São necessárias muitas pessoas, trabalhando em vários sistemas, para produzir e manter um aplicativo da ExpressVPN. Para fazer isso com segurança, temos que garantir que todos os envolvidos sejam devidamente examinados, preparados e treinados. Mas isso não é suficiente.
Também temos que ter certeza de que ninguém de fora da nossa empresa consiga interferir no processo. É por isso que implementamos um procedimento rigoroso de verificação de compilação, que garante que nenhum terceiro possa fazer modificações não autorizadas em nosso software, incluindo a injeção de malware.
Assim como o fornecimento de água é protegido para que você possa confiar no que sai da sua torneira, nosso software é protegido contra contaminação de código malicioso desde a criação até a entrega a você. E agora tivemos essas salvaguardas revisadas de forma independente.
Minimização do risco de contaminação
Nos últimos anos, vimos vários casos de grandes empresas de tecnologia, incluindo fabricantes de PCs, liberarem software e hardware para clientes que foram infectados com código malicioso em algum momento durante o desenvolvimento ou distribuição.
Com isso em mente, desenvolvemos um sistema de verificação que reduz drasticamente o risco de que um indivíduo ou máquina comprometida possa levar à distribuição não intencional de malware para nossos clientes.
Isso significa que você pode usar os aplicativos da ExpressVPN com a certeza de que eles não contêm código não autorizado ou malicioso.
Algumas das políticas e procedimentos que implementamos:
- O uso de chaves de criptografia PGP emitidas pela ExpressVPN para todas as alterações de código-fonte
- Todas as alterações no código devem ser aprovadas por uma pessoa autorizada diferente daquela que fez a alteração
- Auditorias automatizadas de mudanças, com alertas para mudanças inesperadas, que são acompanhadas pessoalmente
- Apenas os ambientes de compilação automatizados CircleCI e Azure DevOps são usados para a produção de binários distribuídos aos clientes
Nossos processos de verificação foram submetidos a uma asseguração de garantia da PwC Suíça
Mas como você sabe que nossas afirmações sobre nossas políticas são precisas? É aí que entra a empresa de auditoria independente PwC Suíça.
Para validar essas salvaguardas, a PwC Suíça realizou um trabalho de avaliação independente que examinou nossas políticas e controles para distribuir aplicativos livres de modificações não autorizadas. Os profissionais realizaram seu trabalho de garantia avaliando nosso código-fonte, servidores, documentação e pessoas em maio de 2020.
O relatório de asseguração independente está disponível para os clientes. De acordo com os padrões da PwC Suíça para tais relatórios, aqueles que desejam visualizar o relatório devem reconhecer os termos e condições da empresa antes de acessá-lo. Os clientes podem fazê-lo fazendo login via este link.
A PwC Suíça não permite o compartilhamento de trechos do documento para garantir que nenhum dos resultados de garantia seja retirado do contexto e mal interpretado, por isso não forneceremos detalhes sobre os resultados nesta postagem do blog. Mas podemos dizer que ficamos satisfeitos com o processo e incentivamos os clientes a ler o relatório completo.
Deixe de se preocupar com a sua segurança
Na ExpressVPN, estamos sempre procurando possíveis ameaças à sua privacidade e segurança e encontrando soluções para reduzir os riscos.
Auditorias por terceiros confiáveis, incluindo a avaliação recente de segurança pela Cure53 e a auditoria do ano passado da PwC Switzerland sobre a conformidade da nossa política de privacidade e de nossa tecnologia desenvolvida internamente, TrustedServer, fornecem análises independentes sobre nossas medidas de privacidade e segurança que assumimos com os clientes.
Essas assegurações de garantia e avaliações de segurança complementam outros esforços de confiança e transparência, incluindo o fornecimento de ferramentas de teste de vazamento de código aberto, a divulgação detalhada de nossas práticas de segurança e o lançamento da VPN Trust Initiative, que visa promover a conscientização pública sobre a segurança na Internet.
Na ExpressVPN, nos esforçamos para impulsionar o setor por meio de tecnologia e transparência. E desejamos publicar mais auditorias, ferramentas e insights que permitam que você cobre de nós esse compromisso.