J.A.11.10 Faglig forsvarlig drift af spilsystem mv.

Dette afsnit handler om kravene til faglig forsvarlig drift af et onlinekasino. Se SPILL § 29.

Afsnittet indeholder:

personer
kontrol af spildata mv.
tilslutning til SAFE og ROFUS
test af SAFE
godkendelse af standard records
TamperToken og
ROFUS.
afsluttende vurdering af gennemførte kontroller.

Personer

En ansøger skal have medarbejdere i sine spilvirksomheder, der kan varetage visse funktioner ved udøvelsen af virksomheden.

Regel

Det fremgår af bilag 1 til bekendtgørelse om onlinekasino, at tilladelsesindehaver skal have personer ansat med følgende organisatoriske roller:

Der skal være en ansvarlig for

spilsoftware og driften af spil
IT-sikkerhed
systemændringer
overvågning af hvidvask af udbytte og finansiering af terror (kun ved ansøgning om onlinekasino tilladelse)
økonomi, herunder sikring af, at afgiften bliver angivet korrekt.

Faglige krav til personerne

Personerne skal i form af uddannelse, ansættelsesforhold mv. kunne dokumentere over for Spillemyndigheden, at de er kompetente til at bestride rollen.

Skal personerne være ansat ved ansøger?
Som udgangspunkt bør de ansvarlige være ansat i tilladelsesindehavers selskab. Det kan dog accepteres, at personer, der er ansat fx i samme koncern tildeles en ansvarshavende rolle, hvis det kan garanteres, at personerne har beføjelser til at etablere foranstaltninger og gennemføre nødvendige ændringer. Personerne skal også tilvejebringe og redegøre for al information og dokumentation, som Spillemyndigheden måtte have behov for.

Kontrol af spildata mv.

Bilag 1 til bekendtgørelsen stiller krav om etablering af SAFE og anvendelse af TamperToken. Derudover skal der ved online udbud af spil ske opkobling til Spillemyndighedens register over frivilligt udelukkede spillere (ROFUS).

SAFE

Alle tilladelsesindehavere skal etablere et SAFE. SAFE er et datalager (en filserver) hos tilladelsesindehaver, hvor der skal opbevares data i henhold til "standard records" for alle spil, der er udført hos tilladelsesindehaver. Spillemyndigheden skal kunne få online adgang til datalagret hos tilladelsesindehaver.

TamperToken

TamperToken er et sikkerhedssystem, der har til formål at sikrede data som tilladelsesindehaver lægger i sit SAFE, ikke ændres, mens de opbevares hos tilladelsesindehaver.

TamperToken håndterer følgende:

skabelsen af tokens (nøgler), der anvendes ved beregning af "Message Auchentication Code" (MAC)
Opbevaringen af MACs til senere kontrol
Løbende kontrol af, at tidsperiode for afslutning af tokens overholdes
Verifikation af, at en hentet serie af Standard Records ikke er ændret i forhold til den modtagne MAC.

ROFUS

Register Over Frivilligt Udelukkede Spillere (ROFUS) er et register over alle spillere i Danmark, der frivilligt har ønsket at udelukke sig midlertidigt eller endeligt fra at kunne spille online pengespil i Danmark samt alle danske landbaserede kasinoer. Registret er placeret hos Spillemyndigheden, der har ansvaret for dets drift. Tilladelsesindehaver skal formidle adgang til Spillemyndighedens hjemmeside, hvorfra udelukkelse kan ske.

For en mere teknisk beskrivelse af ovennævnte systemer henvises til Spillemyndigheden.dk, hvor der kan findes yderligere information.

Tilslutning til SAFE, TamperToken og ROFUS

I forbindelse med behandling af ansøgning om tilladelse skal der gennemføres en række tests af ansøgerens anvendelse af SAFE, TamperToken og ROFUS.

Test af adgang til SAFE
Spillemyndigheden skal kunne tilgå SAFE og hente data. Der skal oplyses brugernavn, password samt IP-adresse til endpoint og eventuel URL til endpoint til SAFE. Oplysningerne skal meddeles Spillemyndigheden på ansøgningsskemaet (tillæg B).

Godkendelse af standard records
I forbindelse med ansøgningsprocessen skal følgende materiale leveres af ansøgeren:

Testdata i form af et antal nærmere definerede standard records, som dækker de spil, der ansøges om tilladelse til at udbyde. Alle records skal rapporteres ved brug af TamperToken og være placeret på SAFE.
En beskrivelse af tilladelsesindehavers forståelse af hvert dataelement, som indgår i standard records. Ansøger skal beskrive sin forståelse af dataelementet, herunder eventuelle valg, som er gjort i forbindelse med implementering.

Materialet skal sendes til Spillemyndigheden sammen med tillæg B.

TamperToken og ROFUS

Tilladelsesindehaver skal demonstrere korrekt anvendelse af TamperToken, samt vise at der kan kommunikeres med ROFUS.

I forbindelse med behandling af en ansøgning om tilladelse får ansøgeren afgang til TamperToken og ROFUS testmiljø. Spillemyndigheden sender desuden test cases som skal gennemføres af ansøgeren til at demonstrere og dokumentere, at de anvender TamperToken og ROFUS korrekt.

Afsluttende vurdering af gennemførte kontroller

Når de krævede tests er gennemført, sendes de udfylde testcases og tilhørende dokumentation til Spillemyndigheden. Der vil herefter blive foretaget en samlet vurdering af forløbet, og resultatet vil blive meddelt ansøgeren.