All production code requires at least one other human to act as a reviewer. This makes it much more difficult to add malicious code, either from insider threat or if an employee’s workstation is compromised.

Security and privacy threat modeling is incorporated into the design phase of any system. We use the MITRE ATT&CK framework to identify threats that can exist in our designs, consider ways to remove them, and apply sufficient measures to minimize potential risks.

Odbierz dodatkowych {{bonus_days}} darmowych dni na dowolny plan rejestrując się już teraz.

Nie przegap tej okazji! Wybierając 12-miesięczny plan, zyskujesz {{bonus_months}} darmowe miesiące.

Home
Zaufanie

Centrum zaufania ExpressVPN

ExpressVPN jest przede wszystkim firmą zajmującą się ochroną prywatności. Nasi użytkownicy ufają, że będziemy chronić ich prywatność dzięki wiodącemu w branży połączeniu sprzętu, oprogramowania i ludzkiej pomysłowości. Poniżej przedstawiamy, w jaki sposób pracujemy, aby zdobyć to zaufanie.

A dog walker, an adult and child, and someone with their phone.

Bezpieczeństwo w ExpressVPN: Nasze 4 kluczowe strategie

Dowiedz się, jak dbamy o bezpieczeństwo cybernetyczne, aby chronić nasze systemy i użytkowników.

1. Trudne do zdobycia systemy

System weryfikacji tworzenia

Bezpieczne urządzenia

Używamy par kluczy publiczno-prywatnych do różnych celów związanych z bezpieczeństwem, takich jak uwierzytelnianie dwuskładnikowe, podpisywanie commitów Git i łączenie się z serwerem przez SSH. Zmniejszamy ryzyko kradzieży naszych kluczy prywatnych poprzez przechowywanie ich na bezpiecznych urządzeniach. Oznacza to, że nawet jeśli nasze stacje robocze są zagrożone, napastnik nie może wykraść naszych kluczy prywatnych.

Urządzenia te są zabezpieczone silnymi hasłami i skonfigurowane tak, aby wygasały po wielu nieudanych próbach odblokowania. Obsługa tych urzązeń wymaga fizycznego dotyku, co oznacza, że złośliwe oprogramowanie nie jest w stanie wykraść kluczy bez udziału człowieka.

Przegląd kodu

Wzmocniona powłoka bezpieczeństwa (SSH)

Używamy SSH jako bezpiecznego sposobu na uzyskanie zdalnego dostępu do naszych najważniejszych serwerów. Serwery SSH są skonfigurowane w taki sposób, aby używały wyłącznie zestawu wysoce bezpiecznych szyfrów, algorytmów wymiany kluczy i MAC-ów. Nie zezwalamy również na rootowanie, a uwierzytelnianie może odbywać się tylko przy użyciu silnych kluczy SSH - nie można używać haseł. Używamy pośrednich hostów SSH Bastion, aby oddzielić infrastrukturę produkcyjną od otwartego Internetu. Maszyny te akceptują ruch tylko z adresów znajdujących się na białej liście IP.

Cała ta konfiguracja jest zdefiniowana w kodzie, więc można ją recenzować i odtwarzań.

Szybkie wprowadzanie poprawek

2. Minimalizacja potencjalnych szkód

Zasada zerowego zaufania

Aby zminimalizować ryzyko wykorzystania skradzionych kluczy do podszywania się pod serwer VPN, wymagamy, aby aplikacja ExpressVPN zameldowała się na naszych serwerach API w celu otrzymania zaktualizowanych ustawień konfiguracyjnych. Nasze aplikacje uwierzytelniają serwery, z którymi się łączą, walidując prywatny podpis Certificate Authority (CA) i wspólną nazwę, dzięki czemu atakujący nie może się pod nas podszyć.

Stosowanie szyfrowania z zerową wiedzą

Podczas korzystania z ExpressVPN Twoje dane są zabezpieczane zaawansowaną matematyką AES-256, tym samym standardem szyfrowania przyjętym przez rząd USA i zaufanym przez ekspertów ds. bezpieczeństwa na całym świecie do ochrony poufnych informacji. Gdy używasz menedżera haseł (ExpressVPN Keys), Twoje wrażliwe dane są chronione przez szyfrowanie z zerową wiedzą, co oznacza, że nikt – nawet my – nie może odszyfrować informacji przechowywanych w Keys. Wszelkie informacje są odszyfrowywane wyłącznie na urządzeniu użytkownika i mogą być odszyfrowane wyłącznie przy użyciu kluczy szyfrowania wygenerowanych przez hasło główne użytkownika, które zna tylko on sam.

