Absolution PureVPN: roszczenie dotyczące braku logowania poparte audytem

Ostatnia aktualizacja lip 28, 2023

PureVPN niedawno przeszedł bardzo potrzebny niezależny audyt swoich twierdzeń „brak logów". Mówię, że bardzo potrzebne zarówno, ponieważ przejrzystość jest czymś, czego pilnie potrzebuje cała branża VPN, jak i własne kontrowersje PureVPN w przeszłości domagały się gruntowne sprzątanie domu.

Po wielu niezawodnych sieciach VPN, takich jak ExpressVPN, NordVPN, TunnelBear i VyprVPN, PureVPN jest teraz najnowszym dostawcą, który otrzymał weryfikację audytora w celu dalszego wzmocnienia zaufania użytkowników.

Altius IT, kalifornijska firma audytorska ds. bezpieczeństwa sieci, podsumowała swoją 18-dniową kontrolę polityki braku logów PureVPN w następujących słowach:

„[Altius IT] nie znalazł żadnych dowodów na konfiguracje systemu i/lub pliki dziennika systemu/usług, które niezależnie lub łącznie mogłyby prowadzić do zidentyfikowania konkretnej osoby i/lub jej aktywności podczas korzystania z usługi PureVPN.”

Jednak nadal istnieje wiele niejasności dotyczących ogólnych zasad rejestrowania VPN, co w szczególności PureVPN otrzymywało przez lata nieuzasadnioną krytykę. Prawda jest taka, że żadna sieć VPN nie może działać bez żadnych danych dotyczących jej klientów.

W związku z tym ważne jest, aby podzielić logi na dwa typy: logi mające moc podważania Twojej prywatności w Internecie (dzienniki użytkowania) oraz logi, które są po prostu nieszkodliwe, jeśli chodzi o ochronę Twojej prywatności (poświadczenia konta).

To pierwsze, tj. dzienniki zawierające informacje umożliwiające identyfikację osoby (PII), takie jak nazwiska, adresy e-mail, osobiste adresy IP itp., których żadna legalna sieć VPN nie przechowuje w żaden sposób.

Niezależny audyt, który przeszedł PureVPN, dowodzi, że jeśli chodzi o PII, wszystkie gwarancje braku logowania, jakie firma daje klientom, są całkowicie uzasadnione.

Jednak biorąc pod uwagę historię PureVPN, może to wywołać kilka brwi wśród osób, które wcześniej znały markę, szczególnie w odniesieniu do sprawy FBI, która miała miejsce w 2017 roku.

Uważamy, że ten audyt był idealnym momentem, aby PureVPN wyszedł na jaw i wyprostował cały stosunek firmy do prywatności użytkowników. Właśnie dlatego skontaktowaliśmy się z PureVPN z kilkoma własnymi pytaniami:

P.1 Dlaczego PureVPN czekał aż do teraz, aby przeprowadzić ten niezależny audyt? Czy to ciche wyznanie, że firma wcześniej przechowywała logi?

„Ten audyt to seria kroków, które podejmujemy, aby jeszcze bardziej ugruntować nasze zaangażowanie w prawdziwą prywatność.

Przed 25 maja 2018 r., która jest również datą wejścia w życie RODO, stosowaliśmy inną politykę prywatności. Ta polityka pozwoliła nam współpracować z organami ścigania w przypadku poważnych przestępstw, takich jak pornografia dziecięca, działalność terrorystyczna i tym podobne. Nazwaliśmy to polityką „Zero przeglądania dzienników”. Ta stara polityka została bardzo jasno opisana i wyjaśniona w naszej odpowiedzi na wydarzenie FBI w październiku 2017 r.

Jednak podążając za stanowiskiem Apple w sprawie iPhone'a FBI i wraz z nadejściem RODO, czuliśmy, że widzimy wystarczające globalne wsparcie, aby przejść z polityki „Zerowych dzienników przeglądania” na politykę „Zerowych dzienników użytkowników”; kluczową różnicą są znaczniki czasu i przychodzące (oryginalne) adresy IP dostawcy usług internetowych.

Tak więc z dniem 25 maja 2018 r. postępujemy zgodnie z inną wersją Polityki prywatności (polityka zerowych logów bez żadnych logów przeglądania, żadnych indywidualnych znaczników czasu łączenia/rozłączania oraz rejestrowania przychodzących oryginalnych adresów IP dostawcy usług internetowych lub ich powiązania w jakiejkolwiek formie z zamaskowane adresy IP VPN). Od tego czasu PureVPN przeszedł szereg audytów skupiających się na różnych aspektach usługi, od bezpieczeństwa, prywatności, po politykę rejestrowania.

