Dette afsnit handler om de krav, der er fastsat til spiludbyderes spilsystem.
Afsnittet indeholder:
- Hvad er omfattet af begrebet spilsystem?
- Certificering af spilsystemet mv.
- Brug af akkrediterede testvirksomheder
- Fysisk placering af spilsystem
- ►Spilportal◄
- Spillemyndighedens afgørelse om tilladelse
Hvad er omfattet af begrebet spilsystem?
►◄
►Spilsystem består af "base platform" og "spilplatform" tilsammen. Definitioner af platformene findes i Spillemyndighedens certificeringsprogram for væddemål og onlinekasino og er følgende:
Base platform:
- System, der anvendes til styring af spilkonti bl.a. kontooprettelse og login, kundeselvbegrænsningsfunktioner og håndtering af spillernes midler herunder system der:
- anvendes til lagring af oplysninger vedrørende kunder og kundernes deltagelse i spil, herunder historiske data og resultatoplysninger
Spilplatform:
- Spil samt system eller andet udstyr, der anvendes til udbud og afvikling af spil, herunder systemer og udstyr der:◄►◄
-
- frembringer og/eller præsenterer spil for spilleren, eller
- fastlægger ►og lagrer◄ resultatet af et spil, eller beregner hvorvidt spilleren har vundet eller tabt ved et spil.
►◄
Certificering af spilsystemet mv.
Spillemyndigheden stiller krav om, at spilsystemer, forretningsgange og forretningssystemer skal testes og inspiceres af en akkrediteret testvirksomhed, før spilsystemet anvendes til udbud af spil.
►Spillemyndighedens certificeringsprogram for væddemål og onlinekasino findes på Spillemyndighedens hjemmeside.
Certificeringsprogrammet for væddemål og onlinekasino omfatter følgende dokumenter, frekvenser, tidsfrister m.v.:◄
| SCP | Navn på dokument | Ansvarlig | Frekvens | Tidsfrist for indsendelse | Indsendelses- metode |
| 00 | Generelle krav | - | - | - | - |
| 01 | Krav til RNG | Spilleverandør og tilladelsesindehaver med egne spil | 12 måneder | 1 måned | Spilportal |
| 02 | Krav til base platform | Tilladelsesindehaver | - | - | - |
| 03 | Ledelsessystem for informationssikkerhed | Spilleverandør og tilladelsesindehaver | 12 måneder | 2 måneder | Kontaktformular |
| 04 | Krav til penetrationstest | Spilleverandør og tilladelsesindehaver | 12 måneder | 2 måneder | Kontaktformular |
| 05 | Krav til sårbarhedsscanning | Spilleverandør og tilladelsesindehaver | 3 måneder | 1 måned | Kontaktformular |
| 06 | Program for styring af systemændringer | Spilleverandør og tilladelsesindehaver | 12 måneder | 2 måneder | Kontaktformular |
| 07 | Krav til spil · 01 Online væddemål · 02 Landbaseret væddemål · 03 Online kasino | Spilleverandør og tilladelsesindehaver med egne spil | 12 måneder | 1 måned | Spilportal |
►◄
►Tilladelsesindehaver er således ansvarlig for certificering af deres base platform. Hvis tilladelsesindehaver udvikler og udbyder egne spil, så er tilladelsesindehaver også ansvarlig for at deres RNG og spilplatform er certificeret.◄
Brug af akkrediterede testvirksomheder
►Kravene til de akkrediterede testvirksomheder og deres ansatte fremgår af de enkelte dokumenter. Kravene omfatter bl.a. akkreditering i henhold til ISO 17020, ISO 17025 og/eller ISO 17065 afhængig af, hvilket dokument i certificeringsprogrammet, der er tale om.
ISO akkrediteringen skal foretages af DANAK (Den Danske Akkrediteringsfond) eller et tilsvarende akkrediteringsorgan, som er medunderskriver af EA’s (European co-operation for Accreditation) multilaterale aftale om gensidig anerkendelse mht. prøvning og inspektion eller for laboratorier udenfor EA’s område af et akkrediteringsorgan, der er medunderskriver af ILAC’s (the International Laboratory Accreditation Co-operation) multilaterale aftale om gensidig anerkendelse mht. prøvning og inspektion.
For at kunne foretage penetrationstest i henhold til SCP.04 kan testvirksomheden i stedet for en ISO akkreditering være CREST akkrediteret for penetrationstest eller være godkendt som Approved Scanning Vendor (ASV). CREST akkrediteringen foretages af CREST. ASV godkendelsen foretages af Payment Card Industry (PCI) Security Standards Council (SSC).
For at kunne foretage sårbarhedsscanning i henhold til SCP.05 anerkender Spillemyndigheden testvirksomheder, som har en CREST akkreditering for sårbarhedsscanning eller godkendt som Approved Scanning Vendor (ASV). CREST akkrediteringen foretages af CREST. ASV godkendelsen foretages af Payment Card Industry (PCI) Security Standards Council (SSC).
Når en testvirksomhed er blevet akkrediteret eller godkendt, kan denne foretage tests, inspektioner og scanninger af spilsystemer, uden yderligere godkendelse af Spillemyndigheden. Det er tilladelsesindehaver, der skal dokumentere overfor Spillemyndigheden, at testvirksomheden har den rette akkreditering eller godkendelse. Dette kan enten ske være via link i den enkelte rapport, hvis akkrediteringen/godkendelsen ligger online, eller som et bilag til standardrapporten.◄
►◄
Fysisk placering af spilsystem
►Der er ikke noget geografisk krav til, hvor tilladelsesindehaverens spilsystem skal være placeret.
