Spillemyndighedens certificeringsprogram

Spillemyndighedens certificeringsprogram har til formål at sikre, at spilsystemet afvikler spil på en korrekt måde, og at sikkerheden omkring spilsystemet bliver opretholdt. Tilladelsesindehavere skal til hver en tid være certificeret i overensstemmelse med de dele af certificeringsprogrammet, der gælder for deres spiludbud.

Strukturen i certificeringsprogrammet
 01 Online væddemål
(download pakke)
02 Landbaseret væddemål
(download pakke)
03 Onlinekasino
(download pakke)
06 Lotterier
(download pakke)
Generelle krav
SCP.00.00.DK.1.1
Teststandarder for online væddemål
SCP.01.01.DK.1.1
Teststandarder for landbaseret væddemål
SCP.01.02.DK.1.1
Teststandarder for onlinekasino
SCP.01.03.DK.1.0
Teststandarder for lotterier
SCP.01.06.DK.1.0
Inspektionsstandarder for online væddemål
SCP.02.01.DK.1.1
Inspektionsstandarder for landbaseret væddemål
SCP.02.02.DK.1.1
Inspektionsstandarder for onlinekasino
SCP.02.03.DK.1.0
Inspektionsstandarder for lotterier
SCP.02.06.DK.1.0
Ledelsessystem for informationssikkerhed
SCP.03.00.DK.1.1
Retningslinjer for indtrængningsefterprøvning
SCP.04.00.DK.1.1
Retningslinjer for sårbarhedsscanning
SCP.05.00.DK.1.1
Program for styring af systemændringer
SCP.06.00.DK.1.1

Kravene i certificeringsprogrammet er tilpasset de forskellige spiltyper ud fra en væsentligheds- og risikovurdering af spillets omfang, udbredelse, sikkerhed, karakter, gevinsternes størrelse og risikoen for, at spillerne kan blive snydt m.v. På nuværende tidspunkt opereres med følgende spiltyper:

Hele Spillemyndighedens certificeringsprogram udgøres af en række dokumenter, der løbende bliver tilpasse den teknologiske udvikling. Tilladelsesindehavere skal til hver en tid være certificeret i overensstemmelse med de dele af certificeringsprogrammet, der gælder for deres spiludbud.

For hver af de otte spiltyper er der tilknyttet et sæt teststandarder og et sæt inspektionsstandarder, som gælder for den pågældende spiltype. Yderligere fem dokumenter gælder for alle spiltyper og omhandler

  • generelle krav,
  • ledelsessystem for informationssikkerhed,
  • indtrængningsefterprøvning,
  • sårbarhedsefterprøvning og
  • program for styring af systemændringer.

Hvert dokument fastsætter minimumskrav til indretningen af tilladelsesindehavers spilsystem, forretningsgange og forretningssystemer.

For hvert spilområde vil der være en pakke med krav, som består af de ovennævnte syv dokumenter.

Spillemyndighedens certificeringsprogram supplerer spillovgivningen og de vilkår, der er fastsat for spiludbyderne i tilladelserne, og den administrative praksis, som vi fastsætter.

Spillemyndigheden offentliggør certificeringsprogram for lotteri og væddemål på heste- og hundevæddeløb
Spillemyndigheden har fastsat et certificeringsprogram for lotteri og væddemål på heste- og hundevæddeløb. Det betyder, at der er fastsat nye test- og inspektionsstandarder for lotteri, samt foretaget ændringer i de eksisterende dokumenter for landbaseret væddemål, online væddemål og i dokumenterne der går på tværs af spilområderne.

Opdatering af certificeringsprogrammet med ikrafttræden den 1. januar 2015

Spillemyndigheden opdaterede certificeringsprogrammet i 2014 med henblik på at opnå to mål. Det første er at skabe en ny struktur i certificeringsprogrammet, og det andet er at justere det på baggrund af den løbende udvikling.

Ny struktur
Det primære formål med opdateringen af certificeringsprogrammet er at skabe en struktur i certificeringsprogrammets dokumenter, der er egnet til den fremtidige udvikling af certificeringsprogrammet. Certificeringsprogrammet er blevet opdelt i dokumenter, der enten finder anvendelse på tværs af spiltyper, eller kun gælder for specifikke spiltyper. Ved at dele certificeringsprogrammet op på spiltyper, vil der fremadrettet være en pakke med krav for hver spiltype, som udbydes.

Dokumenterne

Generelle krav omfatter den generelle ramme for certificeringen af tilladelsesindehavere, samt de generelle forudsætninger for de øvrige dele af certificeringsprogrammet.

Teststandarderne indeholder de krav, hvor der skal ske en prøvning af tilladelsesindehavers systemer, herunder særligt prøvning af RNG. Teststandardernes indhold er tilpasset den enkelte spiltype.