Aby zagwarantować, że dedykowany adres IP (DIP) od ExpressVPN utrzymuje solidne zabezpieczenia techniczne i prywatność, korzystamy z przydziału IP z zerową wiedzą i ślepych tokenów, aby uniemożliwić administratorom ExpressVPN identyfikację użytkownika na podstawie jego dedykowanego adresu IP.

Bezpieczny projekt

Modelowanie zagrożeń bezpieczeństwa i prywatności jest włączone w fazę projektowania każdego systemu. Używamy ram MITRE ATT&CK do identyfikacji zagrożeń, które mogą występować w naszych projektach, rozważamy sposoby ich usunięcia i stosujemy odpowiednie środki w celu zminimalizowania potencjalnego ryzyka.

Zasada najmniejszych uprawnień

Wszyscy nasi użytkownicy, usługi i operacje działają zgodnie z modelem najmniejszych uprawnień (least-privilege). Nasi pracownicy mają dostęp tylko do tych usług i systemów produkcyjnych, które są niezbędne do pełnienia ich funkcji. Nasi agenci ds. pomocy technicznej pracują w dwóch środowiskach: niezaufanym do ogólnego przeglądania stron internetowych i restrykcyjnym do uzyskiwania dostępu do systemów wrażliwych. Środki te minimalizują wpływ i udaremniają cele atakujących, gdyby udało im się przejąć któreś z naszych kont.

3. Minimalizacja czasu kompromisu

Monitorowanie bezpieczeństwa

Nieustannie monitorujemy nasze wewnętrzne usługi i infrastrukturę pod kątem wszelkich anomalii lub nieuprawnionych działań. Nasz działający 24 godziny na dobę i 7 dni w tygodniu zespół ds. bezpieczeństwa monitoruje w czasie rzeczywistym i rozwiązuje problemy związane z alarmami bezpieczeństwa.

Automatyczne przebudowy

4. Zatwierdzenie naszych kontroli bezpieczeństwa

Walidacja wewnętrzna: testy penetracyjne

Regularnie przeprowadzamy testy penetracyjne, aby ocenić nasze systemy i oprogramowanie w celu zidentyfikowania słabych i wrażliwych punktów. Nasi testerzy mają pełny dostęp do kodu źródłowego i stosują kombinację testów automatycznych oraz ręcznych, aby zapewnić dokładną ocenę naszych usług i produktów.

Walidacja zewnętrzna: audyty bezpieczeństwa dokonywane przez strony trzecie

Angażujemy niezależnych audytorów w celu sprawdzenia bezpieczeństwa naszych usług i oprogramowania. Audyty te służą potwierdzeniu skuteczności naszych wewnętrznych kontroli w zakresie ograniczania luk w zabezpieczeniach, a jednocześnie zapewniają klientom dokumentację potwierdzającą prawdziwość oświadczeń dotyczących bezpieczeństwa naszych produktów.

Zobacz pełną listę raportów z audytów

Innowacja

Staramy się spełniać i przekraczać branżowe standardy bezpieczeństwa, ale także nieustannie wprowadzamy innowacje w celu poszukiwania nowych sposobów ochrony naszych produktów i prywatności użytkowników. Poniżej przedstawiamy dwie przełomowe technologie opracowane przez ExpressVPN.

Lightway: Nasz protokół oferujący najwyższej jakości doświadczenie VPN

Lightway jest protokołem VPN stworzonym przez ExpressVPN. Protokół VPN to metoda, za pomocą której urządzenie łączy się z serwerem VPN. Większość dostawców korzysta z tych samych gotowych protokołów, ale my postanowiliśmy stworzyć jeden o lepszych parametrach, dzięki czemu użytkownicy mogą nie tylko szybciej i bardziej niezawodnie, ale także bezpieczniej korzystać z VPN.

