Pusat Kepercayaan ExpressVPN
ExpressVPN merupakan perusahaan yang mengutamakan privasi. Para pengguna kami mempercayai kami untuk melindungi privasi mereka dengan kombinasi antara perangkat lunak, perangkat keras, dan kelihaian manusia. Berikut ini sekilas bagaimana upaya kami untuk mendapatkan kepercayaan itu.
Keamanan di ExpressVPN: 4 strategi penting kami
Cari tahu bagaimana kami memanfaatkan keamanan siber untuk menjaga sistem dan pengguna kami tetap terlindungi.
1. Menjadikan sistem sulit untuk dimanipulasi
Membangun sistem verifikasi
Perangkat lunak ExpressVPN terjaga, mulai dari penciptaannya hingga rilisnya, dari kontaminasi kode-kode berbahaya, berkat sistem verifikasi yang kami bangun sendiri dan telah ditinjau secara independen.
Alat keamanan perangkat keras
Kami menggunakan pasangan kunci privat publik untuk berbagai tujuan keamanan. seperti auntentikasi dua faktor, menerapkan tanda tangan Git, terhubung ke server melalui SSH. Kami memitigasi risiko kunci privat kami dari pencurian dengan menjaganya tetap di alat keamanan perangkat keras. Artinya, bahkan sekiranya perangkat Anda bermasalah, penyerang tidak dapat mencuri kunci privat kami. Perangkat tersebut diamankan dengan kata kunci yang kuat dan diatur untuk “menghancurkan” dirinya setelah beberapa kali upaya untuk membukanya gagal.
Perangkat ini memerlukan sentuhan fisik untuk beroperasi, artinya malware tidak dapat mencuri kunci ini tanpa campur tangan manusia.
Peninjauan kode
Semua kode produk memerlukan paling sedikit satu orang untuk bertindak sebagai peninjau. Ini akan jauh lebih mempersulit untuk menambahkan kode yang berbahaya, entah itu ancaman dari orang dalam atau jika perangkat kerja pegawai bermasalah.
Hardened secure shell (SSH)
Kami menggunakan SSH sebagai cara aman untuk mendapatkan akses jarak jauh ke server aman kami. Server SSH ini diatur untuk hanya menggunakan serangkaian pemecah sandi yang sangat aman, algoritma pertukaran kunci, dan MAC. Kami juga tidak memperbolehkan koneksi sebagai root, dan autentikasi hanya dapat berlangsung menggunakan kunci SSH yang kuat — tanpa memperbolehkan kata sandi. Kami menggunakan perantara hosting benteng SSH untuk memisahkan infrastruktur produksi dari internet terbuka. Mesin-mesin ini hanya menerima trafik dari alamat-alamat dalam daftar izin IP.
Semua konfigurasi ini ditetapkan dalam kode, jadi telah dikaji bersama dan dapat direproduksi.
Penyempurnaan cepat
Untuk mesin-mesin produksi, ketergantungan perangkat lunak otomatis diperbarui melalui peningkatan tanpa pengawasan.
2. Meminimalkan potensi kerusakan
Menganut nihil kepercayaan
Demi memitigasi ancaman dari penggunaan kunci yang dicuri untuk menyamar sebagai server VPN, kami mengharuskan aplikasi ExpressVPN untuk check in dengan API server kami untuk menerima pengaturan konfigurasi terkini. Aplikasi kami mengautentikasi server yang terhubung dengan memvalidasi tanda tangan Certificate Authority (CA) privat dan nama umum sehingga memastikan bahwa penyerang tidak dapat menyamar sebagai kami.
Menerapkan enkripsi nihil pengetahuan
Ketika Anda menggunakan ExpressVPN, data Anda akan dilindungi dengan matematika tingkat lanjut dalam AES-256, standar enkripsi yang sama yang diadopsi oleh pemerintah Amerika Serikat dan dipercayai oleh para ahli keamanan di seluruh dunia guna melindungi informasi rahasia.
Ketika Anda menggunakan pengelola kata sandi ExpressVPN (ExpressKeys), data sensitif Anda dilindungi oleh enkripsi nihil pengetahuan sehingga tak seorangpun — tidak juga kami — dapat mendekripsi (membongkar) informasi yang tersimpan dalam ExpressKeys. Semua informasi hanya akan dapat didekripsi pada perangkat pengguna, dan hanya dapat didekripsi menggunakan kunci enkripsi yang dihasilkan oleh kata sandi utama pengguna — yang hanya diketahui pengguna.
