SkyDelay logoSkyDelay
Odpowiedzialne ujawnianie mile widziane

Bezpieczeństwo w SkyDelay

Nasi klienci powierzają nam dane bankowe, dokumenty tożsamości i dane podróży. Traktujemy tę odpowiedzialność poważnie. Ta strona opisuje, jak chronimy Twoje dane i jak badacze mogą odpowiedzialnie zgłaszać problemy bezpieczeństwa.

Zgłoszenie luki bezpieczeństwa

Jeśli uważasz, że znalazłeś lukę bezpieczeństwa w którymkolwiek systemie SkyDelay, zgłoś ją nam przed publicznym ujawnieniem. Zobowiązujemy się do:

  • Potwierdzenia Twojego zgłoszenia w ciągu 2 dni roboczych.
  • Dostarczenia wstępnej oceny w ciągu 7 dni kalendarzowych.
  • Informowania Cię o postępach w rozwiązaniu.
  • Uznania Cię w naszej hall of fame (jeśli chcesz) po naprawie.
  • Niepodjęcia kroków prawnych wobec badaczy działających w dobrej wierze.
E-mail
security@skydelay.org
security.txt
/.well-known/security.txt

W zakresie

  • skydelay.org i każda subdomena, którą obsługujemy.
  • Publiczny formularz roszczenia i portal klienta.
  • Luki uwierzytelnienia, autoryzacji i IDOR.
  • Luki po stronie serwera (SSRF, RCE, SQL injection, NoSQL injection).
  • Wyciek danych wrażliwych (PII, IBAN, dane płatności, ID).
  • Cross-site scripting, CSRF, naruszenie kontroli dostępu.

Poza zakresem

  • Inżynieria społeczna pracowników lub klientów.
  • Testy denial-of-service, brute-force lub rate-limit w produkcji.
  • Zgłoszenia braku nagłówków best-practice bez działającego exploita.
  • Spam lub injection treści wymagający interakcji użytkownika pod kontrolą atakującego.
  • Usługi zewnętrzne (Stripe, Vercel, MongoDB Atlas) — zgłaszaj im bezpośrednio.

Jak chronimy dane

  • W tranzycie: TLS 1.3 wymuszony na wszystkich subdomenach; HSTS z 2-letnim max-age i preload.
  • W spoczynku: Szyfrowanie AES-256 dla dokumentów (ID, karta pokładowa, paragony) i pól PII w MongoDB.
  • Kontrola dostępu: Dostęp oparty na rolach z najmniejszymi uprawnieniami, MFA wymagane dla całego personelu, audytowane akcje admin.
  • Ograniczenie szybkości: Limity per IP i per PNR na każdym publicznym endpoint piszącym.
  • Autoryzacja tokenowa: Tokeny wznowienia są podpisane HMAC i powiązane z konkretnym roszczeniem.
  • Walidacja IBAN: Suma kontrolna mod-97 przy każdej aktualizacji danych bankowych.
  • Dzienniki audytu: Każda zmiana statusu i akcja admin jest zapisywana w append-only timeline.
  • Testy penetracyjne: Coroczny zewnętrzny pentest, wewnętrzna recenzja bezpieczeństwa przed każdym release.

RODO i minimalizacja danych

Zbieramy wyłącznie dane osobowe ściśle niezbędne do obsługi Twojego roszczenia i usuwamy je w pierwszym z: (i) Twojej pisemnej prośby, lub (ii) końca obowiązującego okresu przechowywania zgodnie z albańską ustawą nr 9887/2008 i artykułem 6(1)(b) RODO. Kopie zapasowe są usuwane w tym samym rytmie.

Hall of fame

Publicznie wyróżniamy badaczy, którzy zgłaszają ważne luki. Aby zostać dodanym, podaj w zgłoszeniu preferowany nick i link.

Brak zgłoszeń — bądź pierwszy.

Ostatnia aktualizacja: 2026-06-04.