Pobierz
Powrót do bloga
Prywatność··10 min czytania

Polityki VPN bez logow wyjasnione

Język: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt简体中文繁體中文

Polityka VPN bez logow to zobowiazanie dostawcy uslugi, ze nie przechowuje on zapisow aktywnosci uzytkownika. Wyrazenie to stalo sie powszechne w marketingu VPN-ow, ale jego faktyczne znaczenie rozni sie miedzy dostawcami. Ten artykul wyjasnia, co obejmuje wiarygodna polityka bez logow, jak jest wdrazana na poziomie infrastruktury oraz jak ocenic, czy deklaracja jest poparta niezaleznymi dowodami.

Co deklaruje polityka bez logow

Polityka bez logow to oswiadczenie o tym, ktore rodzaje danych uzytkownika dostawca zapisuje i przechowuje. Mocne polityki konkretnie odnosza sie do logow polaczen, logow aktywnosci i identyfikujacych metadanych oraz opisuja srodki techniczne, ktore egzekwuja te polityke.

Sformulowanie ma znaczenie, bo „bez logow” bywa uzywane luzno w znaczeniu „bez logow, ktore uznajemy za wrazliwe”, podczas gdy inne dane — zuzycie pasma, liczba polaczen, obciazenie serwera — sa nadal przechowywane do celow operacyjnych. Jasna polityka rozroznia te dwie rzeczy i wyjasnia uzasadnienie kazdej z nich.

Rodzaje logow

Logi w kontekscie VPN zwykle dziela sie na trzy kategorie.

Logi aktywnosci

Logi aktywnosci zapisuja, do ktorych stron, aplikacji lub miejsc docelowych dotarl ruch uzytkownika podczas sesji. To najbardziej wrazliwa kategoria. Dostawca, ktory przechowuje logi aktywnosci, moze odtworzyc historie przegladania uzytkownika. Polityka bez logow, ktora nie wyklucza wprost logow aktywnosci, nie jest znaczacym zobowiazaniem dotyczacym prywatnosci.

Logi polaczen

Logi polaczen zapisuja, kiedy uzytkownik sie polaczyl, jak dlugo trwala sesja, zrodlowy adres IP, z ktorego uzytkownik sie polaczyl, oraz serwer, do ktorego uzytkownik sie polaczyl. Choc mniej wrazliwe niz logi aktywnosci, logi polaczen mozna wykorzystac do skorelowania sesji VPN z aktywnoscia obserwowana gdzie indziej w internecie.

Logi zbiorcze lub operacyjne

Logi zbiorcze zapisuja metryki takie jak laczne pasmo na serwer, liczba rownoczesnych sesji i liczba bledow. Sa one zwykle niezbedne do planowania pojemnosci i przeciwdzialania naduzyciom. Rozsadna polityka bez logow rozroznia zbiorcze metryki operacyjne od logow przypisanych do poszczegolnych uzytkownikow.

Jak jest wdrazana

Wiarygodna polityka bez logow jest egzekwowana przez projekt infrastruktury, a nie tylko przez polityke firmy. Powszechnie stosuje sie kilka praktyk.

  • Serwery dzialajace tylko w pamieci. Serwery VPN dzialaja w calosci z RAM-u, bez dolaczonej trwalej pamieci masowej. Po ponownym uruchomieniu serwera wszelkie dane w pamieci sa tracone. Bywa to nazywane konfiguracja tylko w RAM lub bezdyskowa.
  • Tunele bezstanowe. Nowoczesne protokoly takie jak WireGuard utrzymuja na serwerze minimalny stan. Serwer wie, ktorzy uczestnicy sa autoryzowani, ale nie musi sledzic historii sesji. Dla kontrastu OpenVPN z uwierzytelnianiem opartym na nazwie uzytkownika przechowuje dodatkowy stan.
  • Wytlumione logi systemowe. Serwery sa skonfigurowane tak, by domyslne rejestratory systemowe nie zapisywaly informacji o poszczegolnych polaczeniach. Szczegolowe logowanie jest zwykle wlaczane tylko na krotko podczas debugowania.
  • Brak bazy danych kont. Uslugi, ktore nie wymagaja kont uzytkownikow, w ogole nie moga powiazac polaczen z osobami. Snap VPN stosuje to podejscie: subskrypcje sa przetwarzane przez Apple, a usluga nie prowadzi bazy danych uzytkownikow.

