SkyDelay logoSkyDelay
Odgovorno razkritje dobrodošlo

Varnost v SkyDelay

Naše stranke nam zaupajo bančne podatke, identifikacijske dokumente in podatke o potovanjih. To odgovornost jemljemo resno. Ta stran opisuje, kako varujemo vaše podatke in kako lahko raziskovalci odgovorno poročajo o varnostnih težavah.

Prijavi ranljivost

Če menite, da ste odkrili varnostno ranljivost v katerem koli sistemu SkyDelay, jo prosimo prijavite nam pred javnim razkritjem. Zavezujemo se k:

  • Potrditvi vašega poročila v 2 delovnih dneh.
  • Začetni oceni v 7 koledarskih dneh.
  • Obveščanju o napredku k rešitvi.
  • Priznanju v naši dvorani slavnih (če želite) po odpravi.
  • Ne bomo sprožili pravnih ukrepov proti raziskovalcem, ki delujejo v dobri veri.
E-pošta
security@skydelay.org
security.txt
/.well-known/security.txt

V obsegu

  • skydelay.org in vsaka poddomena, ki jo upravljamo.
  • Javni obrazec zahtevka in portal stranke.
  • Ranljivosti avtentikacije, avtorizacije in IDOR.
  • Strežniške ranljivosti (SSRF, RCE, vbrizg SQL, vbrizg NoSQL).
  • Izpostavljenost občutljivih podatkov (PII, IBAN, plačila, ID).
  • Cross-site scripting, CSRF, prelomljen nadzor dostopa.

Izven obsega

  • Socialni inženiring osebja ali strank.
  • Denial-of-service, brute-force ali rate-limit testi v produkciji.
  • Poročila o manjkajočih best-practice glavah brez delujočega exploita.
  • Spam ali vbrizg vsebine, ki zahteva uporabniško interakcijo pod nadzorom napadalca.
  • Storitve tretjih oseb (Stripe, Vercel, MongoDB Atlas) — prijavite neposredno njim.

Kako varujemo podatke

  • Med prenosom: TLS 1.3 obvezen na vseh poddomenah; HSTS z 2-letnim max-age in preloadom.
  • V mirovanju: AES-256 šifriranje za dokumente (ID, vstopni kupon, potrdila) in PII polja v MongoDB.
  • Nadzor dostopa: Dostop temeljen na vlogah z najmanjšimi privilegiji, MFA obvezna za vse osebje, revidirana admin dejanja.
  • Omejevanje hitrosti: Limiti na IP in na PNR na vsaki javni pisalni endpointi.
  • Avtorizacija na osnovi tokena: Tokeni nadaljevanja so HMAC-podpisani in vezani na specifičen zahtevek.
  • Validacija IBAN: Mod-97 kontrolna vsota pri vsaki posodobitvi bančnih podatkov.
  • Revizijski dnevniki: Vsaka sprememba statusa in admin dejanje se zapiše v nespremenljivo časovno os.
  • Penetracijski testi: Letni zunanji pentest, notranji varnostni pregled pred vsako izdajo.

GDPR in minimizacija podatkov

Zbiramo le osebne podatke, ki so strogo potrebni za obravnavo vašega zahtevka, in jih izbrišemo na zgodnejši izmed: (i) vaše pisne zahteve ali (ii) konca veljavnega obdobja hrambe po albanskem zakonu št. 9887/2008 in členu 6(1)(b) GDPR. Varnostne kopije se čistijo v enakem ritmu.

Dvorana slavnih

Javno priznavamo raziskovalce, ki prijavijo veljavne ranljivosti. Za uvrstitev v poročilu navedite želeni vzdevek in povezavo.

Še ni poročil — bodite prvi.

Zadnja posodobitev: 2026-06-04.