Pelo 5.º ano consecutivo, o Proton VPN passa em auditoria externa de ausência de registos

Nota do editor: Este artigo foi atualizado para apresentar a auditoria mais recente à nossa política sem registos realizada pela Securitum. Estão incluídas ligações para todas as auditorias à nossa política sem registos.

Temos o prazer de anunciar que o Proton VPN passou uma quinta auditoria anual consecutiva de terceiros à nossa infraestrutura que confirma a nossa rigorosa política sem registos. Quando dizemos que somos uma VPN sem registos, não é apenas uma afirmação: foi verificado por peritos independentes.

Muitos dos nossos concorrentes nunca foram auditados de forma independente ou recorreram a um truque de magia, auditando a sua política de privacidade em vez da sua infraestrutura real sem registos. E mesmo nos casos em que as suas alegações de ausência de registos foram verificadas de forma independente com uma auditoria, muitos não publicam os resultados, exigem que assine um acordo de confidencialidade para aceder aos mesmos, apenas os disponibilizam a clientes pagantes ou, de outra forma, dificultam a sua leitura.

Pelo contrário, o Proton VPN publica abertamente o relatório completo sem registos para que qualquer pessoa o possa ler. Como uma organização fundada por cientistas que se conheceram no CERN, acreditamos na revisão por pares e na transparência. É também por isso que disponibilizamos todas as nossas aplicações em código aberto, para que qualquer pessoa possa analisar o nosso código.

Claro que compreendemos que nem toda a gente tem tempo ou competências para inspecionar o código. É por isso que, para além das nossas auditorias internas, submetemos regularmente as nossas aplicações a auditorias de segurança de terceiros(nova janela) e tornamos os resultados públicos. Desta forma, todos podem obter a opinião de um perito independente sobre a segurança das nossas aplicações.

Na mais recente auditoria de segurança a todas as aplicações Proton(nova janela), os peritos em segurança da Securitum(nova janela), uma empresa europeia líder em auditoria de segurança que supervisiona mais de 300 projetos de testes de segurança todos os anos para grandes empresas e bancos, não revelaram problemas de segurança significativos. Isto mostra que as auditorias internas da Proton e a cultura de desenvolvimento de software seguro são eficazes. E porque o código das nossas aplicações é inteiramente aberto, a nossa segurança é reforçada pelo nosso programa de recompensas por deteção de erros(nova janela), que reúne peritos em segurança de todo o mundo para verificar as nossas aplicações.

No entanto, com um serviço VPN, é também importante verificar o que está a acontecer no lado do servidor, e não apenas no lado da aplicação.

Porque é importante verificar a política sem registos de uma VPN

Quando se liga a uma VPN, esta torna-se efetivamente o seu fornecedor de internet, o que significa que qualquer fornecedor de VPN é tecnicamente capaz de rastrear e registar o que faz online. Embora muitas VPNs afirmem ter políticas sem registos, estas políticas nem sempre se aguentam quando postas à prova.

A rigorosa política sem registos do Proton VPN já foi testada em mais de 400 processos judiciais até à data. Fomos intimados a entregar registos para ajudar a identificar os nossos utilizadores, mas não pudemos cumprir a ordem porque esses registos simplesmente não existiam.

A jurisdição suíça do Proton VPN também confere benefícios adicionais para os serviços de VPN. Por exemplo, sob o atual enquadramento jurídico suíço, o Proton VPN não tem quaisquer requisitos de registo de dados. No entanto, subsiste a possibilidade de uma configuração incorreta do servidor ou de uma arquitetura de sistema defeituosa fazer com que os registos sejam armazenados acidentalmente.

Para resolver esta questão, solicitámos à Securitum que realizasse exames minuciosos e regulares à nossa infraestrutura e às operações do lado do servidor. Todos os anos, os peritos em segurança da Securitum passam vários dias no local a analisar os ficheiros de configuração da nossa VPN e as configurações dos servidores, a avaliar os nossos procedimentos operacionais e a entrevistar os nossos colaboradores. As suas auditorias anuais são abrangentes e verificaram o seguinte:

• A atividade do utilizador é rastreada ou registada nos servidores VPN de produção que gerem o tráfego do utilizador?
• Os metadados de ligação, tais como consultas DNS ou carimbos de data/hora da sessão, são registados nos servidores VPN?
• O tráfego de rede do utilizador é ativamente inspecionado ou os seus conteúdos são registados nos servidores VPN?
• É registada informação relativa aos serviços específicos (por exemplo, sítios web, servidores externos) a que um utilizador se liga?
• São mantidos registos agregados que correlacionam serviços acedidos (por exemplo, sítios web, servidores) com o servidor VPN específico utilizado?
• A política sem registos é aplicada de forma uniforme em todos os servidores, em todas as regiões geográficas e em todos os níveis de subscrição dos utilizadores?
• Existe um processo automatizado implementado para detetar e gerar alertas relativos a alterações de configuração não autorizadas que possam ativar o registo (por exemplo, alterar um parâmetro de “registo” de falso para verdadeiro)?
• É aplicado um processo formal de gestão de alterações, que incorpore o princípio do controlo duplo (quatro olhos), para todas as alterações autorizadas a configurações relacionadas com o registo de dados?
• Os ficheiros de configuração ativos para os serviços VPN principais contêm diretivas de registo ativadas?
• É registada informação que associa um utilizador específico a um servidor VPN específico a que esteja ligado?

Os relatórios resultantes confirmam que não guardamos quaisquer registos de metadados, não registamos a sua atividade de VPN e não nos envolvemos em práticas que possam comprometer a sua privacidade. Os relatórios também confirmam que a adição de novas funcionalidades ao nosso serviço por parte do Proton VPN não afeta de forma alguma a nossa rigorosa política sem registos. Como conclui o relatório mais recente (2026):

“As provas técnicas analisadas durante o trabalho não indicaram que a infraestrutura de servidores do Proton VPN examinada registe a atividade de navegação dos utilizadores, consultas de DNS, serviços de destino, conteúdos de tráfego de rede ou metadados de ligação que identifiquem os utilizadores. A Securitum também não identificou registos persistentes que permitissem à Proton associar um utilizador específico à atividade realizada através de um servidor de VPN analisado.”

Pode ler o relatório completo mais recente da Securitum abaixo:

• Auditoria sem registos do Proton VPN de 2026(nova janela)

Em linha com as recomendações da Securitum, esta é já a quinta auditoria anual consecutiva à nossa política sem registos. Também pode ler as nossas auditorias sem registos anteriores efetuadas pela Securitum:

• Auditoria sem registos do Proton VPN de 2025(nova janela)
• Auditoria sem registos do Proton VPN de 2024(nova janela)
• Auditoria sem registos do Proton VPN de 2023(nova janela)
• Auditoria sem registos do Proton VPN de 2022(nova janela)

Confiança através da transparência

Na Proton, acreditamos que todas as afirmações devem ser investigadas e verificadas, incluindo as nossas. No futuro, continuaremos a realizar auditorias de segurança regulares e a publicar os resultados para que possa ler o relatório de um profissional de segurança independente antes de nos confiar os seus dados.

Se é um investigador de segurança, também o convidamos a apoiar a segurança na Proton através do nosso programa de recompensas por deteção de erros(nova janela) que oferece recompensas generosas a qualquer pessoa que consiga identificar vulnerabilidades nos nossos serviços de código aberto.

Registe-se no Proton VPN(nova janela) para obter uma VPN sem registos transparente, de código aberto e totalmente auditada que respeita a sua privacidade