SkyDelay logoSkyDelay
Divulgación responsable bienvenida

Seguridad en SkyDelay

Nuestros clientes nos confían datos bancarios, documentos de identidad y datos de viaje. Nos tomamos esa responsabilidad en serio. Esta página explica cómo protegemos su información y cómo los investigadores pueden divulgar problemas de seguridad.

Reportar una vulnerabilidad

Si cree que ha encontrado una vulnerabilidad de seguridad en algún sistema de SkyDelay, repórtela antes de divulgarla públicamente. Nos comprometemos a:

  • Acusar recibo de su reporte en 2 días laborables.
  • Proporcionar una evaluación inicial en 7 días naturales.
  • Mantenerle informado del progreso.
  • Acreditarle en nuestro hall of fame (si lo desea) una vez resuelto.
  • No emprender acciones legales contra investigadores de buena fe.
Email
security@skydelay.org
security.txt
/.well-known/security.txt

Dentro del alcance

  • skydelay.org y cualquier subdominio que operemos.
  • El formulario de reclamación público y el portal del cliente.
  • Vulnerabilidades de autenticación, autorización e IDOR.
  • Vulnerabilidades del lado servidor (SSRF, RCE, inyección SQL, inyección NoSQL).
  • Exposición de datos sensibles (PII, IBAN, pagos, IDs).
  • Cross-site scripting, CSRF, control de acceso roto.

Fuera del alcance

  • Ingeniería social del personal o clientes.
  • Pruebas de denegación de servicio, fuerza bruta o rate-limit en producción.
  • Reportes de cabeceras de mejores prácticas faltantes sin exploit funcional.
  • Spam o inyección de contenido que requiera interacción del usuario bajo control del atacante.
  • Servicios de terceros (Stripe, Vercel, MongoDB Atlas) — repórtelos directamente.

Cómo protegemos los datos

  • En tránsito: TLS 1.3 obligatorio en todos los subdominios; HSTS con max-age de 2 años y preload.
  • En reposo: Cifrado AES-256 para documentos (DNI, tarjeta de embarque, recibos) y campos PII en MongoDB.
  • Control de acceso: Acceso por roles con mínimo privilegio, MFA obligatoria para todo el personal, acciones admin auditadas.
  • Limitación de tasa: Límites de tasa por IP y por PNR en cada endpoint público de escritura.
  • Autorización por token: Los tokens de reanudación están firmados con HMAC y vinculados a la reclamación.
  • Validación IBAN: Validación mod-97 en cada actualización de datos bancarios.
  • Registros de auditoría: Cada cambio de estado y acción admin se escribe en una línea de tiempo de solo anexado.
  • Pruebas de penetración: Pentest externo anual, revisión de seguridad interna antes de cada release.

RGPD y minimización de datos

Recopilamos sólo los datos personales estrictamente necesarios para gestionar su reclamación y los eliminamos en la primera de las siguientes: (i) su solicitud por escrito, o (ii) el final del periodo de conservación aplicable según la Ley albanesa nº 9887/2008 y el artículo 6(1)(b) del RGPD. Las copias de seguridad se purgan al mismo ritmo.

Hall of fame

Acreditamos públicamente a los investigadores que reportan vulnerabilidades válidas. Si quiere aparecer, incluya su alias preferido y un enlace en su reporte.

Aún no hay reportes listados — sea el primero.

Última actualización: 2026-06-04.