Aktualizacja 19 września 2025: Ten artykuł został zaktualizowany, aby uwzględnić najnowszy audyt naszej polityki braku przechowywania logów przeprowadzony przez Securitum. Linki do wszystkich audytów naszej polityki braku przechowywania logów zostały dołączone.

Z przyjemnością ogłaszamy, że Proton VPN pomyślnie przeszedł czwarty z rzędu coroczny audyt zewnętrzny naszej infrastruktury, który potwierdza naszą ścisłą politykę braku przechowywania logów. Kiedy mówimy, że jesteśmy VPN-em bez logów, nie jest to tylko twierdzenie: zostało to dwukrotnie sprawdzone przez niezależnych ekspertów.

Jako organizacja założona przez naukowców, którzy spotkali się w CERN, wierzymy w recenzje naukowe (peer review) i przejrzystość. Dlatego też udostępniamy wszystkie nasze aplikacje jako open source, aby każdy mógł sprawdzić nasz kod.

Oczywiście rozumiemy, że nie każdy ma czas lub umiejętności, aby samodzielnie sprawdzać kod. Dlatego oprócz naszych audytów wewnętrznych regularnie poddajemy nasze aplikacje audytom bezpieczeństwa przeprowadzanym przez strony trzecie(nowe okno) i upubliczniamy wyniki. W ten sposób każdy może poznać opinię niezależnego eksperta na temat bezpieczeństwa naszych aplikacji.

W najnowszym audycie bezpieczeństwa wszystkich aplikacji Proton(nowe okno), eksperci ds. bezpieczeństwa z Securitum(nowe okno), wiodącej europejskiej firmy audytorskiej nadzorującej ponad 300 projektów testów bezpieczeństwa rocznie dla dużych korporacji i banków, nie wykryli żadnych znaczących problemów z bezpieczeństwem. Pokazuje to, że wewnętrzne audyty i kultura bezpiecznego tworzenia oprogramowania w Proton są skuteczne. A ponieważ kod naszych aplikacji jest całkowicie open source, nasze bezpieczeństwo jest wzmacniane przez nasz program premii za wykrycie błędów(nowe okno), który gromadzi ekspertów ds. bezpieczeństwa z całego świata w celu sprawdzania naszych aplikacji.

Jednak w przypadku usługi VPN ważne jest również zweryfikowanie tego, co dzieje się po stronie serwera, a nie tylko po stronie aplikacji.

Dlaczego weryfikacja polityki braku logów VPN jest ważna

Kiedy łączysz się z VPN, staje się on w praktyce Twoim dostawcą internetu, co oznacza, że każdy dostawca VPN jest technicznie zdolny do śledzenia i logowania tego, co robisz online. Podczas gdy wiele VPN-ów twierdzi, że ma politykę braku logów, polityki te nie zawsze wytrzymują próbę weryfikacji.

Ścisła polityka braku przechowywania logów Proton VPN została przetestowana w sprawie sądowej w 2019 roku. Nakazano nam przekazanie logów w celu zidentyfikowania użytkownika, ale nie mogliśmy tego zrobić, ponieważ te logi nie istniały. Szwajcarska jurysdykcja Proton VPN zapewnia również dodatkowe korzyści dla usług VPN. Na przykład w ramach obecnych szwajcarskich ram prawnych Proton VPN nie ma żadnych wymogów dotyczących logowania. Istnieje jednak możliwość, że nieprawidłowa konfiguracja serwera lub wadliwa architektura systemu mogą spowodować przypadkowe przechowywanie logów.

