ExpressVPN Trust Center
ExpressVPN Àr i första hand ett integritetsföretag. VÄra anvÀndare litar pÄ att vi skyddar deras integritet med en branschledande kombination av hÄrdvara, mjukvara och mÀnsklig sinnrikhet. HÀr fÄr du en inblick i hur vi gör oss förtjÀnta av den tilliten.
SÀkerhet hos ExpressVPN: vÄra 4 nyckelstrategier
LÀs mer om hur vi jobbar med cybersÀkerhet för att hÄlla vÄra system och anvÀndare skyddade.
1. Göra systemen svÄra att kompromettera
Valideringssystem
FrÄn utveckling till leverans Àr ExpressVPN:s programvara skyddad mot att skadlig kod införs tack vare ett valideringssystem vi sjÀlva tagit fram och som blivit oberoende granskat.
Fysiska sÀkerhetsenheter
Vi anvÀnder offentlig-privata nyckelpar i flera olika sÀkerhetssyften, som tvÄfaktorsautentisering, underskrift av Git commits och anslutning till en server via SSH. Vi minskar risken för att vÄra privata nycklar blir stulna genom att förvara dem pÄ fysiska sÀkerhetsenheter. Det innebÀr att Àven om vÄra arbetsstationer utsÀtts för risk kan ingen angripare stjÀla vÄra privata nycklar.
De hÀr enheterna Àr skyddade med starka lösenfraser och programmerade att "förstena" sig sjÀlva efter flera misslyckade försök att lÄsa upp dem. Enheterna krÀver fysisk beröring för att kunna anvÀndas, vilket innebÀr att skadlig programvara inte kan stjÀla nycklarna utan att en riktig mÀnniska Àr inblandad.
Kodgranskning
All produktionskod krÀver minst en till person som kan agera granskare. Det gör det betydligt svÄrare att lÀgga in skadlig programvara, vare sig det sker via insiderverksamhet eller ifall en anstÀllds arbetsstation blir exponerad.
FörhÄrdat sÀkerhetsskal (SSH)
Vi anvÀnder SSH som ett sÀkert sÀtt att fÄ fjÀrrÄtkomst till vÄra viktigaste servrar. SSH-servrarna Àr programmerade att bara anvÀnda en uppsÀttning högsÀkerhetschiffer, algoritmer för nyckelutvÀxling och MAC: ar. Vi tillÄter heller inte anslutning som rot, och autentisering kan bara ske med hjÀlp av starka SSH-nycklar, aldrig med lösenord. Vi anvÀnder SSH-bastionservrar för att skilja produktionsinfrastrukturen frÄn det öppna internet. De servrarna accepterar bara trafik frÄn adresser pÄ en IP-frilista.
All denna konfigurering Àr definierad i kod och dÀrför referentgranskad och reproducerbar.
Snabba rÀttelser
Mjukvaruberoenden i produktionsmiljön uppdateras automatiskt via oövervakade uppgraderingar.
2. Minimera potentiell skada
Nolltillit
I syfte att minska risken att stulna nycklar anvÀnds för att komma Ät en VPN-server under falsk identitet gör vi det obligatoriskt för ExpressVPN: s applikation att checka in med vÄra API-servrar för att fÄ uppdaterade konfigurationsinstÀllningar. VÄra applikationer autentiserar de servrar de ansluter till genom att validera den privata Certificate Authority-signaturen (CA) och common name för att försÀkra att ingen angripare kan utge sig för att vara en av oss.
AnvÀnder nollkunskapskryptering
NÀr du anvÀnder ExpressVPN skyddas dina uppgifter av AES-256 avancerade matematik, samma krypteringsstandard som antagits av den amerikanska regeringen och som sÀkerhetsexperter vÀrlden över förlitar sig pÄ för att skydda sekretessbelagd information.
NĂ€r du anvĂ€nder ExpressVPN:s lösenordshanterare (ExpressVPN Keys) skyddas dina kĂ€nsliga uppgifter av nollkunskapskryptering sĂ„ att ingen â inte ens vi â kan dekryptera informationen som lagras i Keys. Informationen dekrypteras endast pĂ„ anvĂ€ndarens enhet och kan endast dekrypteras med hjĂ€lp av krypteringsnycklar som genereras av anvĂ€ndarens primĂ€ra lösenord â som bara anvĂ€ndaren kĂ€nner till.
För att sÀkerstÀlla att ExpressVPN:s dedikerade IP (DIP) erbjuder tillförlitlig teknisk sÀkerhet och integritet anvÀnder vi oss av IP-allokering med nollkunskap och anonyma tokens för att förhindra att ExpressVPN:s administratörer nÄgonsin kan identifiera en anvÀndare med hjÀlp av dennes dedikerade IP-adress.
