Atualização 19 de setembro de 2025: Este artigo foi atualizado para apresentar a mais recente auditoria da nossa política sem registos pela Securitum. Estão incluídas ligações para todas as nossas auditorias de política sem registos.

Temos o prazer de anunciar que o Proton VPN passou numa quarta auditoria anual consecutiva de terceiros à nossa infraestrutura que confirma a nossa rigorosa política sem registos. Quando dizemos que somos uma VPN sem registos, não é apenas uma afirmação: foi verificada duplamente por peritos independentes.

Como uma organização fundada por cientistas que se conheceram no CERN, acreditamos na revisão por pares e na transparência. É também por isso que tornamos todas as nossas aplicações de código aberto para que qualquer pessoa possa examinar o nosso código.

Claro que compreendemos que nem toda a gente tem tempo ou competências para inspecionar o código. É por isso que, para além das nossas auditorias internas, submetemos regularmente as nossas aplicações a auditorias de segurança de terceiros(nova janela) e tornamos os resultados públicos. Desta forma, todos podem obter a opinião de um perito independente sobre a segurança das nossas aplicações.

Na mais recente auditoria de segurança de todas as aplicações Proton(nova janela), peritos de segurança da Securitum(nova janela), uma empresa europeia líder em auditoria de segurança que supervisiona mais de 300 projetos de testes de segurança todos os anos para grandes corporações e bancos, não descobriram problemas de segurança significativos. Isto mostra que as auditorias internas da Proton e a cultura de desenvolvimento de software seguro são eficazes. E porque o código das aplicações é inteiramente de código aberto, a nossa segurança é reforçada pelo nosso programa de recompensas por deteção de erros(nova janela), que reúne peritos de segurança de todo o mundo para verificar as nossas aplicações.

No entanto, com um serviço VPN, é também importante verificar o que está a acontecer no lado do servidor, e não apenas no lado da aplicação.

Porque é importante verificar a política sem registos de uma VPN

Quando se liga a uma VPN, esta torna-se efetivamente o seu fornecedor de internet, o que significa que qualquer fornecedor de VPN é tecnicamente capaz de rastrear e registar o que faz online. Embora muitas VPNs afirmem ter políticas sem registos, estas políticas nem sempre se aguentam quando postas à prova.

A rigorosa política sem registos do Proton VPN foi testada num caso legal em 2019. Foi-nos ordenado que entregássemos registos para ajudar a identificar um utilizador, mas não pudemos cumprir porque estes registos não existiam. A jurisdição suíça do Proton VPN também confere benefícios adicionais para serviços VPN. Por exemplo, dentro do atual quadro legal suíço, o Proton VPN não tem quaisquer requisitos de registo. No entanto, permanece a possibilidade de que uma configuração de servidor incorreta ou uma arquitetura de sistema falhada possa fazer com que registos sejam armazenados acidentalmente.

Para resolver isto, pedimos à Securitum que realizasse exames minuciosos regulares da nossa infraestrutura e operações do lado do servidor. Todos os anos, os peritos de segurança da Securitum passaram vários dias no local a rever os nossos ficheiros de configuração da VPN e configurações do servidor, avaliando os nossos procedimentos operacionais e entrevistando o nosso pessoal. As suas auditorias anuais são extensas e verificaram o seguinte:

  • A atividade do utilizador é rastreada ou registada nos servidores VPN de produção que gerem o tráfego do utilizador?
  • Os metadados de ligação, tais como consultas DNS ou carimbos de data/hora da sessão, são registados nos servidores VPN?
  • O tráfego de rede do utilizador é ativamente inspecionado ou os seus conteúdos são registados nos servidores VPN?
  • É registada informação relativa aos serviços específicos (por exemplo, sítios web, servidores externos) a que um utilizador se liga?
  • São mantidos registos agregados que correlacionam serviços acedidos (por exemplo, sítios web, servidores) com o servidor VPN específico utilizado?
  • A política sem registos é aplicada uniformemente em todos os servidores, em todas as regiões geográficas e a todos os níveis de subscrição de utilizador?
  • Existe um processo automatizado para detetar e gerar alertas para alterações de configuração não autorizadas que possam permitir o registo (por exemplo, alterar um parâmetro “log” de falso para verdadeiro)?
  • É aplicado um processo formal de Gestão de Alterações, incorporando um princípio de controlo duplo (quatro olhos), para todas as alterações autorizadas a configurações relacionadas com registo?
  • Os ficheiros de configuração ativos para os serviços VPN principais contêm diretivas de registo ativadas?
  • É registada informação que associa um utilizador específico a um servidor VPN específico a que esteja ligado?

Os relatórios resultantes confirmam que não guardamos quaisquer registos de metadados, não registamos a sua atividade VPN e não nos envolvemos em quaisquer práticas que possam comprometer a sua privacidade.

Os relatórios também confirmam que, à medida que o Proton VPN adiciona mais funcionalidades ao nosso serviço, isto não afeta de forma alguma a nossa rigorosa política sem registos. Como conclui o relatório mais recente (2025):

“As provas técnicas revistas não mostraram instâncias de registo de atividade do utilizador, armazenamento de metadados de ligação ou inspeção de tráfego de rede que contradissessem a política sem registos. Além disso, a auditoria verificou a implementação de controlos administrativos e técnicos robustos, incluindo gestão de configuração automatizada e um processo de alteração de controlo duplo formal, que são concebidos para garantir a integridade contínua do ambiente sem registos.

Com base nestas conclusões, a Securitum atesta que o serviço Proton VPN, tal como configurado no momento da auditoria, cumpre totalmente os compromissos de privacidade delineados na sua política sem registos”.

Pode ler o relatório completo mais recente da Securitum abaixo:

Em linha com as recomendações da Securitum, esta é agora a terceira auditoria anual consecutiva da nossa política sem registos. Também pode ler as nossas auditorias passadas sem registos pela Securitum:

Confiança através da transparência

Na Proton, acreditamos que todas as afirmações devem ser investigadas e verificadas, incluindo as nossas. No futuro, continuaremos a realizar auditorias de segurança regulares e a publicar os resultados para que possa ler o relatório de um profissional de segurança independente antes de nos confiar os seus dados.

Se é um investigador de segurança, também o convidamos a apoiar a segurança na Proton através do nosso programa de recompensas por deteção de erros(nova janela) que oferece recompensas generosas a qualquer pessoa que consiga identificar vulnerabilidades nos nossos serviços de código aberto.

Registe-se no Proton VPN(nova janela) para obter uma VPN sem registos transparente, de código aberto e totalmente auditada que respeita a sua privacidade