Sécurité chez SkyDelay

Si vous pensez avoir trouvé une vulnérabilité dans un système SkyDelay, veuillez nous la signaler avant toute divulgation publique. Nous nous engageons à :

• Accuser réception de votre rapport sous 2 jours ouvrés.
• Fournir une évaluation initiale sous 7 jours calendaires.
• Vous tenir informé de l'avancement de la résolution.
• Vous créditer dans notre hall of fame (si vous le souhaitez) après correction.
• Ne pas engager d'action en justice contre les chercheurs agissant de bonne foi.

Email

security@skydelay.org

security.txt

/.well-known/security.txt

• skydelay.org et tout sous-domaine que nous exploitons.
• Le formulaire de demande public et le portail client.
• Vulnérabilités d'authentification, d'autorisation et IDOR.
• Vulnérabilités serveur (SSRF, RCE, injection SQL, injection NoSQL).
• Exposition de données sensibles (PII, IBAN, paiements, identifiants).
• Cross-site scripting, CSRF, contrôle d'accès défaillant.

Hors périmètre

• Ingénierie sociale des employés ou clients.
• Tests de déni de service, brute-force ou rate-limit en production.
• Signalements d'en-têtes manquants sans exploit fonctionnel.
• Spam ou injection de contenu nécessitant une interaction sous contrôle de l'attaquant.
• Services tiers (Stripe, Vercel, MongoDB Atlas) — signaler directement à eux.

• En transit: TLS 1.3 appliqué sur tous les sous-domaines ; HSTS avec max-age de 2 ans et preload.
• Au repos: Chiffrement AES-256 pour les documents (pièce d'identité, carte d'embarquement, reçus) et les champs PII en MongoDB.
• Contrôle d'accès: Accès basé sur les rôles au moindre privilège, MFA requise pour tout le personnel, actions admin auditées.
• Limitation de débit: Limites de débit par IP et par PNR sur chaque endpoint public en écriture.
• Autorisation par token: Tokens de reprise signés HMAC et liés à la demande spécifique.
• Validation IBAN: Vérification mod-97 à chaque mise à jour des coordonnées bancaires.
• Journaux d'audit: Chaque changement de statut et action admin est écrit dans une timeline immuable.
• Tests d'intrusion: Pentest annuel externe, revue de sécurité interne avant chaque release.

Nous ne collectons que les données personnelles strictement nécessaires au traitement de votre demande et les supprimons à la première des deux dates suivantes : (i) votre demande écrite, ou (ii) la fin de la période de conservation applicable selon la loi albanaise n° 9887/2008 et l'article 6(1)(b) du RGPD. Les sauvegardes sont purgées au même rythme.

Nous créditons publiquement les chercheurs qui signalent des vulnérabilités valides. Si vous souhaitez être listé, indiquez votre pseudo préféré et un lien dans votre rapport.

Aucun signalement listé pour l'instant — soyez le premier.