Information 43

05 jul 2019

Vejledning til certificeringsprogrammet

I forbindelse med Spillemyndighedens arbejde med certificeringsprogrammet, hvor der løbende modtages rapporter fra tilladelsesindehavere, er det blevet konstateret, at der er en række fejl, der går igen. Disse fejl afstedkommer usikkerhed om, hvorvidt tilladelsesindehavernes spilsystem er certificeret korrekt i henhold til kravene, meget kommunikation Spillemyndigheden og tilladelsesindehaverne i mellem, ligesom tilladelsesindehaverne ofte får brug for at rette henvendelse til deres testhuse af flere omgange.

I denne information vil vi gennemgå nogle af de konstaterede fejl med henblik på at minimere dem i fremtiden.

Informationen skal ikke ses som en omskrivning eller udvidelse af det eksisterende materiale i certificeringsprogrammet, men som en støtte i fortolkning og en præcisering af punkter, der historisk har vist sig at give tilladelsesindehaverne udfordringer.

Hvor Spillemyndigheden vurderer, at der skal indsættes vejledning i det eksisterende materiale i certificeringsprogrammet, vil det blive gjort.

Fuld certificering

Det påhviler tilladelsesindehaverne at tilse, at deres spilsystem til hver en tid er fuldt certificeret. Den fulde certificering indbefatter kravene beskrevet i certificeringsprogrammet, uanset om kravet i praksis relaterer sig til en del af spilsystemet, som tilladelsesindehaveren selv drifter, eller dele af spilsystemet, som driftes af en eventuel leverandør. Dette betyder, at det skal sikres, at alle spil der udbydes, certificeres med en frekvens, der ikke overstiger 12 måneder.

Tilladelsesindehaveren har altså det fulde ansvar for den certificering, der præsenteres for Spillemyndigheden, uagtet hvilke funktioner el. opgaver omkring deres spilsystem, der udliciteres.

Standardrapporterne, som sendes til Spillemyndigheden, skal være en kompilering af certificering af det samlede spilsystem. I tilfælde hvor en leverandør selv har fået testet f.eks. deres spil, skal resultatet af disse tests gengives i standardrapporten til Spillemyndigheden. Et enkelt ”godkendt” i standardrapporten kan således være en sammenfatning af mange testresultater. Dette betyder således også, at såfremt f.eks. et enkelt krav i et enkelt spil ikke er overholdt, vil dette krav skulle rapporteres som ikke bestået, og detaljerne skal beskrives i bilaget.

Spillemyndigheden har set rapporter, hvor der i afsnittet omkring leverandører har været anført, at f.eks. en enkelt leverandør ikke har leveret dokumentation til den akkrediterede testvirksomhed omkring deres certificering. Da der i denne situation ikke foreligger dokumentation for en gyldig certificering, skal samtlige krav, som vedrører denne leverandør, efter Spillemyndighedens vurdering angives som ”ikke godkendt” i den samlede certificeringsrapport, som sendes til Spillemyndigheden.

Spillemyndigheden skal i denne forbindelse fremhæve, at det vil være en overtrædelse af vilkårene i tilladelsen og krav i bekendtgørelsen at udbyde spil, som ikke overholder certificeringskravene.

For at synliggøre at en certificering dækker hele spilsystemet, skal der til standardrapporterne for test- og inspektion fremover udarbejdes en liste over samtlige spil, som den pågældende test- eller inspektion dækker over. Listen kan indarbejdes i det standardiserede bilag til standardrapporten. Såfremt listen er identisk for både test- og inspektion, og disse to certificeringer er udført samtidig, er det tilstrækkelig at udarbejde én liste. 

Listen skal som minimum indeholde følgende obligatoriske oplysninger:

  1. Navn på leverandør. Hvis det er tilladelsesindehaverens eget spil anføres dette i stedet.
  2. Navn på spil.
  3. Dato for seneste certificering af spillet. Denne vil sandsynligvis afvige fra datoen for tilladelsesindehaverens årlige certificering, såfremt spillet leveres af tredjepart.
  4. Henvisning til underliggende rapport for certificering af spillet, såfremt spillet er testet på et andet tidspunkt end ved tilladelsesindehaverens årlige certificering af test og inspektion.

Certificeringsfrekvens

I certificeringsprogrammet arbejdes der med 2 forskellige frekvenser; årlig og kvartalsmæssig certificering. Begrebet certificering skal forstås således, at såfremt tilladelsesindehaveren inden for de 3 eller 12 måneder har fået gennemført de foreskrevne test og inspektioner af en akkrediteret testvirksomhed, har man overholdt tidsfristen, og et spilsystem er at betragte som værende behørigt certificeret; ellers ikke

Rapporterne, som udfyldes på baggrund af gennemført certificering, skal være Spillemyndigheden i hænde senest 2 eller 1 måned(er) senere afhængigt af, om det er en årlig eller kvartalsmæssig certificering.

