Coroczny zewnętrzny audyt polityki braku przechowywania logów Proton VPN

Aktualizacja 19 września 2025: Ten artykuł został zaktualizowany, aby uwzględnić najnowszy audyt naszej polityki braku przechowywania logów przeprowadzony przez Securitum. Dołączono linki do wszystkich naszych audytów polityki braku przechowywania logów.

Z przyjemnością ogłaszamy, że Proton VPN przeszedł czwarty z rzędu coroczny audyt zewnętrzny naszej infrastruktury, który potwierdza naszą restrykcyjną politykę braku przechowywania logów. Kiedy mówimy, że jesteśmy VPN-em bez logów, to nie jest tylko deklaracja: zostało to podwójnie sprawdzone przez niezależnych ekspertów.

Jako organizacja założona przez naukowców, którzy poznali się w CERN, wierzymy w wzajemną weryfikację (peer review) i przejrzystość. Dlatego też udostępniamy kod źródłowy wszystkich naszych aplikacji (open source), aby każdy mógł go zbadać.

Oczywiście rozumiemy, że nie każdy ma czas lub umiejętności, aby samodzielnie sprawdzić kod. Dlatego, oprócz naszych wewnętrznych audytów, regularnie poddajemy nasze aplikacje niezależnym audytom bezpieczeństwa(nowe okno) i upubliczniamy ich wyniki. W ten sposób każdy może poznać opinię niezależnego eksperta na temat bezpieczeństwa naszych aplikacji.

W najnowszym audycie bezpieczeństwa wszystkich aplikacji Proton(nowe okno) eksperci ds. bezpieczeństwa z Securitum(nowe okno), wiodącej europejskiej firmy audytorskiej nadzorującej ponad 300 projektów testów bezpieczeństwa rocznie dla dużych korporacji i banków, nie wykryli żadnych istotnych problemów z bezpieczeństwem. Pokazuje to, że wewnętrzne audyty Proton i kultura bezpiecznego tworzenia oprogramowania są skuteczne. A ponieważ kod naszych aplikacji jest w całości otwarty, nasze bezpieczeństwo jest wzmocnione przez nasz program premii za wykrycie błędów(nowe okno) (bug bounty), który gromadzi ekspertów ds. bezpieczeństwa z całego świata w celu sprawdzania naszych aplikacji.

Jednak w przypadku usługi VPN ważne jest również zweryfikowanie tego, co dzieje się po stronie serwera, a nie tylko po stronie aplikacji.

Dlaczego weryfikacja polityki braku przechowywania logów przez VPN jest ważna

Kiedy łączysz się z VPN, staje się on w praktyce Twoim dostawcą Internetu, co oznacza, że każdy dostawca VPN jest technicznie zdolny do śledzenia i logowania tego, co robisz online. Podczas gdy wiele sieci VPN twierdzi, że stosuje politykę braku przechowywania logów, zasady te nie zawsze wytrzymują próbę sprawdzenia.

Restrykcyjna polityka braku przechowywania logów Proton VPN została przetestowana w sprawie sądowej w 2019 roku. Nakazano nam przekazanie logów, aby pomóc zidentyfikować użytkownika, ale nie mogliśmy spełnić tego żądania, ponieważ te logi nie istniały. Szwajcarska jurysdykcja Proton VPN zapewnia również dodatkowe korzyści dla usług VPN. Na przykład, w obecnych szwajcarskich ramach prawnych Proton VPN nie ma żadnych wymogów dotyczących przechowywania logów. Istnieje jednak możliwość, że nieprawidłowa konfiguracja serwera lub wadliwa architektura systemu mogą spowodować przypadkowe przechowywanie logów.

Aby temu zaradzić, poprosiliśmy Securitum o przeprowadzenie regularnych, dokładnych badań naszej infrastruktury i operacji po stronie serwera. Każdego roku eksperci ds. bezpieczeństwa Securitum spędzali kilka dni na miejscu, przeglądając nasze pliki konfiguracyjne VPN i konfiguracje serwerów, oceniając nasze procedury operacyjne i przeprowadzając wywiady z naszym personelem. Ich coroczne audyty są obszerne i sprawdzają następujące kwestie:

