Er zijn heel veel mensen en heel veel verschillende systemen nodig om een ExpressVPN-app te produceren en onderhouden. Om dat veilig te kunnen doen, moeten we ervoor zorgen dat alle betrokkenen grondig zijn doorgelicht, de juiste spullen hebben en voldoende zijn opgeleid. Maar dan zijn we er nog niet.
We moeten er ook voor zorgen dat niemand van buiten onze organisatie de kans krijgt om het proces te verstoren. Daarom hebben wij een rigoureuze procedure voor het verifiëren van elke versie; zo zorgen we ervoor dat geen enkele buitenstaander in staat is om ongeautoriseerde wijzigingen aan onze software aan te brengen of malware te injecteren.
Op dezelfde manier als de watervoorraad beschermd wordt zodat je vertrouwen kunt hebben in hetgeen er uit de kraan komt, wordt onze software beschermd tegen vervuiling of schadelijke codes, vanaf het moment dat wij het bedenken tot het moment dat het bij u aankomt. En die veiligheidsmaatregelen zijn nu onafhankelijk beoordeeld.
Het risico op vervuiling minimaliseren
De laatste jaren hebben we een aantal incidenten gezien waar grote technologiebedrijven, onder andere pc-fabrikanten, aan hun klanten software en hardware hebben geleverd die – ergens tijdens het ontwikkelen en verspreiden – geïnfecteerd is geraakt met kwaadaardige codes.
Met ons nieuwe verificatiesysteem kunnen we het risico aanzienlijk verminderen dat we onbedoeld malware naar onze klanten verspreiden door toedoen van een verdacht persoon of apparaat.
Dat betekent dat u ExpressVPN-apps kunt gebruiken in het volle vertrouwen dat ze geen ongeautoriseerde of schadelijke content bevatten.
Dit zijn enkele voorbeelden van het beleid en de procedures die we hebben geïmplementeerd:
- het gebruik van PGP-encryptiesleutels die door ExpressVPN worden uitgegeven voor alle veranderingen in broncodes;
- de eis dat alle veranderingen in codes worden goedgekeurd door een geautoriseerd persoon die niet degene is die de verandering heeft aangebracht;
- automatische audits van veranderingen, inclusief waarschuwingen voor onverwachte veranderingen, die door een mens worden opgevolgd;
- het gebruiken van de automatische bouwomgevingen CircleCI en Azure DevOps voor de productie van binaire bestanden die onder klanten worden verspreid.
Onze verificatieprocessen zijn onderworpen aan een kwaliteitsborging door PwC Zwitserland
Maar hoe kunt u weten dat onze claims over ons beleid kloppen? Daar komt de onafhankelijke auditinstantie PwC Zwitserland aan te pas.
Om onze garanties te valideren heeft PwC Zwitserland een onafhankelijke kwaliteitsborging uitgevoerd. Daarbij zijn het beleid en de controles onderzocht die wij hebben ingesteld om apps te kunnen leveren die vrij zijn van ongeautoriseerde wijzigingen. De deskundigen hebben in mei 2020 hun verzekeringswerk uitgevoerd door onze broncodes, servers, documentatie en mensen te onderzoeken.
Hun onafhankelijke onderzoeksrapportage is voor klanten beschikbaar. Volgens de regels van PwC Zwitserland voor dit soort rapportages, moet wie het wil inzien de gebruiksvoorwaarden van het bedrijf eerst aanvaarden voordat ze het mogen inzien. Klanten kunnen dat doen door in te loggen met deze link.
PwC Zwitserland staat niet toe dat uittreksels worden gedeeld; zo kunnen ze garanderen dat niets van de onderzoeksresultaten uit zijn verband wordt gelicht of verkeerd begrepen. Daarom geven wij in deze blogpost geen informatie over de resultaten. We kunnen wél zeggen dat we heel blij waren met het proces en we raden klanten aan om het volledige rapport te lezen.
Veiligheid zonder zorgen
Bij ExpressVPN sporen we altijd mogelijke bedreigingen voor uw privacy en veiligheid op, en zoeken we oplossingen om de risico’s te beperken.
We vertrouwen op audits door derden, zoals ons recente veiligheidsonderzoek door Cure53 en de vorig jaar uitgevoerde audit door PwC Zwitserland over ons privacybeleid en onze zelfontwikkelde TrustedServer-technologie. Dit zijn onafhankelijke beoordelingen van de inspanningen die wij voor onze klanten verrichten op het gebied van privacy en veiligheid.
Deze kwaliteitsborging en veiligheidsbeoordelingen zijn een aanvulling op onze andere inspanningen op het gebied van vertrouwen en transparantie. Zo stellen we onder meer open-source-instrumenten beschikbaar voor lektesten, en verklaren we onze veiligheidspraktijken. We hebben ook het VPN Trust Initiative opgericht om het publieke bewustzijn van internetveiligheid te bevorderen.
Bij ExpressVPN streven we ernaar de bedrijfstak vooruit te helpen zowel door technologie als door transparantie. We kijken ernaar uit om meer audits, tools en inzichten te publiceren die het voor u mogelijk maken ons aan dat voornemen te houden.