Pembaruan 19 September 2025: Artikel ini telah diperbarui untuk menampilkan audit terbaru kebijakan tanpa log kami oleh Securitum. Tautan ke semua audit kebijakan tanpa log kami disertakan.

Kami dengan senang hati mengumumkan bahwa Proton VPN telah lulus audit pihak ketiga tahunan keempat berturut-turut atas infrastruktur kami yang mengonfirmasi kebijakan tanpa log ketat kami. Ketika kami mengatakan kami adalah VPN tanpa log, itu bukan sekadar klaim: itu telah diperiksa ulang oleh para ahli independen.

Sebagai organisasi yang didirikan oleh para ilmuwan yang bertemu di CERN, kami percaya pada tinjauan sejawat dan transparansi. Ini juga mengapa kami membuat semua aplikasi kami open source sehingga siapa pun dapat memeriksa kode kami.

Tentu saja, kami memahami bahwa tidak semua orang memiliki waktu atau keterampilan untuk memeriksa kode sendiri. Itulah sebabnya, selain audit internal kami, kami secara teratur mengirimkan aplikasi kami ke audit keamanan pihak ketiga(jendela baru) dan mempublikasikan hasilnya. Dengan cara ini, semua orang bisa mendapatkan pendapat ahli independen tentang keamanan aplikasi kami.

Dalam audit keamanan terbaru dari semua aplikasi Proton(jendela baru), para pakar keamanan dari Securitum(jendela baru), perusahaan audit keamanan terkemuka Eropa yang mengawasi lebih dari 300 proyek pengujian keamanan setiap tahun untuk perusahaan besar dan bank, tidak menemukan isu keamanan yang signifikan. Ini menampilkan bahwa audit internal Proton dan budaya pengembangan perangkat lunak yang aman efektif. Dan karena kode aplikasi kami sepenuhnya open source, keamanan kami diperkuat oleh program bug bounty(jendela baru) kami, yang menyatukan para pakar keamanan dari seluruh dunia untuk memeriksa aplikasi kami.

Namun, dengan layanan VPN, penting juga untuk memverifikasi apa yang terjadi di sisi server, dan bukan hanya sisi aplikasi.

Mengapa penting untuk memverifikasi kebijakan tanpa log VPN

Ketika Anda terhubung ke VPN, itu secara efektif menjadi penyedia internet Anda, yang berarti penyedia VPN mana pun secara teknis mampu melacak dan mencatat log apa yang Anda lakukan secara daring. Meskipun banyak VPN mengklaim memiliki kebijakan tanpa log, kebijakan ini tidak selalu bertahan saat diuji.

Kebijakan tanpa log ketat Proton VPN diuji dalam kasus hukum pada 2019. Kami diperintahkan untuk menyerahkan log untuk membantu mengidentifikasi pengguna, tetapi kami tidak dapat mematuhinya karena log ini tidak ada. Yurisdiksi Swiss Proton VPN juga memberikan manfaat tambahan bagi layanan VPN. Misalnya, dalam kerangka hukum Swiss saat ini, Proton VPN tidak memiliki persyaratan pencatatan log apa pun. Namun, masih ada kemungkinan bahwa konfigurasi server yang salah atau arsitektur sistem yang cacat dapat menyebabkan log tersimpan secara tidak sengaja.

Untuk mengatasi ini, kami telah meminta Securitum untuk melakukan pemeriksaan menyeluruh secara berkala terhadap infrastruktur dan operasi sisi server kami. Setiap tahun, pakar keamanan Securitum menghabiskan beberapa hari di lokasi meninjau file konfigurasi VPN dan konfigurasi server kami, menilai prosedur operasi kami, dan mewawancarai staf kami. Audit tahunan mereka sangat luas dan memeriksa hal-hal berikut:

  • Apakah aktivitas pengguna dilacak atau dicatat di server VPN produksi yang menangani lalu lintas pengguna?
  • Apakah metadata koneksi, seperti kueri DNS atau stempel waktu sesi, dicatat di server VPN?
  • Apakah lalu lintas jaringan pengguna diperiksa secara aktif, atau apakah kontennya dicatat di server VPN?
  • Apakah informasi dipantau atau dicatat mengenai layanan tertentu (misalnya, situs web, server eksternal) yang terhubung dengan pengguna?
  • Apakah log agregat dipelihara yang menghubungkan layanan yang diakses (misalnya, situs web, server) dengan server VPN tertentu yang digunakan?
  • Apakah kebijakan Tanpa Log diterapkan secara seragam di semua server, di semua wilayah geografis, dan ke semua tingkatan langganan pengguna?
  • Apakah proses otomatis tersedia untuk mendeteksi dan menghasilkan peringatan untuk perubahan konfigurasi yang tidak sah yang dapat mengaktifkan pencatatan log (misalnya, mengubah parameter “log” dari false menjadi true)?
  • Apakah proses Manajemen Perubahan formal, yang menggabungkan prinsip kontrol ganda (empat mata), diberlakukan untuk semua perubahan resmi pada konfigurasi terkait pencatatan log?
  • Apakah file konfigurasi aktif untuk layanan VPN inti berisi arahan pencatatan log yang diaktifkan?
  • Apakah informasi dicatat yang mengasosiasikan pengguna tertentu dengan server VPN tertentu yang terhubung dengan mereka?

Laporan yang dihasilkan mengonfirmasi bahwa kami tidak menyimpan log metadata apa pun, tidak mencatat aktivitas VPN Anda, dan tidak terlibat dalam praktik apa pun yang mungkin mengompromikan privasi Anda.

Laporan tersebut juga mengonfirmasi bahwa saat Proton VPN menambahkan lebih banyak fitur dan fungsionalitas ke layanan kami, ini sama sekali tidak memengaruhi kebijakan tanpa log ketat kami. Sebagaimana kesimpulan laporan terbaru (2025):

“Bukti teknis yang ditinjau tidak menunjukkan contoh pencatatan aktivitas pengguna, penyimpanan metadata koneksi, atau inspeksi lalu lintas jaringan yang akan bertentangan dengan kebijakan Tanpa Log. Selanjutnya, audit memverifikasi penerapan kontrol administratif dan teknis yang kuat, termasuk manajemen konfigurasi otomatis dan proses perubahan kontrol ganda formal, yang dirancang untuk memastikan integritas berkelanjutan dari lingkungan tanpa pencatatan.

Berdasarkan temuan ini, Securitum membuktikan bahwa layanan Proton VPN, sebagaimana dikonfigurasi pada saat audit, sepenuhnya mematuhi komitmen privasi yang diuraikan dalam kebijakan Tanpa Log-nya”.

Anda dapat membaca laporan lengkap terbaru dari Securitum di bawah ini:

Sejalan dengan rekomendasi Securitum, ini sekarang merupakan audit tahunan ketiga berturut-turut dari kebijakan tanpa log kami. Anda juga dapat membaca audit tanpa log kami sebelumnya oleh Securitum:

Kepercayaan melalui transparansi

Di Proton, kami percaya bahwa semua klaim harus diselidiki dan diverifikasi, termasuk klaim kami sendiri. Ke depannya, kami akan terus melakukan audit keamanan reguler dan mempublikasikan hasilnya sehingga Anda dapat membaca laporan profesional keamanan independen sebelum Anda memercayakan data Anda kepada kami.

Jika Anda seorang peneliti keamanan, kami juga mengundang Anda untuk mendukung keamanan di Proton melalui program bug bounty(jendela baru) kami yang menawarkan hadiah besar kepada siapa pun yang dapat mengidentifikasi kerentanan dalam layanan open-source kami.

Daftar untuk Proton VPN(jendela baru) untuk mendapatkan VPN tanpa log yang transparan, open-source, dan diaudit sepenuhnya yang menghormati privasi Anda