Inspektionsstandarderne indeholder de krav, som ikke kræver prøvning, men som kan undersøges på baggrund af en inspektion. Inspektionsstandardernes indhold er tilpasset den enkelte spiltype.

Ledelsessystem for informationssikkerhed omfatter de krav, der tidligere fremgik af de ”Tekniske standarder” kapitel 6 vedrørende samme emne.

Retningslinjer for indtrængningsefterprøvning indeholder de krav, der tidligere fremgik af de ”Tekniske standarder” kapitel 7. Der er foretaget et meget stort beskrivelsesarbejde fra Spillemyndighedens side, da branchen tidligere har rejst mange spørgsmål i forhold til, hvad indholdet af denne prøvning skulle bestå af.

Retningslinjer for sårbarhedsscanning rummer de krav, der tidligere fremgik af de ”Tekniske standarder” kapitel 7. Ligesom ved indtrængningsefterprøvningen er indholdet og procedurerne blevet uddybet.  

Program for styring af systemændringer indeholder krav fra det tidligere dokument af samme navn.

Dokumentkode
Hvert dokument i Spillemyndighedens certificeringsprogram har en dokumentkode, der udgøres af:

  • ”SCP”     – Der angiver at der er tale om Spillemyndighedens Certificerings Program.
    • To tal         – Der angiver hvilken dokumenttype der er tale om.
      Koderne er:
      "00"    Generelle krav
      "01"    Teststandarder
      "02"    Inspektionsstandarder
      "03"    Ledelsessystem for informationssikkerhed
      "04"    Indtrængningsefterprøvning
      "05"    Sårbarhedsefterprøvning
      "06"    Program for styring af systemændringer
    • To tal         – Der angiver, hvilken spiltype dokumentet omhandler.
      Koderne er:
      "00"    Alle spiltyper
      "01"    Online væddemål
      "02"    Landbaseret væddemål
      "03"    Onlinekasino
      "04"    Almennyttige lotterier (kommer senere)
      "05"    Landbaseret kasino (kommer senere)
      "06"    Lotteri
      "07"    Klasselotteri (kommer senere)
      "08"    Gevinstgivende spilleautomater (kommer senere)
    • ”DK” eller ”EN”     – Der angiver sprogversionen. ”DK” for dansk og ”EN” for engelsk.
    • Versionsnummer

Dokumentkoden SCP.02.02.DK.1.0 er således inspektionsstandarder for landbaseret væddemål.

Til hvert dokument er der tilknyttet en standardrapport med dokumentkoden SCP.XX.XX.DK.1.0.SR, der skal bruges ved rapportering til Spillemyndigheden om certificeringer. Dokumentkoden for standardrapporter bruger samme systematik som ovenfor.

Ændringer i forhold til certificeringsprogrammet version 1.3
Alle dokumenter fra certificeringsprogrammet version 1.3 er blevet fordelt på dokumenterne beskrevet ovenfor. Der er sket en betydelig omskrivning af en række centrale afsnit for at præcisere kravenes indhold. Grundet den lange række af rettelser er det derfor ikke muligt at give en udtømmende liste over alle ændringer, der er foretaget. En række væsentlige ændringer skal dog fremhæves, ligesom de også blev det på mødet for kontaktudvalget for onlinekasino og væddemål den 3. juni 2014.

- Periodeforskydning i forhold til certificering af underleverandører
Flere tilladelsesindehavere havde i deres høringssvar givet udtryk for, at det kunne være vanskeligt at tilrettelægge certificeringer af deres underleverandører inden for en to måneders periode. På den baggrund har Spillemyndigheden valgt at fjerne tidskravet i forhold til certificering af underleverandører. Tilladelsesindehaverne kan nu frit tilrettelægge certificeringer af deres underleverandører. Tilladelsesindehavers testvirksomhed skal dog påse de certificeringer, som underleverandøren har oppebåret i løbet af de sidste 12 måneder

- Fysisk adgangskontrol
Spillemyndigheden kræver fremadrettet, at tilladelsesindehaverne har tilstrækkelig sikkerhed omkring den fysiske adgang til deres systemer. Dette er tilføjet som et nyt krav i ledelsessystem for informationssikkerhed.

- Kryptering af data
Spillemyndigheden har i høringssvarene konstateret, at kravet om kryptering af al opbevaret data har været uforholdsmæssigt byrdefuldt og har derfor valgt at lempe på kravet, så det kun er følsomme oplysninger, der fremadrettet skal krypteres.

- Uddybning af indtrængningsefterprøvningen og sårbarhedsscanningen
Spillemyndigheden har modtaget en række spørgsmål fra testvirksomhederne i forhold til hensigten med indtrængningsefterprøvningen og sårbarhedsscanningen. På den baggrund er begge prøvninger blevet udskilt til separate dokumenter og uddybet i forhold til Spillemyndighedens forventninger til selve prøvningen. Der er fx blevet tilføjet muligheden for, at testvirksomhederne kan anvende National Vulnerability Database – Common Vulnerability Scoring System-skalaen (NVD CVSS) eller lignende scoringssystem.

