SkyDelay logoSkyDelay
Verantwoorde openbaarmaking welkom

Beveiliging bij SkyDelay

Onze klanten vertrouwen ons bankgegevens, ID-documenten en reisgegevens toe. Die verantwoordelijkheid nemen we serieus. Deze pagina beschrijft hoe we uw gegevens beschermen en hoe onderzoekers beveiligingsproblemen verantwoord kunnen melden.

Een kwetsbaarheid melden

Als u denkt een beveiligingsprobleem in een SkyDelay-systeem te hebben gevonden, meld het ons dan voordat u het openbaar maakt. Wij verbinden ons tot:

  • Bevestiging van uw melding binnen 2 werkdagen.
  • Een initiële beoordeling binnen 7 kalenderdagen.
  • U informeren over de voortgang van de oplossing.
  • U vermelden in onze hall of fame (indien gewenst) nadat het probleem is verholpen.
  • Geen juridische stappen tegen onderzoekers die te goeder trouw handelen.
E-mail
security@skydelay.org
security.txt
/.well-known/security.txt

In scope

  • skydelay.org en elke subdomein dat wij beheren.
  • Het openbare claimformulier en het klantportaal.
  • Authenticatie-, autorisatie- en IDOR-kwetsbaarheden.
  • Server-side kwetsbaarheden (SSRF, RCE, SQL-injection, NoSQL-injection).
  • Blootstelling van gevoelige gegevens (PII, IBAN, betalingen, ID's).
  • Cross-site scripting, CSRF, defecte toegangscontrole.

Buiten scope

  • Social engineering van medewerkers of klanten.
  • Denial-of-service, brute-force of rate-limit-tests op productie.
  • Meldingen van ontbrekende best-practice headers zonder werkende exploit.
  • Spam of content-injection die gebruikersinteractie onder aanvallerscontrole vereist.
  • Externe diensten (Stripe, Vercel, MongoDB Atlas) — meld dit direct bij hen.

Hoe wij gegevens beschermen

  • Tijdens transport: TLS 1.3 afgedwongen op alle subdomeinen; HSTS met 2-jarige max-age en preload.
  • In rust: AES-256-encryptie voor documenten (ID, instapkaart, kwitanties) en PII-velden in MongoDB.
  • Toegangscontrole: Rolgebaseerde toegang met minimum-privilegeprincipe, MFA verplicht voor alle medewerkers, gecontroleerde admin-acties.
  • Rate limiting: Limieten per IP en per PNR op elk openbaar wijzigend endpoint.
  • Token-gebaseerde autorisatie: Resume-tokens zijn HMAC-ondertekend en gekoppeld aan de specifieke claim.
  • IBAN-validatie: Mod-97-controle bij elke wijziging van bankgegevens.
  • Audit-logs: Elke statuswijziging en admin-actie wordt vastgelegd in een onveranderlijke tijdlijn.
  • Penetratietests: Jaarlijkse externe pentest, interne pre-release-veiligheidsreview.

AVG & dataminimalisatie

We verzamelen alleen de persoonsgegevens die strikt nodig zijn om uw claim te behandelen en verwijderen ze op het eerste van: (i) uw schriftelijke verzoek, of (ii) het einde van de toepasselijke bewaartermijn onder Albanese wet nr. 9887/2008 en artikel 6(1)(b) AVG. Backups worden in hetzelfde ritme opgeschoond.

Hall of fame

We vermelden onderzoekers die geldige kwetsbaarheden melden publiekelijk. Wilt u op de lijst staan, vermeld dan uw voorkeurshandle en een link in uw melding.

Nog geen meldingen — wees de eerste.

Laatst bijgewerkt: 2026-06-04.