All’inizio di quest’anno ci siamo impegnati a investire in una maggiore frequenza e quantità di controlli da parte di terzi. Le verifiche da parte di terzi accreditati sono un importante segnale di affidabilità e trasparenza, in quanto forniscono una valutazione indipendente delle nostre affermazioni sulla privacy e sulla sicurezza.
Oggi condividiamo l’ultimo di questi controlli. Abbiamo invitato sia KPMG che Cure53 a condurre separatamente dei controlli indipendenti sui nostri sistemi e sulle tecnologie dei server principali. Sulla base dei report che ci sono stati forniti, riteniamo che possiate stare tranquilli: non sapremo mai cosa fate online quando siete connessi al nostro servizio e non abbiamo informazioni sensibili da condividere, nemmeno se fossimo costretti a farlo.
Il nostro principio guida in materia di raccolta dei dati è quello di raccogliere solo quelli necessari per gestire un servizio VPN di livello superiore. Ciò significa che non raccogliamo né memorizziamo mai alcun dato che possa compromettere la privacy o la sicurezza di un utente: nessun log delle attività, nessun log delle connessioni o qualsiasi altra informazione sensibile.
Per farlo, ci avvaliamo di TrustedServer, la nostra innovativa tecnologia di server VPN interni che riduce significativamente i rischi per la privacy e la sicurezza che la gestione tradizionale dei server comporta. TrustedServer è la tecnologia di server più avanzata al mondo, con molteplici livelli di controllo che ci permettono di non registrare i dati degli utenti, nemmeno accidentalmente.
Abbiamo definito e implementato una serie di controlli che ci danno la certezza di operare in linea con il nostro principio “no logs”. KPMG ha verificato la progettazione e l’implementazione dei controlli che ci aiutano a raggiungere gli aspetti chiave della nostra Informativa sulla privacy. Inoltre, Cure53 ha condotto un test di penetrazione e un controllo del codice sorgente di TrustedServer.
La revisione di KPMG mette alla prova la politica no-logs di ExpressVPN
I revisori indipendenti di KPMG hanno eseguito dei test sul nostro framework di controllo e hanno intervistato i membri del nostro team per verificare i processi, i sistemi e i controlli volti a garantire che i nostri server VPN siano conformi alla nostra informativa sulla privacy. Ciò include la verifica della nostra politica di non raccogliere registri di attività o di connessione e che la tecnologia TrustedServer funzioni come descritto.
In conclusione, siamo lieti che KPMG ci abbia rilasciato un certificato di approvazione.
Il report completo di KPMG è disponibile a tutti, a patto che si accettino i termini e le condizioni di KPMG prima di accedervi. I clienti di ExpressVPN possono leggere il report completo effettuando il login e visitando la pagina Privacy and Security Audits.
La revisione è stata condotta in base allo standard internazionale riconosciuto a livello mondiale International Standard on Assurance Engagements (ISAE) (UK) 3000 Type 1.
La verifica di Cure53 rafforza ulteriormente la sicurezza di TrustedServer
La società di cybersicurezza Cure53 ha condotto separatamente una verifica del codice sorgente e una valutazione della sicurezza white-box di TrustedServer. I risultati sono stati positivi ed evidenziano la grande sicurezza di TrustedServer (per la cronaca, la nostra ricompensa di 100.000 dollari per TrustedServer è ancora in palio).
Cure53 spiega che “sono state individuate soprattutto debolezze generali e difetti minori. Inoltre, la maggior parte di esse può essere valutata come banale da correggere e risolvere. Si può anche riconoscere positivamente che nessuna delle quattro vulnerabilità effettivamente identificate è stata classificata con un punteggio di gravità alto o critico, a dimostrazione di un ambiente già abbastanza robusto esposto dai componenti TrustedServer di ExpressVPN”.
Qui è disponibile il report completo di Cure53.
Il nostro impegno per garantire affidabilità e trasparenza
I due nuovi controlli si aggiungono all’elenco dei controlli e delle valutazioni di sicurezza effettuati in passato:
- Un controllo di Cure53 sulla nostra app Linux (agosto 2022)
- An controllo di Cure53 sulla nostra app macOS (luglio 2022)
- Un controllo di sicurezza di Cure53 del nostro router Aircove (luglio 2022)
- Un controllo di F-Secure sulla nostra app per Windows v12 (aprile 2022)
- Un controllo di sicurezza di F-Secure sulla nostra app per Windows v10 (marzo 2022)
- Un controllo di sicurezza di Cure53 del nostro protocollo VPN Lightway (giugno 2020)
- Un controllo di PwC Switzerland sul nostro processo di verifica della build (giugno 2020)
- Un controllo di PwC Switzerland della conformità alla nostra informativa sulla privacy e della nostra tecnologia interna TrustedServer (giugno 2019)
- Un controllo di sicurezza di Cure53 della nostra estensione del browser (novembre 2018)
“Siamo lieti che i nostri sistemi e le nostre tecnologie server siano stati esaminati da KPMG e Cure53. I periodici controlli di terze parti che convalidano i nostri sistemi di protezione e i risultati del lavoro del nostro team interno, insieme ad altri sforzi per la sicurezza come il nostro programma di bug bounty, ci danno ancora più fiducia nel fatto che stiamo proteggendo bene i nostri utenti,” ha dichiarato Aaron Engel, Head of Cybersecurity, ExpressVPN. “Siamo orgogliosi di essere leader del settore in termini di affidabilità e trasparenza e ci auguriamo di pubblicare un numero ancora maggiore di controlli quest’anno”.
Anche se alcuni dei contenuti e dei report sono ancora nella lingua originale, riteniamo che sia importante includerli nell’articolo, e speriamo che tu possa apprezzarli in ogni caso.
Riprendi il controllo della tua privacy
Rimborso garantito entro 30 giorni