ExpressVPN centrum důvěry
Cílem ExpressVPN je v první řadě nekompromisní ochrana soukromí. O své uživatele a jejich soukromí se staráme kombinací špičkového hardwaru, softwaru a lidské odbornosti. Na této stránce se dozvíte, čím vším si snažíme zasloužit vaši důvěru.
Bezpečnost v ExpressVPN: 4 klíčové strategie
Poznejte blíže náš přístup k bezpečnosti a ochraně systémů i uživatelů.
1. Ochrana systémů před napadením
Kontrola integrity softwaru
Software ExpressVPN je po celou dobu od tvorby až po nasazení chráněný před nakažením škodlivým kódem. Pomáhá nám v tom interní kontrolní systém, který prošel nezávislým auditem.
Hardwarová bezpečnostní zařízení
Pro různé bezpečnostní úkony, jako je například dvoufázové ověřování, podepisování Git commitů a připojování k serveru přes SSH, používáme kombinaci veřejných a privátních klíčů. Privátní klíče držíme na hardwarových bezpečnostních zařízeních, abychom minimalizovali šanci, že je někdo ukradne. Útočníci se k těmto klíčům nedostanou ani v případě, že dojde k ohrožení našeho pracoviště.
Tato zařízení jsou totiž chráněná silnými přístupovými frázemi a pokud se je někdo pokusí několikrát neúspěšně odemknout, natrvalo se zablokují. Jelikož jejich používání vyžaduje fyzický dotyk, nemůže se stát ani to, že by se klíčů zmocnil bez lidského zásahu malware.
Kontrola kódu
Každou část produkčního kódu musí zkontrolovat minimálně jeden člověk. Výrazně se tak snižuje šance, že by někdo zevnitř společnosti nebo při ohrožení pracoviště prosadil něco škodlivého.
Posílené SSH
Bezpečný vzdálený přístup k nejdůležitějším serverům nám zajišťuje SSH. Tyto SSH servery jsou nastavené tak, aby používaly jen vysoce bezpečné šifry, algoritmy pro výměnu klíčů a mechanismy pro ověřování integrity. Navíc není povolené přihlášení pod root účtem a ověření probíhá výhradně pomocí silných SSH klíčů, hesla nejsou povolena. Produkční infrastrukturu oddělujeme od otevřeného internetu pomocí vyhrazených SSH bran. Tyto brány přijímají provoz jen z IP adres, co jsou uvedené na seznamu povolených.
Celý tento systém je definovaný v kódu, takže prochází kontrolou v týmu a dá se spolehlivě znovu nasadit ve stejné podobě.
Rychlé aktualizace
Na produkčních strojích dochází k automatické aktualizaci softwarových závislostí bez nutnosti ručního zásahu.
2. Minimalizace napáchaných škod
Stavíme na principu nulové důvěry
Abychom zabránili situacím, kdy někdo odcizí klíče a vydává se za VPN server, aplikace ExpressVPN si pravidelně stahuje aktuální konfiguraci z našich API serverů. Při připojení si pak ověřuje pravost serveru kontrolou podpisu od naší privátní certifikační autority (CA) i údaje Common Name. Díky tomu se za nás útočník nemůže vydávat.
Šifrování bez přístupu k obsahu
Při používání ExpressVPN chrání vaše data pokročilé šifrování AES-256. Stejný standard používá i americká vláda a bezpečnostní experti po celém světě mu důvěřuji při ochraně utajovaných informací.
Při používání správce hesel ExpressVPN (ExpressKeys) chrání vaše citlivá data šifrování bez přístupu k obsahu, takže nikdo jiný kromě vás nemůže informace uložené do ExpressKeys dešifrovat (ani my). Všechny informace se dešifrují jen na zařízení uživatele a lze je číst jen pomocí šifrovacích klíčů generovaných z hlavního hesla, které kromě samotného uživatele nikdo jiný nezná.
Aby si vysokou úroveň zabezpečení a soukromí zachovala i dedikovaná IP od ExpressVPN, používáme přidělování IP adres bez znalosti uživatele a „slepé“ tokeny. Díky tomu správci ExpressVPN nikdy nezjistí, komu daná dedikovaná IP adresa patří.
