Como a ExpressVPN garante que ninguém possa inserir malwares em seus aplicativos

São necessárias muitas pessoas, trabalhando em vários sistemas, para produzir e manter um aplicativo da ExpressVPN. Para fazer isso com segurança, temos que garantir que todos os envolvidos sejam devidamente examinados, preparados e treinados. Mas isso não é suficiente.

Também temos que ter certeza de que ninguém de fora da nossa empresa consiga interferir no processo. É por isso que implementamos um procedimento rigoroso de verificação de compilação, que garante que nenhum terceiro possa fazer modificações não autorizadas em nosso software, incluindo a injeção de malware.

Assim como o fornecimento de água é protegido para que você possa confiar no que sai da sua torneira, nosso software é protegido contra contaminação de código malicioso desde a criação até a entrega a você. E agora tivemos essas salvaguardas revisadas de forma independente.

Minimização do risco de contaminação

Nos últimos anos, vimos vários casos de grandes empresas de tecnologia, incluindo fabricantes de PCs, liberarem software e hardware para clientes que foram infectados com código malicioso em algum momento durante o desenvolvimento ou distribuição.

Com isso em mente, desenvolvemos um sistema de verificação que reduz drasticamente o risco de que um indivíduo ou máquina comprometida possa levar à distribuição não intencional de malware para nossos clientes.

Isso significa que você pode usar os aplicativos da ExpressVPN com a certeza de que eles não contêm código não autorizado ou malicioso.

Algumas das políticas e procedimentos que implementamos:

  • O uso de chaves de criptografia PGP emitidas pela ExpressVPN para todas as alterações de código-fonte
  • Todas as alterações no código devem ser aprovadas por uma pessoa autorizada diferente daquela que fez a alteração
  • Auditorias automatizadas de mudanças, com alertas para mudanças inesperadas, que são acompanhadas pessoalmente
  • Apenas os ambientes de compilação automatizados CircleCI e Azure DevOps são usados para a produção de binários distribuídos aos clientes

Nossos processos de verificação foram submetidos a uma asseguração de garantia da PwC Suíça

Mas como você sabe que nossas afirmações sobre nossas políticas são precisas? É aí que entra a empresa de auditoria independente PwC Suíça.

Para validar essas salvaguardas, a PwC Suíça realizou um trabalho de avaliação independente que examinou nossas políticas e controles para distribuir aplicativos livres de modificações não autorizadas. Os profissionais realizaram seu trabalho de garantia avaliando nosso código-fonte, servidores, documentação e pessoas em maio de 2020.

O relatório de asseguração independente está disponível para os clientes. De acordo com os padrões da PwC Suíça para tais relatórios, aqueles que desejam visualizar o relatório devem reconhecer os termos e condições da empresa antes de acessá-lo. Os clientes podem fazê-lo fazendo login via este link.

A PwC Suíça não permite o compartilhamento de trechos do documento para garantir que nenhum dos resultados de garantia seja retirado do contexto e mal interpretado, por isso não forneceremos detalhes sobre os resultados nesta postagem do blog. Mas podemos dizer que ficamos satisfeitos com o processo e incentivamos os clientes a ler o relatório completo.

Deixe de se preocupar com a sua segurança

Na ExpressVPN, estamos sempre procurando possíveis ameaças à sua privacidade e segurança e encontrando soluções para reduzir os riscos.

Auditorias por terceiros confiáveis, incluindo a avaliação recente de segurança pela Cure53 e a auditoria do ano passado da PwC Switzerland sobre a conformidade da nossa política de privacidade e de nossa tecnologia desenvolvida internamente, TrustedServer, fornecem análises independentes sobre nossas medidas de privacidade e segurança que assumimos com os clientes.

Essas assegurações de garantia e avaliações de segurança complementam outros esforços de confiança e transparência, incluindo o fornecimento de ferramentas de teste de vazamento de código aberto, a divulgação detalhada de nossas práticas de segurança e o lançamento da VPN Trust Initiative, que visa promover a conscientização pública sobre a segurança na Internet.

Na ExpressVPN, nos esforçamos para impulsionar o setor por meio de tecnologia e transparência. E desejamos publicar mais auditorias, ferramentas e insights que permitam que você cobre de nós esse compromisso.

ExpressVPN is dedicated to your online security and privacy. Posts from this account will focus on company news or significant privacy and security stories.