Trách nhiệm giải trình của doanh nghiệp
Câu hỏi 1: Tên pháp lý đầy đủ và công khai của dịch vụ VPN và công ty mẹ hoặc tổng công ty là gì?
NymVPN được điều hành bởi Nym Technologies SA, một công ty Thụy Sĩ có trụ sở tại Neuchâtel, Thụy Sĩ. Công ty thuộc sở hữu tư nhân bởi hai nhà đồng sáng lập, Harry Halpin và Alexis Roussel, không có công ty mẹ hoặc tổng công ty. Các đồng sáng lập khác là những cổ đông thiểu số của công ty.
Cả Nym Technologies SA, Harry Halpin và Alexis Roussel đều không sở hữu hoặc có cổ phần kinh tế trong các công ty VPN khác. Harry Halpin trước đây là Chủ tịch Hội đồng Quản trị của Dự án truy cập mã hóa LEAP (một VPN tập trung dành cho các nhà hoạt động nhân quyền), nhưng sau đó ông đã rời vị trí này.
NymVPN được Nym Technologies SA vận hành độc quyền mà không có sự tham gia của bất kỳ công ty hoặc đối tác nào khác.
Câu hỏi 2: Công ty hoặc các công ty khác tham gia vào hoạt động hoặc sở hữu dịch vụ có sở hữu bất kỳ trang web nào thực hiện đánh giá VPN không?
Không.
Câu hỏi 3: Mô hình kinh doanh của dịch vụ là gì (tức là VPN kiếm tiền bằng cách nào)?
NymVPN tạo ra doanh thu chỉ thông qua đăng ký VPN, bao gồm cả quyền truy cập dVPN và mixnet. Chúng tôi không bán thông tin người dùng, và không sử dụng dữ liệu khách hàng (nếu có) cho bất kỳ mục đích nào ngoài việc vận hành dịch vụ VPN.
Chúng tôi đang cân nhắc việc phát triển các phiên bản doanh nghiệp của mixnet cho các đối tác tiềm năng. Nym Technologies SA đã nhận được một khoản doanh thu nhỏ từ việc tích hợp mixnet với các dự án khác, bao gồm:
- khoản tài trợ từ Chương trình tài trợ cộng đồng ZCash để tích hợp mixnet với ví ZCash;
- Các khoản tài trợ nghiên cứu và phát triển từ Chương trình Internet Thế hệ mới của Ủy ban Châu Âu với mục tiêu cải thiện các định dạng gói mixnet và công nghệ xác thực ẩn danh.
Thực hành ghi nhật ký dữ liệu
Câu hỏi 4: Dịch vụ có lưu trữ bất kỳ dữ liệu hoặc siêu dữ liệu nào được tạo trong phiên VPN (từ lúc kết nối đến khi ngắt kết nối) sau khi phiên kết thúc không? Nếu có, đó là dữ liệu gì?
- Thiết bị của người dùng: Trong giai đoạn alpha và cho mục đích gỡ lỗi, một số dữ liệu kết nối có thể được ghi lại trong nhật ký ứng dụng và được lưu trữ trên thiết bị của người dùng. Các nhật ký này được xóa định kỳ. Khi các ứng dụng NymVPN trở nên ổn định hơn, Nym hướng đến việc giảm mức độ chi tiết của các nhật ký này. Người dùng có thể xem lại dữ liệu thông qua menu Cài đặt > Nhật ký trong ứng dụng NymVPN của họ (lưu ý: Các nhật ký này được lưu trữ cục bộ trên thiết bị của người dùng và không được chia sẻ với Nym hoặc bất kỳ bên thứ ba nào).
- Nym Technologies SA: Người dùng có thể tùy chọn chia sẻ báo cáo lỗi ẩn danh (qua Sentry) để hỗ trợ cải thiện NymVPN. Các báo cáo này được thiết kế để không chứa bất kỳ thông tin định danh cá nhân nào. Theo thiết kế, Nym Technologies SA không thể truy cập bất kỳ dữ liệu nào khác về hoạt động trực tuyến của người dùng.
- Các nhà điều hành node: NymVPN là một VPN phi tập trung, với các máy chủ được vận hành bởi các nhà điều hành độc lập. Theo thiết kế, các nhà điều hành cổng vào có thể truy cập vào địa chỉ IP của người dùng (nhưng không phải hoạt động trực tuyến của họ) và các nhà điều hành cổng thoát có thể xem hoạt động trực tuyến (nhưng không thể liên kết hoạt động đó với địa chỉ IP của người dùng). Theo các Điều khoản và Điều kiện của Nhà điều hành Node và Trình xác thực, các nhà điều hành cam kết không "thu thập, giám sát, ghi lại, lưu trữ, giữ lại hoặc chuyển giao cho bất kỳ bên thứ ba nào thông tin từ Node Nym hoặc bất kỳ thông tin hay dữ liệu nào liên quan đến hoạt động của người dùng cuối của NymVPN hoặc Dịch vụ VPN".
Để biết thêm chi tiết, vui lòng tham khảo Tuyên bố quyền riêng tư ứng dụng của chúng tôi.
Câu hỏi 5: Công ty của bạn có lưu trữ (hoặc chia sẻ với người khác) bất kỳ dữ liệu về duyệt web và/hoặc hoạt động trên mạng nào của người dùng, bao gồm tra cứu DNS và ghi lại tên miền cũng như trang web đã truy cập không?