Bezpečná struktura
Analýza hrozeb pro bezpečnost a soukromí je součástí struktury každého systému. Vycházíme přitom z rámce MITRE ATT&CK, který nám pomáhá odhalit možná rizika už ve fázi návrhu, hledat způsoby, jak tato rizika odstranit, a zavádět opatření, která je co nejvíce omezí.
Princip minimálních oprávnění
Pro naše uživatele, služby i procesy platí model minimálních oprávnění. Naši zaměstnanci mají přístup pouze ke službám a produkčním systémům nutným pro výkon jejich práce. Pracovníci zákaznické podpory používají dvě oddělená prostředí: jedno pro běžné prohlížení internetu a druhé, přísně omezené, pro přístup k citlivým systémům. Díky tomu dokážeme omezit rizika na minimum a zmařit záměr útočníka, i kdyby se mu podařilo převzít kontrolu nad některým z našich účtů.
3. Co nejrychlejší odhalení problémů
Monitoring bezpečnosti
Své interní služby a infrastrukturu průběžně monitorujeme, abychom včas přišli na jakékoliv anomálie nebo neschválené aktivity. Náš bezpečnostní tým je v pohotovosti 24/7 a bezpečnostní upozornění průběžně sleduje i vyhodnocuje v reálném čase.
Automatická obnova systémů
Mnoho našich systémů se automaticky ruší a znovu vytváří několikrát týdně, někdy i každý den. Tím se zkracuje doba, po kterou by se mohl útočník v našich systémech nepozorovaně udržet.
4. Ověření naší bezpečnostní kontroly
Interní ověření: Penetrační testy
Pravidelně hledáme pomocí penetračních testů slabiny a zranitelnosti v našich systémech a softwaru. Naši testeři mají k dispozici celý zdrojový kód a kombinací manuálního i automatizovaného testování do detailu vyhodnocují naše služby a produkty.
Externí ověření: nezávislé bezpečnostní audity
Dobrovolně si necháváme své služby a software ověřit v rámci nezávislých auditů. Díky těmto auditů víme, že naše interní kontrolní mechanismy efektivně snižují bezpečnostní rizika a pro naše zákazníky je to důkaz, že své sliby nebereme na lehkou váhu.
Inovace
Při poskytování co nejlepšího zabezpečení v oboru se také snažíme neustále hledat nové způsoby, jak co nejlépe chránit naše produkty i soukromí našich uživatelů. Níže se můžete podívat na dvě průlomové technologie, co vznikly v dílně ExpressVPN.
Lightway: náš vlastní protokol pro špičkový VPN zážitek
Lightway je VPN protokol, za kterým stojí tým ExpressVPN. VPN protokol definuje postup, jakým se zařízení propojuje se serverem VPN. Většina poskytovatelů používá ty samé tuctové protokoly, ale ExpressVPN šla vlastní cestou a vytvořila protokol se špičkovým výkonem, se kterým je používání VPN rychlejší, spolehlivější a ještě bezpečnější.
- Lightway využívá wolfSSL, jehož osvědčená kryptografická knihovna obstála na poli bezpečnosti, a to i podle standardu FIPS 140-2.
- Navíc zachovává dopřednou bezpečnost, protože šifrovací klíče průběžně maže a znovu vytváří.
- Jádro protokolu Lightway je open-source, takže si jeho bezpečnost může důkladně prověřit i širší odborná komunita.
- Součástí Lightway je i postkvantová ochrana, která chrání uživatele před útočníky, co mají přístup k běžným i kvantovým počítačům. ExpressVPN patří mezi první poskytovatele VPN, co tento typ ochrany zavedli. Svým zákazníkům tak už teď nabízí prevenci a bezpečnost s dalším rozvojem kvantových technologií.
- Pro ještě rychlejší připojení jsme vytvořili Lightway Turbo, který používá více paralelních tunelů, takže přenese více dat naráz (aktuálně k dispozici pouze na Windows, na dalších systémech pracujeme).