Lightway wykorzystuje wolfSSL, którego uznana biblioteka kryptograficzna została gruntownie sprawdzona przez strony trzecie, w tym pod kątem zgodności ze standardem FIPS 140-2.
Lightway zachowuje również idealną tajemnicę, dzięki dynamicznym kluczom szyfrowania, które są regularnie czyszczone i regenerowane.
Główna biblioteka Lightway została udostępniona na zasadach open-source, co zapewnia możliwość przejrzystej i szerokiej oceny jej bezpieczeństwa.
Lightway oferuje ochronę postkwantową, chroniąc użytkowników przed atakującymi wykorzystującymi komputery klasyczne i kwantowe. ExpressVPN jest jednym z pierwszych dostawców VPN, który wdrożył ochronę postkwantową, pomagając użytkownikom zachować bezpieczeństwo w obliczu postępu obliczeń kwantowych.

Dowiedz się więcej o Lightway i przeczytaj nasz blog deweloperski, aby dowiedzieć się od programistów ExpressVPN, jak działa Lightway i co czyni go lepszym od innych protokołów.

TrustedServer: Wszystkie dane są wymazywane przy każdym restarcie komputera

TrustedServer to stworzona przez nas technologia serwera VPN, która zapewnia naszym użytkowniikom większe bezpieczeństwo.

Działa on wyłącznie na pamięci ulotnej, czyli RAM. System operacyjny i aplikacje nigdy nie zapisują danych na dyskach twardych, które zachowują wszystkie dane, dopóki nie zostaną wymazane lub zapisane. Ponieważ pamięć RAM wymaga zasilania do przechowywania danych, wszystkie informacje na serwerze są wymazywane za każdym razem, gdy jest on wyłączany i włączany ponownie. Dzięki temu zarówno dane, jak i potencjalni intruzi nie mogą pozostać na maszynie.
Zwiększa spójność. Dzięki TrustedServer na każdym serwerze działa najbardziej aktualne oprogramowanie ExpressVPN, a nie każdy serwer otrzymuje aktualizacje w różnych momentach, w zależności od potrzeb. Oznacza to, że ExpressVPN dokładnie wie, co działa na każdym serwerze, minimalizując ryzyko wystąpienia luk w zabezpieczeniach lub błędnej konfiguracji i znacznie poprawiając bezpieczeństwo VPN.
Technologia TrustedServer została poddana audytowi realizowanemu przez PwC.

Chcesz dokładniej przyjrzeć się różnym sposobom, w jakie TrustedServer chroni użytkowników? Przeczytaj nasze szczegółowe omówienie tej technologii, napisane przez inżyniera, który zaprojektował system.

ExpressVPN Keys: nasz wbudowany menedżer haseł

Keys to pełnoprawny menedżer haseł stworzony przez ExpressVPN. Podobnie jak nasz VPN, Keys jest z założenia bezpieczny i daje użytkownikom kontrolę nad swoimi danymi. Opublikowaliśmy nawet białą księgę bezpieczeństwa szczegółowo opisującą design i infrastrukturę Keys, aby zapewnić pełną przejrzystość.

Keys pozwala użytkownikom generować, przechowywać i wypełniać nieograniczoną liczbę haseł oraz ostrzega ich o zagrożeniach bezpieczeństwa i wyciekach danych. Wszystko, co przechowujesz w Keys, jest zabezpieczone szyfrowaniem z zerową wiedzą, co zapewnia, że nikt – nawet ExpressVPN – nie może odszyfrować informacji przechowywanych przez naszych użytkowników. Keys jest wbudowany bezpośrednio w aplikacje ExpressVPN na iOS i Androida oraz dostępny jest jako rozszerzenie przeglądarki na komputerach. Dowiedz się więcej o Keys

Dedykowany adres IP ExpressVPN: statyczny adres IP o niezrównanej prywatności

Usługa dedykowanego adresu IP od ExpressVPN przypisuje unikalny adres IP wyłącznie jednemu użytkownikowi, co zapewnia spójną tożsamość online przy jednoczesnej ochronie prywatności.

Zazwyczaj w przypadku VPN wielu użytkowników współdzieli ten sam adres IP, co jest kluczowym elementem procesu anonimizacji VPN. W przypadku dedykowanego adresu IP przypisanego jednemu użytkownikowi konieczne są specjalne środki zapewniające anonimowość.

