Tüm üretim kodları, kontrol edici görevi gören en az bir başka insan tarafından denetlenir. Bu, ister içeriden gelen bir tehdit, ister bir çalışanın iş istasyonunun ele geçirilmesi şeklinde olsun kötü amaçlı kod eklemeyi çok daha zorlaştırır.

Üretim makineleri için yazılım bağımlılıkları, katılımsız yükseltmeler yoluyla otomatik olarak güncellenir.

Anormal veya yetkisiz faaliyetler için dahili hizmetlerimizi ve altyapımızı sürekli izliyoruz. 7/24 görev başındaki güvenlik ekibimiz, güvenlik uyarılarını gerçek zamanlı olarak izler ve öncelikle çözümler.

Sistemlerimizin çoğu, günlük olmasa da haftada birkaç kez otomatik olarak yok edilir ve yeniden kurulur.

Hemen kaydolursanız herhangi bir planda ücretsiz ekstra {{bonus_days}} gün edinin.

Fırsatı kaçırmayın! 12 aylık plana abone olduğunuzda ücretsiz {{bonus_months}} ay edinin.

Home
Güven

ExpressVPN Güven Merkezi

ExpressVPN, her şeyden önce bir gizlilik şirketidir. Kullanıcılarımız, endüstri lideri bir donanım, yazılım ve insan zekası kombinasyonuyla gizliliklerini koruma konusunda bize güveniyor. Bu güveni kazanmak için nasıl çalıştığımıza bir göz atın.

A dog walker, an adult and child, and someone with their phone.

ExpressVPN'de güvenlik: 4 önemli stratejimiz

Sistemlerimizi ve kullanıcılarımızı korumak için siber güvenliği nasıl sağladığımızı öğrenin.

1. Sistemin ele geçirilmesini zorlaştırmak

Derleme tetkik sistemi

Donanımsal güvenlik cihazları

Genel-özel anahtar çiftlerini, iki faktörlü kimlik doğrulama, Git commitleri imzalama ve bir sunucuya SSH üzerinden bağlanma gibi çeşitli güvenlik amaçları için kullanırız. Özel anahtarlarımızı donanımsal güvenlik cihazlarında tutarak çalınma riskini azaltıyoruz. Bu, iş istasyonlarımız ele geçirilse bile bir saldırganın özel anahtarlarımızı çalamayacağı anlamına gelir.

Bu aygıtlar, güçlü şifrelerle korunmaktadır ve birden çok başarısız kilit açma girişiminden sonra kendilerini "çalışmaz hâle getirmeleri" için yapılandırılmıştır. Cihazların çalışması için fiziksel bir dokunuş gerekir, bu da kötü amaçlı yazılımın bir insan yardımı olmadan anahtarları çalamayacağı anlamına gelir.

Kod denetimi

Güçlendirilmiş güvenli kabuk (SSH)

Kritik sunucularımıza uzaktan erişim sağlamanın güvenli bir yolu olarak SSH kullanıyoruz. Bu SSH sunucuları yalnızca bir dizi yüksek güvenlikli şifre, anahtar değişim algoritması ve MAC kullanacak şekilde yapılandırılmıştır. Kök bağlantıya izin vermiyoruz ve kimlik doğrulama yalnızca güçlü SSH anahtarları kullanılarak gerçekleştirilebilir; şifre kullanımına izin verilmez. Üretim altyapısını açık internetten ayırmak için ara SSH savunma kalesi ana bilgisayarlarını kullanıyoruz. Bu makineler yalnızca güvenilir IP listesindeki adreslerden gelen trafiği kabul eder.

Bu yapılandırmanın tümü kodda tanımlanmıştır, bu nedenle meslektaşlar tarafından gözden geçirilir ve yeniden üretilebilir.

Hızlı yamalama

2. Potansiyel zararları en aza indirmek

Sıfır güveni benimseriz

VPN sunucusu kimliğine bürünmek için kullanılan çalıntı anahtar tehdidini azaltmak için, ExpressVPN uygulamasının güncellenmiş yapılandırma ayarlarını edinmek için API sunucularımıza giriş yapmasını şart koşuyoruz. Uygulamalarımız, özel Sertifika Yetkilisi (CA) imzasını ve ortak adı doğrulayarak bağlandıkları sunucuların kimliğini doğrular ve bu da bir saldırganın bizi taklit edememesini sağlar.

