İndir
Bloga dön
Gizlilik··10 dk okuma

VPN Kayıt Tutmama Politikası Nedir?

Dil: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยУкраїнськаTiếng Việt简体中文繁體中文

VPN kayıt tutmama politikası, bir hizmet sağlayıcının kullanıcı etkinliğine ilişkin kayıtları saklamadığına dair bir taahhüttür. Bu ifade VPN pazarlamasında sıkça yer alsa da gerçek anlamı sağlayıcıdan sağlayıcıya değişir. Bu makalede güvenilir bir kayıt tutmama politikasının neyi kapsadığı, altyapı düzeyinde nasıl uygulandığı ve iddianın bağımsız kanıtlarla desteklenip desteklenmediğinin nasıl değerlendirileceği açıklanmaktadır.

Kayıt Tutmama Politikası Ne İfade Eder?

Kayıt tutmama politikası, sağlayıcının hangi tür kullanıcı verilerini kaydettiğini ve sakladığını açıklayan bir bildiridir. Güçlü politikalar, bağlantı kayıtlarını, etkinlik kayıtlarını ve tanımlayıcı meta verileri açıkça ele alır; politikayı zorunlu kılan teknik önlemleri de ayrıntılı biçimde tanımlar.

Kullanılan ifadeler önemlidir; çünkü "kayıt tutmama" zaman zaman "hassas saydığımız kayıtları tutmama" anlamında gevşekçe kullanılmakta, oysa bant genişliği kullanımı, bağlantı sayısı ve sunucu yükü gibi veriler operasyonel amaçlarla saklanmaya devam etmektedir. Açık bir politika ikisi arasındaki farkı ortaya koyar ve her birinin gerekçesini açıklar.

Kayıt Türleri

VPN bağlamındaki kayıtlar genellikle üç kategoriye ayrılır.

Etkinlik Kayıtları

Etkinlik kayıtları, bir kullanıcının trafiğinin oturum sırasında hangi web sitelerine, uygulamalara veya hedeflere ulaştığını kaydeder. Bu en hassas kategoridir. Etkinlik kayıtlarını saklayan bir sağlayıcı, kullanıcının tarama geçmişini yeniden oluşturabilir. Etkinlik kayıtlarını açıkça dışlamayan bir kayıt tutmama politikası, anlamlı bir gizlilik taahhüdü değildir.

Bağlantı Kayıtları

Bağlantı kayıtları, kullanıcının ne zaman bağlandığını, oturumun ne kadar sürdüğünü, bağlantının geldiği kaynak IP adresini ve kullanıcının hangi sunucuya bağlandığını kaydeder. Etkinlik kayıtlarına kıyasla daha az hassas olmakla birlikte, bağlantı kayıtları VPN oturumlarını internetteki başka gözlemlenen etkinliklerle ilişkilendirmek için kullanılabilir.

Toplu veya Operasyonel Kayıtlar

Toplu kayıtlar; sunucu başına toplam bant genişliği, eş zamanlı oturum sayısı ve hata sayıları gibi ölçümleri kaydeder. Bunlar genellikle kapasite planlaması ve kötüye kullanımı önleme açısından gereklidir. Makul bir kayıt tutmama politikası, toplu operasyonel metrikler ile kullanıcı bazlı kayıtlar arasındaki farkı açıkça ortaya koyar.

Nasıl Uygulanır?

Güvenilir bir kayıt tutmama politikası yalnızca şirket politikasıyla değil, altyapı tasarımıyla da desteklenir. Bu amaçla yaygın olarak kullanılan birkaç uygulama mevcuttur.

  • Yalnızca bellekte çalışan sunucular. VPN sunucuları tamamen RAM üzerinde çalışır; kalıcı bir depolama birimi bağlı değildir. Sunucu yeniden başlatıldığında bellekteki tüm veriler silinir. Bu yapılandırma bazen yalnızca RAM veya disksiz sunucu olarak da adlandırılır.
  • Durumsuz tüneller. WireGuard gibi modern protokoller sunucuda minimum durum bilgisi tutar. Sunucu hangi eşlerin yetkili olduğunu bilir ancak oturum geçmişini izlemesi gerekmez. Buna karşın, kullanıcı adı tabanlı kimlik doğrulama kullanan OpenVPN ek durum bilgisi saklar.
  • Sistem günlüklerinin bastırılması. Sunucular, varsayılan sistem günlükleyicilerinin bağlantı başına bilgi kaydetmeyeceği şekilde yapılandırılır. Ayrıntılı günlük kaydı genellikle yalnızca hata ayıklama sırasında kısa süreliğine etkinleştirilir.
  • Hesap veritabanı bulunmaması. Kullanıcı hesabı gerektirmeyen hizmetler, bağlantıları bireylerle hiçbir şekilde ilişkilendiremez. Snap VPN bu yaklaşımı benimser: abonelikler Apple üzerinden işlenir ve hizmet bir kullanıcı veritabanı tutmaz.

