данных были проверены независимой третьей стороной на основе конфигураций системы, операционных процедур и поддерживающих контролей. 

Когда вы используете X-VPN, мы не сохраняем записи о вашей активности, которые могут быть использованы для восстановления того, как вы используете сервис, идентификации вашего онлайн-поведения или раскрытия информации, которая может быть связана с вашей личной идентичностью. Это может дать вам больше уверенности в том, что ваша конфиденциальность защищена во время использования нашего сервиса.

Почему независимая проверка имеет значение

Мы действительно верим, что доверие пользователей должно основываться на принципах прозрачности и подотчетности.

Это независимая проверка третьей стороной помогает нам более строго продемонстрировать, как мы реализуем эти принципы в нашем проектировании систем, операционных процессах и механизмах управления. Дело не только в тестировании наших собственных стандартов, но и в том, как мы реагируем на давние ожидания наших пользователей в отношении защиты конфиденциальности.

Другими словами, мы стремимся обеспечить, чтобы все наши пользователи чувствовали, что их доверие действительно ценится, а их конфиденциальность эффективно защищена благодаря более прозрачному, строгому и проверяемому подходу. Мы твердо верим, что доверие, конфиденциальность и безопасность не должны быть дополнительными опциями, доступными лишь для избранных пользователей, а должны быть основными гарантиями, которые каждый пользователь должен получать при использовании VPN-сервиса.

Этап, а не финишная прямая

Это независимое подтверждение является важной вехой для X-VPN — но это не конечная цель. Доверие не строится на одном единственном подтверждении, и защита конфиденциальности не заканчивается с завершением одного проекта. Это должно отражаться в том, как мы развиваем управление, решаем проблемы и демонстрируем пользователям, что эти обязательства последовательно выполняются на каждом шаге, который делает X-VPN.

Смотря в будущее, X-VPN продолжит развивать соблюдение норм и управление безопасностью. По мере того как эти усилия будут развиваться, мы постепенно расширим наш кругозор, чтобы включить дополнительные аудиты и публично делиться результатами аудитов, где это уместно. Мы также продолжим учитывать давние проблемы, поднятые пользователями и общественностью, в наши рамки управления и раскрытия информации, отвечая прозрачной коммуникацией и значительными улучшениями.

Мы надеемся, что пользователи увидят не просто один результат аудита, а X-VPN, который продолжает заслуживать доверие через действия.