Înapoi la pagina principală

Securitate

Cum îți protejăm datele și cum poți raporta o vulnerabilitate.

Ultima actualizare: Aprilie 2026

Cum îți protejăm datele

Securitate transport

Toată comunicarea dintre aplicație și serverele noastre folosește TLS 1.2 sau mai recent. Certificate pinning este aplicat pe clienții mobili.

Stocarea parolelor

Parolele nu sunt stocate niciodată în text clar. Folosim bcrypt cu un salt per utilizator înainte ca orice parolă să ajungă în baza noastră de date.

Infrastructură

API-ul nostru rulează pe Cloudflare Workers — un runtime de tip edge distribuit global, izolat. Nu există servere cu viață lungă de patch-uit; fiecare cerere rulează într-un context proaspăt, izolat. Atenuarea DDoS și filtrarea WAF sunt furnizate la nivel de rețea de Cloudflare.

Scanare local-first

Scanările de rețea rulează complet pe dispozitivul tău. Datele brute de rețea nu sunt niciodată transmise către serverele noastre. Doar rezumate structurate, anonimizate sunt trimise când optezi explicit pentru backup în cloud.

Control acces

Sistemele de producție urmează principiul privilegiului minim. Accesul de admin necesită un token secret puternic pe lângă controalele de acces la nivel de infrastructură. Niciun dezvoltator nu are acces la credențialele utilizatorilor în text clar.

Divulgarea vulnerabilităților

Luăm securitatea în serios. Dacă descoperi o vulnerabilitate în Santinela — aplicație, API sau site web — te rugăm să o raportezi responsabil înainte de a o face publică.

Cum să raportezi

Trimite un e-mail la security@santinela.app cu:

  • O descriere a vulnerabilității și impactul ei potențial
  • Pași pentru a reproduce sau un proof-of-concept
  • Datele tale de contact (opțional, pentru follow-up)

La ce să te aștepți

  • Confirmare în termen de 3 zile lucrătoare
  • Actualizare status în termen de 10 zile lucrătoare
  • Cronologie remediere și divulgare agreată cu tine pentru probleme semnificative

Domeniu de aplicabilitate

În domeniu: aplicația mobilă Santinela (iOS, Android), aplicația desktop (macOS, Windows), API-ul (api.santinela.app) și acest site web (santinela.app).

În afara domeniului: atacuri volumetrice DoS, inginerie socială a personalului, atacuri fizice, probleme în dependențe terțe deja raportate upstream.

Clauză de protecție

Nu vom lua măsuri legale împotriva cercetătorilor care raportează vulnerabilități cu bună credință, evită accesarea sau modificarea datelor utilizatorilor și ne acordă timp rezonabil pentru remediere înainte de divulgarea publică.

Bug bounty

Nu operăm momentan un program formal de bug bounty plătit. Recunoaștem public fiecare raport valid (cu permisiunea ta) și plănuim să introducem recompense pe măsură ce proiectul se maturizează.