Agencia Estatal Boletín Oficial del Estado

Ministerio de la Presidencia Agencia Estatal Boletín Oficial del Estado

Está Vd. en

Documento BOE-A-2014-10302

Resolucin de 6 de octubre de 2014, de la Direccin General de Ordenacin del Juego, por la que se aprueba la disposicin por la que se desarrollan las especificaciones tcnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas tcnicos de juego de carcter no reservado objeto de licencias otorgadas al amparo de la Ley 13/2011, de 27 de mayo, de regulacin del juego.

TEXTO

La Ley 13/2011, de 27 de mayo, de regulacin del juego, establece el marco regulatorio de la actividad de juego, en sus distintas modalidades, que se desarrolle con mbito estatal, con el fin de garantizar la proteccin del orden pblico, luchar contra el fraude, prevenir las conductas adictivas, proteger los derechos de los menores y salvaguardar los derechos de los participantes en los juegos.

El establecimiento de los requisitos tcnicos de la referida Ley 13/2011 ha sido objeto del Real Decreto 1613/2011, de 14 de noviembre, que, interpretado de acuerdo con la disposicin adicional dcima de la Ley 3/2013, de 4 de junio, de creacin de la Comisin Nacional de los Mercados y de la Competencia, atribuye en la disposicin final primera, a la Direccin General de Ordenacin del Juego el desarrollo de determinados aspectos tcnicos propios de la comercializacin de las actividades de juego objeto de la citada Ley.

Las especificaciones tcnicas que deben cumplir los sistemas tcnicos de juego objeto de licencias otorgadas al amparo de la Ley 13/2011, de 27 de mayo, de regulacin del juego, fueron desarrolladas en la Resolucin de 16 de noviembre de 2011, de la Direccin General de Ordenacin del Juego.

Transcurrido ms de un ao desde la apertura del mercado, resulta necesario revisar la Resolucin de 16 de noviembre, en su contenido y forma, en base a la experiencia acumulada.

En su virtud, y previo informe favorable de la Abogaca del Estado en la Secretara de Estado de Hacienda del Ministerio de Hacienda y Administraciones Pblicas, acuerda:

Primero.

Aprobar la disposicin por la que se desarrollan las especificaciones tcnicas que deben cumplir los sistemas tcnicos de juego habilitados en Espaa y sus mecanismos de control que se acompaa como anexo a esta Resolucin.

A las actividades de juego realizadas a travs de mensajera de texto, a travs de servicios telefnicos fijos o mviles o de medios de comunicacin audiovisual, no les sern aplicables las especificaciones tcnicas previstas en esta disposicin incompatible con la naturaleza y caractersticas del canal de participacin del juego.

Segundo.

La presente Resolucin entrar en vigor el da siguiente al de su publicacin en el Boletn Oficial del Estado.

Tercero.

Los sistemas tcnicos correspondientes a licencias otorgadas antes de la fecha de publicacin de la presente Resolucin debern ser adaptados a la misma en el plazo mximo de seis meses desde su entrada en vigor.

Se establece un rgimen transitorio de un ao desde la fecha de publicacin de la presente Resolucin para el cumplimiento de los requisitos tcnicos relativos al formato y longitud de contraseas establecido en el apartado 2.1.12 Autenticacin del usuario y poltica de contraseas. Si en el transcurso comprendido entre los seis meses y el ao desde la publicacin de la presente Resolucin el usuario debiese renovar la contrasea por razones de prdida o caducidad, la nueva contrasea deber ajustarse a los requisitos establecidos en la presente Resolucin.

Cuarto.

Derogar la disposicin por la que se desarrollan las especificaciones tcnicas que deben cumplir los sistemas tcnicos de juego, aprobada mediante Resolucin de 16 de noviembre de 2011, de la Direccin General de Ordenacin del Juego, a la que la presente disposicin sustituye.

Madrid, 6 de octubre de 2014.–El Director General de Ordenacin del Juego, Carlos Hernndez Rivera.

ANEXO
Disposicin por la que se desarrollan las especificaciones tcnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas tcnicos de juego de carcter no reservado objeto de licencias otorgadas al amparo de la Ley 13/2011, de 27 de mayo, de regulacin del juego

ndice

1. Disposiciones generales.

1.1 Objeto.

1.2 Definiciones.

2. Registro de usuario, cuenta de juego, medios de pago.

2.1 Registro de usuario y limitacin en la participacin.

2.2 Cuenta de juego y depsitos de los participantes.

2.3 Medios de pago y cobro.

2.4 Proteccin de datos personales.

3. Juego.

3.1 Reglamentacin bsica del juego.

3.2 Redireccin al dominio .es.

3.3 Porcentaje de retorno al participante.

3.4 Tablas de premios.

3.5 Generador de nmeros aleatorios (GNA).

3.6 Lgica del juego.

3.7 Terminales de usuario y terminales fsicos de carcter accesorio.

3.8 Sesin de usuario.

3.9 Interfaz grfica.

3.10 Integracin con proveedores y en redes de juego con otros operadores.

3.11 Deshabilitacin de un juego o de una sesin de usuario.

3.12 Juego incompleto.

3.13 Juego automtico.

3.14 Repeticin de la jugada.

3.15 Jugadores virtuales.

3.16 Juegos metamrficos.

3.17 Participante en estado ausente.

3.18 Juegos multiparticipante con anfitrin.

3.19 Juego en vivo.

3.20 Botes, botes progresivos, y premios adicionales.

3.21 Juegos a travs de canales de comunicacin en diferido.

4. Seguridad de los sistemas de informacin.

4.1 Componentes crticos.

4.2 Gestin de la seguridad del sistema tcnico de juego.

4.3 Gestin de riesgos.

4.4 Poltica de seguridad.

4.5 Organizacin de la seguridad de la informacin.

4.6 Seguridad en la comunicacin con los participantes.

4.7 Seguridad de recursos humanos y terceros.

4.8 Seguridad fsica y medioambiental.

4.9 Gestin de comunicaciones y operaciones.

4.10 Control de acceso.

4.11 Compra, desarrollo y mantenimiento de los sistemas.

4.12 Gestin de incidentes de seguridad.

4.13 Gestin de cambios.

4.14 Gestin de la disponibilidad del servicio.

4.15 Plan de prevencin de prdida de informacin.

4.16 Gestin de la continuidad de negocio.

4.17 Test de penetracin y anlisis de vulnerabilidades.

5. Sistema de control interno e inspeccin.

5.1 Sistema de control interno.

5.2 Inspeccin presencial y telemtica.

6. Registros y logs del sistema tcnico de juego.

6.1 Registro y trazabilidad.

6.2 Registro en funcin del canal de comercializacin.

1. Disposiciones generales

1.1 Objeto.–Esta disposicin tiene por objeto el desarrollo de las especificaciones tcnicas que deben cumplir los sistemas tcnicos de juego de carcter no reservado de los operadores con licencia otorgada al amparo de la Ley 13/2011, de 27 de mayo, de regulacin del juego y los mecanismos de control de los mismos.

La infraestructura tcnica de los operadores garantizar la supervisin por parte de la Direccin General de Ordenacin del Juego de las operaciones de juego realizadas, la obtencin de los registros generados durante su desarrollo y la generacin y puesta a disposicin de la Direccin General de Ordenacin del Juego de cualquier otra informacin que sea considerada relevante.

A estos efectos se establecen las especificaciones para el almacenamiento de los registros de operaciones de juego y su trazabilidad, en el formato y de conformidad con el procedimiento establecido por la Direccin General de Ordenacin del Juego y se detallan los requerimientos de seguridad de los sistemas de informacin utilizados para el juego, tanto fsica como lgica, as como los de organizacin y gestin de los mismos.

1.2 Definiciones.–A los efectos de esta disposicin, los trminos que en ella se emplean tendrn el sentido que se establece en el presente apartado.

1. Sistema tcnico de juego: Se entiende por sistema tcnico de juego al conjunto de equipos, sistemas, terminales, instrumentos y material software, as como los procedimientos necesarios para el control de su correcto funcionamiento, empleado por el operador para la organizacin, explotacin y desarrollo de la actividad de juego. El sistema tcnico de juego soporta todas las operaciones necesarias para la organizacin, explotacin y desarrollo de la actividad de juego, as como la deteccin y el registro de las transacciones correspondientes entre los participantes y el operador.

Los elementos bsicos del sistema tcnico de juego son la unidad central de juegos y el sistema de control interno. El sistema tcnico de juego facilitar la informacin necesaria para su control en castellano. En caso de no estar disponible en castellano, la Direccin General de Ordenacin del Juego podr requerir su traduccin, con carcter permanente o puntual.

2. Unidad central de juegos: La unidad central de juegos es el conjunto de elementos tcnicos necesarios para procesar y gestionar las operaciones realizadas por los participantes en los juegos. Forman parte de la unidad central de juegos, la plataforma de juegos y el software de juegos.

3. Plataforma de juego: La plataforma de juego es la infraestructura de software y hardware que constituye la interfaz principal entre el participante y el operador de juego y que ofrece al participante las herramientas necesarias para abrir y cerrar su cuenta, grabar y editar la informacin de su perfil, depositar o retirar fondos de su cuenta de juego, visualizar el detalle de los movimientos en su cuenta o un resumen de los mismos.

La plataforma de juego incluye cualquier sitio web que muestre informacin relevante al participante sobre los juegos ofrecidos por el operador, as como cualquier software cliente que el participante tenga que descargarse para poder interactuar con la plataforma.

La plataforma de juego permite al operador gestionar las cuentas de juego de los participantes, as como las transacciones financieras de juego, informar sobre los resultados de los juegos, habilitar o deshabilitar registros y cuentas y establecer todos los parmetros configurables.

Forman parte de la plataforma de juego los siguientes componentes:

• Las bases de datos que recogen los datos de carcter personal de los participantes en los juegos, los relativos a la totalidad de las transacciones realizadas por los participantes y la informacin relativa a resultados de eventos o acontecimientos deportivos, coeficientes, etc.

• Las pasarelas de pagos que permiten realizar las transacciones econmicas entre el participante y el operador de juego y que contienen la lgica necesaria para transferir fondos desde el medio de pago empleado por el participante al operador y desde ste al participante.

La plataforma de juego deber cumplir con los requisitos tcnicos que se establecen en esta disposicin.

4. Software de juego: Se entiende por software de juego cada uno de los mdulos o componentes software que permiten gestionar cada uno de los juegos, autorizar e implementar las reglas de cada uno de ellos y a los que se accede desde la plataforma de juego.

5. Generador de nmeros aleatorios: El generador de nmeros aleatorios, tambin conocido por sus siglas GNA, es el componente software o hardware que, mediante procedimientos que garantizan su aleatoriedad, generan los resultados numricos que son empleados por el operador para la determinacin de los resultados de cada uno de los juegos en los que se utiliza.

Mediante un proceso denominado escalamiento, se convertir el resultado bruto obtenido por el generador de nmeros aleatorios en un valor dentro del rango de valores que admita cada juego (52 valores de cartas, n nmeros de bingo). Estos nmeros, mediante el proceso de traslacin o mapeado, se convierten a los smbolos que utiliza el juego (naipes, bolas, etc.).

6. Sistema de control interno: El sistema de control interno o SCI, es el conjunto de componentes destinados a registrar las transacciones realizadas en el desarrollo de los juegos al objeto de garantizar a la Direccin General de Ordenacin del Juego la posibilidad de mantener un control permanente sobre las actividades de juego del operador.

El sistema de control interno estar formado por el capturador y la base de datos segura o almacn de operaciones de juego.

7. Capturador: El capturador es el componente del sistema de control interno del operador destinado a la captura y registro de los datos de monitorizacin y control establecidos por la Direccin General de Ordenacin del Juego, su traduccin y su almacenamiento en el dispositivo denominado almacn de operaciones de juego.

