Surfshark 專注於開發人性化的安全產品。
在這裡,您將會了解到我們如何在全部服務和產品中秉承最高的安全標準,時刻為您設想:
歡迎蒞臨 Surfshark 的信任中心!
-
檢查我們遵從的安全標準
-
熟悉我們的伺服器基礎建設的技術層面
-
參閱我們的認證、專利和審計
-
了解更多關於我們的價值觀和私隱相關倡議
安全
為了確保 Surfshark 的使用安全,我們依照最嚴謹的保安措施。了解我們的保安實施、測試程序和其他 Surfshark 及其產品為了秉承服務和客戶安全而需通過的方式。
實施最安全的協定
Surfshark 提供 WireGuard, OpenVPN 和 IKEv2 VPN 協定和使用堅固的 AES-256-GCM 加密。除了 AES-256-GCM 以外,Surfshark 在 WireGuard 協定使用 ChaCha20 加密。不僅如此,Surfshark 使用一個 2048 個位元版本的 RSA (Rivest-Shamir-Adleman) 加密鑰匙。
第三方漏洞獎賞
在 Surfshark,我們實行第三方尋找程式缺陷計劃。我們會聘請可靠的公司在我們的軟件中搜尋錯誤或系統的漏洞,這讓我們更準確地辨認和修補即使是最細微的安全漏動,保護客戶和確保公司運作免受影響。
滲透測試
我們檢查可被利用的脆弱地方和透過經常執行系統滲透測試來評估軟件。定期執行內部和外部滲透測試確保我們的服務和產品經過全面性的總體評估。
保安設計和開發
我們的設計流程包括安全和私隱威脅模型。我們利用靜態應用程式安全測試(Static application security testing,簡稱 SAST)及其他方法來識別安全缺口、威脅和脆弱點,並據此實施足夠的應對措施,以減少乃至消除潛在的風險。
保安措施
在 Surfshark,我們針對應用程式與內部操作,採取各種形式的保安措施,以增強登入過程的安全性,防止暴力破解等特定攻擊,並同時確保系統和資料存取僅限於授權人員。
特權存取管理(PAM)
我們公司使用特權存取管理(PAM)系統來嚴格控制和監測 IT 網絡存取。此系統僅允許已獲批准的員工擁有必要的存取權,並同時包括詳細的審計以追蹤所有活動,從而提高我們的安全性並滿足行業標準。
安全監察
Surfshark 會監控其 IT 基礎建設,防止可疑及惡意活動以及可能的攻擊。24/7 監察,並且所有流程都是自動化。
零知識密碼儲存
Surfshark 數據庫的用戶登入已經加密,確保沒有人能解鎖儲存的登入資料。即使伺服器數據洩漏,也沒有人能夠解鎖用戶已儲存的登入。
自動化修補
Surfshark 採用無須操作的自動升級,確保我們的生產環境符合軟件要求。
威脅情報
我們採用一套自動化系統進行監察,根據知識、專家意見、有關事件的過往經驗、評估和威脅源頭,並上報這些全球最新的威脅 — Surfshark 總是與時俱進,不斷更新升級。
最小權限原則 (PolP)
我們的公司遵從 PolP,又稱為最小權限原則 (PoMP),表示我們的人員只能存取他們職責所需的工具、資源和操作系統。我們的客戶支援以最少所需的存取權限進行操作。
伺服器
為了達致更高的用戶私隱和安全,Surfshark 旨在盡可能提供最佳環境。增加伺服器數量並且把它們轉換到唯 RAM 記憶體設定檔,只是 VPN 市場邁向更私人更透明的少數實質性重要步驟之一。
伺服器速度達 10 Gbps
透過把伺服器由 1 Gbps 轉換至 10 Gbps,Surfshark VPN 有更快的連接速度,並賦予新伺服器更龐大的吞吐量,這意味著它們可以更迅速地傳輸大容量的數據。由於數據傳輸更快速,伺服器可以容納更多人,速度也更為穩定。此外,伺服器也不會那樣擁擠。
全球多達3,200+伺服器
您可以從分佈在 100 個國家的超過 3,200+ 伺服器中作出選擇。Surfshark 也覆蓋許多限用 VPN 的國家並提供好像是在一個國家但實質在另一國家的虛擬位置。VPN 伺服器質素愈高,連接伺服器便更快速和通順。
自動重建
我們的大部分 VPN 伺服器會定期銷毀和重建。這樣,我們便可以降低系統的脆弱窗口。
質素
對於我們 Surfshark 而言,質素乃本公司之基石,亦是客戶滿意度的其中一個關鍵要素。我們致力於透過頻繁的第三方保證報告、專利和其他實踐,展示我們的卓越標準,同時不斷追求創新。
代碼審查
透過 SAST 的幫助,Surfshark 定期進行軟件質素保證。
24/7 全天候支援
為了確保我們的服務質素,Surfshark 提供 24/7 全天候客戶支援。客戶可以透過即時聊天或電郵聯絡支援人員。
僱員背景審查
Surfshark 對新入職的僱員進行背景審查,以核實他們的聲譽並減少內部威脅。
Surfshark 審計
無日誌政策是每個安全 VPN 的核心所在。四大審計公司之一的德勤證實 Surfshark 嚴格認真地遵守無日誌政策中的承諾,我們現在可以為用戶及潛在客戶提供確鑿證據,證明 Surfshark 遵從最高的私隱和質素要求。
堅固和安全的伺服器基礎建設對於提供優越的 VPN 服務至為關鍵。因此,我們聘請了獨立審計評估我們服務的保安和軟件。德國公司 Cure53 對我們的基礎建設進行了透徹研究,沒有發現任何重大擔憂。
Cure53 進行的另一個審計顯示我們的瀏覽器擴充功能在堅固的安全性上表現出眾。研究確認我們的內部保安措施成功減少保安風險。現在,我們有證據證明我們產品的安全性是準確的。
定期認證
Surfshark 的 Android 應用程式已通過獨立的流動應用程式安全評估(MASA)安全認證!此項認證證明本應用程式使用安全無虞,並根據國際認可的 MASA 規定處理用戶數據。
有關 Surfshark 認證的詳細結果,請參閱此處。
最具創新力
我們持續研發嶄新和改良的功能,以改善我們的服務和超出行業標準。我們其中一項最近期的創新是 Nexus — 一項可以連接我們所有 VPN 伺服器到單一全球網絡的技術。Nexus 也實現了技驚四座的功能,如 IP Rotator 和 Dynamic MultiHop 。
輪換 IP
每五至十分鐘在所選位置更改用戶出口 IP 地址而無需中斷用戶 VPN 的連接。
Dynamic MultiHop
允許用戶從現有的伺服器名單中選擇他們的 VPN 入口和出口目的地。
透明度
作為一家網絡安全公司,透明度對我們贏得用戶的信任至關重要。正因如此,我們會定期通過發佈年度報告及披露政府查詢或任何其他法律請求,來揭示 Surfshark 的內部運作情況。
透明度報告
我們理解並歡迎業界對透明度需求的日益增長,例如《數碼服務法案》(DSA)便是一例。作為一家網絡安全公司,我們認為達到最高標準乃我們的責任所在,而透明度便是其中之一。除我們網站上一直設置的「金絲雀安全聲明」(Warrant Canary)外,我們現亦呈獻《透明度報告》,當中詳列我們所收到的請求類型及數量。我們將會每季按情況更新這些數字。
用戶數據的請求(2024 年 7 月至 9 月期間)*
*所有請求均未導致披露任何與用戶有關的數據。
| 類型 | 所接獲之請求 |
| 數碼千禧年版權法案(DMCA)請求 | 245444 |
| 政府機構查詢 | 34 |
| 國家安全信函 | 0 |
| 禁聲令(由法院或政府發出的法律命令,旨在限制有關資訊或評論被公開或傳遞予任何未獲授權的第三方) | 0 |
| 任何政府機構發出之手令 | 0 |
| 根據《數碼服務法案》(DSA)所接獲之請求 | 0 |
Surfshark 承諾定期發佈透明度報告,就法律及政府請求,以及根據《數碼服務法案》(DSA)所接獲之請求進行溝通,彰顯我們對用戶私隱的專注與承諾。所有政府機構的查詢均基於 VPN 伺服器的 IP 地址及特定的連接時間戳記。根據我們的無日誌記錄聲明(該聲明已由 Deloitte 的保證報告確認,並因我們採用僅使用唯 RAM 的伺服器而得到進一步強化),我們並不收集您進行網上活動的任何資訊(如 IP 地址、瀏覽記錄或網絡流量),從而確保我們並無該等資訊可供應請求而披露。我們旨在與用戶建立信任,證明我們致力於保護他們的私隱。
向更頂尖的行業標準進發
Surfshark 與 VPN 信任計劃(VPN Trust Initiative)緊密合作 — VPN Trust Initiative 是一個由業界主導的聯盟,致力於提升消費者網絡安全和私隱保護。我們支持並遵循 VTI 原則,這些原則為 VPN 供應商的營運方式提供了基本準則。這原則涵蓋保安、廣告手法、私隱、披露和透明度以及社會責任。
Surfshark 已與數碼版權監管機構和互聯網監控組織 NetBlocks 聯手。他們的使命和目標是提高意識並擴大有關全球互聯網中斷的資訊分佈,這與我們那不受局限及可用所有互聯網的價值觀產生共鳴。