SĂ€ker design
Modellering av sÀkerhets- och integritetshot Àr en del av designfasen i alla system. Vi anvÀnder MITRE ATT&CK-ramverket för att identifiera hot som kan finnas i vÄr design, övervÀger olika sÀtt att fÄ bort dem och vidtar lÀmpliga ÄtgÀrder för att minimera de potentiella riskerna.
Principen om lÀgsta behörighet
Alla vÄra anvÀndare, tjÀnster och procedurer följer principen om lÀgsta behörighet. VÄra anstÀllda har bara Ätkomstbehörighet till de tjÀnster och produktionssystem som Àr nödvÀndiga för just deras roll. VÄra kundtjÀnsthandlÀggare arbetar under tvÄ miljöer, en obegrÀnsad för allmÀn surfaktivitet och en begrÀnsad för att komma Ät kÀnsliga system. SÄdana ÄtgÀrder minimerar inverkan och omintetgör mÄlen hos angripare ifall de skulle lyckas ta över nÄgot av vÄra konton.
3. Minimera komprometteringstiden
SÀkerhetsövervakning
Vi övervakar kontinuerligt vÄra interna tjÀnster och vÄr infrastruktur för att hitta eventuell onormal eller obehörig aktivitet. VÄrt sÀkerhetsteam som har dygnet runt-jour utför övervakning och bedömning av potentiella sÀkerhetshot i realtid.
Automatisk Ă„teruppbyggnad
MÄnga av vÄra system förstörs och Äteruppbyggs automatiskt flera gÄnger i veckan eller sÄ ofta som varje dag. Det begrÀnsar den tid en potentiell angripare kan snoka i vÄra system.
4. Validera vÄra sÀkerhetskontroller
Intern validering: penetrationstester
Vi utför regelbundna penetrationstester för att utvÀrdera vÄra tjÀnster och vÄr mjukvara och kunna identifiera sÄrbarheter och svagheter. VÄra testare har full tillgÄng till kÀllkoden och anvÀnder en kombination av automatisk och manuell testning för att garantera en ingÄende utvÀrdering av vÄra tjÀnster och produkter.
Extern validering: sÀkerhetsgranskningar av tredje part
Vi tar hjÀlp av oberoende granskningsorgan för att utvÀrdera sÀkerheten hos vÄra tjÀnster och vÄr programvara. De uppdragen fungerar som en validering av att vÄra interna kontroller Àr effektiva i frÄga om att minska sÀkerhetsrisker och erbjuder samtidigt vÄra kunder dokumentation pÄ att de utsagor vi gör om vÄra produkters sÀkerhet faktiskt stÀmmer.
Innovation
Vi strÀvar hela tiden efter att möta och övertrÀffa branschens sÀkerhetsstandarder, och vi driver en stÀndigt pÄgÄende innovationsprocess i en obeveklig jakt pÄ nya sÀtt att skydda vÄra produkter och anvÀndare. HÀr lyfter vi fram tvÄ banbrytande tekniker som tagits fram av ExpressVPN.
Lightway: vÄrt protokoll för en överlÀgsen VPN-upplevelse
Lightway Àr ett VPN-protokoll byggt av ExpressVPN. Ett VPN-protokoll Àr den metod en enhet anvÀnder för att ansluta till en VPN-server. De flesta leverantörer anvÀnder samma standardprotokoll, men vi bestÀmde oss för att skapa ett med överlÀgsen prestanda som inte bara gör anvÀndarens VPN-upplevelse snabbare och mer pÄlitlig utan ocksÄ sÀkrare.
- Lightway anvÀnder wolfSSL, vars vÀletablerade kryptografi noga granskats av tredje part, Àven mot FIPS 140-2-standarden.
- Lightway bibehÄller perfekt framÄtsekretess med dynamiska krypteringsnycklar som regelbundet rensas och Äterskapas.
- Huvuddelen av Lightways bibliotek har öppen kÀllkod vilket garanterar transparens och möjlighet till omfattande sÀkerhetsutvÀrdering.
- Lightway inkluderar stöd för postkvant vilket skyddar anvÀndare mot angripare som har tillgÄng till bÄde klassiska datorer och kvantdatorer. ExpressVPN Àr en av de första VPN-leverantörerna som anvÀnder postkvantskydd för att skydda anvÀndare i takt med att kvantdatavetenskapet utvecklas.
