Platform Güvenlik Altyapısı

Melbet, Curaçao 8048/JAZ lisansı altında çalışan uluslararası bir operatördür. Lisansın getirdiği yükümlülükler kullanıcı verilerinin korunmasından oyun sonuçlarının tarafsızlığına kadar geniş bir yelpazede uygulanır.

Veri Trafiği Şifrelemesi

Tüm istemci-sunucu iletişimi SSL/TLS 1.3 protokolü ile 256-bit AES anahtarla şifrelenir. Sertifika DigiCert tarafından verilmiştir ve SHA-256 imzayla doğrulanır. HSTS Preload listesinde olduğundan tarayıcı bağlantıyı yalnızca HTTPS olarak kurar; SSL stripping saldırılarına karşı korumalı.

Hesap Güvenliği

  • İki faktörlü doğrulama (2FA) — SMS veya TOTP üzerinden
  • Biyometrik giriş — Face ID, Touch ID, parmak izi
  • Otomatik oturum kapatma (varsayılan 60 dk)
  • Şüpheli giriş bildirimi — yeni cihaz/yeni IP push uyarısı
  • Brute force koruma — başarısız giriş denemelerinde geçici kilit

KYC Süreci

Kullanıcı tanıma (Know Your Customer) ilk çekim talebinde tetiklenir. Kimlik belgesi (ulusal kimlik kartı, pasaport veya sürücü belgesi) ve son üç aya ait ikamet kanıtı (fatura, banka ekstresi) talep edilir. Belgeler uygulama içinden güvenli kanaldan yüklenir; AES-256 ile şifrelenerek saklanır ve yalnızca yetkili uyum ekibi erişir.

RNG ve Bağımsız Denetim

Slot ve sanal oyunlardaki rassal sayı üreteçleri (RNG) iTech Labs, GLI veya eCOGRA tarafından sertifikalanır. Sertifikalar yıllık yenilenir; operatör lisans dosyasında listelenir. Bu sayede oyun sonuçlarının tarafsızlığı matematik olarak garanti altındadır.

AML Uyumu

Anti-Money Laundering (kara para aklamaya karşı) düzenlemeleri uluslararası standartlara göre uygulanır. Şüpheli işlem desenleri otomatik tespit edilir; gerektiğinde ek belge talep edilir. Bu süreç hem operatörü hem oyuncuyu korur.

Şifreleme Katmanları — Uçtan Uca Koruma

Kullanıcı verileri üç ayrı katmanda şifrelenir: iletim (in-transit), saklama (at-rest) ve işleme (in-use). Her katman farklı şifreleme algoritmaları ve anahtar yönetimi ile korunur. Bu tabakalı yaklaşım tek noktadan başarısızlığı imkânsız hâle getirir.

KatmanAlgoritmaAnahtar UzunluğuUygulama
İletimTLS 1.3 · ECDHE-ECDSA-AES256-GCM-SHA384256-bit AESTüm HTTPS trafiği
Saklama (veritabanı)AES-256 CBC256-bitKişisel bilgi, ödeme detayı
Şifre depolamabcrypt (cost 12)Salt + HashŞifre tabanları
KYC belgeleriAES-256 GCM + HSM256-bitSadece uyum ekibi erişimi
Oturum belirteçleri (JWT)RS2562048-bit RSAAPI kimlik doğrulama

DDoS ve Sızma Testi Sonuçları

Platform, sektör standardı olan Cloudflare Enterprise DDoS koruması ile katman-7 saldırılarını gerçek zamanlı olarak filtreler. Son 12 aylık uptime %99.98 seviyesinde; en büyük saldırı Nisan 2026'da 340 Gbps hacminde geldi ve tam otomatik olarak nötralize edildi. Yıllık iki bağımsız sızma testi (penetrasyon testi) yapılmakta; son test iTech Labs tarafından tamamlandı ve sertifika şeffaf biçimde yayınlandı.

Oturum Yönetimi ve Belirteç Süreleri

Melbet oturum belirteçleri (JWT) sınırlı yaşam süresine sahiptir; ele geçirilme durumunda maksimum zarar süresi belirtecin süresidir. Standart yapılandırma:

  • Access token: 60 dakika · her istekte kullanılır
  • Refresh token: 7 gün · access token'ı yenilemek için
  • Biyometrik oturum: 30 gün · cihaz enclave'de saklı
  • Ödeme onay token: 90 saniye · SMS/TOTP ile onaylanan işlemler için

Güvenlik Bildirimleri (Vulnerability Disclosure)

Güvenlik araştırmacıları ve etik hackerlar keşfettikleri güvenlik açıklarını [email protected] adresine sorumlu bir şekilde bildirebilir. Onaylanan bulgular için Melbet Bug Bounty programı altında 500 – 25.000 USD ödül verir. Program HackerOne platformu üzerinden yürütülür; katılım için ön kayıt gerekmez.

Yedekleme ve Felaket Kurtarma

Kullanıcı verileri ve hesap durumları üç coğrafi bölgede eş zamanlı olarak yedeklenir. RPO (Recovery Point Objective) 5 dakika, RTO (Recovery Time Objective) 15 dakikadır — yani felaket durumunda maksimum 5 dakikalık veri kaybı ve 15 dakikalık kesinti oluşabilir. Yıllık iki felaket kurtarma tatbikatı gerçekleştirilir.