Editörün notu: Bu makale, Securitum tarafından gerçekleştirilen kayıt tutmama ilkesine yönelik en son denetimi içerecek şekilde güncellenmiştir. Tüm kayıt tutmama ilkesi denetimlerimizin bağlantıları eklenmiştir.

Proton VPN’in, altyapımızın katı kayıt tutmama ilkesini onaylayan üst üste beşinci yıllık bağımsız üçüncü taraf denetiminden başarıyla geçtiğini duyurmaktan mutluluk duyuyoruz. Kayıt tutmayan bir VPN olduğumuzu söylediğimizde, bu sadece bir iddia değildir: Bağımsız uzmanlar tarafından çifte kontrolden geçirilmiştir.

Rakiplerimizin birçoğu hiçbir zaman bağımsız bir denetimden geçmedi ya da gerçek kayıt tutmama altyapıları yerine gizlilik ilkelerini denetleterek bir el çabukluğu yaptı. Kayıt tutmama iddiaları bir denetimle bağımsız olarak doğrulanmış olsa bile, birçoğu sonuçları yayımlamıyor, bunlara erişmek için bir gizlilik sözleşmesi imzalamanızı şart koşuyor, bunları yalnızca ödeme yapan müşterilerin kullanımına sunuyor veya başka şekillerde okunmasını zorlaştırıyor.

Buna karşın Proton VPN, herkesin okuyabilmesi için tam kayıt tutmama raporunu açıkça yayımlar. CERN’de tanışan bilim insanları tarafından kurulmuş bir kuruluş olarak, hakem değerlendirmesine ve şeffaflığa inanıyoruz. Bu nedenle tüm uygulamalarımızı açık kaynaklı yapıyoruz, böylece herkes kodumuzu inceleyebiliyor.

Elbette, herkesin kodu bizzat inceleyecek zamanı veya becerisi olmadığını anlıyoruz. Bu nedenle, iç denetimlerimize ek olarak, uygulamalarımızı düzenli olarak üçüncü taraf güvenlik denetimlerine(yeni pencere) gönderiyor ve sonuçları halka açık hale getiriyoruz. Bu şekilde herkes uygulamalarımızın güvenliği hakkında bağımsız bir uzman görüşü alabilir.

Tüm Proton uygulamalarının gerçekleştirilen en son güvenlik denetiminde(yeni pencere), büyük şirketler ve bankalar için her yıl 300’den fazla güvenlik testi projesini yöneten lider bir Avrupa güvenlik denetim şirketi olan Securitum(yeni pencere)‘un güvenlik uzmanları herhangi bir önemli güvenlik sorunu tespit etmedi. Bu, Proton’un şirket içi denetimlerinin ve güvenli yazılım geliştirme kültürünün etkili olduğunu göstermektedir. Ayrıca, uygulamalarımızın kodları tamamen açık kaynaklı olduğundan, güvenliğimiz, uygulamalarımızı kontrol etmek için dünyanın her yerinden güvenlik uzmanlarını bir araya getiren hata bulma ödül programımız(yeni pencere) ile desteklenmektedir.

Ancak bir VPN hizmeti ile, sadece uygulama tarafında değil, sunucu tarafında neler olduğunu doğrulamak da önemlidir.

Bir VPN’in kayıt tutmama ilkesini doğrulamanın neden önemli olduğu

Bir VPN’e bağlantı kurduğunuzda, etkili bir şekilde internet sağlayıcınız haline gelir, yani herhangi bir VPN sağlayıcısı teknik olarak çevrim içi ortamda yaptıklarınızı izleme ve günlüğe kaydetme yeteneğine sahiptir. Birçok VPN kayıt tutmama ilkelerine sahip olduğunu iddia etse de, bu ilkeler teste tabi tutulduğunda her zaman geçerli olmaz.

Proton VPN’in katı kayıt tutmama ilkesi şimdiye kadar 400’den fazla yasal davada test edildi. Kullanıcılarımızın kimliğini belirlemeye yardımcı olmak için günlükleri teslim etmemiz istendi ancak bu günlükler mevcut olmadığı için buna uymamız mümkün olmadı.

Proton VPN’in İsviçre yargı yetkisi de VPN hizmetleri için ek avantajlar sağlar. Örneğin, mevcut İsviçre yasal çerçevesinde Proton VPN’in herhangi bir günlük kaydı tutma zorunluluğu yoktur. Bununla birlikte, hatalı bir sunucu yapılandırmasının veya kusurlu sistem mimarisinin, günlüklerin yanlışlıkla kaydedilmesine neden olma olasılığı hâlâ mevcuttur.

