We use public-private key pairs for a variety of security purposes, such as two-factor authentication, signing Git commits, and connecting to a server via SSH. We mitigate the risk of our private keys being stolen by keeping them on hardware security devices. This means that even if our workstations are compromised, an attacker cannot steal our private keys. . These devices are secured with strong passphrases and are configured to “brick” themselves after multiple failed attempts to unlock them. The devices require a physical touch to operate, meaning that malware cannot steal the keys without a human being involved.

All production code requires at least one other human to act as a reviewer. This makes it much more difficult to add malicious code, either from insider threat or if an employee’s workstation is compromised.

For production machines, software dependencies are updated automatically via unattended upgrades.

Saat {{bonus_days}} lisäpäivää ilmaiseksi mihin tahansa tilaukseen, kun tilaat nyt.

Hyödynnä tarjous nyt! {{bonus_months}} kuukautta ilmaiseksi, kun teet 12 kuukauden tilauksen.

Home
Luotettavuus

ExpressVPN:n luottamuskeskus

Yksityisyys on ExpressVPN:lle ensiarvoisen tärkeää. Käyttäjämme luottavat siihen, että varjelemme heidän yksityisyyttään alan johtavalla laitteistojen, ohjelmistojen sekä luovan ajattelun yhdistelmällä. Tällä sivulla kerromme, mitä teemme ansaitaksemme luottamuksen.

A dog walker, an adult and child, and someone with their phone.

ExpressVPN:n turvallisuus: neljä avainstrategiaamme

Lue kyberturvallisuusmenetelmistämme, joiden avulla suojaamme järjestelmiämme sekä käyttäjiämme.

1. Vaikeasti murrettavien järjestelmien luonti

Todentamisjärjestelmä

Turvalaitteet

Käytämme julkisia ja yksityisiä avainpareja erilaisiin turvallisuustarkoituksiin, kuten kaksivaiheiseen tunnistautumiseen, Git commitien allekirjoittamiseen sekä palvelinyhteyden muodostamiseen SSH:n avulla. Vähennämme yksityisten avaimiemme kaappaamisen riskiä säilyttämällä niitä turvalaitteissa. Tämä tarkoittaa, että vaikka työasemamme vaarantuisivat, hyökkääjä ei voi varastaa yksityisiä avaimiamme.

Nämä laitteet on suojattu vahvoilla avainsanoilla ja määritetty sulkeutumaan useiden epäonnistuneiden lukituksen poistoyritysten jälkeen. Laitteiden käyttö vaatii fyysistä kosketusta, mikä tarkoittaa, että haittaohjelmat eivät voi kaapata avaimia ilman ihmisen apua.

Koodin tarkistus

Kova suojakuori (SSH)

Käytämme SSH:ta kriittisten palvelimiemme turvallista etäkäyttöä varten. SSH-palvelimemme on määritetty käyttämään ainoastaan erittäin turvallisia salauksia, avaintenvaihtoalgoritmeja ja MAC-osoitteita. Emme myöskään salli yhteyden muodostamista pääkäyttäjänä, ja todentaminen on mahdollista ainoastaan vahvoilla SSH-avaimilla – salasanoja ei käytetä. Hyödynnämme välitason SSH-bastioneja tuotantoinfrastruktuurin erottamiseen muusta internetistä. Nämä koneet sallivat liikenteen ainoastaan hyväksytyistä IP-osoitteista.

Kaikki nämä määritykset on rajattu koodissa, eli ne on vertaisarvioitu ja toistettavissa.

Nopeat päivitykset

2. Vahinkojen minimointi

Zero Trust -suojausmalli

Jotta kaapattuja avaimia ei olisi mahdollista käyttää VPN-palvelimena esiintymiseen, vaadimme ExpressVPN-sovellusta hankkimaan päivitetyt määritysasetukset API-palvelimiemme kautta. Sovelluksemme todentavat yhdistettävät palvelimet vahvistamalla yksityisen varmenteen myöntäjän (CA) allekirjoituksen ja yleisen nimen, jolloin hyökkääjän ei ole mahdollista esiintyä meidän nimissämme.

