פרוטון, המספק VPN ושירותי דואר מאובטחים, העביר את הביקורת הראשונה שלה ב- SOC 2 Type II. הושלם ביולי 2025, זה מגיע בנוסף לביקורת אבטחה שנתית של צד שלישי על תהליכי VPN של פרוטון.
SOC 2 סוג II הוא תקן מוכר נרחב לביטחון עסקי. זה מאשר כי מערכות חזקות קיימות, וכי תהליכי אבטחה עוקבים בעקביות בפועל ברחבי הארגון.
Proton ידוע בעיקר בזכות VPN Proton ו- Proton Mail, אך מספק גם כלי לוח שנה, אחסון, ניהול סיסמאות וכלי ארנק קריפטו. כל השירותים הללו מכוסים על ידי ביקורת אבטחה של SOC 2 מסוג II של פרוטון.
מהי ביקורת SOC 2 Type II?
מסגרת הביקורת על ארגון השירות (SOC) בודקת כיצד ספקים מטפלים במידע רגיש, המכסה הן מערכות בקרה והן את יישומם. הפעלת הביקורת מדגימה מחויבות לאבטחת מידע, והיא חשובה במיוחד בתחומים כמו פיננסים, שירותי בריאות ותעשיות מוסדרות בהן תאימות אבטחה היא קריטית. במגזרים כמו אלה, תאימות SOC 2 היא דרישת בסיס.
התוצאה מביאה את ה- VPN של פרוטון לתחרות עם מתחרים כמו נורדלייר, הפיתרון העסקי של NORDVPN, שעבר גם ביקורת של SOC 2 סוג 2 ובעלת הסמכת ISO 27001. ספקים מובילים אחרים כמו Surfshark ו- ExpressVPN טרם ניהלו ביקורת של SOC 2, אם כי יש להם תוכניות בדיקות אבטחה עצמאיות התומכות בטענות של מדיניות ה- NO-Logs שלהם.
תהליך הביקורת של SOC 2 מסוג II של פרוטון מנוהל על ידי שלמן, חברת ביקורת עצמאית עם ניסיון בתחום הטכנולוגיה. כהכנה, המשרד ביקש למסד ולתעד את התהליכים והבקרות שלה על פני תחומים כולל ניהול גישה, תגובת אירועים, הערכת סיכונים ומעקב אחר מערכות. עם זאת, פרוטון מדווח כי תהליך זה לא כלל שיפוץ גדול יותר של שירותיו.
בעקבות זאת, שלמן בדק כיצד מיושמים בקרות האבטחה של פרוטון על פני התשתית שלה, הפעלת ביקורות טכניות, הערכת התיעוד והצוות המראיינות. בסוף התהליך, פרוטון השיג בהצלחה את התקן הנדרש לאימות SOC 2 מסוג II.
בהצהרה, ראש האבטחה של פרוטון, פטרישיה אגר, אמר, "פרוטון נבנה על הרעיון כי פרטיות היא זכות אנושית – ואמון עדיין צריך להרוויח … אישור SOC 2 של פרוטון מסוג II מוכיח כי האבטחה שלנו אינה רק טכנית – היא פעילה. אנו עומדים בקפדנות וביקרה וביקורת על אופן מטפלים בנתונים, מערכות ועיבוד."
וזה תואם את מה שמצאנו עם המוצרים של פרוטון. בהתבסס על הבדיקה שלנו, אנו מדרגים את VPN Proton כאחד ה- VPN הטובים ביותר שקיימים, וציין כי הוא בולט במיוחד בתכונות האבטחה המתקדמות שלה.
כיצד פרוטון מוכיח את תביעות האבטחה שלו?
פרוטון נקטה מספר צעדים כדי להוכיח את אבטחת המערכות שלה. כל האפליקציות של המשרד הן קוד פתוח, כלומר קהילת המפתחים חופשית לבדוק את בסיס הקוד ולדווח על כל סוגיות או פגיעויות שיכולות לפגוע בתוכנה שלה. בתמיכה בכך, לחברה יש תוכנית שפע של באגים ציבוריים המציעה תגמולים של עד 10,000 דולר, והארגון גם מנהל בדיקות חדירה קבועות בשירותיו.
בנוסף, Proton VPN מנהל ביקורת שנתית של צד שלישי על מדיניות ה- No-Logs שלה. זה מתבצע על ידי Securitum, חברת ביקורת אבטחה גדולה שממוקמת בפולין. הביקורת השלישית והאחרונה פורסמה ביולי 2024. דיווח על כך, פרוטון פרסם הערות מפורטות על השאלות ששאלה Securitum ומה היא מצאה, תוך מעבר לסיכומים המנהלים שספקים אחרים מציעים לפעמים על הביקורות שלהם.
לצד זה, פרוטון השיג אישור ISO 27001 במאי 2024. זהו תקן בינלאומי למערכות ניהול אבטחת מידע, עם תקני שיטות עבודה מומלצות לניהול אבטחת מידע. למשרד יש גם תמיכה ב- HIPAA ו- GDPR ו- DPA שוויצרי, העומדים בדרישות רגולטוריות נוספות למשתמשים עסקיים. בדקנו בהרחבה את המוצר עבור סקירת ה- VPN המלאה שלנו של פרוטון ולא מצאנו שום עדות לדליפות DNS או בעיות עם תכונת Kill Switch של המוצר.
במבט קדימה, פרוטון קובע כי היא מחויבת להגביר את השקיפות, לפתח את תשתיות האבטחה שלה ולעזור לעסקים להעריך טוב יותר את שירותיה. בנוסף, פרוטון מדווחת כי תוצאות דוח SOC 2 זמינות ללקוחות לפי בקשה וכי הצוות שלה ישמח לדון בממצאי הביקורת.
לַעֲקוֹב מדריך טום בחדשות גוגל כדי לקבל את החדשות המעודכנות שלנו, כיצד-טוזות וביקורות בעדכונים שלך. הקפד ללחוץ על כפתור העקוב.
אנו בודקים ובודקים שירותי VPN בהקשר של שימושים פנאי משפטיים. לדוגמא: 1. גישה לשירות ממדינה אחרת (בכפוף לתנאים של אותו שירות). 2. הגנה על האבטחה המקוונת שלך וחיזוק הפרטיות המקוונת שלך בחו"ל. איננו תומכים או מתיר את השימוש הבלתי חוקי או זדוני בשירותי VPN. צריכת תוכן פיראטי שמשולם לא מאושר ואינו מאושר על ידי פרסום עתידי.
