SkyDelay logoSkyDelay
Одговорно откривање добредојдено

Безбедност во SkyDelay

Нашите клиенти ни доверуваат банкарски податоци, документи за идентификација и податоци за патување. Сериозно ја сфаќаме таа одговорност. Оваа страница опишува како ги штитиме вашите информации и како истражувачите можат одговорно да пријавуваат безбедносни проблеми.

Пријави ранливост

Ако сметате дека сте нашле безбедносна ранливост во некој систем на SkyDelay, ве молиме пријавете ни ја пред јавно откривање. Се обврзуваме да:

  • Го потврдиме вашиот извештај во рок од 2 работни дена.
  • Дадеме почетна проценка во рок од 7 календарски дена.
  • Ве известуваме за напредокот кон решение.
  • Ве кредитираме во нашата зала на слава (по желба) откако ќе се реши.
  • Да не преземаме правни мерки против истражувачи кои дејствуваат во добра волја.
Е-пошта
security@skydelay.org
security.txt
/.well-known/security.txt

Во опсег

  • skydelay.org и секој поддомен што го управуваме.
  • Јавниот образец за барање и клиентскиот портал.
  • Ранливости на автентикација, авторизација и IDOR.
  • Серверски ранливости (SSRF, RCE, SQL injection, NoSQL injection).
  • Изложување на чувствителни податоци (PII, IBAN, плаќања, ID).
  • Cross-site scripting, CSRF, нарушена контрола на пристап.

Надвор од опсег

  • Социјален инженеринг на персонал или клиенти.
  • Denial-of-service, brute-force или rate-limit тестови на продукција.
  • Извештаи за недостатоци на best-practice заглавија без функционален exploit.
  • Spam или injection на содржина што бара интеракција на корисникот под контрола на напаѓачот.
  • Услуги од трети страни (Stripe, Vercel, MongoDB Atlas) — пријавете директно кај нив.

Како ги штитиме податоците

  • Во транзит: TLS 1.3 наметнат на сите поддомени; HSTS со 2-годишен max-age и preload.
  • Во мирување: AES-256 енкрипција за документи (ID, бординг карта, признаници) и PII полиња во MongoDB.
  • Контрола на пристап: Пристап заснован на улоги со најмала привилегија, MFA задолжителна за целиот персонал, ревидирани admin акции.
  • Ограничување на брзината: Лимити по IP и по PNR на секој јавен endpoint за запис.
  • Авторизација базирана на токен: Resume токените се HMAC потпишани и врзани за конкретното барање.
  • Валидација на IBAN: Mod-97 контролна сума при секое ажурирање на банкарски детали.
  • Аудит логови: Секоја промена на статус и admin акција се запишува во неменлива временска линија.
  • Тестови за пенетрација: Годишен надворешен pentest, внатрешна безбедносна ревизија пред секое издание.

GDPR и минимизација на податоци

Собираме само лични податоци строго потребни за обработка на вашето барање и ги бришеме при поранешното од: (i) вашето писмено барање, или (ii) крајот на применливиот период на чување според албанскиот Закон бр. 9887/2008 и член 6(1)(b) GDPR. Резервните копии се чистат по истиот ритам.

Зала на слава

Јавно ги признаваме истражувачите кои пријавуваат валидни ранливости. За да бидете наведени, вклучете го преферираниот прекар и линк во вашиот извештај.

Сè уште нема извештаи — бидете први.

Последно ажурирано: 2026-06-04.