SkyDelay logoSkyDelay
Ansvarlig offentliggørelse velkommen

Sikkerhed hos SkyDelay

Vores kunder betror os bankoplysninger, ID-dokumenter og rejsedata. Vi tager det ansvar alvorligt. Denne side beskriver, hvordan vi beskytter dine oplysninger, og hvordan forskere kan rapportere sikkerhedsproblemer ansvarligt.

Rapportér en sårbarhed

Hvis du mener at have fundet en sikkerhedssårbarhed i et SkyDelay-system, så rapportér det til os, før du offentliggør det. Vi forpligter os til at:

  • Bekræfte din rapport inden for 2 arbejdsdage.
  • Give en indledende vurdering inden for 7 kalenderdage.
  • Holde dig informeret om fremskridtet mod en løsning.
  • Kreditere dig i vores hall of fame (hvis du ønsker det), når problemet er løst.
  • Ikke at forfølge juridiske skridt mod forskere, der handler i god tro.
E-mail
security@skydelay.org
security.txt
/.well-known/security.txt

Inden for omfang

  • skydelay.org og ethvert underdomæne, vi driver.
  • Det offentlige kravformular og kundeportalen.
  • Godkendelses-, autorisations- og IDOR-sårbarheder.
  • Server-side-sårbarheder (SSRF, RCE, SQL-injektion, NoSQL-injektion).
  • Eksponering af følsomme data (PII, IBAN, betalinger, ID'er).
  • Cross-site scripting, CSRF, brudt adgangskontrol.

Uden for omfang

  • Social engineering af medarbejdere eller kunder.
  • Denial-of-service, brute-force eller rate-limit-test i produktion.
  • Rapporter om manglende best-practice-headers uden et fungerende exploit.
  • Spam eller indholdsinjektion, der kræver brugerinteraktion under angriberkontrol.
  • Tredjepartstjenester (Stripe, Vercel, MongoDB Atlas) — rapportér direkte til dem.

Hvordan vi beskytter data

  • Under transport: TLS 1.3 påkrævet på alle underdomæner; HSTS med 2-årig max-age og preload.
  • I hvile: AES-256-kryptering for dokumenter (ID, boarding pass, kvitteringer) og PII-felter i MongoDB.
  • Adgangskontrol: Rollebaseret adgang med mindst privilegium, MFA påkrævet for hele personalet, reviderede admin-handlinger.
  • Rate-begrænsning: Pr.-IP- og pr.-PNR-rate-limits på hvert offentligt skriveendpoint.
  • Token-baseret autorisation: Genoptagelses-tokens er HMAC-signerede og bundet til den specifikke sag.
  • IBAN-validering: Mod-97-tjeksum ved hver bankdataopdatering.
  • Audit-logs: Hver statusændring og admin-handling skrives til en append-only-tidslinje.
  • Penetrationstest: Årlig tredjeparts-pentest, intern pre-release-sikkerhedsgennemgang.

GDPR & dataminimering

Vi indsamler kun de personoplysninger, der er strengt nødvendige for at behandle din sag, og sletter dem ved det første af: (i) din skriftlige anmodning, eller (ii) udløbet af den gældende opbevaringsperiode i henhold til albansk lov nr. 9887/2008 og artikel 6(1)(b) GDPR. Backups beskæres efter samme tidsplan.

Hall of fame

Vi krediterer offentligt forskere, der rapporterer gyldige sårbarheder. Hvis du ønsker at blive listet, så inkludér dit foretrukne handle og et link i din rapport.

Ingen rapporter endnu — vær den første.

Sidst opdateret: 2026-06-04.