Indhold

Spillelovgivningen stiller en række krav til de systemer, der anvendes af spiludbydere, som ønsker at opnå tilladelse til at udbyde onlinespil. Afsnittet indeholder:

  • Definition af begrebet "spilsystem"
  • Normalt anvendte systemkomponenter ved udbud af spil online
  • Krav til spilsystemet
  • Placering af spilsystemet
  • Systemkomplekset
  • Certificering af spilsystemet

Definition af begrebet "spilsystem"

Et spilsystem defineres i BEK nr. 66/2012 § 25 og BEK nr. 67/2012 § 25 som: "IT-udstyr, der anvendes til udbud af onlinekasino eller væddemål. Definitionen af spilsystem i bekendtgørelserne henviser herudover til bilag 1 til disse bekendtgørelser. Af bilag 1 til bekendtgørelserne følger det, at et spilsystem er kendetegnet ved at være: "Elektronisk eller andet udstyr, der anvendes af eller på vegne af tilladelsesindehavere, herunder udstyr der:

  • anvendes til lagring af oplysninger vedrørende en persons deltagelse i spil, herunder historiske data, og resultatoplysninger
  • frembringer og/eller præsenterer spil for spilleren
  • fastlægger resultatet af et spil, eller beregner hvorvidt spilleren har vundet eller tabt ved spillet."

Spilsystemet indgår som en del af det samlede, såkaldte "systemkompleks".

Bemærk

Ovennævnte BEK nr. 66 og 67, begge af 25/01/2012 finder også anvendelse for Grønland.

Normalt anvendte systemkomponenter ved udbud af spil online

Spiludbyder kan som udgangspunkt selv sammensætte sit spilsystem til udbud af spil online. Det forudsætter dog at dette spilsystem lever op til de krav, som generelt gælder for sådanne spilsystemer med hensyn til placering og indhold.

Nedenfor er illustreret og beskrevet hvilke komponenter, som normalt anvendes til at udbyde spil online, og som samtidig normalt anses for at være omfattet af spilsystemet.

Illustration 1:

Illustration 2:

Bemærk

Betalingsformidling, SAFE, Tamper Token og ROFUS er ikke en del af begrebet "spilsystem". SAFE, Tamper Token og ROFUS er derimod en del af det samlede systemkompleks.                     

Beskrivelse af de forskellige komponenter:

Betegnelsen...

Dækker over...

Front End

den del af et system, som kunden interagerer med. Dette vil normalt sige hjemmesiden, herunder serveren som hjemmesiden afvikles på eller fra og klientsoftware, som er installeret på kundens computer og/eller mobiltelefon.

Back End eller Back Office

den del af et system, hvor kundespecifikke data er gemt. Som minimum vil der være tale om kundens identitetsoplysninger og finansielle data. I nogle tilfælde vil også spildata være opbevaret her.  

Data Warehouse eller SAFE

den del af et system, hvor systemgeneret data struktureres og opbevares. I ovennævnte illustration vil der som udgangspunkt være tale om spildata, men i visse tilfælde kan finansielle data også være opbevaret her.

"Spilafvikling"

Spillemyndighedens udtryk for den del af systemet, der fastlægger resultatet af et spil, eller beregner hvorvidt spilleren har vundet eller tabt ved spillet. Heri indgår tilfældigheds-generatoren med støtteprocesser, samt systemet til afvikling af væddemål og lignende.

Om "tilfældighedsgeneratoren"

Tilfældighedsgeneratoren eller RNG (Random Number Generator) er normalt placeret i "Spilafvikling", som er en del af spilsystemet.

Spillelovgivningen stiller visse krav til tilladelsesindehavers overvågning af RNG for at sikre både pålidelighed og tilgængelighed.

Spil, hvor resultatet fremstilles som tilfældigt, skal baseres på en certificeret RNG og dertilhørende funktionalitet (seeding, kortlægning, blanding osv.).

Kravene til en RNG fremgår af Spillemyndighedens tekniske standarder punkt 4.9.

Krav til spilsystemet

Tilladelsesindehavers spilsystemer, forretningsgange og forretningssystemer skal certificeres af en akkrediteret testvirksomhed, før spilsystemet anvendes til udbud af online væddemål eller onlinekasino. Spillemyndigheden kan fastsætte krav til certificeringen.

