Dette afsnit handler om de krav, der er fastsat til spilvirksomhedens spilsystem.
Afsnittet indeholder:
- Hvad er omfattet af begrebet spilsystem?
- Certificering af spilsystemet mv.
- Brug af akkrediterede testvirksomheder
- Fysisk placering af spilsystem
- Spillemyndighedens afgørelse om tilladelse
Hvad er omfattet af begrebet spilsystem?
Spillemyndigheden definerer spilsystemet som et elektronisk system eller andet udstyr, der anvendes af eller på vegne af tilladelsesindehavere, herunder udstyr, der
- anvendes til lagring af oplysninger vedrørende en persons deltagelse i spil, herunder historiske data, og resultatoplysninger,
- frembringer og/eller præsenterer spil for spilleren, eller
- fastlægger resultatet af et spil, eller beregner, hvorvidt spilleren har vundet eller tabt ved spillet.
Nedenfor er illustreret hvilke komponenter der (normalt) anvendes til at udbyde spil online, og hvilke af disse komponenter, der anses for at være omfattet af spilsystemet. Betalingsformidling og SAFE er ikke en del af spilsystemet.
Beskrivelse af de forskellige komponenter i figur
- "Front End" er udtryk for den del af systemet, som spilleren interagerer med, hvilket vil sige hjemmesiden, herunder serveren, som hjemmesiden afvikles på/fra. Det omfatter også klientsoftware installeret på kundens computer og/eller mobiltelefon.
- "Back Office" er udtryk for den del af et system, hvor kundespecifikke data er gemt. Som minimum vil der være tale om spillerens identitetsoplysninger og finansielle data, og i nogle tilfælde vil spildata også være opbevaret her.
- "Data Warehouse" er udtryk for den del af systemet, hvor systemgenereret data struktureres og opbevares. I ovennævnte illustration vil der som udgangspunkt være tale om spildata, men i visse tilfælde kan finansielle data også være opbevaret her.
- "Spilafvikling" er Spillemyndighedens udtryk for den del af systemet, der fastlægger resultatet af et spil, eller beregner hvorvidt spilleren har vundet eller tabt ved spillet. Tilfældighedsgeneratoren med støtteprocesser samt systemet til afvikling af væddemål o.l. findes her. Spil, der leveres af leverandører, er også omfattet af spilsystemet.
Certificering af spilsystemet mv.
Spillemyndigheden stiller krav om, at spilsystemer, forretningsgange og forretningssystemer skal testes og inspiceres af en akkrediteret testvirksomhed, før spilsystemet anvendes til udbud af spil.
Spilsystemet skal foretage test og inspektion første gang inden der kan udstedes en tilladelse til udbud af spil. Herefter skal tilladelsesindehaveren til hver en tid have en gyldig certificering.
Kravene til certificeringerne er beskrevet i syv dokumenter.
- Generelle krav
- Teststandarder
- Inspektionsstandarder
- Ledelsessystem for informationssikkerhed
- Retningslinjer for indtrængningsefterprøvning
- Retningslinjer for sårbarhedsscanning
- Program for styring af systemændringer.
Test- og inspektionsstandarder er opdelt på forskellige spilområder, mens de resterende dokumenter gælder på tværs.
For at blive en akkrediteret testvirksomhed, og derved være godkendt til at teste og inspicere efter de forskellige dokumenter, skal testvirksomheden leve op til krav, der er beskrevet i de enkelte dokumenter.
Dokumenterne og deres krav er:
Dokumentkode | Beskrivelse |
00.00 | Generelle krav | Overordnede krav og rammen for certificeringerne. |
01.00 | Teststandarder | Random Number Generator (RNG) og jackpots. |
02.00 | Inspektionsstandarder | Spilleregler, registrering, driftsrapporteringer, kundeoversigt, betingelser og vilkår, registrering, sikkerhed, mistænkelig spilleradfærd osv. |
03.00 | Ledelsessystem for informationssikkerhed | Informationssikkerhed osv. (revision af procedurer) |
04.00 | Retningslinjer for penetrationstest | Informationssikkerhed (efterprøvning) |
05.00 | Retningslinjer for sårbarhedsscanning | Informationssikkerhed (scanning) |
06.00 | Program for styring af systemændringer | Krav til procedurer for ændringshåndtering i spilsystemer |
Den akkrediterede testvirksomhederne skal teste og inspicere med udgangspunkt i de krav, der fremgår af ovenstående dokumenter. Resultatet af test og inspektion skal indrapporteres til Spillemyndigheden via standardrapporter, som findes på spillemyndigheden.dk.
