Atualização em 19 de setembro de 2025: Este artigo foi atualizado para apresentar a auditoria mais recente de nossa política de inexistência de registros pela Securitum. Links para todas as nossas auditorias da política de inexistência de registros estão incluídos.

Temos o prazer de anunciar que o Proton VPN passou por uma quarta auditoria anual consecutiva de terceiros em nossa infraestrutura, o que confirma nossa rigorosa política de inexistência de registros. Quando dizemos que somos uma VPN sem registros, não é apenas uma afirmação: isso foi verificado duplamente por especialistas independentes.

Como uma organização fundada por cientistas que se conheceram no CERN, acreditamos na revisão por pares e na transparência. É também por isso que tornamos todos os nossos aplicativos de código aberto, para que qualquer pessoa possa examinar nosso código.

Claro, entendemos que nem todos têm tempo ou habilidades para inspecionar o código por conta própria. É por isso que, além de nossas auditorias internas, enviamos regularmente nossos aplicativos para auditorias de segurança de terceiros(nova janela) e tornamos os resultados públicos. Dessa forma, todos podem obter a opinião de um especialista independente sobre a segurança de nossos aplicativos.

Na mais recente auditoria de segurança de todos os aplicativos da Proton(nova janela), especialistas em segurança da Securitum(nova janela), uma empresa líder europeia em auditoria de segurança que supervisiona mais de 300 projetos de testes de segurança todos os anos para grandes corporações e bancos, não descobriram problemas de segurança significativos. Isso mostra que as auditorias internas da Proton e a cultura de desenvolvimento de software seguro são eficazes. E como o código dos aplicativos é totalmente de código aberto, nossa segurança é reforçada pelo nosso programa de recompensas por erros(nova janela), que reúne especialistas em segurança de todo o mundo para verificar nossos aplicativos.

No entanto, com um serviço de VPN, também é importante verificar o que está acontecendo no lado do servidor, e não apenas no lado do aplicativo.

Por que é importante verificar a política de inexistência de registros de uma VPN

Quando você se conecta a uma VPN, ela efetivamente se torna seu provedor de internet, o que significa que qualquer provedor de VPN é tecnicamente capaz de rastrear e registrar o que você faz on-line. Embora muitas VPNs afirmem ter políticas de inexistência de registros, essas políticas nem sempre se sustentam quando postas à prova.

A rigorosa política de inexistência de registros do Proton VPN foi testada em um caso legal em 2019. Recebemos ordem para entregar registros para ajudar a identificar um usuário, mas não pudemos cumprir porque esses registros não existiam. A jurisdição suíça do Proton VPN também confere benefícios adicionais para serviços de VPN. Por exemplo, dentro da atual estrutura legal suíça, o Proton VPN não tem requisitos de registro. No entanto, permanece a possibilidade de que uma configuração incorreta do servidor ou uma arquitetura de sistema falha possa fazer com que registros sejam armazenados acidentalmente.

Para lidar com isso, pedimos à Securitum que realizasse exames minuciosos e regulares de nossa infraestrutura e operações do lado do servidor. A cada ano, especialistas em segurança da Securitum passaram vários dias no local revisando nossos arquivos de configuração de VPN e configurações de servidor, avaliando nossos procedimentos operacionais e entrevistando nossa equipe. Suas auditorias anuais são extensas e verificaram o seguinte:

  • A atividade do usuário é rastreada ou registrada nos servidores VPN de produção que gerenciam o tráfego do usuário?
  • Os metadados de conexão, como consultas DNS ou carimbos de data/hora de sessão, são registrados nos servidores VPN?
  • O tráfego de rede do usuário é inspecionado ativamente ou seu conteúdo é registrado nos servidores VPN?
  • As informações são monitoradas ou registradas em relação aos serviços específicos (por exemplo, sites, servidores externos) aos quais um usuário se conecta?
  • São mantidos registros agregados que correlacionam serviços acessados (por exemplo, sites, servidores) com o servidor VPN específico usado?
  • A política de inexistência de registros é aplicada uniformemente em todos os servidores, em todas as regiões geográficas e em todos os níveis de assinatura de usuários?
  • Existe um processo automatizado para detectar e gerar alertas para alterações de configuração não autorizadas que poderiam ativar o registro (por exemplo, alterar um parâmetro “log” de falso para verdadeiro)?
  • Um processo formal de Gerenciamento de Mudanças, incorporando um princípio de duplo controle (quatro olhos), é aplicado para todas as alterações autorizadas em configurações relacionadas a registros?
  • Os arquivos de configuração ativos para os principais serviços de VPN contêm diretivas de registro ativadas?
  • As informações que associam um usuário específico a um servidor VPN específico ao qual ele está conectado são registradas?

Os relatórios resultantes confirmam que não mantemos nenhum registro de metadados, não registramos sua atividade de VPN e não nos envolvemos em práticas que possam comprometer sua privacidade.

Os relatórios também confirmam que, à medida que o Proton VPN adiciona mais recursos e funcionalidades ao nosso serviço, isso de forma alguma afeta nossa rigorosa política de inexistência de registros. Como conclui o último relatório (2025):

“As evidências técnicas revisadas não mostraram instâncias de registro de atividade do usuário, armazenamento de metadados de conexão ou inspeção de tráfego de rede que contradissessem a política de inexistência de registros. Além disso, a auditoria verificou a implementação de controles administrativos e técnicos robustos, incluindo gerenciamento automatizado de configuração e um processo formal de mudança de controle duplo, que são projetados para garantir a integridade contínua do ambiente sem registros.

Com base nessas descobertas, a Securitum atesta que o serviço Proton VPN, conforme configurado no momento da auditoria, cumpre integralmente os compromissos de privacidade descritos em sua política de inexistência de registros”.

Você pode ler o relatório completo mais recente da Securitum abaixo:

De acordo com as recomendações da Securitum, esta é agora a terceira auditoria anual consecutiva de nossa política de inexistência de registros. Você também pode ler nossas auditorias anteriores de inexistência de registros da Securitum:

Confiança por meio da transparência

Na Proton, acreditamos que todas as afirmações devem ser investigadas e verificadas, inclusive as nossas. Daqui para frente, continuaremos a realizar auditorias de segurança regulares e publicar os resultados para que você possa ler o relatório de um profissional de segurança independente antes de nos confiar seus dados.

Se você é um pesquisador de segurança, também o convidamos a apoiar a segurança na Proton por meio de nosso programa de recompensas por erros(nova janela), que oferece recompensas generosas a qualquer pessoa que possa identificar vulnerabilidades em nossos serviços de código aberto.

Crie uma conta no Proton VPN(nova janela) para obter uma VPN sem registros transparente, de código aberto e totalmente auditada que respeita sua privacidade