SkyDelay logoSkyDelay
Odgovorno otkrivanje dobrodošlo

Sigurnost u SkyDelay

Naši nam klijenti povjeravaju bankovne podatke, identifikacijske dokumente i podatke o putovanjima. Tu odgovornost shvaćamo ozbiljno. Ova stranica opisuje kako štitimo vaše podatke i kako istraživači mogu odgovorno prijaviti sigurnosna pitanja.

Prijavi ranjivost

Ako vjerujete da ste pronašli sigurnosnu ranjivost u bilo kojem sustavu SkyDelay, prijavite je nama prije javnog otkrivanja. Obvezujemo se na:

  • Potvrdu vaše prijave u roku od 2 radna dana.
  • Početnu procjenu u roku od 7 kalendarskih dana.
  • Obavještavanje o napretku rješenja.
  • Priznanje u našoj kući slavnih (ako želite) nakon rješavanja.
  • Neće poduzimati pravne radnje protiv istraživača koji djeluju u dobroj vjeri.
E-pošta
security@skydelay.org
security.txt
/.well-known/security.txt

U opsegu

  • skydelay.org i svaka poddomena koju upravljamo.
  • Javni obrazac zahtjeva i korisnički portal.
  • Ranjivosti autentifikacije, autorizacije i IDOR.
  • Server-side ranjivosti (SSRF, RCE, SQL injection, NoSQL injection).
  • Izloženost osjetljivih podataka (PII, IBAN, plaćanja, ID).
  • Cross-site scripting, CSRF, narušena kontrola pristupa.

Izvan opsega

  • Socijalni inženjering osoblja ili klijenata.
  • Denial-of-service, brute-force ili rate-limit testovi na produkciji.
  • Prijave nedostajućih best-practice zaglavlja bez radnog exploita.
  • Spam ili injekcija sadržaja koja zahtijeva interakciju korisnika pod kontrolom napadača.
  • Usluge trećih strana (Stripe, Vercel, MongoDB Atlas) — prijavite izravno njima.

Kako štitimo podatke

  • U prijenosu: TLS 1.3 prisilan na svim poddomenama; HSTS s 2-godišnjim max-age i preloadom.
  • U mirovanju: AES-256 enkripcija za dokumente (ID, ukrcajna karta, računi) i PII polja u MongoDB.
  • Kontrola pristupa: Pristup zasnovan na ulogama s najmanjim privilegijama, MFA obavezna za sve osoblje, revidirane admin radnje.
  • Ograničavanje brzine: Limiti po IP-u i po PNR-u na svakoj javnoj endpoint za pisanje.
  • Autorizacija temeljena na tokenu: Tokeni nastavka su HMAC potpisani i povezani s određenim zahtjevom.
  • Validacija IBAN: Mod-97 kontrolna suma pri svakom ažuriranju bankovnih podataka.
  • Revizijski zapisi: Svaka promjena statusa i admin radnja zapisuje se u nepromjenjivu vremensku liniju.
  • Testovi penetracije: Godišnji vanjski pentest, interna sigurnosna recenzija prije svakog izdanja.

GDPR i minimizacija podataka

Prikupljamo samo osobne podatke strogo potrebne za obradu vašeg zahtjeva i brišemo ih u ranijem od: (i) vaš pisani zahtjev, ili (ii) kraj važećeg razdoblja čuvanja prema albanskom Zakonu br. 9887/2008 i članku 6(1)(b) GDPR. Sigurnosne kopije čiste se istim ritmom.

Kuća slavnih

Javno priznajemo istraživače koji prijavljuju valjane ranjivosti. Za uvrštavanje uključite preferirani nadimak i poveznicu u izvještaju.

Još nema prijava — budite prvi.

Posljednje ažuriranje: 2026-06-04.