Catatan editor: Artikel ini telah diperbarui untuk menampilkan audit terbaru dari kebijakan tanpa log kami oleh Securitum. Tautan ke semua audit kebijakan tanpa log kami juga disertakan.
Dengan senang hati diumumkan bahwa Proton VPN telah lolos audit pihak ketiga tahunan yang kelima secara berturut-turut atas infrastruktur kami yang mengonfirmasi kebijakan tanpa log kami yang ketat. Pernyataan kami sebagai VPN tanpa log bukanlah sekadar klaim: hal ini telah diperiksa ulang oleh para ahli independen.
Banyak kompetitor kami yang belum pernah diaudit secara independen atau melakukan trik tipuan, dengan mengaudit kebijakan privasi mereka alih-alih infrastruktur tanpa log yang sebenarnya. Dan bahkan ketika klaim tanpa log mereka telah diverifikasi secara independen melalui audit, banyak yang tidak mempublikasikan hasilnya, mengharuskan penandatanganan perjanjian kerahasiaan untuk mengaksesnya, hanya menyediakannya bagi pelanggan berbayar, atau menyulitkan laporan tersebut untuk dibaca.
Sebaliknya, Proton VPN secara terbuka memublikasikan laporan tanpa log lengkap agar dapat dibaca oleh siapa saja. Sebagai organisasi yang didirikan oleh para ilmuwan yang bertemu di CERN, kami meyakini pentingnya peninjauan sejawat (peer review) dan transparansi. Ini juga menjadi alasan kami menjadikan semua aplikasi kami open source sehingga siapa saja dapat memeriksa kode kami.
Tentu saja, kami memahami bahwa tidak semua orang memiliki waktu atau keterampilan untuk memeriksa kode sendiri. Itulah sebabnya, selain audit internal kami, kami secara teratur mengirimkan aplikasi kami ke audit keamanan pihak ketiga(jendela baru) dan mempublikasikan hasilnya. Dengan cara ini, semua orang bisa mendapatkan pendapat ahli independen tentang keamanan aplikasi kami.
Dalam audit keamanan terbaru dari semua aplikasi Proton(jendela baru), para ahli keamanan dari Securitum(jendela baru), perusahaan audit keamanan terkemuka di Eropa yang mengawasi lebih dari 300 proyek pengujian keamanan setiap tahun untuk korporasi dan bank besar, tidak menemukan masalah keamanan yang signifikan. Hal ini menunjukkan bahwa audit internal Proton dan budaya pengembangan perangkat lunak yang aman berjalan dengan efektif. Dan karena kode aplikasi kami sepenuhnya bersifat open source, keamanan kami diperkuat oleh program bug bounty(jendela baru) kami, yang mempertemukan para ahli keamanan dari seluruh dunia untuk memeriksa aplikasi kami.
Namun, dengan layanan VPN, penting juga untuk memverifikasi apa yang terjadi di sisi server, dan bukan hanya sisi aplikasi.
Mengapa penting untuk memverifikasi kebijakan tanpa log VPN
Ketika Anda terhubung ke VPN, itu secara efektif menjadi penyedia internet Anda, yang berarti penyedia VPN mana pun secara teknis mampu melacak dan mencatat log apa yang Anda lakukan secara daring. Meskipun banyak VPN mengklaim memiliki kebijakan tanpa log, kebijakan ini tidak selalu bertahan saat diuji.
Kebijakan tanpa log Proton VPN yang ketat telah diuji dalam lebih dari 400 kasus hukum sejauh ini. Kami pernah diperintahkan untuk menyerahkan log guna membantu mengidentifikasi pengguna kami, tetapi kami tidak dapat mematuhinya karena log tersebut memang tidak ada.
Yurisdiksi Swiss Proton VPN juga memberikan manfaat tambahan bagi layanan VPN. Sebagai contoh, dalam kerangka hukum Swiss saat ini, Proton VPN tidak memiliki persyaratan pencatatan log apa pun. Namun, masih ada kemungkinan bahwa konfigurasi server yang salah atau arsitektur sistem yang cacat dapat menyebabkan log tersimpan secara tidak sengaja.