Xem câu hỏi 4.
Tra cứu DNS: NymVPN không cung cấp dịch vụ DNS. Do đó, các truy vấn DNS được xử lý bởi nhà cung cấp DNS mặc định hoặc nhà cung cấp được cấu hình bởi người dùng.
Câu hỏi 6: Nym có quy trình rõ ràng để phản hồi các yêu cầu cung cấp dữ liệu hợp pháp từ cơ quan thực thi pháp luật và tòa án không?
NymVPN được điều hành bởi Nym Technologies SA, một công ty Thụy Sĩ. Chúng tôi có cố vấn pháp lý để xử lý mọi yêu cầu thực thi pháp luật.
Theo thiết kế, NymVPN là một dịch vụ VPN phi tập trung, không lưu giữ bất kỳ dữ liệu nào liên quan đến hoạt động trực tuyến của người dùng. Mặc dù NymVPN có quyền truy cập vào dữ liệu thanh toán của người dùng, nhưng chúng không được liên kết với tài khoản VPN của họ thông qua quá trình tích hợp dựa trên "zk-nyms" (zero-knowledge proofs).
Do tính chất phi tập trung, các yêu cầu từ cơ quan thực thi pháp luật và tòa án có thể được gửi đến các node phi tập trung trong mạng lưới của Nym.
Thực hành bảo mật
Câu hỏi 7: Nym làm gì để bảo vệ chống lại việc truy cập trái phép vào luồng dữ liệu khách hàng khi sử dụng VPN?
Kiểm toán: NymVPN cam kết mang lại quyền riêng tư và bảo mật hàng đầu cho người dùng. Mã nguồn của NymVPN hoàn toàn là mã nguồn mở, được cấp phép theo GPLv3 và Apache Software License, và bất kỳ ai cũng có thể kiểm tra. Vào tháng 7 năm 2024, NymVPN và các công nghệ cốt lõi khác của Nym đã kiểm toán bởi Cure53, công ty kiểm thử thâm nhập uy tín. Nym Technologies cũng đã trải qua một số kiểm toán bảo mật liên quan đến mixnet và mật mã học.
Chương trình thưởng báo cáo lỗi/tiết lộ lỗ hổng: Tính đến tháng 12 năm 2024, NymVPN dự định triển khai một chương trình tiết lộ lỗ hổng dành cho các nhà nghiên cứu bảo mật để báo cáo các sự cố, dự kiến sẽ được khởi động vào năm 2025. Chương trình này sẽ được khởi động ngay khi các phát hiện từ đánh giá của Cure53 được xử lý và công bố.
Các giao thức mật mã: Được các chuyên gia hàng đầu về bảo mật, quyền riêng tư và mật mã tư vấn, NymVPN sử dụng các giao thức mật mã tiên tiến, đặc biệt bao gồm (đối với chế độ mixnet):
- AES128 để giao tiếp an toàn giữa máy khách và node nhập, cũng như để mã hóa phần tiêu đề Sphinx;
- BLAKE3 để phái sinh khóa theo định dạng gói Sphinx;
- Lioness dùng để mã hóa nội dung (payload) của Sphinx.
Và (đối với chế độ dựa trên WireGuard):
- ChaCha20 để mã hóa đối xứng;
- Poly1305 để xác thực;
- BLAKE2s để băm.
Cập nhật phần mềm: Các ứng dụng người dùng cuối và tệp nhị phân của nhà điều hành NymVPN được cập nhật thường xuyên hoặc khi cần thiết để đảm bảo vá lỗi và cải thiện bảo mật.
Kiểm soát máy chủ và bảo mật vật lý: Theo thiết kế, Nym Technologies SA không vận hành máy chủ VPN, mà dựa vào các nhà điều hành node độc lập. Đồng thời, Nym Technologies SA cũng sử dụng các công cụ nội bộ hiện đại, được quản lý an toàn và thực thi các chính sách bảo mật nghiêm ngặt cho nhân viên, bao gồm Xác thực đa yếu tố.
Câu hỏi 8: Dịch vụ sử dụng những biện pháp kiểm soát nào khác để bảo vệ dữ liệu người dùng?
Xem câu hỏi 7.
Bối cảnh
Sau các cuộc thảo luận tại hội nghị nhân quyền RightsCon năm 2018, Trung tâm Dân chủ và Công nghệ (CDT, một tổ chức phi lợi nhuận có uy tín chuyên thúc đẩy quyền công dân và quyền tự do dân sự trong thời đại kỹ thuật số) và các nhà cung cấp VPN nổi tiếng đã nhận thấy sự thiếu hụt nghiêm trọng về niềm tin và tính minh bạch trong ngành VPN.
Để giải quyết vấn đề này, CDT đã xây dựng 8 câu hỏi tiêu chuẩn hóa tập trung vào (1) trách nhiệm giải trình của công ty, (2) Thực hành ghi nhật ký dữ liệu và (3) Thực hành bảo mật, cho phép các nhà cung cấp VPN chứng minh cam kết của họ về uy tín và danh tiếng.
Trong tinh thần cam kết minh bạch tuyệt đối về sản phẩm và hoạt động của mình, chúng tôi công bố công khai các phản hồi đối với 8 câu hỏi trong bảng Dấu hiệu của VPN đáng tin cậy.
Cập nhật lần cuối: Ngày 4 tháng 12 năm 2024