Сигналы надежных VPN

Корпоративная подотчетность

Вопрос 1: Какое общественное и полное юридическое название сервиса VPN и любых материнских или холдинговых компаний?

NymVPN управляется Nym Technologies SA, швейцарской компанией, расположенной в Невшателе, Швейцария. Компания является частной собственностью своих сопредседателей, Гарри Хелпина и Алексиса Рассела, без материнских или холдинговых компаний. Другие соучредители являются миноритарными акционерами компании.

Ни у Nym Technologies SA, ни у Гарри Халпина, ни у Алексиса Рассела нет собственности или экономических интересов в других компаниях VPN. Гарри Халпин ранее был президентом правления LEAP Encryption Access Project (централизованный VPN для защитников прав человека), должность, которую он оставил.

NymVPN управляется исключительно компанией Nym Technologies SA, без участия какой-либо другой компании или партнера.

Вопрос 2: Имеет ли компания или другие компании, участвующие в управлении или владении сервисом, долю собственности в сайтах с обзорами VPN?

Нет.

Вопрос 3: Какова бизнес-модель сервиса (т.е. как VPN зарабатывает деньги)?

NymVPN получает доход исключительно за счёт подписок на VPN, которые включают как доступ к децентрализованному VPN (dVPN), так и к микснету. Мы не продаём пользовательскую информацию и не используем данные клиентов (если таковые имеются) ни для каких целей, кроме как для обеспечения работы VPN-сервиса.

Мы рассматриваем возможность создания корпоративных версий нашего микснета для потенциальных партнёров. Компания Nym Technologies SA получила небольшой доход от интеграции микс-сети с другими проектами, включая:

• грант от Программы грантов сообщества ZCash (ZCash Community Grants Program) для интеграции микснета с кошельками ZCash;
• Исследовательские гранты от программы Next Generation Internet Европейской комиссии, направленные на разработку улучшенных форматов пакетов для микснета и технологий анонимных учётных данных.

Практика сбора данных

Вопрос 4: Хранит ли сервис какие-либо данные или метаданные, генерируемые во время сеанса VPN (с момента подключения до отключения) после завершения сеанса? Если да, то какие данные?

• Устройство пользователя: На этапе альфа-тестирования и для целей отладки некоторые данные о соединении могут записываться в журналы приложения и сохраняться на устройстве пользователя. Эти журналы регулярно удаляются. С приложениями NymVPN, становящимися более стабильными, Nym стремится сделать эти журналы менее многословными. Пользователи могут просматривать данные через меню Настройки > Журналы в своем приложении NymVPN (заметьте: Эти журналы хранятся локально на устройстве пользователя и не передаются в Nym или третьим лицам).
• Nym Technologies SA: Пользователи могут добровольно делиться анонимизированными отчетами о сбоях (через Sentry), чтобы помочь улучшить NymVPN. Эти отчеты созданы для обеспечения того, чтобы в них не содержалась никакой идентифицирующей информации о конкретных пользователях. Никакие другие данные о действиях пользователя в интернете недоступны для Nym Technologies SA по умолчанию.
• Операторы нод: NymVPN — это децентрализованный VPN, сервера которого управляются независимыми операторами. По умолчанию операторы входных шлюзов могут иметь доступ к IP-адресу пользователя (но не к его онлайн-активности), а операторы выходных шлюзов могут видеть онлайн-активность (но не могут связать её с IP-адресом пользователя). Согласно нашим Условиям для операторов и валидаторов нод, операторы обязуются не «собирать, не отслеживать, не записывать, не логировать, не хранить, не удерживать и не передавать третьим лицам информацию о нодах Nym или любые данные, связанные с действиями конечных пользователей NymVPN или VPN-сервисов».

Для получения дополнительной информации, пожалуйста, обратитесь к нашему Заявлению о конфиденциальности приложений.

Вопрос 5: Хранит ли ваша компания (или делится с другими) данными о просмотре пользователями и/или сетевой активности, включая DNS-запросы и записи доменных имен и посещенных сайтов?

