Platform Güvenlik Altyapısı
Melbet, Curaçao 8048/JAZ lisansı altında çalışan uluslararası bir operatördür. Lisansın getirdiği yükümlülükler kullanıcı verilerinin korunmasından oyun sonuçlarının tarafsızlığına kadar geniş bir yelpazede uygulanır.
Veri Trafiği Şifrelemesi
Tüm istemci-sunucu iletişimi SSL/TLS 1.3 protokolü ile 256-bit AES anahtarla şifrelenir. Sertifika DigiCert tarafından verilmiştir ve SHA-256 imzayla doğrulanır. HSTS Preload listesinde olduğundan tarayıcı bağlantıyı yalnızca HTTPS olarak kurar; SSL stripping saldırılarına karşı korumalı.
Hesap Güvenliği
- İki faktörlü doğrulama (2FA) — SMS veya TOTP üzerinden
- Biyometrik giriş — Face ID, Touch ID, parmak izi
- Otomatik oturum kapatma (varsayılan 60 dk)
- Şüpheli giriş bildirimi — yeni cihaz/yeni IP push uyarısı
- Brute force koruma — başarısız giriş denemelerinde geçici kilit
KYC Süreci
Kullanıcı tanıma (Know Your Customer) ilk çekim talebinde tetiklenir. Kimlik belgesi (ulusal kimlik kartı, pasaport veya sürücü belgesi) ve son üç aya ait ikamet kanıtı (fatura, banka ekstresi) talep edilir. Belgeler uygulama içinden güvenli kanaldan yüklenir; AES-256 ile şifrelenerek saklanır ve yalnızca yetkili uyum ekibi erişir.
RNG ve Bağımsız Denetim
Slot ve sanal oyunlardaki rassal sayı üreteçleri (RNG) iTech Labs, GLI veya eCOGRA tarafından sertifikalanır. Sertifikalar yıllık yenilenir; operatör lisans dosyasında listelenir. Bu sayede oyun sonuçlarının tarafsızlığı matematik olarak garanti altındadır.
AML Uyumu
Anti-Money Laundering (kara para aklamaya karşı) düzenlemeleri uluslararası standartlara göre uygulanır. Şüpheli işlem desenleri otomatik tespit edilir; gerektiğinde ek belge talep edilir. Bu süreç hem operatörü hem oyuncuyu korur.
Şifreleme Katmanları — Uçtan Uca Koruma
Kullanıcı verileri üç ayrı katmanda şifrelenir: iletim (in-transit), saklama (at-rest) ve işleme (in-use). Her katman farklı şifreleme algoritmaları ve anahtar yönetimi ile korunur. Bu tabakalı yaklaşım tek noktadan başarısızlığı imkânsız hâle getirir.
| Katman | Algoritma | Anahtar Uzunluğu | Uygulama |
|---|---|---|---|
| İletim | TLS 1.3 · ECDHE-ECDSA-AES256-GCM-SHA384 | 256-bit AES | Tüm HTTPS trafiği |
| Saklama (veritabanı) | AES-256 CBC | 256-bit | Kişisel bilgi, ödeme detayı |
| Şifre depolama | bcrypt (cost 12) | Salt + Hash | Şifre tabanları |
| KYC belgeleri | AES-256 GCM + HSM | 256-bit | Sadece uyum ekibi erişimi |
| Oturum belirteçleri (JWT) | RS256 | 2048-bit RSA | API kimlik doğrulama |
DDoS ve Sızma Testi Sonuçları
Platform, sektör standardı olan Cloudflare Enterprise DDoS koruması ile katman-7 saldırılarını gerçek zamanlı olarak filtreler. Son 12 aylık uptime %99.98 seviyesinde; en büyük saldırı Nisan 2026'da 340 Gbps hacminde geldi ve tam otomatik olarak nötralize edildi. Yıllık iki bağımsız sızma testi (penetrasyon testi) yapılmakta; son test iTech Labs tarafından tamamlandı ve sertifika şeffaf biçimde yayınlandı.
Oturum Yönetimi ve Belirteç Süreleri
Melbet oturum belirteçleri (JWT) sınırlı yaşam süresine sahiptir; ele geçirilme durumunda maksimum zarar süresi belirtecin süresidir. Standart yapılandırma:
- Access token: 60 dakika · her istekte kullanılır
- Refresh token: 7 gün · access token'ı yenilemek için
- Biyometrik oturum: 30 gün · cihaz enclave'de saklı
- Ödeme onay token: 90 saniye · SMS/TOTP ile onaylanan işlemler için
Güvenlik Bildirimleri (Vulnerability Disclosure)
Güvenlik araştırmacıları ve etik hackerlar keşfettikleri güvenlik açıklarını [email protected] adresine sorumlu bir şekilde bildirebilir. Onaylanan bulgular için Melbet Bug Bounty programı altında 500 – 25.000 USD ödül verir. Program HackerOne platformu üzerinden yürütülür; katılım için ön kayıt gerekmez.
Yedekleme ve Felaket Kurtarma
Kullanıcı verileri ve hesap durumları üç coğrafi bölgede eş zamanlı olarak yedeklenir. RPO (Recovery Point Objective) 5 dakika, RTO (Recovery Time Objective) 15 dakikadır — yani felaket durumunda maksimum 5 dakikalık veri kaybı ve 15 dakikalık kesinti oluşabilir. Yıllık iki felaket kurtarma tatbikatı gerçekleştirilir.