Nollatietotodistuksen salaus

Kun käytät ExpressVPN:ää, tietosi on suojattu kehittyneellä matematiikalla AES-256-järjestelmässä, sama salausstandardi, jonka Yhdysvallat on ottanut käyttöön. hallitus ja turvallisuusasiantuntijat ympäri maailmaa luottavat salaisen tiedon suojaamisessa. Kun käytät ExpressVPN:n salasanojen hallintaa (ExpressVPN Keys), arkaluontoiset tietosi on suojattu nollatietotodistukseen perustuvalla salauksella, joten kukaan—emme edes me—ei voi purkaa Keysiin tallennettuja tietoja. Kaikki tiedot puretaan vain käyttäjän laitteella ja ne voidaan purkaa vain käyttäjän pääsalasanalla luotujen salaustietojen avulla—mikä on vain käyttäjän tiedossa.

Varmistaaksemme, että ExpressVPN:n oma IP (DIP) -ratkaisu säilyttää vahvan teknisen turvallisuuden ja yksityisyyden, käytämme nollatietotodistukseen perustuvaa IP-allokointia ja sokotuspohjaisia tunnuksia estääksemme ExpressVPN:n ylläpitäjiä koskaan tunnistamasta käyttäjää tämän oma IP-osoitteen perusteella.

Turvallinen suunnittelu

Turvallisuus- ja yksityisyysuhkien mallinnus sisällytetään jokaisen järjestelmämme suunnitteluvaiheeseen. Käytämme MITRE ATT&CK -viitekehystä tunnistaaksemme suunnitelmissamme esiintyviä uhkia, tarkastellaksemme niiden poistotapoja ja toteuttaaksemme riittäviä toimenpiteitä mahdollisten riskien minimoimiseksi.

Vähimpien oikeuksien periaate

Kaikki käyttäjämme, palvelumme ja toimintamme noudattavat vähimpien oikeuksien periaatetta. Työntekijöillämme on oikeus käyttää ainoastaan omien työtehtäviensä edellyttämiä palveluita ja tuotantojärjestelmiä. Asiakaspalvelijamme työskentelevät kahdessa ympäristössä, joista yksi on epäluotettava yleistä verkkoselausta varten ja toinen rajoitettu ympäristö arkaluonteisten järjestelmien käyttöön. Nämä toimenpiteet minimoivat vahingot ja estävät hyökkääjän tavoitteet, mikäli hän onnistuu ottamaan haltuunsa minkä tahansa järjestelmämme.

3. Vaaratilanteiden keston minimointi

Turvatoimien valvonta

Automaattiset jälleenrakennukset

4. Turvatoimien arviointi

Sisäinen arviointi: läpäisytestaus

Suoritamme säännöllisiä läpäisytestauksia arvioidaksemme järjestelmiämme sekä ohjelmistojamme haavoittuvuuksien ja heikkouksien havaitsemiseksi. Testaajillamme on täysi pääsy lähdekoodiin, ja he suorittavat sekä automaattisia että manuaalisia testauksia varmistaakseen palveluidemme ja tuotteidemme perusteellisen arvioinnin.

Ulkoinen arviointi: kolmansien osapuolten suorittamat turvatoimien tarkistukset

Arvioimme palveluidemme ja ohjelmistojemme turvallisuutta myös riippumattomien tarkastajien toimesta. Nämä toimeksiannot todentavat, että sisäiset turvatoimemme vähentävät tehokkaasti tietoturva-aukkoja ja toimivat asiakkaillemme todisteina tuotteidemme esittämien turvallisuusväitteiden paikkansapitävyydestä.

Katso lista tarkastusraporteista

Innovaatio

Pyrkimyksemme on täyttää sekä ylittää alan turvallisuusstandardit, ja kehitämme jatkuvasti uusia tapoja turvata tuotteitamme sekä käyttäjiemme yksityisyyttä. Tässä osiossa kerromme kahdesta ExpressVPN:n kehittämästä uraauurtavasta teknologiasta.

Lightway – paremman VPN-kokemuksen tarjoava protokollamme

Lightway on ExpressVPN:n kehittämä VPN-protokolla. VPN-protokollat ovat menetelmiä, joita laite käyttää muodostaakseen yhteyden VPN-palvelimeen. Useimmat palveluntarjoajat käyttävät samoja, yleisesti käytössä olevia protokollia, mutta me päätimme itse luoda protokollan, jonka ylivoimainen suorituskyky tarjoaa käyttäjille nopeamman, luotettavamman sekä turvallisemman VPN-kokemuksen.

