Cập nhật ngày 19 tháng 9 năm 2025: Bài viết này đã được cập nhật để giới thiệu bản kiểm toán mới nhất về chính sách không ghi nhật ký của chúng tôi bởi Securitum. Các liên kết đến tất cả các bản kiểm toán chính sách không ghi nhật ký đều được bao gồm.

Chúng tôi vui mừng thông báo rằng Proton VPN đã vượt qua cuộc kiểm toán bên thứ ba hàng năm lần thứ tư liên tiếp về cơ sở hạ tầng, xác nhận chính sách không ghi nhật ký nghiêm ngặt của chúng tôi. Khi chúng tôi nói mình là VPN không ghi nhật ký, đó không chỉ là tuyên bố: điều này đã được các chuyên gia độc lập kiểm tra kỹ lưỡng.

Là một tổ chức được thành lập bởi các nhà khoa học gặp nhau tại CERN, chúng tôi tin tưởng vào sự bình duyệt và minh bạch. Đây cũng là lý do tại sao chúng tôi mở mã nguồn tất cả các ứng dụng để bất kỳ ai cũng có thể kiểm tra mã của chúng tôi.

Tất nhiên, chúng tôi hiểu rằng không phải ai cũng có thời gian hoặc kỹ năng để tự kiểm tra mã. Đó là lý do tại sao, ngoài các cuộc kiểm toán nội bộ, chúng tôi thường xuyên gửi các ứng dụng cho các cuộc kiểm toán bảo mật của bên thứ ba(cửa sổ mới) và công khai kết quả. Bằng cách này, mọi người đều có thể nhận được ý kiến của chuyên gia độc lập về bảo mật ứng dụng của chúng tôi.

Trong cuộc kiểm toán bảo mật gần đây nhất về tất cả các ứng dụng Proton(cửa sổ mới), các chuyên gia bảo mật từ Securitum(cửa sổ mới), một công ty kiểm toán bảo mật hàng đầu châu Âu giám sát hơn 300 dự án thử nghiệm bảo mật mỗi năm cho các tập đoàn và ngân hàng lớn, đã không phát hiện ra vấn đề bảo mật đáng kể nào. Điều này cho thấy các cuộc kiểm toán nội bộ và văn hóa phát triển phần mềm an toàn của Proton có hiệu quả. Và vì mã ứng dụng hoàn toàn là mã nguồn mở, bảo mật của chúng tôi được củng cố bởi chương trình tiền thưởng tìm lỗi(cửa sổ mới), quy tụ các chuyên gia bảo mật từ khắp nơi trên thế giới để kiểm tra các ứng dụng.

Tuy nhiên, với dịch vụ VPN, điều quan trọng là phải xác minh những gì đang xảy ra ở phía máy chủ, chứ không chỉ ở phía ứng dụng.

Tại sao việc xác minh chính sách không ghi nhật ký của VPN lại quan trọng

Khi kết nối với VPN, nó thực sự trở thành nhà cung cấp internet của bạn, nghĩa là bất kỳ nhà cung cấp VPN nào về mặt kỹ thuật đều có khả năng theo dõi và ghi lại những gì bạn làm trực tuyến. Mặc dù nhiều VPN tuyên bố có chính sách không ghi nhật ký, nhưng các chính sách này không phải lúc nào cũng đứng vững khi được đưa vào thử nghiệm.

Chính sách không ghi nhật ký nghiêm ngặt của Proton VPN đã được thử nghiệm trong một vụ án pháp lý vào năm 2019. Chúng tôi đã được lệnh giao nộp nhật ký để giúp xác định một người dùng, nhưng chúng tôi không thể tuân thủ vì các nhật ký này không tồn tại. Quyền tài phán Thụy Sĩ của Proton VPN cũng mang lại các lợi ích bổ sung cho các dịch vụ VPN. Ví dụ, trong khuôn khổ pháp lý hiện hành của Thụy Sĩ, Proton VPN không có bất kỳ yêu cầu ghi nhật ký nào. Tuy nhiên, vẫn có khả năng cấu hình máy chủ không chính xác hoặc kiến trúc hệ thống bị lỗi có thể khiến nhật ký vô tình được lưu trữ.