8. La base de datos segura o almacn de operaciones de juego: La base de datos segura o almacn de operaciones de juego (en adelante, almacn) es el dispositivo ubicado en Espaa que contiene los datos de monitorizacin y control introducidos por el capturador y al que en todo momento puede acceder la Direccin General de Ordenacin del Juego. La informacin extrada del sistema de juego por el capturador deber almacenarse, con el formato y estructura establecido por la Direccin General de Ordenacin del Juego.

9. Registro de usuario: Se entiende por registro de usuario al registro nico que permite al participante acceder a las actividades de juego de un determinado operador y en la que se recogen, entre otros, los datos que permiten la identificacin del participante y los que posibilitan la realizacin de transacciones econmicas entre ste y el operador de juego.

10. Cuenta de juego: Se entiende por cuenta de juego a la cuenta abierta por el participante, de forma vinculada a su registro de usuario, en la que se cargan los ingresos de las cantidades econmicas destinadas por ste al pago de la participacin en las actividades de juego y se abonan los importes de los premios obtenidos por la participacin.

2. Registro de usuario, cuenta de juego y medios de pago

2.1 Registro de usuario y limitacin en la participacin.–Los requisitos en relacin con la identificacin de los participantes en los juegos y el control de las prohibiciones subjetivas a la participacin se establecen en los artculos 26 y 27 del Real Decreto 1613/2011 y se desarrollan en la correspondiente Resolucin de 12 de julio, de la Direccin General de Ordenacin del Juego.

En esta resolucin se desarrolla el contenido mnimo del registro de usuario, as como los controles internos que el operador ha de establecer.

2.1.1 Contenido mnimo del registro de usuario. La identificacin de los participantes se realizar a travs de un registro de usuario que deber contener, al menos, los siguientes datos:

– Datos de identificacin:

• Para residentes, nmero de identificacin fiscal (NIF) o nmero de identificacin de extranjeros (NIE). En ambos casos, el nmero deber almacenarse en un formato normalizado.

• Para no residentes, un documento equivalente: documento de identidad, tarjeta de la seguridad social, pasaporte, permiso de conducir.

• Nombre y apellidos.

– Datos personales:

• Fecha de nacimiento.

• Sexo.

• Domicilio.

• Para los no residentes, pas de residencia.

• Nacionalidad.

• Email.

• Telfono.

– Datos de residencia fiscal:

• Cdigo de residencia fiscal del participante, de acuerdo con lo dispuesto en el modelo 763 de autoliquidacin del Impuesto sobre actividades de juego, aprobado en Orden EHA/1881/2011, de 5 de julio.

• Para no residentes ser necesario que el participante aporte una copia del documento utilizado para su identificacin.

2.1.2 Conservacin de copia de los documentos aportados. El operador establecer los procedimientos tcnicos necesarios para la conservacin de la copia digital de los documentos aportados por los participantes.

2.1.3 Contrato de juego. El operador conservar el registro de la aceptacin del contrato de juego y de sus eventuales modificaciones.

2.1.4 Servicios de verificacin ofrecidos por la Direccin General de Ordenacin del Juego. La Direccin General de Ordenacin del Juego proporciona a los operadores un servicio online de verificacin de los datos de identidad y fecha de nacimiento para participantes residentes en Espaa: el servicio de verificacin se basa en el NIF/NIE del participante.

El operador registrar y conservar cuantas consultas realice al sistema de verificacin de identidad, dejando constancia de la fecha, hora y minuto de la consulta. Los datos debern ser conservados, junto con los correspondientes al registro de usuario, durante el perodo de vigencia del registro de usuario y durante los seis aos siguientes a su cancelacin o anulacin.

La Direccin General de Ordenacin del Juego proporciona a los operadores dos servicios online de verificacin para la inscripcin de los participantes en el Registro General de Interdicciones de Acceso al Juego:

• Un servicio de verificacin de la inscripcin de un participante en el Registro General de Interdicciones de Acceso al Juego para participantes residentes en Espaa a partir de NIF/NIE. Los operadores debern utilizar este servicio para comprobar la inscripcin en el proceso de registro de usuario.

• Un servicio de consulta de las variaciones (altas/bajas) en la inscripcin en el Registro General de Interdicciones de Acceso al Juego, correspondientes a los participantes que previamente hubiera verificado el operador. Los operadores debern utilizar este servicio cada hora para verificar las variaciones en la inscripcin en el Registro General de Interdicciones de Acceso al Juego de sus participantes.

El operador registrar y conservar cuantas consultas realice al Registro General de Interdicciones de Acceso al Juego, dejando constancia de la fecha, hora y minuto de la consulta. Los datos debern ser conservados, junto con los correspondientes al registro de usuario, durante el perodo de vigencia del registro de usuario y durante los seis aos siguientes a su cancelacin o anulacin.

2.1.5 Activacin del registro de usuario y limitacin en la participacin. El operador dispondr de un procedimiento documentado de registro y activacin de usuario que recoger los requisitos de identificacin y limitacin de la participacin establecidos en los artculos 26 y 27 del Real Decreto 1613/2011, de 14 de noviembre, por el que se desarrolla la Ley 13/2011, de 27 de mayo, de regulacin del juego, en lo relativo a los requisitos tcnicos de las actividades de juego.

El operador es el responsable de la veracidad de los datos que figuren en sus registros de usuario y de la correcta identificacin de los participantes en los juegos que organicen o desarrollen. Asimismo, el operador deber contar con un servicio de verificacin de los datos de identidad y fecha de nacimiento suficiente para determinar la veracidad del registro. Este servicio podr ser prestado por terceros que presten servicios profesionales de verificacin de identidad.

Los operadores debern registrar y conservar la totalidad de las gestiones, consultas y requerimientos que hubieran realizado para la verificacin de los datos aportados por los solicitantes, as como cuantos documentos hubieran recibido o empleado con este fin. Los datos debern ser conservados, junto con los correspondientes al registro de usuario, durante el perodo de vigencia del registro de usuario y durante los seis aos siguientes a su cancelacin o anulacin.

2.1.6 Revisin peridica de los registros de usuario. El operador establecer un procedimiento tcnico, que permita la revisin peridica de los registros de usuario en los trminos establecidos en el artculo 26.3 del Real Decreto 1613/2011, de 14 de noviembre, por el que se desarrolla la Ley 13/2011, de 27 de mayo, de regulacin del juego, en lo relativo a los requisitos tcnicos de las actividades de juego.

2.1.7 Cancelacin del registro de usuario. El operador conservar los datos de los registros de usuario cancelados. En el registro se detallar el momento de cancelacin y el motivo.

2.1.8 Suspensin por inactividad. El operador mantendr un registro de los registros de usuario suspendidos por inactividad en el que se incluir la fecha de suspensin.

2.1.9 Suspensin cautelar del registro de usuario. El operador podr suspender cautelarmente al participante que haya tenido, a su juicio, un comportamiento colusorio o fraudulento o que haya permitido la utilizacin de su registro de usuario por terceros, hasta que se demuestren los hechos.

2.1.9.1 Medidas de prevencin del fraude y del blanqueo de capitales. El operador dispondr de procedimientos para la deteccin de fraude y el blanqueo de capitales. Los procedimientos incluirn la pronta notificacin de las acciones sospechosas a los organismos pblicos competentes para su investigacin.

En los juegos de apuestas en directo, el operador dispondr de medidas para mitigar el riesgo de que algunos jugadores pudieran obtener ventajas sobre otros jugadores al apostar con informacin sobre un resultado cierto o tras un suceso que altere de manera fundamental las probabilidades de la apuesta.

2.1.9.2 Registro y comunicacin en relacin a la suspensin cautelar del registro de usuario. El operador mantendr un registro de usuarios suspendidos. El registro incluir la fecha y el motivo de la suspensin.

La DGOJ establecer un procedimiento telemtico a travs de la sede electrnica a efectos de que los operadores informen mensualmente sobre las cuentas bloqueadas o suspendidas.

2.1.10 Registro de usuario activo nico. El operador establecer los procedimientos y mecanismos necesarios para garantizar el requisito de registro de usuario activo nico por participante del artculo 26.2 del Real Decreto 1613/2011, de 14 de noviembre, por el que se desarrolla la Ley 13/2011, de 27 de mayo, de regulacin del juego, en lo relativo a los requisitos tcnicos de las actividades de juego.

2.1.11 Identificacin para el acceso. Una vez se haya completado el proceso de registro se asignar al participante un identificador nico de usuario. Los accesos al registro de usuario y a la cuenta de juego deben estar reservados en exclusiva al participante titular del registro.

2.1.12 Autenticacin del usuario y poltica de contraseas. El acceso al registro de usuario deber contar con mecanismos de seguridad para autenticar al usuario en la plataforma.

La autenticacin del usuario podr realizarse mediante la utilizacin de contraseas. La poltica de contraseas deber contemplar, al menos, los siguientes requisitos mnimos:

• Deber establecerse, por defecto o por el participante, una contrasea inicial de usuario.

• Durante el proceso de definicin de la contrasea de usuario, el participante deber ser informado sobre buenas prcticas en la eleccin de contraseas seguras.

• La longitud mnima de la contrasea ser de ocho caracteres o dgitos, e incluir al menos elementos de tres de los siguientes grupos: nmeros, letras minsculas, letras maysculas y otros smbolos.

• La contrasea no podr contener ninguno de los siguientes datos: el nombre de usuario, el seudnimo, el nombre o apellidos o la fecha de nacimiento del participante.

• Deber ofrecerse al usuario un recordatorio de cambio de contrasea con una frecuencia mnima anual, aunque no es obligatorio que el usuario realice el cambio.

• El mecanismo de identificacin mediante usuario y contrasea deber bloquearse si se producen en un mismo da ms de cinco intentos de acceso errneos. El operador podr establecer un lmite inferior a este requisito.

El sistema del operador estar diseado para requerir la autenticacin del participante ante cada inicio de sesin de usuario, y en el caso de uso de contraseas, la introduccin de la contrasea. El sistema no utilizar cookies u otros mecanismos para evitar la autenticacin del usuario o la introduccin de la contrasea.

El operador podr proporcionar otros mtodos de autenticacin del usuario siempre que ofrezcan un nivel de seguridad mayor que el de la contrasea.

El sistema conservar registro de todos los intentos de acceso, ya sean con o sin xito, para su posterior auditora.

El operador dispondr de un procedimiento documentado de seguridad de acceso del usuario en el que se describir:

• El modo en que se protege el registro de usuario de accesos no autorizados.

• La existencia o no de un medio indirecto, o asistido por personal del operador, de acceder al registro de usuario, previa superacin de preguntas antes de conceder el acceso o renovarlo.

• El tratamiento de identificadores de usuario o contraseas perdidos.

• El operador dispondr de un procedimiento para detectar las cuentas inactivas durante un tiempo razonablemente prolongado y requerir un nivel de autenticacin superior al normal o verificaciones adicionales a travs del servicio de atencin al cliente, antes de permitir reanudar la actividad de juego, especialmente las retiradas de fondos. El umbral de tiempo de inactividad para solicitar un nivel de autenticacin o verificacin adicional definido por el operador no podr ser superior a seis meses.

• Asimismo, el operador dispondr de un procedimiento para detectar dentro de lo razonable accesos no autorizados a la cuenta de los participantes, intentos de suplantacin de identidad o acceso a sus datos personales.

• Adicionalmente, el operador dispondr de un procedimiento para detectar cambios bruscos en el comportamiento de un participante, y en particular del importe de los depsitos o retiradas, e iniciar alguna accin para prevenir que la cuenta de juego pueda estar siendo accedida por un tercero.

