PureVPN har nyligen genomgått en välbehövlig oberoende granskning av deras "no logs"-påstående. Jag säger välbehövligt både eftersom transparens är något som VPN-branschen som helhet är i stort behov av, och PureVPN:s egna kontroverser i det förflutna krävde en grundlig städning.
Efter ett antal pålitliga VPN:er som ExpressVPN, NordVPN, TunnelBear och VyprVPN är PureVPN nu den senaste leverantören att få en revisors validering för att ytterligare stärka användarnas förtroende.
Altius IT, det Kalifornien-baserade revisionsföretaget för nätverkssäkerhet, sammanfattade sin 18 dagar långa inspektion av PureVPNs policy för inga loggar med dessa ord:
"[Altius IT] hittade inga bevis på systemkonfigurationer och/eller system-/tjänstloggfiler som självständigt, eller kollektivt, kunde leda till att identifiera en specifik person och/eller personens aktivitet vid användning av PureVPN-tjänsten."
Det finns dock fortfarande en hel del oklarheter kring loggningspolicyerna för VPN i allmänhet, något som PureVPN specifikt har fått obefogat smuts för under åren. Sanningen är att det helt enkelt är omöjligt för någon VPN att fungera utan några uppgifter om sina kunder alls.
Som sådan är det viktigt att klassificera loggar i två typer: loggar som har makten att undergräva din integritet online (användningsloggar) och loggar som helt enkelt är ofarliga när det gäller bevarandet av din integritet (kontouppgifter).
Det är de förstnämnda, dvs. loggar som innehåller personligt identifierbar information (PII) såsom namn, e-postadresser, personliga IP-adresser, etc. som ingen legitim VPN har någon verksamhet att lagra.
Den oberoende granskning som PureVPN har genomgått bevisar att, när det gäller PII, alla garantier om ingen loggning som företaget har gett till kunder är helt legitima.
Med tanke på PureVPNs historia kan detta dock höja några ögonbryn bland dem som har tidigare bekantskap med varumärket, särskilt i relation till FBI-fallet som inträffade 2017.
Vi tror att denna granskning har gett det perfekta ögonblicket för PureVPN att komma rent och sätta rekordet angående företagets hela inställning till användarnas integritet. Det är därför vi kontaktade PureVPN med några egna frågor:
F.1 Varför väntade PureVPN tills nu för att få denna oberoende revision utförd? Är detta en tyst bekännelse att företaget lagrade stockar tidigare?
"Denna granskning är en serie steg som vi tar för att ytterligare befästa vårt engagemang för verklig integritet.
Före den 25 maj 2018, vilket råkar vara datumet för GDPR-lagstiftningen, följde vi en annan integritetspolicy. Den policyn gjorde det möjligt för oss att samarbeta med brottsbekämpande myndigheter vid allvarliga brott som barnpornografi, terroristaktiviteter och liknande. Vi kallade det "Noll webbläsarloggar"-policy. Den gamla policyn beskrevs och förklarades mycket tydligt i vårt svar på FBI-evenemanget i oktober 2017.
Men efter Apples ställningstagande med FBI:s iPhone-fodral och med tillkomsten av GDPR, kände vi att vi ser tillräckligt med globalt stöd för att gå från policyn "Zero Browsing Logs" till "Noll User Logs"-policy; Den viktigaste skillnaden är tidsstämplar och inkommande (ursprungliga) ISP IP-adresser.
Så från och med den 25 maj 2018 följer vi en annan version av integritetspolicyn (Policy för nollloggar med absolut inga surfloggar, inga individuella tidsstämplar för anslutning/bortkoppling och ingen loggning av inkommande ursprungliga ISP-IP-adresser eller dess koppling i någon form med maskerade VPN IP-adresser). Sedan dess har PureVPN gått igenom en serie granskningar med fokus på olika aspekter av tjänsten från säkerhet, integritet, loggningspolicy.
