SkyDelay logoSkyDelay
Zbulim i përgjegjshëm i mirëpritur

Siguria në SkyDelay

Klientët tanë na besojnë të dhëna bankare, dokumente identifikimi dhe të dhëna udhëtimi. E marrim seriozisht atë përgjegjësi. Kjo faqe përshkruan se si i mbrojmë të dhënat tuaja dhe si studiuesit mund të raportojnë në mënyrë të përgjegjshme çështje sigurie.

Raportoni një dobësi

Nëse besoni se keni gjetur një dobësi sigurie në ndonjë sistem të SkyDelay, ju lutemi na e raportoni para se ta zbuloni publikisht. Ne angazhohemi të:

  • Konfirmojmë raportin tuaj brenda 2 ditëve të punës.
  • Ofrojmë një vlerësim fillestar brenda 7 ditëve kalendarike.
  • Ju mbajmë të informuar për përparimin drejt zgjidhjes.
  • Ju falënderojmë në hall-of-fame tonë (nëse dëshironi) pasi çështja të zgjidhet.
  • Të mos ndërmarrim veprime ligjore ndaj studiuesve që veprojnë në mirëbesim.
Email
security@skydelay.org
security.txt
/.well-known/security.txt

Brenda fushëveprimit

  • skydelay.org dhe çdo nën-domen që operojmë.
  • Formulari publik i kërkesës dhe portali i klientit.
  • Dobësi të autentifikimit, autorizimit dhe IDOR.
  • Dobësi në serverin tonë (SSRF, RCE, injektim SQL, injektim NoSQL).
  • Ekspozim i të dhënave të ndjeshme (PII, IBAN, pagesa, ID).
  • Cross-site scripting, CSRF, kontrolli i thyer i qasjes.

Jashtë fushëveprimit

  • Inxhinieri sociale e stafit ose klientëve.
  • Testime denial-of-service, brute-force ose rate-limit në prodhim.
  • Raportime për mungesë headersh të praktikave më të mira pa eksploat funksional.
  • Spam ose injektim përmbajtjeje që kërkon ndërveprim përdoruesi nën kontrollin e sulmuesit.
  • Shërbime të palëve të treta (Stripe, Vercel, MongoDB Atlas) — raportoni drejtpërdrejt tek ata.

Si i mbrojmë të dhënat

  • Në transit: TLS 1.3 i detyrueshëm në të gjitha nën-domenet; HSTS me max-age 2 vjet dhe preload.
  • Në qetësi: Enkriptim AES-256 për dokumentet (ID, kartë hipjeje, fatura) dhe fushat PII në MongoDB.
  • Kontrolli i qasjes: Qasje e bazuar në role me privilegjin më të vogël, MFA e detyrueshme për stafin, veprime admin të audituara.
  • Kufizimi i shpejtësisë: Kufizime për IP dhe PNR në çdo endpoint publik shkrues.
  • Autorizimi me token: Token-at e rinisjes janë të nënshkruar HMAC dhe të lidhur me kërkesën specifike.
  • Validimi i IBAN: Kontroll mod-97 në çdo përditësim të të dhënave bankare.
  • Regjistrat e auditimit: Çdo ndryshim statusi dhe veprim admini shkruhet në një timeline që vetëm shtohet.
  • Testimet e penetrimit: Pentest vjetor i palëve të treta, rishikim sigurie i brendshëm para çdo release.

GDPR dhe minimizimi i të dhënave

Mbledhim vetëm të dhënat personale rreptësisht të nevojshme për të trajtuar kërkesën tuaj dhe i fshijmë në më të hershmin nga: (i) kërkesa juaj me shkrim, ose (ii) fundi i periudhës së ruajtjes së aplikueshme sipas Ligjit shqiptar nr. 9887/2008 dhe nenit 6(1)(b) GDPR. Rezervat fshihen në të njëjtin ritëm.

Hall of fame

Falënderojmë publikisht studiuesit që raportojnë dobësi të vlefshme. Nëse doni të listoheni, përfshini emrin tuaj të preferuar dhe një link në raport.

Asnjë raport ende — bëhuni i pari.

Përditësuar së fundi: 2026-06-04.