SkyDelay logoSkyDelay
Divulgazione responsabile benvenuta

Sicurezza in SkyDelay

I nostri clienti ci affidano dati bancari, documenti d'identità e dati di viaggio. Prendiamo questa responsabilità sul serio. Questa pagina descrive come proteggiamo i tuoi dati e come i ricercatori possono divulgare responsabilmente problemi di sicurezza.

Segnalare una vulnerabilità

Se ritiene di aver trovato una vulnerabilità di sicurezza in un sistema SkyDelay, ci segnali il problema prima di divulgarlo pubblicamente. Ci impegniamo a:

  • Confermare la sua segnalazione entro 2 giorni lavorativi.
  • Fornire una valutazione iniziale entro 7 giorni di calendario.
  • Tenerla informata sui progressi della risoluzione.
  • Riconoscerla nella nostra hall of fame (se desidera) dopo la correzione.
  • Non intentare azioni legali contro ricercatori in buona fede.
Email
security@skydelay.org
security.txt
/.well-known/security.txt

Nel perimetro

  • skydelay.org e qualsiasi sottodominio che gestiamo.
  • Il modulo di richiesta pubblico e il portale clienti.
  • Vulnerabilità di autenticazione, autorizzazione e IDOR.
  • Vulnerabilità lato server (SSRF, RCE, SQL injection, NoSQL injection).
  • Esposizione di dati sensibili (PII, IBAN, pagamenti, documenti).
  • Cross-site scripting, CSRF, controllo accessi compromesso.

Fuori perimetro

  • Ingegneria sociale di personale o clienti.
  • Test di denial-of-service, brute-force o rate-limit in produzione.
  • Segnalazioni di header best-practice mancanti senza exploit funzionante.
  • Spam o injection di contenuti che richiedono interazione utente sotto controllo dell'attaccante.
  • Servizi terzi (Stripe, Vercel, MongoDB Atlas) — segnali direttamente a loro.

Come proteggiamo i dati

  • In transito: TLS 1.3 applicato su tutti i sottodomini; HSTS con max-age di 2 anni e preload.
  • A riposo: Cifratura AES-256 per documenti (ID, carta d'imbarco, ricevute) e campi PII in MongoDB.
  • Controllo accessi: Accesso basato su ruoli con minimo privilegio, MFA richiesta per tutto il personale, azioni admin tracciate.
  • Limitazione frequenza: Limiti per IP e per PNR su ogni endpoint pubblico in scrittura.
  • Autorizzazione tramite token: Token di ripresa firmati HMAC e legati alla specifica richiesta.
  • Validazione IBAN: Checksum mod-97 ad ogni aggiornamento dei dati bancari.
  • Log di audit: Ogni cambio di stato e azione admin viene scritto in una timeline immutabile.
  • Penetration test: Pentest annuale di terze parti, revisione di sicurezza interna prima di ogni release.

GDPR e minimizzazione dei dati

Raccogliamo solo i dati personali strettamente necessari per gestire la sua richiesta e li cancelliamo al primo tra: (i) sua richiesta scritta, o (ii) la fine del periodo di conservazione applicabile secondo la Legge albanese n. 9887/2008 e l'articolo 6(1)(b) GDPR. I backup vengono purgati con lo stesso ritmo.

Hall of fame

Riconosciamo pubblicamente i ricercatori che segnalano vulnerabilità valide. Per essere elencato, includa il suo handle preferito e un link nella segnalazione.

Nessuna segnalazione ancora elencata — sia il primo.

Ultimo aggiornamento: 2026-06-04.