Bir Kayıt Tutmama VPN Denetimi Gerçekte Neyi Kanıtlar (ve Kanıtlamadığı 4 Şey)

Artık neredeyse her büyük VPN, "bağımsız denetimli kayıt tutmama" ifadesini bir altın yıldız gibi göğsünde taşıyor. Pazarlama sayfaları, yoğun ve titizlikle kaleme alınmış bir güvence raporunu tek bir yeşil onay işaretine indirgiyor; çoğu alıcı da bu işareti "bu sağlayıcı hiçbir şeyi, asla tutmuyor ve bunu bir mahkeme de doğruladı" şeklinde okuyor. Oysa bir denetim bunu söylemez. Buna yakın bile değildir.

Denetim; sağlayıcının kendisinin sipariş ettiği ve bedelini ödediği, kapsamı belirli, zamanla sınırlı ve çoğu zaman sınırlı güvence niteliğinde bir çalışmadır. Doğru okunduğunda gerçekten değerli bir kanıttır. Bir garanti gibi okunduğunda ise sizi yanıltır. Bu rehber; kayıt tutmama denetiminin gerçekte neyi kanıtladığını, yapısal olarak kanıtlayamadığı dört şeyi, arkasındaki kapsam ve standardın nasıl okunacağını ve RAM tabanlı sunucular ile gerçek dünyada test edilmiş bir el koyma vakası gibi doğrulanabilir altyapı tercihlerinin neden herhangi bir rozetten daha fazlasını anlattığını çözümlüyor. Sonunda elinizde, herhangi bir sağlayıcıya kendiniz uygulayabileceğiniz bir kontrol listesi olacak.

"Kayıt tutmama" gerçekte ne demek (ve çoğu iddianın bulanıklaştırdığı ayrım)

Bir denetimi yargılayabilmek için önce neyin denetlendiğini bilmeniz gerekir. "Kayıt tutmama" tek bir şey değildir. En az iki çok farklı veri kategorisi vardır ve "kayıt tutmuyoruz" şeklindeki pazarlama ifadesi neredeyse her zaman sessizce bunlardan yalnızca birine işaret eder.

• Etkinlik (kullanım) kayıtları — ziyaret ettiğiniz web siteleri, DNS sorguları, trafiğinizin içeriği veya gittiği adresler, indirilen dosyalar. Güvenilir bir kayıt tutmayan VPN bunların hiçbirini saklamamalıdır. Bunu saklamak, ürünün tüm amacını boşa çıkarır.

• Bağlantı (üst veri) kayıtları — ne zaman bağlandığınızın zaman damgaları, oturum süresi, aktarılan veri miktarı, bağlandığınız kaynak IP adresi ve hangi VPN sunucusunu kullandığınız. İddialar asıl burada birbirinden keskin biçimde ayrışır. Bazı sağlayıcılar; kötüye kullanımı önlemek, kapasite planlaması yapmak veya eşzamanlı cihaz sınırlarını uygulamak için toplu ya da geçici bağlantı verilerini tutar.

Tehlike korelasyondur. Etkinlik kayıtları olmasa bile, kesin bir bağlantı zaman damgası ile sizin kaynak IP adresiniz, ilkesel olarak sizi aynı anda hedef tarafta gözlemlenen bir eyleme bağlayabilir. Dolayısıyla bir sağlayıcı "kayıt tutmuyoruz" dediğinde ilk soru asla bir denetçinin kontrol edip etmediği değil, denetimin hangi kategoriyi kapsadığıdır. Bağlantı üst verisi hakkında hiçbir şey söylemeyen temiz bir etkinlik kaydı denetimi, kolay soruyu yanıtlamış ve zor olanı atlamış demektir.

Denetim türleri ve neden birbirinin yerine geçmedikleri

"Denetimli" sözcüğü, birbirinden farklı birkaç çalışmayı tek bir kelimede toplar. Bunlar örtüşür ama farklı şeyleri kanıtlar; sağlayıcı da doğal olarak kulağa en güçlü geleni öne çıkarır.