2.1.13 Informacin al participante sobre su ltima conexin. Una vez autenticado el usuario, el sistema le mostrar la fecha y hora de su ltimo acceso.

2.1.14 Registro de la configuracin de la sesin destinada al juego de mquinas de azar. En el caso de las mquinas de azar, los operadores debern registrar y conservar los datos relativos a la configuracin por parte del usuario de cada una de sus sesiones destinadas al juego de mquinas de azar, segn lo establecido en el artculo 14 de la Orden HAP/1370/2014, de 25 de julio, por la que se aprueba la reglamentacin bsica del juego de mquinas de azar.

2.2 Cuenta de juego y depsitos de los participantes.

2.2.1 Funcionalidad de la cuenta de juego. Cuando el operador gestione fondos depositados por los participantes deber utilizar una cuenta de juego para mantener el registro contable de las operaciones.

Cada registro de usuario tendr vinculada una o varias cuentas de juego. De las cuentas vinculadas al mismo registro de usuario, al menos una permitir el depsito y la retirada de fondos. La transferencia de fondos entre las diferentes cuentas de juego vinculadas al mismo registro de usuario ser inmediata y gratuita para el participante. Cada cuenta de juego permitir abonar la participacin en uno, varios o todos los juegos ofrecidos en la plataforma.

En la cuenta de juego se reflejarn todas las transacciones que supongan una alteracin del saldo del participante, tales como los depsitos realizados por el participante, los cargos por el importe de la participacin en los juegos y por los servicios adicionales que pudiera prestar el operador, los abonos por los bonos ofrecidos por el operador y los premios obtenidos por el participante.

La cuenta de juego estar denominada en euros.

Las correcciones, anulaciones o ajustes se reflejarn en apuntes independientes, sin que, en ningn caso, se pueda borrar la transaccin original corregida, anulada o ajustada.

Debern registrarse las apuestas que una vez formalizadas hayan sido anuladas por parte del operador, indicndose de forma clara el motivo de su anulacin.

Los apuntes contables en la cuenta de juego permitirn conocer de forma clara la naturaleza de la transaccin y el momento en que se realiza.

2.2.2 Procedimiento de control de los depsitos de los participantes. Las obligaciones del operador en relacin con los fondos de los participantes son las establecidas en el artculo 39 del Real Decreto 1614/2011, de 14 de noviembre, por el que se desarrolla la Ley 13/2011, de 27 de mayo, de regulacin del juego, en lo relativo a licencias, autorizaciones y registros del juego, y se deben complementar con la existencia de un procedimiento que permita garantizar su correcto funcionamiento que al menos incluya lo siguientes controles:

• Existir un libro registro que se cumplimentar con periodicidad mnima semanal en el que se comprobar y anotar el saldo de los fondos depositados por los participantes en las cuentas de juego usuario, el saldo de cada una de las cuentas corrientes bancarias en Espaa a que hace referencia el artculo 39 del Real Decreto 1614/2011, la fecha y hora en que se ha realizado la comprobacin. y la firma de una persona designada por el operador.

• En el caso de que el saldo de los fondos depositados por los participantes sea inferior al de las cuentas corrientes bancarias, se tomarn inmediatamente las medidas para incrementar el saldo de las cuentas corrientes bancarias y se repetir la comprobacin y anotacin en el libro registro el da siguiente hbil.

2.2.3 Historial. El participante dispondr en tiempo real del saldo de la cuenta de juego y del registro de todas las participaciones o jugadas efectuadas, al menos, en los ltimos treinta das.

El participante, podr consultar en tiempo real un resumen, al menos por ao natural, de los movimientos en su cuenta de juego que incluya: el saldo inicial, la suma de los depsitos realizados, la suma de las retiradas realizadas, la suma de los cargos por el importe de la participacin en los juegos y por los servicios adicionales que pudiera prestar el operador, la suma de los abonos por los eventuales bonos aceptados por el participante y por los premios obtenidos, y el saldo final.

El sistema estar diseado para poder emitir en tiempo real y previa solicitud del participante un documento que incluya la informacin descrita en el prrafo anterior y en el que consten los datos de identificacin del operador y del participante. El operador dispondr de un procedimiento que permita a aquellos usuarios que no dispongan de cuenta de juego activa en el operador en el momento de la consulta, obtener dicha informacin a travs de los canales de atencin a los usuarios del operador. Ante esta solicitud del participante, una vez realizadas las comprobaciones de identidad necesarias, el operador deber poner a disposicin del usuario el documento solicitado en el plazo mximo de diez das.

2.2.4 Unidades de la cuenta de juego. De conformidad con lo dispuesto en el artculo 35.2 del Real Decreto 1614/2011, de 14 de noviembre, por el que se desarrolla la Ley 13/2011, de 27 de mayo, de regulacin del juego, en lo relativo a licencias, autorizaciones y registros del juego, la unidad monetaria de la cuenta de juego es el euro.

El operador puede emplear otras unidades como puntos de bonificacin (bonus), puntos para pagar entrada en torneos u otros. La plataforma registrar el saldo y los movimientos expresados en cada una de las unidades.

2.2.5 Prohibicin de transferencias entre participantes. El operador establecer los procedimientos tcnicos necesarios que impidan las transferencias entre cuentas de juego asociadas a diferentes registros de usuario.

2.2.6 Ofertas promocionales. Si las condiciones de las ofertas promocionales establecieran una cantidad a acumular, por ejemplo de puntos, el participante deber poder consultar los puntos que ha acumulado o los que le restan para cumplir las condiciones.

2.2.7 Cuentas asociadas a registros de usuario en estado diferente a activo. Los registros de usuario en estado diferente a activo tienen restringida en todo o en parte su operativa en la plataforma. El operador deber disponer de un procedimiento documentado de controles tcnicos y revisiones para garantizar que las cuentas de juego asociadas a registros de usuario en estado diferente a activo no realizan movimientos indebidos.

2.2.8 Lmites de depsito. El operador mantendr un registro con las modificaciones en los lmites de depsito detallada por registro de usuario. El registro incluir la fecha y el motivo de la modificacin. Deber quedar registrado si la modificacin fue solicitada por el jugador o establecida por el operador.

Asimismo, el operador deber conservar las pruebas de prevencin de conductas adictivas del juego y de juego responsable superados por el jugador, necesarios para solicitar el incremento de los importes de depsito o la desaparicin de cualquier lmite que tenga establecido para su cuenta de depsito, as como el anlisis histrico de la trayectoria del participante, en los supuestos de segunda peticin o ulteriores peticiones de aumento de lmites que realice un mismo participante.

2.2.9 Saldo acreedor. Sin perjuicio de otras limitaciones a la participacin, si no existe suficiente saldo disponible en la cuenta de juego en el momento en que el jugador desee realizar una participacin en el juego o una apuesta, la participacin en el juego deber ser rechazada.

En consecuencia, ninguna cuenta de juego puede presentar saldo acreedor como consecuencia de haberse permitido la participacin en el juego sin existir saldo suficiente.

2.3 Medios de pago y cobro.

2.3.1 Registro de las operaciones de pago y cobro. El operador deber conservar o estar en disposicin de obtener el apunte detallado de cada operacin de depsito o retirada junto con toda la informacin asociada a cada operacin, independientemente de que utilice medios propios o de terceros.

Cuando se utilicen servicios de tarificacin adicional, el operador deber conservar la informacin relativa al importe de participacin y al identificador de juego o concurso en que el que tuvo lugar la participacin, y estar en disposicin de obtener el nmero de telfono y la cuenta utilizados para facturar la participacin al jugador.

2.3.2 Retirada de fondos. El operador establecer un procedimiento para ordenar al medio de pago que corresponda la transferencia de fondos en un plazo mximo de 24 horas. Este procedimiento deber prever que en caso excepcional de no de no cumplirse el plazo referido deber ser previamente notificado a la Direccin General de Ordenacin del Juego.

2.3.3 Procedimiento de control de las operaciones de pago y cobro. El operador implantar un procedimiento de contraste de las operaciones de pago y cobro respecto a los apuntes en la cuenta de juego o en el software de juego, que incluir al menos:

• Las cuentas de juego asociadas a registros de usuario en estado diferente a activo no realizan movimientos indebidos.

• La verificacin de que los importes de depsitos y retiradas se corresponden con los importes de operaciones realizadas a travs de los medios de pago.

• La verificacin de que no existen depsitos realizados por los participantes por encima de los lmites de depsito que tuviera fijados cada uno de ellos.

• La verificacin de que las retiradas se ordenan en un plazo mximo de 24 horas, a excepcin de las causas previstas excepcionalmente y que hubieran sido previamente notificadas a la Direccin General de Ordenacin del Juego.

El procedimiento se ejecutar con periodicidad mnima mensual.

2.4 Proteccin de datos personales.

2.4.1 Proteccin de datos. Los operadores establecern los procedimientos tcnicos adecuados para mantener la privacidad de los datos de los participantes de conformidad con la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal y su normativa complementaria.

Los operadores debern asimismo implantar sobre los ficheros y tratamientos las medidas de seguridad establecidas en la normativa vigente en materia de proteccin de datos y dar cumplimiento al deber de secreto impuesto por dicha normativa.

2.4.2 Poltica de privacidad. El operador publicar en la plataforma de juego su poltica de privacidad.

Para completar el proceso de registro de usuario, el participante deber dar su consentimiento a la poltica del operador. La plataforma registrar la aceptacin del participante y el contenido de la poltica de privacidad o un enlace al texto de la misma. Cualquier modificacin posterior de la poltica de privacidad requerir su comunicacin al usuario y su aceptacin.

El operador dispondr de un plan tcnico y operativo para asegurar la privacidad de los datos de los usuarios.

3. Juego

3.1 Reglamentacin bsica del juego.–El operador ofrecer juegos y modalidades de conformidad con sus ttulos habilitantes y la regulacin bsica de cada juego.

Los operadores debern implantar en su sistema de juego los procedimientos necesarios para cumplir los requisitos establecidos en la reglamentacin bsica de cada juego y que se establece en la correspondiente Orden ministerial y, en particular, los requisitos establecidos respecto de:

• Reglas particulares del juego.

• Reclamaciones de los participantes.

• Obligaciones de informacin a los participantes.

• Promocin de los juegos.

• Canales y medios de participacin.

• Objetivo del juego.

• Participacin en el juego y lmites a la participacin.

• Desarrollo del juego, determinacin y asignacin de los premios.

• Formalizacin de apuestas o jugadas y supuestos de anulacin y aplazamiento.

• Pago de premios.

El operador implantar un procedimiento, que ejecutar con periodicidad mnima mensual, mediante el que verificar que su oferta de juego se adecua a los ttulos habilitantes que ostenta, que las modalidades y variantes dentro de cada tipo de juego son conformes a la normativa vigente en cada momento, as como que se utilizan las versiones de software homologadas.

El operador conservar un registro de los juegos activos en cada momento, en el que se indicar el juego, la modalidad o variante, en su caso, el nombre comercial y la versin homologada.

3.2 Redireccin al dominio .es.–El operador establecer procedimientos y mecanismos para garantizar que todas las conexiones realizadas desde Espaa o con un registro de usuario espaol hacia un dominio que sea propiedad o est controlado por el operador de juego, su matriz o sus filiales se dirijan a un sitio web con nombre de dominio bajo .es.

Para ello, el operador deber implantar medidas que le permitan, en la medida de lo posible, detectar y evitar conexiones a travs de tecnologas de red cuyo fin sea ocultar la direccin IP del jugador.

El operador deber disponer de un procedimiento que permita contrastar la geolocalizacin de la IP del jugador, con su pas de residencia y, en su caso, los medios de pago utilizados, con el fin de detectar posibles fraudes por parte del jugador.