Смотрите вопрос 4.

DNS-запросы: NymVPN не предоставляет услуги DNS. В результате запросы DNS обрабатываются по умолчанию провайдером DNS или тем, который настроил пользователь.

Вопрос 6: У вас есть четкий процесс реагирования на законные запросы данных от правоохранительных органов и судов?

NymVPN управляется Nym Technologies SA, швейцарской компанией, соблюдающей швейцарское законодательство. Мы поддерживаем юридическую консультацию для обработки любых запросов правоохранительных органов.

По замыслу, будучи децентрализованным VPN-сервисом, NymVPN не хранит никаких данных, связанных с онлайн-деятельностью пользователей. Хотя NymVPN и имеет доступ к платёжным данным пользователей, они не связаны с их VPN-аккаунтами благодаря процессу регистрации на основе “zk-nyms” (доказательства с нулевым разглашением).

Поскольку Nym является децентрализованным, возможно, что запросы данных от правоохранительных органов и судов будут направляться на децентрализованные ноды нашей сети.

Практики безопасности

Вопрос 7: Что вы делаете для защиты от несанкционированного доступа к потокам данных клиентов по VPN?

Аудит: NymVPN стремится предоставлять лучшие в своем классе преимущества конфиденциальности и безопасности для своих пользователей. Кодовая база NymVPN полностью открыта, лицензирована под GPLv3 и компанией Apache Software, и доступна для проверки любым желающим. В июле 2024 года NymVPN и другие ключевые технологии Nym были проверены независимой организацией Cure53. Компания Nym Technologies также прошла несколько других безопасных аудитов, связанных с ее микснетом и криптографией.

Программа баунти / раскрытия уязвимостей: С декабря 2024 года NymVPN планирует запустить программу раскрытия уязвимостей для исследователей безопасности, которая стартует в 2025 году. Эта программа станет доступной после того, как будут обработаны и опубликованы результаты аудита Cure53.

Криптографические протоколы: Под руководством ведущих специалистов по безопасности, конфиденциальности и криптографии, NymVPN полагается на современные криптографические протоколы, в частности, включая (для режима микснет):

• AES128 для безопасной связи между клиентами и узлами входа, а также для шифрования заголовка Sphinx;
• BLAKE3 для деривации ключей в формате пакета Sphinx;
• Lioness — алгоритм шифрования полезной нагрузки Sphinx.

И (для режима на основе WireGuard):

• ChaCha20 для симметричного шифрования;
• Poly1305 для аутентификации;
• BLAKE2s для хеширования.

Обновление программного обеспечения: Клиентские приложения и бинарные файлы оператора NymVPN регулярно обновляются или по мере необходимости для обеспечения исправлений и улучшений безопасности.

Управление сервером и физическая безопасность: По своему замыслу Nym Technologies SA не управляет VPN-серверами, вместо этого полагаясь на независимых операторов нод. Компания Nym Technologies SA также обеспечивает использование современных, надёжно управляемых внутренних инструментов и внедряет строгие политики безопасности для сотрудников, включая многофакторную аутентификацию.

Вопрос 8: Какие другие меры защиты данных пользователей использует сервис?

Смотрите вопрос 7.

Контекст

После обсуждений на конференции по правам человека RightsCon в 2018 году Центр демократии и технологий (CDT, уважаемая некоммерческая организация, занимающаяся защитой гражданских прав и свобод в цифровую эпоху) и ведущие поставщики VPN признали значительное отсутствие доверия и прозрачности в индустрии VPN.

В ответ на это CDT разработала список из 8 стандартизированных вопросов, сосредоточенных на (1) корпоративной ответственности, (2) практиках ведения учета данных и (3) практиках безопасности, что позволяет провайдерам VPN продемонстрировать свою приверженность надежности и позитивной репутации.

В нашем стремлении к полной прозрачности в отношении нашего продукта и операций мы делаем публичными наши ответы на 8 вопросов из опросника 'Сигналы надежных VPN'.

Последнее обновление: 4 декабря 2024