SkyDelay logoSkyDelay
Dezvăluire responsabilă binevenită

Securitate la SkyDelay

Clienții noștri ne încredințează datele bancare, documentele de identitate și datele de călătorie. Luăm această responsabilitate în serios. Această pagină descrie cum vă protejăm informațiile și cum cercetătorii pot raporta responsabil problemele de securitate.

Raportează o vulnerabilitate

Dacă credeți că ați găsit o vulnerabilitate de securitate într-un sistem SkyDelay, vă rugăm să ne-o raportați înainte de a o dezvălui public. Ne angajăm să:

  • Confirmăm raportul dvs. în 2 zile lucrătoare.
  • Furnizăm o evaluare inițială în 7 zile calendaristice.
  • Vă ținem la curent cu progresul către soluție.
  • Vă creditați în hall of fame-ul nostru (dacă doriți) după rezolvare.
  • Nu vom întreprinde acțiuni legale împotriva cercetătorilor care acționează cu bună credință.
Email
security@skydelay.org
security.txt
/.well-known/security.txt

În scop

  • skydelay.org și orice subdomeniu pe care îl operăm.
  • Formularul public de reclamație și portalul clientului.
  • Vulnerabilități de autentificare, autorizare și IDOR.
  • Vulnerabilități server-side (SSRF, RCE, SQL injection, NoSQL injection).
  • Expunere de date sensibile (PII, IBAN, plăți, ID-uri).
  • Cross-site scripting, CSRF, control de acces compromis.

În afara scopului

  • Inginerie socială a personalului sau clienților.
  • Teste denial-of-service, brute-force sau rate-limit în producție.
  • Rapoarte despre antete best-practice lipsă fără exploit funcțional.
  • Spam sau injecție de conținut care necesită interacțiune utilizator sub controlul atacatorului.
  • Servicii terțe (Stripe, Vercel, MongoDB Atlas) — raportați direct la ei.

Cum protejăm datele

  • În tranzit: TLS 1.3 impus pe toate subdomeniile; HSTS cu max-age de 2 ani și preload.
  • În repaus: Criptare AES-256 pentru documente (ID, carte de îmbarcare, chitanțe) și câmpuri PII în MongoDB.
  • Control acces: Acces bazat pe roluri cu privilegiu minim, MFA obligatorie pentru tot personalul, acțiuni admin auditate.
  • Limitare rată: Limite per IP și per PNR pe fiecare endpoint public de scriere.
  • Autorizare bazată pe token: Token-urile de reluare sunt semnate HMAC și legate de reclamația specifică.
  • Validare IBAN: Sumă de control mod-97 la fiecare actualizare a datelor bancare.
  • Jurnale audit: Fiecare schimbare de status și acțiune admin este scrisă într-o cronologie append-only.
  • Teste de penetrare: Pentest anual terță parte, revizuire de securitate internă înainte de fiecare release.

GDPR și minimizarea datelor

Colectăm doar datele personale strict necesare pentru a vă gestiona reclamația și le ștergem la cel mai devreme dintre: (i) cererea dvs. scrisă, sau (ii) sfârșitul perioadei de păstrare aplicabile conform Legii albaneze nr. 9887/2008 și articolului 6(1)(b) GDPR. Backup-urile sunt curățate în același ritm.

Hall of fame

Creditați public cercetătorii care raportează vulnerabilități valide. Pentru a fi listat, includeți pseudonimul preferat și un link în raport.

Nicio raportare încă — fiți primul.

Ultima actualizare: 2026-06-04.