3.3 Porcentaje de retorno al participante.–El operador determinar para cada juego, modalidad o variante, el valor o rango de valores esperados para el porcentaje de retorno.

El operador implantar un procedimiento que permita garantizar el correcto funcionamiento del retorno esperado al participante, mediante el que se verifique con periodicidad mnima mensual que el porcentaje de retorno al participante obtenido en cada uno de los juegos, modalidades o variantes, se corresponde con el valor o rangos esperados.

En los casos en que detecten desviaciones graves, el operador deber desactivar los juegos afectados, modalidades o variantes, hasta que determine y subsane la incidencia. De confirmarse la existencia de un funcionamiento anormal, el operador notificar a la Direccin General de Ordenacin del Juego, indicando la causa, el periodo temporal, los jugadores e importes afectados, as como las medidas adoptadas.

En aquellos juegos donde el porcentaje de retorno pueda depender de parmetros configurables en el sistema tcnico, como por ejemplo las tablas de premios, el operador conservar registro de cualquier cambio en dichos parmetros.

3.4 Tablas de premios.–Las tablas de premios, en aquellos juegos en que existan, sern pblicas y accesibles para los participantes e incluirn todas las combinaciones ganadoras posibles y una descripcin del premio correspondiente a cada combinacin.

La informacin del programa de premios deber indicar claramente si los premios estn cuantificados en unidades de cuenta, unidad monetaria o en alguna otra unidad establecida.

La informacin del programa de premios reflejar cualquier cambio en el valor del premio que pueda producirse en el transcurso del juego. A estos efectos, ser suficiente que el operador disponga y muestre un recuadro en un lugar destacado en la interfaz grfica del juego en el que aparezcan los referidos cambios en el valor de los premios.

Cuando existan botes o multiplicadores de los premios que se muestren en las pantallas, deber quedar especificado si el bote o el multiplicador afecta al programa de premios o no.

El operador conservar registro de las tablas de premios de cada juego, de manera que estos cambios podrn ser auditados.

Las tablas de premios no podrn ser cambiadas durante el juego, excepto en aquellos casos en que este hecho est previsto en las reglas particulares y el participante sea adecuadamente informado.

3.5 Generador de nmeros aleatorios (GNA).

3.5.1 Funcionamiento del GNA. El generador de nmeros aleatorios deber cumplir, como mnimo, los siguientes requisitos:

• Los datos aleatorios generados deben ser estadsticamente independientes.

• Los datos aleatorios deben estar uniformemente distribuidos dentro del rango establecido.

• Los datos aleatorios deben permanecer dentro del rango establecido.

• Los datos aleatorios generados deben ser impredecibles (su prediccin debe ser irrealizable por computacin sin conocer el algoritmo y la semilla).

• Las series de datos generados no deben ser reproducibles.

• Instancias diferentes de un GNA no deben sincronizarse entre s de manera que los resultados de unos permitieran predecir los de otro.

• Las tcnicas de semillado/resemillado no deben permitir la realizacin de predicciones sobre los resultados.

• Los mecanismos de generacin deben haber superado con xito distintas pruebas estadsticas que demuestren su carcter aleatorio.

El sistema tcnico puede compartir un GNA o una instancia del mismo para uno o varios juegos si esto no afecta al comportamiento aleatorio del sistema.

3.5.2 Mtodos de escalado. Los mtodos de escalado deben cumplir los requerimientos exigidos a los GNAs.

Los mtodos de escalado deben ser lineales y no deben introducir ningn sesgo, patrn o predictibilidad y deben poder someterse a pruebas estadsticas reconocidas.

3.5.3 GNA hardware. En el caso de utilizarse un GNA hardware deber cumplir los mismos requisitos, adaptados a las caractersticas tcnicas del hardware y, de existir, acreditar que el personal que lo opera no puede influir en los resultados. En los supuestos de utilizacin de un GNA hardware operado por personal, el operador deber disponer de un procedimiento para minimizar los hipotticos riesgos que pudieran llegar a afectar a la generacin de resultados.

3.5.4 Fallos en el GNA. El operador deber implementar un sistema de monitorizacin del GNA que le permita detectar sus fallos, as como los mecanismos que deshabiliten el juego cuando se produzca un fallo en el GNA.

3.5.5 Resemillado del GNA. El operador deber disponer de un procedimiento de resemillado del GNA.

3.6 Lgica del juego.

3.6.1 Lgica independiente del terminal de usuario. Todas las funciones y la lgica que resulten crticas para la implementacin de las reglas del juego y la determinacin del resultado deben ser generadas por la unidad central de juegos, de manera independiente al terminal de usuario.

3.6.2 Aplicacin del GNA en los juegos. El rango de valores del GNA debe ser preciso y no distorsionar el porcentaje de retorno al participante.

El mtodo de traslacin de los smbolos o resultados del juego no debe estar sometido a la influencia o controlado por otro factor que no sean los valores numricos derivados del GNA.

Los eventos de azar deben estar regidos exclusivamente por el generador de nmeros aleatorios y no debe existir ninguna correlacin entre unas jugadas y otras. El juego no debe descartar ningn evento de azar, excepto en aquellos casos en que esa circunstancia est contemplada en las reglas del juego.

El juego no debe manipular los eventos de azar, ni manual, ni automticamente, ni para mantener un porcentaje de retorno mnimo al participante.

Cuando las reglas del juego requieran que se sortee una secuencia de eventos de azar (por ejemplo, las cartas de un mazo), los eventos de azar no sern resecuenciados durante el transcurso del juego, excepto en aquellos casos en que esta circunstancia est contemplada en las reglas del juego.

3.6.3 Controles de la lgica del juego. El juego debe estar diseado para minimizar el riesgo de manipulacin. Se adoptarn las medidas tcnicas, organizativas y procedimentales que impidan comportamientos que supongan desviaciones de las reglas del juego.

El operador dispondr de un procedimiento documentado que describa las medidas que aplica en su sistema para garantizar que:

• El juego se desarrolla de acuerdo con las reglas del juego.

• Los datos de juego se graban en el sistema.

• Los resguardos o documentos identificativos de una apuesta o participacin se protegen frente a su posible manipulacin.

• El sistema controla el tiempo de comercializacin de apuestas o la participacin. El momento en que se cierre la comercializacin debe ser aquel que est establecido en las normas que regulan el juego y en todo caso ser anterior al final del evento que desencadena el resultado del juego.

• El sistema controla el fondo de premios constituido.

• El procedimiento de determinacin de ganadores funciona correctamente, y no permite introducir ganadores que no cumplan las condiciones para ser premiados o dar por no ganadores a aquellos que s las cumplen.

• El sistema conceder los premios a los participantes que figuren en la lista de ganadores de forma efectiva.

• Todos los tipos de transacciones que puedan ser creadas durante la operacin del juego, incluyendo las dedicadas a la gestin de excepciones, cambios de parmetros del sistema, anulaciones, acciones en modo manual, debern registrarse en el sistema, junto con la correspondiente pista de auditora.

Cualquier modificacin, alteracin o borrado de los datos debe dejar traza de auditora, especialmente cuando exista intervencin manual.

3.7 Terminales de usuario y terminales fsicos de carcter accesorio.

3.7.1 Terminales. Se consideran terminales al conjunto de elementos software y hardware que interactan directamente con el participante.

Son terminales de usuario aquellos elementos que son proporcionados por el participante y que pueden ser elementos hardware, como el ordenador personal, el telfono mvil o smartphone, o elementos software como el sistema operativo o el navegador web.

Son terminales fsicos de carcter accesorio los terminales bajo el control del operador destinados a la interaccin directa con el participante. Se incluyen tanto los terminales para el autoservicio del participante (quioscos u otros), como los terminales destinados a ser atendidos por personal del operador, as como las soluciones mixtas.

3.7.1.1 Identificacin de terminales. La plataforma deber ser capaz de identificar los diferentes tipos y versiones de terminales, y se conservar registro de los mismos. Salvo razones tcnicas debidamente justificadas, la plataforma deber registrar si el participante est utilizando una solucin especfica proporcionada para dispositivos mviles.

Si el terminal est instalado en salas de juego fsicas, casino u otros establecimientos donde estn autorizados, la plataforma deber identificar el establecimiento.

3.7.1.2 Funcionalidad del terminal. El terminal nicamente se encargar de la interaccin con el participante y la presentacin.

La lgica del juego o cualquier elemento de aleatoriedad deben ser realizados por la unidad central de juego de forma independiente al terminal.

Las operaciones que realice el terminal deben tener una confirmacin sncrona de la unidad central de juegos para tener la consideracin de formalizadas y para extender resguardos acreditativos de apuestas o depsitos realizados.

Todas las transacciones realizadas a travs del terminal sern registradas en la unidad central de juegos y asociadas a una persona que se deber haber autenticado previamente, bien sea un participante, o bien sea el operador, sus tcnicos o el personal autorizado por este operador. Los registros permitirn identificar las transacciones realizadas desde cada terminal.

3.7.2 Terminales de usuario. A continuacin, se establecen los requisitos tcnicos de aplicacin a los terminales de usuario.

3.7.2.1 Instalacin de componentes en el terminal de usuario. Si el uso del sistema de juego exige la instalacin de cualquier componente en el equipo del participante, se deber requerir el consentimiento expreso del participante previo a la instalacin.

3.7.2.2 Desventaja por la calidad de la conexin. El operador est obligado a introducir en sus sistemas tcnicos todos los medios posibles para tratar de reducir el riesgo de que ciertos clientes estn en desventaja frente a otros por factores tcnicos que pueden afectar a la velocidad de la conexin.

El participante debe ser informado en aquellos casos en que el tiempo de respuesta pueda tener un impacto significativo sobre la probabilidad de ganar.

3.7.2.3 Informacin sobre la calidad de la conexin. El sistema informar al participante acerca de la no disponibilidad de comunicacin con el sistema de juego tan pronto como lo detecte.

El software de juego no debe verse afectado por el mal funcionamiento de los dispositivos de los participantes finales, a excepcin de la puesta en funcionamiento de los procedimientos previstos para finalizar las partidas o juegos incompletos.

3.7.2.4 Funcionalidad reducida para ciertos terminales de usuario. Los terminales de usuario que disponen de una interfaz grfica ms reducida que otros, (como por ejemplo los dispositivos mviles frente a los ordenadores personales) podrn ofrecer algunos contenidos que no puedan visualizarse completamente como en los otros terminales. La plataforma podr ofrecer, por razones estrictamente tcnicas derivadas de la caractersticas del terminal, distinta funcionalidad en los diferentes tipos de terminales.

El participante debe ser informado de las limitaciones de informacin o funcionalidad del terminal y aplicacin cliente que est utilizando, y aceptarlo de modo expreso.

El operador mitigar los riesgos derivados de la falta de informacin o de funcionalidad en un determinado terminal ofreciendo la misma informacin por otros medios.

Salvo impedimentos tcnicos debidamente justificados, todas las informaciones que deben aparecer en la interfaz deben aparecer tambin en la de un terminal. Cuando no sea posible incluir todas las informaciones o enlaces en la interfaz del juego, se ofrecern desde un enlace, desde un men o desde otra aplicacin del mismo terminal.

3.7.2.5 Recursos mnimos del terminal. La plataforma no procesar los juegos del terminal si no dispone de todos los recursos mnimos para permitir jugar sin problemas tcnicos y sin desventajas.

3.7.3 Terminales fsicos de carcter accesorio. A continuacin, se establecen los requisitos tcnicos de aplicacin a los terminales fsicos de carcter accesorio.