Oto najnowsza polityka prywatności: Możesz przeczytać politykę prywatności PureVPN tutaj:

https://www.purevpn.com/polityka-prywatnosci.php _

Q.2 Ten audyt wydaje się mieć ograniczony zakres, ponieważ uwzględnił jedynie aspekt logowania do Twojej usługi. Czy istnieje jakikolwiek powód, dla którego audyt nie zbadał całościowo całej infrastruktury w celu zidentyfikowania podstawowych mocnych i słabych stron?

„To nie jest audyt o ograniczonym zakresie. To kompleksowy audyt w pełnym zakresie. Zezwoliliśmy i zapewniliśmy im wszystkie dostępy, aby mogli wybierać i sprawdzać dowolne systemy, które chcieli, według ich woli. Przyjrzeli się wszystkim, od naszych serwerów VPN, po konfiguracje, usługi systemowe i interfejsy API. Przyjrzeli się również naszym bazom danych i prześledzili cały przepływ danych, aby upewnić się, że żadne informacje umożliwiające identyfikację użytkownika nie są nigdzie przechowywane.

PureVPN przeszedł szereg audytów bezpieczeństwa, prywatności i dzienników. Od czasu do czasu angażujemy niezależnych, renomowanych audytorów, aby zapewnić lepsze usługi i pewność naszym klientom w ponad 140 krajach na całym świecie. Oprócz tego, że jako pierwszy przestrzega RODO i ma najbardziej przejrzystą Politykę prywatności, PureVPN jest pierwszym i jedynym dostawcą, który ma publiczny płatny program bug bounty (Bugcrowd.com/purevpn), w którym ponad 90 000 silnej społeczności hakerów z białego kapelusza nieustannie testuje i wzmocnić nasze usługi. Dokładamy wszelkich starań, aby dzień i noc dostarczać coraz większą wartość milionom subskrybentów w ponad 140 krajach, którzy ufają nam swoim bezpieczeństwu i prywatności”.

P.3) Wiele Twoich serwerów znajduje się w krajach, w których mogą obowiązywać obowiązkowe wymagania dotyczące przechowywania danych, takich jak Stany Zjednoczone. Jak zapewnić przestrzeganie polityki „braku logowania”, gdy użytkownicy są połączeni z tymi serwerami?

„Jesteśmy siecią VPN z siedzibą w Hongkongu i nie ma tutaj obowiązkowego prawa dotyczącego przechowywania danych. Ponadto starannie wybieramy centra danych, które odpowiadają naszej polityce prywatności. Wszelkie niezgodności z naszymi wymaganiami są odpowiednio informowane i rozliczane w ramach umów, które zawieramy z zewnętrznymi centrami danych przed nabyciem usług w tych krajach.”

P.4) Jaka jest odpowiedź firmy w przypadku otrzymania nakazu lub nakazu sądowego ujawnienia informacji o kliencie?

„W naszej polityce prywatności otwarcie wspomnieliśmy, że:

PureVPN specjalnie wybrał Hongkong (HK) na swoją siedzibę główną, ponieważ w Hongkongu obowiązują „brak przepisów dotyczących obowiązkowego zatrzymywania danych”. Dlatego nie jesteśmy prawnie zobowiązani do przechowywania danych użytkowników i udostępniania ich komukolwiek. Co więcej, jak wspomniano powyżej, nie mamy wartościowych danych, którymi moglibyśmy się podzielić z organami ścigania z żadnego konkretnego kraju na świecie. Nawet jeśli otrzymamy wezwania, które są prawnie utrzymane w sądzie w Hongkongu, nie będziemy zbytnio pomocni, ponieważ nie mamy prawie nic wartościowego, którymi moglibyśmy się podzielić”.

P.5) Biorąc pod uwagę obecną sytuację w Hongkongu — regionie, w którym się znajdujesz — oraz zagrożenie ze strony Chin dla suwerenności regionu, w jaki sposób może to wpłynąć na zobowiązanie PureVPN do utrzymania sieci VPN bez dzienników w przyszłości?

„Zdajemy sobie z tego sprawę, jednak obecnie nie widzimy niczego, co mogłoby mieć wpływ na PureVPN. Nieustannie czuwamy tutaj i podejmiemy niezbędne działania, gdy czas lub okoliczności tego wymagają”.

Końcowe przemyślenia

PureVPN z pewnością przeszedł długą drogę. Ponieważ firma audytorska potwierdziła teraz roszczenie dotyczące logowania PureVPN, firma jest gotowa na zupełnie nowy początek i umocnienie swojej reputacji jako firmy, która przede wszystkim szanuje prywatność użytkownika.

Być może właśnie to odróżnia firmy myślące przyszłościowo, zorientowane na klienta od tych, które nieuchronnie tracą na znaczeniu — los PureVPN nadal robi znaczące postępy. Możesz również sprawdzić nasze szczegółowe recenzje VPN dla Hongkongu, jeśli szukasz sieci VPN w tym kraju.