Zjistěte více o Lightway a přečtěte si náš vývojářský blog, kde najdete techničtější pohled vývojářů ExpressVPN na to, jak Lightway funguje a proč je lepší než alternativní možnosti.
TrustedServer: odstranění všech dat při každém restartu
TrustedServer je technologie VPN serveru, která zajišťuje uživatelům lepší ochranu.
- Běží jen v dočasné paměti (RAM). Operační systém ani aplikace nikdy nezapisují nic na pevné disky, kde se běžně data povalují do té doby, než je někdo smaže nebo přepíše. Jelikož RAM potřebuje pro uložení dat přísun energie, vše se při vypnutí a následném zapnutí serveru automaticky smaže – na serveru tak dlouho nevydrží ani data, ani potenciální útočník.
- Výhodou je také větší konzistence. Díky TrustedServer běží každý server ExpressVPN na nejnovějším softwaru a nejsou tu nesrovnalosti způsobené postupným nasazováním aktualizací. ExpressVPN má tak jasný přehled o tom, co na serverech běží, což snižuje riziko špatného zásahu nebo zranitelností a výrazně zvyšuje bezpečnost VPN.
- Technologie TrustedServer prošla nezávislou kontrolou společnosti PwC.
Chcete se blíže podívat na to, jakými způsoby technologie TrustedServer chrání uživatele? Přečtěte si náš podrobný rozbor této technologie, který psal jeden z hlavních vývojářů.
ExpressKeys: Dedikovaný správce hesel, co nevidí vaše data
ExpressKeys je dedikovaný správce hesel a bezpečný domov pro vaše přihlašovací údaje, oddělený od VPN připojení. Z původní ExpressVPN Keys se stala dedikovaná aplikace pro iOS a Android se specializovaným prostředím pro generování, ukládání a ochranu přihlašovacích údajů.
Stejně jako VPN i ExpressKeys má bezpečnou strukturu. Využívá zero-knowledge šifrování, takže se vaše hesla šifrují na vašem zařízení a na naše servery se dostanou už v nečitelné podobě. Neexistuje žádný způsob, jakým bychom vaše data mohli dešifrovat – ke svému trezoru máte klíče jen vy a nikdo jiný.
ExpressKeys má integrované dvoufázové ověření (MFA), proaktivně monitoruje úniky a nabízí bezproblémovou synchronizaci mobilních zařízení a rozšíření pro prohlížeče. K původním verzím předplatného a novým tarifům Pokročilý a Pro je k dispozici bezplatně.
Dedikovaná IP ExpressVPN: statická IP adresa s bezkonkurenčním soukromím
Dedikovaná IP od ExpressVPN funguje tak, že uživatel dostane unikátní IP adresu, kterou nemůže používat nikdo jiný a zajišťuje konzistentní online identitu se zachováním soukromí.
Běžně to u VPN funguje tak, že jednu IP adresu sdílí větší množství uživatelů, což je jeden z hlavních prvků zajišťujících anonymitu. Dedikovanou IP používá jen jeden uživatel, takže je nutné zavést nová opatření, co anonymitu zajistí.
Současná řešení mají slabiny v zabezpečení i ochraně soukromí, které mohou odhalit skutečnou IP adresu uživatele, a proto jsme se rozhodli přidat vlastní extra procesy. Používáme systém „slepých“ tokenů, který odděluje platební údaje uživatele od jeho přiřazené IP adresy. Nemůžeme tak žádným způsobem dedikovanou IP adresu propojit zpět k uživateli.
Řízení provozu podle ISO
Důvěra musí stát na pevných základech. V roce 2025 získaly ExpressVPN a Kape Group několik mezinárodně uznávaných certifikací, které potvrzují, že bezpečnost a ochrana soukromí jsou pevnou součástí našeho každodenního fungování, od řízení rizik až po podporu uživatelů.
- ISO/IEC 27001 (řízení bezpečnosti informací): Potvrzuje náš systematický přístup k řízení bezpečnosti informací jak u zaměstnanců, tak technologií.
