Lưu ý của biên tập viên: Bài viết này đã được cập nhật để giới thiệu cuộc kiểm định mới nhất đối với chính sách không ghi nhật ký của Securitum. Bài viết cũng bao gồm các liên kết đến tất cả đợt kiểm định chính sách không ghi nhật ký.

Hân hạnh thông báo rằng Proton VPN đã vượt qua đợt kiểm định thường niên năm thứ năm liên tiếp từ bên thứ ba đối với cơ sở hạ tầng, xác nhận chính sách không ghi nhật ký nghiêm ngặt. Tuyên bố về một VPN không ghi nhật ký không chỉ là lời nói suông: điều này đã được các chuyên gia độc lập kiểm tra kỹ lưỡng.

Nhiều đối thủ cạnh tranh chưa từng được kiểm định độc lập hoặc đã thực hiện một chiêu trò đánh tráo khái niệm, đó là kiểm định chính sách bảo mật thay vì kiểm định cơ sở hạ tầng không ghi nhật ký thực tế. Và ngay cả khi các tuyên bố không ghi nhật ký đã được xác minh độc lập bằng một đợt kiểm định, nhiều nhà cung cấp vẫn không công bố kết quả, yêu cầu ký thỏa thuận bảo mật để tiếp cận, chỉ cung cấp cho khách hàng trả phí hoặc gây khó khăn cho việc đọc báo cáo bằng những cách khác.

Ngược lại, Proton VPN công khai toàn bộ báo cáo không ghi nhật ký cho mọi người cùng đọc. Là một tổ chức được thành lập bởi các nhà khoa học đã gặp nhau tại CERN, Proton tin tưởng vào sự đánh giá ngang hàng và tính minh bạch. Đây cũng là lý do tại sao tất cả ứng dụng đều là mã nguồn mở để bất kỳ ai cũng có thể kiểm tra mã nguồn.

Tất nhiên, chúng tôi hiểu rằng không phải ai cũng có thời gian hoặc kỹ năng để tự kiểm tra mã. Đó là lý do tại sao, ngoài các cuộc kiểm toán nội bộ, chúng tôi thường xuyên gửi các ứng dụng cho các cuộc kiểm toán bảo mật của bên thứ ba(cửa sổ mới) và công khai kết quả. Bằng cách này, mọi người đều có thể nhận được ý kiến của chuyên gia độc lập về bảo mật ứng dụng của chúng tôi.

Trong đợt kiểm định bảo mật gần đây nhất đối với tất cả các ứng dụng Proton(cửa sổ mới), các chuyên gia bảo mật từ Securitum(cửa sổ mới), một công ty kiểm định bảo mật hàng đầu châu Âu chuyên giám sát hơn 300 dự án thử nghiệm bảo mật mỗi năm cho các tập đoàn và ngân hàng lớn, đã không phát hiện sự cố bảo mật nghiêm trọng nào. Điều này cho thấy các đợt kiểm định nội bộ và văn hóa phát triển phần mềm bảo mật của Proton là vô cùng hiệu quả. Và vì mã nguồn ứng dụng là hoàn toàn mở, tính bảo mật còn được củng cố bởi chương trình tiền thưởng tìm lỗi(cửa sổ mới), nơi quy tụ các chuyên gia bảo mật từ khắp nơi trên thế giới để kiểm tra các ứng dụng.

Tuy nhiên, với dịch vụ VPN, điều quan trọng là phải xác minh những gì đang xảy ra ở phía máy chủ, chứ không chỉ ở phía ứng dụng.

Tại sao việc xác minh chính sách không ghi nhật ký của VPN lại quan trọng

Khi kết nối với VPN, nó thực sự trở thành nhà cung cấp internet của bạn, nghĩa là bất kỳ nhà cung cấp VPN nào về mặt kỹ thuật đều có khả năng theo dõi và ghi lại những gì bạn làm trực tuyến. Mặc dù nhiều VPN tuyên bố có chính sách không ghi nhật ký, nhưng các chính sách này không phải lúc nào cũng đứng vững khi được đưa vào thử nghiệm.

Chính sách không ghi nhật ký nghiêm ngặt của Proton VPN đã được thử nghiệm trong hơn 400 vụ án pháp lý cho đến nay. Mặc dù có yêu cầu bàn giao nhật ký để giúp nhận diện người dùng, nhưng yêu cầu đó không thể được thực hiện vì những nhật ký này không hề tồn tại.

Quyền tài phán Thụy Sĩ của Proton VPN cũng mang lại các lợi ích bổ sung cho dịch vụ VPN. Ví dụ, trong khuôn khổ pháp lý hiện tại của Thụy Sĩ, Proton VPN không có bất kỳ yêu cầu nào về việc ghi nhật ký. Tuy nhiên, vẫn tồn tại khả năng cấu hình máy chủ sai hoặc kiến trúc hệ thống bị lỗi có thể khiến nhật ký vô tình được lưu trữ.

