SkyDelay logoSkyDelay
Отговорно разкриване добре дошло

Сигурност в SkyDelay

Нашите клиенти ни поверяват банкови данни, документи за самоличност и пътни данни. Приемаме тази отговорност сериозно. Тази страница описва как защитаваме информацията ви и как изследователите могат отговорно да докладват проблеми със сигурността.

Докладвай уязвимост

Ако смятате, че сте намерили уязвимост в сигурността на някоя система на SkyDelay, моля докладвайте ни преди публично разкриване. Задължаваме се:

  • Да потвърдим доклада ви в рамките на 2 работни дни.
  • Да предоставим първоначална оценка в рамките на 7 календарни дни.
  • Да ви информираме за напредъка към решение.
  • Да ви признаем в нашата зала на славата (ако желаете) след отстраняване.
  • Да не предприемаме правни действия срещу изследователи, действащи добросъвестно.
Имейл
security@skydelay.org
security.txt
/.well-known/security.txt

В обхвата

  • skydelay.org и всеки поддомейн, който управляваме.
  • Публичният формуляр за искания и клиентският портал.
  • Уязвимости в удостоверяване, оторизация и IDOR.
  • Сървърни уязвимости (SSRF, RCE, SQL инжекция, NoSQL инжекция).
  • Излагане на чувствителни данни (PII, IBAN, плащания, ID).
  • Cross-site scripting, CSRF, нарушен контрол на достъпа.

Извън обхвата

  • Социално инженерство на персонал или клиенти.
  • Денайъл-ъв-сървис, брут-форс или rate-limit тестове в производство.
  • Доклади за липсващи best-practice хедъри без работещ exploit.
  • Спам или инжекция на съдържание, изискваща потребителско взаимодействие под контрола на атакуващия.
  • Услуги на трети страни (Stripe, Vercel, MongoDB Atlas) — докладвайте директно на тях.

Как защитаваме данните

  • При преноса: TLS 1.3 наложен на всички поддомейни; HSTS с 2-годишен max-age и preload.
  • В покой: AES-256 криптиране за документи (ID, бордна карта, разписки) и PII полета в MongoDB.
  • Контрол на достъпа: Достъп базиран на роли с минимални привилегии, MFA задължителен за целия персонал, одитирани admin действия.
  • Ограничение на скоростта: Лимити на IP и PNR във всеки публичен записващ endpoint.
  • Базирана на токени оторизация: Възобновяващите токени са HMAC-подписани и обвързани с конкретното искане.
  • Валидация на IBAN: Mod-97 контролна сума при всяко обновяване на банкови данни.
  • Одитни логове: Всяка промяна на статус и admin действие се записва в неизменяема времева линия.
  • Тестове за проникване: Годишен външен pentest, вътрешен преглед на сигурността преди всеки релиз.

GDPR и минимизация на данните

Събираме само лични данни, които са строго необходими за обработка на вашето искане, и ги изтриваме при по-ранното от: (i) ваше писмено искане, или (ii) края на приложимия период на съхранение съгласно албански закон № 9887/2008 и член 6(1)(b) GDPR. Резервните копия се изчистват в същия ритъм.

Зала на славата

Публично признаваме изследователи, които докладват валидни уязвимости. За да бъдете включени, посочете предпочитания псевдоним и линк в доклада.

Все още няма доклади — бъдете първите.

Последна актуализация: 2026-06-04.