- ISO 9001 (řízení kvality): Zajišťuje trvale vysokou úroveň našich služeb a jejich průběžné zlepšování.
- ISO 18295-1 a 18295-2 (kontakt se zákazníky): Potvrzuje, že naše týmy podpory pracují podle přísných pravidel, která staví zákazníka na první místo.
V našem bezpečnostním plánu pro rok 2026 se můžete podívat, jak plánujeme posunout laťku o další úroveň výš.
Nezávislé bezpečnostní audity
Své produkty chceme a necháváme často prověřovat v rámci nezávislých externích auditů. Tady je seznam auditů, které jsme v posledních letech podstoupili:
- Bezpečnostní audit ExpressAI ze strany Cure53 (2026)
- Třetí bezpečnostní audit našeho přístupu k ochraně soukromí ze strany KPMG (červen 2025)
- Druhý bezpečnostní audit našich routerů Aircove ze strany Cure53 (listopad 2024)
- Čtvrtý audit VPN protokolu Lightway ze strany Cure53 (říjen 2024)
- Třetí audit VPN protokolu Lightway ze strany Praetorian (září 2024)
- Druhý audit rozšíření pro prohlížeče ExpressVPN ze strany Cure53 (červen 2024)
- Audit aplikace pro Windows, aby se potvrdilo vyřešení problému s DNS u funkce split tunneling (duben 2024)
- Audit našich zásad ochrany osobních údajů ze strany KPMG (prosinec 2023)
- Druhý audit VPN protokolu Lightway ze strany Cure53 (listopad 2022)
- Audit rozšíření pro prohlížeče ExpressKeys ze strany Cure53 (říjen 2022)
- Audit rozšíření pro prohlížeče ExpressVPN ze strany Cure53 (říjen 2022)
- Audit našich zásad neuchovávání záznamů ze strany KPMG (září 2022)
- Bezpečnostní audit naší aplikace pro iOS ze strany Cure53 (září 2022)
- Bezpečnostní audit naší aplikace pro Android ze strany Cure53 (srpen 2022)
- Audit naší aplikace pro Linux ze strany Cure53 (srpen 2022)
- Audit naší aplikace pro macOS ze strany Cure53 (červenec 2022)
- Bezpečnostní audit routeru Aircove ze strany Cure53 (červenec 2022)
- Bezpečnostní audit naší vlastní serverové technologie TrustedServer ze strany Cure53 (květen 2022)
- Audit naší aplikace pro Windows v12 ze strany F-Secure (duben 2022)
- Bezpečnostní audit naší aplikace pro Windows v10 ze strany F-Secure (březen 2022)
- Bezpečnostní audit našeho VPN protokolu Lightway ze strany Cure53 (srpen 2021)
- Audit našeho procesu ověřování integrity softwaru ze strany PwC Switzerland (červen 2020)
- Audit dodržování našich zásad ochrany osobních údajů a interní technologie TrustedServer ze strany PwC Switzerland (červen 2019)
- Bezpečnostní audit našeho rozšíření pro prohlížeče ze strany Cure53 (listopad 2018)
Prokázání transparentnosti
Každého půl roku vydáváme přehledy obsahující žádosti o předání dat našich uživatelů, které obdrželo naše právní oddělení.
Takových žádostí nám chodí mnoho, ale díky našim zásadám neuchovávání záznamů neexistuje nic, co bychom mohli předat. Nikdy jsme neukládali a nikdy nebudeme ukládat žádné vaše osobní údaje nebo informace o vašich online aktivitách, jako jsou historie procházení, směrování přenosů a metadata, DNS dotazy nebo IP adresy, které vám po připojení k VPN přidělujeme.
Tyto typy uživatelských dat nemůžeme nikomu předat, protože u nás jednoduše neexistují. Vydáváním těchto informací a žádostí se snažíme být ke svým zákazníkům ještě otevřenější a transparentnější.
