SkyDelay logoSkyDelay
Ansvarsfull rapportering välkommen

Säkerhet hos SkyDelay

Våra kunder anförtror oss bankuppgifter, ID-handlingar och resedata. Vi tar det ansvaret på allvar. Denna sida beskriver hur vi skyddar din information och hur forskare ansvarsfullt kan rapportera säkerhetsproblem.

Rapportera en sårbarhet

Om du tror att du har hittat en säkerhetssårbarhet i något SkyDelay-system, rapportera den till oss innan du offentliggör den. Vi förbinder oss att:

  • Bekräfta din rapport inom 2 arbetsdagar.
  • Ge en första bedömning inom 7 kalenderdagar.
  • Hålla dig informerad om framstegen mot en lösning.
  • Kreditera dig i vår hall of fame (om du önskar) när problemet är åtgärdat.
  • Inte vidta rättsliga åtgärder mot forskare som agerar i god tro.
E-post
security@skydelay.org
security.txt
/.well-known/security.txt

Inom omfattning

  • skydelay.org och alla underdomäner vi driver.
  • Det offentliga kravformuläret och kundportalen.
  • Autentiserings-, auktoriserings- och IDOR-sårbarheter.
  • Server-side-sårbarheter (SSRF, RCE, SQL-injektion, NoSQL-injektion).
  • Exponering av känslig data (PII, IBAN, betalningar, ID).
  • Cross-site scripting, CSRF, bruten åtkomstkontroll.

Utanför omfattning

  • Social engineering av personal eller kunder.
  • Denial-of-service-, brute-force- eller rate-limit-tester i produktion.
  • Rapporter om saknade best-practice-headers utan fungerande exploit.
  • Spam eller innehållsinjektion som kräver användarinteraktion under angriparens kontroll.
  • Tredjepartstjänster (Stripe, Vercel, MongoDB Atlas) — rapportera direkt till dem.

Hur vi skyddar data

  • Under transport: TLS 1.3 påtvingad på alla underdomäner; HSTS med 2-årig max-age och preload.
  • I vila: AES-256-kryptering för dokument (ID, boardingkort, kvitton) och PII-fält i MongoDB.
  • Åtkomstkontroll: Rollbaserad åtkomst med minsta privilegium, MFA krävs för all personal, granskade admin-åtgärder.
  • Hastighetsbegränsning: Per-IP- och per-PNR-rate-limits på varje offentlig skrivendpoint.
  • Token-baserad auktorisering: Återupptagningstokens är HMAC-signerade och kopplade till det specifika ärendet.
  • IBAN-validering: Mod-97-kontrollsumma vid varje uppdatering av bankuppgifter.
  • Granskningsloggar: Varje statusändring och admin-åtgärd skrivs till en append-only-tidslinje.
  • Penetrationstester: Årlig tredjeparts-pentest, intern pre-release-säkerhetsgranskning.

GDPR & dataminimering

Vi samlar endast in personuppgifter som är strikt nödvändiga för att hantera ditt ärende och raderar dem vid det tidigaste av: (i) din skriftliga begäran, eller (ii) slutet av tillämplig bevarandeperiod enligt albansk lag nr 9887/2008 och artikel 6(1)(b) GDPR. Säkerhetskopior rensas i samma takt.

Hall of fame

Vi krediterar offentligt forskare som rapporterar giltiga sårbarheter. Om du vill listas, inkludera ditt föredragna handle och en länk i din rapport.

Inga rapporter ännu — var den första.

Senast uppdaterad: 2026-06-04.