Sıfır bilgi şifrelemesini benimsemek

expressVPN şifre yöneticisi (ExpressVPN Keys olarak adlandırılır), hiç kimsenin, hatta ExpressVPN'in bile, kullanıcıların depolanan bilgilerinin şifresini çözememesi için sıfır bilgi şifrelemesinden yararlanır. When you use ExpressVPN’s password manager (ExpressVPN Keys), your sensitive data is protected by zero-knowledge encryption so that no one—not even us—can decrypt the information stored in Keys. All information is only ever decrypted on a user’s device, and can only be decrypted using encryption keys generated by the user’s primary password—which only they know.

ExpressVPN’in özel IP (DIP) çözümünün güçlü teknik güvenlik ve gizliliği sürdürdüğünden emin olmak için, ExpressVPN yöneticilerinin kullanıcıyı özel IP adreslerinden asla tanımlayamamalarını sağlamak amacıyla sır vermeyen IP tahsisi ve gizli belirteçler kullanıyoruz.

Güvenli tasarım

Güvenlik ve gizlilik tehdidi modellemesi, herhangi bir sistemin tasarım aşamasına dahil edilir. Tasarımlarımızda var olabilecek tehditleri belirlemek, bunları ortadan kaldırmanın yollarını dikkate almak ve potansiyel riskleri en aza indirmek için yeterli önlemleri uygulamak üzere MITRE ATT&CK çerçevesini kullanırız.

En düşük erişim hakkı ilkesi

Tüm kullanıcılarımız, hizmetlerimiz ve operasyonlarımız en düşük erişim hakkı modelini izler. Çalışanlarımız, yalnızca görevleri için gerekli hizmetlere ve üretim sistemlerine erişim yetkisine sahiptir. Müşteri destek elemanlarımız, biri herkese açık web tarama etkinlikleri için güvensiz ortam ve diğeri hassas sistemlere erişim için kısıtlayıcı ortam olmak üzere iki ortamda çalışır. Bu önlemler, hesaplarımızdan herhangi birini ele geçirmeyi başaran saldırganların etkisini en aza indirir ve amaçlarını engeller.

3. İhlal süresini en aza indirmek

Güvenlik izleme

Otomatik yenileme

4. Güvenlik kontrollerimizi doğrulamak

İç doğrulama: Sızma testleri

Güvenlik açıklarını ve zaaflarını belirlemek, sistemlerimizi ve yazılımlarımızı değerlendirmek için düzenli olarak sızma testleri yapıyoruz. Test uzmanlarımız kaynak koduna tam erişim hakkına sahiptir ve hizmetlerimizin ve ürünlerimizin kapsamlı bir şekilde değerlendirilmesini sağlamak için otomatik ve manuel test kombinasyonu kullanır.

Dış doğrulama: Üçüncü taraflarca gerçekleştirilen güvenlik denetimleri

Hizmetlerimizin ve yazılımlarımızın güvenliğini gözden geçirmeleri için bağımsız denetçilerle çalışırız. Bu işbirlikleri, ürünlerimiz hakkında yaptığımız güvenlik iddialarının doğruluğuna ilişkin olarak müşterilerimize belgeler sunarken, iç kontrollerimizin güvenlik açıklarını azaltmada etkili olduğunu doğrulamaya da hizmet eder.

Denetim raporlarının tam listesine bakın

İnovasyon

Endüstri güvenlik standartlarını karşılamak ve aşmak için çabalarken aynı zamanda ürünlerimizi ve kullanıcılarımızın gizliliğini korumak için yeni yollar arayışında olarak sürekli inovasyon yapıyoruz. Burada ExpressVPN tarafından geliştirilen iki çığır açan teknolojiyi önemle belirtiyoruz.

Lightway: Üstün VPN deneyimi sunan protokolümüz

Lightway, ExpressVPN tarafından oluşturulmuş bir VPN protokolüdür. VPN protokolü, bir cihazın bir VPN sunucusuna bağlanma yöntemidir. Çoğu sağlayıcı aynı hazır protokolleri kullanır, ancak biz üstün performansa sahip bir tanesini oluşturmak için yola çıktık ve kullanıcıların VPN deneyimini yalnızca daha hızlı ve daha güvenilir değil, aynı zamanda daha güvenli hâle getirdik.