Žádosti o data uživatelů
Období: červenec–prosinec 2025
| Typ | Počet žádostí |
| Státní orgány, trestní řízení a občanskoprávní věci | 155 |
| DMCA | 1 382 986 |
| Soudní příkazy | 3 |
Období: leden–červen 2025
| Typ | Počet žádostí |
| Státní orgány, trestní řízení a občanskoprávní věci | 374 |
| DMCA | 1 063 598 |
| Soudní příkazy | 0 |
Období: červenec–prosinec 2024
| Typ | Počet žádostí |
| Státní orgány, trestní řízení a občanskoprávní věci | 163 |
| DMCA | 807 788 |
| Soudní příkazy | 1 |
| Příkazy k mlčenlivosti | 0 |
| National Security Letters | 0 |
Období: leden–červen 2024
| Typ | Počet žádostí |
| Státní orgány, trestní řízení a občanskoprávní věci | 170 |
| DMCA | 259 561 |
| Soudní příkazy | 2 |
| Příkazy k mlčenlivosti | 0 |
| National Security Letters | 0 |
Odměna za odhalení chyby
V rámci bug bounty programu dáváme šanci bezpečnostním odborníkům z široké veřejnosti získat finanční odměnu za odhalení problémů v našich systémech. Díky tomuto programu ověřuje bezpečnost naší infrastruktury a aplikací velké množství testerů. Jejich zjištění následně sami prověřujeme a nasadíme potřebné úpravy, aby byly naše produkty vždy maximálně bezpečné.
Cílem programu je najít zranitelnosti VPN serverů, našich aplikací a rozšíření, našich webových stránek a dalších. Každému, kdo nám v souladu s pravidly programu nahlásí chybu, zaručujeme ochranu odpovídající osvědčeným světovým postupům v oblasti bezpečnostního výzkumu.
O správu našeho bug bounty programu se stará YesWeHack. Bližší informace a možnost upozornit náš na chyby najdete na této stránce.
Posouváme oborové standardy
Sami si nastavujeme vysokou laťku, ale pokud chceme bezpečný a soukromý internet pro každého, skončit u sebe nestačí – proto se snažíme spolupracovat a zlepšovat standardy v celém oboru VPN.
Společně s organizací Internet Infrastructure Coalition (i2Coalition) a několika dalšími významnými hráči v oboru jsme stáli u zrodu iniciativy VPN Trust Initiative (VTI), které dnes předsedáme. Kromě osvětové činnosti a prosazování vyšších standardů přišla tato skupina i s VTI Principles (angl. Zásady VTI) – sdílený soubor pravidel pro zodpovědné poskytovatele VPN v oblasti bezpečnosti, ochrany soukromí, transparentnosti a dalších. Tím ExpressVPN navazuje na svou dřívější spolupráci s organizací Center for Democracy and Technology, kde se snažili společně prosadit větší transparentnost. Některé z našich inovací posouvají dopředu celé odvětví VPN.
Jako první jsme představili technologii TrustedServer a další poskytovatelé se vydali po našich stopách a začali tvořit své obdobné technologie. Dalším příkladem inovační technologie je náš protokol Lightway, který jsme postavili zcela od základů a rozhodli jsme se vydat open-source cestou. Pevně věříme, že i tento počin bude mít na celý obor VPN pozitivní vliv.
Významné iniciativy na ochranu soukromí
Podívejte se blíže na to, jak chráníme soukromí svých uživatelů.
-
![A shield button toggled on.]()
Certifikace ioXT
ExpressVPN patří mezi hrstku VPN aplikací, co získaly za své bezpečnostní standardy certifikaci ioXt Alliance. Naši zákazníci tak mohou používat naše služby s větší jistotou.
-
![Bar graph with different heights.]()
Pokročilá ochrana
Součástí naší aplikace je Pokročilá ochrana, což je sada bezpečnostních nástrojů pro blokování reklamy, trackerů, škodlivých webů a kontrolu obsahu.
-
![Two line graphs.]()
Digital Security Lab
Digital Security Lab jsme vytvořili s účelem více do hloubky zkoumat reálné problémy spojené s ochranou soukromí. Podívejte se na nástroje pro testování úniků z naší dílny, které vám prozradí, jak moc je vaše VPN skutečně bezpečná.