Kayıt tutmama / gizlilik beyanı ile güvenlik denetimi karşılaştırması

Bir kayıt tutmama beyan çalışması; sağlayıcının kayıt tutma uygulamalarına ilişkin tanımının adil biçimde ifade edilip edilmediğini değerlendirmek için sunucu yapılandırmalarını, veri işleme süreçlerini ve iç politikaları inceler. Bir güvenlik denetimi (sızma testi, kaynak kodu incelemesi, uygulama denetimi) ise uygulamalardaki, altyapıdaki veya kriptografideki açıkları arar. Bunlar birbirinin alternatifi değildir. Bir VPN kusursuz bir kayıt tutmama yapılandırmasına ve aynı anda IP'nizi sızdıran kritik bir hataya sahip olabilir; ya da sağlamlaştırılmış uygulamalara ve sessizce üst veri tutan bir arka uca. İkisini de istersiniz ve birinin diğerinin yerine geçmesine izin vermemelisiniz.

Belirli bir ana ait olan ile sürekli denetim

Kayıt tutmama denetimlerinin büyük çoğunluğu belirli bir ana aittir (bazen tip 1 olarak adlandırılır): denetçi sistemleri belirli bir gün ya da kısa bir zaman aralığındaki haliyle inceler. Sürekli bir çalışma (tip 2) ise kontrollerin tanımlı bir dönem boyunca, diyelim altı ya da on iki ay, etkin biçimde işleyip işlemediğini test eder. Belirli bir ana ait denetim, müfettişin uğradığı öğleden sonra dolabın boş olduğunu söyler. Öncesindeki ya da sonrasındaki günler hakkında hiçbir şey söylemez.

Makul güvence ile sınırlı güvence

Bu, herhangi bir denetim raporundaki en çok gözden kaçan tek satırdır. Çoğu VPN denetiminin kullandığı güvence standartları kapsamında denetçi iki güven düzeyinden birini ifade eder. Makul güvence daha yüksek çıtadır: olumlu bir görüşü destekleyen kapsamlı testler ("görüşümüze göre kontroller adil biçimde ifade edilmiştir"). Sınırlı güvence daha zayıftır: denetçi daha az prosedür uygular ve olumsuz biçimde bir sonuç bildirir ("iddiaların önemli ölçüde yanlış ifade edildiğini düşündürecek hiçbir husus dikkatimizi çekmemiştir"). Manşetlere çıkan birçok kayıt tutmama denetimi, sınırlı güvence çalışmasıdır. "Hiçbir husus dikkatimizi çekmedi" ifadesi, "bunu doğruladık" ifadesinden anlamlı ölçüde daha yumuşaktır ve rozetin arkasında sessizce çok iş görür.

Denetim, sağlayıcınızın dürüstlüğüne yapılan bir sızma testi değildir. Belirli bir tanıma ilişkin, belirli bir tarihte ve sağlayıcının tanımlamaya yardım ettiği bir kapsam içinde verilmiş, yapılandırılmış bir görüştür.

Bir kayıt tutmama denetiminin KANITLAMADIĞI dört şey

En üst düzey bir firmanın yaptığı mükemmel bir denetimin bile katı yapısal sınırları vardır. Bunlar denetçinin başarısızlıkları değil; denetimin doğasında olan şeylerdir. Her "denetimli kayıt tutmama" iddiasını bu dört şeye karşı tartın.

1. Sınırlı kapsam. Denetim yalnızca çalışma sözleşmesinde yazan şeyi kapsar ve sağlayıcı bunun tanımlanmasına katılır. Masaüstü uygulamalarının denetimi, mobil uygulamalar ya da sunucu filosu hakkında hiçbir şey söylemez. "Etkinlik kaydı yok" denetimi; bağlantı üst verisi, faturalandırma verisi, destek talebi saklama süresi veya uygulamadaki üçüncü taraf analiz araçları konusunda suskun kalabilir. Kapsam, kanıtın sınırıdır ve çoğu zaman pazarlamadan daha dardır.

2. Zamanla sınırlı bir anlık görüntü. Belirli bir ana ait rapor tek bir anı betimler. Yapılandırmalar kayar, yeni sunucular devreye alınır, betikler değiştirilir, paniğe kapılan bir mühendis bir olay sırasında hata ayıklama kaydını açar. Denetim sürekli ve güncel değilse, bu canlı bir yayın değil, bir fotoğraftır.

3. Denetçinin görmesine izin verilmeyen şey. Denetçiler müşterinin kendilerine sunduğunu inceler. Onlar bir arama emrini uygulayan polis değildir; gizli bir kayıt sunucusunun, saklı bir veri saklama hattının ya da kendilerine verilen envanterin dışında tutulan paralel bir sistemin açıklanmasını zorla isteyemezler. Kararlı bir kötü niyetli aktör, denetimi tam da onun yakalaması gereken şeyin etrafından dolaşacak biçimde kurgulayabilir.

