Producir y mantener funcionando las aplicaciones de ExpressVPN es una responsabilidad que requiere de la colaboración de muchas personas, que trabajan en muchos sistemas diferentes. Para hacerlo con seguridad, tenemos que asegurarnos de que todos los implicados estén adecuadamente aprobados, equipados y entrenados. Pero todo esto no es suficiente.
También tenemos que asegurarnos de que ningún ente externo a nuestra compañía tenga oportunidad de interferir con el proceso. Por eso hemos implementado un riguroso proceso de verificación de versiones, que garantiza que ningún tercero pueda hacer modificaciones no autorizadas a nuestro software, incluyendo cualquier inyección de malware.
Al igual que ocurre con el suministro de agua potable, que siempre está protegido para que usted pueda usar su agua con confianza, nuestro software está protegido contra contaminaciones por código malintencionado que pueda perjudicarle. Y nuestras salvaguardas han sido verificadas independientemente.
Minimizar el riesgo de contaminación
Recientemente hemos visto casos de grandes empresas tecnológicas, incluyendo fabricantes de PC, que sacan a la venta programas de software que fueron infectados con código malintencionado en algún momento de su desarrollo o distribución.
Con esto en mente, hemos desarrollado un sistema de verificación que reduce enormemente el riesgo de que un individuo o equipo que hayan sido vulnerados pueda hacer que distribuyamos malware a nuestros clientes sin darnos cuenta.
Esto significa que usted puede usar las aplicaciones de ExpressVPN con la confianza de saber que no contienen ningún tipo de código no autorizado o malintencionado.
Algunas de las políticas que hemos implementado son:
- El uso de claves de encriptación PGP emitidas por ExpressVPN para todos los cambios en el código fuente.
- El requisito de que todos los cambios en el código deben ser aprobados por una persona diferente del individuo que hizo el cambio.
- Auditorías automáticas de los cambios con alertas para cambios inesperados, a las que se les hace seguimiento en persona.
- El uso de solamente los entornos automatizados de creación de versiones CircleCI y Azure DevOps para la producción de binarios para distribuir a los clientes.
Nuestro proceso de verificación fue sometido a revisión por parte de PwC Switzerland
Pero, ¿cómo saber si lo que afirmamos en nuestras políticas es verdadero? Es ahí donde entra en escena la firma de auditoría PwC Switzerland.
Para validar estos resguardos, PwC Switzerland realizó una revisión independiente para examinar las políticas y controles que tenemos implementados para distribuir aplicaciones libres de modificaciones no autorizadas. Los auditores realizaron su trabajo de evaluación accediendo a nuestros código fuente, servidores, documentación y personal durante mayo de 2020.
El informe de evaluación independiente está a disposición de nuestros clientes. En consonancia con los estándares de PwC Switzerland para tales informes, aquellos que deseen ver el informe deben aceptar los términos y condiciones de la firma antes de acceder a este. Los clientes pueden hacerlo mediante este enlace.
PwC Switzerland no permite compartir extractos del informe, para garantizar que ningún resultado de la evaluación sea sacado de contexto y mal entendido, así que en este artículo no podremos compartir los resultados específicos. Pero sí podemos afirmar que estamos complacidos con el proceso y que animamos a los clientes a leer el informe completo.
Mitigando las preocupaciones de seguridad
En ExpressVPN siempre estamos buscando potenciales amenazas a su privacidad y seguridad, procurando hallar soluciones que reduzcan el riesgo.
Las auditorías por parte de entes externos confiables, como nuestra reciente evaluación de seguridad por Cure53 y la auditoría de cumplimiento de política de privacidad y nuestra tecnología TrustedServer por PwC Switzerland brindan perspectivas independientes acerca de los compromisos de privacidad y seguridad que asumimos frente a nuestros clientes.
Estas evaluaciones de calidad y seguridad complementan nuestros demás esfuerzos en pro de la transparencia y la confianza, incluyendo nuestra oferta de herramientas de código abierto para pruebas de fugas, nuestra publicación de detalles acerca de nuestras prácticas de seguridad y el lanzamiento de la VPN Trust Initiative, cuya misión es fomentar la conciencia del público hacia la seguridad en internet.
En ExpressVPN, nos esforzamos por impulsar el sector hacia el futuro mediante la tecnología y la transparencia. Estaremos publicando más auditorías, herramientas y perspectivas que le permitan verificar que cumplimos a cabalidad todas nuestras promesas.