SkyDelay logoSkyDelay
Divulgação responsável bem-vinda

Segurança na SkyDelay

Os nossos clientes confiam-nos dados bancários, documentos de identificação e dados de viagem. Levamos essa responsabilidade a sério. Esta página descreve como protegemos a sua informação e como os investigadores podem divulgar problemas de segurança de forma responsável.

Reportar uma vulnerabilidade

Se acredita ter encontrado uma vulnerabilidade de segurança em algum sistema SkyDelay, reporte-a antes de a divulgar publicamente. Comprometemo-nos a:

  • Confirmar o seu relatório em 2 dias úteis.
  • Fornecer uma avaliação inicial em 7 dias corridos.
  • Mantê-lo informado sobre o progresso da resolução.
  • Creditá-lo no nosso hall of fame (se desejar) após a correção.
  • Não tomar medidas legais contra investigadores de boa-fé.
Email
security@skydelay.org
security.txt
/.well-known/security.txt

No âmbito

  • skydelay.org e qualquer subdomínio que operemos.
  • O formulário público de reclamação e o portal do cliente.
  • Vulnerabilidades de autenticação, autorização e IDOR.
  • Vulnerabilidades do lado servidor (SSRF, RCE, injeção SQL, injeção NoSQL).
  • Exposição de dados sensíveis (PII, IBAN, pagamentos, IDs).
  • Cross-site scripting, CSRF, controlo de acesso quebrado.

Fora do âmbito

  • Engenharia social de pessoal ou clientes.
  • Testes de denial-of-service, brute-force ou rate-limit em produção.
  • Relatos de cabeçalhos best-practice ausentes sem exploit funcional.
  • Spam ou injeção de conteúdo que exige interação do utilizador sob controlo do atacante.
  • Serviços terceiros (Stripe, Vercel, MongoDB Atlas) — reporte diretamente a eles.

Como protegemos os dados

  • Em trânsito: TLS 1.3 forçado em todos os subdomínios; HSTS com max-age de 2 anos e preload.
  • Em repouso: Encriptação AES-256 para documentos (ID, cartão de embarque, recibos) e campos PII no MongoDB.
  • Controlo de acesso: Acesso baseado em funções com privilégio mínimo, MFA obrigatória para todo o pessoal, ações admin auditadas.
  • Limitação de taxa: Limites por IP e por PNR em cada endpoint público de escrita.
  • Autorização por token: Tokens de retoma são assinados por HMAC e ligados ao pedido específico.
  • Validação IBAN: Checksum mod-97 em cada atualização de dados bancários.
  • Logs de auditoria: Cada alteração de estado e ação admin é escrita numa timeline imutável.
  • Testes de penetração: Pentest externo anual, revisão de segurança interna antes de cada release.

RGPD e minimização de dados

Recolhemos apenas os dados pessoais estritamente necessários para tratar o seu pedido e eliminamo-los na primeira das seguintes datas: (i) seu pedido por escrito, ou (ii) fim do período de conservação aplicável nos termos da Lei albanesa n.º 9887/2008 e do artigo 6.º (1)(b) do RGPD. Os backups são purgados no mesmo ritmo.

Hall of fame

Creditamos publicamente os investigadores que reportam vulnerabilidades válidas. Para ser listado, inclua o seu alias preferido e um link no relatório.

Nenhum relatório ainda — seja o primeiro.

Última atualização: 2026-06-04.