Lightway hyödyntää wolfSSL:ää, jonka kattavan kryptografiakirjaston kolmannet osapuolet ovat huolellisesti tarkistaneet, myös FIPS 140-2 -standardin näkökulmasta.
Lightwayta käytettäessä toteutuu täydellinen jatkosalaisuus dynaamisilla salausavaimilla, jotka poistetaan ja luodaan uudelleen säännöllisesti.
Lightwayn lähdekoodin ydin on julkaistu avoimena lähdekoodina, minkä ansiosta sitä voidaan tutkia laajasti ja läpinäkyvästi turvallisuusuhkien varalta.
Lightwayhin sisältyy myös post-quantum-tuki, mikä suojaa käyttäjiä verkkohyökkääjiltä, joilla on käytössään niin perinteisiä tietokoneita kuin kvanttitietokoneitakin. ExpressVPN on yksi ensimmäisistä VPN-palveluntarjoajista, joka on ottanut käyttöön post-quantum-suojan – tämä pitää käyttäjämme suojattuina kvanttitietokoneiden alati kehittyessä.

Tutustu Lightwayhin tarkemmin ja lue kehittäjäblogistamme ExpressVPN-ohjelmistokehittäjien teknisiä näkemyksiä siitä, kuinka Lightway toimii ja kuinka se erottuu edukseen.

TrustedServer: kaikki tiedot poistetaan jokaisen uudelleenkäynnistyksen yhteydessä

TrustedServer on kehittämämme VPN-palvelinteknologia, joka tarjoaa käyttäjillemme entistä tiiviimmän suojan.

Se toimii ainoastaan haihtuvalla muistilla eli RAM-muistilla. Käyttöjärjestelmä ja sovellukset eivät koskaan kirjoita tietoja kiintolevyille, jotka säilyttäisivät kaiken tiedon, kunnes ne poistettaisiin tai korvattaisiin. Koska RAM tarvitsee virtaa tietojen tallentamiseen, kaikki tiedot poistetaan palvelimelta aina, kun se sammutetaan ja käynnistetään uudelleen. Tämä estää sekä tietojen että mahdollisten tunkeilijoiden pysymisen laitteessa.
Se lisää yhtenäisyyttä. TrustedServerin avulla ExpressVPN:n jokainen palvelin käyttää uusinta ohjelmistoa sen sijaan, että palvelimet saisivat päivityksiä eri aikoihin tarpeen sitä vaatiessa. Tämä tarkoittaa, että ExpressVPN tietää tarkalleen, mitä sen palvelimet sisältävät – minimoiden haavoittuvuuksien ja virheellisten määritysten riskin sekä parantaen VPN:n turvallisuutta merkittävästi.
TrustedServer-teknologia on PwC:n auditoima.

Haluatko tietää tarkemmin kaikista tavoista, joilla TrustedServer suojaa käyttäjäänsä? Lue syventävä kirjoitus tekniikastamme, jonka on kirjoittanut palvelintekniikamme suunnittelija.

ExpressVPN Keys: Sisäänrakennettu salasanojen hallinta

Keys on ExpressVPN:n rakentama kattava salasanojen hallinta. Kuten VPN:mme, Keys on suunniteltu turvalliseksi ja antaa käyttäjille hallinnan omista tiedoistaan. Olemme jopa julkaisseet turvallisuusraportin, joka kuvaa Keys:n suunnittelua ja infrastruktuuria täydellisen läpinäkyvyyden tarjoamiseksi.

Keys antaa käyttäjille mahdollisuuden luoda, tallentaa ja täyttää rajattomasti salasanoja ja varoittaa heitä tietoturvauhkista ja tietovuodoista. Kaikki Keys:iin tallennettu on suojattu nollatietotodistukseen perustuvalla salauksella, joka varmistaa, ettei kukaan—ei edes ExpressVPN—voi purkaa käyttäjiemme tallentamia tietoja. Keys on sisäänrakennettu suoraan ExpressVPN-sovelluksiin iOS:lle ja Androidille, ja se on saatavilla selainlaajennuksena tietokoneella. Lue lisää Keys:stä

ExpressVPN:n oma IP: Staattinen IP-osoite huippuluokkaisella yksityisyydellä

ExpressVPN:n oma IP-palvelu antaa uniikin IP-osoitteen yksinomaan yhdelle käyttäjälle tarjoten johdonmukaisen verkkohenkilöllisyyden samalla säilyttäen yksityisyyden.

