Agencia Estatal Boletín Oficial del Estado

Ministerio de la Presidencia Agencia Estatal Boletín Oficial del Estado

Está Vd. en

Documento BOE-A-2014-10303

Resolucin de 6 de octubre de 2014, de la Direccin General de Ordenacin del Juego, por la que se aprueba la disposicin que establece el modelo y contenido del informe de certificacin definitiva de los sistemas tcnicos de los operadores de juego y se desarrolla el procedimiento de gestin de cambios.

TEXTO

La Ley 13/2011, de 27 de mayo, de regulacin del juego, establece el marco regulatorio de la actividad de juego, en sus distintas modalidades, que se desarrolle con mbito estatal, con el fin de garantizar la proteccin del orden pblico, luchar contra el fraude, prevenir las conductas adictivas, proteger los derechos de los menores y salvaguardar los derechos de los participantes en los juegos.

La Disposicin adicional dcima de la Ley 3/2013, de 4 de junio, de creacin de la Comisin Nacional de los Mercados y de la Competencia establece que La Direccin General de Ordenacin del Juego del Ministerio de Hacienda y Administraciones Pblicas asumir el objeto, funciones y competencias que la Ley 13/2011, de 27 de mayo, de regulacin del juego, atribuye a la extinta Comisin Nacional del Juego.

La Ley 13/2011, de 27 de mayo, de regulacin del juego, establece, en su artculo 16, que las entidades que lleven a cabo la organizacin, explotacin y desarrollo de juegos regulados en el mbito de la Ley 13/2011, de 27 de mayo, de regulacin del juego, han de disponer del material software, equipos, sistemas, terminales e instrumentos en general necesarios para el desarrollo de las actividades de juego, debidamente homologados, atribuyendo a la Direccin General de Ordenacin del Juego la homologacin de los sistemas tcnicos de juego, el establecimiento de las especificaciones necesarias para el funcionamiento de los mismos y el procedimiento para su certificacin.

Por su parte, el Real Decreto 1613/2011, de 14 de noviembre, por el que se desarrolla la Ley 13/2011, de 27 de mayo, de regulacin del juego, en lo relativo a los requisitos tcnicos de las actividades de juego, establece, en su artculo 6.1, in fine, que la Direccin General de Ordenacin del Juego para la realizacin de las homologaciones podr basarse en informes de certificacin de la adecuacin de los sistemas tcnicos de juego del operador emitidos por entidades designadas a estos efectos. Asimismo, el nmero primero del artculo 8 del citado Real Decreto 1613/2011 dispone que la Direccin General de Ordenacin del Juego establecer el contenido mnimo de los informes emitidos por las entidades designadas para la certificacin de los sistemas tcnicos de juego.

A mayor abundamiento ha de sealarse que el Real Decreto 1613/2011 atribuye en la disposicin final primera a la Direccin General de Ordenacin del Juego el desarrollo de determinados aspectos tcnicos propios de la comercializacin de las actividades de juego objeto de la Ley 13/2011, de 27 de mayo, de regulacin del juego.

La presente Resolucin, que se dicta en cumplimiento del mandato del artculo 8 del Real Decreto 1613/2011, tiene por objeto el establecimiento del contenido mnimo de los informes definitivos de certificacin de las entidades designadas para la emisin de los mismos, as como los modelos que han de ser empleados por estas entidades.

En base a la experiencia acumulada desde la publicacin de la primera versin del modelo y contenido del informe de certificacin definitiva mediante la Resolucin de 12 de julio de 2012, de la Direccin General de Ordenacin del Juego, se ha procedido a actualizar y revisar su contenido y forma.

En su virtud, y previo el informe favorable de la Abogaca del Estado en la Secretara de Estado de Hacienda del Ministerio de Hacienda y Administraciones Pblicas, esta Direccin General, en uso de las atribuciones conferidas, resuelve:

Primero.

Aprobar la disposicin por la que se establece el modelo y contenido del informe definitivo de certificacin de los sistemas tcnicos de juego de los operadores habilitados en Espaa que se acompaa como anexo I a esta Resolucin.

Segundo.

Aprobar los anexos II, III, IV, V, VI y VII que acompaan a esta Resolucin.

Tercero.

La presente Resolucin entrar en vigor el da siguiente al de su publicacin en el Boletn Oficial del Estado.

Cuarto.

Las solicitudes de homologacin de aquellas licencias que hubiesen sido adjudicadas a la fecha de publicacin de la presente Resolucin podrn adjuntar informes de certificacin en base al modelo y contenido establecidos en la Resolucin de 12 de julio de 2012.

Quinto.

Derogar la Resolucin de 12 de julio de 2012, de la Direccin General de Ordenacin Del Juego, por la que se aprueba la disposicin que establece el modelo y contenido del informe de certificacin definitiva de los sistemas tcnicos de los operadores de juego y se desarrolla el procedimiento de gestin de cambios.

Contra la presente resolucin, de conformidad con los artculos 114 y 115 de la Ley30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn, el interesado podr interponer, en el plazo de un mes contado a partir del da siguiente al de su publicacin, recurso de alzada ante el Secretario de Estado de Hacienda.

Madrid, 6 de octubre de 2014.–El Director General de Ordenacin del Juego, Carlos Hernndez Rivera.

NDICE

Anexo I. Disposicin por la que se establece el modelo y contenido del informe de certificacin definitivo de los sistemas tcnicos de los operadores de juego y se desarrolla el procedimiento de gestin de cambios.

Primero. Objeto y alcance.

Segundo. Definiciones.

Tercero. Procedimiento y plazo para la homologacin de los sistemas tcnicos de juego.

Cuarto. Descripcin del sistema tcnico objeto de licencia.

Quinto. Informes de certificacin.

Sexto. Proveedores de servicios de juego.

Sptimo. Informe de certificacin de la funcionalidad.

Octavo. Informes de certificacin de la seguridad.

Noveno. Cumplimiento de la normativa de proteccin de datos de carcter personal.

Dcimo. Procedimiento de gestin de cambios en el sistema tcnico de juego.

Undcimo. Huellas digitales.

Anexo II. Cuestionario descriptivo de la licencia.

Anexo III. Modelo y contenido mnimo del informe de certificacin de la funcionalidad.

Anexo IV. Modelo y contenido del informe de certificacin de la seguridad.

Anexo V. Relacin de requisitos tcnicos de funcionalidad.

Anexo VI. Relacin mnima de pruebas de integracin.

Anexo VII. Relacin de requisitos tcnicos de seguridad.

ANEXO I
Disposicin por la que se establece el modelo y contenido del informe de certificacin definitivo de los sistemas tcnicos de los operadores de juego y se desarrolla el procedimiento de gestin de cambios
Primero. Objeto y alcance.

Esta disposicin tiene por objeto el establecimiento del modelo y contenido mnimo del informe definitivo de certificacin del cumplimiento de los requisitos establecidos en la vigente normativa por los sistemas tcnicos de juego empleados para el desarrollo y explotacin de los juegos objeto de la correspondiente licencia general o singular.

El informe definitivo de certificacin ser emitido por una o varias de las entidades designadas a estos efectos por la Direccin General de Ordenacin del Juego y tendr como objeto la obtencin de la homologacin de los sistemas tcnicos de juego de los operadores. Deber presentarse un informe por cada licencia general o singular que hubiera sido otorgada al operador interesado.

El informe definitivo de certificacin, cuyo modelo y contenido mnimo se establece en esta disposicin, alcanza a la certificacin de los sistemas tcnicos de juego de los operadores con licencia general para el desarrollo y explotacin de las modalidades de juego a las que se refieren las letras c), e) y f) del artculo 3 de la Ley 13/2011, de 27 de mayo, de regulacin del juego, y respecto de los tipos de juego regulados hasta la fecha de publicacin de la misma.

Asimismo, esta disposicin desarrolla el procedimiento de gestin de cambios a que se refiere el artculo 8.4 del Real Decreto 1613/2011, de 14 de noviembre, por el que se desarrolla la Ley 13/2011, de 27 de mayo, de regulacin del juego, en lo relativo a los requisitos tcnicos de las actividades de juego, complementando a lo ya dispuesto en el apartado 4.13 de la Resolucin de 6 de octubre de 2014, de la Direccin General de Ordenacin del Juego, por la que se aprueba la disposicin por la que se desarrollan las especificaciones tcnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas tcnicos de juego de carcter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulacin del juego.

Segundo. Definiciones.

A los efectos de esta disposicin, los trminos que en ella se emplean tendrn el sentido que se establece en el apartado 1.2 del Anexo I de la Resolucin de 6 de octubre de 2014, de la Direccin General de Ordenacin del Juego, por la que se aprueba la disposicin por la que se desarrollan las especificaciones tcnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas tcnicos de juego de carcter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulacin del juego.

Tercero. Procedimiento y plazo para la homologacin de los sistemas tcnicos de juego.

La homologacin inicial de los sistemas tcnicos de juego se realizar en el marco del procedimiento de otorgamiento de licencias generales y singulares.

El informe o informes definitivos de certificacin de los sistemas tcnicos de juego de los operadores debern presentarse por el interesado en el plazo improrrogable de cuatro meses contados desde que le hubiera sido notificada la resolucin de otorgamiento de la licencia general o de la licencia singular provisional.

El informe definitivo de certificacin se compone de los siguientes documentos:

a) Descripcin del sistema tcnico objeto de licencia, cumplimentado por el operador.

b) Informe definitivo de certificacin de la funcionalidad.

c) Informe definitivo de certificacin de la seguridad.

d) Informe de cumplimiento de la normativa de proteccin de datos de carcter personal por parte del operador.

El procedimiento de homologacin se iniciar en el momento en que el informe definitivo de certificacin tenga entrada en el Registro General del Ministerio de Hacienda y Administraciones Pblicas en la forma establecida en el artculo 38.4 de la Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn. Los procedimientos se iniciaran en funcin del orden de entrada de los informes.

El informe definitivo de certificacin y la documentacin e informes adicionales debern presentarse en formato electrnico. nicamente deber presentarse en papel, y debidamente firmados por la persona o personas autorizadas en la entidad de certificacin, la identificacin de la certificacin, el objeto de la misma y su resumen ejecutivo.

Si el operador realizara la presentacin telemtica del informe de certificacin, deber asegurarse de que el informe de certificacin est firmado mediante un certificado admitido en el mbito de la Administracin General del Estado, de acuerdo con la Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos y su desarrollo reglamentario.

La Direccin General de Ordenacin del Juego podr requerir a los interesados cuanta documentacin e informacin considere precisa para la resolucin del procedimiento de homologacin.

Recibido el informe definitivo de certificacin y previa la valoracin favorable del mismo, la Direccin General de Ordenacin del Juego homologar los sistemas tcnicos de juego de acuerdo con lo establecido en el artculo 16 de la Ley 13/2011, de 27 de mayo, de regulacin del juego, en un plazo mximo de seis meses contados desde la notificacin del otorgamiento de la licencia, sin perjuicio de la ampliacin del plazo citado por el tiempo que el interesado hubiera empleado para atender a los requerimientos que, tras la presentacin del informe definitivo de certificacin, practicara la Direccin General de Ordenacin del Juego.

Cuarto. Descripcin del sistema tcnico objeto de licencia.

Para la descripcin del sistema tcnico objeto de licencia se deber aportar la siguiente documentacin:

– Descripcin actualizada del sistema tcnico.

– En el caso de licencias singulares, las reglas particulares.

– El cuestionario descriptivo del operador.

El cuestionario descriptivo del operador es un documento elaborado por este, que incluye informacin estructurada en relacin al ejercicio de su actividad, su oferta de juego, sus proveedores y sus contactos.

El contenido del cuestionario cumplimentado por el operador debe coincidir con el de los informes definitivos de certificacin presentados en aquellos aspectos que son comunes. En caso contrario, el operador deber justificar las diferencias existentes.

Quinto. Informes de certificacin.

El operador deber presentar un informe definitivo de certificacin de la funcionalidad del sistema tcnico de juego y un informe definitivo de certificacin de la seguridad del sistema tcnico de juego empleado para el desarrollo y ejecucin del juego objeto de la correspondiente licencia.

El informe definitivo de certificacin de la funcionalidad del sistema tcnico de juego deber ser emitido por una de las entidades designadas por la Direccin General de Ordenacin del Juego para la certificacin de software de juego.

El informe definitivo de certificacin de seguridad deber ser emitido por una de las entidades designadas por la Direccin General de Ordenacin del Juego para la certificacin de seguridad de los sistemas de informacin.

Los informes definitivos de certificacin debern acreditar que el sistema tcnico efectivamente empleado por el operador para el desarrollo y explotacin del juego objeto de la correspondiente licencia cumple los requisitos tcnicos exigidos por la vigente normativa de juego, pronuncindose sobre el estado del sistema tcnico de juego empleado a la fecha de su presentacin.

Los informes definitivos de certificacin que han de ser aportados por el operador tras el otorgamiento de una licencia general debern alcanzar al registro de usuario, la cuenta de juego, la gestin de los cobros y pagos, el sistema de control interno y los diferentes terminales o aplicaciones que permitan el acceso del participante.

Los informes definitivos de certificacin que han de ser aportados por el operador tras el otorgamiento provisional de una licencia singular debern alcanzar al software de juego y, en su caso, el generador de nmeros aleatorios, al sistema de control interno y a los diferentes terminales o aplicaciones que permitan el acceso del participante.

El operador interesado podr presentar una nica vez un mismo informe de certificacin, con independencia de que ste sea de aplicacin en los procesos de homologacin de una o varias de las licencias que le hubieren sido otorgadas. En este supuesto, y tras la primera presentacin del informe de certificacin, bastar con la referencia a su aportacin y la identificacin del procedimiento en que sta se hubiera realizado.

El informe se realizar ntegramente en castellano. Los anexos, las evidencias o la documentacin de soporte del informe podrn recogerse en castellano o en el idioma original en que estuvieran redactados, en cuyo caso, la Direccin General de Ordenacin del Juego podr requerir al operador para que, en el plazo de diez das, aporte la traduccin al castellano de cualquiera de los anexos o documentos inicialmente aportados en otro idioma.

Sexto. Proveedores de servicios de juego.

El sistema tcnico de juego efectivamente empleado por el operador para el desarrollo y explotacin del juego objeto de la licencia comprender a los sistemas de todos los proveedores de servicios de juego que participen en la solucin completa.

El operador solicitante deber responsabilizarse de homologar el sistema tcnico de juego completo y de presentar informes definitivos de certificacin que debern comprender los sistemas tcnicos de todos los proveedores de servicios de juego.

Sptimo. Informe de certificacin de la funcionalidad.

El informe definitivo de certificacin de la funcionalidad evaluar el cumplimiento de los requisitos tcnicos del sistema tcnico de juego efectivamente empleado por el operador para el desarrollo y explotacin del juego objeto de la licencia.

En las licencias generales se presentar un nico informe que cubra el alcance completo.

En las licencias singulares se podrn presentar varios informes cuando el software de los juegos o modalidades incluidos en un informe, sea completamente independiente del software de los juegos o modalidades de otros informes. En todo caso cada informe deber acreditar el cumplimiento de todos los requisitos tcnicos para los juegos y modalidades incluidas as como el sistema de control interno y la integracin con la plataforma de juego.

El modelo y contenido mnimo del informe definitivo de certificacin de la funcionalidad es el que figura en el anexo III a la Resolucin por la que se aprueba esta disposicin.

El informe definitivo de certificacin de la funcionalidad constar como mnimo de tres conjuntos de pruebas o anlisis:

a) Pruebas de evaluacin del cumplimiento de los requisitos tcnicos:

Para la evaluacin del cumplimiento de los requisitos tcnicos, la entidad de certificacin podr escoger la prueba o pruebas que considere ms adecuadas. La relacin de requisitos tcnicos se describe en el anexo V a la Resolucin por la que se aprueba esta disposicin.

La entidad de certificacin que emita el informe podr realizar alguna de las pruebas referidas en un entorno distinto del efectivamente empleado por el operador para el desarrollo y explotacin del juego objeto de la licencia, pero la certificacin emitida deber de referirse en todo caso al sistema tcnico de juego que sea efectivamente empleado por el operador. En los casos en que se utilicen entornos diferentes del efectivamente empleado por el operador, la entidad de certificacin deber certificar bajo su responsabilidad que los resultados obtenidos en el entorno de prueba son extrapolables a los que hubieran sido obtenidos de haberse realizado en el sistema tcnico efectivamente empleado por el operador para el desarrollo y explotacin del juego objeto de la licencia, habiendo analizado que las eventuales diferencias entre el entorno de pruebas y el sistema tcnico de juego efectivamente empleado no afectan a la calidad del resultado de las pruebas realizadas.

b) Anlisis especficos de funcionalidades relevantes:

La entidad de certificacin deber realizar un anlisis especfico de determinadas funcionalidades de especial relevancia.

En los supuestos de licencia general se analizarn las comprobaciones de la identidad y de las causas de prohibicin subjetiva y se evaluarn las medidas de lucha contra el fraude y el blanqueo de capitales. En los supuestos de licencia singular se analizar la lgica del juego, y, cuando resulten de aplicacin, el porcentaje de retorno al jugador y el generador de nmeros aleatorio.

c) Pruebas de integracin:

La entidad de certificacin deber disear y realizar las pruebas de integracin necesarias para acreditar el cumplimiento de los requisitos en el sistema tcnico de juego efectivamente empleado.

En el caso de la homologacin inicial, las pruebas de integracin debern realizarse en el sistema tcnico de juego efectivamente empleado por el operador para el desarrollo y explotacin del juego objeto de la licencia, no pudiendo utilizarse a estos efectos un entorno distinto.

En el caso de certificaciones posteriores, en el contexto de una gestin de un cambio sustancial, las pruebas de integracin podrn realizarse en un entorno distinto del efectivamente empleado por el operador para el desarrollo y explotacin del juego objeto de la licencia. En los casos en que se utilicen entornos diferentes del efectivamente empleado por el operador, la entidad de certificacin deber certificar bajo su responsabilidad que los resultados obtenidos en el entorno de prueba son extrapolables a los que hubieran sido obtenidos de haberse realizado en el sistema tcnico efectivamente empleado por el operador para el desarrollo y explotacin del juego objeto de la licencia, habiendo analizado que las eventuales diferencias entre el entorno de pruebas y el sistema tcnico de juego efectivamente empleado no afectan a la calidad del resultado de las pruebas realizadas.

El conjunto de pruebas de integracin deber comprender como mnimo las que se describen en el anexo VI de la Resolucin por la que se aprueba esta disposicin.

Las pruebas de integracin tienen por objeto el anlisis de datos reales generados durante el desarrollo y comercializacin de la actividad de juego por parte del operador. Estas pruebas de integracin con datos reales requieren que el sistema tcnico de juego disponga al menos de un mes de datos, y no pueden ser completados mediante pruebas o simulaciones. En los casos en los que, en el momento de presentacin del informe definitivo de certificacin, el operador no hubiera iniciado el desarrollo de la actividad de juego, el informe podr ser presentado sin aportar el resultado de las pruebas citadas, si bien la homologacin quedar condicionada a la presentacin del resultado de las mismas y su valoracin favorable por parte de la Direccin General de Ordenacin del Juego. El resultado de las pruebas que tienen por objeto el anlisis de datos reales generados durante el desarrollo y comercializacin de la actividad de juego, si no se presentara junto al informe definitivo de certificacin, debern ser presentados en el plazo de tres meses contados desde la fecha de inicio de la actividad de juego correspondiente.

El informe definitivo de certificacin de la funcionalidad incluir una copia de los binarios del software certificado y una huella digital de aquellos componentes calificados como crticos.

Octavo. Informes de certificacin de la seguridad.

La certificacin de la seguridad nicamente podr realizarse sobre el sistema tcnico de juego efectivamente empleado por el operador para el desarrollo y explotacin del juego objeto de la correspondiente licencia, en relacin con los procedimientos, procesos, planes y medidas de seguridad efectivamente implementados.

El operador podr solicitar a la entidad de certificacin un nico informe de certificacin de la seguridad que alcance a la totalidad del sistema tcnico de juego, al objeto de poder emplearlo en los procesos de homologacin de cada una de las licencias que le hubieran sido otorgadas.

En los casos en que uno o varios proveedores de servicios de juego formen parte del sistema tcnico de juego efectivamente empleado por el operador para el desarrollo y explotacin del juego objeto de la correspondiente licencia, el operador solicitante deber presentar un informe definitivo de certificacin de la seguridad de la infraestructura tcnica de cada uno de los proveedores.

El modelo y contenido mnimo del referido informe definitivo de certificacin de la seguridad es el que figura en el anexo IV a la Resolucin por la que se aprueba esta disposicin.

El informe definitivo de certificacin de la seguridad constar de dos partes. En la primera, la entidad de certificacin acreditar el cumplimiento de los requisitos de seguridad, cuyo listado figura en el anexo VII a la Resolucin por la que se aprueba esta disposicin. Ser posible la convalidacin parcial del cumplimiento de los requisitos tcnicos de seguridad cuando el sistema de gestin de la seguridad objeto de certificacin disponga de una certificacin ISO 27001 con idntico alcance vigente a la fecha de la solicitud de homologacin. Los requisitos de seguridad que podrn beneficiarse de este reconocimiento se indican en el referido anexo VII. La entidad de certificacin deber adjuntar copia de la certificacin ISO 27001 en la que conste claramente el destinatario, el alcance de la misma y su vigencia temporal.

En la segunda parte, la entidad de certificacin deber realizar anlisis de auditora especficos respecto de la relacin de componentes crticos, gestin de cambios, gestin de continuidad de negocio y prevencin de la prdida de informacin.

Noveno. Cumplimiento de la normativa de proteccin de datos de carcter personal.

El operador presentar junto con el informe definitivo de certificacin un informe descriptivo del cumplimiento de la normativa de proteccin de datos de carcter personal.

Este informe ser nico por operador y resultar de aplicacin a las diferentes licencias generales y singulares de las que sea titular.

La Direccin General de Ordenacin del Juego, en cumplimiento del artculo 16 apartado 4 de la Ley 13/2011, de 27 de mayo, de regulacin del juego, solicitar informe a la Agencia Espaola de Proteccin de Datos.

Dcimo. Procedimiento de gestin de cambios sustanciales en el sistema tcnico de juego.

La puesta en produccin de cualquier modificacin sustancial que afecte a un componente crtico necesitar la previa autorizacin de la Direccin General de Ordenacin del Juego tras la presentacin del correspondiente informe de certificacin. La Direccin General de Ordenacin del Juego se pronunciar sobre la autorizacin de los cambios sustanciales de componentes crticos, en el plazo de un mes contados desde la fecha de recepcin de la solicitud del operador.

La Direccin General de Ordenacin del Juego podr calificar como crticos otros componentes adicionales a los que consten en los informes definitivos de certificacin o a los que el operador haya calificado como tales.

Ante situaciones de emergencia extraordinaria que afecten a la seguridad, debidamente acreditadas y comunicadas a la Direccin General de Ordenacin del Juego, el operador podr introducir cambios sustanciales en los componentes crticos y solicitar posteriormente su autorizacin. En estos supuestos, para la obtencin de la homologacin el operador presentar a la Direccin General de Ordenacin del Juego, junto al informe de certificacin, un informe en el que queden acreditadas las circunstancias excepcionales y el riesgo para la seguridad del sistema tcnico de juego.

Desde el otorgamiento de licencia hasta que el operador realice la presentacin de los informes de certificacin definitivos, el operador podr solicitar autorizacin para la puesta en produccin de cambios sustanciales que se realicen sobre el sistema tcnico de juego de acuerdo con el procedimiento de solicitud de cambio sustancial definido. No obstante, el plazo para resolver la solicitud de autorizacin de dichos cambios sustanciales quedar pospuesto hasta la resolucin de homologacin del sistema tcnico correspondiente al proyecto tcnico evaluado para el otorgamiento de la licencia.

Tras la obtencin de la homologacin, el operador elaborar trimestralmente un informe descriptivo de todos los cambios realizados en el sistema tcnico de juego y lo notificar a la Direccin General de Ordenacin del Juego. Se incluir la siguiente documentacin:

– Un resumen ejecutivo, en castellano, que explique de manera cualitativa los cambios realizados.

– La descripcin del sistema tcnico objeto de licencia actualizado, con el contenido descrito en el artculo cuarto del anexo I a la Resolucin por la que se aprueba esta disposicin.

La Direccin General de Ordenacin del Juego podr establecer la obligacin de que el informe trimestral descriptivo de todos los cambios realizados en el sistema tcnico de juego incluya una huella digital de los binarios.

La Direccin General de Ordenacin del Juego solicitar al operador cuanta informacin considere precisa en relacin con los cambios realizados.

Si la Direccin General de Ordenacin del Juego estimara sustancial alguno de los cambios realizados en componentes crticos, requerir al operador para que proceda a la homologacin de los cambios, sin perjuicio de la posibilidad de requerir al operador para que proceda a la retirada del cambio hasta que obtenga la homologacin pertinente.

Undcimo. Huellas digitales.

Respecto al procedimiento de obtencin de la huella digital del software a que hace referencia esta Resolucin, se deber observar lo siguiente:

a) Se utilizar el algoritmo SHA-1, salvo justificacin tcnica de la conveniencia de la utilizacin de otro algoritmo, que deber ser autorizada previamente por la Direccin General de Ordenacin del Juego.

b) Deber adjuntarse junto con las huellas digitales la herramienta o procedimiento utilizado para obtener las huellas digitales, as como la herramienta o procedimiento que permita validar las huellas digitales obtenidas. Deber adjuntarse en soporte digital las herramientas necesarias o indicar la ubicacin desde la que son pblicamente disponibles y de acceso gratuito.

c) En el caso de tratarse de herramientas bajo patente o propiedad intelectual, deber justificarse la manera en que la Direccin General de Ordenacin del Juego y cualquier otra entidad de certificacin pueden tener acceso gratuito y derechos de uso de las mismas.

ANEXO II
Cuestionario descriptivo del operador

El cuestionario recoger informacin sobre el operador, su actividad y su sistema tcnico de juego para el desarrollo y explotacin de los juegos objeto de las licencias de las que es titular.

El cuestionario incluir, entre otras, la siguiente informacin:

– Datos identificativos del operador y de las licencias de las que es titular, as como del inicio de su actividad.

– Informacin sobre sus contactos.

– Descripcin los proveedores de software.

– Relacin de sus dominios.

– Relacin de los dominios diferentes al .es que sean propiedad o estn controlados por el operador de juego, su matriz o sus filiales.

– Tipos de medios utilizados para la verificacin de identidad de los jugadores.

– Relacin de los medios de pago utilizados y fecha de comienzo de su comercializacin. Los tipos de medios de pago debern ajustarse a la clasificacin establecida en la Resolucin por la que se aprueba el modelo de datos del sistema de monitorizacin de la informacin correspondiente a los registros de operaciones de juego.

– Informacin relativa a las redes coorganizadas de juego.

– Descripcin de la oferta de juego. Relacin de variantes de juego.

– Descripcin de las aplicaciones para el acceso del participante.

– Descripcin de los canales de comunicacin utilizados y las tecnologas de acceso.

El cuestionario podr incluir tambin cualquier otro dato del sistema tcnico de juego que sea relevante para la actividad de homologacin.

Para facilitar su cumplimentacin, se publicar en formato electrnico en el sitio web de la Direccin General de Ordenacin del Juego.

La Direccin General de Ordenacin del Juego podr actualizar el contenido y formato del cuestionario. El cuestionario que deber emplearse ser en todo caso el ltimo publicado.

ANEXO III
Modelo y contenido mnimo del informe de certificacin de la funcionalidad

El informe definitivo de certificacin de la funcionalidad se estructura en los apartados y presentar el contenido mnimo que a continuacin se relaciona:

1. Identificacin de la certificacin.

2. Descripcin del objeto de certificacin.

3. Resumen ejecutivo de la certificacin de la funcionalidad.

4. Detalle del cumplimiento de los requisitos tcnicos.

5. Detalle de los anlisis especficos.

6. Detalle de las pruebas de integracin.

7. Descripcin del lugar, equipo y fechas de realizacin de la certificacin.

8. Descripcin de los entornos utilizados en las pruebas diferentes al efectivamente empleado por el operador para el desarrollo de la actividad de juego.

9. Descripcin del soporte digital que acompaar al informe de certificacin.

1. Identificacin de la certificacin

En la primera pgina del informe se detallar lo siguiente:

a) Tipo de informe de certificacin: Se consignar informe definitivo de certificacin de la funcionalidad.

b) Cdigo de identificacin del informe: El cdigo de identificacin del informe ser nico y permitir referirse al mismo de manera unvoca y su diferenciacin de cualquier otro informe emitido por la entidad de certificacin. Cada vez que la entidad de certificacin realice cualquier modificacin en un informe deber generar un nuevo cdigo de identificacin para el mismo.

c) Datos identificativos de la entidad certificadora.

d) Datos identificativos de quien firma el informe por parte de la entidad certificadora.

e) Fechas de realizacin de los trabajos de certificacin.

f) Fecha de emisin del informe de certificacin.

2. Descripcin del objeto de certificacin

El objeto de certificacin expondr el alcance del sistema tcnico de juego objeto de certificacin, e incluir al menos la siguiente informacin:

• La identificacin de los elementos de software empleados en el sistema tcnico para el desarrollo y explotacin del juego objeto de la licencia correspondiente, con mencin expresa del fabricante, nombre del producto y versin. En esta relacin de elementos deber constar en todo caso el capturador y el almacn.

• Relacin de los componentes calificados como crticos y huella de los mismos. Esta relacin podr adjuntarse en un apartado diferenciado, como anexo, respondiendo a criterios de orden.

• La identificacin de los centros de procesos de datos en que estn instalados.

• Canales de acceso certificados (Internet, SMS, IVR, presencial…).

Para las licencias generales:

• Sitios web certificados y nombres comerciales.

• Versin del servicio web de verificacin de identidad de jugadores contra el que el sistema consulta.

• Medios de pago utilizados durante la certificacin.

Para las licencias singulares:

• Sitios web certificados y nombres comerciales.

• Rol del operador: deber indicarse si el operador acta como B2C, B2B o ambos. En el caso de que se trate de un operador B2B, deber indicarse si acta como coorganizador de juego, es decir, si gestiona plataformas de juego en la que sean miembros o se adhieran otros operadores de juego que pongan en comn cantidades jugadas por sus respectivos usuarios.

• La oferta de juego bajo el alcance de la certificacin, indicando variantes de juego certificadas. Para cada uno de los juegos y variantes certificadas, se indicar el nombre definido por el fabricante, el nombre comercial y, en su caso, la correspondencia con los juegos y variantes permitidas por la reglamentacin bsica.

• Tecnologas de acceso al sistema tcnico de juego certificadas, como por ejemplo:

• Acceso web.

• Cliente descargable en tecnologa Flash.

• Clientes descargables para PC (indicando para qu sistemas operativos).

• Aplicaciones nativas para Smartphone, tabletas u otros dispositivos mviles (indicando para qu sistemas operativos).

• Clientes de mvil de acceso web, por ejemplo, basados en HTML.

Para el caso de las apuestas deportivas de contrapartida y las apuestas cruzadas deber indicarse si la oferta de juego incluye apuestas en directo.

Cuando el alcance del informe de certificacin incluya varias variantes de juego, deber indicarse a lo largo del informe, para cada prueba, anlisis o requisito tcnico, si la valoracin emitida o cualquier otra informacin que se incluya hacen referencia a todas las variantes, o en su caso, solo a las que corresponda.

3. Resumen ejecutivo de la certificacin de la funcionalidad

3.1 Calificacin global de la funcionalidad.

Se incluir una calificacin global del cumplimiento de los requisitos tcnicos por el sistema tcnico de juego efectivamente utilizado por el operador para la licencia. La calificacin podr ser Conforme o No conforme.

Esta calificacin solamente podr ser Conforme cuando la entidad de certificacin estime que el sistema tcnico de juego efectivamente utilizado por el operador para la licencia es conforme con todos los requisitos que resulten de aplicacin.

Calificacin global de la funcionalidad

Se Calificar globalmente el resultado del anlisis como Conforme o No conforme.

3.2 Cuadro resumen del cumplimiento de los requisitos tcnicos.

Las reas de requisitos cuyo cumplimiento deben certificarse para cada licencia se describen en el anexo V a la Resolucin por la que se aprueba esta disposicin.

Para cada requisito se habr obtenido una calificacin que podr ser Conforme, No conforme, o No aplica.

Los requisitos tcnicos han sido agrupados por reas.

En el resumen ejecutivo se presentar una tabla resumen con el nmero de requisitos que reciben cada calificacin para cada rea.

Las calificaciones se detallarn del siguiente modo:

Nmero de requisitos

Nmero de requisitos conformes

Nmero de requisitos no conformes

Nmero de requisitos no aplica

rea XXX

7

6

0

1

rea YYY

4

4

0

0

3.3 Cuadro resumen de los anlisis especficos.

Para determinadas funcionalidades de especial relevancia, la entidad de certificacin deber realizar varios anlisis especficos. En algunos casos ser necesario detallar el anlisis llevado a cabo en un apartado posterior.

3.3.1 Anlisis de las comprobaciones de identidad y prohibiciones.

Este anlisis ser de aplicacin nicamente para licencias generales.

Calificacin.

Se calificar globalmente el resultado del anlisis como Conforme o No conforme respecto a los requisitos tcnicos en esta materia.

Datos generales

Acepta participantes no residentes.

S/No.

Permite jugar sin registro de usuario.

S/No.

En caso afirmativo, listar los juegos en que lo permite.

Canales para acreditar la identidad.

Indicar relacin de canales: internet, telefnico, SMS, presencial, otros.

Comprobaciones antes de activar el registro de usuario

Utiliza el servicio de verificacin de la identidad proporcionado por la Direccin General del Juego para residentes.

S/No.

En caso de que se utilice pero no en todos los casos, indicar cundo.

Otros medios de comprobacin de identidad.

Relacin de otros medios de comprobacin de la identidad utilizados.

Documentos de identificacin admitidos para no residentes.

Relacin de documentos admitidos para acreditar la identidad de no residentes.

Comprobacin de la mayora de edad.

S/No.

Utiliza el servicio de verificacin de inclusin el RGIAJ.

S/No.

Realiza comprobacin de vinculados.

S/No.

Comprobaciones antes del abono de premios

Utiliza el servicio de variaciones del RGIAJ cada hora y actualiza la lista de prohibidos del operador.

S/No.

3.3.2 Anlisis del generador de nmeros aleatorios.

Este anlisis ser de aplicacin nicamente para licencias singulares donde se utilice un generador de nmeros aleatorios, o GNA.

Calificacin.

Se calificar globalmente el resultado del anlisis como Conforme, o No conforme respecto a los requisitos tcnicos en esta materia.

Fabricante.

Datos del fabricante del GNA.

Producto y versin.

Nombre del elemento software y versin.

Huella digital.

Huella digital del binario.

Tipo de GNA.

Se indicar:

– GNA hardware.

– GNA software.

Aleatorio/Pseudoaleatorio.

Se indicar:

– Aleatorio.

– Pseudoaleatorio.

En caso de ser aleatorio, se indicar el nombre del fenmeno en que se basa.

GNA compartido.

Se indicar uno de los siguientes valores:

– Instancia de GNA no compartida con otros juegos.

– Instancia de GNA compartida con otros juegos. Indicar cules.

– GNA integrado en el propio software de juego.

– Otros. Describir.

Algoritmo.

En el caso de GNA hardware se indicar el nombre del fenmeno en que se basa.

En el caso de GNA software se indicar el nombre del algoritmo, as como el nombre de las libreras o llamadas del sistema operativo en que se basa.

En el caso de que se base en un algoritmo propio, indicarlo.

Resemillado.

Indicar S/No incluye procedimiento de resemillado.

Longitud del espacio.

Longitud en bits del espacio de diferentes nmeros aleatorios.

Relacin de tests estadsticos.

Relacin de los nombres de los tests estadsticos que se han realizado.

3.3.3 Anlisis del porcentaje de retorno al jugador.

Este anlisis ser de aplicacin nicamente para licencias singulares, en aquellos juegos con porcentaje de retorno.

Porcentaje de retorno al jugador publicado para el juego.

Se indicar el porcentaje de retorno publicado por el operador para cada juego.

Se indicar adicionalmente el sitio donde est publicado el porcentaje de retorno.

3.3.4 Anlisis de la lgica del juego y los sucesos aleatorios.

Este anlisis ser de aplicacin nicamente para licencias singulares.

Cumplimiento de reglas particulares del juego.

S/No.

Sistema de gestin de riesgos para apuestas de contrapartida.

Indicacin de desarrollo a medida o nombre del producto o servicio utilizado.

Auditora de cambios en la configuracin mediante parmetros del sistema de gestin de riesgos de las apuestas de contrapartida.

S/No.

Auditora de cambios realizados por el personal del operador sobre las apuestas.

S/No.

Relacin de sucesos aleatorios.

