Dette afsnit handler om de krav, der er fastsat til spilvirksomhedens spilsystem.

Afsnittet indeholder:

  • Hvad er omfattet af begrebet spilsystem?
  • Certificering af spilsystemet mv.
  • Brug af akkrediterede testvirksomheder
  • Fysisk placering af spilsystem
  • Spillemyndighedens afgørelse om tilladelse

Hvad er omfattet af begrebet spilsystem?

Spillemyndigheden definerer spilsystemet som et elektronisk system eller andet udstyr, der anvendes af eller på vegne af tilladelsesindehavere, herunder udstyr, der

  • anvendes til lagring af oplysninger vedrørende en persons deltagelse i spil, herunder historiske data, og resultatoplysninger,
  • frembringer og/eller præsenterer spil for spilleren, eller
  • fastlægger resultatet af et spil, eller beregner, hvorvidt spilleren har vundet eller tabt ved spillet.

Nedenfor er illustreret hvilke komponenter der (normalt) anvendes til at udbyde spil online, og hvilke af disse komponenter, der anses for at være omfattet af spilsystemet. Betalingsformidling og SAFE er ikke en del af spilsystemet.

Beskrivelse af de forskellige komponenter i figur

  • "Front End" er udtryk for den del af systemet, som spilleren interagerer med, hvilket vil sige hjemmesiden, herunder serveren, som hjemmesiden afvikles på/fra. Det omfatter også klientsoftware installeret på kundens computer og/eller mobiltelefon.
  • "Back Office" er udtryk for den del af et system, hvor kundespecifikke data er gemt. Som minimum vil der være tale om spillerens identitetsoplysninger og finansielle data, og i nogle tilfælde vil spildata også være opbevaret her.
  • "Data Warehouse" er udtryk for den del af systemet, hvor systemgenereret data struktureres og opbevares. I ovennævnte illustration vil der som udgangspunkt være tale om spildata, men i visse tilfælde kan finansielle data også være opbevaret her.
  • "Spilafvikling" er Spillemyndighedens udtryk for den del af systemet, der fastlægger resultatet af et spil, eller beregner hvorvidt spilleren har vundet eller tabt ved spillet. Tilfældighedsgeneratoren med støtteprocesser samt systemet til afvikling af væddemål o.l. findes her. Spil, der leveres af leverandører, er også omfattet af spilsystemet.

Certificering af spilsystemet mv.

Spillemyndigheden stiller krav om, at spilsystemer, forretningsgange og forretningssystemer skal certificeres af en akkrediteret testvirksomhed, før spilsystemet anvendes til udbud af spil.

Spilsystemet skal certificeres første gang inden der kan udstedes en tilladelse til udbud af spil. Herefter skal tilladelsesindehaveren til hver en tid have en gyldig certificering.

Kravene til certificeringerne er beskrevet i syv dokumenter.

  • Generelle krav
  • Teststandarder
  • Inspektionsstandarder
  • Ledelsessystem for informationssikkerhed
  • Retningslinjer for indtrængningsefterprøvning
  • Retningslinjer for sårbarhedsscanning
  • Program for styring af systemændringer.

Test- og inspektionsstandarder er opdelt på forskellige spilområder, mens de resterende dokumenter gælder på tværs. 

For at blive en akkrediteret testvirksomhed, og derved være godkendt til at certificere efter de forskellige dokumenter, skal testvirksomheden leve op til krav, der er beskrevet i de enkelte dokumenter.

Dokumenterne og deres krav er:

Dokumentkode

Beskrivelse

00.00

Generelle krav

Overordnede krav og rammen for certificeringerne.

01.00

Teststandarder

Random Number Generator (RNG) og jackpots.

02.00

Inspektionsstandarder

Spilleregler, registrering, driftsrapporteringer, kundeoversigt, betingelser og vilkår, registrering, sikkerhed, mistænkelig spilleradfærd osv.