Här är den senaste integritetspolicyn: Du kan läsa PureVPNs integritetspolicy här:
https://vpn.inform.click/recommend-purevpn _
F.2 Denna granskning verkar begränsad i omfattning eftersom den endast tog hänsyn till loggningsaspekten av din tjänst. Finns det någon anledning till att revisionen inte holistiskt inspekterade din kompletta infrastruktur för att identifiera underliggande styrkor och svagheter?
"Detta är inte en revision med begränsad omfattning. Det är en omfattande revision i full omfattning. Vi tillät och tillhandahåller all åtkomst så att de kan plocka upp och inspektera vilka system de vill ha. De tittade på allt från våra VPN-servrar, konfigurationer, systemtjänster och API:er. De tittade också på våra databaser och spårade hela dataflödet för att säkerställa att ingen användaridentifierbar information lagrades någonstans.
PureVPN har gått igenom en serie granskningar för säkerhet, integritet och loggar. Vi fortsätter att engagera oberoende välrenommerade revisorer då och då för att tillhandahålla bättre tjänster och garantier till våra kunder i över 140 länder världen över. Förutom att vara den första att följa GDPR och ha den mest transparenta integritetspolicyn, är PureVPN den första och enda leverantören som har ett offentligt betald bugg-bounty-program (Bugcrowd.com/purevpn) där 90 000+ starka community av white hat-hackers testar kontinuerligt och stärka vår service. Vi strävar dag och natt för att leverera mer och mer värde till miljontals prenumeranter i över 140 länder som litar på deras säkerhet och integritet hos oss."
F.3) Många av dina servrar är placerade i länder som kan ha obligatoriska krav på datalagring såsom USA. Hur säkerställer du att din policy för "ingen loggning" följs när användare är anslutna till dessa servrar?
"Vi är en Hong Kong-baserad VPN och det finns ingen obligatorisk lag om datalagring här. Dessutom väljer vi noggrant de datacenter som passar vår integritetspolicy. All bristande efterlevnad av våra krav informeras och regleras i enlighet med de avtal vi gör med tredjepartsdatacenter innan vi köper tjänster i dessa länder."
F.4) Vad är företagets svar i händelse av att du får ett beslut eller ett domstolsbeslut att avslöja en kunds information?
"Vi har öppet nämnt i vår integritetspolicy att:
PureVPN valde specifikt Hong Kong (HK) för sitt huvudkontor eftersom det inte finns "Inga obligatoriska lagar för datalagring" i Hong Kong. Vi är därför inte juridiskt skyldiga att lagra användardata och dela den med någon. Dessutom, som nämnts ovan, har vi inga värdefulla uppgifter att dela med någon brottsbekämpande myndighet från något särskilt land i världen. Även om vi får stämningar som är juridiskt upprätthållna i domstolen i Hong Kong, kommer vi inte att vara till mycket hjälp eftersom vi nästan inte har något av värde att dela med oss av.”
F.5) Med tanke på den befintliga situationen i Hong Kong – regionen du är baserad i – och hotet från Kina mot regionens suveränitet, hur kan detta påverka PureVPN:s åtagande att förbli en loggfri VPN i framtiden?
"Vi är medvetna om det, men för närvarande ser vi ingenting som kan påverka PureVPN. Vi är ständigt på vak här och kommer att vidta nödvändiga åtgärder när tiden eller omständigheterna kräver."
Slutgiltiga tankar
PureVPN har verkligen kommit långt. När revisionsbyrån nu bekräftar PureVPNs loggningspåstående är företaget redo att ta en helt ny start och stärka sitt rykte som ett företag som respekterar användarnas integritet framför allt.
Kanske är det det som skiljer framåtblickande, kundcentrerade företag från de som oundvikligen tynar bort i irrelevans – ett öde PureVPN fortsätter att göra betydande framsteg mot. Du kan också kolla in våra djupgående VPN-recensioner för Hong Kong om du letar efter en VPN inom landet.