Se § 26, stk. 1 i BEK nr. 66/2012 og § 26, stk. 1 i BEK nr. 67/2012.

Spillemyndigheden kan til enhver tid kræve at tilladelsesindehaver foretager yderligere test, verifikation og certificering af et spilsystem, efter at spilsystemet er blevet certificeret.

Se § 27 i BEK nr. 66/2012 og § 27 i BEK nr. 67/2012.

Om testvirksomheder

Spillemyndigheden kan efter § 26, stk. 2 i BEK nr. 66/2012 og § 26, stk. 2 i BEK nr. 67/2012 fastsætte krav til, hvordan testvirksomheder bliver akkrediteret.

Eksempel på krav i certificeringsprogram

Som et eksempel på de krav, som stilles i certificeringsprogrammet kan det nævnes, at spil, hvor resultatet fremstilles som tilfældigt, skal baseres på en certificeret Random Number Generator eller tilfældighedsgenerator (RNG) og dertilhørende funktionalitet (seeding, kortlægning, blanding osv.).

Krav til en RNG fremgår af dokumentet "Spillemyndighedens tekniske standarder" punkt 4.9.

Bemærk

Certificeringsprogrammerne og Spillemyndighedens krav til akkreditering af testvirksomheder findes på Spillemyndighedens hjemmeside, www.spillemyndigheden.dk.

Placering af spilsystemet

Spilsystemet skal som udgangspunkt være placeret i Danmark. Spillemyndigheden kan dog godkende, at spilsystemet er placeret i et andet land, hvis

  • spiludbyder har tilladelse til udbud af spil i et andet land, hvor en offentlig myndighed fører tilsyn med tilladelsesindehavers spiludbud, og denne tilsynsmyndighed har indgået en aftale med Spillemyndigheden om tilsynet med tilladelsesindehavers udbud af spil her i landet eller
  • spiludbyder kan give Spillemyndigheden adgang til at foretage en betryggende kontrol af spilsystemet ved hjælp af fjernadgang eller lignende.

Se BEK nr. 66/2012 § 25 og BEK nr. 67/2012 § 25.

Systemkomplekset

Spilsystemet indgår som en del af det såkaldte "systemkompleks".

Definition af begrebet "systemkompleks"

Det samlede systemkompleks består af:

  • tilladelsesindehavers spilsystem,
  • tilladelsesindehavers datalager (SAFE),
  • et sikkerhedssystem (Tamper Token) og
  • et register over frivilligt udelukkede spillere (ROFUS).

Om SAFE, Tamper Token og ROFUS

Dansk spillelovgivning stiller visse krav til indretningen af spilkomplekset, herunder navnlig i relation til SAFE, Tamper Token og ROFUS.

Kravet om brug af SAFE, Tamper Token og ROFUS

Ved onlinekasino er der et krav at der etableres SAFE samt om brug af Tamper Token. Derudover skal der ved online udbud af spil ske opkobling til Spillemyndighedens register over frivilligt udelukkede spillere (ROFUS). Se bilag 1 til BEK nr. 66/2012 og bilag 1 til BEK nr. 67/2012.

Bemærk, at SAFE, Tamper Token og ROFUS ikke udgør en del af "spilsystemet" men er en del af det samlede systemkompleks.

Definitioner på SAFE, Tamper Token og ROFUS samt krav til disse dele af spilkomplekset

SAFE

SAFE er tilladelsesindehavers eget datalager (en filserver), hvor der skal opbevares data i henhold til såkaldte "Standard Records" for alle spil, der er gennemført hos tilladelsesindehaver. Alle tilladelsesindehavere skal etablere et SAFE. SAFE kan etableres både som en fysisk og virtuel server. Det afgørende i forhold til kravet om fysisk adskillelse mellem SAFE og spilsystem er, at SAFE ikke optræder på samme Local-Area-Network (LAN) som spilsystemet.

Standard Records

Krav til spildata kaldes også for Standard Records. Der stilles til henholdsvis online væddemål og onlinekasino grundlæggende krav om, at tilladelsesindehaver skal gemme spildata på SAFE i XML-filer med felter og med en frekvens, som Spillemyndigheden offentliggør.  Se bilag 1 til henholdsvis BEK nr. 66/2012 og BEK 67/2012.

