Apa itu VPN No-Logs? Penyedia yang Diaudit, Laporan Independen, dan Cara Membedakan Klaim Asli dari Sekadar Pemasaran
VPN no-logs adalah layanan yang tidak mencatat lalu lintas, DNS, atau metadata koneksi yang dapat mengidentifikasi seorang pengguna. Klaim ini baru bermakna ketika seorang auditor independen telah memeriksa infrastruktur yang sebenarnya. Berikut cara membedakannya.
Apa arti "no-logs" yang sebenarnya
VPN no-logs adalah penyedia yang berjanji tidak mencatat lalu lintas, kueri DNS, alamat IP, atau cap waktu koneksi yang dapat dikaitkan kembali ke seorang pengguna individu. Istilah 'no-logs' itu sendiri tidak memiliki definisi hukum. Setiap halaman beranda VPN menggunakannya. Klaim ini baru menjadi bermakna ketika seorang auditor independen telah memeriksa armada server dan konfigurasi yang sebenarnya — dan laporannya dipublikasikan. Per 2026, kelima VPN berbayar besar yang kami bahas (Mullvad, Proton VPN, NordVPN, ExpressVPN, Surfshark) telah menerbitkan audit independen.
Apa yang sebenarnya dicakup oleh audit yang dipublikasikan
Audit terbaru Mullvad dilakukan oleh Cure53, berlangsung 3–14 Juni 2024 (audit keempat secara keseluruhan, kedua bersama Cure53). Ini adalah audit infrastruktur yang mencakup satu server OpenVPN dan satu server WireGuard dalam armada produksi Mullvad. Proton VPN telah lulus empat audit no-logs Securitum secara berturut-turut (2022, 2023, 2024, 2025). NordVPN telah lulus enam penilaian jaminan no-logs independen di bawah ISAE 3000: PwC 2018, PwC 2020, Deloitte 2022, 2023, 2024, 2025. Trust Center ExpressVPN mencantumkan 23 audit yang dipublikasikan, terbaru adalah audit no-logs ketiga oleh KPMG (2025) dan audit Cure53/Praetorian atas penulisan ulang protokol Lightway dalam Rust (September–Oktober 2024). Surfshark memiliki audit no-logs Deloitte pada 2023 dan 2025 di bawah ISAE 3000.
Seperti apa klaim no-logs yang asli
Tiga sinyal membedakan klaim no-logs yang asli dari sekadar pemasaran. Pertama, laporan pihak ketiga yang dipublikasikan — bukan postingan blog bergaya siaran pers, melainkan PDF yang dapat diunduh atau halaman trust-center dengan nama auditor dan tanggalnya. Kedua, cakupan audit yang mencakup infrastruktur (konfigurasi tingkat server), bukan hanya aplikasi klien. Ketiga, idealnya, uji perintah pengadilan yang nyata. Kantor Mullvad digeledah oleh polisi Swedia pada 18 April 2023 berdasarkan surat perintah yang diterbitkan dari permintaan kerja sama hukum Jerman; Mullvad mendokumentasikan peristiwa itu secara publik dan polisi pergi tanpa menyita data pelanggan karena data yang dicari surat perintah tersebut tidak ada di server (menurut postingan blog Mullvad tentang surat perintah penggeledahan). Sebaliknya, PureVPN menyerahkan log koneksi kepada FBI pada 2017 dalam kasus cyberstalking Ryan Lin meskipun sebelumnya memasarkan diri sebagai 'no logs' — kasus ini adalah contoh tandingan kanonik dari klaim pemasaran yang dibantah oleh paksaan hukum yang nyata.
Yurisdiksi lebih tidak penting daripada apa yang disimpan penyedia
Pemasaran VPN banyak membesar-besarkan soal yurisdiksi. Pengaturan berbagi intelijen 5 / 9 / 14 Eyes (AS, Inggris, Kanada, Australia, Selandia Baru + Denmark, Prancis, Belanda, Norwegia + Jerman, Belgia, Italia, Swedia, Spanyol) nyata adanya, dan VPN yang terdaftar di Swedia atau Belanda berada dalam cakupannya. Namun, penyedia di yurisdiksi non-Eyes yang menyimpan log koneksi justru lebih buruk daripada penyedia no-logs di mana pun. Mullvad (Swedia, dalam 14 Eyes) dan Proton VPN (Swiss, di luar Eyes) keduanya diaudit; penggeledahan Mullvad menunjukkan bahwa konfigurasi no-logs lebih penting daripada bendera di peta.
Cara membaca laporan audit
Buka laporan dan cari tiga hal. (1) Cakupan — apakah laporan menjelaskan apa yang diperiksa auditor, termasuk server mana, protokol mana, rentang tanggal mana? Bahasa umum 'mengaudit kebijakan' tanpa rincian lebih lemah daripada 'memeriksa berkas konfigurasi VPN dan konfigurasi server'. (2) Metode — laporan Securitum untuk Proton menjelaskan peninjauan konfigurasi di lokasi dan wawancara staf; laporan NordVPN dari Deloitte mengutip ISAE 3000 (standar penugasan jaminan internasional); laporan Mullvad dari Cure53 menjelaskan pengujian keamanan white-box pada server produksi. (3) Temuan — setiap audit menemukan sesuatu. Audit Mullvad oleh Cure53 pada Juni 2024 menemukan dua masalah (satu rendah, satu sedang); audit Lightway oleh Praetorian pada 2024 menemukan dua masalah berisiko rendah. Adanya temuan bukanlah hal buruk — justru ketiadaan temuan sama sekali yang patut dicurigai. Yang penting adalah tingkat keparahan dan perbaikannya.
Apa yang harus diabaikan
Abaikan peringkat umum 'VPN paling privat' yang tidak mengungkapkan metodologinya. Abaikan penyedia yang 'audit'-nya hanya berupa surat dari konsultan kecil yang tidak pernah memeriksa servernya. Abaikan situs perbandingan VPN yang tidak menautkan laporan sebenarnya — laporan memiliki tanggal dan pihak penerbit; jika sebuah situs tidak mau menautkannya, klaim itu tidak dapat diverifikasi. Abaikan yurisdiksi sebagai sinyal utama. Satu-satunya sinyal yang dapat diandalkan adalah cakupan audit yang dipublikasikan ditambah, jika ada, riwayat kasus paksaan hukum.
Sumber
Audit Mullvad: mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Penggeledahan Mullvad 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Audit Proton: protonvpn.com/blog/no-logs-audit. Audit NordVPN: nordvpn.com/blog/nordvpn-no-logs-audit-2024. Trust Center ExpressVPN: expressvpn.com/trust. Audit Surfshark: surfshark.com/blog/deloitte-nologs-policy-verified-again. Kasus PureVPN/Lin: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Semua URL diakses pada 2026-04-30.