Untuk mengatasi hal ini, kami telah meminta Securitum untuk melakukan pemeriksaan menyeluruh secara berkala terhadap infrastruktur dan operasi sisi server kami. Setiap tahun, para ahli keamanan Securitum menghabiskan beberapa hari di lokasi untuk meninjau file konfigurasi VPN dan konfigurasi server kami, menilai prosedur operasi kami, dan mewawancarai staf kami. Audit tahunan mereka sangat ekstensif dan memeriksa hal-hal berikut:
- Apakah aktivitas pengguna dilacak atau dicatat di server VPN produksi yang menangani lalu lintas pengguna?
- Apakah metadata koneksi, seperti kueri DNS atau stempel waktu sesi, dicatat di server VPN?
- Apakah lalu lintas jaringan pengguna diperiksa secara aktif, atau apakah kontennya dicatat di server VPN?
- Apakah informasi dipantau atau dicatat mengenai layanan tertentu (misalnya, situs web, server eksternal) yang terhubung dengan pengguna?
- Apakah log agregat dipelihara yang menghubungkan layanan yang diakses (misalnya, situs web, server) dengan server VPN tertentu yang digunakan?
- Apakah kebijakan tanpa log diterapkan secara seragam di semua server, di semua wilayah geografis, dan untuk semua tingkat langganan pengguna?
- Apakah ada proses otomatis untuk mendeteksi dan menghasilkan peringatan jika terjadi perubahan konfigurasi yang tidak sah yang dapat mengaktifkan pencatatan log (misalnya, mengubah parameter “log” dari false menjadi true)?
- Apakah proses manajemen perubahan formal, yang menggabungkan prinsip kontrol ganda (four-eyes principle), diberlakukan untuk semua perubahan resmi pada konfigurasi yang terkait dengan pencatatan log?
- Apakah file konfigurasi aktif untuk layanan VPN inti berisi arahan pencatatan log yang diaktifkan?
- Apakah informasi dicatat yang mengasosiasikan pengguna tertentu dengan server VPN tertentu yang terhubung dengan mereka?
Laporan yang dihasilkan mengonfirmasi bahwa kami tidak menyimpan log metadata apa pun, tidak mencatat aktivitas VPN, dan tidak terlibat dalam praktik apa pun yang dapat mengompromikan privasi. Laporan tersebut juga mengonfirmasi bahwa penambahan lebih banyak fitur dan fungsionalitas ke dalam layanan Proton VPN sama sekali tidak memengaruhi kebijakan tanpa log kami yang ketat. Sebagaimana kesimpulan dari laporan terbaru (2026):
“Bukti teknis yang ditinjau selama keterlibatan tersebut tidak menunjukkan bahwa infrastruktur server Proton VPN yang diperiksa mencatat aktivitas penjelajahan pengguna, kueri DNS, layanan tujuan, konten lalu lintas jaringan, atau metadata koneksi yang dapat mengidentifikasi pengguna. Securitum juga tidak mengidentifikasi catatan persisten yang memungkinkan Proton untuk mengaitkan pengguna tertentu dengan aktivitas yang dilakukan melalui server VPN yang ditinjau.”
Anda dapat membaca laporan lengkap terbaru dari Securitum di bawah ini:
Sejalan dengan rekomendasi Securitum, ini merupakan audit tahunan kelima secara berturut-turut untuk kebijakan tanpa log kami. Audit tanpa log kami yang lalu oleh Securitum juga dapat dibaca:
- Audit tanpa log Proton VPN 2025(jendela baru)
- Audit tanpa log Proton VPN 2024(jendela baru)
- Audit tanpa log Proton VPN 2023(jendela baru)
- Audit tanpa log Proton VPN 2022(jendela baru)
Kepercayaan melalui transparansi
Di Proton, kami percaya bahwa semua klaim harus diselidiki dan diverifikasi, termasuk klaim kami sendiri. Ke depannya, kami akan terus melakukan audit keamanan reguler dan mempublikasikan hasilnya sehingga Anda dapat membaca laporan profesional keamanan independen sebelum Anda memercayakan data Anda kepada kami.
Jika Anda seorang peneliti keamanan, kami juga mengundang Anda untuk mendukung keamanan di Proton melalui program bug bounty(jendela baru) kami yang menawarkan hadiah besar kepada siapa pun yang dapat mengidentifikasi kerentanan dalam layanan open-source kami.
Daftar untuk Proton VPN(jendela baru) untuk mendapatkan VPN tanpa log yang transparan, open-source, dan diaudit sepenuhnya yang menghormati privasi Anda