Certificeringsfrekvenser:
Tilladelsesindehaver er ansvarlig for at sikre, at certificering sker med følgende frekvenser:
Dokumentkode | Frekvens |
00.00 | Generelle krav | - |
01.00 | Teststandarder | Interval på maksimalt 12 måneder |
02.00 | Inspektionsstandarder | Interval på maksimalt 12 måneder |
03.00 | Ledelsessystem for informationssikkerhed | Interval på maksimalt 12 måneder |
04.00 | Retningslinjer for penetrationstest | Interval på maksimalt 12 måneder |
05.00 | Retningslinjer for sårbarhedsscanning | Interval på maksimalt 3 måneder |
06.00 | Program for styring af systemændringer | Interval på maksimalt 12 måneder (procedurer) og |
Ved certificeringer, der skal foretages med interval på maksimalt 12 måneder har tilladelsesindehaver en frist på 2 måneder, fra test og inspektion er foretaget, til at indsende certificeringsrapporten for den pågældende certificering.
Ved sårbarhedsscanning, der skal foretages med interval på maksimalt 3 måneder har tilladelsesindehaver en frist på 1 måned, fra test og inspektion er foretaget, til at indsende certificeringsrapporten for den pågældende certificering.
Brug af akkrediterede testvirksomheder
I de enkelte dokumenter er der angivet krav til den testvirksomhed, som skal udføre test og inspektion. Testvirksomheden skal oprette et revisionsprogram baseret på Spillemyndighedens certificeringsprogram og på denne baggrund opnå en ISO 17020, ISO17021-1 eller ISO17065-akkreditering.
Akkrediteringen af testhusene foretages af Den Danske Akkrediteringsfond (DANAK) eller et tilsvarende akkrediteringsorgan, som er omfattet af European co-operation for Accreditations multilaterale aftale om gensidig anerkendelse eller medlem af International Laboratory Accreditation Cooperation.
For at kunne foretage penetrationstest og sårbarhedsscanning er det desuden et krav at testvirksomheden er godkendt som Approved Scanning Vender (ASV). Godkendelsen foretages af Payment Card Industry (PCI) Security Standards Council (SSC).
Når en testvirksomhed er blevet akkrediteret og/eller godkendt, kan den uden Spillemyndighedens godkendelse, foretage test og inspektion af spilsystem mv.
Det er tilladelsesindehaver, der skal dokumentere over for Spillemyndigheden, at testvirksomheden overholder fastsatte krav til akkrediterede testvirksomheder. Dette sker ved at sende dokumentation for testvirksomhedens ISO-akkreditering og/eller ASV-godkendelse sammen med certificeringsrapporterne eller ved at linke til ISO akkrediteringen i selve rapporterne.
Fysisk placering af spilsystem
Der er ikke noget geografisk krav til, hvor tilladelsesindehaverens spilsystem skal være placeret.
Tilladelsesindehaver skal med kort varsel (normalt fem dage) kunne give Spillemyndigheden adgang til at foretage en betryggende kontrol af spilsystemet ved hjælp af fjernadgang eller lignende. Kontrol ved hjælp af fjernadgang sker fx ved, at repræsentanter fra tilladelsesindehaveren møder fysisk op hos Spillemyndigheden og herfra giver Spillemyndigheden adgang til at foretage tilsyn med spilsystemet.
Spiludbydere kan anmode om, at kravet om kontrol via fjernadgang fraviges, hvis tilladelsesindehaver har tilladelse til udbud af spil i en anden jurisdiktion, hvor en offentlig myndighed fører tilsyn med tilladelsesindehavers spiludbud, og denne tilsynsmyndighed har indgået en aftale med Spillemyndigheden om tilsynet med tilladelsesindehavers udbud af spil her i landet. Godkendelse af fravigelsen forudsætter, at hele tilladelsesindehaverens spilsystem er dækket af tilsyn af en anden myndighed, også selvom spilsystemet fx ved anvendelse af flere underleverandører er geografisk placeret i flere jurisdiktioner.
►For at kunne fravige kravet om fjernadgang kræver det således at hele spilsystemet, inklusive komponenter, som leveres af eventuelle underleverandører, er placeret i en jurisdiktion, hvor en offentlig myndighed kan føre tilsyn på Spillemyndighedens vegne.
Se afsnit J.A.17.2.3 om Internationalt samarbejde for yderligere oplysninger om Spillemyndighedens bilaterale samarbejdsaftaler. Vær opmærksom på, at det ikke er alle Spillemyndighedens bilaterale samarbejdsaftaler, som opfylder betingelserne for, at man kan fravige kravet om kontrol via fjernadgang.
Hvis tilladelsesindehavers spilsystem er placeret i et offentligt cloudmiljø, og det derfor ikke er muligt at oplyse den faktiske placering af spilsystemet, kan kravet om kontrol via fjernadgang ikke fraviges.◄
Spillemyndighedens afgørelse om tilladelse
Hvis Spillemyndigheden finder, at kravene til faglig forsvarlig drift ikke er opfyldt, kan det medføre et afslag på ansøgning om tilladelse.