Nota do editor: este artigo foi atualizado para apresentar a auditoria mais recente de nossa política de inexistência de registros realizada pela Securitum. Estão incluídos os links para todas as auditorias de nossa política de inexistência de registros.

Temos o prazer de anunciar que o Proton VPN passou por uma quinta auditoria anual consecutiva de terceiros em nossa infraestrutura que confirma nossa rigorosa política de inexistência de registros. Quando dizemos que somos uma VPN sem registros, não é apenas uma alegação: isso foi verificado duas vezes por especialistas independentes.

Muitos de nossos concorrentes nunca foram auditados de forma independente ou fizeram um truque de mágica, auditando sua política de privacidade em vez de sua infraestrutura real de inexistência de registros. E mesmo onde suas alegações de inexistência de registros foram verificadas de forma independente com uma auditoria, muitos não publicam os resultados, exigem que você assine um acordo de confidencialidade para acessá-los, os disponibilizam apenas para clientes pagantes ou de outra forma dificultam a leitura deles.

Por outro lado, o Proton VPN publica abertamente o relatório completo de inexistência de registros para que qualquer pessoa possa lê-lo. Como uma organização fundada por cientistas que se conheceram no CERN, acreditamos na revisão por pares e na transparência. É também por isso que tornamos todos os nossos aplicativos de código aberto, para que qualquer pessoa possa examinar nosso código.

Claro, entendemos que nem todos têm tempo ou habilidades para inspecionar o código por conta própria. É por isso que, além de nossas auditorias internas, enviamos regularmente nossos aplicativos para auditorias de segurança de terceiros(nova janela) e tornamos os resultados públicos. Dessa forma, todos podem obter a opinião de um especialista independente sobre a segurança de nossos aplicativos.

Na mais recente auditoria de segurança de todos os aplicativos do Proton(nova janela), especialistas em segurança da Securitum(nova janela), uma empresa líder europeia em auditoria de segurança que supervisiona mais de 300 projetos de testes de segurança todos os anos para grandes corporações e bancos, não descobriram problemas significativos de segurança. Isso mostra que as auditorias internas do Proton e a cultura de desenvolvimento seguro de software são eficazes. E como o código dos nossos aplicativos é totalmente aberto, nossa segurança é reforçada pelo nosso programa de recompensas por erros(nova janela), que reúne especialistas em segurança de todo o mundo para verificar nossos aplicativos.

No entanto, com um serviço de VPN, também é importante verificar o que está acontecendo no lado do servidor, e não apenas no lado do aplicativo.

Por que é importante verificar a política de inexistência de registros de uma VPN

Quando você se conecta a uma VPN, ela efetivamente se torna seu provedor de internet, o que significa que qualquer provedor de VPN é tecnicamente capaz de rastrear e registrar o que você faz on-line. Embora muitas VPNs afirmem ter políticas de inexistência de registros, essas políticas nem sempre se sustentam quando postas à prova.

A rigorosa política de inexistência de registros do Proton VPN já foi testada em mais de 400 processos judiciais até o momento. Recebemos ordens para entregar registros para ajudar a identificar nossos usuários, mas não pudemos cumprir porque esses registros não existiam.

A jurisdição suíça do Proton VPN também confere benefícios adicionais para serviços de VPN. Por exemplo, dentro do atual marco legal suíço, o Proton VPN não tem requisitos de registro de dados. No entanto, resta a possibilidade de que uma configuração incorreta do servidor ou uma arquitetura de sistema defeituosa possa fazer com que os registros sejam armazenados acidentalmente.

Para resolver isso, pedimos à Securitum para realizar exames minuciosos e regulares de nossa infraestrutura e operações do lado do servidor. A cada ano, especialistas em segurança da Securitum passam vários dias no local revisando nossos arquivos de configuração de VPN e configurações de servidor, avaliando nossos procedimentos operacionais e entrevistando nossa equipe. Suas auditorias anuais são extensas e verificam o seguinte:

  • A atividade do usuário é rastreada ou registrada nos servidores VPN de produção que lidam com o tráfego do usuário?
  • Metadados de conexão, como consultas DNS ou carimbos de data/hora de sessão, são registrados nos servidores VPN?
  • O tráfego de rede do usuário é inspecionado ativamente ou seu conteúdo é registrado nos servidores VPN?
  • Informações são monitoradas ou registradas em relação aos serviços específicos (por exemplo, sites, servidores externos) aos quais um usuário se conecta?
  • São mantidos registros agregados que correlacionam serviços acessados (por exemplo, sites, servidores) com o servidor VPN específico usado?
  • A política de inexistência de registros é aplicada de forma uniforme em todos os servidores, em todas as regiões geográficas e em todos os níveis de assinatura de usuário?
  • Existe um processo automatizado para detectar e gerar alertas sobre alterações de configuração não autorizadas que possam ativar o registro (por exemplo, alterar um parâmetro de “registro” de falso para verdadeiro)?
  • Um processo formal de gerenciamento de mudanças, incorporando um princípio de controle duplo (quatro olhos), é aplicado a todas as alterações autorizadas em configurações relacionadas a registros?
  • Os arquivos de configuração ativos para os principais serviços de VPN contêm diretivas de registro habilitadas?
  • São registradas informações que associam um usuário específico a um servidor VPN específico ao qual ele está conectado?

Os relatórios resultantes confirmam que não mantemos nenhum registro de metadados, não registramos sua atividade de VPN e não nos envolvemos em nenhuma prática que possa comprometer sua privacidade. Os relatórios também confirmam que, à medida que o Proton VPN adiciona mais recursos e funcionalidades ao nosso serviço, isso de forma alguma afeta nossa rigorosa política de inexistência de registros. Como conclui o relatório mais recente (2026):

“As evidências técnicas revisadas durante a auditoria não indicaram que a infraestrutura examinada de servidores do Proton VPN registre a atividade de navegação dos usuários, consultas de DNS, serviços de destino, conteúdo de tráfego de rede ou metadados de conexão identificáveis pelo usuário. A Securitum também não identificou registros persistentes que permitissem ao Proton associar um usuário específico à atividade realizada por meio de um servidor de VPN revisado.”

Você pode ler o relatório completo mais recente da Securitum abaixo:

Em consonância com as recomendações da Securitum, esta é agora a quinta auditoria anual consecutiva da nossa política de inexistência de registros. Você também pode ler nossas auditorias anteriores de inexistência de registros feitas pela Securitum:

Confiança por meio da transparência

Na Proton, acreditamos que todas as alegações devem ser investigadas e verificadas, incluindo as nossas. No futuro, continuaremos a realizar auditorias de segurança regulares e publicar os resultados para que você possa ler o relatório de um profissional de segurança independente antes de nos confiar seus dados.

Se você é um pesquisador de segurança, também o convidamos a apoiar a segurança na Proton por meio de nosso programa de recompensas por erros(nova janela), que oferece recompensas generosas a qualquer pessoa que possa identificar vulnerabilidades em nossos serviços de código aberto.

Crie uma conta no Proton VPN(nova janela) para obter uma VPN sem registros transparente, de código aberto e totalmente auditada que respeita sua privacidade