Uygulama Emniyeti ve Üye Koruma Katmanları

Ulaşım Katmanı Şifrelemesi

Mobil uygulama ile sunucu arasındaki tüm trafik TLS 1.3 protokolü üzerinden şifrelenir. TLS 1.3, önceki sürümlere göre el sıkışma sürecini kısaltır ve eski şifreleme paketlerini devre dışı bırakır. Bu, "man-in-the-middle" saldırılarına karşı güçlendirilmiş bir koruma sağlar. Şifreleme anahtarı 128-bit olup AES-GCM şifreleme algoritması kullanılır.

HSTS (HTTP Strict Transport Security) politikası aktif olduğundan tarayıcı veya uygulama, sunucuyla yalnızca HTTPS üzerinden iletişim kurar. HTTP istekleri otomatik olarak HTTPS'e yönlendirilir ve aracı saldırı senaryolarını engeller. Sertifika sabitleme (certificate pinning) uygulama içinde tanımlandığı için, sahte sertifikalı bir proxy araya girse bile bağlantı reddedilir.

Şifrelemenin bir başka katmanı ise oturum jetonu yönetimi. Her oturum için benzersiz, kısa süreli jeton üretilir; jeton 24 saatte bir döner. Çalıntı bir jeton bile en fazla 24 saat geçerli kalır. Şüpheli aktivite tespit edildiğinde jeton derhal iptal edilir ve kullanıcının tekrar giriş yapması istenir.

İki Adımlı Doğrulama (2FA)

2FA, şifre ele geçirilse bile hesabın korunmasını sağlayan ikinci doğrulama katmanıdır. Mobil uygulamada üç farklı 2FA seçeneği sunulur. SMS doğrulama en yaygın yöntem ancak SIM swap saldırılarına karşı en zayıfı. E-posta doğrulama orta seviye güvenlik sunar; e-posta hesabı da 2FA ile korunmalı. Google Authenticator / Authy en güvenli seçenektir; uygulama her 30 saniyede bir kod üretir ve SMS bağımlılığını ortadan kaldırır.

2FA çekim işlemlerinde zorunlu olarak istenir; bu, şifre çalınsa bile bakiyenin korunmasını sağlar. Aktivasyon Hesap → Güvenlik menüsünden tek tıkla yapılır. Aktivasyon sırasında kullanıcıya 10 adet kurtarma kodu verilir; bu kodlar yazılı olarak saklanmalı çünkü 2FA cihazı kaybedildiğinde tek erişim yolu bu kodlardır.

Editör ekibimizin pratik önerisi: Google Authenticator + biyometrik giriş kombinasyonu hesabınıza en yüksek koruma sağlar. Kurtarma kodlarınızı bir kâğıda yazıp güvenli bir yerde saklayın; bulut depolamada şifresiz tutmak güvenlik açığı oluşturur.

RNG Sertifikası ve Provably Fair

Casino oyunlarında sonuçların adil olduğunu garanti etmek için iki ana yöntem kullanılır. Geleneksel slot oyunlarında RNG (Random Number Generator) sertifikası bağımsız bir kuruluş tarafından düzenli olarak denetlenir. iTech Labs, GLI ve eCOGRA bu alandaki en yetkili kuruluşlardır. Sertifika numarası her oyunun bilgi panelinde gösterilir ve sertifikalandıran kuruluşun sayfasında aleni olarak doğrulanabilir.

Kripto ve crash oyunlarında ise daha şeffaf bir yöntem var: Provably Fair. Bu sistem, her oyun sonucunun matematiksel olarak doğrulanabilir bir tohum (seed) üzerinden üretildiğini ispatlar. Kullanıcı, oyun öncesi tohumun hash'ini görür; oyun sonrası gerçek tohum açıklanır ve hash ile eşleştirilir. Bu, operatörün sonucu önceden manipüle etmediğini matematiksel olarak kanıtlar.

KVKK Uyumu ve Veri Koruma

Uygulama, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ilkelerine tam uyumludur. Bu uyum üç temel prensibe dayanır: açık rıza, amaç sınırlaması ve veri minimizasyonu. Kullanıcı, kayıt sırasında verdiği bilgilerin hangi amaçlarla kullanılacağını şeffaf bir biçimde görür ve onay verir. Veriler yalnızca beyan edilen amaçlar için kullanılır; pazarlama amaçlı kullanım için ayrı rıza alınır.

Veri silme talebi yapan kullanıcılar için süreç şu şekilde işler: KVKK kapsamındaki tüm kişisel veriler 30 gün içinde sistemden kaldırılır. Yasal saklama zorunluluğu kapsamındaki finansal işlem verileri (10 yıl) ayrıca işaretlenir ve süre sonunda otomatik silinir. VERBİS kayıt numarası uygulama içinde Gizlilik Politikası ekranında gösterilir; bu, kullanıcının operatörün KVKK uyumunu Türkiye Veri Koruma Kurumu üzerinden doğrulayabilmesini sağlar.