- Virtualiserede servermiljøer (Cloud)
Certificeringsprogrammet version 1.3 har ikke taget højde for brug af virtualiserede servermiljøer (cloud). Spillemyndigheden har på baggrund af et ønske fra branchen valgt at tilføje afsnit om, hvordan cloud skal håndteres. Særligt i forhold til program for styring af systemændringer og ledelsessystem for informationssikkerhed.

- Præcisering af gyldighedsperioder på certificeringer
Spillemyndigheden er blevet gjort opmærksom på, at det i certificeringssammenhænge ikke giver mening at tale om, at en certificering har en ”gyldighedsperiode”. En certificering er et øjebliksbillede og skal derfor betragtes og håndteres herefter.
Dette har medført omskrivninger af centrale afsnit i certificeringsprogrammet. Særligt i forhold til afsnittene om certificeringsfrekvensen. Det skal understreges, at der ikke er tiltænkt nogen ændringer i certificeringsfrekvensen.

- Certificering af RNG præciseres
Spillemyndigheden har fundet behov for at præcisere kravet om prøvning af RNG, så det står endnu tydeligere, at alle tilfældighedsfunktioner skal certificeres, herunder tilfældighedsfunktioner der ikke knytter sig til trækning af resultater.

- Nye krav om logning til brug for Spillemyndighedens kontrol
Klager fra spillere skal fremadrettet logges med oplysninger om årsag, spillerID, tidspunkt og resultat. Herved kan tilladelsesindehaver bedre imødekomme anmodninger fra Spillemyndigheden om indsigt i de spillerklager, som tilladelsesindehaver har.

Tilladelsesindehavers spilsystem skal også logge oplysninger om gevinster, der er tilbageholdt fra spillere, som konsekvens af lukningen af en midlertidig konto. Herved skabes et bedre grundlag for Spillemyndigheden til at danne sig et overblik over, hvor mange midler, der tilbageholdes.

- Øvrige ændringer
Herudover er der er en række smårettelser og præciseringer i forhold til det eksisterende certificeringsprogram version 1.3. Spillemyndigheden har tilføjet en del forklarende tekst for at skabe en bedre forståelse af kravene i certificeringsprogrammet.

Ny måde at indrapportere certificeringer til Spillemyndigheden – Standardrapporter
For at strømline testvirksomhedernes afrapportering til Spillemyndigheden, er der indført standardrapporter for at sikre en mere homogen indrapportering af certificeringsresultater.

Standardrapporterne er skabeloner, hvorpå testvirksomhederne oplyser, om et givent krav er overholdt eller ej.

Som endnu et nyt element i afrapporteringen, skal testvirksomhederne gøre os opmærksom på, om der er nogen særlige forhold, der gør sig gældende i forhold til, om et krav er opfyldt eller ikke er opfyldt. Testvirksomhederne skal blandt andet oplyse, om et krav ikke var opfyldt på det tidspunkt, hvor testvirksomheden iværksatte sin inspektion af tilladelsesindehavers systemer. Også selvom kravet efterfølgende er blevet udbedret.

Hvis samme tilladelsesindehaver udbyder flere spiltyper, er det tilstrækkeligt kun at indrapportere én standardrapport for:

  • generelle krav,
  • ledelsessystem for informationssikkerhed,
  • indtrængningsefterprøvning,
  • sårbarhedsefterprøvning og
  • program for styring af systemændringer.

Standardrapporter til den kvartalsmæssige afrapportering af program for styring af systemændringer kommer senere.

Versionering – Fra version 1.3 til version 1.0
Grundet den nye dokumentstruktur i certificeringsprogrammet har Spillemyndigheden valgt at starte forfra med versionsnummereringen, så det nye certificeringsprogram kommer til at starte med version 1.0 igen, selvom det eksisterende certificeringsprogram er version 1.3. Spillemyndigheden håber, at versionsnummeret sammen med de nye dokumentkoder, kommer til at skabe den fornødne klarhed om, hvilken version af certificeringsprogrammet, der er gældende.

Øvrige oplysninger
Grundet etableringen af de nye dokumenter i certificeringsprogrammet er det ikke muligt at offentliggøre dokumenter med ændringshistorik. Spillemyndigheden vil dog tilstræbe at offentliggøre dokumenterne med ændringshistorik fremadrettet.

Det skal fremhæves, at det er den danske version, der er bindende, og at den engelske version udelukkende stilles til rådighed som vejledning. Vi skal understrege, at dette også gør sig gældende i forhold til den akkreditering, som testvirksomhederne skal oppebære. Akkrediteringen skal have henvisning til den danske version af certificeringsprogrammet.

Spillemyndighedens aktuelle certificeringsprogram, samt de historiske dokumenter, finder du under Downloads.