3.7.3.1 Tratamiento de los datos del participante. Para garantizar la seguridad y confidencialidad de la informacin de un participante, deben adoptarse las medidas necesarias para que los datos de un participante no sean accesibles a otros participantes que pudieran utilizar el mismo terminal posteriormente. El terminal no debe almacenar de manera definitiva datos de un participante. En las situaciones en que se almacene de manera provisional algn dato de un participante, los datos sern borrados al finalizar la sesin de usuario.

3.7.3.2 Diseo fsico. El terminal estar diseado para minimizar la posibilidad de ser manipulado por un tercero poniendo en riesgo al participante que lo utilice. A estos efectos se considerarn ataques lgicos, como pudiera ser mediante la manipulacin del software, ataques fsicos, como pudiera ser mediante el pinchado de chips o puertos, ataques a travs de las comunicaciones, as como ataques combinados.

3.7.3.3 Integridad del terminal. El terminal tambin debe generar un registro o log local, donde registrar pista de auditora de cualquier modificacin en un componente software instalado, su eliminacin o nueva instalacin, as como de los accesos o intentos de acceso, ya sean locales o remotos. Estos registros se conservarn al menos noventa das, no siendo aplicable el requisito general de conservacin de seis aos. El sistema tcnico comprobar al menos diariamente que los componentes software del terminal son los aprobados.

El terminal utilizar un sistema para verificar que cualquier componente software a instalar es autntico y no ha sido alterado, como paso previo antes de cualquier instalacin de componentes software.

El terminal estar razonablemente diseado para detectar un funcionamiento errneo o inseguro, y en su caso deber alertar al participante y restringir la operativa.

Cuando el terminal est siendo utilizado por un participante, el operador nicamente podr utilizar el acceso remoto al terminal en las comunicaciones normales para el desarrollo del juego con la unidad central de juegos, para la monitorizacin de la calidad, seguridad y rendimiento, para tareas peridicas planificadas como la descarga de contenidos. Tambin podr acceder el operador para solucionar problemas o incidencias tcnicas, siempre que el participante sea advertido. Antes de permitir cualquier acceso de este tipo, el terminal debe autenticar al sistema del operador y establecer una lnea de comunicacin segura.

3.7.3.4 Terminales mviles. En el caso de terminales fsicos de carcter accesorio mviles, el terminal incluir mecanismos que permitan al operador controlar la localizacin del mismo.

3.8 Sesin de usuario. Se denomina sesin de usuario al perodo de tiempo que un usuario permanece conectado al sitio web del operador, y que comprende desde la autenticacin vlida del usuario en el sistema hasta la desconexin del mismo.

3.8.1 Desconexin por inactividad. El tiempo de desconexin por inactividad del usuario ser como mximo de veinte minutos; transcurrido este tiempo, la plataforma debe desconectar al usuario.

Cuando el operador realice comunicaciones de carcter bsicamente unidireccional donde el comportamiento esperado del usuario sea pasivo, como por ejemplo en la retransmisin de un evento deportivo en directo, podr entenderse que el usuario sigue activo aunque no realice ninguna accin.

Si tcnicamente es posible, se informar al participante de que la sesin ha terminado.

3.8.2 Registro de las sesiones de usuario. La plataforma conservar registro de las sesiones de usuario, con detalle de los tiempos de inicio y fin de sesin de usuario, del mecanismo de autenticacin utilizado por el usuario, y la causa de desconexin o inactividad.

En el caso de que el terminal pertenezca al usuario, la plataforma permitir identificar, si tcnicamente es posible, el tipo de dispositivo (ordenador, smartphone u otros), la aplicacin/versin utilizada (navegador o aplicacin concreta), y en su caso la direccin IP.

En el caso de que el terminal pertenezca a un operador, permitir identificar el tipo y versin del terminal, as como, si tcnicamente es posible, el terminal concreto.

3.9 Interfaz grfica.

3.9.1 Datos del juego. El nombre del juego que el participante est jugando debe ser claramente visible en todas las pantallas asociadas.

Las instrucciones del juego deben ser fcilmente accesibles. La interfaz grfica debe incluir toda la informacin necesaria para el desarrollo del juego. La funcin de todos los botones de accin representados en la pantalla debe ser clara.

El resultado de cada jugada deber mostrarse, si tcnicamente es posible, de forma instantnea al participante y mantenerse durante un lapso de tiempo razonable.

3.9.2 Datos del participante. La pantalla debe mostrar el saldo actual del participante al menos en euros y las apuestas realizadas, unitarias y totales.

3.9.3 Premios. La interfaz deber indicar claramente si los premios se muestran en euros o en crditos. No debern alternarse diferentes representaciones que puedan confundir al participante.

Si se ofrecen premios aleatorios asociados a una jugada o apuesta, el participante debe conocer el importe mximo que puede obtener a partir de la apuesta o jugada que va a realizar.

El participante debe ser informado cuando el importe del premio aleatorio se determine en funcin del importe de la jugada o apuesta. Cuando el texto o los elementos grficos anuncien un premio mximo, este premio debe poder ser conseguido mediante un nico juego.

3.9.4 Juegos de cartas. Los juegos de cartas deben cumplir que:

• Las caras de las cartas deben mostrar claramente el valor de las mismas.

• Las caras de las cartas deben mostrar claramente el palo/color de las mismas.

• Los jokers o comodines deben distinguirse del resto de cartas.

• La utilizacin de ms de una baraja en el juego debe mostrarse claramente.

• Si las cartas son barajadas durante el juego, debe informarse claramente sobre la frecuencia con que se realiza y mostrarse el momento en que se realiza.

3.9.5 Simulacin de elementos de la vida real. Los juegos que simulan elementos de la vida real (ruletas, bombos u otros), deben comportarse de la forma ms parecida posible al comportamiento de dichos elementos fsicos. La probabilidad de que ocurra algn acontecimiento en la simulacin que afecte el resultado del juego debe ser equivalente a la del dispositivo fsico en la vida real.

3.9.6 Interfaz grfica de terceros. Se considerar que una interfaz grfica es de terceros cuando el operador no la ofrezca como parte de su plataforma o cuando el operador incluya un enlace a su descarga y junto al enlace est claramente especificado que el operador no es responsable del mismo.

El operador deber informar a los participantes que decidan utilizar una interfaz de usuario de terceros en relacin con que la funcionalidad y la informacin que reciban pueden no ser completas.

3.10 Integracin con proveedores y en redes de juego con otros operadores.–El operador ser responsable de las operaciones de juego realizadas a travs de terceros o proveedores. Los sistemas tcnicos de terceros o proveedores se considerarn a estos efectos parte del sistema tcnico del operador y debern cumplir las especificaciones establecidas en esta disposicin.

El operador deber garantizar que cualquier integracin con los sistemas de otro operador se realiza de tal forma que cumpla las especificaciones establecidas en esta disposicin.

3.11 Deshabilitacin de un juego o de una sesin de usuario.–La plataforma debe permitir que, en circunstancias excepcionales, sea posible inhabilitar un juego completo, o sesiones de usuarios concretas, dejando registro de las actuaciones y el motivo que las origin para una posterior revisin.

3.12 Juego incompleto.–Un juego incompleto es aquel cuyo resultado todava no se ha producido o, si se ha producido, el participante no ha podido ser informado de este hecho.

Ante un juego incompleto, las reglas particulares del juego determinarn la actuacin de la plataforma, que podr esperar al participante, anular el juego o seguir en el mismo hasta que sea completado.

• Si el juego incompleto se debe a una prdida de conexin del terminal del usuario, la plataforma mostrar el juego incompleto cuando el participante vuelva a conectarse.

• El operador deber disponer de un procedimiento documentado de gestin de las incidencias de indisponibilidad de uno, varios o todos los componentes, que incluya las medidas tcnicas asociadas. Los componentes deben realizar un autodiagnstico, un chequeo de los archivos crticos y un chequeo de las comunicaciones entre los distintos componentes.

• Tras la recuperacin, el sistema tcnico de juego debe proceder a tratar los juegos en curso afectados por la interrupcin.

El sistema tcnico guardar registro de las interrupciones de servicio, con su inicio, duracin, y servicios afectados para posterior revisin.

3.13 Juego automtico.–Si el sistema ofrece consejos sobre estrategia de juego o funcionalidades de juego automtico, tales recomendaciones o funcionalidades deben ser veraces y asegurar que se alcance el porcentaje de retorno obligatorio.

Se garantizar que el participante mantiene el control del juego cuando se proporciona la funcionalidad de juego automtico. El participante podr controlar el importe mximo del juego automtico o de la apuesta mxima y el nmero de apuestas automticas. El participante podr desactivar en cualquier momento la funcionalidad de juego automtico.

Cuando se use la funcionalidad de juego automtico, las informaciones mostradas en pantalla (duracin, elementos grficos u otras) sern las mismas y presentarn las mismas caractersticas que cuando el juego no es automtico. La interfaz mostrar adicionalmente el nmero de jugadas automticas transcurridas o restantes.

La funcionalidad de reproduccin automtica no podr poner en desventaja a un participante, y ni la secuencia de las partidas automticas, ni cualquier estrategia que sea aconsejada al participante deber resultar engaosa.

En el caso de los juegos en que intervenga simultneamente ms de un participante, todos los participantes deben ser informados y aceptar un participante que ha establecido la funcionalidad de juego automtico.

3.14 Repeticin de la jugada.–La plataforma debe proporcionar al participante la opcin de repeticin de la jugada, mostrndolo como una reconstruccin grfica o una descripcin inteligible que deber reproducir todos los lances del juego que puedan tener repercusin sobre su desarrollo. La opcin de repeticin deber suministrar toda la informacin necesaria para reconstruir las ltimas diez partidas de la sesin de usuario en curso.

3.15 Jugadores virtuales.

3.15.1 Jugadores virtuales proporcionados por el operador. El operador puede utilizar inteligencia artificial mediante jugadores virtuales, tambin denominados robots, si as lo permitiera expresamente la regulacin del juego correspondiente.

En el caso de los juegos en que intervenga simultneamente ms de un participante, todos los participantes deben ser informados y aceptar la presencia de un jugador virtual.

Los jugadores virtuales o automticos debern estar identificados claramente en la interfaz.

El jugador virtual no debe tener ninguna ventaja tcnica sobre los participantes, y no tendr acceso a informacin que no est al alcance de stos.

3.15.2 Jugadores virtuales utilizados por participantes. El operador puede facilitar a los participantes inteligencia artificial mediante la utilizacin de jugadores virtuales o robots, si as lo permite la regulacin del juego correspondiente.

El operador informar sobre si permite o no el uso de jugadores virtuales o robots por parte de los participantes. En los supuestos en los que los permita e intervengan simultneamente ms de un participante, el operador debe asegurarse de que el resto de participantes conozcan quin es un jugador virtual o robot. En los casos en los que no los permita e intervengan simultneamente ms de un participante, deber tratar de evitar que los participantes hagan uso de jugadores virtuales y tan pronto detecte su uso deber comunicar esta circunstancia a los participantes. Los participantes debern disponer de un mecanismo para denunciar la existencia de un posible jugador virtual.

El operador dispondr de procedimientos para detectar si un participante est utilizando tcnicas de inteligencia artificial.

3.16 Juegos metamrficos.–Los juegos metamrficos o de evolucin, deben:

• Informar de las reglas aplicables en cada momento o fase de juego.

• Mostrar al participante la suficiente informacin para indicar la cercana de la siguiente metamorfosis. Por ejemplo, si el participante va recogiendo elementos, la interfaz debe mostrar el nmero de elementos que el participante ha recogido, los que son necesarios para la metamorfosis o los que le faltan para conseguirlo.

• La probabilidad de una metamorfosis no debe ser variada en funcin de los premios obtenidos por el participante en previas partidas. Cualquier excepcin debe ser previamente autorizada por la Direccin General de Ordenacin del Juego.

