Per sviluppare e aggiornare un’app come ExpressVPN sono necessarie molte persone. Per farlo in modo sicuro, dobbiamo assicurarci che tutti i soggetti coinvolti siano adeguatamente controllati, preparati e formati. Ma questo può non essere abbastanza.
Dobbiamo assicurarci anche che nessuno al di fuori della nostra azienda sia in grado di interferire nelle nostre cose. Per questo motivo ci siamo assicurati che nessuno possa mettere mano alla nostra build, garantendo così che nessuna terza parte sia mai in grado di apportare modifiche non autorizzate al nostro software, compresa la possibilità di inserire malware al suo interno.
Proprio come vengono protette le forniture di acqua in modo che ci si possa fidare di ciò che esce dal rubinetto, il nostro software è protetto da contaminazione dal momento in cui viene sviluppato fino alla sua diffusione. E ora le nostre misure di sicurezza sono state sottoposte a una revisione indipendente.
Minimizzare il rischio di contaminazione
Negli ultimi anni abbiamo assistito a diversi casi in cui le principali aziende tecnologiche, compresi i produttori di PC, hanno distribuito software e hardware ai propri clienti che erano stati infettati da malware, a un certo punto della distribuzione.
Per questo motivo abbiamo sviluppato un sistema di verifica che riduce drasticamente il rischio che un individuo o una macchina compromessi possano causare la distribuzione involontaria di malware ai nostri clienti.
Ciò significa che è possibile utilizzare le app di ExpressVPN sicuri che non contengano alcun codice non autorizzato o dannoso.
Ecco alcune norme e procedure che abbiamo implementato:
- L’utilizzo di chiavi crittografiche PGP rilasciate da ExpressVPN per tutte le modifiche al codice sorgente
- È necessario che tutte le modifiche al codice siano approvate da una persona autorizzata, diversa da quella che ha effettuato la modifica
- Controlli automatici delle modifiche, con avvisi per le modifiche inattese, a cui viene dato seguito di persona
- L’utilizzo di ambienti di build automatizzati CircleCI e Azure DevOps per la produzione dei binari di distribuzione ai clienti
I nostri processi di verifica sono stati oggetto di valutazione da parte di PwC Switzerland
In che modo possiamo affermare che ciò che diciamo attraverso le nostro politiche sia vero? È qui che entra in gioco la società di revisione indipendente PwC Switzerland.
Per convalidare queste misure di sicurezza, PwC Switzerland ha condotto una verifica indipendente che ha esaminato le politiche e i controlli da noi adottati per distribuire applicazioni prive di modifiche non autorizzate. Questi esperti hanno svolto il loro lavoro di verifica accedendo al nostro codice sorgente, ai server, alla documentazione e alle persone durante il mese di maggio nel 2020.
Il report di valutazione indipendente è a disposizione dei nostri clienti. In linea con gli standard di PwC Switzerland per questo tipo di report, coloro che desiderano visualizzarlo devono accettare i termini e le condizioni dell’azienda prima di accedervi. I clienti possono farlo collegandosi a questo link.
PwC Switzerland non consente la condivisione di estratti, al fine di garantire che i risultati della verifica non vengano estrapolati dal contesto e fraintesi, quindi non forniremo informazioni specifiche sui risultati in questo blog. Tuttavia, possiamo dire che siamo soddisfatti del processo e incoraggiamo i clienti a leggere il report completo.
Eliminare le preoccupazioni sulla sicurezza
ExpressVPN è sempre alla ricerca di potenziali minacce alla privacy e alla sicurezza dei suoi clienti, e di soluzioni per ridurre al minimo i rischi.
Le verifiche effettuate da terze parti affidabili, tra cui la recente valutazione sulla sicurezza di Cure53 e la verifica dello scorso anno condotta da PwC Switzerland sulla conformità della nostra politica sulla privacy e la nostra tecnologia interna TrustedServer, forniscono analisi indipendenti degli impegni in materia di privacy e sicurezza che ci assumiamo nei confronti dei clienti.
Questi interventi di verifica e le valutazioni di sicurezza, integrano le nostre altre iniziative in materia di fiducia e trasparenza, tra cui la distribuzione di strumenti open-source per la verifica delle esposizioni, la pubblicazione delle informazioni sulle nostre pratiche di sicurezza e il lancio della VPN Trust Initiative, che mira a promuovere la consapevolezza degli utenti in merito alla sicurezza di internet.
ExpressVPN si impegna a far crescere il settore sia con la tecnologia che con la trasparenza. Non vediamo l’ora di pubblicare altri tipi di revisioni, strumenti e approfondimenti che ci consentano di tenere fede a questo impegno.