Dette afsnit handler om kravene til faglig forsvarlig drift af et onlinekasino. Se SPILL § 29.
Afsnittet indeholder:
- Personer.
- Tilslutning til SAFE og godkendelse af testdata
- Anvendelse af TamperToken og ROFUS.
- Afsluttende vurdering af gennemførte kontroller.
Personer
En ansøger skal have medarbejdere i sine spilvirksomheder, der kan varetage visse funktioner ved udøvelsen af virksomheden.
Regel
Det fremgår af bilag 1 til bekendtgørelse om onlinekasino, at tilladelsesindehaver skal have personer ansat med følgende organisatoriske roller:
Der skal være en ansvarlig for
- Spilsoftware og driften af spil.
- IT-sikkerhed.
- Systemændringer.
- Overvågning af hvidvask af udbytte og finansiering af terror.
- Økonomi, herunder sikring af, at afgiften bliver angivet korrekt.
Tilladelsesindehaver skal oplyse Spillemyndigheden om, hvem der bestrider ansvarsområderne.
Faglige krav til personerne
Personerne skal i form af uddannelse, ansættelsesforhold mv. kunne dokumentere over for Spillemyndigheden, at de er kompetente til at bestride rollen.
Skal personerne være ansat ved ansøger?
Som udgangspunkt bør de ansvarlige være ansat i tilladelsesindehavers selskab. Det kan dog accepteres, at personer, der er ansat fx i samme koncern tildeles en ansvarshavende rolle, hvis det kan garanteres, at personerne har beføjelser til at etablere foranstaltninger og gennemføre nødvendige ændringer. Personerne skal også tilvejebringe og redegøre for al information og dokumentation, som Spillemyndigheden måtte have behov for.
Tilslutning til SAFE og godkendelse af testdata
Bilag 1 til bekendtgørelserne stiller krav om etablering af SAFE. I forbindelse med behandlingen af en ansøgning om tilladelse, skal der gennemføres test af ansøgerens anvendelse af SAFE og godkendes testdata.
SAFE
Alle tilladelsesindehavere skal etablere et SAFE. SAFE er et datalager (en filserver) hos tilladelsesindehaver, hvor der skal opbevares data i henhold til "Spillemyndighedens krav til rapportering af spildata" for alle spil, der er gennemført hos tilladelsesindehaver, og som er omfattet af tilladelsen. Spillemyndigheden skal kunne få adgang til tilladelsesindehavers SAFE via en sikker FTP-forbindelse.
Test af adgang til SAFE
Spillemyndigheden skal kunne tilgå SAFE og hente data. Der skal oplyses brugernavn, password, IP-adresse til at kalde TamperToken samt IP-adresse og eventuelt URL til SAFE. Oplysningerne skal meddeles Spillemyndigheden i Tillæg B til ansøgningsblanketten.
Godkendelse af testdata
I forbindelse med ansøgningsprocessen skal følgende materiale leveres af ansøgeren:
- Testdata i form af et antal nærmere definerede Standard Records, som dækker de spil, der ansøges om tilladelse til at udbyde. Alt testdata skal være baseret på udtræk fra spilsystemet, være pakket med TamperToken, være placeret på SAFE og rapporteret til Spillemyndighedens testmiljø. Ansøgeren skal ved indsendelse af testdata dække alle scenarier, som deres spiludbud dækker. Hvis ansøgeren fx anvender en eller flere spilleverandører, så skal testdata dække spil fra alle leverandører. Hvis der udbydes flere typer kasinospil fx spilleautomater, roulette og pokerturneringer, skal der rapporteres testdata som dækker alle spiltyper. Hvis der både udbydes spil via computer og smartphone, skal testdata dække alle de anvendte salgskanaler mv.
- En beskrivelse af tilladelsesindehavers forståelse af hvert dataelement, som indgår i Standard Records. Ansøger skal beskrive sin forståelse af dataelementet, herunder eventuelle valg, som er gjort i forbindelse med implementering.
Anvendelse af TamperToken og ROFUS
Bilag 1 til bekendtgørelserne stiller krav om anvendelse af TamperToken. Derudover skal der ske opkobling til Spillemyndighedens register over frivilligt udelukkede spillere (ROFUS).
Testcases
Tilladelsesindehaver skal demonstrere korrekt anvendelse af TamperToken, samt vise at der kan kommunikeres med ROFUS.
I forbindelse med behandling af en ansøgning om tilladelse får ansøgeren afgang til TamperToken og ROFUS testmiljø. Spillemyndigheden sender desuden test cases som skal gennemføres af ansøgeren til at demonstrere og dokumentere, at de anvender TamperToken og ROFUS korrekt.
Spillemyndigheden giver ikke adgang til TamperToken og ROFUS testmiljø, uden der er søgt om tilladelse. For at kunne give adgang til TamperToken testmiljø skal Spillemyndigheden desuden have modtaget oplysninger om ansøgerens SAFE.
TamperToken
TamperToken er et sikkerhedssystem, der har til formål at sikre at data, som tilladelsesindehaver rapporterer til sit SAFE, ikke ændres, mens de opbevares hos tilladelsesindehaver og rapporteres til Spillemyndigheden.
TamperToken håndterer følgende:
- Skabelsen af tokens (nøgler), der anvendes ved beregning af "Message Auchentication Code" (MAC)
- Opbevaringen af MACs til senere kontrol
- Løbende kontrol af, at tidsperiode for afslutning af tokens overholdes
- Verifikation af, at en hentet serie af Standard Records ikke er ændret i forhold til den modtagne MAC.
ROFUS
Register Over Frivilligt Udelukkede Spillere (ROFUS) er et register over alle spillere i Danmark, der frivilligt har ønsket at udelukke sig midlertidigt eller endeligt fra at kunne spille online pengespil i Danmark samt alle danske landbaserede kasinoer. Registret er placeret hos Spillemyndigheden, der har ansvaret for dets drift. Tilladelsesindehaver skal formidle adgang til Spillemyndighedens hjemmeside, hvorfra udelukkelse kan ske.
For en mere teknisk beskrivelse af TamperToken og ROFUS henvises til spillemyndigheden.dk, hvor der kan findes yderligere information.
Se også
Afsluttende vurdering af gennemførte kontroller
Når de krævede tests er gennemført, sendes de udfylde testcases og tilhørende dokumentation til Spillemyndigheden. Der vil herefter blive foretaget en samlet vurdering af forløbet, og resultatet vil blive meddelt ansøgeren.
Der kan ikke udstedes tilladelse før alle test cases er gennemført korrekt og testdata er leveret og godkendt af Spillemyndigheden.
Samtidig med udstedelse af tilladelse får ansøgeren adgang til TamperToken og ROFUS produktionsmiljø.