For spiltyper, der falder uden for begreberne: EndOfDay, PokerTurnering, PokerCashGame, Kasinospil og Jackpot, aftales det med Spillemyndigheden, hvordan spildata skal gemmes på SAFE. Dette skal gennemføres forud for udbud af spil.

Spillemyndigheden offentliggør en teknisk beskrivelse af det format, hvori spildata til SAFE skal sendes (Standard Records).

Spillemyndigheden skal kunne få online adgang til datalageret hos tilladelsesindehaver. Herudover skal der etableres et "back-up" SAFE, der skal være geografisk adskilt fra det primære SAFE.

Tamper Token

Tamper Token er et sikkerhedssystem. Formålet med Tamper Token er, at de sikrede data, som tilladelsesindehaver lægger i sit SAFE, ikke bliver ændret, mens de opbevares hos tilladelsesindehaver. Tamper Token implementeres hos Spillemyndigheden og håndterer i øvrigt:

  • Oprettelsen af nøgler (tokens), der anvendes ved beregning af identifikationskoder.
  • Opbevaringen af identifikationskoder til senere kontrol.
  • Løbende kontrol af, at den fastlagte tidsperiode for afslutning af tokens overholdes.
  • Verifikation af, at en hentet serie af data ikke er ændret i forhold til den modtagne identifikationskode.

ROFUS

Register Over Frivilligt Udelukkede Spillere (ROFUS) er et register over alle de spillere i Danmark, som frivilligt har ønsket at udelukke sig midlertidigt eller endeligt fra at kunne spille online spil i Danmark. Registret er placeret hos Spillemyndigheden, der har ansvaret for at føre registret. Hvis en spiller ønsker at registrere sig i registret, skal tilladelsesindehaver formidle adgang til Spillemyndighedens hjemmeside, hvorfra udelukkelse kan ske.

Tilladelsesindehaver skal ved oprettelse af en ny spiller, og ved hvert login konsultere ROFUS. Spilleren skal nægtes adgang til at spille, hvis dette er opført i registeret. Hvis kunden har en spilkonti, og denne er opført i ROFUS som endeligt udelukket, skal kunden konto lukkes.

Se § 17 i BEK nr. 66/2012 og § 19 i BEK nr. 67/2012.

Bemærk

Ud over at være forpligtet til at formidle adgang til ROFUS, skal tilladelsesindehaver stille en funktion til rådighed for spilleren, der gør det muligt for spilleren at anmode om midlertidig eller endelig udelukkelse fra spil hos den pågældende spiludbyder. Tilladelsesindehaver skal sikre, at spilleren ikke kan indgå nye spil, efter at spilleren har anmodet om udelukkelse.

Spilsystemet skal således stille funktioner til rådighed for spillerne nemt kan begrænse deres spil hos den konkrete tilladelsesindehaver. Funktionen adskiller sig fra ROFUS, da der alene er tale om udelukkelse fra den konkrete tilladelsesindehavers spil.

Spilleren skal som minimum have mulighed for:

  • kortvarige spilpauser (afkølingsperioder)på 24 timer,
  • udelukkelse i mindst en kalendermåned, og
  • udelukkelse for en ubegrænset periode.

Varigheden afpasses efter den danske kalender.

Straks efter modtagelsen af anmodning om selvudelukkelse må spilsystemet ikke acceptere nye indsatser eller indbetalinger fra spilleren (ufærdige spil kan afsluttes indenfor spillereglerne). Spilleren skal samtidigt informeres om rådgivnings- og behandlingstilbud for ludomani på et dansk behandlingscenter.

Selvvalgte restriktioner kan ikke i sig selv forhindre spilleren i at få udbetalt midler fra spilkontoen (adgangen til midlerne kan dog være begrænset af andre grunde, fx hvis en undersøgelse er i gang).

Hvis spilleren endeligt udelukker sig fra spil (dvs. uden at begrænse varigheden), skal dennes spilkonto lukkes, og en spilkonto for den samme spiller må ikke oprettes i minimum 1 år.

Straks efter modtagelsen af en anmodning om endelig udelukkelse skal spilsystemet meddele spilleren, at alle frigivne midler bliver udbetalt fra spilkontoen.

Alle funktioner i spilsystemet der vedrører selvudelukkelse (midlertidig og endelig) skal oplyse spilleren om muligheden for at registrere sig i Spillemyndighedens register for selvudelukkede personer og linke til registret.