Tilladelsesindehaver skal med kort varsel (normalt fem dage) kunne give Spillemyndigheden adgang til at foretage en betryggende kontrol af spilsystemet ved hjælp af fjernadgang eller lignende. Kontrol ved hjælp af fjernadgang sker enten ved, at repræsentanter fra tilladelsesindehaveren møder fysisk op hos Spillemyndigheden eller ved afholdelse af et onlinemøde. Ved begge mødeformer skal repræsentanter fra tilladelsesindehaver kunne give Spillemyndigheden visuel adgang til spilsystemet og vise/demonstrere de funktioner e.l. som Spillemyndigheden ønsker at føre tilsyn med. Spillemyndigheden vurderer og beslutter, hvilken mødeform der anvendes i forhold til det konkrete tilsyn.
Spiludbydere som ansøger om tilladelse kan i forbindelse med ansøgningen anmode om, at kravet om kontrol via fjernadgang fraviges.
Godkendelse af anmodningen om fravigelse forudsætter, at tilladelsesindehaver har tilladelse til udbud af spil i en anden jurisdiktion, hvor en offentlig myndighed fører tilsyn med tilladelsesindehavers spiludbud, og at denne tilsynsmyndighed har indgået en samarbejdsaftale med Spillemyndigheden om tilsynet med tilladelsesindehavers udbud af spil her i landet.
Godkendelse af anmodningen om fravigelse forudsætter desuden, at hele tilladelsesindehaverens spilsystem er dækket af tilsyn af en anden myndighed, også selvom spilsystemet fx ved anvendelse af flere leverandører er geografisk placeret i flere jurisdiktioner.
Se afsnit J.A.17.2.3 om internationalt samarbejde for yderligere oplysninger om Spillemyndighedens bilaterale samarbejdsaftaler. Vær opmærksom på, at det ikke er alle Spillemyndighedens bilaterale samarbejdsaftaler, som opfylder betingelserne for, at man kan fravige kravet om kontrol via fjernadgang.
Hvis tilladelsesindehavers spilsystem er placeret i et offentligt cloudmiljø, og det derfor ikke er muligt at oplyse den faktiske placering af spilsystemet, kan kravet om kontrol via fjernadgang ikke fraviges.◄
►◄
►Spilportal
Tilladelsesindehavere skal registrere i spilportalen, hvilke spil de udbyder fra deres spilleverandører.
Tilladelsesindehavere som udvikler og udbyder egne spil, har desuden samme forpligtelser som spilleverandører til at afgive oplysninger og uploade certifikater om deres egne spil og RNG i spilportalen. For yderligere information om denne forpligtelse henvises til afsnit J.A.24.4.
Hvis tilladelsesindehaver udvikler og udbyder egne spil og samtidig udbyder spil fra spilleverandører vil oplysninger om spil i spilportalen være en kombination af oplysninger afgivet fra både tilladelsesindehaver og spilleverandører.
Hvis RNG og spil udelukkende leveres af spilleverandører vil oplysningerne i spilportalen være afgivet af spilleverandørerne, men tilladelsesindehaver skal registrere, hvilke spil de søger om tilladelse til at udbyde. Denne registrering sker på baggrund af unikke ID’er, som tilladelsesindehaver skal have oplyst fra deres spilleverandør(er).
Adgang til spilportalen
Spillemyndigheden udsteder login-oplysninger til tilladelsesindehaver i forbindelse med ansøgning om tilladelse. Der gives kun adgang til tilladelsesindehavere, som har ansøgt om en tilladelse.
Udbud af egne spil kræver muligvis tilladelse som spilleverandør
Tilladelsesindehavere som udbyder egne udviklede spil skal være opmærksom på, at dette muligvis også kræver ansøgning om en tilladelse som spilleverandør.
Hvis tilladelsesindehaverens egne udviklede spil leveres fra en anden juridisk enhed inden for samme koncern end den juridiske enhed, som er indehaver af tilladelse til at udbyde spil, så kræver det en tilladelse som spilleverandør.
Hvis levering og udbud af egne udviklede spil sker fra samme juridiske enhed, så kræver det ikke en tilladelse som spilleverandør.
Tilladelsesindehavers opdatering af spilportalen i forbindelse med ansøgning om tilladelse
Som hovedregel skal registrering af spil i spilportalen foretages første gang i forbindelse med ansøgningen om tilladelse til at udbyde væddemål og/eller onlinekasino, og tilladelse kan som udgangspunkt ikke udstedes før oplysninger er registreret korrekt.
En undtagelse til dette er fx, hvis en spiludbyder ikke har nogle spil, som på ansøgningstidspunktet, eller i løbet af behandlingen af ansøgningen, er klar til udbud på det danske marked fx fordi der ikke er indgået kontrakter med spilleverandører endnu eller fordi certificeringer af spillene ikke er foretaget. I denne situation kan spiludbyderen ikke afgive oplysninger til spilportalen i forbindelse med ansøgningen. Forudsat at tilladelse opnås, skal tilladelsesindehaver registrere deres spil i spilportalen før spillene udbydes på det danske marked.◄
Spillemyndighedens afgørelse om tilladelse
Hvis Spillemyndigheden finder, at kravene til faglig forsvarlig drift ikke er opfyldt, kan det medføre et afslag på ansøgning om tilladelse.