- För att uppnÄ Ànnu högre hastigheter har vi skapat Lightway Turbo, som med hjÀlp av multi-lane-tunnlar kan skicka mer data samtidigt (för nÀrvarande tillgÀngligt i vÄr app för Windows, med stöd för ytterligare plattformar pÄ gÄng).
LÀr dig mer om Lightway och lÀs vÄr utvecklarblogg för teknisk information frÄn ExpressVPN mjukvaruutvecklare om hur Lightway fungerar och vad som gör det överlÀgset andra protokoll.
TrustedServer: alla data raderas vid varje omstart
TrustedServer Àr VPN-serverteknologi som vi tagit fram och som ger vÄra kunder en högre grad av sÀkerhet.
- Den körs pÄ volatilt minne, eller RAM. Operativsystem och appar skriver aldrig över pÄ hÄrddiskar, som behÄller alla data tills de raderas eller skrivs över. Eftersom RAM krÀver ström för att lagra data raderas all information pÄ en server varje gÄng strömmen slÄs av och pÄ igen vilket hindrar bÄde data och potentiella inkrÀktare frÄn att stanna kvar pÄ servern.
- Den bidrar till ökad stringens. Med TrustedServer kör var och en av ExpressVPN:s servrar den senast uppdaterade programvaran istÀllet för att varje server ska fÄ en uppdatering vid olika tidpunkter efter behov. Det innebÀr att ExpressVPN vet exakt vad som körs pÄ varje server, vilket minskar risken för sÄrbarhet eller felkonfigurering och ökar VPN-sÀkerheten avsevÀrt.
- TrustedServer-teknologin har granskats av PwC.
Vill du ta en mer detaljerad titt pÄ hur TrustedServer skyddar vÄra anvÀndare? LÀs vÄr fördjupande artikel skriven av ingenjören som utformat systemet.
ExpressKeys: En dedikerad lösenordshanterare med noll-kunskap
ExpressKeys Àr en fristÄende lösenordshanterare som ger dina inloggningsuppgifter ett eget sÀkert hem, separat frÄn din VPN-anslutning. Appen kallades tidigare ExpressVPN Keys och har utvecklats till en dedikerad app för iOS och Android för att erbjuda en fokuserad miljö dÀr man kan generera, lagra och skydda inloggningar.
Precis som vÄr VPN Àr ExpressKeys sÀker genom sin design. TjÀnsten anvÀnder nollkunskapskryptering, vilket innebÀr att dina lösenord krypteras pÄ din enhet innan de nÄr vÄra servrar. Vi har ingen teknisk möjlighet att dekryptera eller visa informationen du lagrar; du Àr den enda som har nycklarna till ditt valv.
ExpressKeys har inbyggd tvÄfaktorsautentisering (MFA), proaktiv övervakning av dataintrÄng och smidig synkronisering mellan mobila enheter och webblÀsartillÀgg. Det ingÄr utan extra kostnad i alla Advanced- och Pro-abonnemang, samt Àldre prenumerationer.
ExpressVPN:s dedikerade IP: En statisk IP-adress med oövertrÀffad integritet
ExpressVPN:s dedikerade IP-tjÀnst tilldelar en unik IP-adress till endast en anvÀndare, vilket skapar en konsekvent online-identitet samtidigt som integriteten upprÀtthÄlls.
Normalt sett delar mÄnga anvÀndare samma IP-adress med ett VPN, vilket Àr en viktig del av anonymiseringsprocessen. NÀr en dedikerad IP-adress tilldelas en enskild anvÀndare mÄste sÀrskilda ÄtgÀrder vidtas för att sÀkerstÀlla anonymitet.
Ăven om dagens lösningar medför sĂ€kerhets- och integritetsproblem som potentiellt kan avslöja en anvĂ€ndares verkliga IP-adress har vi vidtagit extra försiktighetsĂ„tgĂ€rder för att upprĂ€tthĂ„lla vĂ„ra anvĂ€ndares anonymitet, vilket förklaras i vĂ„r tekniska vitbok. Vi anvĂ€nder ett anonymt tokenbaserat system för att sĂ€rskilja betalningsuppgifter frĂ„n den IP vi tilldelar en anvĂ€ndare. Detta sĂ€kerstĂ€ller att vi aldrig kan spĂ„ra en dedikerad IP tillbaka till anvĂ€ndaren.
Operativ styrning (ISO)
Förtroende krÀver en rigorös arkitektonisk grund. à r 2025 sÀkrade ExpressVPN och Kape Group en uppsÀttning internationellt erkÀnda certifieringar för att se till sÄ att sÀkerhet och integritet Àr integrerade i vÄr dagliga verksamhet, frÄn hur vi hanterar risker till hur vi hjÀlper vÄra anvÀndare.
