Сигнали надійних VPN

Корпоративна звітність

Запитання 1: Яка публічна та юридична назва VPN-сервісу та будь-яких материнських або холдингових компаній?

NymVPN управляється компанією Nym Technologies SA, швейцарською компанією, що має штаб-квартиру в Невшателі, Швейцарія. Компанія є приватною власністю її співзасновників, Гаррі Халпіна та Алексіса Русселя, без материнських або холдингових компаній. Інші співзасновники є меншістю акціонерів компанії.

Ні Nym Technologies SA, ні Гаррі Галпін, ні Алексіс Руссель не мають власності чи економічних інтересів в інших компаніях VPN. Гаррі Гелпін раніше був Президентом Правління LEAP Encryption Access Project (централізованої VPN для правозахисників), посаду, яку він залишив.

NymVPN керується виключно компанією Nym Technologies SA, без участі інших компаній або партнерів.

Запитання 2: Чи має компанія, або інші компанії, які беруть участь в управлінні або володінні сервісом, будь-яку частку в вебсайтах оглядів VPN?

Ні.

Запитання 3: Яка бізнес-модель сервісу (тобто, як VPN заробляє гроші)?

Бізнес-модель**: NymVPN отримує прибуток виключно через підписки на VPN, до яких входять як децентралізований VPN (dVPN), так і доступ до мікснету. Компанія не займається продажем інформації користувача або використанням даних клієнтів з метою, відмінною від роботи сервісу VPN.

Ми розглядаємо можливість створення корпоративних версій нашого мікснету для потенційних партнерів. Компанія Nym Technologies SA отримала невелику суму доходу від інтеграції мікснету з іншими проектами, включаючи:

• грант від Програми грантів спільноти ZCash на інтеграцію змішувальної мережі з гаманцями ZCash;
• Гранти на дослідження та розробки з програми "Наступне покоління Інтернету" Європейської Комісії, для забезпечення більш ефективних форматів пакетів микснету та технології анонімних облікових даних.

Практики ведення даних

Запитання 4: Чи сервіс зберігає будь-які дані чи метадані, що генеруються під час сеансу VPN (з моменту підключення до відключення) після завершення сеансу? Якщо так, то які дані?

• Пристрій користувача: Під час альфа-фази та для відлагодження деякі дані підключення можуть бути зафіксовані у логах додатку та збережені на пристрої користувача. Ці журнали регулярно видаляються. Оскільки програми NymVPN стають більш стабільними, Nym прагне зробити ці журнали менш докладними. Користувачі можуть переглядати дані через меню Налаштування > Журнали у своєму додатку NymVPN (зауваження: ці журнали зберігаються локально на пристрої користувача і не передаються Nym чи будь-яким третім особам).
• Анонімізовані звіти про збої: Користувачі мають можливість добровільно ділитися анонімізованими звітами про збої, щоб допомогти покращити NymVPN. Ці звіти призначені для того, щоб упевнитися, що вони не містять жодної ідентифікуючої інформації про окремих користувачів. За дизайном, жодні інші дані про онлайн-активності користувача недоступні для Nym Technologies SA.
• Оператори вузлів: Як децентралізована VPN, сервери NymVPN керуються незалежними операторами. За задумом, оператори вхідних шлюзів можуть мати доступ до IP-адреси користувача (але не до його онлайн-активності), а оператори вихідних шлюзів можуть бачити онлайн-активність (але не можуть зв'язати її з IP-адресою користувача). Згідно з нашим Договором операторів вузлів і валідаторів, оператори зобов'язуються не збирати, не відстежувати, не реєструвати, не зберігати, не утримувати та не передавати будь-яку інформацію або дані, що стосуються діяльності кінцевих користувачів NymVPN або послуг VPN.

Для отримання додаткової інформації, будь ласка, зверніться до нашої Заяви про конфіденційність додатків.

Запитання 5: Чи зберігає (або ділиться) ваша компанія будь-якими даними про активність користувачів в Інтернеті та/або мережі, зокрема DNS-запитами та записами доменних імен і вебсайтів, що відвідувались?

