SkyDelay logoSkyDelay
Sorumlu açıklama memnuniyetle karşılanır

Güvenlik SkyDelay'de

Müşterilerimiz banka bilgileri, kimlik belgeleri ve seyahat verilerini bize emanet ediyor. Bu sorumluluğu ciddiye alıyoruz. Bu sayfa, bilgilerinizi nasıl koruduğumuzu ve araştırmacıların güvenlik sorunlarını nasıl sorumlu bir şekilde bildirebileceğini açıklar.

Bir güvenlik açığı bildirin

Bir SkyDelay sisteminde güvenlik açığı bulduğunuza inanıyorsanız, lütfen halka açık ifşa etmeden önce bize bildirin. Şunları taahhüt ediyoruz:

  • Raporunuzu 2 iş günü içinde onaylamak.
  • 7 takvim günü içinde bir ilk değerlendirme sunmak.
  • Çözüm sürecindeki ilerlemeden sizi haberdar etmek.
  • Sorun çözüldükten sonra (isterseniz) hall of fame'imizde sizi tanımak.
  • İyi niyetle hareket eden araştırmacılara karşı yasal işlem başlatmamak.
E-posta
security@skydelay.org
security.txt
/.well-known/security.txt

Kapsam içinde

  • skydelay.org ve işlettiğimiz tüm alt alan adları.
  • Halka açık talep formu ve müşteri talep portalı.
  • Kimlik doğrulama, yetkilendirme ve IDOR güvenlik açıkları.
  • Sunucu tarafı güvenlik açıkları (SSRF, RCE, SQL injection, NoSQL injection).
  • Hassas veri ifşası (PII, IBAN, ödeme verileri, kimlikler).
  • Cross-site scripting, CSRF, kırık erişim kontrolü.

Kapsam dışı

  • Personel veya müşterilerin sosyal mühendisliği.
  • Üretimde denial-of-service, brute-force veya rate-limit testleri.
  • Çalışan bir exploit olmadan best-practice header eksikliği raporları.
  • Saldırgan kontrolündeki kullanıcı etkileşimi gerektiren spam veya içerik injection.
  • Üçüncü taraf hizmetleri (Stripe, Vercel, MongoDB Atlas) — doğrudan onlara bildirin.

Veriyi nasıl koruyoruz

  • İletim sırasında: Tüm alt alanlarda TLS 1.3 zorunlu; HSTS 2 yıllık max-age ve preload ile.
  • Durağan: Belgeler (ID, biniş kartı, makbuzlar) ve MongoDB'deki PII alanları için AES-256 şifreleme.
  • Erişim kontrolü: En az ayrıcalık prensibiyle rol tabanlı erişim, tüm personel için MFA zorunlu, denetlenen admin eylemleri.
  • Hız sınırlaması: Her halka açık yazma endpoint'inde IP ve PNR başına rate limit.
  • Token tabanlı yetkilendirme: Yeniden başlatma token'ları HMAC ile imzalanmış ve belirli talebe bağlı.
  • IBAN doğrulama: Her banka detay güncellemesinde mod-97 kontrol toplamı.
  • Denetim günlükleri: Her durum değişikliği ve admin eylemi yalnızca ekleme zaman çizelgesine yazılır.
  • Sızma testleri: Yıllık üçüncü taraf pentest, her sürüm öncesi dahili güvenlik incelemesi.

GDPR ve veri minimizasyonu

Yalnızca talebinizi yönetmek için kesinlikle gerekli kişisel verileri topluyor ve şu durumların en erkeninde siliyoruz: (i) yazılı talebiniz veya (ii) Arnavutluk Kanunu No. 9887/2008 ve GDPR Madde 6(1)(b) kapsamındaki geçerli saklama süresinin sonu. Yedekler aynı ritimde temizlenir.

Hall of fame

Geçerli güvenlik açıkları bildiren araştırmacıları halka açık şekilde anıyoruz. Listelenmek istiyorsanız raporunuza tercih ettiğiniz takma adı ve bir bağlantı ekleyin.

Henüz rapor yok — ilk olun.

Son güncelleme: 2026-06-04.