No início deste ano, nos comprometemos a investir em uma maior frequência e número de auditorias de terceiros. Auditorias por terceiros confiáveis são um importante indicador de confiança e transparência, pois fornecem uma avaliação independente das reivindicações de privacidade e segurança que fazemos.
Hoje, compartilhamos as auditorias mais recentes. Convidamos a KPMG e a Cure53 para realizar auditorias independentes separadamente em nossos sistemas e tecnologias de servidor principal. Com base nos relatórios fornecidos, acreditamos que você pode ter certeza de que nunca saberemos o que você faz online quando estiver conectado ao nosso serviço e que não temos essas informações confidenciais para compartilhar, mesmo se fôssemos obrigados.
Nossa política para a coleta de dados é coletar somente as informações mínimas necessárias para operar nosso serviço VPN premium. Isso significa que nunca coletaremos nem armazenaremos dados que possam comprometer a privacidade ou a segurança de um usuário, e nenhum registro de atividade, de conexão ou qualquer outra informação confidencial.
Uma das maneiras importantes de fazer isso é através do TrustedServer, nossa inovadora tecnologia de servidor VPN desenvolvida internamente, que minimiza de maneira significativa os riscos de privacidade e segurança que o gerenciamento tradicional de servidores representa. TrustedServer é a tecnologia de servidor mais avançada do mundo, com várias camadas de controles que garantem que não registremos nenhum dado do usuário, nem mesmo acidentalmente.
Definimos e implementamos uma série de controles que nos dão a confiança de que operamos de acordo com nosso princípio de não registrar conexões e atividades. A KPMG testou o design e a implementação dos controles que nos ajudam a alcançar os principais aspectos de nossa política de privacidade. A Cure53 também realizou um teste de penetração e auditoria de código-fonte do TrustedServer.
A auditoria KPMG coloca a política de não registrar atividades e conexões da ExpressVPN à prova
Auditores independentes da KPMG realizaram testes em nossa estrutura de controles e entrevistaram membros de nossa equipe para verificar os processos, sistemas e controles criados para garantir que nossos servidores VPN estivessem em conformidade com nossa política de privacidade. Isso incluiu testar nossa política de não coletar registros de atividades ou de conexão e que a tecnologia TrustedServer opera conforme descrevemos.
Concluindo, estamos entusiasmados que a KPMG nos tenha emitido um atestado de integridade.
O relatório completo da KPMG está disponível para qualquer pessoa, desde que ela reconheça os termos e condições da KPMG antes de acessá-lo. Os clientes da ExpressVPN também podem ler o relatório completo fazendo login e visitando a página de Auditorias de Privacidade e Segurança.
A auditoria foi conduzida de acordo com as diretrizes, reconhecidas mundialmente, da International Standard on Assurance Engagements (ISAE) (Reino Unido) 3000 Tipo 1.
A auditoria Cure53 reforça ainda mais a segurança do TrustedServer
De forma separada, a empresa de segurança cibernética Cure53 realizou uma auditoria de código-fonte e uma avaliação de segurança de caixa branca do TrustedServer. As conclusões foram positivas e destacam a forte postura de segurança do TrustedServer. (Para sua informação, nossa recompensa de caça de bugs do TrustedServer no valor de US$ 100.000 ainda está em vigor!)
A Cure53 afirma que “a maioria das debilidades gerais e pequenas falhas foi identificada. Além disso, a maioria delas pode ser avaliada como simples de corrigir e resolver. Também pode ser reconhecido positivamente que nenhuma das quatro vulnerabilidades realmente identificadas foi classificada com uma pontuação de gravidade Alta ou Crítica, apresentando um ambiente já bastante robusto exposto pelos componentes do ExpressVPN TrustedServer.”
Leia o relatório de auditoria completo da Cure53 aqui.
Nosso compromisso com a confiança e a transparência
As duas novas auditorias são adicionadas à nossa lista de auditorias e avaliações de segurança anteriores:
- Uma auditoria da Cure53 do nosso aplicativo para Linux (agosto 2022)
- Uma auditoria da Cure53 do nosso aplicativo para macOS (julho 2022)
- Uma auditoria de segurança da Cure53 do nosso roteador Aircove (julho 2022)
- Uma auditoria da F-Secure do nosso aplicativo para Windows v12 (abril 2022)
- Uma auditoria de segurança da F-Secure do nosso aplicativo para Windows v10 (março 2022)
- Uma auditoria de segurança da Cure53 do nosso protocolo VPN Lightway (agosto 2021)
- Uma auditoria da PwC Suíça do nosso processo de verificação (junho 2020)
- Uma auditoria da PwC Suíça do nosso cumprimento da política de privacidade e da nossa tecnologia interna TrustedServer (junho 2019)
- Uma auditoria de segurança da Cure53 da nossa extensão para navegador (novembro 2018)
“Estamos satisfeitos que nossos sistemas e tecnologias de servidor principal tenham sido examinados pela KPMG e pela Cure53. Auditorias regulares de terceiros que validam nossos controles e os resultados do trabalho de nossa equipe interna, juntamente com outros esforços de segurança, como nosso programa de recompensas por bugs, nos dão ainda mais confiança de que estamos protegendo bem nossos usuários”, diz Aaron Engel, head de cibersegurança, ExpressVPN. “Estamos orgulhosos de liderar o setor em confiança e transparência e esperamos publicar ainda mais auditorias este ano.”
*Mesmo que parte do conteúdo ainda esteja em seu idioma original, acreditamos ser relevante tê-lo no post, esperamos que você ainda possa aproveitá-lo.