Guna memastikan fitur IP Khusus (DIP) ExpressVPN secara teknis keamanan dan privasi tetap tangguh, kami menggunakan alokasi IP nihil pengetahuan dan token buta untuk mencegah administrator ExpressVPN mengidentifikasi pengguna menggunakan alamat IP mereka.
Rancangan aman
Model ancaman keamanan dan privasi disatukan ke dalam fase perancangan sistem mana pun. Kami menggunakan kerangka kerja MITRE ATT&CK untuk mengidentifikasi ancaman yang mungkin ada dalam rancangan kami, mempertimbangkan cara untuk menyingkirkannya, dan menerapkan langkah-langkah yang memadai untuk meminimalkan peluang risiko.
Prinsip hak istimewa terendah
Semua pengguna, layanan, dan operasional kami mengikuti model hak istimewa terendah. Karyawan kami hanya diberi wewenang untuk mengakses layanan dan sistem produksi yang diperlukan untuk peran mereka. Agen dukungan pelanggan kami bekerja dalam dua lingkungan, lingkungan tak tepercaya untuk aktivitas penjelajahan web umum dan lingkungan terbatas untuk mengakses sistem sensitif. Langkah-langkah ini meminimalkan dampak dan menghalangi tujuan penyerang jika mereka berhasil mengambil alih akun kami.
3. Meminimalkan waktu bermasalah
Pemantauan keamanan
Kami terus-menerus memantau layanan internal dan infrastruktur kami untuk menemukan adanya aktivitas tidak wajar atau tidak sah. Tim keamanan kami yang siap untuk dihubungi 24/7 menjalankan pemantauan secara waktu real dan triase peringatan keamanan.
Pembangunan kembali otomatis
Banyak dari sistem kami dimusnahkan secara otomatis dan dibangun kembali beberapa kali per minggu, kalau bukan secara harian. Ini membatasi kemungkinan lamanya waktu bagi penyerang bersembunyi di dalam sistem kami.
4. Memvalidasi kontrol keamanan kami
Validasi internal: Uji penetrasi
Kami menjalankan uji penetrasi rutin untuk mengevaluasi sistem dan perangkat lunak kami guna mengidentifikasi kerentanan dan kelemahan. Penguji kami memiliki akses penuh atas kode sumber kami dan menerapkan kombinasi pengujian otomatis dan manual untuk memastikan evaluasi menyeluruh terhadap layanan dan produk kami.
Validasi eksternal: Audit keamanan oleh pihak ketiga
Kami melibatkan auditor independen untuk meninjau keamanan layanan dan perangkat lunak kami. Keterlibatan ini berfungsi sebagai validasi atas efektivitas pengendalian internal kami dalam memitigasi kerentanan keamanan, sekaligus menyediakan dokumentasi bagi pelanggan mengenai keakuratan klaim keamanan kami tentang produk kami.
Inovasi
Seiring dengan upaya kami untuk mencapai dan melampaui standar keamanan industri, kami juga tiada henti berinovasi dalam mencari cara baru untuk melindungi produk dan privasi pengguna kami. Berikut ini kami menyoroti dua teknologi inovatif yang dibangun oleh ExpressVPN.
Lightway: Protokol kami menyediakan pengalaman VPN unggulan
Lightway merupakan protokol VPN yang dibangun oleh ExpressVPN. Protokol VPN adalah metode yang digunakan perangkat untuk terhubung ke server VPN. Sebagian besar penyedia menggunakan protokol standar yang sama, namun kami berusaha menciptakan protokol dengan kinerja lebih unggul, sehingga pengalaman VPN pengguna tidak cuma lebih cepat dan lebih dapat diandalkan, namun juga lebih aman.
- Lightway menggunakan wolfSSL dengan perpustakaan kriptografinya yang mapan yang telah diperiksa secara ekstensif oleh pihak ketiga, termasuk menggunakan standar FIPS 140-2.
- Lightway juga tetap memakai pengalihan rahasia yang sempurna (perfect forward secrecy), dengan kunci enkripsi dinamis yang secara rutin dibersihkan dan dibuat ulang.
- Perpustakaan inti Lightway merupakan sumber terbuka, memastikan bahwa keamanannya dapat dinilai secara transparan dan luas.
- Lightway mencakup dukungan pasca kuantum, melindungi pengguna dari penyerang yang memiliki akses ke komputer klasik dan kuantum. ExpressVPN merupakan salah satu penyedia VPN pertama yang menerapkan perlindungan pasca kuantum, membantu pengguna tetap aman dalam menghadapi kemajuan komputasi kuantum.