Lightway, köklü şifreleme kitaplığı FIPS 140-2 standardı dahil olmak üzere üçüncü taraflarca kapsamlı bir şekilde değerlendirilen wolfSSL kullanır.
Lightway ayrıca düzenli olarak temizlenen ve yeniden oluşturulan dinamik şifreleme anahtarlarıyla mükemmel iletim gizliliği ni de korur.
Lightway'in temel kitaplığı açık kaynaklı dır ve bu da güvenlik açısından şeffaf ve geniş bir şekilde değerlendirilebilmesini sağlar.
Lightway, hem klasik hem de kuantum bilgisayarlara erişimi olan kullanıcıları saldırganlara karşı koruyan post kuantum desteği içerir. ExpressVPN, post-kuantum korumayı uygulayan ilk VPN sağlayıcılarından biridir ve kullanıcıların kuantum hesaplamadaki gelişmeler karşısında güvende kalmasına yardımcı olur.

Lightway hakkında daha fazla bilgi edinin ve ExpressVPN yazılım geliştiricilerinin Lightway'in nasıl çalıştığına ve onu diğerlerinden daha iyi yapan şeylerin ne olduğuna ilişkin teknik bilgiler içeren geliştirici blogumuzu okuyun.

TrustedServer: Her yeniden başlatmada tüm veriler silinir

TrustedServer, kullanıcılarımıza daha fazla güvenlik sağlayan, tarafımızca oluşturulan bir VPN sunucusu teknolojisidir.

Yalnızca geçici bellekte veya RAM'de çalışır. İşletim sistemi ve uygulamalar; silinene veya üzerine yazılana kadar tüm verileri saklayan sabit sürücülere hiçbir zaman veri yazmaz. RAM, verileri depolamak için güce ihtiyaç duyduğundan, sunucu her kapatılıp açıldığında sunucudaki tüm bilgiler silinir; bu, hem verilerin hem de olası izinsiz girişlerin makinede kalmasına engel olur.
Tutarlılığı artırır. Her sunucunun gerektiğinde farklı zamanlarda güncelleme alması yerine, TrustedServer sayesinde ExpressVPN sunucularının her biri en güncel yazılımı çalıştırır. Bu, ExpressVPN'in her sunucuda tam olarak ne çalıştığını bildiği anlamına gelir, güvenlik açıkları veya yanlış yapılandırma riskini en aza indirir ve VPN güvenliğini önemli ölçüde artırır.
TrustedServer technology has been PwC tarafından denetlenmiştir.

TrustedServer'ın kullanıcıları koruduğu birçok yola daha ayrıntılı bir şekilde göz atmak ister misiniz? Sistemi tasarlayan mühendis tarafından yazılan teknolojiye ilişkin detaylı incelememizi okuyun.

ExpressVPN Keys: Dahili şifre yöneticimiz

Keys, ExpressVPN tarafından oluşturulmuş tam özellikli bir şifre yöneticisidir. VPN’imiz gibi, Keys tasarım gereği güvenlidir ve kullanıcıları verileri üzerinde kontrol sahibi yapar. Keys'in tasarımı ve altyapısının ayrıntılarına dair güvenlik raporu dahi yayınladık, tam bir şeffaflık sağlıyoruz.

Keys, kullanıcılara sınırsız şifre oluşturmaları, depolamaları ve doldurmaları sağlarken güvenlik tehditlerine ve veri ihlallerine karşı uyarır. Keys içinde saklanan her şey, hiçbir kimsenin—hatta ExpressVPN’in bile—kullanıcılarımızın sakladığı bilgileri çözümleyemeyeceğini garantileyen sır vermeyen şifreleme ile korunur. Keys, iOS ve Android için ExpressVPN uygulamalarına ve bilgisayarlarda tarayıcı uzantısı olarak entegre edilmiştir. Keys hakkında daha fazla bilgi edinin

ExpressVPN’in özel IP’si: Eşi benzeri görülmemiş gizlilik özellikli statik bir IP adresi

ExpressVPN’in özel IP hizmeti, yalnızca tek bir kullanıcıya özel benzersiz bir IP adresi atanmasını sağlar, sürekli bir çevrimiçi kimlik sunarken gizliliği de korur.

Geleneksel olarak bir VPN'de, birçok kullanıcı aynı IP adresinizi paylaşır ve bu, VPN'in anonimleştirme işleminin önemli bir unsurudur. Tek bir kullanıcıya atanan özel bir IP ile, anonimliğin sağlanması için özel önlemler alınması gereklidir.

Günümüz çözümleri, bir kullanıcının gerçek IP adresini potansiyel olarak ifşa eden güvenlik ve gizlilik açıkları sunsa da, teknik raporumuzda açıklandığı gibi kullanıcılarımızın anonimliğini korumak için fazladan önlemler aldık.

Ödeme bilgilerinizi size atadığımız IP adresinden ayrıştırmak için bir gizli belirteç sistemi kullanıyoruz. Bu, özel bir IP adresini kullanıcıya asla izleyemeyeceğimizi garanti eder.

