Sosial kazinoda məlumatların təhlükəsizliyi və məxfiliyi
Giriş
Sosial kazinolar virtual çiplərlə işləyir, lakin istifadəçilərin şəxsi məlumatlarını toplayır və emal edir: qeydiyyat, sosial giriş, proqram daxilində alış-veriş və reklam ilə qarşılıqlı əlaqə vasitəsilə. Səhv gizlilik və ya zəiflik siyasəti sızmalara, hesablara güzəştə getməyə və reputasiya itkilərinə səbəb ola bilər. Bu məqalədə sosial casinonun təhlükəsiz və qanuni işləməsi üçün lazım olan xüsusi metodlar və standartlar yer alır.
1. Məlumatların toplanmasını minimuma endirmək
1. OAuth və Sosial Girişlər
Yalnız yoxlanılmış provayderlərdən (Facebook, Google) minimum hüquqlar (e-poçt, ictimai profil) tələb edərək istifadə edin.
İstifadəçi şifrəsini saxlamayın - provayderin tokeninə güvənin və OAuth2 standartına uyğun olaraq yeniləyin.
2. KYC yoxdur
Real pul olmadığı üçün heç bir pasport və sənəd tələb olunmur.
Kolleksiyanı yalnız e-poçt ünvanı və doğum tarixinə qədər məhdudlaşdırın (yetkinlik yaşına çatmayanların girişini məhdudlaşdırmaq üçün).
3. Anonim profillər
Hesablarınıza telefon və ya fiziki ünvan bağlamayın.
Oyun nailiyyətləri üçün server tərəfində yaradılan unikal ID kifayətdir.
2. Məlumatların şifrələnməsi
1. TLS/HTTPS
Bütün müştəri istəkləri TLS 1 ilə HTTPS vasitəsilə getməlidir. 2 + və müasir şifrələr (AES-GCM).
HSTS başlığı və MITM risklərini azaltmaq üçün HTTP/2.
2. Məlumat bazasında şifrələmə
Şəxsi məlumatları (email, tokenlər) serverdə şifrələnmiş formada (AES-256) saxlayın.
key-management bölün: şifrələmə açarları xüsusi HSM (Hardware Security Module) saxlanılmalıdır.
3. Əməliyyatların məxfiliyi
Ödəniş qeydləri və rewarded video şəxsi məlumatları ehtiva etməməlidir.
Ödəniş şlüzlərinə sorğular (Google IAP, Apple IAP) birbaşa müştəridən deyil, backend vasitəsilə.
3. Beynəlxalq tələblərə uyğunluq
1. GDPR (Avropa Birliyi)
Giriş və silinmə hüququ: Bütün məlumatların ixracı və silinməsi üçün istifadəçiyə interfeys verin («right to be forgotten»).
Privacy by design: Bütün yeni xüsusiyyətlər fərdi məlumatların minimuma endirilməsi nəzərə alınmaqla hazırlanır.
Data Processing Agreement: Tərəfdaşlar və SDK provayderləri ilə GDPR-yə riayət etmək məcburiyyətində qalan müqavilələr bağlayın.
2. COPPA (ABŞ, 13 yaşa qədər uşaqlar)
Valideynlərin razılığı olmadan 13 yaşınadək uşaqların məlumatlarını qəsdən toplamayın.
Parametrlərdə yaş həddini məhdudlaşdırın və qeydiyyatdan keçərkən yetkinlik yaşına çatmayanların girişini bloklayın.
3. Australian Privacy Principles (APP)
Şəffaflıq: privacy policy-ni saytda və tətbiqin daxilində dərc edin.
Cross-border disclosure: Əgər məlumatlar xaricə göndərilirsə, bu barədə istifadəçiyə məlumat verin.
4. Müştəri hissəsinin təhlükəsizliyi
1. Mənbə kodunun qorunması
Revers mühəndisliyindən qorunmaq üçün JavaScript (PWA) və Native Code (APK/IPA )-ni minimuma endirin və təkmilləşdirin.
Müştəridə API açarları və sirləri saxlamayın - backend vasitəsilə verilən qısa ömürlü tokenlərdən istifadə edin.
2. Üçüncü tərəf SDK nəzarət
Reklam və analitik SDK (AdMob, Unity Ads, Firebase, Adjust) fərdi məlumatlara daxil ola bilməmələri üçün təcrid olunmuş konteynerlərdə işə salın.
SDK-nı vaxtaşırı yeniləyin və onların privacy- və security statuslarını yoxlayın.