• Las informaciones y el juego no deben ser engaosos o ambiguos.

3.17 Participante en estado ausente.–Durante un juego en que intervenga simultneamente ms de un participante, la plataforma debe permitir al usuario establecer un estado de ausente o pausa que puede ser utilizado si el participante necesita dejar de jugar durante un periodo breve que nunca ser superior a veinte minutos. En estado ausente el participante no realiza nuevas jugadas. Si realizara alguna jugada su estado dejar de ser ausente automticamente. Si las acciones no afectan al juego (p. ej., consulta de la ayuda) se mantendr el estado de ausente.

3.18 Juegos multiparticipante con anfitrin.–En los juegos donde un participante es el anfitrin, ste podr decidir si acepta a cualquier participante o si slo lo acepta a travs de una invitacin. El anfitrin no podr excluir participantes de la mesa una vez han sido previamente aceptados a la misma.

3.19 Juego en vivo.–A estos efectos se denominan en vivo a aquellos juegos que utilizan un croupier real o una mesa de juego real como dispositivo de juego, cuando dicho juego se integra con un sistema de retransmisin y de apuestas online.

Los participantes podrn visualizar una retransmisin online que permita seguir el juego y conocer el resultado.

Debern existir procedimientos de actuacin para la resolucin de las incidencias que puedan suceder durante las operaciones de juego en vivo.

Los dispositivos automticos de reconocimiento y registro utilizados deben estar equipados con una modalidad de funcionamiento manual que permita la correccin de un resultado errneo. El participante debe ser informado de que la modalidad manual se encuentra activa. Cada vez que se active la modalidad de funcionamiento manual se debe dejar la traza que permita su posterior revisin.

Debern existir procedimientos para tratar interrupciones en el juego provocadas por la discontinuidad en el flujo de datos, video y voz.

3.20 Botes, botes progresivos, y premios adicionales.–Siempre que la reglamentacin bsica de los juegos correspondientes lo permita, el operador podr crear botes, botes acumulados, botes progresivos o premios adicionales.

La plataforma informar al participante de forma clara cuando est aportando fondos a botes y la manera en que un participante puede optar a los mismos. Todos los participantes que contribuyen al bote deben poder optar a ganarlo a lo largo del desarrollo del juego. La descripcin de las condiciones del bote y los requisitos para ganarlo deben ser comunicados al participante.

Las condiciones del bote deben contemplar cualquier conclusin o interrupcin, prevista o imprevista, del juego, as como interrupciones tcnicas del sistema.

El sistema del operador llevar una contabilidad asociada a la gestin de los botes que permita el control de los mismos, identificando como mnimo:

– La creacin de cada bote.

– Los periodos de tiempo en que ha estado activo cada bote.

– Las caractersticas configurables del bote activas en cada momento.

– Los juegos o mquinas que participan o contribuyen al bote en cada momento.

– El saldo del bote en todo momento, diferenciando la contribucin al mismo de cada tipo de juego o mquina.

– Los premios concedidos en base al bote, con detalle del ganador, importe y momento en que se produjo.

– El registro de las acciones manuales que afecten al saldo del bote.

– Las operaciones de transferencia o redireccin a otro bote.

– El cierre de un bote o el momento en que se produzca su baja.

El operador deber disponer de un procedimiento que permita el control de los botes, garantizando que el bote se crea, gestiona, y concede de manera acorde con las reglas del juego.

En particular, con periodicidad mnima mensual, el operador deber comprobar:

• El correcto funcionamiento y los saldos y movimientos de los botes.

• Que una vez constituido y abierto el bote, las condiciones no cambian hasta que ste haya sido ganado por uno o varios participantes y su importe hecho efectivo.

• Que el procedimiento de determinacin de ganadores funciona correctamente. El procedimiento no debe permitir introducir ganadores que no cumplan las condiciones para ser premiados, ni tampoco no dar por ganadores a aquellos que s las cumplan.

• Que el sistema concede los premios a los participantes que figuran en la lista de ganadores.

• Si existen, se prestar especial atencin a los sistemas de redireccin del bote en los que parte del bote acumulado es redirigido a otro fondo, donde puede ser ganado posteriormente. El sistema de redireccin de bote no puede utilizarse con la finalidad de posponer la concesin de un premio indefinidamente.

La inoperatividad del bote deber ser comunicada a los participantes mediante la visualizacin en su terminal de mensajes como bote cerrado o similares. No ser posible ganar un bote acumulado que se encuentre previamente cerrado.

3.21 Juegos a travs de canales de comunicacin en diferido.–A estos efectos se tendrn la consideracin de juegos en diferido aquellos juegos cuya aleatoriedad o alguno de los elementos para llegar al resultado se hayan obtenido con anterioridad al inicio de la interaccin de los participantes con el juego durante la partida.

El operador adoptar las medidas tcnicas, de seguridad y organizativas necesarias para evitar que ni el propio operador, su personal, u otros participantes puedan obtener ventajas derivadas del conocimiento previo, incluso parcial, de los elementos que pueden determinar el resultado.

4. Seguridad de los sistemas de informacin

Los requisitos de seguridad del sistema tcnico de juego que se establecen tienen como objetivo proteger los registros de usuario de los usuarios y sus cuentas de juego asociadas, as como garantizar que el juego se desarrolla de manera correcta.

4.1 Componentes crticos.–Los componentes crticos son los elementos cuya seguridad debe ser reforzada, ya que su impacto en el desarrollo del juego es importante.

Son componentes crticos:

• En el registro de usuario, cuenta de juego y procesamiento de los medios de pago: los componentes del sistema tcnico de juego que almacenan, manipulan o transmiten informacin sensible de los clientes como datos personales, de autenticacin, o econmicos y los que almacenan el estado puntual de los juegos, apuestas y su resultado.

• En el generador de nmeros aleatorios: los componentes del sistema tcnico de juego que transmiten o procesan nmeros aleatorios que sern objeto del resultado de los juegos y la integracin de los resultados del generador de nmeros aleatorios en la lgica del juego.

• Las conexiones con la Direccin General de Ordenacin del Juego.

• El sistema de control interno: el capturador y el almacn.

• Los puntos de acceso y las comunicaciones de y hacia los componentes crticos anteriores.

• Las redes de comunicacin que transmiten informacin sensible de participantes.

4.2 Gestin de la seguridad del sistema tcnico de juego.–El operador deber implementar un sistema de gestin de la seguridad, que proteger especialmente los componentes crticos referidos en el nmero anterior.

Los procedimientos de seguridad debern estar dirigidos a implementar medidas concretas de seguridad, partiendo de una evaluacin de los riesgos. El operador deber planificar las revisiones peridicas y realizar las revisiones derivadas de los cambios significativos.

4.3 Gestin de riesgos.–La gestin de riesgos identificar los elementos a proteger, para despus llevar a cabo una identificacin, cuantificacin y priorizacin peridica de los riesgos a los que est sometido el sistema tcnico de juego. La gestin de riesgos deber plasmarse en un plan de medidas.

4.4 Poltica de seguridad.–Los operadores debern contar con unos procedimientos de seguridad que sern comunicados a la totalidad de sus empleados y, en su caso, a las entidades colaboradoras externas.

4.5 Organizacin de la seguridad de la informacin.–Los operadores debern establecer un marco de gestin para la seguridad de la informacin indicando las funciones y responsabilidades de su personal.

4.6 Seguridad en la comunicacin con los participantes.–Deben adoptarse mecanismos de autenticacin que permitan al sistema de juego identificar al participante, y que, a su vez, permitan al participante identificar al sistema de juego.

El operador deber establecer los sistemas y mecanismos que garanticen la confidencialidad de las comunicaciones de los participantes con sus sistemas tcnicos de juego y, en particular, con la unidad central de juegos y su rplica. Las comunicaciones sern cifradas en los casos de transmisin de datos personales (registro de usuario) o econmicos (cuenta de juego).

En relacin con las comunicaciones, el operador adoptar las medidas que resulten necesarias para garantizar la integridad y el no repudio en los casos de transmisin de datos personales o econmicos, y en las transacciones de participacin en el juego.

4.7 Seguridad de recursos humanos y terceros.–El plan de seguridad del personal del operador incluir acciones formativas, gestin de la contratacin, cambios y finalizacin de la contratacin, prestando especial atencin a los permisos de acceso a informacin y componentes crticos.

Cuando el operador necesite de los servicios de terceros que supongan acceso, procesamiento, comunicacin o tratamiento de la informacin, o bien el acceso a instalaciones, productos o servicios relacionados con el juego, stos terceros debern cumplir la totalidad de los requisitos de seguridad exigibles al resto del personal.

4.8 Seguridad fsica y medioambiental.–Los planes de seguridad de los operadores debern incluir, en relacin con la seguridad fsica de los componentes del sistema tcnico de juego y de su rplica, lo siguiente:

• Seguridad perimetral para las reas que contienen componentes crticos e informacin sensible: paredes, tarjetas de acceso, etc.

• Control de acceso fsico a las instalaciones en las cuales se encuentren los equipos, tanto para empleados como para personal externo, que incluya elementos fsicos, procedimientos de autorizacin, registros de acceso y servicios de vigilancia.

• Proteccin de los equipos crticos frente a riesgos ambientales: agua, fuego, provocados por personas, etc.

• Proteccin de los equipos crticos frente a cortes del suministro elctrico y otras interrupciones causadas por fallos en instalaciones de soporte. El cableado de suministro elctrico debe ser protegido de daos.

• Control de acceso al cableado de comunicaciones si transporta informacin crtica sin cifrar.

• Mantenimiento de las instalaciones y equipos.

• Los dispositivos que contienen informacin deben ser borrados de manera segura o destruidos antes de ser reutilizados o retirados.

• Los equipos que contienen informacin no pueden ser trasladados fuera de las instalaciones seguras sin la correspondiente autorizacin.

4.9 Gestin de comunicaciones y operaciones.–Se debe garantizar la segura y correcta operacin del sistema tcnico de juego, as como las comunicaciones:

• Los componentes crticos debern ser monitorizados para evitar que puedan utilizarse versiones diferentes de la homologada.

• La comunicacin entre los componentes de los sistemas tcnicos de juego garantizarn la integridad y la confidencialidad.

• Las tareas se segregarn entre las diferentes reas de responsabilidad, para minimizar la posibilidad de acceso no autorizado y potenciales daos.

• Se separarn las tareas de desarrollo, pruebas y produccin.

• Los servicios proporcionados por terceras partes deben incluir controles y mtricas de seguridad en los contratos, y deben ser peridicamente auditados y monitorizados.

• Se adoptarn medidas de proteccin contra cdigo malicioso.

• Deben hacerse regularmente copias de seguridad con la frecuencia adecuada y conservarse custodiadas segn quede recogido en el plan de copias de seguridad.

• Se adoptarn medidas de seguridad en la red de comunicaciones.

• Se adoptarn medidas de seguridad en la manipulacin de soportes porttiles as como de borrado seguro o de destruccin de los mismos, que se plasmarn en un procedimiento documentado.

• Los relojes de todos los componentes, especialmente los crticos, debern estar sincronizados con una fuente de tiempo fiable. La fuente de tiempo fiable puede no ser la misma para cada componente. El operador establecer medidas y controles para evitar la manipulacin de las marcas de tiempo o su alteracin posterior, especialmente en los registros de auditora.

• Debern generarse y guardarse registro de auditora de actividades de todos los usuarios, excepciones y eventos de seguridad de la informacin durante un periodo mnimo de dos aos.

• Los registros de auditora estarn protegidos frente a la alteracin y el acceso indebido.

• Las actividades del administrador del sistema y del operador del Sistema debern quedar registradas.