4. Denetim sonrası değişiklikler. Rapor, imzalandığı gün dondurulur. Sahiplik değişebilir, şirket satın alınabilir, yargı yetkisi kayabilir, yeni bir yasa saklama zorunluluğu getirebilir ya da sağlayıcı yayından bir hafta sonra altyapısını sessizce değiştirebilir. Ana sayfadaki rozet yıllar öncesine ait olabilir ve artık aynı biçimde var olmayan bir şirketi betimliyor olabilir.

Bir denetim raporu gerçekte nasıl okunur

Bir sağlayıcı tam rapora bağlantı veriyorsa (vermiyorsa, iddiayı kanıt değil pazarlama olarak değerlendirin) rozete güvenmeden önce şu beş şeye on dakika ayırın.

• Kapsamı kim belirledi ve bedelini kim ödedi. Denetimler sağlayıcı tarafından sipariş edilir ve ödenir; bu olağandır ve diskalifiye edici değildir, ama kapsamı biçimlendirir. Açık sınırlar arayın: hangi uygulamalar, hangi sunucular, hangi veri kategorileri, hangi zaman dilimi.

• Tarih. 2026 yılına ait bir karar, 2021 tarihli bir rapora dayanmamalıdır. Güncellik ve tekrar, tek bir tarihsel denetimden daha önemlidir. Her yıl yeniden denetlenen bir sağlayıcı, tek seferlik bir damgayla idare eden birinden daha güçlü bir beyanda bulunuyor demektir.

• Denetçinin bağımsızlığı ve itibarı. Bu alanda tanınan isimler arasında güvence çalışmaları için Büyük Dörtlü firmalar (Deloitte, PwC, KPMG, EY) ve kod ile altyapı çalışmaları için Cure53 gibi uzman güvenlik firmaları bulunur. Bilinmeyen ya da açıklanmayan bir denetçi bir uyarı işaretidir.

• Kullanılan standart. İtibarlı kayıt tutmama güvence raporları genellikle, IAASB tarafından yayımlanan ve tarihsel finansal bilgi denetimleri dışındaki güvence çalışmalarını düzenleyen ISAE 3000 (Uluslararası Güvence Denetimi Standardı 3000) kapsamında yürütülür. Adı belirtilmiş bir standart görmek, çalışmanın tanımlı bir metodolojisi olduğunu söyler. Bunun makul mu yoksa sınırlı güvence mi olduğuna dikkat edin.

• Güvence dilinin kendisi. Görüş paragrafını bulun. "Görüşümüze göre tanım adil biçimde sunulmuştur" (olumlu, makul güvence) ile "hiçbir husus dikkatimizi çekmemiştir" (olumsuz, sınırlı güvence) ifadelerini birbirinden ayırın. İkisinin de değeri vardır; ama bu değerler aynı değildir.

RAM tabanlı sunucular: disksiz altyapının gerçekten garanti ettiği şey

Denetimler süreci değerlendirir. RAM tabanlı (disksiz) sunucular ise altta yatan fiziği değiştirir ve herhangi bir rozetten bağımsız olarak önemli olmalarının nedeni budur. Fikir şu: tüm VPN sunucusunu, işletim sistemi de dahil, hiçbir sabit disk ya da SSD bağlı olmadan uçucu RAM üzerinden çalıştırmak. Yazılım, merkezi ve salt okunur bir imajdan güvenli bir önyükleme süreciyle yüklenir. Birçok büyük sağlayıcı bunun varyantlarını çalıştırır; ExpressVPN'in TrustedServer'ı ve NordVPN'in ortak yerleşimli disksiz filosu gibi adlarla pazarlanır.

RAM tabanlı altyapının size gerçekten kazandırdığı şey:

• Yeniden başlatma ya da güç kaybı sonrası hiçbir şey kalıcı olmaz. Uçucu bellek, güç kesildiğinde silinir. Bir sunucuya fiziksel olarak el konup fişi çekilirse, yalnızca RAM'de var olan veriler yok olur; silinmiş ama kurtarılabilir değil, fiziksel olarak yok olmuş haldedir.

• Tutarlı, merkezi olarak tanımlanmış bir durum. Her sunucu önyüklemede aynı incelenmiş imajı yeniden yükler; bu da yapılandırma kaymasını ve tek bir hain sunucunun sessizce farklı, kayıt tutan bir sürüm çalıştırması riskini azaltır.

