DroneEye — The Sky Where Every Flight Becomes a Mission
Bezbednost

Bezbednost na DroneEye-u

Ozbiljno shvatamo bezbednost vaših podataka, dokumenata i naloga. Evo kako vas štitimo.

Poslednji pregled: april 2026.

Bezbednosne prakse

Autentifikacija

  • JWT pristupni tokeni s kratkim rokom važenja
  • Tokeni za obnavljanje se čuvaju u HttpOnly kolačićima
  • Rotacija tokena pri svakom obnavljanju
  • Automatska odjava po isteku tokena ili nevažećem potpisu
  • Kontrola pristupa zasnovana na ulogama (KLIJENT, PILOT, ADMIN)

Šifrovanje podataka

  • Svi podaci u prenosu su šifrovani putem TLS 1.2+
  • Lozinke se hesuju pomoću bcrypt pre čuvanja
  • Sesijski kolačići su označeni Secure i HttpOnly
  • Osetljive datoteke dokumenata se čuvaju s proverama kontrole pristupa

Infrastruktura

  • Pozadinski servisi rade u izolovanim kontejnerima
  • Bazi podataka nije moguće direktno pristupiti s javnog interneta
  • Uploadovane datoteke se proveravaju po tipu i veličini pre čuvanja
  • Ograničavanje brzine primenjeno na krajnje tačke za autentifikaciju

Privatnost po dizajnu

  • Prikupljaju se samo minimalno potrebni podaci za svaku operaciju
  • Podaci profila su vidljivi samo autentifikovanim i ovlašćenim korisnicima
  • Administratorski pristup korisničkim podacima se beleži i može se proveravati
  • Koristi se meko brisanje — podaci se kratko zadržavaju pre trajnog uklanjanja

Bezbednost dokumenata

  • Kvalifikacioni dokumenti pilota se čuvaju na strani servera, nisu javno dostupni
  • URL adrese dokumenata su ograničene i proveravaju se na strani servera pre posluživanja
  • Administratori pregledaju sve podnete dokumente — nema automatskog poverenja

Bezbednost aplikacije

  • Svi API ulazi se proveravaju pomoću Bean Validation (Jakarta)
  • SQL injekcija je sprečena parametrizovanim upitima JPA
  • CORS je konfigurisan da ograniči pristup s različitih porekla
  • CSRF zaštita putem politike kolačića SameSite

Odgovorno otkrivanje ranjivosti

Ako otkrijete bezbednosnu ranjivost na DroneEye-u, molimo vas da nam je prijavite privatno pre javnog otkrivanja. Posvećeni smo saradnji s istraživačima bezbednosti u dobroj veri.

Molimo vas da ne pokušavate da pristupite podacima drugih korisnika, ne pokrećete automatizovane skenere na produkcijskim sistemima, niti preduzimate radnje koje bi mogle da utiču na dostupnost platforme.

Naše obaveze prema istraživačima

  • Pregledamo sve bezbednosne izveštaje u roku od 2 radna dana
  • Nećemo preduzimati pravne korake protiv istraživača koji postupaju u dobroj veri
  • Potvrdićemo prijavljene probleme i opisati rešenje jednom kada bude razrešeno
  • Molimo vas da javno ne otkrivate probleme dok ih ne zakrpimo

Prijavite ranjivost

Pošaljite detaljan opis problema, uključujući korake za reprodukciju, našem timu za bezbednost putem kontaktnog formulara. Molimo unesite "Izveštaj o bezbednosti" u naslov.

Prijavite bezbednosni problem