• Czy aktywność użytkownika jest śledzona lub logowana na produkcyjnych serwerach VPN obsługujących ruch użytkowników?
• Czy metadane połączenia, takie jak zapytania DNS lub znaczniki czasu sesji, są logowane na serwerach VPN?
• Czy ruch sieciowy użytkownika jest aktywnie sprawdzany lub czy jego zawartość jest logowana na serwerach VPN?
• Czy monitorowane lub logowane są informacje dotyczące konkretnych usług (np. stron internetowych, serwerów zewnętrznych), z którymi łączy się użytkownik?
• Czy prowadzone są zbiorcze logi korelujące odwiedzane usługi (np. strony internetowe, serwery) z konkretnym użytym serwerem VPN?
• Czy polityka braku przechowywania logów jest stosowana jednolicie na wszystkich serwerach, we wszystkich regionach geograficznych i na wszystkich poziomach subskrypcji użytkowników?
• Czy wdrożono zautomatyzowany proces wykrywania i generowania alertów o nieautoryzowanych zmianach konfiguracji, które mogłyby umożliwić logowanie (np. zmiana parametru „log” z false na true)?
• Czy formalny proces zarządzania zmianą, uwzględniający zasadę podwójnej kontroli (czterech oczu), jest egzekwowany dla wszystkich autoryzowanych zmian w konfiguracjach związanych z logowaniem?
• Czy aktywne pliki konfiguracyjne podstawowych usług VPN zawierają jakiekolwiek włączone dyrektywy logowania?
• Czy logowane są informacje wiążące konkretnego użytkownika z konkretnym serwerem VPN, z którym jest połączony?

Wynikowe raporty potwierdzają, że nie przechowujemy żadnych logów metadanych, nie logujemy Twojej aktywności VPN i nie angażujemy się w żadne praktyki, które mogłyby zagrozić Twojej prywatności.

Raporty potwierdzają również, że w miarę jak Proton VPN dodaje więcej funkcji i funkcjonalności do naszej usługi, nie wpływa to w żaden sposób na naszą restrykcyjną politykę braku przechowywania logów. Jak podsumowuje najnowszy raport (2025):

„Przeanalizowane dowody techniczne nie wykazały żadnych przypadków logowania aktywności użytkowników, przechowywania metadanych połączeń ani inspekcji ruchu sieciowego, które byłyby sprzeczne z polityką braku przechowywania logów. Ponadto audyt zweryfikował wdrożenie solidnych kontroli administracyjnych i technicznych, w tym zautomatyzowanego zarządzania konfiguracją i formalnego procesu zmiany z podwójną kontrolą, które mają na celu zapewnienie ciągłej integralności środowiska bez logowania.

Na podstawie tych ustaleń Securitum zaświadcza, że usługa Proton VPN, skonfigurowana w momencie audytu, jest w pełni zgodna z zobowiązaniami dotyczącymi prywatności określonymi w jej polityce braku przechowywania logów”.

Możesz przeczytać najnowszy pełny raport od Securitum poniżej:

• Audyt bezpieczeństwa polityki braku logów Proton VPN 2025(nowe okno)(nowe okno)

Zgodnie z zaleceniami Securitum jest to już trzeci z rzędu coroczny audyt naszej polityki braku przechowywania logów. Możesz również przeczytać nasze poprzednie audyty braku logów przeprowadzone przez Securitum:

• Audyt bezpieczeństwa polityki braku logów Proton VPN 2024(nowe okno)
• Audyt bezpieczeństwa polityki braku logów Proton VPN 2023(nowe okno)
• Audyt bezpieczeństwa polityki braku logów Proton VPN 2022(nowe okno)

Zaufanie dzięki przejrzystości

W Proton wierzymy, że wszystkie twierdzenia powinny być zbadane i zweryfikowane, w tym nasze własne. W przyszłości będziemy nadal przeprowadzać regularne audyty bezpieczeństwa i publikować ich wyniki, abyś mógł przeczytać raport niezależnego specjalisty ds. bezpieczeństwa, zanim powierzysz nam swoje dane.

Jeśli jesteś badaczem bezpieczeństwa, zapraszamy Cię również do wspierania bezpieczeństwa w Proton poprzez nasz program premii za wykrycie błędów(nowe okno) (bug bounty), który oferuje hojne nagrody każdemu, kto zidentyfikuje luki w naszych usługach open-source.

Zarejestruj się w Proton VPN(nowe okno), aby uzyskać przejrzystą usługę VPN typu open-source, w pełni zbadaną pod kątem braku przechowywania logów, która szanuje Twoją prywatność