Kurumsal Hesap Verebilirlik
Soru 1: VPN hizmetinin ve herhangi bir ana şirketin ya da holding şirketlerinin halka açık ve tam yasal adı nedir?
NymVPN, İsviçre'nin Neuchâtel kentinde bulunan Nym Technologies SA tarafından işletilmektedir. Şirket, kurucu ortakları Harry Halpin ve Alexis Roussel tarafından özel olarak sahip olunan bir şirkettir ve ana ya da holding şirketleri bulunmamaktadır. Diğer kurucu ortaklar, şirketin azınlık hissedarlarıdır.
Nym Technologies SA, Harry Halpin ve Alexis Roussel, başka VPN şirketlerinde sahiplik ya da ekonomik paya sahip değildir. Harry Halpin daha önce LEAP Encryption Access Project'in (insan hakları savunucuları için merkezi bir VPN) Yönetim Kurulu Başkanlığı görevini üstlenmiştir, ancak bu pozisyonu terk etmiştir.
NymVPN yalnızca Nym Technologies SA tarafından işletilmektedir ve başka herhangi bir şirket ya da ortaklık dahil değildir.
Soru 2: Şirket, hizmetin işletilmesinde veya sahipliğinde yer alan başka bir şirket, VPN inceleme web sitelerinde herhangi bir sahipliğe sahip midir?
Hayır.
Soru 3: Hizmetin iş modeli nedir (yani, VPN nasıl para kazanıyor)?
NymVPN, yalnızca VPN abonelikleri üzerinden gelir elde etmektedir. Bu abonelikler, hem dVPN hem de mixnet erişimini içermektedir. Kullanıcı bilgilerini satmakla ilgilenmemekteyiz ve müşteri verilerini (varsa) VPN hizmetini işletmek dışında herhangi bir amaçla kullanmamaktayız.
Mixnet'in potansiyel ortaklarla kurumsal versiyonlarını oluşturmayı düşünüyoruz. Nym Technologies SA, mixnet'in diğer projelerle entegrasyonundan küçük bir gelir elde etmiştir, bunlar arasında:
- ZCash Cüzdanları ile mixnet entegrasyonu için ZCash Topluluk Hibe Programı'ndan alınan bir hibe;
- Avrupa Komisyonu'nun Yeni Nesil İnternet programından alınan Ar-Ge hibeleri, daha iyi mixnet paket formatları ve anonim kimlik teknolojisi sağlamayı amaçlamaktadır.
Veri Günlüğü Uygulamaları
Soru 4: Hizmet, bir VPN oturumu (bağlantıdan bağlantının kesilmesine kadar) sona erdikten sonra herhangi bir veri ya da meta veri depolar mı? Depolarsa, hangi veriler depolanır?
- ** Kullanıcı Cihazı** : Alfa aşamasında ve hata ayıklama amacıyla bazı bağlantı verileri, uygulama günlüklerine kaydedilebilir ve kullanıcının cihazında depolanabilir. Bu günlükler düzenli olarak silinir. NymVPN uygulamaları daha kararlı hale geldikçe, Nym bu günlüklerin daha az ayrıntılı olmasını sağlamayı hedeflemektedir. Kullanıcılar, NymVPN uygulamasındaki Ayarlar > Günlükler menüsünden verileri gözden geçirebilir (not: Bu günlükler, kullanıcı cihazında yerel olarak depolanır ve Nym veya üçüncü taraflarla paylaşılmaz).
- Nym Technologies SA: Kullanıcılar, NymVPN'i geliştirmeye yardımcı olmak amacıyla anonimleştirilmiş çökme raporlarını gönüllü olarak paylaşma seçeneğine sahiptir (Sentry aracılığıyla). Bu raporlar, bireysel kullanıcılarla ilgili herhangi bir tanımlayıcı bilgi içermeyecek şekilde tasarlanmıştır. Tasarım gereği, kullanıcıların çevrimiçi etkinlikleri hakkında Nym Technologies SA'ya herhangi bir veri erişilemez.
- Node Operatörleri: NymVPN, bağımsız operatörler tarafından işletilen merkeziyetsiz bir VPN'dir. Tasarım gereği, giriş gateway'i operatörleri bir kullanıcının IP adresine erişebilir (ancak çevrimiçi etkinliklerine erişemez), çıkış gateway'i operatörleri ise çevrimiçi etkinlikleri görebilir (ancak bunu bir kullanıcının IP adresine bağlayamaz). Node Operatörleri ve Validatorler Şartları ve Koşulları'na göre, operatörler "Nym Node bilgilerini veya NymVPN veya VPN Hizmetleri'nin son kullanıcılarının etkinliklerine ilişkin herhangi bir bilgi veya veriyi toplamak, izlemek, kaydetmek, depolamak, saklamak veya üçüncü taraflara iletmek" konusunda taahhütte bulunmuşlardır.
Daha fazla bilgi için, lütfen Uygulama Gizlilik Beyanımızı inceleyin.
Soru 5: Şirketiniz, kullanıcı tarayıcı ve/veya ağ etkinliği verilerini, DNS sorguları ve ziyaret edilen domain adları ve web siteleri kayıtları dahil olmak üzere saklar mı (veya başkalarıyla paylaşır mı)?
Soru 4'e bakınız.
