SkyDelay logoSkyDelay
Odpovědné zveřejnění vítáno

Bezpečnost ve SkyDelay

Naši zákazníci nám svěřují bankovní údaje, doklady totožnosti a cestovní data. Tuto odpovědnost bereme vážně. Tato stránka popisuje, jak chráníme vaše informace a jak mohou výzkumníci odpovědně nahlásit bezpečnostní problémy.

Nahlásit zranitelnost

Pokud se domníváte, že jste objevili bezpečnostní zranitelnost v některém systému SkyDelay, prosím nahlaste ji nám dříve, než ji veřejně zveřejníte. Zavazujeme se:

  • Potvrdit přijetí vašeho hlášení do 2 pracovních dnů.
  • Poskytnout počáteční hodnocení do 7 kalendářních dnů.
  • Informovat vás o postupu řešení.
  • Uznat vás v naší síni slávy (pokud si přejete) po vyřešení.
  • Nepodnikat právní kroky proti výzkumníkům jednajícím v dobré víře.
E-mail
security@skydelay.org
security.txt
/.well-known/security.txt

V rozsahu

  • skydelay.org a jakákoliv subdoména, kterou provozujeme.
  • Veřejný formulář nároku a zákaznický portál.
  • Zranitelnosti autentizace, autorizace a IDOR.
  • Server-side zranitelnosti (SSRF, RCE, SQL injection, NoSQL injection).
  • Expozice citlivých dat (PII, IBAN, platby, ID).
  • Cross-site scripting, CSRF, narušená kontrola přístupu.

Mimo rozsah

  • Sociální inženýrství zaměstnanců nebo zákazníků.
  • Denial-of-service, brute-force nebo rate-limit testy v produkci.
  • Hlášení chybějících best-practice hlaviček bez funkčního exploitu.
  • Spam nebo injection obsahu vyžadující interakci uživatele pod kontrolou útočníka.
  • Třetí strany (Stripe, Vercel, MongoDB Atlas) — hlaste přímo jim.

Jak chráníme data

  • Při přenosu: TLS 1.3 vynucováno na všech subdoménách; HSTS s 2letým max-age a preloadem.
  • V klidu: Šifrování AES-256 pro dokumenty (ID, palubní lístek, účtenky) a PII pole v MongoDB.
  • Řízení přístupu: Přístup podle rolí s nejmenším privilegiem, MFA vyžadovaná pro veškerý personál, auditované admin akce.
  • Omezení rychlosti: Limity per IP a per PNR na každém veřejném zápisovém endpointu.
  • Autorizace tokenem: Tokeny pro obnovení jsou HMAC-podepsané a vázané ke konkrétnímu nároku.
  • Validace IBAN: Kontrolní součet mod-97 při každé aktualizaci bankovních údajů.
  • Auditní záznamy: Každá změna statusu a admin akce se zapisuje do připojované timeline.
  • Penetrační testy: Roční externí pentest, interní bezpečnostní revize před každým releasem.

GDPR a minimalizace dat

Sbíráme pouze osobní údaje nezbytně nutné pro vyřízení vašeho nároku a mažeme je při dřívějším z: (i) vaší písemné žádosti, nebo (ii) konce platné lhůty pro uchovávání podle albánského zákona č. 9887/2008 a článku 6(1)(b) GDPR. Zálohy jsou mazány ve stejném rytmu.

Síň slávy

Veřejně oceňujeme výzkumníky, kteří hlásí platné zranitelnosti. Pokud chcete být uveden, uveďte v hlášení svou preferovanou přezdívku a odkaz.

Zatím žádné záznamy — buďte první.

Naposledy aktualizováno: 2026-06-04.