Yasal

Güvenlik Bildirimi

TurkishPvP hesapları, admin paneli, OAuth tokenları, passkey/2FA akışları, audit kayıtları ve güvenlik açığı bildirim süreci için güvenlik standartları.

Güncelleme: 20 Haziran 2026support@turkishpvp.llc
01

Güvenlik Yaklaşımı

TurkishPvP, kimlik doğrulama ve yetkilendirme katmanı olduğu için güvenlik tasarımı; hesap koruması, oturum bütünlüğü, token güvenliği, admin erişimi, audit kayıtları ve kötüye kullanım önleme üzerine kuruludur.

Sistem; tek bir önlemeye güvenmek yerine şifre hashleme, 2FA, passkey, HttpOnly oturum çerezi, kısa ömürlü doğrulama kodu, rate limit, risk sinyali, admin 2FA ve audit log gibi katmanlı kontroller kullanır.

Hiçbir internet sistemi mutlak güvenlik garanti edemez. Bu bildirim, uygulanan temel kontrolleri ve kullanıcıların hesaplarını korumak için uyması gereken pratikleri açıklar.

02

Hesap ve Parola Güvenliği

Şifreler düz metin olarak saklanmaz; güçlü tek yönlü hashleme ve server tarafı korumalar uygulanabilir. Buna rağmen benzersiz, uzun ve başka servislerde kullanılmayan şifre seçmeniz gerekir.

Şifre değişikliği, email değişikliği, 2FA kapatma, kurtarma kodu üretme veya passkey silme gibi hassas işlemler için yeniden doğrulama istenebilir.

Beklenmeyen doğrulama kodu, bilinmeyen oturum, değişen email veya tanımadığınız OAuth bağlantısı görürseniz parolanızı hemen değiştirip diğer oturumları kapatmalısınız.

03

2FA, Passkey ve Kurtarma Kodları

Authenticator 2FA etkinleştirildiğinde girişte TOTP kodu, passkey veya tanımlı ek faktörler istenebilir.

Passkey cihazları hızlı ve phishing'e dayanıklı giriş için kullanılabilir. Kaybolan, satılan veya ortak kullanılan cihazlardaki passkey kayıtlarını dashboard üzerinden kaldırmalısınız.

Kurtarma kodları tek kullanımlıktır ve yalnız üretildiği anda gösterilir. Bu kodları çevrimdışı saklamalı, ekran görüntüsüyle paylaşmamalı ve kullanıldığından şüphelendiğinizde yeniden üretmelisiniz.

04

Oturum ve Çerez Güvenliği

Oturum çerezleri HttpOnly olarak ayarlanır ve production ortamında yalnız HTTPS üzerinden gönderilir. Ortak cihazlarda çıkış yapmanız gerekir.

Aktif oturumları inceleyebilir ve tanımadığınız oturumları kapatabilirsiniz. Oturum iptali tokenı server tarafında geçersiz hale getirir.

Tarayıcı eklentileri, kötü amaçlı yazılımlar veya güvenilmeyen ağlar oturum güvenliğini zayıflatabilir.

05

OAuth ve Token Güvenliği

OAuth tokenları yalnız izin verilen kapsamlar için verilmelidir. Access tokenlar kısa ömürlü, refresh tokenlar daha sıkı saklama ve iptal kontrollerine bağlı olacak şekilde tasarlanır.

Bağlı uygulama geliştiricileri client secret değerlerini server tarafında saklamalı, tokenları loglamamalı ve redirect URI doğrulamasını gevşetmemelidir.

Bir OAuth uygulamasında sahte izin ekranı, marka taklidi veya gereğinden fazla scope talebi görürseniz uygulamaya izin vermeyin ve TurkishPvP destek kanallarına bildirin.

06

Admin Paneli Güvenliği

Admin paneli yüksek etkili işlemler içerdiği için admin hesaplarında 2FA, rol kontrolü, yetki matrisi, audit log ve gerektiğinde yeniden doğrulama uygulanabilir.

Adminler hesap silme, kilitleme, rol verme, OAuth client yönetimi ve oturum kapatma gibi işlemleri yalnız görev kapsamında yapmalıdır.

07

Güvenlik Logları ve Audit

Giriş kayıtları, başarısız denemeler, IP hash değeri, user-agent, oturum durumu, admin işlemi, OAuth consent ve 2FA değişikliği olayları audit amacıyla kaydedilebilir.

Audit logları kullanıcıyı takip etmek için değil; hesap güvenliği, kötüye kullanım incelemesi, admin hesap verebilirliği ve güvenlik olaylarını geriye dönük analiz etmek için tutulur.

08

Güvenlik Açığı Bildirimi

Bir güvenlik açığı fark ederseniz destek@turkishpvp.llc adresine konu başlığında "Security Report" yazarak bildirin. Etkilenen endpoint, yeniden üretim adımları ve risk özetini paylaşmanız yeterlidir.

Bildirim yaparken gerçek kullanıcı verisini indirmeyin, admin paneline yetkisiz girmeyin, saldırıyı kalıcı hale getirmeyin ve hizmeti aksatacak test yapmayın.

İyi niyetli, sınırlı ve zararsız bildirimler öncelikli incelenir.

09

İhlal Müdahalesi

Güvenlik olayı tespit edildiğinde olay sınıflandırılır, kapsam belirlenir, aktif risk azaltılır ve audit kayıtları korunur.

Kişisel veri ihlali riski varsa GDPR, KVKK ve uygulanabilir diğer hukuk kapsamında bildirim yükümlülükleri değerlendirilir.

10

Kullanıcı Güvenlik Sorumlulukları

Şifrenizi, passkey cihazınızı, TOTP secret değerini, kurtarma kodlarını, email erişiminizi ve Discord/Google hesaplarınızı korumaktan siz sorumlusunuz.

Destek ekibi sizden şifrenizi, kurtarma kodlarınızı, TOTP secret değerini veya oturum çerezinizi istemez. Bu bilgileri isteyen kişi veya uygulama sahte olabilir.

Ortak cihazlarda çıkış yapmalı, bilinmeyen OAuth uygulamalarını kaldırmalı, 2FA açık tutmalı ve hesap bildirimlerini takip etmelisiniz.

Resmi Referanslar

Bu politika hazırlanırken aşağıdaki resmi kaynaklar esas alınmıştır.