03.00

Ledelsessystem for informationssikkerhed

Informationssikkerhed osv. (revision af procedurer)

04.00

Retningslinjer for indtrængningsefterprøvning

Informationssikkerhed (efterprøvning)

05.00

Retningslinjer for sårbarhedsefterprøvning

Informationssikkerhed (scanning)

06.00

Program for styring af systemændringer

Krav til procedurer for ændringshåndtering i spilsystemer

Den akkrediterede testvirksomhederne skal certificere med udgangspunkt i de krav, der fremgår af ovenstående dokumenter. Resultatet af certificering skal indrapporteres til Spillemyndigheden via standardrapporter, som findes på spillemyndigheden.dk

Certificeringsfrekvenser:

Tilladelsesindehaver er ansvarlig for at sikre, at certificering sker med følgende frekvenser:

Dokumentkode

Frekvens

00.00

Generelle krav

-

01.00

Teststandarder

Interval på maksimalt 12 måneder

02.00

Inspektionsstandarder

Interval på maksimalt 12 måneder

03.00

Ledelsessystem for informationssikkerhed

Interval på maksimalt 12 måneder

04.00

Retningslinjer for indtrængningsefterprøvning

Interval på maksimalt 12 måneder

05.00

Retningslinjer for sårbarhedsefterprøvning

Interval på maksimalt 3 måneder

06.00

Program for styring af systemændringer

Interval på maksimalt 12 måneder (procedurer) og

Interval på maksimalt 3 måneder (faktiske ændringer)

Ved certificeringer, der skal foretages med interval på maksimalt 12 måneder har tilladelsesindehaver en frist på 2 måneder, fra certificeringen er foretaget, til at indsende certificeringsrapporten for den pågældende certificering.

Ved certificeringer, der skal foretages med interval på maksimalt 3 måneder har tilladelsesindehaver en frist på 1 måned, fra certificeringen er foretaget, til at indsende certificeringsrapporten for den pågældende certificering.

Brug af akkrediterede testvirksomheder

I de enkelte dokumenter er der angivet krav til den testvirksomhed, som skal udføre certificeringerne. Testvirksomheden skal oprette et revisionsprogram baseret på Spillemyndighedens certificeringsprogram og på denne baggrund opnå en ISO 17025- eller en ISO 17020-akkreditering.

Akkrediteringen af testhusene foretages af Den Danske Akkrediteringsfond (DANAK) eller et tilsvarende akkrediteringsorgan, som er omfattet af European co-operation for Accreditations multilaterale aftale om gensidig anerkendelse eller medlem af International Laboratory Accreditation Cooperation.

For at kunne foretage indtrængningsefterprøvning og sårbarhedsscanning er det desuden et krav at testvirksomheden er godkendt som Approved Scanning Vender (ASV). Godkendelsen foretages af Payment Card Industry (PCI) Security Standards Council (SSC).

Når en testvirksomhed er blevet akkrediteret og/eller godkendt, kan den uden Spillemyndighedens godkendelse, foretage certificeringer af spilsystem mv.

Det er tilladelsesindehaver, der skal dokumentere over for Spillemyndigheden, at testvirksomheden overholder fastsatte krav til akkrediterede testvirksomheder. Dette sker ved at sende dokumentation for testvirksomhedens ISO-akkreditering og/eller ASV-godkendelse sammen med certificeringsrapporterne eller ved at linke til ISO akkrediteringen i selve rapporterne.

Fysisk placering af spilsystem

Der er ikke noget geografisk krav til, hvor tilladelsesindehaverens spilsystem skal være placeret.

Tilladelsesindehaver skal med kort varsel (normalt fem dage) kunne give Spillemyndigheden adgang til at foretage en betryggende kontrol af spilsystemet ved hjælp af fjernadgang eller lignende. Kontrol ved hjælp af fjernadgang sker ved, at repræsentanter fra tilladelsesindehaveren møder fysisk op hos Spillemyndigheden og herfra giver Spillemyndigheden adgang til at foretage tilsyn med spilsystemet.

Spiludbydere kan anmode om, at kravet om kontrol via fjernadgang fraviges, hvis tilladelsesindehaver har tilladelse til udbud af spil i en anden jurisdiktion, hvor en offentlig myndighed fører tilsyn med tilladelsesindehavers spiludbud, og denne tilsynsmyndighed har indgået en aftale med Spillemyndigheden om tilsynet med tilladelsesindehavers udbud af spil her i landet. Godkendelse af fravigelsen forudsætter, at hele tilladelsesindehaverens spilsystem er dækket af tilsyn af en anden myndighed, også selvom spilsystemet fx ved anvendelse af flere leverandører er geografisk placeret i flere jurisdiktioner.

Spillemyndighedens afgørelse om tilladelse

Hvis Spillemyndigheden finder, at kravene til faglig forsvarlig drift ikke er opfyldt, kan det medføre et afslag på ansøgning om tilladelse.