Bu sorunu çözmek için Securitum’dan altyapımızı ve sunucu tarafı operasyonlarımızı düzenli olarak kapsamlı bir şekilde incelemesini istedik. Her yıl, Securitum güvenlik uzmanları yerinde birkaç gün geçirerek VPN yapılandırma dosyalarımızı ve sunucu yapılandırmalarımızı inceliyor, işletim prosedürlerimizi değerlendiriyor ve personelimizle mülakatlar gerçekleştiriyor. Yıllık denetimleri oldukça kapsamlıdır ve şunları kontrol etmiştir:

  • Kullanıcı trafiğini işleyen üretim VPN sunucularında kullanıcı etkinliği izleniyor veya günlüğe kaydediliyor mu?
  • DNS sorguları veya oturum zaman damgaları gibi bağlantı üst verileri VPN sunucularında günlüğe kaydediliyor mu?
  • Kullanıcı ağ trafiği aktif olarak denetleniyor mu veya içerikleri VPN sunucularında günlüğe kaydediliyor mu?
  • Bir kullanıcının bağlantı kurduğu belirli hizmetlerle (ör. siteler, harici sunucular) ilgili bilgiler izleniyor veya günlüğe kaydediliyor mu?
  • Erişilen hizmetleri (ör. siteler, sunucular) kullanılan belirli VPN sunucusuyla ilişkilendiren toplu günlükler tutuluyor mu?
  • Kayıt tutmama ilkesi tüm sunucularda, tüm coğrafi bölgelerde ve tüm kullanıcı abonelik katmanlarında tek biçimli olarak uygulanıyor mu?
  • Günlük kaydını etkinleştirebilecek yetkisiz yapılandırma değişikliklerini tespit etmek ve bunlara yönelik uyarılar oluşturmak için otomatik bir süreç mevcut mu (örneğin, bir “log” parametresini false değerinden true değerine değiştirmek)?
  • Günlük kaydıyla ilgili yapılandırmalarda yapılan tüm yetkili değişiklikler için çift kontrol (dört göz) ilkesini içeren resmi bir değişiklik yönetim süreci uygulanıyor mu?
  • Temel VPN hizmetleri için aktif yapılandırma dosyaları, herhangi bir etkin günlük tutma direktifi içeriyor mu?
  • Belirli bir kullanıcıyı bağlantı kurmuş oldukları belirli bir VPN sunucusuyla ilişkilendiren bilgiler günlüğe kaydediliyor mu?

Elde edilen raporlar, herhangi bir üst veri günlüğü tutmadığımızı, VPN etkinliğinizi kaydetmediğimizi ve gizliliğinizden ödün verebilecek hiçbir uygulamada bulunmadığımızı onaylamaktadır. Raporlar ayrıca Proton VPN’in hizmetimize daha fazla özellik ve işlevsellik eklemesinin katı kayıt tutmama ilkemizi hiçbir şekilde etkilemediğini de doğrulamaktadır. En son (2026) raporun vardığı sonuç şu şekildedir:

“Çalışma sırasında incelenen teknik kanıtlar, analiz edilen Proton VPN sunucu altyapısının kullanıcıların gezinme etkinliğini, DNS sorgularını, hedef hizmetleri, ağ trafiği içeriklerini veya kullanıcıyı tanımlayabilecek bağlantı üst verilerini kaydettiğine dair bir gösterge sunmamıştır. Securitum ayrıca Proton’un belirli bir kullanıcıyı, incelenen bir VPN sunucusu aracılığıyla gerçekleştirilen etkinlikle ilişkilendirmesine olanak tanıyacak kalıcı kayıtlar tespit etmemiştir.”

Securitum’un en son tam raporunu aşağıdan okuyabilirsiniz:

Securitum’un önerileri doğrultusunda bu, kayıt tutmama ilkemizin üst üste gerçekleştirilen beşinci yıllık denetimidir. Securitum tarafından gerçekleştirilen geçmiş kayıt tutmama denetimlerimizi de okuyabilirsiniz:

Şeffaflık yoluyla güven

Proton’da, kendimizinkiler de dahil olmak üzere tüm iddiaların araştırılması ve doğrulanması gerektiğine inanıyoruz. Gelecekte, düzenli güvenlik denetimleri yapmaya ve sonuçları yayınlamaya devam edeceğiz, böylece verilerinizi bize emanet etmeden önce bağımsız bir güvenlik uzmanının raporunu okuyabilirsiniz.

Bir güvenlik araştırmacısıysanız, sizi açık kaynaklı hizmetlerimizdeki güvenlik açıklarını belirleyebilen herkese cömert ödüller sunan hata bulma ödül programımız(yeni pencere) aracılığıyla Proton’daki güvenliğe destek olmaya davet ediyoruz.

Gizliliğinize saygı duyan şeffaf, açık kaynaklı ve tamamen denetlenmiş kayıt tutmayan bir VPN almak için Proton VPN hesabı açın(yeni pencere)