- Untuk kecepatan yang lebih kencang lagi, kami telah menciptakan Lightway Turbo yang menggunakan kanal multi jalur untuk mengirim lebih banyak data secara bersamaan (saat ini tersedia di aplikasi kami untuk Windows, sementara platform lain dalam pengerjaan).
Pelajari Lebih Lanjut tentang Lightway, dan baca blog developer kami untuk wawasan teknis dari pengembang perangkat lunak ExpressVPN tentang cara kerja Lightway dan apa yang membuatnya lebih baik dibandingkan lainnya.
TrustedServer: Semua data dihapus setiap kali reboot
TrustedServer merupakan teknologi server VPN kami yang ciptakan untuk memberikan keamanan lebih baik kepada pengguna kami.
- Teknologi ini hanya berjalan pada memori volatil, atau RAM. Sistem operasi dan aplikasinya tidak pernah menulis ke hard drive yang menyimpan semua data sampai data tersebut dihapus atau ditulis ulang. Karena RAM memerlukan daya untuk menyimpan data, maka semua informasi di server akan dihapus setiap kali server dimatikan dan dinyalakan kembali — mencegah data dan bakal penyusup agar tidak tetap ada di mesin.
- Ini meningkatkan konsistensi. Dengan TrustedServer, tiap server ExpressVPN menjalankan perangkat lunak paling mutakhir, bukannya dengan setiap server menerima pembaruan pada waktu berbeda sesuai kebutuhan. Itu artinya ExpressVPN tahu persis apa yang berjalan di setiap server — meminimalkan risiko kerentanan atau kesalahan konfigurasi dan meningkatkan secara signifikan keamanan VPN.
- Teknologi TrustedServer telah diaudit oleh PwC.
Ingin melihat lebih mendetail tentang berbagai cara TrustedServer melindungi pengguna? Baca kajian mendalam kami ke dalam teknologi, ditulis oleh pakar yang merancang sistem ini.
ExpressKeys: Pengelola kata sandi khusus dan nihil pengetahuan
ExpressKeys adalah pengelola kata sandi mandiri yang memberikan kredensial Anda rumah amannya sendiri, terpisah dari koneksi VPN Anda. Sebelumnya dikenal sebagai ExpressKeys, pengelola kata sandi ini berkembang menjadi aplikasi khusus untuk iOS dan Android untuk menyediakan lingkungan terpusat untuk menghasilkan, menyimpan, dan melindungi login.
Sama seperti VPN kami, ExpressKeys dari sononya dirancang untuk aman. Fitur ini menggunakan enkripsi nihil pengetahuan yang artinya kata sandi Anda dienkripsi di perangkat sebelum mencapai server kami. Kami tidak memiliki kemampuan teknis untuk mendekripsi (membongkar) atau melihat informasi yang tersimpan; Anda satu-satunya yang memiliki kunci brankas tersebut.
ExpressKeys mencakup autentikator dua faktor (MFA) terpadu, pemantauan pembobolan proaktif, dan sinkronisasi sempurna di seluruh perangkat seluler dan ekstensi browser. Sarana ini telah tercakup tanpa biaya tambahan pada semua paket langganan Lanjutan, Pro, dan yang lama.
IP khusus ExpressVPN: Alamat IP statis dengan privasi tiada dua
Layanan IP khusus ExpressVPN memberikan alamat IP unik secara eksklusif kepada satu pengguna, memberikan identitas online yang konsisten sambil menjaga privasi.
VPN pada umumnya, banyak pengguna menggunakan alamat IP yang sama, sehingga menjadi elemen kunci untuk proses anonimisasi VPN. Dengan IP khusus yang dialokasikan untuk satu pengguna, tindakan khusus perlu diambil untuk memastikan anonimitas. Meskipun solusi saat ini mengandung kerentanan keamanan dan privasi yang berpotensi mengekspos alamat IP asli pengguna, kami telah mengambil tindakan pencegahan ekstra untuk menjaga anonimitas pengguna kami.
Kami menggunakan sistem berbasis token buta untuk memisahkan informasi pembayaran Anda dari IP yang kami alokasikan kepada Anda. Ini menjamin bahwa kami tidak akan pernah dapat melacak kembali IP khusus kepada penggunanya.
Pengelolaan Operasional (ISO)
Kepercayaan membutuhkan landasan arsitektural yang kuat. Pada 2025, ExpressVPN dan Kape Group menerima serangkaian sertifikasi yang diakui secara internasional untuk memastikan bahwa keamanan dan privasi sengaja dirancang dalam operasional kami sehari-hari, mulai dari bagaimana kami mengelola risiko hingga cara kami mendukung pengguna kami.
- ISO/IEC 27001 (Manajemen Keamanan Informasi): Memvalidasi pendekatan sistemik kami untuk mengelola risiko keamanan informasi antara manusia dan teknologi.
- ISO 9001 (Manajemen Kualitas): Memastikan keunggulan yang konsisten dan peningkatan berkelanjutan dalam penyajian layanan kami.
- ISO 18295-1 & 18295-2 (Kontak Pelanggan): Menjamin bahwa tim dukungan kami beroperasi dengan pengawasan ketat dan kontrol yang mengutamakan pelanggan.
Lihat bagaimana kami meningkatkan standar dengan peta keamanan 2026 kami.
Audit keamanan independen
Kami bertekad untuk melaksanakan audit pihak ketiga secara mendalam terhadap produk-produk kami dengan kekerapan yang tinggi. Berikut adalah daftar lengkap audit eksternal kami yang diurutkan menurut kronologisnya:
- Audit keamanan KPMG ketiga atas komitmen privasi kami (Juni 2025)
- Audit keamanan oleh Cure53 untuk ExpressAI (2026)
- Audit keamanan kedua oleh Cure53 pada router Aircove kami (November 2024)
- Audit keempat atas protokol VPN Lightway kami oleh Cure53 (Oktober 2024)
- Audit ketiga protokol VPN Lightway kami oleh Praetorian (September 2024)
- Audit kedua oleh Cure53 pada ekstensi browser ExpressVPN (Juni 2025)
- Audit aplikasi Windows untuk mengonfirmasi perbaikan masalah DNS menyangkut kanalisasi terbagi (April 2024)
- Audit oleh KPMG untuk menilai klaim kebijakan privasi kami (Desember 2023)
- Audit kedua protokol VPN Lightway kami oleh Cure53 (November 2022)
- Audit oleh Cure53 atas ekstensi browser ExpressKeys (Oktober 2022)
- Audit oleh Cure53 terhadap ekstensi browser ExpressVPN (Oktober 2022)
- Audit oleh KPMG atas kebijakan tanpa pencatatan kami (September 2022)
- Audit keamanan oleh Cure53 pada aplikasi kami untuk iOS (September 2022)
- Audit keamanan oleh Cure53 pada aplikasi kami Android kami (Agustus 2022)
- Audit oleh Cure53 atas aplikasi Linux kami (Agustus 2022)
- Audit oleh Cure53 atas aplikasi macOS kami (Juli 2022)
- Audit keamanan oleh Cure53 pada router Aircove kami (Juli 2022)
- Audit keamanan oleh Cure53 pada TrustedServer, teknologi server VPN internal kami (Mei 2022)
- Audit oleh F-Secure atas aplikasi Windows v12 kami (April 2022)
- Audit oleh F-Secure atas aplikasi Windows v10 kami (Maret 2022)
- Audit keamanan oleh Cure53 pada protokol VPN Lightway kami (Agustus 2021)
- Audit oleh PwC Swiss pada proses verifikasi desain kami (Juni 2020)
- Audit oleh PwC Swiss pada ketaatan atas kebijakan privasi dan teknologi internal kami, TrustedServer (Juni 2019)
- Audit keamanan oleh Cure53 atas ekstensi browser kami (November 2018)
Laporan transparansi
Laporan transparansi dua tahunan kami memberikan informasi tentang permintaan data pengguna yang diterima oleh departemen hukum kami.
Meskipun kami secara rutin menerima permintaan tersebut, kebijakan tanpa pencatatan kami memastikan kami tidak pernah memiliki apa pun untuk diserahkan. Kami tidak dan tidak akan pernah menyimpan catatan aktivitas online atau informasi pribadi Anda, termasuk riwayat penjelajahan, tujuan trafik atau metadata Anda, permintaan DNS, atau alamat IP yang dialokasikan kepada Anda saat terhubung ke VPN kami.
Kami tidak akan pernah memiliki kemampuan untuk memberikan data pelanggan ini karena itu memang tidak pernah ada. Dengan memublikasikan informasi tambahan ini berdasarkan permintaan yang kami terima, kami bertujuan untuk memberikan lebih banyak transparansi mengenai cara kami melindungi pengguna kami.
Permintaan atas data pengguna
Rentang tanggal: Juli - Desember 2025
| Tipe | Permintaan diterima |
| Pemerintah, penegak hukum, dan permintaan sipil | 155 |
| Permintaan DMCA | 1,382,986 |
| Surat perintah dari lembaga pemerintah mana pun | 3 |
Rentang tanggal: Januari - Juni 2025
| Tipe | Permintaan diterima |
| Pemerintah, penegak hukum, dan permintaan sipil | 374 |
| Permintaan DMCA | 1,063,598 |
| Surat perintah dari lembaga pemerintah mana pun | 0 |
Rentang tanggal: Juli - Desember 2024
| Tipe | Permintaan diterima |
| Pemerintah, penegak hukum, dan permintaan sipil | 163 |
| Permintaan DMCA | 807,788 |
| Surat perintah dari lembaga pemerintah mana pun | 1 |
| Perintah pemberangusan | 0 |
| Surat Keamanan Nasional (NSL) | 0 |
Rentang tanggal: Januari - Juni 2024
| Tipe | Permintaan diterima |
| Pemerintah, penegak hukum, dan permintaan sipil | 170 |
| Permintaan DMCA | 259,561 |
| Surat perintah dari lembaga pemerintah mana pun | 2 |
| Perintah pemberangusan | 0 |
| Surat Keamanan Nasional (NSL) | 0 |
Perburuan bug
Melalui program perburuan bug, kami mengundang para peneliti keamanan untuk menguji sistem kami dan menerima imbalan finansial untuk setiap masalah yang mereka temukan. Program ini memberi kami akses ke sejumlah besar penguji yang secara rutin menilai infrastruktur dan aplikasi kami untuk mengetahui masalah keamanan. Temuan tersebut kemudian divalidasi dan diperbaiki, demi memastikan produk kami seaman mungkin.
Cakupan program kami termasuk menemukan kerentanan pada server VPN kami, aplikasi dan ekstensi browser kami, situs web kami, dan banyak lagi. Bagi pihak yang melaporkan bug/kesalahan, kami memberikan perlindungan penuh sesuai dengan kebiasaan terbaik secara global dalam bidang penelitian keamanan.
Program perburuan bug kami dikelola oleh YesWeHack. Ikuti tautan ini untuk mengetahui selengkapnya atau melaporkan bug.
Kepemimpinan industri
Meskipun kami menetapkan standar yang ketat untuk diri kami sendiri, kami juga percaya bahwa upaya kami untuk membangun internet yang lebih privat dan aman tidak terhenti di situ saja — itu sebabnya kami bekerja sama dengan seluruh industri VPN untuk meningkatkan standar dan melindungi pengguna dengan lebih baik.
Kami ikut mendirikan dan memimpin Prakarsa Kepercayaan VPN (VTI) bersama-sama dengan Koalisi Infrastruktur Internet (i2Coalition) dan beberapa pemain besar lainnya dalam industri ini. Selain dari upaya penyadaran dan sokongan berkelanjutan, grup ini telah meluncurkan Dasat-dasar VTI — pedoman bersama bagi penyedia VPN yang bertanggung jawab dalam bidang keamanan, privasi, transparansi, dan lainnya. Ini dibangun berdasarkan upaya prakarsa transparansi ExpressVPN sebelumnya yang bekerja sama dengan Pusat Demokrasi dan Teknologi.
Beberapa inovasi rintisan kami telah membantu memajukan industri VPN. Kami menjadi pihak pertama yang menciptakan TrustedServer, dan pihak lain pun mengikuti jejak kami dengan meluncurkan teknologi yang serupa. Lightway pada hakekatnya merupakan contoh lain dari teknologi hasil karya kami, dan kami berharap dengan menjadikannya sumber sumber terbuka, akan berdampak pada industri VPN secara keseluruhan.
Prakarsa privasi yang penting
Cari tahu selengkapnya tentang cara kami melindungi privasi pengguna.
-
![A shield button toggled on.]()
Sertifikasi ioXT
ExpressVPN telah menjadi salah satu dari sedikit aplikasi VPN yang disertifikasi oleh ioXt Alliance untuk standar keamanan, memberdayakan konsumen untuk menggunakan layanan kami dengan yakin.
-
![Bar graph with different heights.]()
Perlindungan lanjutan
Aplikasi kami mencakup Perlindungan Lanjutan, merupakan paket alat keamanan yang memblokir iklan, pelacak, situs berbahaya, dan mendukung kontrol konten ramah keluarga.
-
![Two line graphs.]()
Digital Security Lab
Kami merilis Digital Security Lab untuk menyelidiki lebih dalam pada masalah privasi dunia nyata. Lihat alat pengujian kebocorannya, untuk membantu memvalidasi keamanan VPN Anda.