Relacin de sucesos en los que intervenga el generador de nmeros aleatorios, indicando si son presorteados.

Auditora de cambios en la configuracin mediante parmetros de la lgica del juego.

S/No.

3.3.5 Medidas contra el fraude y el blanqueo de capitales.

Este anlisis ser de aplicacin nicamente para licencias generales y deber describir las medidas implementadas por el operador para el control de los comportamientos fraudulentos o colusorios por parte del jugador.

Existencia de medidas tcnicas contra el fraude y el blanqueo de capitales.

S/No.

3.4 Cuadro resumen de las pruebas de integracin.

Este cuadro incluir la calificacin de las pruebas de integracin practicadas clasificadas por reas, que como mnimo deber incluir a las descritas en el anexo VI.

La nomenclatura para las pruebas adicionales a las descritas en el anexo VI comenzar por X.

Los resultados se detallarn del siguiente modo:

rea y referencia del requisito

Calificacin

rea de requisitos A:

A.1

Nombre de la prueba

Conforme.

A.2

Nombre de la prueba

No aplica.

A.3

Nombre de la prueba

No conforme.

X.1

Nombre de la prueba adicional

Conforme.

X.2

Nombre de la prueba adicional

Conforme.

rea de requisitos B:

B.1

Nombre de la prueba

Conforme.

B.2

Nombre de la prueba

No aplica.

X.3

Nombre de la prueba adicional

Conforme.

4. Detalle del cumplimiento de los requisitos tcnicos

Los requisitos tcnicos cuyo cumplimiento debe certificarse para cada licencia se describen en el anexo V a la Resolucin por la que se aprueba esta disposicin.

Para cada requisito se habr obtenido una calificacin que podr ser Conforme, No conforme, o No aplica.

En este apartado se detallar el cumplimiento de cada uno de los requisitos tcnicos. Los requisitos se han agrupado por reas.

Adicionalmente ser necesario documentar en el espacio de observaciones las siguientes situaciones:

– Cuando el motivo por el que el requisito pudiera calificarse como No aplica.

– Cuando haya habido incidencias, aunque posteriormente se hayan subsanado.

– Cuando las pruebas se hayan realizado en un entorno distinto al efectivamente empleado por el operador para el desarrollo de la actividad de juego.

Las calificaciones se detallarn del siguiente modo:

rea y referencia del requisito

Calificacin

Observaciones

rea de requisitos X:

Referencia A

Conforme.

Referencia B

No conforme.

No es conforme al requisito debido a…

Referencia C

No aplica.

El requisito no es de aplicacin debido a…

La entidad de certificacin deber entregar un anexo en el que para cada requisito tcnico se documenten las evidencias de las pruebas realizadas y los resultados obtenidos.

5. Detalle de los anlisis especficos

Para determinadas funcionalidades de especial relevancia, la entidad de certificacin deber realizar varios anlisis especficos que se describen en este apartado.

5.1 Anlisis de las comprobaciones de identidad y prohibiciones subjetivas.

La entidad de certificacin analizar las comprobaciones de identidad y de las prohibiciones subjetivas.

El anlisis deber describir como mnimo los siguientes aspectos:

– Datos generales:

○ Si el sistema acepta participantes no residentes.

○ Si el sistema permite jugar sin registro de usuario. La entidad de certificacin describir el juego o juegos en los que puede darse esta circunstancia.

○ La relacin de canales que pueden utilizarse para acreditar la identidad: internet, telefnico, SMS, presencial u otros.

– Las comprobaciones realizadas antes de activar el registro de usuario:

○ Si se utiliza el servicio de verificacin de la identidad proporcionado por la Direccin General de Ordenacin del Juego para residentes.

○ Relacin de otros medios de comprobacin de la identidad utilizados.

○ La comprobacin de la mayora de edad.

○ La utilizacin del servicio de verificacin de inclusin en el RGIAJ.

○ La realizacin de la comprobacin de vinculados.

– Comprobaciones realizadas antes del abono de premios:

○ La utilizacin del servicio de variaciones del RGIAJ cada hora y la consiguiente actualizacin de la lista de prohibidos del operador y los estados de los participantes afectados.

5.2 Anlisis del generador de nmeros aleatorios.

Este anlisis ser de aplicacin nicamente para licencias singulares donde se utilice un generador de nmeros aleatorios, o GNA.

La entidad de certificacin describir los anlisis, pruebas o tests realizados para justificar el comportamiento aleatorio del GNA y el cumplimiento de los requisitos tcnicos. Se incluirn los resmenes o grficos justificativos, el nmero de simulaciones realizadas, los parmetros utilizados, as como el intervalo de confianza.

La entidad de certificacin indicar si existen procedimientos de resemillado y si cumplen los requisitos tcnicos.

En el caso de que existan parmetros de configuracin de los que pudiera depender el funcionamiento del GNA, se describirn y se indicarn los valores de configuracin para los que se ha realizado la certificacin.

5.3 Anlisis del retorno al jugador en los juegos.

La entidad de certificacin deber describir el porcentaje de retorno al jugador publicado por el operador para cada juego. Tambin deber verificar el sitio de publicacin del referido porcentaje.

La entidad de certificacin deber describir todos los parmetros de configuracin que puedan afectar al porcentaje de retorno al jugador, as como si el sistema tcnico de juego permite registrar la auditora de los cambios en dichos parmetros.

5.4 Anlisis de la lgica del juego y los sucesos aleatorios.

La entidad de certificacin, para cada una de las variantes de juego, deber acreditar que el desarrollo del juego es conforme a las reglas particulares.

La entidad de certificacin deber analizar ciertos aspectos de la lgica del juego, los sucesos aleatorios en el juego, las configuraciones parametrizables, la contabilidad del juego y en general la capacidad de auditora de cualquier cambio que se introduzca en las apuestas o los ganadores de forma manual.

Este anlisis ser de aplicacin nicamente para licencias singulares.

En el caso de apuestas:

– Sistema de gestin de riesgos.

Para las apuestas de contrapartida, se describir el sistema de gestin de riesgos, indicndose si para este fin se ha instalado alguna aplicacin comercial o un desarrollo a medida.

Deber indicarse si el sistema usado es parametrizable o no. En caso afirmativo, debern describirse los parmetros de configuracin ms importantes as como los valores configurados en el momento de la certificacin.