Bağımsız güvenlik denetimleri

Ürünlerimizin derinlemesine üçüncü taraf denetimlerini büyük bir sıklıkla yaptırmaya kararlıyız. Dış denetimlerimizin kronolojik olarak sıralanmış kapsamlı bir listesi aşağıdadır:

Ayrık tünellemeyle ilgili bir DNS sorununun düzeltildiğini doğrulamak için Windows uygulaması denetimi (Nisan 2024)
Ayrık tünellemeyle ilgili bir DNS sorununun düzeltildiğini doğrulamak için Windows uygulaması denetimi (Nisan 2024)
Gizlilik politikası iddialarımızı değerlendirmek üzere KPMG tarafından yapılan denetim (Aralık 2023)
VPN protokolümüz Lightway'in Cure53 tarafından ikinci denetimi (Kasım 2022)
Cure53 tarafından ExpressVPN Keys tarayıcı uzantısı denetimi (Ekim 2022)
Cure53 tarafından ExpressVPN tarayıcı uzantısı denetimi (Ekim 2022)
Kayıt tutmama politikamız için KPMG tarafından yapılan denetim (Eylül 2022)
iOS için uygulamamız için Cure53 tarafından yapılan güvenlik denetimi (Eylül 2022)
Android için uygulamamız için Cure53 tarafından yapılan güvenlik denetimi (Ağustos 2022)
Linux uygulamamız için Cure53 tarafından yapılan denetim (Ağustos 2022)
MacOS uygulamamız için Cure53 tarafından yapılan denetim (Temmuz 2022)
Aircove yönlendiricimiz için Cure53 tarafından yapılan güvenlik denetimi (Temmuz 2022)
Kurum içi VPN sunucu teknolojimiz TrustedServer için Cure53 tarafından yapılan güvenlik denetimi (Mayıs 2022)
Windows v12 uygulamamız için F-Secure tarafından yapılan denetim (Nisan 2022)
Windows v10 uygulamamız için F-Secure tarafından yapılan güvenlik denetimi (Mart 2022)
VPN protokolümüz Lightway için Cure53 tarafından yapılan güvenlik denetimi (Ağustos 2021)
Yapı doğrulama sürecimiz için PwC Switzerland tarafından yapılan denetim (Haziran 2020)
Gizlilik politikası uyumluluğumuz ve kurum içi teknolojimiz TrustedServer için PwC Switzerland tarafından yapılan denetim (Haziran 2019)
Tarayıcı uzantımız için Cure53 tarafından yapılan güvenlik denetimi (Kasım 2018)

Yazılım hatası bulma ödülü

Altı ayda bir hazırladığımız şeffaflık raporları, hukuk departmanımıza gelen kullanıcı verisi talepleri hakkında bilgi sağlar.

Bu tür talepleri düzenli olarak alsak da, kayıt tutmama politikamız paylaşıma asla bir şey çıkarmayacağımızı garanti eder. Çevrimiçi aktiviteleriniz veya tarama geçmişiniz, trafik hedefiniz ya da metadata, DNS sorguları veya VPN’imize bağlandığınızda atanan IP adresleri dahil olmak üzere, kişisel bilgilerinizi içeren hiçbir kaydı tutmuyoruz ve asla tutmayacağız.

Bu müşteri verilerini asla sağlayamayız çünkü bu veriler hiç var olmadı. Aldığımız taleplerle ilgili ek bilgileri yayınlayarak, kullanıcılarımızı nasıl koruduğumuz konusunda daha fazla şeffaflık sağlamayı amaçlıyoruz.

Kullanıcı verisi talepleri

Tarih aralığı: Ocak - Haziran 2024

Tür	Alınan talepler
Hükümet, kolluk kuvvetleri ve sivil talepler	170
DMCA talepleri	259.561
Herhangi bir hükümet kuruluşundan gelen yetki belgeleri	2
Gizlilik emirleri	0
Ulusal Güvenlik Mektupları	0

None of the requests resulted in the disclosure of user-related data.

Tarih aralığı: Temmuz - Aralık 2023

Tür	Alınan talepler
Hükümet, kolluk kuvvetleri ve sivil talepler	194
DMCA talepleri	152.653
Herhangi bir hükümet kuruluşundan gelen yetki belgeleri	0
Gizlilik emirleri	0
Ulusal Güvenlik Mektupları	0

None of the requests resulted in the disclosure of user-related data.

