Když si člověk pořídí VPN, většinou to není jen kvůli tomu, aby si odblokoval Netflix. U spousty lidí to začíná snahou chránit si soukromí a bezpečnost na internetu – a u někoho to končí úplnou paranoiou (u mě). Ale mezi tím je spousta prostoru pro chyby. Největší z nich? Myslet si, že „nulová politika uchování logů“ je automaticky zárukou neviditelnosti. Není. A právě proto mě zaujal poslední audit od Deloitte, který znovu prověřoval infrastrukturu Surfsharku. Jenže než se začneme radovat, je dobré vědět, co to celé opravdu znamená.
Proč se kolem „no-logs“ dělá takové haló
Když VPN tvrdí, že neuchovává žádné záznamy o vaší aktivitě, vypadá to skvěle. Ale co přesně si pod tím představit? Někdo tím myslí, že nevidí, co děláte – jiný, že si to sice na chvíli uloží, ale pak to smaže. Další VPN vás sice nesleduje, ale sleduje „výkon serverů“, což často zahrnuje i objem dat přenesených z jednotlivých IP adres. A to už tak anonymní není.
No-logs politika je u VPN něco jako „bez cukru“ u limonády. Zní to zdravě, ale dokud si nepřečtete drobným písmem, co to přesně znamená, můžete se dost spálit.
Co vlastně kotroloval Deloitte u Surfsharku?
A teď k tomu, co proběhlo. Surfshark si nechal od firmy Deloitte provést nezávislou kontrolu, tzv. ISAE 3000 audit. Deloitte není žádné neznámé jméno – patří do tzv. „velké čtyřky“ auditorských firem a už dříve prověřoval i jiné VPN (třeba NordVPN). Tohle konkrétně není poprvé, kdy auditoval Surfshark – předchozí kontrola proběhla už v roce 2023 tj. za poslední 2 roky má oba což je skvělé!
Co audit u Surfsharku zahrnoval tentokrát?
- rozhovory s interními pracovníky Surfsharku,
- inspekci serverových konfigurací – včetně statických, standardních a multiportových,
- kontrolu procesů nasazení nových serverů,
- ověření nastavení, která souvisejí s ochranou soukromí,
- a srovnání s veřejně dostupnou Privacy Policy.
Audit tedy neřešil, jestli má firma morální integritu. Nezjišťoval, jestli se někdo tajně nedostal k datům. Nezkoumal konkrétní incidenty. Šlo o momentální kontrolu stavu – snapshot, který říká: „Ano, v tomto období firma dodržovala to, co přesně deklaruje.“
To je užitečné. Ale zdaleka to není všechno!
Proč ani ISAE 3000 audit není neprůstřelný
Teď si řekněme, co tenhle typ auditu není:
- Nejde o kontinuální monitoring. To znamená, že se zkoumá, co firma dělala během určitého časového rámce (typicky několik týdnů nebo měsíců), ne co dělá průběžně každý den.
- Nejde o penetration test. Auditoři nenapadají servery, aby zjistili, co by šlo zneužít.
- Nejde o zveřejněný full report. Surfshark zveřejňuje jen shrnutí – plná verze je dostupná přihlášeným uživatelům a stejně obsahuje hodně právničiny.
- A hlavně: auditoři pracují s tím, co jim firma poskytne. Pokud něco záměrně zamlčíte, v takovém typu auditu to můžete (teoreticky) i projít.
Tohle všechno neříkám proto, abych shazoval Surfshark to vůbec ne! Naopak používáme ho v práci a má bezpečnost na nejvyšší úrovni! Jsem rád, že audit dělají – a že ho pravidelně opakují. Ale kritické myšlení je to nejcennější, co si dnes při pohybu na internetu můžeme udržet. Ani největší jména jako Deloitte vám nikdy nedají 100% garanci.
Kdo z dalších VPNek si nechává ověřovat no-logs politiku?
Pojďme si to srovnat. Surfshark není jediný, kdo se chce být transparentní. Tady jsou příklady dalších VPN, které prošly auditem (stav červen 2025):
| VPN | Auditor | Rok posledního auditu | Co bylo ověřeno |
|---|---|---|---|
| NordVPN | Deloitte | 2024 | No-logs policy, server infrastructure |
| ExpressVPN | PwC | 2024 | TrustedServer technology (RAM-only) |
| IPVanish | Schellman Compliance | 2024 | Absence zákaznické identifikace (anonymní účet) |
| Proton VPN | Securitum | 2023 | Ověření nulového logování |
Zajímavé je, že IPVanish jde ještě dál: kromě auditů nabízí plné open-source klienty a zveřejňuje informace o každém právním požadavku, který obdržel.
Kde audit najít a jak ho číst?
Pokud používáte Surfshark, najdete ISAE 3000 komplexní zprávu po přihlášení ve svém uživatelském účtu – v sekci Trust Center. Pokud ji hledáte poprvé, bude to pár kliknutí, ale dokument tam je.
Závěr: Důvěřuj, ale prověřuj (a znovu)
Je skvělé vidět, že Surfshark pokračuje v pravidelných auditech a nechává svou no-logs politiku ověřit nezávislou autoritou, jakou je Deloitte. To rozhodně není samozřejmost a mnohé konkurenční VPN by si z toho měly vzít příklad. Ale stejně jako u každého jiného bezpečnostního opatření platí jedno pravidlo: žádná technologie není silnější než naše schopnost ji pochopit a kriticky zhodnotit.
Takže pokud vybíráte VPN, nikdy nechtějte jen „politiku nulového logování“. Ptejte se: Kdo to ověřil? Jak často? Co konkrétně bylo prověřeno? A hlavně – vybírejte podle hodnot, které s vámi rezonují. Protože v konečném důsledku jde o víc než o šifrovaný tunel. Jde o důvěru ve značku!
Vaše komentáře
Zatím nejsou žádné komentáře… Buďte první, kdo ho napíše.
Přispějte svým komentářem