• Daha küçük bir adli iz. Görüntüsü alınacak bir disk, bir takas (swap) dosyası ya da olaydan sonra taranacak bir kayıt dizini yoktur.

RAM tabanlı altyapının yapmadığı ve pazarlamanın asıl burada haddini aştığı şey:

• Sunucu çalışırken kayıt tutmayı durdurmaz. RAM canlı veri tutar; çalışan yazılım üst veriyi yakalayıp iletmek üzere yapılandırılmışsa, herhangi bir yeniden başlatmadan önce bunu gerçek zamanlı olarak yapabilir. Disksizlik kalıcılıkla ilgilidir, o anda ne olduğuyla değil.

• Çalışır durumdayken el konulan bir sunucuya karşı koruma sağlamaz. Gücünü kaybetmeden ele geçirilen bir makine, kapatılana kadar RAM içeriğini korur ve canlı bellek yakalanabilir.

• Merkezi imajın temiz olduğunu tek başına kanıtlamaz. Artık diske değil, derleme imajına ve önyükleme hattına güveniyorsunuz. Bu güvenin de hâlâ kazanılması gerekir; ideal olarak denetim yoluyla.

RAM tabanlı altyapı ile denetim birbirini tamamlar. Mimari, neyin tutulabileceğini sınırlar; denetim ise neyin yapılandırıldığını kontrol eder. Hikâyenin tamamı, ikisinden hiçbiri tek başına değildir.

Tek gerçek test: kayıt tutmama iddiaları bir arama emriyle karşılaştığında

En ikna edici kanıt aslında bir denetim değildir. Kolluk kuvvetleri gerçekten kapıya dayandığında ne olduğudur. Birkaç vaka, kayıt tutmama iddialarını gerçek dünyada stres testinden geçirdi.

2023 Mullvad baskını. 18 Nisan 2023'te İsveç polisinin Ulusal Operasyonlar Birimi'nden memurlar, bir soruşturma kapsamında bilgisayarlara el koymak amacıyla bir arama emriyle Mullvad'ın Göteborg'daki ofisine geldi. Mullvad'ın yayımladığı açıklamaya göre, şirketin çalışanları ve hukuk danışmanları, firmanın hiçbir müşteri verisi saklamadığını ve İsveç yasaları uyarınca el konulacak ilgili hiçbir şey bulunmadığını anlattı. Polis, hiçbir donanıma el koymadan ayrıldı. Bu, ilkenin en net kamuya açık gösterimidir: veri gerçekten yoksa, bir arama emri eli boş döner. O sonucu üreten, rozet değil, mimari ve politikaydı.

Yurt dışında el konulan sunucular. 2017'de Rus büyükelçi Andrei Karlov'un suikastını araştıran Türk soruşturmacılar, ExpressVPN tarafından kullanılan bir sunucuya el koydu. O dönemki haberlere göre, yetkililer bağlantı ya da etkinlik kayıtlarını kurtaramadı; çünkü hiçbiri saklanmıyordu. Ayrı olarak, Private Internet Access ABD'deki mahkeme dosyalarında, kullanım kayıtlarını tutmadığı için yasal taleplere yanıt olarak bunları sunamadığını belirtti. Bu olaylar denetim değildir, ama o sağlayıcılar için o dönemde, baskı altında dolabın gerçekten boş olduğunun gerçek dünya teyitleridir.

Ders tutarlıdır: en güçlü gizlilik garantisi, hiç oluşturulmamış veridir. Denetim bu sonucu öngörür; el koyma ise onu kanıtlar.

Yargı yetkisi ve 5/9/14 Eyes bağlamı

Bir sağlayıcının yasal olarak nerede konumlandığı, neyi yapmaya ve neyi saklamaya zorlanabileceğini biçimlendirir. Five Eyes istihbarat ittifakı (Amerika Birleşik Devletleri, Birleşik Krallık, Kanada, Avustralya, Yeni Zelanda) sinyal istihbaratını paylaşır; Nine Eyes buna Danimarka, Fransa, Hollanda ve Norveç'i ekler; Fourteen Eyes ise ayrıca Almanya, Belçika, İtalya, İspanya ve İsveç'i ekler. Üyelik, bir ülkenin VPN'leri kayıt tutmaya zorladığı anlamına gelmez ve bazı mükemmel sağlayıcılar bu ittifakların içinden faaliyet gösterir. Ama yargı yetkisi; veri saklama zorunlulukları ve sır saklama emri (gag-order) yetkileri dahil, kullanılabilir yasal araçları belirler.