Yazılım hatası bulma ödülü

Yazılım hatası bulma ödülü programımız aracılığıyla, güvenlik araştırmacılarını sistemlerimizi test etmeye ve buldukları herhangi bir hata için para ödülü kazanmaya davet ediyoruz. Bu program, güvenlik sorunları için altyapımızı ve uygulamalarımızı düzenli olarak değerlendiren çok sayıda test uzmanına erişmemizi sağlar. Bu bulgular daha sonra doğrulanır ve düzeltilir; böylece ürünlerimizin mümkün olduğunca güvenli olması sağlanır.

Programımız; VPN sunucularımızdaki, uygulamalarımızdaki, tarayıcı uzantılarımızdaki, web sitemizde ve daha fazlasındaki güvenlik açıklarını içerir. Hata bildiren kişilere, güvenlik araştırması alanında dünya çapındaki en iyi uygulamalara uygun tam güvenli bir liman sağlıyoruz.

Hata ödül programımız Bugcrowd tarafından yönetilmektedir. Daha fazlasını öğrenmek veya bir hata bildirmek için bu bağlantıyı takip edin.

Endüstri liderliği

Kendimiz için katı standartlar belirlerken, daha özel ve güvenli bir internet oluşturma çalışmalarımızın burada bitemeyeceğine inanıyoruz—bu nedenle standartları yükseltmek ve kullanıcıları daha iyi korumak için tüm VPN endüstrisi ile işbirliği yapıyoruz.

İnternet Altyapı Koalisyonu (i2Coalition) ve diğer bazı büyük endüstri oyuncusu ile birlikte VPN Trust Initiative (VPN Güven Girişimi)'ni (VTI) kurduk ve yönetiyoruz. Devam eden farkındalık ve savunma çalışmalarına ek olarak grup; güvenlik, gizlilik, şeffaflık ve daha fazlasında sorumlu VPN sağlayıcıları için paylaşılan yönergeler içeren VTI İlkelerini açıkladı. Bu, ExpressVPN'in Demokrasi ve Teknoloji Merkezi ile ortaklaşa yaptığı önceki şeffaflık girişimi çalışmasına dayanmaktadır.

Öncülük ettiğimiz yeniliklerden bazıları, VPN endüstrisini ileriye taşımaya yardımcı oldu. TrustedServer'ı ilk oluşturan bizdik ve o zamandan beri diğerleri de benzer bir teknoloji ortaya çıkarmak için arkamızdan geldi. Lightway, sıfırdan inşa ettiğimiz başka bir teknoloji örneğidir ve bunu açık kaynak kodlu yaparak VPN endüstrisinin tamamı üzerinde bir etki yaratacağımıza inanıyoruz.

Önemli gizlilik girişimleri

Kullanıcılarımızın gizliliğini nasıl koruduğumuz hakkında daha fazla bilgi edinin.

ioXT sertifikası

ExpressVPN, güvenlik standartları için ioXt Alliance tarafından sertifikalandırılan birkaç VPN uygulamasından biri oldu ve bu da tüketicilerin hizmetlerimizi daha yüksek bir güvenle kullanmasını sağladı.

Uygulama içi gizlilik özellikleri

Android uygulamamızda, kullanıcıların gizliliklerini pratik yönergelerle korumalarına yardımcı olan Koruma Özeti adlı bir özelliği kullanıma sunduk.

Dijital Güvenlik Laboratuvarı

Gerçek dünyadaki gizlilik sorunlarını derinlemesine incelemek için Dijital Güvenlik Laboratuvarı'nı kurduk. VPN'izin güvenliğini doğrulamaya yardımcı olan sızıntı testi araçlarına bakın.

ExpressVPN Güven Merkezi

ExpressVPN'de güvenlik: 4 önemli stratejimiz

1. Sistemin ele geçirilmesini zorlaştırmak

2. Potansiyel zararları en aza indirmek

3. İhlal süresini en aza indirmek

4. Güvenlik kontrollerimizi doğrulamak

İnovasyon

Lightway: Üstün VPN deneyimi sunan protokolümüz

TrustedServer: Her yeniden başlatmada tüm veriler silinir

ExpressVPN Keys: Dahili şifre yöneticimiz

ExpressVPN’in özel IP’si: Eşi benzeri görülmemiş gizlilik özellikli statik bir IP adresi

Bağımsız güvenlik denetimleri

Yazılım hatası bulma ödülü

Kullanıcı verisi talepleri

Yazılım hatası bulma ödülü

Endüstri liderliği

Önemli gizlilik girişimleri

ioXT sertifikası

Uygulama içi gizlilik özellikleri

Dijital Güvenlik Laboratuvarı

Dil Seçin