DNS Sorguları: NymVPN bir DNS hizmeti işletmemektedir. Bu nedenle, DNS sorguları varsayılan DNS sağlayıcısı veya kullanıcı tarafından yapılandırılan sağlayıcı tarafından yönetilmektedir.
Soru 6: Hukuk uygulayıcıları ve mahkemelerden gelen geçerli veri taleplerine nasıl yanıt verdiğiniz konusunda açık bir süreciniz var mı?
NymVPN, İsviçre merkezli bir şirket olan Nym Technologies SA tarafından işletilmektedir ve İsviçre yasalarına tabidir. Hukuk uygulayıcıları talepleri ile ilgilenmek için hukuki danışmanlık hizmeti almaktadır.
Tasarım gereği, merkeziyetsiz bir VPN hizmeti olan NymVPN, kullanıcıların çevrimiçi etkinlikleri ile ilgili herhangi bir veri tutmaz. NymVPN, kullanıcıların ödeme verilerine erişim sağlamakta olsa da, bu veriler "zk-nyms" tabanlı onboarding (sıfır bilgi kanıtları) ile VPN hesaplarıyla ilişkilendirilmez.
Nym merkeziyetsiz olduğundan, hukuki taleplerin ve mahkeme taleplerinin ağımızdaki merkeziyetsiz node'lara gitmesi mümkündür.
Güvenlik Uygulamaları
Soru 7: Müşteri verilerine VPN üzerinden yetkisiz erişimi engellemek için ne yapıyorsunuz?
Denetim: NymVPN, kullanıcılarına en iyi düzeyde gizlilik ve güvenlik sağlama taahhüdünde bulunmaktadır. NymVPN'in kod tabanı tamamen açık kaynak olup, GPLv3 ve Apache Software lisansına sahiptir ve herkesin denetimine açıktır. Temmuz 2024'te, NymVPN ve diğer temel Nym teknolojileri, saygın bir sızma testi şirketi olan Cure53 tarafından denetlenmiştir. Nym Technologies ayrıca, mixnet ve kriptografi ile ilgili bir dizi güvenlik denetiminden geçmiştir.
Hata ödülleri / güvenlik açığı bildirim programı: Aralık 2024 itibariyle, NymVPN, güvenlik araştırmacılarının sorunları bildirmeleri için bir güvenlik açığı bildirim programı planlamaktadır ve bu program 2025'in ilk çeyreğinde başlayacaktır. Bu program, Cure53 denetimi sonuçları ele alındıktan sonra yayına girecektir.
:Kriptografik Protokoller:: En üst düzey güvenlik, gizlilik ve kriptografi uzmanları tarafından yönlendirilen NymVPN, özellikle (mixnet modu için) son teknoloji kriptografik protokollerine dayanmaktadır.
- AES128, istemciler ile giriş node’ları arasındaki güvenli iletişim ve Sphinx başlığının şifrelenmesi için kullanılır.
- BLAKE3, Sphinx paket formatında anahtar türetme için kullanılır.
- Lioness, Sphinx payload kısmının şifrelenmesinde kullanılır.
WireGuard tabanlı mod için ise:
- ChaCha20, simetrik şifreleme için,
- Poly1305, kimlik doğrulama için,
- BLAKE2s, özetleme (hash) işlemleri için kullanılır.
Yazılım güncellemeleri: NymVPN istemci uygulamaları ve node çalıştırıcı binayr, güvenlik yamaları ve iyileştirmeleri sağlamak amacıyla düzenli veya gerektiğinde güncellenir.
Sunucu kontrolü ve fiziksel güvenlik: Tasarım gereği, Nym Technologies SA VPN sunucularını kendisi çalıştırmaz; bunun yerine bağımsız node operatörlerine güvenir. Nym Technologies SA, ayrıca modern ve güvenli iç araçlar kullanır ve çalışanları için Çok Faktörlü Kimlik Doğrulama (MFA) dahil olmak üzere sıkı güvenlik politikaları uygular.
Soru 8: Hizmet, kullanıcı verilerini korumak için başka ne tür kontroller uyguluyor?
Bkz. Soru 7.
Bağlam
2018 yılında düzenlenen RightsCon insan hakları konferansında yapılan tartışmaların ardından, Demokrasi ve Teknoloji Merkezi (Center for Democracy and Technology - CDT, dijital çağda sivil haklar ve özgürlükleri ilerletmeye adanmış saygın bir sivil toplum kuruluşu) ve önde gelen VPN sağlayıcıları, VPN sektöründe ciddi bir güven ve şeffaflık eksikliği olduğunu tespit etti.
Buna yanıt olarak, CDT VPN sağlayıcılarının güvenilirliklerini ve olumlu itibarlarını gösterebilmeleri amacıyla; (1) kurumsal sorumluluk, (2) veri kayıt uygulamaları ve (3) güvenlik uygulamalarına odaklanan 8 standartlaştırılmış sorudan oluşan bir liste geliştirdi.
Ürünümüz ve operasyonlarımız konusunda tam şeffaflık taahhüdümüz doğrultusunda, Güvenilir VPN’lerin İşaretleri anketindeki 8 soruya verdiğimiz yanıtları kamuoyuyla paylaşıyoruz.
Son güncelleme: 4 Aralık 2024