• Se realizar un anlisis peridico de los registros de auditora. Se tomarn acciones en funcin de las incidencias detectadas.

4.10 Control de acceso.–Los accesos del personal del operador y de los participantes deben cumplir los siguientes requisitos:

• Debe existir una poltica de acceso a informacin documentada, que ser revisada peridicamente.

• Se debe asegurar el acceso autorizado e impedir el no autorizado mediante controles en el alta de usuarios, gestin de privilegios de acceso, revisin peridica de los privilegios de acceso y poltica de gestin de las contraseas.

• Los usuarios deben seguir buenas prcticas en el uso de contraseas y proteger adecuadamente la documentacin y soportes en su puesto de trabajo.

• Los usuarios nicamente tendrn acceso a los servicios que han sido autorizados a usar.

• No existirn usuarios genricos y todos los usuarios accedern con su usuario propio nico.

• El sistema debe autenticar todos los accesos, ya sea personal propio, de mantenimiento u otros, ya sea de otros sistemas y componentes (por ejemplo la pasarela de pagos). Tambin debe ser autenticado el personal de inspeccin de la Direccin General de Ordenacin del Juego u otro personal que acte en su nombre.

• Las redes se segregarn en funcin del rea y responsabilidad de la tarea o funcin.

• El acceso a los sistemas operativos requerir un mecanismo de autenticacin seguro.

• Se restringir y se controlar el uso de programas que permitan evitar los controles de acceso y de seguridad.

• Las sesiones de usuario tendrn un tiempo mximo de duracin de la conexin y un tiempo de desconexin por inactividad.

• El personal de soporte informtico tendr restringido el acceso a los datos reales de las aplicaciones. Los datos reales sensibles estarn ubicados en entornos aislados.

• Se gestionarn los riesgos asociados a dispositivos mviles.

• Si existe el teletrabajo, se comprobar que el riesgo asociado est gestionado en el marco del plan de seguridad.

4.11 Compra, desarrollo y mantenimiento de los sistemas.–Se deber analizar el impacto en la seguridad en la toma de decisiones de compra, desarrollo y mantenimiento de los sistemas de informacin.

4.12 Gestin de incidentes de seguridad.–El operador deber disponer de un procedimiento documentado de gestin de incidentes de seguridad.

Todos los incidentes de seguridad debern ser registrados y se documentarn de forma clara y concisa los hechos, los impactos y las medidas adoptadas.

4.13 Gestin de cambios.–De conformidad con lo dispuesto en el artculo 8.5 del Real Decreto 1613/2011, de 14 de noviembre, por el que se desarrolla la Ley 13/2011, de 27 de mayo, de regulacin del juego en lo relativo a los requisitos tcnicos de las actividades de juego los informes de homologacin y certificacin incluirn una relacin de los componentes crticos. La Direccin General de Ordenacin del Juego podr calificar como crticos otros componentes adicionales.

Desde el inicio de su actividad, el operador deber disponer de un procedimiento de gestin de cambios documentado, que controle los cambios de los equipos y componentes del sistema tcnico de juego efectivamente empleado.

a) Existir un proceso formal de aprobacin interna de todos los cambios, que debe implicar la peticin de cambio y su aprobacin por los responsables correspondientes.

b) En el caso de cambios en componentes crticos, deber evaluarse si se trata de un cambio sustancial.

c) Las peticiones de cambio y las decisiones tomadas se registrarn y podrn ser objeto de posterior auditora.

d) Se conservarn copias de los binarios de los elementos de software de todas las versiones software que se hayan utilizado en el sistema tcnico efectivamente empleado en los ltimos cuatro aos. La Direccin General de Ordenacin del Juego podr establecer la obligacin de que el procedimiento de conservacin de las copias de los binarios incluya una huella digital de los mismos.

4.14 Gestin de la disponibilidad del servicio.–El operador deber disponer de un plan de gestin de la disponibilidad del servicio. El operador deber considerar dentro del plan cada uno de los siguientes servicios:

• Registro de participante, cuentas de juego, incluyendo la posibilidad de realizar depsitos y retirar fondos.

• Servicios de juego.

El plan indicar el tiempo mximo de indisponibilidad acumulada mensual, as como el tiempo mximo de recuperacin para cada servicio. El operador adaptar su infraestructura y procesos, e implantar las medidas necesarias para cumplir los objetivos fijados en su plan de gestin de la disponibilidad.

4.15 Plan de prevencin de prdida de informacin.–El operador debe disponer de un plan que garantice que no se pierdan datos o transacciones que afecten o puedan llegar a afectar al desarrollo de los juegos, a los derechos de los participantes o al inters pblico e indique el riesgo asumido por el operador.

El operador adaptar su infraestructura y procesos, e implantar las medidas necesarias para cumplir los objetivos fijados en su plan, establecindose los siguientes mnimos:

• Se conservarn copias de la informacin en un lugar alejado convenientemente de los datos que pretende salvaguardar.

• La copia de la informacin se proteger de accesos no autorizados mediante medidas de seguridad equivalentes a las de la informacin a salvaguardar.

El operador deber disponer de un procedimiento documentado de actuacin en caso de prdida de informacin que incluir los mecanismos para atender las reclamaciones de usuarios, la continuacin de los juegos o apuestas interrumpidas, y cualesquiera otras situaciones que pudieran derivarse.

En caso de producirse una prdida de datos, el operador deber informar a la Direccin General de Ordenacin del Juego, con carcter inmediato, indicando las acciones tomadas y una estimacin de la repercusin de la prdida.

4.16 Gestin de la continuidad de negocio.–El operador debe disponer de un plan de continuidad de negocio para el mantenimiento de la operativa de juego ante desastres, que incluya las medidas tcnicas, humanas y organizativas necesarias para garantizar la continuidad del servicio y de una rplica de la unidad central de juegos que permita el normal desarrollo de la actividad.

El plan de continuidad de negocio determinar uno o varios escenarios de recuperacin indicando para cada uno de ellos los servicios recuperados y el tiempo mximo en el que estaran operativos. El operador deber considerar dentro del plan los siguientes escenarios:

• Acceso de los participantes a sus registros de usuario y cuentas de juego, con posibilidad de consultar el saldo y los movimientos de sus cuentas de juego asociadas. El tiempo mximo para prestar de nuevo estos servicios ser de una semana.

• Posibilidad de los participantes de retirar sus fondos. El tiempo mximo para prestar de nuevo estos servicios ser de una semana.

• Continuacin de los juegos incompletos o las apuestas pendientes, y pago de los premios vlidamente conseguidos. El tiempo mximo para prestar de nuevo estos servicios ser de un mes.

• Restablecimiento completo de todos los servicios.

El operador adaptar su infraestructura y procesos, e implantar las medidas necesarias, para hacer realizables los objetivos fijados en su plan de continuidad de negocio.

En caso de desastre, el operador deber informar a la Direccin General de Ordenacin del Juego con carcter inmediato, realizando una estimacin del impacto y del tiempo estimado de recuperacin.

4.17 Test de penetracin y anlisis de vulnerabilidades.–El sistema de juego deber pasar un test de penetracin y un anlisis de vulnerabilidades, al menos con periodicidad anual. Los sistemas tcnicos o parte de los mismos con carcter meramente informativo, donde no se realicen apuestas y no exista acceso al registro de usuario o cuenta de juego, estarn exentos de la obligacin de realizar los test de penetracin y los anlisis de vulnerabilidades.

Los sistemas tcnicos en los que la interaccin con el jugador sea telefnica o mediante SMS estarn tambin exentos de esta obligacin.

El test de penetracin y el anlisis de vulnerabilidades podrn ser realizados por entidades distintas de las entidades designadas para la evaluacin de la seguridad, o incluso ser realizado con recursos propios del operador en el caso de contar con los medios apropiados.

El test de penetracin consistir en un mtodo de evaluacin de la seguridad de una red o un sistema, mediante la simulacin de un ataque realizado por un tercero. El proceso incluye un anlisis activo del sistema buscando debilidades, fallos tcnicos, o vulnerabilidades. El test incluir todas las interfaces pblicas que custodien, procesen o transmitan datos personales, econmicos o de juego.

El anlisis de vulnerabilidades consistir en la identificacin y cuantificacin pasiva de los riesgos potenciales del sistema. El anlisis incluir todos los componentes que custodien, procesen o transmitan datos personales, econmicos o de juego.

Los resultados de los test y de los anlisis debern conservarse junto con las medidas correctivas aplicadas o planeadas, para su posterior revisin o inspeccin.

Antes del inicio de la comercializacin de juego, el sistema tcnico deber haber pasado con xito tanto un test de penetracin como un anlisis de vulnerabilidades. El alcance y los resultados debern ser valorados por una de las entidades designadas para la certificacin de la seguridad durante el proceso de certificacin.

En el caso de que como resultado del test o anlisis se detectase un fallo de seguridad muy grave, que pudiera poner en riesgo la identidad o situacin patrimonial de los jugadores o permitir su suplantacin, el operador lo comunicar inmediatamente a la DGOJ junto con el plan de accin que hubiera definido. La DGOJ podr requerir la suspensin de la oferta de juego afectada hasta la subsanacin del fallo.

Ante incidencias de seguridad de menor gravedad, el operador adoptar un plan de mejora y en el siguiente test o anlisis incluir en el alcance la verificacin de la adecuada subsanacin de las incidencias previamente detectadas.

El operador deber conservar el informe completo de cada test o anlisis realizado durante al menos cuatro aos.

5. Sistema de control interno e inspeccin

5.1 Sistema de control interno.

5.1.1 Descripcin. La monitorizacin y la supervisin de las actividades de juego realizadas por el operador se efectuar a travs del sistema de control interno (en adelante, SCI), que los operadores deben implantar.

El SCI debe capturar y registrar la totalidad de las operaciones de juego y transacciones econmicas de los participantes ubicados en Espaa o con registro de usuario espaol, cualquiera que sea el medio de participacin.

El sistema de control interno deber adecuarse a los diferentes canales de comercializacin de los juegos y de interaccin con los participantes, de tal modo que se asegure la captura y registro de la totalidad de las operaciones de juego realizadas.

Cuando en un nico juego se empleen simultneamente diferentes canales de comercializacin o de interaccin con los participantes, el operador deber establecer las pasarelas, interfaces o canales de comunicacin entre la totalidad de los medios de participacin o de interaccin en el juego con el fin de posibilitar a la Direccin General de Ordenacin del Juego acceder a la totalidad de las operaciones y transacciones que se hubieran realizado cualquiera que fuera el medio empleado para ello.

El operador ha de establecer y mantener una lnea de comunicacin segura para el acceso de la Direccin General de Ordenacin del Juego, as como un servicio de consulta y descarga de datos disponible permanentemente para la Direccin General de Ordenacin del Juego.

El SCI se compone de capturador y del almacn de operaciones de juego (almacn).

5.1.2 Acceso de la Direccin General de Ordenacin del Juego al almacn. El almacn mantendr los siguientes accesos permanentemente abiertos para el acceso de la Direccin General de Ordenacin del Juego:

• Un acceso mediante el protocolo SFTP para la descarga de la informacin.

• Un acceso mediante SSH con atributos de solo-lectura y permisos suficientes para listar y visualizar el contenido de todo el almacn.

El operador proporcionar los siguientes mtodos de autenticacin a la Direccin General de Ordenacin del Juego.

• Para el acceso manual, usuario y contrasea.

• Para la descarga automatizada, el operador configurar el intercambio de pares de claves (SSH keyswap) para el mismo usuario descrito en el acceso manual.

El operador puede utilizar varios almacenes. Los datos deben comunicarse una sola vez, evitando que los diferentes almacenes contengan informacin redundante.