- ISO/IEC 27001 (informationssÀkerhetshantering): Validerar vÄr systematiska strategi för att hantera informationssÀkerhetsrisker för bÄde mÀnniskor och teknik.
- ISO 9001 (kvalitetsledning): SÀkerstÀller konsekvent kvalitet och kontinuerlig förbÀttring i vÄr tjÀnsteleverans.
- ISO 18295-1 och 18295-2 (Kundkontakt): Intygar att vÄra supportteam arbetar med strikt tillsyn och kundfokuserade kontroller.
Se hur vi höjer ribban med vÄr sÀkerhetsplan för 2026.
Oberoende sÀkerhetsgranskningar
Vi jobbar med att regelbundet utföra djupgÄende revisioner frÄn tredje part av vÄra produkter. HÀr Àr en lista med externa revisioner som vi har utfört, i kronologisk ordning:
- En sÀkerhetsrevision av Cure53 av ExpressMailGuard (maj 2026)
- En sÀkerhetsrevision av Cure53 av Identity Defender (maj 2026)
- En sÀkerhetsrevision av Cure53 av EventVPN (2026)
- En sÀkerhetsrevision av Cure53 av ExpressAI (2026)
- KPMG:s tredje sÀkerhetsrevision av vÄrt integritetsarbete (juni 2025)
- Den andra sÀkerhetsrevisionen frÄn Cure53 av vÄra Aircove-routrar (november 2024)
- Den fjÀrde revisionen av vÄrt VPN-protokoll Lightway, utförd av Cure53 (oktober 2024)
- Den tredje revisionen av vÄrt VPN-protokoll Lightway, utförd av Praetorian (september 2024)
- En andra granskning av ExpressVPN:s webblÀsartillÀgg av Cure53 (juni 2024)
- En revision av Windows-appen för att bekrÀfta ÄtgÀrder av ett DNS-problem relaterat till split tunnelling (april 2024)
- En revision utförd av KPMG för att bedöma pÄstÄenden i vÄr integritetspolicy (december 2023)
- Den andra revisionen av vÄrt VPN-protokoll Lightway, utförd av Cure53 (november 2022)
- En granskning frÄn Cure53 av ExpressVPN Keys webblÀsartillÀgg (oktober 2022)
- En granskning av ExpressVPN:s webblÀsartillÀgg av Cure53 (oktober 2022)
- Revision frÄn KPMG av vÄr policy mot loggar (september 2022)
- SÀkerhetsrevision frÄn Cure53 av vÄr app för iOS (september 2022)
- SÀkerhetsrevision frÄn Cure53 av vÄr app för Android (augusti 2022)
- Revision frÄn Cure53 av vÄr app för Linux (augusti 2022)
- Revision frÄn Cure53 av vÄr app för macOS (juli 2022)
- SÀkerhetsrevision frÄn Cure53 av vÄr Aircove-route r (juli 2022)
- SÀkerhetsrevision frÄn Cure 53 av TrustedServer, vÄr egna VPN-serverteknik (maj 2022)
- Revision frÄn F-Secure av vÄr app för Windows, v12 (april 2022)
- SÀkerhetsrevision frÄn F-Secure av vÄr app för Windows, v10 (mars 2022)
- SÀkerhetsrevision frÄn Cure53 av vÄrt VPN-protokoll Lightway (augusti 2021)
- Revision frÄn PwC Switzerland av vÄr process för buildverifiering (juni 2020)
- En granskning frÄn PwC Schweiz av vÄr efterlevnad av integritetspolicyn och vÄr egen teknik TrustedServer (juni 2019)
- En sÀkerhetsgranskning av vÄrt webblÀsartillÀgg av Cure53 (november 2018)
Transparensrapport
VÄra halvÄrsvisa transparensrapporter innehÄller information om de förfrÄgningar om anvÀndaruppgifter som inkommit till vÄr juridiska avdelning.
Vi mottar regelbundet sÄdana förfrÄgningar, men vÄr policy att inte spara loggar sÀkerstÀller att vi aldrig har nÄgot att dela. Vi sparar inte och kommer aldrig att spara loggar över dina onlineaktiviteter eller personuppgifter, inklusive din surfhistorik, trafikdestination eller metadata, DNS-frÄgor eller IP-adresser du tilldelas nÀr du ansluter till vÄrt VPN.
Vi kan aldrig tillhandahÄlla dessa kunduppgifter eftersom de helt enkelt inte existerar. Genom att publicera denna kompletterande information om de förfrÄgningar vi mottar strÀvar vi efter att skapa Ànnu större insyn i hur vi skyddar vÄra anvÀndare.
FörfrÄgningar om anvÀndaruppgifter
Datumintervall: juli - december 2025
| Typ | Mottagna förfrÄgningar |
| FörfrÄgningar frÄn myndigheter, brottsbekÀmpande myndigheter och civila myndigheter | 155 |
| DMCA-förfrÄgningar | 1 382 986 |
| Order frÄn statlig institution | 3 |
Datumintervall: januari - juni 2025
| Typ | Mottagna förfrÄgningar |
| FörfrÄgningar frÄn myndigheter, brottsbekÀmpande myndigheter och civila myndigheter | 374 |
| DMCA-förfrÄgningar | 1 063 598 |
| Order frÄn statlig institution | 0 |
Datumintervall: juli - december 2024
| Typ | Mottagna förfrÄgningar |
| FörfrÄgningar frÄn myndigheter, brottsbekÀmpande myndigheter och civila myndigheter | 163 |
| DMCA-förfrÄgningar | 807 788 |
| Order frÄn statlig institution | 1 |
| Munkavleorder | 0 |
| Nationella sÀkerhetsbrev | 0 |
Datumintervall: januariâjuni 2024
| Typ | Mottagna förfrÄgningar |
| FörfrÄgningar frÄn myndigheter, brottsbekÀmpande myndigheter och civila myndigheter | 170 |
| DMCA-förfrÄgningar | 259 561 |
| Order frÄn statlig institution | 2 |
| Munkavleorder | 0 |
| Nationella sÀkerhetsbrev | 0 |
Buggbelöning
Via vÄrt buggbelöningsprogram bjuder vi in sÀkerhetsforskare att testa vÄra system och fÄ ekonomisk belöning för eventuella problem de upptÀcker. Programmet ger oss tillgÄng till ett stort antal testare som regelbundet granskar vÄr infrastruktur och vÄra applikationer för att hitta sÀkerhetsproblem. Fynden utvÀrderas och avhjÀlps sedan för att se till att vÄra produkter Àr sÄ sÀkra som möjligt.
Programmets omfattning inkluderar sÄrbarheter i vÄra VPN-servrar, vÄra appar och webblÀsartillÀgg, vÄr webbplats med mera. För personer som rapporterar buggar erbjuder vi fullstÀndig immunitet i enlighet med global bÀsta praxis inom sÀkerhetsforskning.
VÄrt bug bounty-program sköts av YesWeHack. Följ den hÀr lÀnken för att lÀsa mer eller rapportera en bugg.
Branschledarskap
Vi sÀtter förvisso rigorösa regler för oss sjÀlva, men vÄrt arbete med att bygga ett mer privat och sÀkert internet gÄr bortom det.
DÀrför samarbetar vi med hela VPN-branschen för att höja standarden och ge anvÀndarna bÀttre skydd. Detta bygger vidare pÄ ExpressVPN:s tidigare arbete med transparensinitiativ i samarbete med {T2}Center for Democracy and Technology{ET2}.
NÄgra av de innovationer vi har varit pionjÀrer inom har bidragit till att driva VPN-branschen framÄt. Vi var först med att skapa TrustedServer, och andra har sedan dess följt vÄrt exempel och utvecklat liknande teknik. Lightway Àr ytterligare ett exempel pÄ teknik vi har utvecklat frÄn grunden, och vi hoppas att vi med hjÀlp av öppen kÀllkod ska kunna pÄverka VPN-branschen som helhet.
Betydande integritetsinitiativ
FÄ reda pÄ mer om hur vi skyddar vÄra anvÀndares integritet.
-
![A shield button toggled on.]()
ioXT-certifiering
ExpressVPN Àr en av fÄ VPN-appar som certifierats av ioXt Alliance för sÀkerhetsstandarder som gör att vÄra kunder kan anvÀnda vÄra tjÀnster med större tillförsikt.
-
![Bar graph with different heights.]()
Avancerat skydd
VÄr app innehÄller Avancerat skydd, vilket Àr en uppsÀttning sÀkerhetsverktyg som blockerar annonser, spÄrare, skadliga webbplatser och ger kontroll av familjevÀnligt innehÄll.
-
![Two line graphs.]()
Digital Security lab
Vi har lanserat Digital Security Lab för att kunna djupdyka i den riktiga vÀrldens integritetsproblem. Ta en titt pÄ dess verktyg för lÀckagetestning som hjÀlper dig validera sÀkerheten hos ditt VPN.
