Обновление 19 сентября 2025 года: Эта статья была обновлена, чтобы представить функцию последней проверки нашей политики отсутствия журналов активности компанией Securitum. Ссылки на все аудиты нашей политики отсутствия журналов активности включены.

Мы рады сообщить, что Proton VPN прошел четвертый ежегодный сторонний аудит нашей инфраструктуры, который подтверждает нашу строгую политику отсутствия журналов активности. Когда мы говорим, что мы VPN без логов, это не просто заявление: это было дважды проверено независимыми экспертами.

Как организация, основанная учеными, которые встретились в CERN, мы верим в экспертную оценку и прозрачность. Это также причина, по которой мы делаем все наши приложения с открытым исходным кодом, чтобы любой мог проверить наш код.

Конечно, мы понимаем, что не у всех есть время или навыки для проверки кода самостоятельно. Вот почему, помимо наших внутренних аудитов, мы регулярно отправляем наши приложения на сторонние аудиты безопасности(новое окно) и публикуем результаты. Таким образом, каждый может получить независимое экспертное мнение о безопасности наших приложений.

В ходе недавнего аудита безопасности всех приложений Proton(новое окно) эксперты по безопасности из Securitum(новое окно), ведущей европейской компании по аудиту безопасности, которая ежегодно курирует более 300 проектов по тестированию безопасности для крупных корпораций и банков, не выявили никаких существенных проблем с безопасностью. Это показывает, что внутренние аудиты Proton и культура разработки безопасного программного обеспечения эффективны. И поскольку код наших приложений полностью с открытым исходным кодом, наша безопасность подкрепляется нашей программой отлова ошибок(новое окно), которая объединяет экспертов по безопасности со всего мира для проверки наших приложений.

Однако с сервисом VPN также важно проверять, что происходит на стороне сервера, а не только на стороне приложения.

Почему важно проверять политику отсутствия журналов активности VPN

Когда вы подключаетесь к VPN, он фактически становится вашим интернет-провайдером, что означает, что любой VPN-провайдер технически способен отслеживать и вести журналы того, что вы делаете онлайн. Хотя многие VPN утверждают, что у них есть политики отсутствия журналов активности, эти политики не всегда выдерживают проверку.

Строгая политика отсутствия журналов активности Proton VPN была проверена в судебном деле в 2019 году. Нам было предписано передать журналы, чтобы помочь идентифицировать пользователя, но мы не смогли выполнить это требование, потому что этих журналов не существовало. Швейцарская юрисдикция Proton VPN также предоставляет дополнительные преимущества для сервисов VPN. Например, в рамках действующей правовой базы Швейцарии у Proton VPN нет никаких требований к ведению журналов. Однако остается вероятность того, что неправильная конфигурация сервера или ошибочная архитектура системы могут привести к случайному сохранению журналов.

Чтобы решить эту проблему, мы попросили Securitum проводить регулярные тщательные проверки нашей инфраструктуры и операций на стороне сервера. Каждый год эксперты по безопасности Securitum проводят несколько дней на месте, проверяя наши файлы конфигурации VPN и конфигурации серверов, оценивая наши рабочие процедуры и опрашивая наш персонал. Их ежегодные аудиты обширны и проверяют следующее:

  • Отслеживается или заносится ли в журнал активность пользователя на производственных серверах VPN, которые обрабатывают трафик пользователей?
  • Заносятся ли в журнал на серверах VPN метаданные подключения, такие как запросы DNS или временные метки сеансов?
  • Активно ли проверяется сетевой трафик пользователя или его содержимое заносится в журнал на серверах VPN?
  • Отслеживается или заносится ли в журнал информация о конкретных сервисах (например, веб-сайтах, внешних серверах), к которым пользователь подключается?
  • Ведутся ли совокупные журналы, которые соотносят сервисы, к которым был получен доступ (например, веб-сайты, серверы), с конкретным использованным сервером VPN?
  • Применяется ли политика отсутствия журналов активности единообразно ко всем серверам, во всех географических регионах и ко всем уровням подписки пользователей?
  • Существует ли автоматизированный процесс для обнаружения и генерации предупреждений о несанкционированных изменениях конфигурации, которые могут включить ведение журнала (например, изменение параметра «log» с false на true)?
  • Соблюдается ли формальный процесс управления изменениями, включающий принцип двойного контроля (четырех глаз), для всех авторизованных изменений конфигураций, связанных с ведением журналов?
  • Содержат ли активные файлы конфигурации для основных сервисов VPN какие-либо включенные директивы ведения журналов?
  • Заносится ли в журнал информация, связывающая конкретного пользователя с конкретным сервером VPN, к которому он подключен?

Полученные отчеты подтверждают, что мы не храним никаких журналов метаданных, не ведем журнал вашей активности в VPN и не занимаемся никакими действиями, которые могут раскрыть вашу конфиденциальность.

Отчеты также подтверждают, что по мере того, как Proton VPN добавляет больше функций и возможностей в наш сервис, это никоим образом не влияет на нашу строгую политику отсутствия журналов активности. Как говорится в заключении последнего отчета (2025 год):

«Рассмотренные технические доказательства показали отсутствие случаев ведения журнала активности пользователей, хранения метаданных подключения или проверки сетевого трафика, что противоречило бы политике отсутствия журналов активности. Кроме того, аудит подтвердил внедрение надежных административных и технических средств контроля, включая автоматизированное управление конфигурациями и формальный процесс изменений с двойным контролем, которые предназначены для обеспечения непрерывной целостности среды без ведения журналов.

Основываясь на этих выводах, Securitum подтверждает, что сервис Proton VPN в конфигурации на момент аудита полностью соответствует обязательствам по обеспечению конфиденциальности, изложенным в его политике отсутствия журналов активности».

Вы можете прочитать последний полный отчет от Securitum ниже:

В соответствии с рекомендациями Securitum, это уже третий ежегодный аудит нашей политики отсутствия журналов активности подряд. Вы также можете прочитать наши прошлые аудиты политики отсутствия журналов активности от Securitum:

Доверие через прозрачность

В Proton мы считаем, что все заявления должны расследоваться и проверяться, включая наши собственные. В будущем мы продолжим проводить регулярные аудиты безопасности и публиковать результаты, чтобы вы могли прочитать отчет независимого специалиста по безопасности, прежде чем доверить нам свои данные.

Если вы исследователь безопасности, мы также приглашаем вас оказать поддержку безопасности в Proton через нашу программу отлова ошибок(новое окно), которая предлагает щедрое вознаграждение всем, кто сможет выявить уязвимости в наших сервисах с открытым исходным кодом.

Зарегистрируйтесь в Proton VPN(новое окно), чтобы получить прозрачный, полностью проверенный VPN с открытым исходным кодом и политикой отсутствия журналов активности, который уважает вашу конфиденциальность