Aby temu zaradzić, poprosiliśmy Securitum o przeprowadzanie regularnych, dokładnych kontroli naszej infrastruktury i operacji po stronie serwera. Każdego roku eksperci ds. bezpieczeństwa Securitum spędzali kilka dni na miejscu, przeglądając nasze pliki konfiguracyjne VPN i konfiguracje serwerów, oceniając nasze procedury operacyjne i przeprowadzając wywiady z naszym personelem. Ich coroczne audyty są obszerne i sprawdzają następujące kwestie:

  • Czy aktywność użytkownika jest śledzona lub logowana na produkcyjnych serwerach VPN, które obsługują ruch użytkowników?
  • Czy metadane połączenia, takie jak zapytania DNS lub znaczniki czasu sesji, są logowane na serwerach VPN?
  • Czy ruch sieciowy użytkownika jest aktywnie sprawdzany lub czy jego zawartość jest logowana na serwerach VPN?
  • Czy monitorowane lub logowane są informacje dotyczące konkretnych usług (np. stron internetowych, zewnętrznych serwerów), z którymi łączy się użytkownik?
  • Czy prowadzone są zbiorcze logi, które korelują dostępne usługi (np. strony internetowe, serwery) z konkretnym używanym serwerem VPN?
  • Czy polityka braku logów jest stosowana jednolicie na wszystkich serwerach, we wszystkich regionach geograficznych i na wszystkich poziomach subskrypcji użytkowników?
  • Czy wdrożony jest zautomatyzowany proces wykrywania i generowania alertów o nieautoryzowanych zmianach konfiguracji, które mogłyby umożliwić logowanie (np. zmiana parametru „log” z false na true)?
  • Czy formalny proces zarządzania zmianą, uwzględniający zasadę podwójnej kontroli (czworga oczu), jest egzekwowany w przypadku wszystkich autoryzowanych zmian w konfiguracjach związanych z logowaniem?
  • Czy aktywne pliki konfiguracyjne podstawowych usług VPN zawierają jakiekolwiek włączone dyrektywy logowania?
  • Czy logowane są informacje, które wiążą konkretnego użytkownika z konkretnym serwerem VPN, z którym jest połączony?

Wynikowe raporty potwierdzają, że nie przechowujemy żadnych logów metadanych, nie logujemy Twojej aktywności VPN i nie angażujemy się w żadne praktyki, które mogłyby zagrozić Twojej prywatności.

Raporty potwierdzają również, że dodawanie przez Proton VPN kolejnych funkcji i funkcjonalności do naszej usługi w żaden sposób nie wpływa na naszą ścisłą politykę braku przechowywania logów. Jak podsumowuje najnowszy raport (2025):

„Przeanalizowane dowody techniczne nie wykazały żadnych przypadków logowania aktywności użytkownika, przechowywania metadanych połączeń ani inspekcji ruchu sieciowego, które byłyby sprzeczne z Polityką braku logów. Ponadto audyt zweryfikował wdrożenie solidnych kontroli administracyjnych i technicznych, w tym zautomatyzowanego zarządzania konfiguracją i formalnego procesu zmian z podwójną kontrolą, które zostały zaprojektowane w celu zapewnienia ciągłej integralności środowiska bez logowania.

Na podstawie tych ustaleń Securitum zaświadcza, że usługa Proton VPN, skonfigurowana w momencie audytu, jest w pełni zgodna ze zobowiązaniami dotyczącymi prywatności określonymi w jej Polityce braku logów”.

Możesz przeczytać najnowszy pełny raport Securitum poniżej:

Zgodnie z zaleceniami Securitum jest to już trzeci z rzędu coroczny audyt naszej polityki braku logów. Możesz również przeczytać nasze poprzednie audyty braku logów przeprowadzone przez Securitum:

Zaufanie dzięki przejrzystości

W Proton wierzymy, że wszystkie twierdzenia powinny być badane i weryfikowane, w tym nasze własne. W przyszłości będziemy nadal przeprowadzać regularne audyty bezpieczeństwa i publikować wyniki, abyś mógł przeczytać raport niezależnego specjalisty ds. bezpieczeństwa, zanim powierzysz nam swoje dane.

Jeśli jesteś badaczem bezpieczeństwa, zapraszamy Cię również do wspierania bezpieczeństwa w Proton poprzez nasz program premii za wykrycie błędów(nowe okno), który oferuje hojne nagrody każdemu, kto zidentyfikuje luki w naszych usługach open source.

Zarejestruj się w Proton VPN(nowe okno), aby uzyskać przejrzysty, w pełni audytowany VPN typu open source bez logów, który szanuje Twoją prywatność