Kayıt tutmayan (no-logs) VPN nedir? Denetlenen sağlayıcılar, bağımsız raporlar ve gerçek bir iddiayı pazarlamadan ayırma yöntemi
Kayıt tutmayan bir VPN, bir kullanıcıyı tanımlayabilecek trafiği, DNS verilerini veya bağlantı meta verilerini kaydetmeyen bir hizmettir. İddia ancak bağımsız bir denetçi gerçek altyapıyı incelemişse anlam taşır. Farkı şöyle anlarsınız.
"No-logs" gerçekte ne anlama gelir
Kayıt tutmayan bir VPN, trafiği, DNS sorgularını, IP adreslerini veya tek bir kullanıcıya kadar izlenebilecek bağlantı zaman damgalarını kaydetmemeyi taahhüt eden bir sağlayıcıdır. 'No-logs' teriminin kendisinin yasal bir tanımı yoktur. Her VPN ana sayfası bunu kullanır. İddia ancak bağımsız bir denetçi gerçek sunucu filosunu ve yapılandırmasını incelediğinde — ve rapor yayımlandığında — anlamlı hale gelir. 2026 itibarıyla, ele aldığımız beş büyük ücretli VPN'in (Mullvad, Proton VPN, NordVPN, ExpressVPN, Surfshark) tamamı bağımsız denetimler yayımlamıştır.
Yayımlanan denetimler gerçekte neyi kapsıyor
Mullvad'ın en son denetimi Cure53 tarafından yapıldı ve 3-14 Haziran 2024 tarihleri arasında yürütüldü (toplamda dördüncü denetim, Cure53 ile ikincisi). Bu, Mullvad'ın üretim filosundan bir OpenVPN ve bir WireGuard sunucusunu kapsayan bir altyapı denetimidir. Proton VPN, Securitum tarafından yapılan dört ardışık no-logs denetimini geçti (2022, 2023, 2024, 2025). NordVPN, ISAE 3000 standardına göre altı bağımsız no-logs denetiminden geçti: PwC 2018, PwC 2020, Deloitte 2022, 2023, 2024, 2025. ExpressVPN'in Trust Center'ı 23 yayımlanmış denetim listeler; en sonuncusu üçüncü bir KPMG no-logs denetimi (2025) ile Lightway protokolünün Rust ile yeniden yazımına yönelik Cure53/Praetorian denetimleridir (Eyl-Eki 2024). Surfshark'ın ise ISAE 3000 standardına göre 2023 ve 2025 yıllarına ait Deloitte no-logs denetimleri vardır.
Gerçek bir no-logs iddiası nasıl görünür
Üç sinyal gerçek bir no-logs iddiasını pazarlamadan ayırır. Birincisi: yayımlanmış üçüncü taraf bir rapor — basın bülteni şeklinde bir blog yazısı değil, denetçinin adını ve tarihini içeren indirilebilir bir PDF ya da bir Trust Center sayfası. İkincisi: yalnızca istemci uygulamasını değil, altyapıyı da (sunucu düzeyindeki yapılandırmayı) içeren bir denetim kapsamı. Üçüncüsü: ideal olarak, mahkeme kararı yoluyla yapılmış gerçek bir test. Mullvad'ın ofisleri 18 Nisan 2023'te, bir Alman adli yardım talebine dayanan bir arama emri uyarınca İsveç polisi tarafından arandı; Mullvad olayı kamuya açık şekilde belgeledi ve polis hiçbir müşteri verisi almadan ayrıldı, çünkü emirde talep edilen veriler sunucularda mevcut değildi (Mullvad'ın arama emrine ilişkin blog yazısına göre). PureVPN ise 2017'de Ryan Lin siber takip davasında — daha önceki 'no-logs' pazarlamasına rağmen — FBI'a bağlantı kayıtları teslim etti. Bu dava, gerçek yasal zorlama karşısında çürütülen bir pazarlama iddiasının kanonik karşı örneğidir.
Yargı yetkisi, sağlayıcının neyi sakladığından daha az önemlidir
VPN pazarlaması yargı yetkisine büyük önem atfeder. 5 / 9 / 14 Eyes istihbarat ittifakları (ABD, İngiltere, Kanada, Avustralya, Yeni Zelanda + Danimarka, Fransa, Hollanda, Norveç + Almanya, Belçika, İtalya, İsveç, İspanya) gerçektir ve İsveç ya da Hollanda'da kayıtlı bir VPN bunların kapsamına girer. Ancak Eyes dışı bir yargı yetkisinde olup bağlantı kayıtları tutan bir sağlayıcı, herhangi bir yerdeki no-logs bir sağlayıcıdan daha kötüdür. Mullvad (İsveç, 14 Eyes içinde) ve Proton VPN (İsviçre, Eyes dışında) her ikisi de denetlenmiştir; Mullvad baskını, bir no-logs yapılandırmasının haritadaki bir bayraktan daha fazla önem taşıdığını gösterir.
Bir denetim raporu nasıl okunur
Raporu açın ve üç şeye dikkat edin. (1) Kapsam — rapor, denetçinin hangi sunucuları, hangi protokolleri ve hangi zaman dilimini incelediği dahil olmak üzere neyi incelediğini açıklıyor mu? 'Politika incelendi' gibi ayrıntısız genel ifadeler, 'VPN yapılandırma dosyaları ve sunucu yapılandırmaları incelendi' ifadesinden daha zayıftır. (2) Yöntem — Securitum'un Proton için hazırladığı raporlar yerinde bir yapılandırma incelemesini ve personel görüşmelerini anlatır; Deloitte'un NordVPN raporları ISAE 3000'e (denetim görevlerine ilişkin uluslararası standart) atıfta bulunur; Cure53'ün Mullvad raporları üretim sunucularında beyaz kutu güvenlik testlerini tanımlar. (3) Bulgular — her denetim bir şeyler bulur. Mullvad'ın Haziran 2024 Cure53 denetimi iki sorun buldu (biri düşük, biri orta); Praetorian'ın 2024 Lightway denetimi düşük riskli iki sorun buldu. Bulguların varlığı kötü değildir — herhangi bir bulgunun tamamen olmaması şüphe uyandırırdı. Önemli olan şiddet derecesi ve giderilmesidir.
Neyi göz ardı etmeli
Metodolojisini açıklamayan genel 'en gizli VPN' sıralamalarını göz ardı edin. 'Denetimi' sunucuları hiç incelememiş küçük bir danışmanlık firmasından gelen bir mektup olan sağlayıcıları göz ardı edin. Asıl raporu bağlamayan VPN karşılaştırma sitelerini göz ardı edin — raporun bir tarihi ve yayımlayan bir tarafı vardır; bir site onu bağlamıyorsa, iddia doğrulanabilir değildir. Yargı yetkisini birincil sinyal olarak göz ardı edin. Tek güvenilir sinyal yayımlanmış denetim kapsamı ve varsa yasal zorlamaya ilişkin dava geçmişidir.
Kaynaklar
Mullvad denetimi: mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Mullvad 2023 baskını: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Proton denetimleri: protonvpn.com/blog/no-logs-audit. NordVPN denetimleri: nordvpn.com/blog/nordvpn-no-logs-audit-2024. ExpressVPN Trust Center: expressvpn.com/trust. Surfshark denetimi: surfshark.com/blog/deloitte-nologs-policy-verified-again. PureVPN/Lin davası: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Tüm URL'lere 2026-04-30 tarihinde erişildi.