Det er i denne forbindelse væsentligt at være opmærksom på, at ROFUS er et særskilt værktøj, der administreres af Spillemyndigheden. ROFUS skal således skal holdes adskilt fra funktioner, som gør det muligt for spilleren at anmode om midlertidig eller endelig udelukkelse fra spil hos den pågældende spiludbyder.

Spilsystemet skal også give spilleren nem adgang til at fastsætte indbetalingsgrænser.  Spilleren skal som minimum have mulighed for at fastsætte følgende indbetalingsgrænser:

  • beløbsgrænse for samlede daglige indbetalinger på spilkontoen,
  • beløbsgrænse for samlede ugentlige indbetalinger på spilkontoen, og
  • beløbsgrænse for samlede månedlige indbetalinger på spilkontoen.

Varigheden afpasses efter den danske kalender.

Så snart anmodning fra en spiller om en indbetalingsgrænse modtages, skal grænsen implementeres for alle fremtidige spilleaktiviteter. Grænsen kan dog implementeres ved spillerens næste login, hvis spilleren logges af spilsystemet i forbindelse med fastsættelsen af indbetalingsgrænsen.

Spilsystemet skal sikre, at der går mindst 24 timer fra en anmodning om en mindre restriktiv indbetalingsgrænse, til denne bliver implementeret af spilsystemet.

Se § 16, stk. 1 i BEK nr. 66/2012 samt bilag 1 hertil og § 18, stk. 1 i BEK nr. 67/2012 samt bilag 1 hertil.

Se også

Se også:

For en mere teknisk beskrivelse af ovennævnte dele af spilkomplekset henvises til www.spillemyndigheden.dk, hvor der under punktet: "Tekniske krav og servicebeskrivelser", kan findes yderligere information. Der henvises ligeledes til bilag 1 til BEK nr. 66/2012 og BEK nr. 67/2012.

Certificering af spilsystemet

Generelt om certificering af spilsystemet

Spillemyndigheden benytter sig af akkrediterede testvirksomheder i forbindelse med tilsynet med tilladelsesindehavers spilsystem og tilhørende processer. Rammerne for dette tilsyn findes i Spillemyndighedens certificeringsprogram, der består af:

  • Spillemyndighedens krav til akkrediterede testvirksomheder
  • Spillemyndighedens program for styring af systemændringer
  • Spillemyndighedens tekniske standarder.

Se Spillemyndighedens certificeringsprogram på Spillemyndighedens hjemmeside.

Certificeringsprogrammet opstiller

  • krav til hvordan testvirksomheder akkrediteres (af akkrediteringsorganer som fx DANAK i Danmark) for at certificere tilladelsesindehavere,
  • krav som tilladelsesindehavere skal opfylde for at blive certificeret af akkrediterede testvirksomheder.

Særlig relevant for akkrediterede testvirksomheder

Spillemyndigheden stiller krav til testvirksomheder for, at de kan akkrediteres til at certificere tilladelsesindehavere. For at gøre det muligt for en bred vifte af virksomheder at opnå akkreditering, er kravene opdelt i fem certificeringskategorier, benævnt A, B, C, D og E. Certificeringskategorierne fokuserer hver især på et bestemt område af certificeringsprogrammet og afgrænser derfor også de formelle krav, som testvirksomheden skal opfylde.

Når testvirksomheden har udarbejdet et test-, eller revisions-program med udgangspunkt i "Spillemyndighedens program for styring af systemændringer" og/eller "Spillemyndighedens tekniske standarder", samt har sikret sig, at de fornødne kompetencer er til stede i virksomheden, akkrediteres det pågældende selskab af et akkrediteringsorgan. Selskabet kan herefter certificere tilladelsesindehavere.

Akkrediteringen skal fornyes en gang om året, men der vil i de fleste tilfælde være tale om opdateringer af en eksisterende akkreditering.

Særlig relevant for tilladelsesindehavere

"Spillemyndighedens program for styring af systemændringer" og "Spillemyndighedens tekniske standarder" opstiller en række konkrete krav til tilladelsesindehavers spilsystem og tilhørende processer. For at opnå certificering skal en akkrediteret testvirksomhed foretage test/audit/revision hos tilladelsesindehaver og dennes eventuelle underleverandører, for på den måde at sikre at tilladelsesindehaver lever op til kravene.