Tavallisesti VPN-yhteyden aikana monet käyttäjät jakavat saman IP-osoitteen, mikä on keskeinen osa VPN:n anonymisointiprosessia. Kun oma IP-osoite annetaan yhdelle käyttäjälle, on toteutettava erityisiä toimenpiteitä anonymiteetin varmistamiseksi.

Vaikka tämän päivän ratkaisuissa on olemassa tietoturva- ja yksityisyyshaasteita, jotka voivat paljastaa käyttäjän todellisen IP-osoitteen, olemme ryhtyneet lisätoimenpiteisiin säilyttääksemme käyttäjiemme anonymiteetin, kuten kerrotaan teknisessä raportissamme.

Käytämme sokeaa tunnuspohjaista järjestelmää erottamaan maksutiedot käyttäjälle määritetystä IP-osoitteesta. Tämä varmistaa, että emme voi koskaan jäljittää omaa IP:tä käyttäjään.

Riippumattomat tietoturvatarkastukset

Olemme omistautuneet tekemään kolmansien osapuolten perusteellisia tarkastuksia suosituista tuotteistamme. Tässä on kattava lista ulkoistetuista tietoturvatarkastuksistamme aikajärjestyksessä:

Cure53:n toinen tarkastus ExpressVPN:n selainlaajennuksesta (kesäkuu 2024)
Windows-sovelluksen tarkastus, joka vahvistaa sovelluskohtaiseen yhdistämiseen liittyvän DNS-ongelman korjaantuneen (huhtikuu 2024)
KPMG:n tarkastus yksityisyyskäytännöstämme (joulukuu 2023)
Cure53:n toinen tarkastus VPN-protokollastamme Lightwaysta (marraskuu 2022)
Cure53:n tarkastus ExpressVPN Keys -selainlaajennuksesta (lokakuu 2022)
Cure53:n tarkastus ExpressVPN:n selainlaajennuksesta (lokakuu 2022)
KPMG:n tarkastus lokien vastaisesta käytännöstämme (syyskuu 2022)
Cure53:n turvallisuustarkastus iOS-sovelluksestamme (syyskuu 2022)
Cure53:n turvallisuustarkastus Android-sovelluksestamme (elokuu 2022)
Cure53:n tarkastus Linux-sovelluksestamme (elokuu 2022)
Cure53:n tarkastus macOS-sovelluksestamme (heinäkuu 2022)
Cure53:n turvallisuustarkastus Aircove-reitittimestämme (heinäkuu 2022)
Cure53:n turvallisuustarkastus TrustedServeristä eli itse kehittämästämme VPN-palvelinteknologiasta (toukokuu 2022)
F-Securen tarkastus Windows v12 -sovelluksestamme (huhtikuu 2022)
F-Securen turvallisuustarkastus Windows v10 -sovelluksestamme (maaliskuu 2022)
Cure53:n turvallisuustarkastus VPN-protokollastamme Lightwaystä (elokuu 2021)
PwC Switzerlandin tarkastus todentamisjärjestelmämme toiminnasta (kesäkuu 2020)
PwC Switzerlandin tarkastus yksityisyyskäytäntömme noudattamisesta ja kehittämästämme TrustedServer-teknologiasta (kesäkuu 2019)
Cure53:n turvallisuustarkastus selainlaajennuksestamme (marraskuu 2018)

Läpinäkyvyysraportti

Kahdesti vuodessa julkaistavat läpinäkyvyysraporttimme antavat tietoa käyttäjätietoihin liittyvistä tietopyynnöistä, jotka lakiosastomme on saanut.

Vaikka saamme säännöllisesti tällaisia pyyntöjä, lokimerkintöjen puuttumista koskeva politiikkamme takaa, ettei meillä ole koskaan mitään jaettavaa. Emme koskaan tallenna emmekä tule tallentamaan lokitietoja verkkoaktiviteeteistasi tai henkilökohtaisista tiedoistasi, kuten selaushistoriastasi, liikenteen kohteesta tai metatiedoista, DNS-kyselyistä tai mistään IP-osoitteista, jotka sinulle määritetään yhdistäessäsi VPN-palveluumme.

Emme voi koskaan toimittaa tätä asiakastietoa, koska sitä ei yksinkertaisesti ole olemassa. Julkaisemalla nämä lisätiedot saamistamme pyynnöistä pyrimme tarjoamaan entistä enemmän läpinäkyvyyttä siitä, miten suojelemme käyttäjiämme.