Podczas gdy obecne rozwiązania mogą prowadzić do luk w bezpieczeństwie i prywatności, które potencjalnie ujawniają prawdziwy adres IP użytkownika, podjęliśmy dodatkowe środki ostrożności, aby zachować anonimowość naszych użytkowników, jak wyjaśniono w naszej technicznej białej księdze.

Używamy systemu opartego na ślepych tokenach, aby oddzielić dane płatnicze od przypisanego użytkownikowi adresu IP. To zapewnia, że nie możemy nigdy powiązać dedykowanego adresu IP z użytkownikiem.

Niezależne audyty bezpieczeństwa

Dokładamy wszelkich starań, aby z dużą częstotliwością zlecać dogłębne zewnętrzne audyty naszych produktów. Oto pełna lista naszych audytów zewnętrznych, uporządkowana chronologicznie:

Drugi audyt rozszerzenia przeglądarki ExpressVPN przeprowadzony przez Cure53 (czerwiec 2024)
Audyt aplikacji Windows w celu potwierdzenia naprawienia usterki DNS związanej z dzielonym tunelowaniem (kwiecień 2024)
Audyt przeprowadzony przez KPMG w celu oceny naszej polityki prywatności (grudzień 2023)
Drugi audyt naszego protokołu VPN Lightway przeprowadzony przez Cure53 (listopad 2022)
Audyt rozszerzenia przeglądarki ExpressVPN Keys przeprowadzony przez Cure53 (październik 2022)
Audyt rozszerzenia przeglądarki ExpressVPN przeprowadzony przez Cure53 (październik 2022)
Audyt przeprowadzony przez KPMG dot. naszej polityki braku logów (wrzesień 2022)
Audyt bezpieczeństwa naszej aplikacji na iOS przeprowadzony przez Cure53 (wrzesień 2022)
Audyt bezpieczeństwa naszej aplikacji na Androida przeprowadzony przez Cure53 (sierpień 2022)
Audyt naszej aplikacji dla Linuxa przeprowadzony przez Cure53 (sierpień 2022)
Audyt naszej aplikacji dla macOS przeprowadzony przez Cure53 (lipiec 2022)
Audyt bezpieczeństwa przeprowadzony na naszym routerze Aircove przeprowadzony przez Cure53 (lipiec 2022)
Audyt bezpieczeństwa naszej wewnętrznej technologii serwerów TrustedServer przeprowadzony przez Cure53 (maj 2022)
Audyt naszej aplikacji dla Windows v12 przeprowadzony przez F-Secure (kwiecień 2022)
Audyt bezpieczeństwa naszej aplikacji dla Windows v10 przeprowadzony przez F-Secure (marzec 2022)
Audyt bezpieczeństwa naszego protokołu VPN Lightway przeprowadzony przez Cure53 (sierpień 2021)
Audyt naszego procesu weryfikacji przeprowadzony przez PwC Switzerland (czerwiec 2020)
Audyt zgodności naszej polityki prywatności i wewnętrznej technologii TrustedServer przeprowadzony przez PwC Switzerland (czerwiec 2019)
Audyt bezpieczeństwa naszego rozszerzenia przeglądarki przeprowadzony przez Cure53 (listopad 2018)

Raport przejrzystości

Nasze półroczne raporty przejrzystości dostarczają informacji na temat wniosków o dane użytkowników otrzymanych przez nasz dział prawny.

Regularnie otrzymujemy takie wnioski, jednak nasza polityka braku logów zapewnia, że nigdy nie mamy nic do udostępnienia. Nie przechowujemy i nigdy nie będziemy przechowywać rejestrów aktywności online użytkownika ani jego danych osobowych, w tym historii przeglądania, miejsca docelowego ruchu lub metadanych, zapytań DNS ani adresów IP przypisanych podczas łączenia się z naszą siecią VPN.

Nigdy nie możemy dostarczyć tych danych klientów, ponieważ po prostu nie istnieją. Publikując te dodatkowe informacje na temat otrzymywanych przez nas żądań, chcemy zapewnić jeszcze większą przejrzystość w zakresie ochrony naszych użytkowników.