Såfremt en tilladelsesindehaver erkender, at de ikke kan nå en certificering til skæringsdatoen, kan tilladelsesindehaver udsætte certificeringen. Skæringsdatoen er det tidspunkt, hvorinden en fornyet certificering skal være foretaget. Dette skal de meddele Spillemyndigheden inden selve certificeringen, f.eks. test eller inspektionsstandarder, påbegyndes. 

Certificeringsrapporten skal også i dette tilfælde være Spillemyndigheden i hænde inden for de 2 eller 1 måneder efter den oprindelige certificeringsskæringsdato. Dette betyder i praksis, at hvis en tilladelsesindehaver udsætter en årlig certificering med 1 måned, så har de kun 1 måned til at indsende rapport. Hvis certificeringen udsættes de maksimale 2 måneder, så skal rapporten sendes samtidig med at certificeringen afsluttes.

Det er ikke alle certificeringer, der kan udsættes. Det fremgår specifikt af det enkelte dokument, hvorvidt den gældende certificering kan udsættes.

Såfremt tilladelsesindehaveren har en skæringsdato på en certificering, der hedder 1. juli og får færdiggjort certificeringen den 15. juni og denne dato fremgår af den tilsendte rapport, vil den nye skæringsdato være den 15. juni. Således sikres at tilladelsesindehaveren altid er certificeret, og at der ikke efterlades perioder, hvor tilladelsesindehaver ikke har en gyldig certificering.

Eksempler:

Korrekt certificering:

Tilladelsesindehaveren blev certificeret jævnfør Inspektionsstandarder for onlinekasino den 1. juli 2017. Næste certificering foretages og færdiggøres den 26. juni 2018, og den udfyldte og attesterede rapport modtages af Spillemyndigheden d. 5. august 2018; man har overholdt certificeringsskæringsdatoen, og Spillemyndigheden har modtaget rapporten rettidigt.  

Korrekt udsat certificering:

Tilladelsesindehaveren blev certificeret jævnfør Inspektionsstandarder for onlinekasino den 1. juli 2017. Tilladelsesindehaveren oplyser, at de ikke kan nå en fornyet certificering inden skæringsdatoen (1. juli 2018). Tilladelsesindehaveren retter henvendelse til Spillemyndigheden og meddeler, at kommende certificering bliver udsat, og hvad grunden er. Kontrollen iværksættes den 29. juni 2018 og færdiggøres den 10. juli. Den udfyldte rapport modtages af Spillemyndigheden den 20. august 2018.

Manglende – ukorrekt certificering:

Tilladelsesindehaveren blev certificeret jævnfør Inspektionsstandarder for onlinekasino den 1. juli 2017. Næste certificering foretages 25. august 2018, og Spillemyndigheden modtager rapporten den 25. september 2018; dette betyder at tilladelsesindehaveren ikke er behørigt certificeret i tidsrummet fra 1. juli 2018 til 25. august 2018.

Fejlbehæftede rapporter

I de standardrapporter, Spillemyndigheden modtager fra tilladelsesindehaverne, er der konstateret fejl, der bliver gentaget. En fejlbehæftet rapport kan ikke godkendes af Spillemyndigheden. Dette er begrundet i, at Spillemyndigheden er afhængig af at den information, der fremgår af rapporterne er korrekt, præcis og fyldestgørende, da den danner grundlag for Spillemyndighedens tilsyn, samt samlede vurdering og fulde overblik over en tilladelsesindehavers certificering, og at f.eks. alle spil lever op til spillemyndighedens krav. Rapporterne udgør desuden den overordnede dokumentation for, at et spilsystem lever op til kravene.

Nedenfor listes nogle af de typiske fejl der optræder i standardrapporterne:

  • Fejl i datoer; dette ses både hvor forrige, nuværende og kommende certificering anføres samt hvor tidspunkt for kontrol anføres. F.eks.: forrige certificering blev udført den 1. september 2016 og den nuværende til tiden den 1. september 2017, men på rapporten anføres forrige certificering som udført 1. september 2015.
  • Manglende oplysninger om personale; Dette ses, hvor det skal noteres hvilken medarbejder, der har udført en kontrol, samt hvilken uddannelse og erfaring denne person har.
  • Manglende oplysninger om leverandører; i rapporter hvor der skal anføres underleverandører, skal listen være fyldestgørende.

Sårbarhedsscanning

Såfremt en sårbarhedsscanning ikke er bestået, skal der altid i det standardiserede bilag beskrives en plan for udbedring samt kompenserende kontroller. Sidstnævnte skal beskrives således, at det er klart hvor i sårbarhederne består og de kompenserende kontroller skal rettes målrettet imod, hvor systemet vurderes at være svagt. De konstaterede sårbarheder skal være rettet op til følgende scanning. 