3. Anti-cheat və anti-fraud
Tətbiqin (App Attestation/SafetyNet) bütövlüyünün yoxlanılmasını tətbiq edin.
Anormal fəaliyyətləri (kütləvi mikro transformasiyalar, script trafiki) izləyin və şübhəli müştəriləri bloklayın.
5. Server hissəsinin təhlükəsizliyi və DevOps
1. Xidmətlərin izolyasiyası
Oyun serverləri, avtorizasiya və ödənişləri ayrı şəbəkə zonaları və firewall qaydaları ilə müxtəlif mikroservislərə bölün.
2. CI/CD və versiyası nəzarət
CI mərhələsində boşluq skanerlərini (SAST/DAST) açın.
Mütəmadi olaraq asılılıqları yeniləyin və imzalanmış konteyner görüntülərindən istifadə edin.
3. Qeydlərin monitorinqi və auditi
Mərkəzləşdirilmiş giriş və səhv qeydlərini (ELK/Graylog) toplayın, onları write-only rejimində saxlayın.
Şübhəli sorğular, çoxsaylı uğursuz avtorizasiyalar və ya DDoS nümunələri üçün alert 's konfiqurasiya.
6. Hadisələrin emalı siyasəti
1. Cavab planı
Sızma zamanı monitorinq, inventar və kommunikasiya üçün məsul şəxsləri müəyyənləşdirin.
Istifadəçilər və tənzimləyicilər üçün bildiriş şablonlarını hazırlayın.
2. Test və Forensika
Müntəzəm penetration testlər (ildə ən azı 2 dəfə).
Hadisədən sonra qeydləri təhlil edin, zəiflikləri yamaq və daxili və xarici steykholderlər üçün hesabat dərc edin.
Nəticə
Sosial kazinolarda təhlükəsizlik və məxfilik şəxsi məlumatların toplanmasının minimuma endirilməsi, ciddi şifrələmə, GDPR/COPPA/APP standartlarına uyğunluq, müştəri və server kodunun qorunması və hadisələrə dəqiq cavab siyasətinin birləşməsi ilə əldə edilir. Bu tədbirlər istifadəçilərin qorunmasını, tərtibatçıların isə nüfuzlu və hüquqi risklər olmadan sabit işləməsini təmin edir.
Sosial kazinolar virtual çiplərlə işləyir, lakin istifadəçilərin şəxsi məlumatlarını toplayır və emal edir: qeydiyyat, sosial giriş, proqram daxilində alış-veriş və reklam ilə qarşılıqlı əlaqə vasitəsilə. Səhv gizlilik və ya zəiflik siyasəti sızmalara, hesablara güzəştə getməyə və reputasiya itkilərinə səbəb ola bilər. Bu məqalədə sosial casinonun təhlükəsiz və qanuni işləməsi üçün lazım olan xüsusi metodlar və standartlar yer alır.
1. Məlumatların toplanmasını minimuma endirmək
1. OAuth və Sosial Girişlər
Yalnız yoxlanılmış provayderlərdən (Facebook, Google) minimum hüquqlar (e-poçt, ictimai profil) tələb edərək istifadə edin.
İstifadəçi şifrəsini saxlamayın - provayderin tokeninə güvənin və OAuth2 standartına uyğun olaraq yeniləyin.
2. KYC yoxdur
Real pul olmadığı üçün heç bir pasport və sənəd tələb olunmur.
Kolleksiyanı yalnız e-poçt ünvanı və doğum tarixinə qədər məhdudlaşdırın (yetkinlik yaşına çatmayanların girişini məhdudlaşdırmaq üçün).
3. Anonim profillər
Hesablarınıza telefon və ya fiziki ünvan bağlamayın.
Oyun nailiyyətləri üçün server tərəfində yaradılan unikal ID kifayətdir.
2. Məlumatların şifrələnməsi
1. TLS/HTTPS
Bütün müştəri istəkləri TLS 1 ilə HTTPS vasitəsilə getməlidir. 2 + və müasir şifrələr (AES-GCM).
HSTS başlığı və MITM risklərini azaltmaq üçün HTTP/2.
2. Məlumat bazasında şifrələmə
Şəxsi məlumatları (email, tokenlər) serverdə şifrələnmiş formada (AES-256) saxlayın.
key-management bölün: şifrələmə açarları xüsusi HSM (Hardware Security Module) saxlanılmalıdır.
3. Əməliyyatların məxfiliyi
Ödəniş qeydləri və rewarded video şəxsi məlumatları ehtiva etməməlidir.
Ödəniş şlüzlərinə sorğular (Google IAP, Apple IAP) birbaşa müştəridən deyil, backend vasitəsilə.
3. Beynəlxalq tələblərə uyğunluq
1. GDPR (Avropa Birliyi)
Giriş və silinmə hüququ: Bütün məlumatların ixracı və silinməsi üçün istifadəçiyə interfeys verin («right to be forgotten»).
Privacy by design: Bütün yeni xüsusiyyətlər fərdi məlumatların minimuma endirilməsi nəzərə alınmaqla hazırlanır.
Data Processing Agreement: Tərəfdaşlar və SDK provayderləri ilə GDPR-yə riayət etmək məcburiyyətində qalan müqavilələr bağlayın.
2. COPPA (ABŞ, 13 yaşa qədər uşaqlar)
Valideynlərin razılığı olmadan 13 yaşınadək uşaqların məlumatlarını qəsdən toplamayın.
Parametrlərdə yaş həddini məhdudlaşdırın və qeydiyyatdan keçərkən yetkinlik yaşına çatmayanların girişini bloklayın.
3. Australian Privacy Principles (APP)
Şəffaflıq: privacy policy-ni saytda və tətbiqin daxilində dərc edin.
Cross-border disclosure: Əgər məlumatlar xaricə göndərilirsə, bu barədə istifadəçiyə məlumat verin.
4. Müştəri hissəsinin təhlükəsizliyi
1. Mənbə kodunun qorunması
Revers mühəndisliyindən qorunmaq üçün JavaScript (PWA) və Native Code (APK/IPA )-ni minimuma endirin və təkmilləşdirin.
Müştəridə API açarları və sirləri saxlamayın - backend vasitəsilə verilən qısa ömürlü tokenlərdən istifadə edin.
2. Üçüncü tərəf SDK nəzarət
Reklam və analitik SDK (AdMob, Unity Ads, Firebase, Adjust) fərdi məlumatlara daxil ola bilməmələri üçün təcrid olunmuş konteynerlərdə işə salın.
SDK-nı vaxtaşırı yeniləyin və onların privacy- və security statuslarını yoxlayın.
3. Anti-cheat və anti-fraud
Tətbiqin (App Attestation/SafetyNet) bütövlüyünün yoxlanılmasını tətbiq edin.
Anormal fəaliyyətləri (kütləvi mikro transformasiyalar, script trafiki) izləyin və şübhəli müştəriləri bloklayın.
5. Server hissəsinin təhlükəsizliyi və DevOps
1. Xidmətlərin izolyasiyası
Oyun serverləri, avtorizasiya və ödənişləri ayrı şəbəkə zonaları və firewall qaydaları ilə müxtəlif mikroservislərə bölün.
2. CI/CD və versiyası nəzarət
CI mərhələsində boşluq skanerlərini (SAST/DAST) açın.
Mütəmadi olaraq asılılıqları yeniləyin və imzalanmış konteyner görüntülərindən istifadə edin.
3. Qeydlərin monitorinqi və auditi
Mərkəzləşdirilmiş giriş və səhv qeydlərini (ELK/Graylog) toplayın, onları write-only rejimində saxlayın.
Şübhəli sorğular, çoxsaylı uğursuz avtorizasiyalar və ya DDoS nümunələri üçün alert 's konfiqurasiya.
6. Hadisələrin emalı siyasəti
1. Cavab planı
Sızma zamanı monitorinq, inventar və kommunikasiya üçün məsul şəxsləri müəyyənləşdirin.
Istifadəçilər və tənzimləyicilər üçün bildiriş şablonlarını hazırlayın.
2. Test və Forensika
Müntəzəm penetration testlər (ildə ən azı 2 dəfə).
Hadisədən sonra qeydləri təhlil edin, zəiflikləri yamaq və daxili və xarici steykholderlər üçün hesabat dərc edin.
Nəticə
Sosial kazinolarda təhlükəsizlik və məxfilik şəxsi məlumatların toplanmasının minimuma endirilməsi, ciddi şifrələmə, GDPR/COPPA/APP standartlarına uyğunluq, müştəri və server kodunun qorunması və hadisələrə dəqiq cavab siyasətinin birləşməsi ilə əldə edilir. Bu tədbirlər istifadəçilərin qorunmasını, tərtibatçıların isə nüfuzlu və hüquqi risklər olmadan sabit işləməsini təmin edir.