Prośby o dane użytkowników

Zakres dat: styczeń – czerwiec 2024

Typ	Otrzymane prośby
Prośby rządowe, prawne i cywilne	170
Prośby o wykroczenia DMCA	259 561
Nakazy z jakiejkolwiek instytucji rządowej	2
Zakazy publikacji	0
Listy bezpieczeństwa narodowego	0

None of the requests resulted in the disclosure of user-related data.

Zakres dat: lipiec – grudzień 2023

Typ	Otrzymane prośby
Prośby rządowe, prawne i cywilne	194
Prośby o wykroczenia DMCA	152 653
Nakazy z jakiejkolwiek instytucji rządowej	0
Zakazy publikacji	0
Listy bezpieczeństwa narodowego	0

None of the requests resulted in the disclosure of user-related data.

Bug bounty

Poprzez nasz program bug bounty zapraszamy badaczy bezpieczeństwa do testowania naszych systemów i otrzymywania wynagrodzenia finansowego za wszelkie znalezione przez nich problemy. Program ten daje nam dostęp do dużej liczby testerów, którzy regularnie oceniają naszą infrastrukturę i aplikacje pod kątem problemów z bezpieczeństwem. Odkrycia te są następnie weryfikowane i naprawiane, co zapewnia, że nasze produkty są tak bezpieczne, jak to tylko możliwe.

Zakres naszego programu obejmuje luki w naszych serwerach VPN, aplikacjach i rozszerzeniach przeglądarki, naszej stronie internetowej i nie tylko. Osobom, które zgłaszają błędy, zapewniamy pełną bezpieczną przystań zgodną z najlepszymi globalnie praktykami w dziedzinie badań nad bezpieczeństwem.

Nasz program bug bounty jest zarządzany przez Bugcrowd. Sprawdź ten link, aby dowiedzieć się więcej lub zgłosić błąd.

A bar graph with an arrow on the highest bar.

Wiodąca pozycja w branży

Choć sami wyznaczamy sobie rygorystyczne standardy, wierzymy również, że nasza praca na rzecz budowania bardziej prywatnego i bezpiecznego internetu nie może się na tym kończyć. Dlatego też współpracujemy z całą branżą VPN, aby podnosić standardy i lepiej chronić użytkowników.

Jesteśmy współzałożycielami i przewodniczącymi VPN Trust Initiative (VTI) wraz z Internet Infrastructure Coalition (i2Coalition) i kilkoma innymi ważnymi graczami z branży. Oprócz ciągłej pracy na rzecz świadomości i orędownictwa, grupa wprowadziła Zasady VTI: wspólne wytyczne dla odpowiedzialnych dostawców VPN w zakresie bezpieczeństwa, prywatności, przejrzystości i nie tylko. Jest to rozwinięcie wcześniejszej inicjatywy ExpressVPN na rzecz przejrzystości we współpracy z Center for Democracy and Technology.

Niektóre z innowacji, których byliśmy pionierami, pomogły w rozwoju branży VPN. Jako pierwsi stworzyliśmy TrustedServer, a od tego czasu inni podążyli naszym śladem, wprowadzając podobną technologię. Lightway to kolejny przykład technologii, którą zbudowaliśmy od podstaw, i mamy nadzieję, że dzięki otwartemu dostępowi do niej będzie ona miała wpływ na całą branżę VPN.

Godne uwagi inicjatywy w zakresie ochrony prywatności

Dowiedz się więcej o tym, jak chronimy prywatność naszych użytkowników.

Certyfikat oXT

ExpressVPN stał się jedną z niewielu aplikacji VPN, które otrzymały certyfikat ioXt Alliance w zakresie standardów bezpieczeństwa, dzięki czemu konsumenci mogą korzystać z naszych usług z większym zaufaniem.

Funkcje prywatności w aplikacji

W naszej aplikacji dla systemu Android wprowadziliśmy funkcję o nazwie Podsumowanie Ochrony, która pomaga użytkownikom chronić ich prywatność za pomocą praktycznych wskazówek.

Laboratorium Bezpieczeństwa Cyfrowego

Uruchomiliśmy Laboratorium Bezpieczeństwa Cyfrowego, aby zagłębić się w rzeczywiste problemy związane z prywatnością. Zapoznaj się z narzędziami do testowania wycieków, które pomagają zweryfikować bezpieczeństwo Twojej sieci VPN.