Bağımsız Denetimler

Bağımsız denetim, bir kayıt tutmama politikasının iddia edildiği şekilde uygulandığına dair mevcut en güçlü kanıt biçimidir. Tipik bir denetim süreci, üçüncü taraf bir güvenlik firmasının sağlayıcının sunucu yapılandırmalarını, kaynak kodunu ve operasyonel prosedürlerini birkaç hafta boyunca incelemesini kapsar.

Bir denetimin değeri kapsamına bağlıdır. Faydalı bir denetim, hangi sunucuların, bileşenlerin ve zaman dilimlerinin incelendiğini belirtir; olumlu ve olumsuz bulguların tamamını, eksiksiz olarak incelenebilecek bir raporda yayımlar. Yalnızca bir pazarlama özeti sunan denetimler çok daha zayıf kalır.

Bir denetimin neyi kanıtlayamayacağını da göz önünde bulundurmak gerekir. Denetim, belirli bir zaman diliminin anlık görüntüsünü alır. Sağlayıcının denetim sonrasında aynı şekilde çalışmaya devam edeceğini garanti etmez. Düzenli aralıklarla yinelenen denetimler, süregelen güvenceyi daha güçlü biçimde sağlar.

Hukuki Talepler

Kayıt tutmama politikası, hukuki süreçlerle önemli biçimlerde etkileşime girer. Bir sağlayıcı, kullanıcı verileri talep eden bir mahkeme celbi veya mahkeme kararı alırsa yalnızca elindeki bilgileri açıklayabilir. Etkinlik ve bağlantı kayıtları saklanmıyorsa sağlayıcının, abonelik kaydının ötesinde belirli kullanıcı etkinliğine ilişkin açıklayabileceği herhangi bir bilgi olmaz.

Bazı sağlayıcılar, aldıkları hukuki talepleri ve verdikleri yanıtları açıklayan "şeffaflık raporları" yayımlar. Alınan talepleri listeleyen ve açıklanacak somut verinin bulunmadığını ayrıntılandıran bir şeffaflık raporu, işleyen bir kayıt tutmama politikasıyla tutarlıdır.

Yargı yetkisi de önem taşır. Sağlayıcının faaliyet gösterdiği hukuki rejim, hangi talepleri yerine getirmek zorunda kalacağını ve kayıt tutmaya ileriye dönük olarak başlamasının zorunlu kılınıp kılınamayacağını belirler.

İddiayı Doğrulamak

Bir kayıt tutmama iddiasının güvenilir olup olmadığını gösteren çeşitli işaretler bulunmaktadır.

  • Politikanın özgüllüğü. Politika, belirsiz ifadeler kullanmak yerine saklanmayan kayıt kategorilerini açıkça adlandırır.
  • Denetim geçmişi. Sağlayıcı bağımsız denetimler yaptırmıştır; denetim raporlarının tamamı kamuya açıktır ve denetimler en önemli bileşenleri — sunucular ve kimlik doğrulama sistemleri — kapsamaktadır.
  • Operasyonel tasarım. Altyapı; yalnızca bellekte çalışan sunucular, hesap gerektirmeyen kimlik doğrulama ve durumsuz protokoller dahil olmak üzere teknik ayrıntılarıyla tanımlanmaktadır.
  • Şeffaflık raporları. Sağlayıcı, alınan hukuki talepleri ve verilen yanıtları açıklayan raporları düzenli aralıklarla yayımlar.

Yaygın Tuzaklar

Görünenden daha zayıf olabilecek bir kayıt tutmama iddiasına işaret eden bazı örüntüler mevcuttur.

Belirsiz dil.Hangi veri kategorilerinin dışlandığını belirtmeden "kişisel olarak tanımlanabilir bilgi saklanmaz" vaadinde bulunan politikalar, önemli miktarda bağlantı meta verisinin tutulmasıyla bağdaşabilir.

Hesap tabanlı hizmetler. Hesap için e-posta adresi gerektiren bir hizmet, etkinlik kayıtlarını tutmadığını öne sürse bile doğası gereği bir miktar bilgi saklar. Hesap gerektirmeyen hizmetler yapısal olarak daha güçlü bir konumdadır.

Yalnızca öz-tasdik. Bağımsız bir tarafça incelenmemiş bir kayıt tutmama iddiası yalnızca sağlayıcının kendi beyanına dayanır.

Snap VPN, kayıt tutmama iddiasını mekanik olarak güvenilir kılacak biçimde yapılandırılmıştır: kullanıcı hesabı yoktur, sunucular yalnızca bellekte çalışır ve minimum oturum durumu taşıyan WireGuard protokolü kullanılmaktadır. Daha geniş bağlam için VPN'e giriş yazımıza ve WireGuard ile OpenVPN karşılaştırmasına bakabilirsiniz.

The Snap VPN Team
Editorial