İki uyarı. Birincisi, popüler "tüm 14 Eyes'tan kaçın" kuralı gerçeklikten daha kabadır; gizlilik dostu üsler olarak sık sık İsviçre ve Panama anılır, oysa bir sağlayıcının fiili veri uygulamaları, bayrağından çok daha önemlidir. İkincisi, sözde bir "gizlilik cenneti" merkezi; sunucular, çalışanlar ya da ödeme işlemcisi başka yerdeyse pek bir anlam ifade etmez. İşte tam da bu yüzden doğrulanmış altyapı, pazarlama metnini yener: yargı yetkisi yasal tavanı belirler, ama yalnızca teknik gerçeklik, denetlenmiş ve ideal olarak test edilmiş haliyle, hangi verinin gerçekte açıkta olduğunu size söyler.

Herhangi bir sağlayıcıya uygulayabileceğiniz, markadan bağımsız bir kontrol listesi

Ana sayfasındaki rozetler ne olursa olsun, herhangi bir VPN'in kayıt tutmama iddiasını kendi başınıza değerlendirmek için bunu kullanın.

1. Tam rapor kamuya açık mı, yoksa yalnızca bir logo mu var? Bağlantı verilebilir bir rapor yoksa, iddiayı pazarlama olarak değerlendirin.

2. Ne kadar güncel ve ne sıklıkta? Tek bir eski çalışmayı öne süren sağlayıcılar yerine, düzenli aralıklarla yeniden denetlenenleri tercih edin.

3. Belirli bir ana ait mi, yoksa sürekli mi? Birkaç ay süren bir tip 2 çalışma, tek günlük bir anlık görüntüden belirgin biçimde daha güçlüdür.

4. Makul mü, sınırlı güvence mi? Görüş paragrafını ve adı belirtilen standardı okuyun (ISAE 3000 arayın).

5. Kapsam yalnızca etkinlik kayıtlarını değil, üst veriyi de kapsıyor mu? Ve yalnızca uygulamaları değil, sunucu filosunu da kapsıyor mu?

6. Denetçi kim? Anonimleştirilmemiş, adı açıkça belirtilmiş, tanınan bir güvence ya da güvenlik firması.

7. Altyapı RAM tabanlı ya da disksiz mi? El koyma ya da yeniden başlatma sonrası neyin kalıcı olabileceğine dair gerçek bir sınır.

8. İddia hiç gerçek dünyada test edildi mi? Kamuya açık el koyma, celp ya da arama emri vakaları, kanıtın altın standardıdır.

9. Yargı yetkisi nedir ve sunucular gerçekte nerede duruyor? Yalnızca bayrağa değil, sağlayıcının gerçek veri uygulamalarına karşı değerlendirin.

Pratik çıkarım

Bağımsız bir kayıt tutmama denetimi gerçek ve değerli bir sinyaldir, ama bir kanıttır, bir hüküm değil. Belirli bir sistem kapsamının, belirli bir tarihte, belirtilen bir güvence düzeyinde, beyan edilen bir tanıma uyduğunu kanıtlar. Denetçiden hiçbir şeyin gizlenmediğini, yapılandırmanın bir hafta sonra da geçerli olduğunu ya da bugün güvendiğiniz şirketin yarın da aynısı olacağını kanıtlayamaz.

O hâlde incelemeye dayanan şeylere ağırlık verin: yayımlanmış bir raporla, adı belirtilmiş bir standart kapsamında, güncel, tekrarlanan ve makul güvenceli bir denetim; neyin kalıcı olabileceğini sınırlayan RAM tabanlı altyapı; net, üst veriyi de kapsayan bir kayıt politikası; makul bir yargı yetkisi; ve hepsinden iyisi, bir arama emrinin ya da el koymanın eli boş döndüğü belgelenmiş bir vaka. Yeşil onay işaretini, gerekli özen sürecinizin sonu değil, başlangıcı olarak görün.

Sıkça Sorulan Sorular

Sade bir dille, kayıt tutmama VPN denetimi ne demek?

Bağımsız bir firmanın, sağlayıcının sistemlerinin ve veri işleme uygulamalarının tanımlı bir bölümünü belirli bir tarihte incelediği ve sağlayıcının kayıt tutma iddialarının adil biçimde ifade edilip edilmediğine dair görüş bildirdiği anlamına gelir. Bu, kapsamı belirli, zamanla sınırlı bir değerlendirmedir; sağlayıcının asla hiçbir şey kaydedemeyeceğine dair kalıcı bir garanti değildir. Değeri büyük ölçüde kapsama, tarihe ve güvence düzeyine bağlıdır.