Dette fremgår af afsnit 4 i retningslinjer for sårbarhedsscanning.

Ved opdatering af kritiske komponenter i spilsystemet skal der desuden foretages en ny sårbarhedsscanning, og såfremt denne viser sårbarheder, som scorer 4 eller højere på NVD CVSS skalaen skal der også foretages en ny indtrængningsefterprøvning.

Program for styring af systemændringer

Hver tredje måned skal tilladelsesindehaver sende en rapport vedr. implementerede ændringer til spilsystemet. Denne rapport dækker både ændringer foretaget direkte af tilladelsesindehaver, men også ændringer foretaget af leverandører, som har indflydelse på tilladelsesindehaverens udbud.

Såfremt der fra tilladelsesindehaveren beskrives ændringer i det medsendte bilag, skal disse ændringer beskrives i klart sprog, således at det for Spillemyndigheden kan vurderes, hvori ændringen består. Hvis tilladelsesindehaver har implementeret nye spil i løbet af tremånedersperioden forventer Spillemyndigheden, at kunne se navnet på spillet i bilaget til rapporten.

Nedenstående eksemplificerer hvor informationen er henholdsvis ikke tilstrækkelig og tilstrækkelig.
Dette skal forstås således, at de tre øverste eksempler efter Spillemyndighedens vurdering ikke kan stå alene uden nærmere forklaring. De tre nederste eksempler ville uden nærmere forklaring kunne stå alene.

Kan ikke stå alene:

  • 139 changes affecting the components 
  • Change Log 20190520-CAR-45
  • Implemented 10 new games

Kan godt stå alene: 

  • Nedtagning af gammel firewall; idriftsættelse af ny
  • Changes of the apps so they can run from multiple locations
  • Implemented game X from supplier Y

Supervisering

I afsnittet omkring krav til personale i de enkelte dokumenter i certificeringsprogrammet fremgår det, at arbejdet skal ”superviseres”.

Som hovedregel fortolker Spillemyndigheden ”supervisering” som handlinger, hvor en person gennemgår/kontrollerer/efterprøver en anden persons udførte arbejde, såsom prøvning og inspektion, og de fremkomne resultater i forbindelse med dette arbejde. Gennem supervisering skal det sikres, at arbejdet er forsvarligt udført. Dette skal forstås ud fra en generel betragtning om krav til funktionsadskillelse; det således som udgangspunkt skal ikke være muligt for en person at både udføre arbejdet og efterfølgende godkende det selv. 

En undtagelse til hovedreglen om, at man ikke kan supervisere sit eget arbejde, er, hvis personen, som udfører certificeringsarbejdet, besidder de kvalifikationer, som Spillemyndigheden stiller til personale, som skal supervisere og attestere certificeringsarbejde. Dette betyder, at hvis man har den rette uddannelse eller andre relevante kvalifikationer, den rette certificering og den nødvendige erhvervserfaring indenfor det pågældende arbejdsområde, så tillader Spillemyndigheden, at man superviserer sit eget arbejde.

Det skal præciseres, at såfremt undtagelsen anvendes, så er der, ligesom ved anvendelse af hovedreglen, stadig tale om to individuelle handlinger, som ikke må foretages i samme arbejdsgang:

  1. Udførelse af arbejdet (prøvning, inspektion mv.)
  2. Gennemgang/kontrol/efterprøvning af det udførte arbejdet (supervisering)

Standardrapporter

Tilladelsesindehaverne skal benytte standardrapporterne i certificeringsprogrammet i deres rapportering til Spillemyndigheden. Disse vil sammen med de medfølgende bilag i de fleste tilfælde udgøre tilstrækkelig dokumentation. Såfremt Spillemyndigheden ønsker supplerende dokumentation, vil tilladelsesindehaver blive anmodet om, at indsende den.

Anden form for rapporter/dokumentation kan aldrig træde i stedet for standardrapporterne.
Tilladelsesindehaverne skal forholde sig til samtlige punkter i standardrapporterne.  

Manglende dokumentation for testvirksomhedens akkreditering

Tilladelsesindehaverne skal benytte en testvirksomhed, der har en gyldig akkreditering. I standardrapporterne skal det angives, om testvirksomheden har en gyldig akkreditering, ligesom akkrediteringen bedes vedlagt som dokumentation for dette. Dokumentationen skal præsenteres for Spillemyndigheden ved hver indsendelse af en certificering.

Spillemyndigheden er bekendt med, at det ofte er muligt at se testvirksomhedens akkreditering online f.eks. på det nationale akkrediteringsorgans hjemmeside. Spillemyndigheden accepterer, at testvirksomhedens akkreditering dokumenteres ved at linke til akkrediteringen. Linket kan anføres i bilaget til certificeringsrapporten.