Käyttäjätietopyynnöt

Aikaväli: tammikuu - kesäkuu 2024

Kirjoita	Vastaanotetut pyynnöt
Hallitus, viranomaiset ja siviilipyynnöt	170
DMCA-pyynnöt	259 561
Määräykset mistä tahansa valtion laitoksesta	2
Salassapitomääräykset	0
Kansallisen turvallisuuden kirjeet	0

None of the requests resulted in the disclosure of user-related data.

Aikaväli: heinäkuu - joulukuu 2023

Kirjoita	Vastaanotetut pyynnöt
Hallitus, viranomaiset ja siviilipyynnöt	194
DMCA-pyynnöt	152 653
Määräykset mistä tahansa valtion laitoksesta	0
Salassapitomääräykset	0
Kansallisen turvallisuuden kirjeet	0

None of the requests resulted in the disclosure of user-related data.

Bug Bounty -ohjelma

Bug Bounty -haavoittuvuuspalkkio-ohjelmamme kautta tietoturvatutkijat voivat testata järjestelmiämme ja saada rahallisia korvauksia löytämistään ongelmista. Ohjelman avulla hyödymme suuresta määrästä testaajia, jotka säännöllisesti arvioivat infrastruktuuriamme ja sovelluksiamme tietoturvaongelmien varalta. Testaajien havainnot validoidaan ja korjataan mahdollisimman turvallisten tuotteiden takaamiseksi.

Bug Bounty -ohjelmamme piiriin kuuluvat muun muassa VPN-palvelimiemme, sovellustemme, selainlaajennustemme sekä verkkosivustomme sisältämät haavoittuvuudet. Tarjoamme ongelmista ilmoittaville henkilöille turvallisen ympäristön, joka noudattaa tietoturva-alan maailmanlaajuisesti toimivimmiksi todettuja käytänteitä.

Bug Bounty -ohjelmaamme ylläpitää Bugcrowd. Klikkaa tästä saadaksesi lisätietoja tai ilmoittaaksesi haavoittuvuudesta.

A bar graph with an arrow on the highest bar.

Alan johtoasema

Olemme asettaneet itsellemme tiukat standardit, ja jotta voimme suojella käyttäjiämme paremmin ja luoda turvallisemman sekä yksityisemmän internetin, meidän on tehtävä yhteistyötä koko VPN-alan kanssa.

Perustimme ja johdamme VPN Trust Initiativea (VTI) yhdessä Internet Infrastructure Coalitionin (i2Coalition) sekä muiden suurten toimijoiden kanssa. Jatkuvan tietoisuus- ja puolustustyön lisäksi yhdistys on julkaissut VTI-periaatteet – vastuullisille VPN-palveluntarjoajille tarkoitetut yhteiset turvallisuus-, yksityisyys- ja läpinäkyvyysohjeet. Tämä perustuu ExpressVPN:n aiempaan avoimuusaloitteeseen, joka tehtiin yhteistyössä Center for Democracy and Technologyn kanssa.

Uraauurtavat innovaatiomme ovat vieneet VPN-alaa eteenpäin. Loimme ensimmäisenä TrustedServer-teknologian, ja muut ovat sittemmin seuranneet esimerkkiämme ottamalla käyttöön samankaltaisia menetelmiä. Toisena esimerkkinä toimii kehittämämme Lightway-protokolla, jonka avoimella lähdekoodilla toivomme olevan vaikutusta VPN-alaan kokonaisuutena.

Merkittävät yksityisyysaloitteet

Lue lisää siitä, miten suojaamme käyttäjiemme yksityisyyttä.

ioXT-sertifioitu

ExpressVPN:stä on tullut yksi harvoista VPN-sovelluksista, jonka turvallisuusstandardit ioXt Alliance on sertifioinut. Tämä lisää palveluitamme käyttävien kuluttajien mielenrauhaa.

Sovellustemme yksityisyysominaisuudet

Android-sovelluksessamme on käytössä Suojauksen yhteenveto -ominaisuus, joka auttaa käyttäjiä suojaamaan yksityisyyttään käytännön ohjeilla.

Digital Security Lab

Perustimme Digital Security Labin syventyäksemme todellisiin tietoturvaongelmiin. Tutustu sen vuototestaustyökaluihin, joiden avulla varmistut VPN:si turvallisuudesta.