Kayıt tutmama VPN denetimleri güvenilir mi?

Yararlıdırlar ama sınırlıdırlar. Denetimler sağlayıcı tarafından sipariş edilip ödenir, yalnızca üzerinde anlaşılan bir kapsamı kapsar ve genellikle tek bir anı yakalar. Güvenilir bir denetim güncel olur, tanınan bir firma tarafından ISAE 3000 gibi adı belirtilmiş bir standart kapsamında yapılır ve tam olarak yayımlanır. Yayımlanmamış ya da yıllar öncesine ait bir rozete şüpheyle yaklaşın ve bir denetçinin, sağlayıcının kendisinden gizlediği bir kayıt sistemini bulamayacağını unutmayın.

RAM tabanlı VPN sunucuları, basitçe açıklarsak nedir?

RAM tabanlı (ya da disksiz) sunucular, tüm işletim sistemini ve VPN yazılımını hiçbir sabit disk bağlı olmadan uçucu bellekten çalıştırır. RAM güç kaybında silindiği için, bir yeniden başlatma ya da fişi çekilmiş bir makineye fiziksel el koyma sonrası hiçbir veri kalıcı olmaz. Ancak bu sunucular, çalışan bir sunucunun veriyi gerçek zamanlı işlemesini engellemez; yani tüm kayıt tutma riskini ortadan kaldırmaktan çok, veri kalıcılığını sınırlarlar.

Bağlantı kayıtları ile etkinlik kayıtları arasındaki fark nedir?

Etkinlik kayıtları çevrimiçi olarak ne yaptığınızı kaydeder: ziyaret edilen siteler, DNS sorguları ve trafik içeriği ya da gittiği adresler. Bağlantı kayıtları ise üst veridir: zaman damgaları, oturum süresi, kullanılan bant genişliği ve kaynak IP'niz. Çoğu "kayıt tutmuyoruz" iddiası etkinlik kayıtlarına işaret eder, ama asıl bir kullanıcıyı bir eyleme ilişkilendirebilecek veri olan bağlantı üst verisi konusunda muğlak kalır.

VPN bağımsız denetimi, sızma testiyle karşılaştırıldığında nedir?

Bağımsız bir kayıt tutmama denetimi, bir sağlayıcının tanımladığı veri işleme uygulamalarının adil biçimde ifade edilip edilmediğini, çoğu zaman 'sınırlı güvence' düzeyinde değerlendirir. Bir sızma testi ise uygulamaları ve altyapıyı sömürülebilir açıklar için etkin biçimde yoklar. Farklı soruları yanıtlarlar, bu yüzden biri diğerinin yerine geçemez. Güçlü bir sağlayıcı, adı belirtilmiş itibarlı firmalardan her ikisini de yaptırır ve raporları yayımlar.

Herhangi bir VPN'in kayıt tutmama iddiası polis tarafından gerçekten test edildi mi?

Evet. Nisan 2023'te İsveç polisi bir arama emriyle Mullvad'ın Göteborg ofisine geldi ve şirketin hiçbir müşteri verisi saklamadığı kendilerine gösterildikten sonra hiçbir donanıma el koymadan ayrıldı. Daha önce, 2017'de bir ExpressVPN sunucusuna el koyan Türk yetkilileri haberlere göre hiçbir kayıt kurtaramadı ve Private Internet Access ABD mahkemesinde teslim edecek hiçbir kullanım kaydı olmadığını belirtti. Bu gerçek dünya testleri, herhangi bir denetim rozetinden daha güçlü kanıttır.

Bir VPN'in yargı yetkisi, denetiminden daha mı önemli?

Farklı şeyleri ölçerler. Yargı yetkisi (Five, Nine ya da Fourteen Eyes üyeliği gibi), veri saklama ve sır saklama emri yetkileri dahil, bir hükümetin kullanabileceği yasal araçları belirler. Ama denetim ve fiili altyapı, talep edilebilecek hangi verinin var olduğunu size söyler. Gizlilik dostu bir merkez, sunucular ya da çalışanlar başka yerdeyse pek bir anlam ifade etmez; bu yüzden doğrulanmış teknik uygulamalar, ana sayfadaki bayraktan daha fazla ağırlık taşımalıdır.