Proton VPN 零日誌政策年度外部稽核

更新 2025 年 9 月 19 日：本文已更新，以重點介紹 Securitum 對我們零日誌政策的最新稽核。包含我們所有零日誌政策稽核的連結。

我們很高興地宣布，Proton VPN 已通過連續第四年的基礎設施年度第三方稽核，確認了我們嚴格的零日誌政策。當我們說我們是零日誌 VPN 時，這不僅僅是一個宣稱：它已經過獨立專家的再次檢查。

作為一個由在 CERN 相識的科學家所創立的組織，我們相信同儕審查和透明度。這也是為什麼我們將所有應用程式開放原始碼，以便任何人都可以檢查我們的代碼。

當然，我們了解並非每個人都有時間或技能親自檢查代碼。這就是為什麼除了我們的內部稽核之外，我們定期將我們的應用程式提交給第三方安全稽核(新視窗)並公開結果。這樣，每個人都可以獲得獨立專家對我們應用程式安全性的意見。

在最近的 所有 Proton 應用程式安全稽核(新視窗)中，來自 Securitum(新視窗)（一家領先的歐洲安全稽核公司，每年監督超過 300 個主要企業和銀行的安全測試專案）的安全專家沒有發現重大的安全問題。這顯示 Proton 的內部稽核和安全軟體開發文化是有效的。而且因為我們 應用程式的代碼完全是開放原始碼，我們的安全性得到了我們 漏洞賞金計畫(新視窗) 的加強，該計畫匯集了來自世界各地的安全專家來檢查我們的應用程式。

然而，對於 VPN 服務，驗證伺服器端發生的事情也很重要，而不僅僅是應用程式端。

為什麼驗證 VPN 的零日誌政策很重要

當您連線到 VPN 時，它實際上變成了您的網際網路供應商，這意味著任何 VPN 供應商在技術上都能夠追蹤和記錄您在線上的行為。雖然許多 VPN 聲稱擁有零日誌政策，但這些政策在接受測試時並不總是站得住腳。

Proton VPN 嚴格的零日誌政策在 2019 年的一起法律案件中受到了測試。我們被命令移交日誌以協助識別一名使用者，但我們無法配合，因為這些日誌並不存在。Proton VPN 的瑞士管轄權也賦予 VPN 服務額外的利益。例如，在目前的瑞士法律框架內，Proton VPN 沒有任何記錄要求。然而，錯誤的伺服器組態或有缺陷的系統架構仍有可能導致日誌被意外已儲存。

為了解決這個問題，我們要求 Securitum 定期對我們的基礎設施和伺服器端運作進行徹底檢查。每年，Securitum 安全專家都會花幾天時間現場審查我們的 VPN 組態檔案和伺服器組態，評估我們的作業程序，並訪談我們的員工。他們的年度稽核非常廣泛，並檢查了以下內容：

• 處理使用者流量的生產 VPN 伺服器上是否追蹤或記錄了使用者活動？
• VPN 伺服器上是否記錄了連線中繼資料，例如 DNS 查詢或工作階段時間戳記？
• 是否主動檢查使用者網路流量，或其內容是否記錄在 VPN 伺服器上？
• 是否監控或記錄了關於使用者連線的特定服務（例如網站、外部伺服器）的資訊？
• 是否維護了將存取的服務（例如網站、伺服器）與所使用的特定 VPN 伺服器相關聯的彙總日誌？
• 零日誌政策是否統一套用於所有伺服器、所有地理區域以及所有使用者訂閱層級？
• 是否有適當的自動化程序來偵測並產生未經授權的組態變更警報，這些變更可能會啟用記錄（例如將「log」參數從 false 變更為 true）？
• 對於所有授權的記錄相關組態變更，是否強制執行包含雙重控制（四眼）原則的正式變更管理程序？
• 核心 VPN 服務的活動組態檔案是否包含任何已啟用的記錄指令？
• 是否記錄了將特定使用者與其連線的特定 VPN 伺服器相關聯的資訊？

最終報告確認我們不保留任何中繼資料日誌，不記錄您的 VPN 活動，也不參與任何可能入侵您隱私的行為。

報告還確認，隨著 Proton VPN 為我們的服務增加更多功能，這絕不會影響我們嚴格的零日誌政策。正如最新（2025 年）報告的結論：

「審查的技術證據顯示，沒有使用者活動記錄、連線中繼資料儲存空間或網路流量檢查的實例會與零日誌政策相牴觸。此外，稽核驗證了強大的管理和技術控制的實施，包括自動化組態管理和正式的雙重控制變更程序，旨在確保零記錄環境的持續完整性。

基於這些發現，Securitum 證明 Proton VPN 服務在稽核時的組態，完全符合其零日誌政策中概述的隱私承諾」。

您可以在下方已讀 Securitum 的最新完整報告：

• Proton VPN 零日誌安全稽核 2025(新視窗)(新視窗)

根據 Securitum 的建議，這是我們連續第三年對零日誌政策進行年度稽核。您也可以已讀 Securitum 過去的零日誌稽核：

• Proton VPN 零日誌安全稽核 2024(新視窗)
• Proton VPN 零日誌安全稽核 2023(新視窗)
• Proton VPN 零日誌安全稽核 2022(新視窗)

透過透明度建立信任

在 Proton，我們相信所有的宣稱都應該經過調查和驗證，包括我們自己的。展望未來，我們將繼續執行定期的安全稽核並公布結果，以便您在將您的資料託付給我們之前，可以已讀獨立安全專業人員的報告。

如果您是安全研究人員，我們也邀請您透過我們的 漏洞賞金計畫(新視窗) 支援 Proton 的安全性，該計畫為任何能識別我們開放原始碼服務中漏洞的人提供豐厚的獎金。

註冊 Proton VPN(新視窗) 以獲得透明、開放原始碼且經過完全稽核的零日誌 VPN，尊重您的隱私