(wideo dostępne w języku angielskim)
Do stworzenia i utrzymania aplikacji ExpressVPN potrzeba wielu osób pracujących na wielu systemach. Aby zapewnić odpowiedni poziom bezpieczeństwa, musimy mieć pewność, że wszystkie zaangażowane osoby są odpowiednio przygotowane, przeszkolene i kontrolowane. Ale to nie wystarczy.
Musimy mieć także pewność, że nikt spoza naszej firmy nie będzie miał szansy zakłócić owego procesu. Dlatego wdrożyliśmy rygorystyczną procedurę weryfikacji, która zapewnia, że żadne osoby trzecie nie są w stanie dokonać nieautoryzowanych modyfikacji naszego oprogramowania, w tym wgrać złośliwego oprogramowania.
Zasoby wody są chronione, więc ludzie mogą spokojnie pić wodę z kranu. Nasze oprogramowanie jest chronione przed złośliwym kodem, więc możesz spokojnie z niego korzystać. A teraz te zabezpieczenia zostały poddane niezależnej weryfikacji.
Minimalizacja ryzyka zawirusowania
W ostatnich latach byliśmy świadkami kilku przypadków, w których duże firmy technologiczne, w tym producenci komputerów, udostępniały swoim klientom oprogramowanie i sprzęt, który został zainfekowany złośliwym kodem na którymś z etapów rozwoju lub dystrybucji.
Mając to na uwadze, opracowaliśmy system weryfikacji, który znacznie zmniejsza ryzyko, że osoba lub maszyna narażona na atak może spowodować nieumyślne rozprowadzenie złośliwego oprogramowania wśród naszych klientów.
Oznacza to, że możesz korzystać z aplikacji ExpressVPN mając pewność, że nie zawierają one żadnego nieautoryzowanego lub złośliwego kodu.
Oto kilka z zasad i procedur, które wdrożyliśmy:
- Stosowanie kluczy szyfrujących PGP wydanych przez ExpressVPN dla wszystkich zmian kodu źródłowego.
- Wymóg, aby wszystkie zmiany w kodzie były zatwierdzane przez upoważnioną osobę, ale inną niż ta, która dokonała zmiany.
- Zautomatyzowane audyty zmian z alarmami o nieoczekiwanych zmianach, które są sprawdzane osobiście.
- Wykorzystywanie wyłącznie zautomatyzowanych środowisk CircleCI i Azure DevOps do produkcji binariów dystrybuowanych do klientów.
Nasze procesy weryfikacji zostały sprawdzone przez PwC Switzerland
Ale skąd masz mieć pewność, że twierdzenia dotyczące naszej polityki są prawdziwe? Na to pytanie może śmiało odpowiedzieć niezależna firma audytorska, PwC Switzerland.
Aby potwierdzić nasze zabezpieczenia, firma PwC Switzerland przeprowadziła niezależne badanie, w ramach którego przeanalizowała zasady i mechanizmy kontroli, które stosujemy, aby nasze aplikacje były wolne od nieautoryzowanych modyfikacji. Praktycy dokonali weryfikacji, uzyskując dostęp do naszego kodu źródłowego, serwerów, dokumentacji oraz ludzi w maju 2020 roku.
Raport PwC jest dostępny dla klientów. Zgodnie ze standardami PwC Switzerland dotyczącymi tego typu raportów, osoby chcące się z nim zapoznać najpierw muszą zaakceptować warunki firmy. Klienci mogą to zrobić poprzez ten link.
PwC Switzerland nie zezwala na udostępnianie fragmentów po to, by żadne z wyników poświadczenia nie zostały wyjęte z kontekstu lub źle zrozumiane, zatem w tym wpisie nie będziemy przedstawiać szczegółów dotyczących wyników. Możemy jednak powiedzieć, że byliśmy zadowoleni z całego procesu i zachęcamy klientów do zapoznania się z pełnym raportem.
Dbamy o Twoje bezpieczeństwo
W ExpressVPN zawsze szukamy potencjalnych zagrożeń dla Twojej prywatności i bezpieczeństwa, a następnie znajdujemy rozwiązania, które pomogą nam do nich nie dopuścić.
Audyty przeprowadzone przez zaufane firmy zewnętrzne, w tym niedawna ocena bezpieczeństwa Cure53 i zeszłoroczny audyt PwC Switzerland weryfikujący naszą politykę prywatności oraz wewnętrzną technologię TrustedServer, potwierdzają, że dokładamy wszelkich starań, aby dbać o prywatność i bezpieczeństwo naszych klientów.
Takie poświadczenia i oceny bezpieczeństwa uzupełniają nasze pozostałe działania na rzecz zaufania i przejrzystości, w tym udostępnianie kodu źródłowego narzędzi wykrywających wycieki, publiczne wyszczególnianie naszych praktyk dot. bezpieczeństwa oraz uruchomienie „VPN Trust Initiative” – progamu, który ma na celu promowanie świadomości na temat bezpieczeństwa w Internecie.
W ExpressVPN staramy się nieustannie rozwijać – zarówno poprzez technologię, jak i przejrzystość. Z niecierpliwością czekamy na publikację kolejnych audytów, narzędzi i spostrzeżeń, które dodatkowo potwierdzą, że możesz nam ufać.