Để giải quyết vấn đề này, chúng tôi đã yêu cầu Securitum thực hiện các cuộc kiểm tra kỹ lưỡng thường xuyên đối với cơ sở hạ tầng và hoạt động phía máy chủ. Mỗi năm, các chuyên gia bảo mật của Securitum dành vài ngày tại chỗ để xem xét các tệp cấu hình VPN và cấu hình máy chủ, đánh giá quy trình vận hành và phỏng vấn nhân viên. Các cuộc kiểm toán hàng năm của họ rất sâu rộng và đã kiểm tra những điều sau:

  • Hoạt động của người dùng có bị theo dõi hoặc ghi lại trên các máy chủ VPN sản xuất xử lý lưu lượng truy cập của người dùng không?
  • Siêu dữ liệu kết nối, chẳng hạn như truy vấn DNS hoặc dấu thời gian phiên, có được ghi lại trên các máy chủ VPN không?
  • Lưu lượng mạng của người dùng có bị kiểm tra chủ động hay nội dung có được ghi lại trên các máy chủ VPN không?
  • Thông tin liên quan đến các dịch vụ cụ thể (ví dụ: trang web, máy chủ bên ngoài) mà người dùng kết nối có bị giám sát hoặc ghi lại không?
  • Các nhật ký tổng hợp tương quan các dịch vụ đã truy cập (ví dụ: trang web, máy chủ) với máy chủ VPN cụ thể đã sử dụng có được duy trì không?
  • Chính sách không ghi nhật ký có được áp dụng thống nhất trên tất cả các máy chủ, ở tất cả các khu vực địa lý và cho tất cả các cấp đăng ký của người dùng không?
  • Có quy trình tự động nào được áp dụng để phát hiện và tạo cảnh báo cho các thay đổi cấu hình trái phép có thể cho phép ghi nhật ký (ví dụ: thay đổi tham số “log” từ false thành true) không?
  • Quy trình Quản lý Thay đổi chính thức, kết hợp nguyên tắc kiểm soát kép (bốn mắt), có được thực thi cho tất cả các thay đổi được ủy quyền đối với các cấu hình liên quan đến ghi nhật ký không?
  • Các tệp cấu hình đang hoạt động cho các dịch vụ VPN cốt lõi có chứa bất kỳ chỉ thị ghi nhật ký nào được kích hoạt không?
  • Thông tin liên kết một người dùng cụ thể với một máy chủ VPN cụ thể mà họ đang kết nối có được ghi lại không?

Các báo cáo kết quả xác nhận rằng chúng tôi không lưu giữ bất kỳ nhật ký siêu dữ liệu nào, không ghi nhật ký hoạt động VPN và không tham gia vào bất kỳ hoạt động nào có thể xâm phạm quyền riêng tư của người dùng.

Các báo cáo cũng xác nhận rằng khi Proton VPN thêm nhiều tính năng và chức năng hơn vào dịch vụ, điều này không ảnh hưởng đến chính sách không ghi nhật ký nghiêm ngặt của chúng tôi theo bất kỳ cách nào. Như báo cáo mới nhất (2025) kết luận:

“Bằng chứng kỹ thuật được xem xét cho thấy không có trường hợp ghi nhật ký hoạt động của người dùng, lưu trữ siêu dữ liệu kết nối hoặc kiểm tra lưu lượng mạng mâu thuẫn với chính sách không ghi nhật ký. Hơn nữa, cuộc kiểm toán đã xác minh việc triển khai các biện pháp kiểm soát kỹ thuật và hành chính mạnh mẽ, bao gồm quản lý cấu hình tự động và quy trình thay đổi kiểm soát kép chính thức, được thiết kế để đảm bảo tính toàn vẹn liên tục của môi trường không ghi nhật ký.

Dựa trên những phát hiện này, Securitum chứng thực rằng dịch vụ Proton VPN, như được cấu hình tại thời điểm kiểm toán, tuân thủ đầy đủ các cam kết về quyền riêng tư được nêu trong chính sách không ghi nhật ký”.

Có thể đọc báo cáo đầy đủ mới nhất từ Securitum bên dưới:

Theo khuyến nghị của Securitum, đây hiện là cuộc kiểm toán thường niên thứ ba liên tiếp về chính sách không ghi nhật ký. Cũng có thể đọc các cuộc kiểm toán không ghi nhật ký trước đây của Securitum:

Niềm tin thông qua sự minh bạch

Tại Proton, chúng tôi tin rằng mọi tuyên bố đều cần được điều tra và xác minh, bao gồm cả tuyên bố của chính chúng tôi. Trong tương lai, chúng tôi sẽ tiếp tục thực hiện các cuộc kiểm toán bảo mật thường xuyên và công bố kết quả để người dùng có thể đọc báo cáo của chuyên gia bảo mật độc lập trước khi giao phó dữ liệu cho chúng tôi.

Nếu là nhà nghiên cứu bảo mật, chúng tôi cũng mời bạn hỗ trợ bảo mật tại Proton thông qua chương trình tiền thưởng tìm lỗi(cửa sổ mới), cung cấp các khoản tiền thưởng hậu hĩnh cho bất kỳ ai có thể xác định các lỗ hổng trong các dịch vụ mã nguồn mở của chúng tôi.

Đăng ký Proton VPN(cửa sổ mới) để nhận được VPN không ghi nhật ký minh bạch, mã nguồn mở và được kiểm toán đầy đủ, tôn trọng quyền riêng tư