Güncelleme 19 Eylül 2025: Bu makale, kayıt tutmama ilkemizin Securitum tarafından yapılan en son denetimini içerecek şekilde güncellendi. Tüm kayıt tutmama ilkesi denetimlerimizin bağlantıları dahildir.

Proton VPN’in, katı kayıt tutmama ilkemizi onaylayan altyapımızın üst üste dördüncü yıllık üçüncü taraf denetimini geçtiğini duyurmaktan memnuniyet duyuyoruz. Kayıt tutmayan bir VPN olduğumuzu söylediğimizde, bu sadece bir iddia değildir: bağımsız uzmanlar tarafından iki kez kontrol edilmiştir.

CERN’de tanışan bilim insanları tarafından kurulan bir kuruluş olarak, akran denetimine ve şeffaflığa inanıyoruz. Bu nedenle, herkesin kodumuzu inceleyebilmesi için tüm uygulamalarımızı açık kaynaklı hale getiriyoruz.

Elbette, herkesin kodu bizzat inceleyecek zamanı veya becerisi olmadığını anlıyoruz. Bu nedenle, iç denetimlerimize ek olarak, uygulamalarımızı düzenli olarak üçüncü taraf güvenlik denetimlerine(yeni pencere) gönderiyor ve sonuçları halka açık hale getiriyoruz. Bu şekilde herkes uygulamalarımızın güvenliği hakkında bağımsız bir uzman görüşü alabilir.

Tüm Proton uygulamalarının(yeni pencere) en son güvenlik denetiminde, önde gelen bir Avrupa güvenlik denetim şirketi olan ve her yıl büyük şirketler ve bankalar için 300’den fazla güvenlik testi projesini denetleyen Securitum(yeni pencere)‘dan güvenlik uzmanları hiçbir önemli güvenlik sorunu ortaya çıkarmadı. Bu, Proton’un iç denetimlerinin ve güvenli yazılım geliştirme kültürünün etkili olduğunu görüntülüyor. Ve uygulamalarımızın kodu tamamen açık kaynaklı olduğu için, güvenliğimiz, uygulamalarımızı kontrol etmek için dünyanın her yerinden güvenlik uzmanlarını bir araya getiren hata bulma ödül programımız(yeni pencere) ile güçlendirilmektedir.

Ancak bir VPN hizmeti ile, sadece uygulama tarafında değil, sunucu tarafında neler olduğunu doğrulamak da önemlidir.

Bir VPN’in kayıt tutmama ilkesini doğrulamanın neden önemli olduğu

Bir VPN’e bağlantı kurduğunuzda, etkili bir şekilde internet sağlayıcınız haline gelir, yani herhangi bir VPN sağlayıcısı teknik olarak çevrim içi ortamda yaptıklarınızı izleme ve günlüğe kaydetme yeteneğine sahiptir. Birçok VPN kayıt tutmama ilkelerine sahip olduğunu iddia etse de, bu ilkeler teste tabi tutulduğunda her zaman geçerli olmaz.

Proton VPN’in katı kayıt tutmama ilkesi 2019’daki bir yasal davada test edildi. Bir kullanıcıyı tanımlamaya yardımcı olmak için günlükleri teslim etmemiz emredildi, ancak bu günlükler mevcut olmadığı için uyum sağlayamadık. Proton VPN’in İsviçre yargı yetkisi, VPN hizmetleri için ek avantajlar da sağlar. Örneğin, mevcut İsviçre yasal çerçevesi içinde, Proton VPN’in herhangi bir günlük tutma gereksinimi yoktur. Ancak, yanlış bir sunucu yapılandırmasının veya kusurlu sistem mimarisinin günlüklerin yanlışlıkla kaydedilmiş, depolanmış olmasına neden olma ihtimali devam etmektedir.

Bunu ele almak için, Securitum’dan altyapımızın ve sunucu tarafı operasyonlarımızın düzenli kapsamlı incelemelerini yapmasını istedik. Her yıl, Securitum güvenlik uzmanları VPN yapılandırma dosyalarımızı ve sunucu yapılandırmalarımızı inceleyerek, işletim prosedürlerimizi değerlendirerek ve personelimizle görüşerek sahada birkaç gün geçirdi. Yıllık denetimleri kapsamlıdır ve aşağıdakileri kontrol etmiştir:

  • Kullanıcı trafiğini işleyen üretim VPN sunucularında kullanıcı etkinliği izleniyor veya günlüğe kaydediliyor mu?
  • DNS sorguları veya oturum zaman damgaları gibi bağlantı üst verileri VPN sunucularında günlüğe kaydediliyor mu?
  • Kullanıcı ağ trafiği aktif olarak denetleniyor mu veya içerikleri VPN sunucularında günlüğe kaydediliyor mu?
  • Bir kullanıcının bağlantı kurduğu belirli hizmetlerle (ör. siteler, harici sunucular) ilgili bilgiler izleniyor veya günlüğe kaydediliyor mu?
  • Erişilen hizmetleri (ör. siteler, sunucular) kullanılan belirli VPN sunucusuyla ilişkilendiren toplu günlükler tutuluyor mu?
  • Kayıt Tutmama ilkesi tüm sunucularda, tüm coğrafi bölgelerde ve tüm kullanıcı abonelik katmanlarında tek tip olarak uygulanıyor mu?
  • Günlük tutmayı açabilecek yetkisiz yapılandırma değişikliklerini (ör. bir “günlük” parametresini yanlıştan doğruya değiştirmek) tespit etmek ve bunlar için uyarılar oluşturmak üzere otomatik bir süreç mevcut mu?
  • Günlük tutma ile ilgili yapılandırmalarda yapılan tüm yetkili değişiklikler için çift kontrol (dört göz) ilkesini içeren resmi bir Değişiklik Yönetimi süreci uygulanıyor mu?
  • Temel VPN hizmetleri için aktif yapılandırma dosyaları, herhangi bir etkin günlük tutma direktifi içeriyor mu?
  • Belirli bir kullanıcıyı bağlantı kurmuş oldukları belirli bir VPN sunucusuyla ilişkilendiren bilgiler günlüğe kaydediliyor mu?

Ortaya çıkan raporlar, herhangi bir üst veri günlüğü tutmadığımızı, VPN etkinliğinizi günlüğe kaydetmediğimizi ve gizliliğinizden ödün verebilecek herhangi bir uygulamada bulunmadığımızı onaylamaktadır.

Raporlar ayrıca, Proton VPN hizmetimize daha fazla özellik ve işlevsellik ekledikçe, bunun katı kayıt tutmama ilkemizi hiçbir şekilde etkilemediğini de onaylamaktadır. En son (2025) raporun sonuçlandırdığı gibi:

“İncelenen teknik kanıtlar, Kayıt Tutmama ilkesi ile çelişecek hiçbir kullanıcı etkinliği günlüğü, bağlantı üst verileri depolama alanı veya ağ trafiği incelemesi örneği görüntülemedi. Ayrıca denetim, kayıt tutulmayan ortamın sürekli bütünlüğünü sağlamak için tasarlanmış otomatik yapılandırma yönetimi ve resmi bir çift kontrollü değişiklik süreci dahil olmak üzere sağlam idari ve teknik kontrollerin uygulandığını doğruladı.

Bu bulgulara dayanarak Securitum, denetim sırasında yapılandırıldığı şekliyle Proton VPN hizmetinin, Kayıt Tutmama ilkesinde belirtilen gizlilik taahhütlerine tam olarak uyduğunu tasdik eder”.

Securitum’un en son tam raporunu aşağıdan okuyabilirsiniz:

Securitum’un önerileri doğrultusunda, bu artık kayıt tutmama ilkemizin üst üste üçüncü yıllık denetimidir. Securitum tarafından yapılan geçmiş kayıt tutmama denetimlerimizi de okuyabilirsiniz:

Şeffaflık yoluyla güven

Proton’da, kendimizinkiler de dahil olmak üzere tüm iddiaların araştırılması ve doğrulanması gerektiğine inanıyoruz. Gelecekte, düzenli güvenlik denetimleri yapmaya ve sonuçları yayınlamaya devam edeceğiz, böylece verilerinizi bize emanet etmeden önce bağımsız bir güvenlik uzmanının raporunu okuyabilirsiniz.

Bir güvenlik araştırmacısıysanız, sizi açık kaynaklı hizmetlerimizdeki güvenlik açıklarını belirleyebilen herkese cömert ödüller sunan hata bulma ödül programımız(yeni pencere) aracılığıyla Proton’daki güvenliğe destek olmaya davet ediyoruz.

Gizliliğinize saygı duyan şeffaf, açık kaynaklı ve tamamen denetlenmiş kayıt tutmayan bir VPN almak için Proton VPN hesabı açın(yeni pencere)