Để giải quyết vấn này, Securitum đã được yêu cầu thực hiện các đợt kiểm tra kỹ lưỡng, định kỳ đối với cơ sở hạ tầng và hoạt động phía máy chủ. Mỗi năm, các chuyên gia bảo mật của Securitum dành vài ngày trực tiếp tại chỗ để xem xét các tệp cấu hình VPN và cấu hình máy chủ, đánh giá quy trình vận hành và phỏng vấn nhân viên. Các đợt kiểm định thường niên này diễn ra trên diện rộng và kiểm tra những nội dung sau:

  • Hoạt động của người dùng có bị theo dõi hoặc ghi lại trên các máy chủ VPN sản xuất xử lý lưu lượng truy cập của người dùng không?
  • Siêu dữ liệu kết nối, chẳng hạn như truy vấn DNS hoặc dấu thời gian phiên, có được ghi lại trên các máy chủ VPN không?
  • Lưu lượng mạng của người dùng có bị kiểm tra chủ động hay nội dung có được ghi lại trên các máy chủ VPN không?
  • Thông tin liên quan đến các dịch vụ cụ thể (ví dụ: trang web, máy chủ bên ngoài) mà người dùng kết nối có bị giám sát hoặc ghi lại không?
  • Các nhật ký tổng hợp tương quan các dịch vụ đã truy cập (ví dụ: trang web, máy chủ) với máy chủ VPN cụ thể đã sử dụng có được duy trì không?
  • Chính sách không ghi nhật ký có được áp dụng đồng bộ trên tất cả các máy chủ, ở tất cả các khu vực địa lý và cho mọi phân hạng đăng ký của người dùng không?
  • Quy trình tự động phát hiện và tạo cảnh báo đối với các thay đổi cấu hình trái phép có thể kích hoạt ghi nhật ký (ví dụ: thay đổi tham số “log” từ false thành true) có được thiết lập không?
  • Quy trình quản lý thay đổi chính thức, kết hợp nguyên tắc kiểm soát kép (nguyên tắc bốn mắt), có được áp dụng đối với tất cả các thay đổi được phê duyệt cho các cấu hình liên quan đến việc ghi nhật ký không?
  • Các tệp cấu hình đang hoạt động cho các dịch vụ VPN cốt lõi có chứa bất kỳ chỉ thị ghi nhật ký nào được kích hoạt không?
  • Thông tin liên kết một người dùng cụ thể với một máy chủ VPN cụ thể mà họ đang kết nối có được ghi lại không?

Các báo cáo kết quả xác nhận rằng không có nhật ký siêu dữ liệu nào được lưu trữ, hoạt động VPN không bị ghi lại và không có hành vi nào có thể xâm phạm quyền riêng tư của người dùng. Các báo cáo cũng xác nhận rằng việc Proton VPN bổ sung thêm các tính năng và chức năng cho dịch vụ không hề ảnh hưởng đến chính sách không ghi nhật ký nghiêm ngặt. Như báo cáo mới nhất (2026) kết luận:

“Bằng chứng kỹ thuật được xem xét trong quá trình làm việc không chỉ ra rằng cơ sở hạ tầng máy chủ Proton VPN được kiểm tra ghi lại hoạt động duyệt web của người dùng, các truy vấn DNS, dịch vụ đích, nội dung lưu lượng mạng hay siêu dữ liệu kết nối nhận dạng người dùng. Securitum cũng không tìm thấy hồ sơ lưu trữ lâu dài nào cho phép Proton liên kết một người dùng cụ thể với hoạt động được thực hiện thông qua máy chủ VPN được kiểm tra.”

Có thể đọc báo cáo đầy đủ mới nhất từ Securitum bên dưới:

Theo đúng các khuyến nghị của Securitum, đây là cuộc kiểm định thường niên lần thứ năm liên tiếp đối với chính sách không ghi nhật ký. Người dùng cũng có thể đọc các báo cáo kiểm định không ghi nhật ký trước đây của Securitum:

Niềm tin thông qua sự minh bạch

Tại Proton, chúng tôi tin rằng mọi tuyên bố đều cần được điều tra và xác minh, bao gồm cả tuyên bố của chính chúng tôi. Trong tương lai, chúng tôi sẽ tiếp tục thực hiện các cuộc kiểm toán bảo mật thường xuyên và công bố kết quả để người dùng có thể đọc báo cáo của chuyên gia bảo mật độc lập trước khi giao phó dữ liệu cho chúng tôi.

Nếu là nhà nghiên cứu bảo mật, chúng tôi cũng mời bạn hỗ trợ bảo mật tại Proton thông qua chương trình tiền thưởng tìm lỗi(cửa sổ mới), cung cấp các khoản tiền thưởng hậu hĩnh cho bất kỳ ai có thể xác định các lỗ hổng trong các dịch vụ mã nguồn mở của chúng tôi.

Đăng ký Proton VPN(cửa sổ mới) để nhận được VPN không ghi nhật ký minh bạch, mã nguồn mở và được kiểm toán đầy đủ, tôn trọng quyền riêng tư