(video tillgänglig på engelska)
Det är många personers arbete i många olika system som krävs för att tillverka och underhålla en ExpressVPN-app. För att det arbetet ska gå säkert till måste vi kunna garantera att alla inblandade genomgår ordentlig granskning, förberedelse och utbildning. Men det räcker inte.
Vi behöver också vara säkra på att ingen utanför företaget har möjlighet att störa processen. Därför har vi implementerat en rigorös verifieringsprocess som säkerställer att inga tredjepartsaktörer kan göra obehöriga ändringar av vår mjukvara, inklusive injektion av skadlig programvara.
Precis som vattentillgångar är skyddade så att du vet vad som kommer ur kranen är vår programvara skyddad från infektion av skadlig kod under hela produktions- och leveranskedjan. Och nu har vi fått de skydden oberoende granskade.
Minimera risken för infektion
På senare år har vi sett flera fall där stora teknikföretag, inklusive PC-tillverkare, släpper mjukvara och hårdvara till kunder som blivit infekterad med skadlig kod någonstans i produktions- eller distributionskedjan.
Med det i åtanke har vi utvecklat ett verifieringssystem som markant minskar risken för att en obehörig individ eller dator ger upphov till oavsiktlig spridning av skadeprogram till våra kunder.
Det innebär att du kan använda ExpressVPN:s appar med vetskapen om att de inte innehåller någon obehörig eller skadlig kod.
Här är några av de policyer och rutiner vi har implementerat:
- Användning av PGP-nycklar utfärdade av ExpressVPN för alla ändringar i källkoden
- Krav på att alla ändringar i koden godkänns av en auktoriserad person utöver personen som gjort ändringen
- Automatisk granskning av ändringar, med varningar för oväntade ändringar som följs upp individuellt
- Användning av enbart de automatiserade byggmiljöerna CircleCI och Azure DevOps för produktion av binärfiler som distribueras till kunder
Vår verifieringsprocess har varit föremål för bestyrkandeuppdrag av PwC Switzerland
Men hur kan du vara säker på att våra påståenden om våra policyer stämmer? Det är här det oberoende granskningsföretaget PwC Switzerland kommer in.
För att validera våra skyddsåtgärder har PwC Switzerland genomfört ett oberoende bestyrkande där de undersökt de policyer och kontroller vi inrättat för att distribuera appar fria från obehöriga ändringar. För att genomföra bestyrkandeuppdraget fick de tillgång till källkod, servrar, dokumentation och anställda vid ett tillfälle i maj 2020.
Den oberoende bestyrkanderapporten finns tillgänglig för våra kunder. I linje med PwC Switzerlands standard för rapporter av det här slaget behöver de som vill läsa rapporten godkänna företagets regler och villkor. Våra kunder kan göra det via den här länken.
För att resultaten från bestyrkandeuppdraget inte ska kunna tas ur sitt sammanhang och därmed missförstås tillåter inte PwC Switzerland att utdrag ur rapporten delas, så därför ger vi ingen närmare information om resultaten i det här inlägget. Men vi kan säga så mycket som att vi var nöjda med processen och att vi gärna uppmuntrar våra kunder att läsa rapporten i sin helhet.
Vi ger dig säkerhet utan orosmoment
På ExpressVPN söker vi ständigt efter potentiella hot mot din integritet och försöker hitta lösningar för att minska riskerna.
Granskningar av tredjepartsaktörer, som vår senaste säkerhetsutvärdering av Cure53 och PwC Switzerlands granskning av vår efterlevnad av integritetspolicyn och vår egentillverkade TrustedServer-teknik från förra året ger oberoende omdömen om vårt arbete för våra kunders integritet och säkerhet.
De här bestyrkandeuppdragen och säkerhetsutvärderingarna utgör komplement till vårt övriga arbete för tillit och transparens, som att vi tillhandahåller verktyg för läckagetest med öppen källkod, offentligt redogör för våra säkerhetsrutiner och tillhandandahåller VPN Trust Initiative, vars syfte är att främja kunskapen om internetsäkerhet.
På ExpressVPN strävar vi efter att driva branschen framåt med hjälp av både teknik och transparens. Vi ser fram emot att publicera fler granskningar och verktyg och mer information så att du kan se till att vi håller vad vi lovar.