Дивіться питання 4.

DNS запити: NymVPN не надає послугу DNS. Як наслідок, DNS-запити обробляються за замовчуванням постачальником DNS або тим, який налаштував користувач.

Запитання 6: Чи маєте ви чіткий процес для відповіді на законні запити даних від правоохоронних органів та судів?

NymVPN управляється компанією Nym Technologies SA, швейцарською компанією, та дотримується швейцарського законодавства. Ми підтримуємо юридичну допомогу для вирішення будь-яких запитів правоохоронних органів.

Завдяки своїй архітектурі, як децентралізований VPN-сервіс, NymVPN не зберігає жодних даних, пов'язаних із онлайн-діяльністю користувачів. Хоча NymVPN має доступ до платіжних даних користувачів, ці дані не пов'язані з їхніми обліковими записами VPN через реєстрацію на основі "zk-nyms" (докази з нульовим показником).

Оскільки Nym децентралізований, можливі випадки, коли запити на дані від правоохоронних органів та судів надходять до децентралізованих вузлів у нашій мережі.

Практики безпеки

Питання 7: Що ви робите, щоб захиститися від несанкціонованого доступу до потоків даних клієнтів через VPN?

Аудит: NymVPN прагне надавати користувачам найкращі переваги в питанні конфіденційності та безпеки. Кодова база NymVPN повністю відкрита, ліцензована під GPLv3 та компанією Apache Software, і доступна для будь-кого для аудиту. У липні 2024 року NymVPN та інші основні технології Nym були перевірені поважною компанією з пен-тестування Cure53. Компанія Nym Technologies також пройшла кілька інших аудитів безпеки, пов'язаних із її мікснетом та криптографією.

Звіт про помилку/розголошення вразливості: Упродовж 2024 грудня, NymVPN планує програму розкриття вразливості, яка б повідомила дослідникам із безпеки, яка буде запущена в Q1 2025 році. Ця програма запрацює, щойно буде вирішено та опубліковано результати аудиту Cure53.

Криптографічні протоколи: Керуючись провідними експертами з безпеки, конфіденційності та криптографії, NymVPN спирається на сучасні криптографічні протоколи, зокрема, включаючи (для режиму mixnet):

• AES128 для безпечної комунікації між клієнтами та вхідними вузлами, а також для шифрування заголовка Sphinx;
• BLAKE3 для генерування ключів у форматі пакета Sphinx;
• Левиця для шифрування вантажу Sphinx.

І (для режиму на основі WireGuard):

• ChaCha20 для симетричного шифрування;
• Poly1305 для аутентифікації;
• BLAKE2s для хешування.

Практики безпеки- Оновлення програмного забезпечення: Клієнтські додатки та операторські двійники NymVPN регулярно оновлюються або за потреби для забезпечення виправлення помилок і поліпшення безпеки.

Контроль серверів та фізична безпека: за дизайном компанія Nym Technologies SA не керує VPN-серверами, а натомість покладається на незалежних операторів вузлів. Компанія забезпечує використання сучасних, безпечно керованих внутрішніх інструментів і дотримується суворих політик безпеки працівників, включаючи багатофакторну автентифікацію.

Питання 8: Які інші засоби контролю використовує сервіс для захисту даних користувачів?

Дивіться запитання 7.

Контекст

Після обговорень на конференції з прав людини RightsCon у 2018 році Центр демократії та технологій (CDT, солідна неприбуткова організація, що прагне просувати цивільні права та свободи в цифрову епоху) та відомі постачальники VPN визнали значну відсутність довіри та прозорості в індустрії VPN.

У відповідь CDT розробило список з 8 стандартизованих запитань, спрямованих на (1) корпоративну відповідальність, (2) практики ведення журналів даних та (3) практики безпеки, що дозволяє провайдерам VPN продемонструвати свою прихильність до надійності та позитивної репутації.

У нашій відданості повній прозорості щодо нашого продукту та діяльності ми ділимося нашими відповідями на 8 запитань у анкеті «Сигнали надійних VPN».

Останнє оновлення: 4 грудня 2024 року