SkyDelay logoSkyDelay
Vastuullinen julkistus tervetullut

Turvallisuus SkyDelay-palvelussa

Asiakkaamme luottavat meille pankkitiedot, henkilöllisyysasiakirjat ja matkatiedot. Otamme tämän vastuun vakavasti. Tämä sivu kuvaa, miten suojaamme tietojasi ja miten tutkijat voivat raportoida tietoturvaongelmista vastuullisesti.

Ilmoita haavoittuvuudesta

Jos uskot löytäneesi tietoturvaaukon SkyDelay-järjestelmästä, ilmoita siitä meille ennen julkista paljastusta. Sitoudumme:

  • Vahvistamaan ilmoituksesi 2 työpäivän kuluessa.
  • Antamaan alustavan arvion 7 kalenteripäivän kuluessa.
  • Pitämään sinut ajan tasalla edistymisestä.
  • Mainitsemaan sinut hall of famessamme (jos haluat) korjauksen jälkeen.
  • Olemaan ryhtymättä oikeustoimiin vilpittömästi toimivia tutkijoita vastaan.
Sähköposti
security@skydelay.org
security.txt
/.well-known/security.txt

Soveltamisalassa

  • skydelay.org ja kaikki ylläpitämämme alidomeinit.
  • Julkinen vaatimuslomake ja asiakasportaali.
  • Tunnistautumis-, valtuutus- ja IDOR-haavoittuvuudet.
  • Palvelinpuolen haavoittuvuudet (SSRF, RCE, SQL-injektio, NoSQL-injektio).
  • Arkaluonteisten tietojen paljastuminen (PII, IBAN, maksut, ID:t).
  • Cross-site scripting, CSRF, rikkinäinen pääsynvalvonta.

Soveltamisalan ulkopuolella

  • Henkilöstön tai asiakkaiden manipulointi.
  • Palvelunesto-, brute-force- tai rate-limit-testit tuotannossa.
  • Ilmoitukset puuttuvista best-practice-otsikoista ilman toimivaa exploitia.
  • Spam tai sisällön injektointi, joka vaatii hyökkääjän hallinnassa olevan käyttäjän vuorovaikutusta.
  • Kolmannet osapuolet (Stripe, Vercel, MongoDB Atlas) — ilmoita suoraan heille.

Miten suojaamme tietoja

  • Siirrettäessä: TLS 1.3 pakotettu kaikilla alidomeineilla; HSTS 2 vuoden max-age:lla ja preloadilla.
  • Levossa: AES-256-salaus dokumenteille (ID, tarkastuskortti, kuitit) ja PII-kentille MongoDB:ssä.
  • Pääsynvalvonta: Roolipohjainen pääsy pienimmällä etuoikeudella, MFA pakollinen koko henkilöstölle, auditoidut admin-toiminnot.
  • Nopeusrajoitus: IP- ja PNR-kohtaiset rate-limitit jokaisessa julkisessa kirjoituspäätepisteessä.
  • Token-pohjainen valtuutus: Jatkamis-tokenit on HMAC-allekirjoitettu ja sidottu tiettyyn vaatimukseen.
  • IBAN-validointi: Mod-97-tarkistussumma jokaisessa pankkitietopäivityksessä.
  • Auditointilokit: Jokainen tilamuutos ja admin-toiminto kirjoitetaan vain-lisäys-aikajanalle.
  • Penetraatiotestit: Vuosittainen kolmannen osapuolen pentest, sisäinen pre-release-turvallisuusarvio.

GDPR ja tietojen minimointi

Keräämme vain henkilötiedot, jotka ovat ehdottomasti välttämättömiä vaatimuksesi käsittelyyn, ja poistamme ne aiemmasta: (i) kirjallinen pyyntösi, tai (ii) sovellettavan säilytysajan päättyminen Albanian lain nro 9887/2008 ja GDPR-artikla 6(1)(b) mukaisesti. Varmuuskopiot karsitaan saman aikataulun mukaisesti.

Hall of fame

Mainitsemme julkisesti tutkijat, jotka raportoivat aitoja haavoittuvuuksia. Jos haluat listattavan, mainitse raportissasi suosikkinimimerkki ja linkki.

Ei vielä raportteja — ole ensimmäinen.

Viimeksi päivitetty: 2026-06-04.