5.1.3 Modelo de datos del SCI. La Direccin General de Ordenacin del Juego, mediante resolucin, establecer el modelo de datos del SCI.

El modelo de datos del SCI contiene el alcance de los datos que deban ser registrados, el perodo de actualizacin de los mismos y los requerimientos tcnicos de disponibilidad y de acceso, en los trminos establecidos en el artculo 24 del Real Decreto 1613/2011, de 14 de noviembre, por el que se desarrolla la Ley 13/2011, de 27 de mayo, de regulacin del juego, en lo relativo a los requisitos tcnicos de las actividades de juego.

Los datos se almacenarn en una estructura de ficheros, en un formato estructurado en XML, segn la definicin del esquema de datos de monitorizacin (XSD-XML Schema Definition).

5.1.4 Fuente de tiempo del SCI. Todos los elementos del sistema tcnico de juego, incluyendo el capturador y el almacn, estarn sincronizados con una fuente de tiempo fiable.

5.1.5 Firma, compresin y cifrado de los datos del SCI. Los datos que vayan a ser registrados en el almacn se agruparn en lotes. Cada lote debe ser firmado, comprimido y cifrado por el operador, utilizando el formato y procedimiento descritos en el Modelo de datos de monitorizacin.

El operador deber proporcionar a la Direccin General de Ordenacin del Juego, la parte pblica del certificado electrnico que utilizar para realizar la firma de los lotes. El operador deber informar a la Direccin General de Ordenacin del Juego si se produce una revocacin del certificado utilizado. El operador podr utilizar un certificado de su propiedad o encargar a un tercero que en su nombre firme los lotes.

5.1.6 Rendimiento del capturador y del almacn. El capturador debe tener capacidad para procesar y registrar la informacin de las transacciones.

Salvo situaciones excepcionales debidamente justificadas, el capturador debe estar diseado para que la informacin quede procesada, formateada y registrada en el almacn en un tiempo mximo de dos veces el tiempo definido para tiempo real en el Modelo de datos de monitorizacin.

El almacn tendr una capacidad o caudal de comunicaciones mnimo en Internet, suficiente para que la Direccin General de Ordenacin del Juego pueda acceder al mismo:

• Para la descarga de datos, deber disponer de un caudal mnimo asegurado que permita la descarga de la informacin mxima a generar en un da, en cuatro horas, mediante el protocolo definido SFTP.

• Para la subida de datos, se requiere un mnimo de 64 kbps.

El almacn como sistema deber tener un rendimiento igual o superior al necesario para garantizar los caudales de comunicaciones descritos, independientemente de otras operaciones que deba realizar.

5.1.7 Seguridad del SCI. El SCI en su conjunto, tanto el capturador como el almacn de operaciones de juego, son considerados componentes crticos. Los requisitos de seguridad establecidos en el apartado 4 resultan de aplicacin al SCI.

Si bien el modelo de datos requiere que la informacin en el almacn se registre finalmente cifrada no se exige que est cifrada en todo momento. La cadena de custodia de la clave de cifrado se debe incluir en el diseo de la seguridad del SCI.

El capturador debe poder registrar las transacciones en todo momento y de manera permanente. El operador debe disear la disponibilidad, el plan de prevencin de prdida de informacin, el tiempo de recuperacin ante desastres y la continuidad de negocio cumplimentando este requisito.

5.1.8 Indisponibilidad del SCI y suspensin de la oferta de juego. El operador debe suspender la oferta de juego en los supuestos de indisponibilidad del sistema de control interno.

Ante una indisponibilidad del almacn inferior a 24 horas, el operador podr continuar su oferta de juego si el capturador sigue disponible, siempre que sea capaz de continuar registrando las transacciones a la espera de que vuelva a estar disponible el almacn. El operador suspender la oferta de juego ante una indisponibilidad del almacn superior a 24 horas.

5.1.9 Disponibilidad del SCI. El capturador debe poder registrar las transacciones en todo momento y de manera permanente. El almacn no podr tener un tiempo de cada acumulado mensual superior a 48 horas.

5.1.10 Plan de prevencin de la prdida de informacin en el SCI. El SCI es un componente crtico. Los operadores de juegos deben implementar un procedimiento que minimice el riesgo de prdida de informacin a un mximo de 24 horas.

En caso de prdida de informacin en el SCI, el operador deber disponer de un procedimiento de nueva extraccin de la informacin perdida que permita subsanar la prdida en el plazo mximo de una semana.

Cualquier prdida de informacin que afecte al SCI debe comunicarse a la Direccin General de Ordenacin del Juego con carcter inmediato, indicando una evaluacin de la prdida as como el plan de medidas a aplicar.

5.1.11 Calidad de la informacin del SCI. El operador deber disponer de un procedimiento documentado de control de la calidad de los datos del SCI. Este procedimiento, deber ejecutar con periodicidad mnima mensual, incluir al menos las siguientes comprobaciones:

– Que los datos incluyen a todos los participantes registrados en el operador.

– Que los datos econmicos incluyen a todas las transacciones de juego del periodo, incluyendo depsitos y retiradas, as como que las cifras obtenidas se corresponden con las cifras oficiales del operador.

– Que los saldos de las cuentas de los participantes estn adecuadamente reflejados en la informacin del sistema de control interno.

– Que se han generado los ficheros mensuales del periodo, as como los ficheros diarios de cada uno de los das del periodo.

El operador conservar la documentacin del resultado de las comprobaciones anteriores, incluyendo en esta documentacin la fecha de realizacin, la firma de la persona responsable por parte del operador, las principales magnitudes, econmicas y de nmero de usuarios registrados, transmitidas en los ficheros del sistema de control interno, as como su contraste con las cifras oficiales del operador.

El operador deber estar preparado para, mediante nuevas extracciones, rectificar los datos incorrectos en el plazo mximo de un mes.

5.1.12 Continuidad de negocio en el SCI. Dado que la indisponibilidad del SCI conlleva la suspensin de la oferta de juego, el operador deber disponer de un procedimiento de continuidad de negocio que ante un eventual desastre permita tener el SCI operativo en un tiempo inferior a un mes.

Cualquier desastre que afecte al SCI debe comunicarse a la Direccin General de Ordenacin del Juego con carcter inmediato, indicando una evaluacin de la prdida as como el plan de medidas a aplicar.

5.1.13 Conservacin de la informacin del SCI. El almacn debe conservar sus datos por un periodo mnimo de seis aos.

Los operadores de juego tendrn la obligacin de facilitar y permitir a la Direccin General de Ordenacin del Juego el acceso online a la informacin correspondiente a los doce ltimos meses de actividad registrada en el almacn.

Los operadores debern tener previsto un procedimiento de recuperacin de la informacin correspondiente a un periodo mnimo de seis aos.

5.1.14 Ubicacin del almacn en Espaa. El almacn o almacenes del SCI debern estar ubicados en Espaa, con la finalidad de realizar las operaciones de verificacin y control de la informacin. La ubicacin y cualquier modificacin de la misma debern ser comunicadas a la Direccin General de Ordenacin del Juego.

Las copias de seguridad del almacn o los sitios de rplica secundarios de un almacn principal podrn estar ubicados fuera de Espaa.

5.2 Inspeccin presencial y telemtica.–La Direccin General de Ordenacin del Juego deber tener la posibilidad de monitorizar y supervisar cualquiera de los elementos de las plataformas tcnicas de juego de los operadores.

Para ello, el operador deber articular los mecanismos necesarios de comunicacin segura a sus sistemas tcnicos, as como permitir y facilitar en todo momento el acceso a los mismos por parte de la Direccin General de Ordenacin del Juego, independientemente de su ubicacin.

La Direccin General de Ordenacin del Juego comunicar al operador su intencin de realizar una conexin al sistema tcnico de juego proporcionando una descripcin de las funcionalidades a las que se pretende acceder y el tiempo y duracin previstos para el acceso.

El operador proporcionar a la Direccin General de Ordenacin del Juego los medios para realizar un acceso seguro al sistema. El personal designado por el operador colaborar con la Direccin General de Ordenacin del Juego para el adecuado acceso y consulta de otros sistemas y aplicaciones. La Direccin General de Ordenacin del Juego podr realizar grabaciones de la sesin de usuario y cuantas constataciones de hecho sean necesarios para el ejercicio de sus funciones.

Si no se requiere lo contrario, deber entenderse que el acceso proporcionado a la Direccin General de Ordenacin del Juego es de slo lectura y que cuenta con el nivel de autorizacin para acceder a todos los sistemas y aplicaciones del sistema tcnico de juego sin ningn filtro en los datos a que puede acceder.

Finalizado el acceso el operador deber cerrar el acceso seguro.

6. Registros y logs del sistema tcnico de juego

6.1 Registro y trazabilidad.–El operador conservar registros y logs de todas las decisiones del participante, del propio operador, de su personal o de sus sistemas, que tengan repercusin en el desarrollo del juego, en el registro de usuario, en las cuentas de juego o en los medios de pago.

En relacin con los datos de desarrollo del juego, los datos deber poder reconstruir todos los lances del juego que pudieran tener repercusin sobre su desarrollo El Sistema Tcnico de Juego tambin debe conservar registros y logs en materia de seguridad de los sistemas de informacin. Todos los referidos registros y logs debern ser accesibles online para la Direccin General de Ordenacin del Juego durante un tiempo no inferior a doce meses. De manera excepcional y justificadamente el operador podr eximirse de este requisito previa solicitud de autorizacin a la Direccin General de Ordenacin del Juego. Sin perjuicio de lo anterior, los registros y logs deben ser conservados en almacenamiento durante al menos 6 aos.

Los operadores debern tener previsto un procedimiento de recuperacin de esta informacin.

Los registros y logs estar diseados de forma que se evite la posibilidad de borrado o modificacin.

Cualquier actuacin de borrado que el operador deba realizar, por ejemplo, para corregir errores tcnicos, deber ser debidamente aprobada por el operador y se conservar la documentacin justificativa de los ajustes realizados.

6.2 Registro en funcin del canal de comercializacin.–Determinados terminales y procedimientos de participacin tienen requisitos especficos de registro para las operaciones de juego. Estos requisitos no afectarn a otras comunicaciones entre el operador y el participante diferentes a las propias del desarrollo del juego.

Estos terminales y procedimientos especficos se aplicarn al registro de los mensajes enviados y recibidos para las actividades de juego realizadas a travs de mensajera de texto, a travs de servicios telefnicos fijos o mviles o de medios de comunicacin audiovisual.

Análisis

  • Rango: Resolucin
  • Fecha de disposición: 06/10/2014
  • Fecha de publicación: 10/10/2014
  • Entrada en vigor: 11 de octubre de 2014.
Referencias posteriores

Criterio de ordenación:

  • SE CORRIGEN errores en la Resolucin de 31 de octubre de 2018, por Resolucin de 5 de diciembre de 2018 (Ref. BOE-A-2018-17134).
  • SE MODIFICA:
    • determinados preceptos del anexo, por Resolucin de 31 de octubre de 2018 (Ref. BOE-A-2018-15298).
    • el apartado 1.2 y 5.1.4. y SE AADE el apartado 6.3 y 7 al anexo, por Resolucin de 29 de diciembre de 2017 (Ref. BOE-A-2018-461).
Referencias anteriores
  • DEROGA la Resolucin de 16 de noviembre de 2011 (Ref. BOE-A-2011-18055).
  • DE CONFORMIDAD con:
Materias
  • Consumidores y usuarios
  • Direccin General de Ordenacin del Juego
  • Informacin
  • Informtica
  • Internet
  • Juego
  • Licencias
  • Registros administrativos
  • Reglamentaciones tcnicas
  • Seguridad informtica
  • Tecnologa
  • Telecomunicaciones

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid