Høring om opdatering af Spillemyndighedens certificeringsprogram

Generelle krav til testvirksomheder

Kravet om at en testvirksomhed skal have mindst tre års erfaring bliver fjernet. Dette krav afholdt fx nyetablerede testvirksomheder for at kunne foretage certificering efter certificeringsprogrammet. I forhold til erfaring vurderer Spillemyndigheden, at det er vigtigere at se på personerne, der er involveret i selve arbejdet, og mindre vigtigt, hvor mange år en virksomhed har været i gang. Kravene til personalets erfaring fastholdes derfor.

Krav til testvirksomheder i forhold til teststandarder

ISO 17020 er fjernet som mulig akkreditering. Fremover er det kun ISO 17025, der accepteres. Ændringen er foretaget, da kun ISO 17025 er målrettet prøvning (test).

Generelle krav

Oplysninger fra information nr. 43

Den 5. juli 2019 udgav Spillemyndigheden Information # 43, hvori en række krav til certificeringer blev specificeret. Oplysningerne fra denne information er indarbejdet i blandt andet de generelle krav. Det drejer sig blandt andet om krav til rapportering af certificeringen og krav til supervisering af certificeringsarbejdet.

Certificering i forbindelse med ansøgning om tilladelse

Der er tilføjet et afsnit, hvor det er præciseret, at den første certificering altid skal ske i forbindelse med behandling af ansøgning om tilladelse. Det er samtidig præciseret, at den første certificering skal gennemføres uden fejl og mangler, for at kunne godkendes.

Anvendelse af risikovurdering

Det er præciseret, hvornår og hvordan risikovurdering kan anvendes til godkendelse af krav. Det er tydeliggjort, at risikovurdering fx ikke skal forstås som en mulighed for at foretage en stikprøve af, hvilke krav der skal ses på. Risikovurderingen anvendes, hvis et krav IKKE er opfyldt. I denne situation skal testvirksomheden risikovurdere betydningen og baseret på denne trække afgørelse om, hvorvidt kravet kan godkendes alligevel. Samtidig skal udbyderen naturligvis få rettet op på fejlen. Se afsnit 2.1.4 i de generelle krav.

Tidsfrist for indsendelse af rapporter

Det er tydeliggjort direkte i certificeringsprogrammet, hvilken tidsfrist man har til at indsende dokumentation for gennemførte certificeringer.

Sårbarhedsscanning og penetrationstest

Omdøbning af indtrængningsefterprøvning

I den danske version omdøbes Indtrængningsefterprøvning til penetrationstest, da dette udtryk oftere anvendes.

Krav til testvirksomheder

Det er ikke længere et krav at have en ISO-akkreditering for at kunne foretage sårbarhedsscanning og penetrationstest. Til gengæld fastholdes kravet om at være Approved Scanning Vendor i henhold til PCI DSS. Dette krav fastholdes efter input fra flere testvirksomheder, og fordi godkendelsen efter Spillemyndighedens vurdering siger meget om virksomhedens kvalifikationer og modenhed. Alle tilladelsesindehavere har allerede, enten direkte eller indirekte via en testvirksomhed, et samarbejde med en Approved Scanning Vendor. Et samarbejde som fremover skal rumme de opgaver, som den ISO akkrediterede testvirksomhed tidligere udførte.

Kravene til personlige kvalifikationer der kræves af personer, som attesterer rapporterne er samtidig blevet opdateret.

Sårbarhedsscanning skal være PCI godkendt

Det er tydeliggjort at det skal være en PCI godkendte sårbarhedsscanninger, der foretages før en tilladelse kan udstedes og herefter minimum hver 3. måned. Dette har altid været hensigten, men det kan konstateres, at det ofte har været sårbarhedsscanninger af lavere standard, der er blevet gennemført, da kravene ikke har været tydelige nok.

Det er samtidig præciseret at sårbarhedsscanningen, der typisk foretages forud for en penetrationstest kan anses som en gyldig kvartalsvis sårbarhedsscanning, hvis den udføres i overensstemmelse med kravene.

”Retningslinjer” ændres til ”krav”

Titlen på dokumenterne ændres fra retningslinjer til krav, for at tydeliggøre, at der er tale om netop krav.

Krav hvis en penetrationstest ikke er bestået

Det er blevet præciseret, hvad der skal ske i forhold til rapportering og fornyet test, hvis en penetrationstest ikke er bestået.

”Bestået”, ”bestået efter rettelser” og ”ikke bestået”

Spillemyndigheden har tidligere oplevet at rapporteringen af om en sårbarhedsscanning eller penetrationstest var bestået eller ej, ikke var i overensstemmelse med, hvad der reelt var sket. Det er derfor blevet præciseret, hvilken status der skal anvendes i hvilken situation.

Anvendelse af intern funktion

Afsnittet om anvendelse af intern funktion til at foretage sårbarhedsscanning og penetrationstest er fjernet. Muligheden for at anvende intern funktion var begrænset til situationer, hvor der var sket opdatering af komponenter i spilsystemet. Der kan stadig være behov for at foretage sårbarhedsscanninger og ved opdateringer, men Spillemyndigheden stiller ikke krav til denne scanning. Hvis der ved opdateringer foretages en PCI godkendt sårbarhedsscanning, så vil denne kunne betragtes som en valid sårbarhedsscanning i henhold til kravene og rapporteres til Spillemyndigheden.

Teststandarder

RNG-krav er slået sammen

RNG-krav vedrørende resultatgenerering og RNG vedrørende andre funktioner er slået sammen i ét afsnit.

Test af udstyr til live kasino

Der er tilføjet krav til test af fysisk udstyr, der anvendes til udbud af live kasino. Dette omfatter blandt andet krav til roulette, kortblander og kortsko.

3-sekunders-regel

Kravene om, at spilsystemet skal sikre, at det tager minimum 3 sekunder at afvikle et spil, er flyttet fra inspektionsstandarder til teststandarder. Spillemyndigheden vurderer, at det kræver test og derfor retteligt hører hjemme her. 

Inspektionsstandarder

Generel omstrukturering

Strukturen i dokumentet er ændret, så der fremover er hovedafsnit om:

• Skriftlig præsentation
• Visuel præsentation
• Generelle spilfunktioner
• Særlige spilfunktioner

Dette har medført, at flere krav har fået ny placering for at sætte dem ind i den rette kontekst. Det gør sig særligt gældende for krav i det tidligere afsnit 4.

Online bingo

Kravene til online bingo er flyttet til afsnittet om peer-to-peer spil for at tydeliggøre, at det er denne type online bingo, der kan udbydes på en onlinekasinotilladelse.

Visuel præsentation af kortspil

De specifikke krav til visuel præsentation blackjack og baccarat/punto banco er fjernet, da de er omfattet af de generelle krav til kortspil. Se afsnit 5.1.5.

Lukning af væddemål

Der er tilføjet to krav til afsnit om særlige spilfunktioner vedrørede tidlig lukning af væddemål før dette er afgjort (cash out). Se afsnit 7.1.2.

Gemme kundens status i ROFUS

Kravet om at spilsystemet skal gemme kundens status i ROFUS er fjernet, da Spillemyndigheden vurderer, at tilladelsesindehaver som udgangspunkt ikke skal gemme oplysninger om kundens ROFUS-status efter oplysningen har været anvendt til det formål, de er indhentet til.

Optegnelser, logge og datafastholdelse

Titlen på afsnittet om ”optegnelser, logge og datafastholdelse” er ændret til ”Registrering, vedligeholdelse og opbevaring af data”, og kravene i afsnit er omskrevet for at tydeliggøre, hvad der skal registreres i hvilke situationer.

Program for styring af systemændringer

Spillemyndighedens forudgående godkendelse af nye og ændrede spil

Beskrivelse af situationer, hvor Spillemyndigheden skal give en forudgående godkendelse af nye og ændrede spil, fremgår fremover udelukkende af Spillemyndighedens tekniske krav til onlinekasino og væddemål, og således ikke i certificeringsprogrammet. Der vil blive udgivet en ny version af de tekniske krav samtidig med offentliggørelse af det opdaterede certificeringsprogram.

Den forudgående godkendelse skal blandt andet sikre, at tilladelsesindehaver kan foretage korrekt og tilstrækkelig rapportering af spildata. Hvis der er tale om nye typer spil, som ikke passer ind i de eksisterende rapporteringskrav, kan det kræve omfattende systemudvikling på Spillemyndighedens side, hvorfor meddelelse til Spillemyndigheden skal foretages i god tid inden spillet ønskes udbudt.