Niezalezne audyty

Niezalezny audyt to najmocniejsza dostepna forma dowodu na to, ze polityka bez logow jest wdrazana zgodnie z deklaracja. Typowe zlecenie audytu polega na tym, ze zewnetrzna firma bezpieczenstwa przeglada konfiguracje serwerow dostawcy, kod zrodlowy i procedury operacyjne na przestrzeni kilku tygodni.

Wartosc audytu zalezy od jego zakresu. Przydatny audyt precyzuje, ktore serwery, komponenty i okresy zostaly zbadane, oraz publikuje ustalenia — zarowno pozytywne, jak i negatywne — w raporcie, ktory mozna przejrzec w calosci. Audyty, ktore daja tylko podsumowanie marketingowe, sa znacznie slabsze.

Wazne jest tez, by uznac, czego audyt nie moze ustalic. Audyt rejestruje migawke w czasie. Nie gwarantuje, ze dostawca bedzie dzialal tak samo po zakonczeniu audytu. Powtarzane audyty w regularnych odstepach zapewniaja mocniejsza ciagla rekojmie.

Zadania prawne

Polityka bez logow w istotny sposob wchodzi w interakcje z procesami prawnymi. Jesli dostawca otrzyma wezwanie sadowe lub nakaz sadowy zadajacy danych uzytkownika, dostawca moze ujawnic tylko to, co ma. Jesli logi aktywnosci i polaczen nie sa przechowywane, dostawca nie ma nic do ujawnienia na temat konkretnej aktywnosci uzytkownika poza zapisem subskrypcji.

Kilku dostawcow publikuje „raporty przejrzystosci” opisujace otrzymane zadania prawne i udzielone odpowiedzi. Raport przejrzystosci, ktory wymienia otrzymane zadania i szczegolowo opisuje brak istotnych danych do ujawnienia, jest spojny z dzialajaca polityka bez logow.

Jurysdykcja rowniez ma znaczenie. Rezim prawny, w ramach ktorego dziala dostawca, okresla rodzaje zadan, do ktorych spelnienia moze zostac zmuszony, oraz to, czy moze zostac zobowiazany do rozpoczecia logowania na przyszlosc.

Weryfikacja deklaracji

Kilka sygnalow wskazuje, czy deklaracja bez logow jest wiarygodna.

  • Konkretnosc polityki. Polityka wprost nazywa kategorie logow, ktore nie sa przechowywane, zamiast uzywac niejasnych sformulowan.
  • Historia audytow.Dostawca zlecil niezalezne audyty, pelne raporty z audytow sa publicznie dostepne, a audyty obejmuja komponenty, ktore maja najwieksze znaczenie — serwery i systemy uwierzytelniania.
  • Projekt operacyjny. Infrastruktura jest opisana ze szczegolami technicznymi, w tym uzycie serwerow dzialajacych tylko w pamieci, uwierzytelnianie bez konta i protokoly bezstanowe.
  • Raporty przejrzystosci. Dostawca publikuje cykliczne raporty opisujace otrzymane zadania prawne i udzielone odpowiedzi.

Czeste pulapki

Kilka wzorcow wskazuje na deklaracje bez logow, ktora moze byc mniej solidna, niz sie wydaje.

Niejednoznaczny jezyk.Polityki, ktore obiecuja nie przechowywac „zadnych danych umozliwiajacych identyfikacje osoby” bez sprecyzowania, ktore kategorie danych sa wylaczone, moga byc spojne z przechowywaniem znacznych metadanych polaczen.

Uslugi oparte na koncie. Usluga, ktora wymaga adresu e-mail do konta, z natury przechowuje pewne informacje, nawet jesli twierdzi, ze nie loguje aktywnosci. Uslugi bez konta maja mocniejsza pozycje strukturalna.

Wylacznie samodeklaracja. Deklaracja bez logow, ktora nie zostala zbadana przez niezalezna strone, opiera sie wylacznie na oswiadczeniu dostawcy.

Snap VPN jest zbudowany tak, by deklaracja bez logow byla mechanicznie wiarygodna: brak kont uzytkownikow, serwery dzialajace tylko w pamieci i protokol WireGuard, ktory niesie minimalny stan sesji. Dla szerszego kontekstu zobacz nasze wprowadzenie do VPN-ow oraz porownanie WireGuard i OpenVPN.

The Snap VPN Team
Editorial