Descarregar
Voltar ao blog
Privacidade··10 min de leitura

Políticas de VPN sem logs explicadas

Idioma: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiРусскийไทยTürkçeУкраїнськаTiếng Việt简体中文繁體中文

Uma política de VPN sem registros é um compromisso de um provedor de serviço de que ele não retém registros da atividade do usuário. A expressão se tornou comum no marketing de VPN, mas o significado real varia entre os provedores. Este artigo explica o que uma política sem logs confiável cobre, como ela é implementada no nível da infraestrutura e como avaliar se a promessa é sustentada por evidências independentes.

O que uma política sem logs promete

Uma política sem logs é uma declaração sobre quais tipos de dados de usuário o provedor registra e retém. Políticas fortes tratam especificamente de registros de conexão, registros de atividade e metadados de identificação, e descrevem as medidas técnicas que aplicam a política.

A forma de dizer importa porque “sem logs” às vezes é usado de modo solto para significar “sem os registros que consideramos sensíveis”, enquanto outros dados — uso de banda, contagem de conexões, carga do servidor — continuam a ser retidos para fins operacionais. Uma política clara distingue os dois e explica a justificativa de cada um.

Tipos de registros

Os registros, no contexto de uma VPN, costumam se enquadrar em três categorias.

Registros de atividade

Registros de atividade anotam quais sites, aplicativos ou destinos o tráfego de um usuário alcançou durante uma sessão. Esta é a categoria mais sensível. Um provedor que retém registros de atividade pode reconstruir o histórico de navegação de um usuário. Uma política sem logs que não rejeita explicitamente os registros de atividade não é um compromisso de privacidade significativo.

Registros de conexão

Registros de conexão anotam quando um usuário se conectou, quanto durou a sessão, o endereço IP de origem de onde o usuário se conectou e o servidor ao qual o usuário se conectou. Embora menos sensíveis do que os registros de atividade, os registros de conexão podem ser usados para correlacionar sessões de VPN com atividade observada em outro lugar da internet.

Registros agregados ou operacionais

Registros agregados anotam métricas como banda total por servidor, número de sessões simultâneas e contagem de erros. Esses costumam ser necessários para o planejamento de capacidade e a mitigação de abuso. Uma política sem logs razoável distingue entre métricas operacionais agregadas e registros por usuário.

Como é implementada

Uma política sem logs confiável é aplicada pelo desenho da infraestrutura, não apenas pela política da empresa. Várias práticas são usadas com frequência.

  • Servidores apenas em memória. Os servidores de VPN rodam inteiramente a partir da RAM, sem armazenamento persistente acoplado. Quando o servidor é reiniciado, qualquer dado em memória se perde. Isso às vezes é chamado de configuração só em RAM ou sem disco.
  • Túneis sem estado. Protocolos modernos como o WireGuard mantêm um estado mínimo no servidor. O servidor sabe quais pares estão autorizados, mas não precisa rastrear o histórico da sessão. Em contraste, o OpenVPN com autenticação baseada em nome de usuário retém estado adicional.
  • Registros de sistema suprimidos. Os servidores são configurados de modo que os registradores padrão do sistema não anotem informações por conexão. O registro detalhado normalmente só é habilitado por pouco tempo durante a depuração.
  • Sem banco de dados de contas. Serviços que não exigem contas de usuário não conseguem vincular conexões a indivíduos de forma alguma. A Snap VPN segue essa abordagem: as assinaturas são processadas através da Apple, e o serviço não mantém um banco de dados de usuários.

Auditorias independentes

Uma auditoria independente é a forma mais forte de evidência disponível de que uma política sem logs é implementada conforme se afirma. Um trabalho típico de auditoria envolve uma empresa de segurança terceira revisando as configurações de servidor, o código-fonte e os procedimentos operacionais do provedor ao longo de várias semanas.

O valor de uma auditoria depende do seu escopo. Uma auditoria útil especifica quais servidores, componentes e períodos de tempo foram examinados, e publica as conclusões — tanto positivas quanto negativas — em um relatório que pode ser revisado por completo. Auditorias que produzem apenas um resumo de marketing são consideravelmente mais fracas.

Também é importante reconhecer o que uma auditoria não consegue estabelecer. Uma auditoria captura um retrato de um momento no tempo. Ela não garante que o provedor continuará a operar da mesma forma depois que a auditoria terminar. Auditorias repetidas em intervalos regulares fornecem uma garantia contínua mais forte.

Solicitações legais

Uma política sem logs interage com os processos legais de formas importantes. Se um provedor recebe uma intimação ou ordem judicial solicitando dados de usuário, o provedor só pode divulgar o que tem. Se registros de atividade e de conexão não são retidos, o provedor não tem nada a divulgar sobre a atividade específica do usuário além do registro de assinatura.

Vários provedores publicam “relatórios de transparência” que descrevem as solicitações legais recebidas e as respostas dadas. Um relatório de transparência que lista as solicitações recebidas e detalha a ausência de dados substantivos a divulgar é coerente com uma política sem logs em funcionamento.

A jurisdição também importa. O regime legal sob o qual o provedor opera determina os tipos de solicitação que ele pode ser obrigado a cumprir e se ele pode ser compelido a começar a registrar a partir dali em diante.

Verificando uma promessa

Vários sinais indicam se uma promessa de sem logs é confiável.

  • Especificidade da política. A política nomeia explicitamente as categorias de registros que não são retidas, em vez de usar expressões vagas.
  • Histórico de auditorias. O provedor encomendou auditorias independentes, os relatórios completos das auditorias estão disponíveis publicamente e as auditorias cobrem os componentes que mais importam — servidores e sistemas de autenticação.
  • Desenho operacional. A infraestrutura é descrita em detalhe técnico, incluindo o uso de servidores apenas em memória, autenticação sem conta e protocolos sem estado.
  • Relatórios de transparência. O provedor publica relatórios recorrentes descrevendo as solicitações legais recebidas e as respostas dadas.

Armadilhas comuns

Vários padrões indicam uma promessa de sem logs que pode ser menos robusta do que parece.

Linguagem ambígua.Políticas que prometem não reter “nenhuma informação de identificação pessoal” sem especificar quais categorias de dados ficam de fora podem ser coerentes com a retenção de metadados de conexão substanciais.

Serviços baseados em conta. Um serviço que exige um endereço de e-mail para uma conta inerentemente retém alguma informação, mesmo que afirme não registrar atividade. Serviços sem conta têm uma posição estrutural mais forte.

Apenas autoatestação. Uma promessa de sem logs que não foi examinada por uma parte independente apoia-se somente na declaração do provedor.

A Snap VPN é estruturada para tornar uma promessa de sem logs mecanicamente confiável: sem contas de usuário, servidores apenas em memória e o protocolo WireGuard, que carrega um estado mínimo de sessão. Para um contexto mais amplo, veja nossa introdução às VPNs e a comparação entre WireGuard e OpenVPN.

The Snap VPN Team
Editorial