VPN та конфіденційністьЗагальнеЗахист даних

Відмова від PureVPN: претензія без реєстрації, підтверджена аудитом

Останнє оновлення Лип 28, 2023

PureVPN нещодавно пройшов вкрай необхідний незалежний аудит їхньої заяви про відсутність журналів. Я кажу, що дуже потрібний, тому що прозорість – це те, чого вкрай потребує галузь VPN загалом, і власні суперечки PureVPN у минулому вимагали ретельне прибирання будинку.

Після ряду надійних VPN, таких як ExpressVPN, NordVPN, TunnelBear і VyprVPN, PureVPN тепер є останнім постачальником, який отримав перевірку аудитора для подальшого зміцнення довіри користувачів.

Altius IT, каліфорнійська аудиторська компанія з аудиту мережевої безпеки, підсумувала свою 18-денну перевірку політики PureVPN без реєстрації такими словами:

«[Altius IT] не знайшов жодних доказів конфігурацій системи та/або файлів журналу системи/служби, які окремо чи разом могли б привести до ідентифікації конкретної особи та/або її діяльності під час використання служби PureVPN».

Проте все ще існує багато неясностей навколо політики реєстрації VPN загалом, що саме PureVPN протягом багатьох років отримувало необґрунтовані повідомлення. Правда в тому, що жодна VPN просто не може працювати без жодних записів про своїх клієнтів.

Тому важливо класифікувати журнали на два типи: журнали, які можуть підірвати вашу конфіденційність в Інтернеті (журнали використання), і журнали, які є просто нешкідливими, що стосується збереження вашої конфіденційності (облікові дані).

Це перші, тобто журнали, що містять персональну інформацію (PII), таку як імена, адреси електронної пошти, особисті IP-адреси тощо, які не зберігаються у законних VPN.

Незалежний аудит, який пройшов PureVPN, доводить, що, що стосується PII, усі гарантії відсутності реєстрації, які компанія надає клієнтам, є цілком законними.

Однак, враховуючи історію PureVPN, це може викликати кілька несподіванок у тих, хто раніше був знайомий з брендом, особливо у зв'язку зі справою ФБР, яка сталася в 2017 році.

Ми вважаємо, що цей аудит дав ідеальний момент для PureVPN, щоб розібратися і встановити рекорд щодо всієї позиції компанії щодо конфіденційності користувачів. Ось чому ми звернулися до PureVPN з кількома власними запитаннями:

Q.1 Чому PureVPN чекав до цього моменту, щоб провести цей незалежний аудит? Це мовчазне зізнання, що компанія раніше зберігала колоди?

«Цей аудит – це низка кроків, які ми робимо, щоб ще більше закріпити нашу відданість справжньому конфіденційності.

До 25 травня 2018 року, що також є датою прийняття закону GDPR, ми дотримувались іншої політики конфіденційності. Така політика дозволяла нам співпрацювати з правоохоронними органами у разі серйозних злочинів, таких як дитяча порнографія, терористична діяльність тощо. Ми назвали це політикою «нульових журналів перегляду». Ця стара політика була описана та дуже чітко пояснена в нашій відповіді на подію ФБР у жовтні 2017 року.

Однак, дотримуючись позиції Apple щодо футляра iPhone ФБР і приходу GDPR, ми відчували, що бачимо достатню глобальну підтримку, щоб перейти від політики «нульових журналів перегляду» до політики «нульових журналів користувачів»; Ключовою відмінністю є часові позначки та вхідні (оригінальні) IP-адреси ISP.

Тому з 25 травня 2018 року ми дотримуємося іншої версії Політики конфіденційності (політика нульових журналів без жодних журналів перегляду, окремих часових позначок підключення/відключення, а також без реєстрації вхідних оригінальних IP-адрес провайдера або пов’язаних у будь-якій формі з замасковані IP-адреси VPN). Відтоді PureVPN пройшов серію аудитів, зосереджених на різних аспектах сервісу, починаючи від безпеки, конфіденційності та політики реєстрації.

Ось остання політика конфіденційності: Ви можете прочитати політику конфіденційності PureVPN тут:

https://vpn.inform.click/recommend-purevpn “

Q.2 Цей аудит здається обмеженим за обсягом, оскільки він враховує лише аспект реєстрації вашої служби. Чи є якась причина, по якій аудит не перевірив цілісно всю вашу інфраструктуру, щоб визначити основні сильні та слабкі сторони?

«Це не обмежений аудит. Це повномасштабний масштабний аудит. Ми дозволили та надали їм усі доступи, щоб вони могли підбирати й перевіряти будь-які системи, які вони хотіли. Вони переглянули все: наші VPN-сервери, конфігурації, системні служби та API. Вони також переглянули наші бази даних і простежили всі потоки даних, щоб переконатися, що жодна інформація, яка ідентифікує користувача, ніде не зберігалася.

PureVPN пройшов ряд перевірок безпеки, конфіденційності та журналів. Ми продовжуємо час від часу залучати незалежних авторитетних аудиторів, щоб надавати кращі послуги та гарантувати нашим клієнтам у більш ніж 140 країнах світу. Крім того, що PureVPN першим дотримується GDPR та має найпрозорішу політику конфіденційності, PureVPN є першим і єдиним постачальником, який має загальнодоступну платну програму винагороди за помилки (Bugcrowd.com/purevpn), де 90 000+ сильної спільноти хакерів білих капелюхів постійно тестують і зміцнити нашу службу. Ми прагнемо день і ніч, щоб забезпечити все більшу цінність мільйонам передплатників у понад 140 країнах, які довіряють нам свою безпеку та конфіденційність».

З.3) Багато ваших серверів розташовані в країнах, де можуть бути обов’язкові вимоги щодо збереження даних, наприклад у США. Як ви гарантуєте дотримання вашої політики «без реєстрації», коли користувачі підключені до цих серверів?

«Ми є VPN у Гонконзі, і тут немає обов’язкового закону про збереження даних. Крім того, ми ретельно вибираємо центри обробки даних, які відповідають нашій політиці конфіденційності. Будь-яка невідповідність нашим вимогам відповідно інформується та врегульовується в рамках контрактів, які ми укладаємо з центрами обробки даних третьої сторони до придбання послуг у цих країнах».

Q.4) Яка відповідь компанії у випадку, якщо ви отримаєте ордер або наказ суду про розкриття інформації клієнта?

«Ми відкрито згадали в нашій політиці конфіденційності, що:

PureVPN спеціально вибрав Гонконг (HK) для своєї штаб-квартири, оскільки в Гонконзі немає «законів про обов’язкове збереження даних». Таким чином, ми не зобов’язані за законом зберігати дані користувачів і ділитися ними з кимось. Більше того, як зазначено вище, у нас немає гідних даних, якими можна поділитися з будь-яким правоохоронним органом будь-якої конкретної країни світу. Навіть якщо ми отримаємо повістки, які законно підтримані в суді Гонконгу, ми не будемо особливо корисні, оскільки ми майже не маємо нічого цінного, щоб поділитися».

З.5) Враховуючи існуючу ситуацію в Гонконгу – регіоні, в якому ви перебуваєте – і загрозу суверенітету регіону з боку Китаю, як це може вплинути на прагнення PureVPN залишатися VPN без реєстрації в майбутньому?

«Ми знаємо про це, але наразі ми не бачимо нічого, що може вплинути на PureVPN. Ми постійно спостерігаємо тут і будемо вживати необхідних заходів, коли цього вимагатимуть час або обставини».

Останні думки

PureVPN, безумовно, пройшов довгий шлях. Оскільки аудиторська фірма підтверджує заяву PureVPN щодо реєстрації, компанія готова розпочати нову роботу та зміцнити свою репутацію як компанії, яка понад усе поважає конфіденційність користувачів.

Можливо, саме це відрізняє передові, орієнтовані на клієнта компанії, від тих, які неминуче нудьгують у своїй неактуальності – доля PureVPN продовжує досягати значного прогресу. Ви також можете ознайомитися з нашими поглибленими оглядами VPN для Гонконгу, якщо ви шукаєте VPN всередині країни.