SkyDelay logoSkyDelay
Ansvarlig avsløring velkommen

Sikkerhet hos SkyDelay

Våre kunder betror oss bankopplysninger, ID-dokumenter og reisedata. Vi tar det ansvaret alvorlig. Denne siden beskriver hvordan vi beskytter informasjonen din og hvordan forskere kan rapportere sikkerhetsproblemer ansvarlig.

Rapportér en sårbarhet

Hvis du mener du har funnet en sikkerhetssårbarhet i et SkyDelay-system, vennligst rapporter den til oss før du offentliggjør den. Vi forplikter oss til å:

  • Bekrefte rapporten din innen 2 virkedager.
  • Gi en innledende vurdering innen 7 kalenderdager.
  • Holde deg informert om fremdrift mot løsning.
  • Kreditere deg i vår hall of fame (hvis du ønsker) etter at saken er løst.
  • Ikke å forfølge rettslige skritt mot forskere som handler i god tro.
E-post
security@skydelay.org
security.txt
/.well-known/security.txt

I omfang

  • skydelay.org og enhver subdomene vi opererer.
  • Det offentlige kravsskjemaet og kundeportalen.
  • Autentiserings-, autoriserings- og IDOR-sårbarheter.
  • Server-side-sårbarheter (SSRF, RCE, SQL-injeksjon, NoSQL-injeksjon).
  • Eksponering av sensitive data (PII, IBAN, betalinger, ID).
  • Cross-site scripting, CSRF, brutt tilgangskontroll.

Utenfor omfang

  • Sosial manipulering av ansatte eller kunder.
  • Denial-of-service-, brute-force- eller rate-limit-tester i produksjon.
  • Rapporter om manglende best-practice-headere uten fungerende exploit.
  • Spam eller innholdsinjeksjon som krever brukerinteraksjon under angriperkontroll.
  • Tredjepartstjenester (Stripe, Vercel, MongoDB Atlas) — rapporter direkte til dem.

Hvordan vi beskytter data

  • Under transport: TLS 1.3 håndhevet på alle subdomener; HSTS med 2-årig max-age og preload.
  • I ro: AES-256-kryptering for dokumenter (ID, boarding pass, kvitteringer) og PII-felter i MongoDB.
  • Tilgangskontroll: Rollebasert tilgang med minste privilegium, MFA påkrevd for alle ansatte, reviderte admin-handlinger.
  • Hastighetsbegrensning: Pr.-IP- og pr.-PNR-rate-limits på hvert offentlig skrive-endepunkt.
  • Token-basert autorisering: Gjenopptakelses-tokener er HMAC-signerte og bundet til den spesifikke saken.
  • IBAN-validering: Mod-97-kontrollsum ved hver oppdatering av bankdetaljer.
  • Revisjonslogger: Hver statusendring og admin-handling skrives til en append-only-tidslinje.
  • Penetrasjonstester: Årlig tredjeparts-pentest, intern pre-release-sikkerhetsgjennomgang.

GDPR & dataminimering

Vi samler kun inn personopplysninger som er strengt nødvendig for å håndtere saken din, og sletter dem ved det første av: (i) din skriftlige forespørsel, eller (ii) slutten av gjeldende oppbevaringsperiode i henhold til albansk lov nr. 9887/2008 og artikkel 6(1)(b) GDPR. Sikkerhetskopier renses i samme rytme.

Hall of fame

Vi krediterer offentlig forskere som rapporterer gyldige sårbarheter. Hvis du ønsker å bli listet, inkluder ditt foretrukne håndtak og en lenke i rapporten.

Ingen rapporter ennå — vær den første.

Sist oppdatert: 2026-06-04.