Asimismo, la entidad de certificacin incluir en este informe si la aplicacin guarda un registro de los cambios llevados a cabo en el sistema referidos a la gestin de riesgos. En caso de que as sea, se indicar los ficheros o tablas de base de datos donde se almacena esta informacin.

Adicionalmente, para los operadores que ofrezcan apuestas en directo, debern describirse las medidas implementadas por el operador para evitar que el jugador pueda realizar apuestas sobre acontecimientos que ya hayan tenido lugar o cuyo resultado sea conocido (late betting).

– Auditora de las apuestas.

La entidad de certificacin deber explicar la aplicacin de gestin de apuestas, y el registro y traza de las modificaciones que pudieran realizarse desde las aplicaciones de backoffice por el personal del operador, entre las cules se analizarn al menos las siguientes:

○ Cambio de los datos de una apuesta.

○ Insercin de nuevas apuestas.

○ Borrado de apuestas.

○ Cambio en el resultado del evento.

○ Cambio en la adjudicacin de los premios.

Se describir la auditora de los cambios, as como la manera en que se impide la manipulacin de la auditora.

Se deber describir los ficheros o tablas de base de datos donde se almacena esta informacin de auditora.

– Gestin de los fondos.

En las apuestas mutuas se deber analizar la aplicacin que gestiona la contabilidad de los fondos.

La aplicacin explicar el registro y auditora del fondo de juego, del reparto de premios, de los supuestos en que no hubiese acertantes de una categora, o de cualquier otro movimiento.

En los juegos de casino, pquer, juegos complementarios y mquinas de azar:

– Se describir cada uno de los sucesos aleatorios implementados en el juego en los que intervenga el generador de nmeros aleatorios. Por ejemplo si existe mezcla inicial de cartas, el sorteo de la carta del mazo si no existe una mezcla inicial, la fabricacin de los cartones de bingo, venta de cartones de bingo, el presorteo de las bolas del bingo, el sorteo de una bola de bingo si no es presorteado, el giro de la ruleta, el giro de los rodillos en las mquinas de azar, etctera.

– Se deber analizar la gestin contable de las partidas y, de los botes progresivos, en aquellos juegos en los que se permita su utilizacin. Los importes apostados, los premios obtenidos, las comisiones calculadas o los botes progresivos constituidos o aplicados debern poder ser auditados.

– Auditora de las partidas.

La entidad de certificacin deber explicar el registro y traza de las modificaciones que pudieran realizarse desde las aplicaciones de backoffice por el personal del operador.

Se describir la auditora de los cambios, as como la manera en que se impide la manipulacin de la auditora.

Se deber describir los ficheros o tablas de base de datos donde se almacena esta informacin de auditora.

– En el caso de que el software utilizado para implementar la lgica de juego sea configurable, la entidad de certificacin deber describir e indicar el valor de los parmetros de configuracin que estn relacionados con los siguientes aspectos:

• Modalidades de juego.

• Estrategia de juego de la banca o nivel de riesgo asumido.

• Importes mximos.

• Reglas de juego.

La entidad de certificacin deber acreditar asimismo que existe registro de auditora de cualquier modificacin de estos parmetros.

5.5 Medidas contra el fraude y el blanqueo de capitales.

Este anlisis ser de aplicacin nicamente para licencias generales.

La entidad de certificacin describir y evaluar las medidas implementadas en el sistema tcnico de juego contra el fraude y el blanqueo de capitales. Asimismo, se adjuntarn aquellos documentos o evidencias recabadas durante la certificacin.

6. Detalle de las pruebas de integracin

En este apartado se detallarn las pruebas de integracin realizadas, clasificadas por reas, que como mnimo comprendern a las que se describen en el anexo VI a la Resolucin por la que se aprueba esta disposicin.

La nomenclatura para estas pruebas adicionales a las descritas en el anexo VI comenzar por X.

El resultado de cada prueba recibir la calificacin de Conforme, No conforme, o No aplica, en funcin del resultado esperado y el cumplimiento de la reglamentacin.

Cada prueba se detallar del siguiente modo:

rea.

Del anexo VI.

Referencia de la prueba.

Del anexo VI o X*** para las pruebas adicionales.

Nombre de la prueba.

Descripcin de la prueba.

Resultado esperado.

Tipo de prueba.

Segn la clasificacin de tipos de prueba del anexo VI.

Fecha/hora de realizacin de la prueba.

Resultado obtenido.

Calificacin.

Observaciones.

Como resultado obtenido, la entidad de certificacin deber entregar un anexo en el que recoger y documentar las evidencias del resultado de la realizacin de las pruebas de integracin. Las evidencias que se deben recoger dependen del tipo de prueba a realizar y estn descritas en el referido anexo VI a la Resolucin por la que se aprueba esta disposicin.

7. Descripcin del lugar, equipo y fechas de realizacin de la certificacin

En este apartado se describir el equipo de trabajo que ha realizado la certificacin, as como el lugar o lugares y la fecha o fechas en que se ha realizado.

8. Descripcin de los entornos utilizados en las pruebas diferentes al efectivamente empleado por el operador para el desarrollo de la actividad de juego

En el caso de que determinadas pruebas del sistema tcnico de juego se hayan realizado en un entorno diferente al efectivamente empleado por el operador para el desarrollo y explotacin del juego objeto de la licencia, la entidad de certificacin deber describir en este apartado los diferentes entornos empleados.

Para cada uno de estos entornos, se indicar la relacin de pruebas para las que se ha utilizado cada entorno.

9. Descripcin del soporte digital que acompaar al informe de certificacin

Este apartado describir el contenido del soporte digital que acompaar al informe de certificacin.

El informe de certificacin se acompaar de un soporte digital, y estar estructurado de la siguiente manera:

– Informe de certificacin completo en formato digital.

– Cuestionario descriptivo del objeto de certificacin en formato digital.

– Evidencias de la evaluacin de los requisitos tcnicos. Se agruparn dentro de una carpeta denominada Requisitos tcnicos.

– Evidencias de las pruebas de integracin. Se agruparn dentro de una carpeta denominada Integracin.

– Copia de los elementos software del sistema tcnico de juego, que contendr copia de los binarios de los elementos software del sistema tcnico de juego certificado. Debern agruparse en una carpeta que se denominar Binarios y se estructurarn en subcarpetas con el nombre de cada uno de los elementos software indicados en el cuestionario.

ANEXO IV
Modelo y contenido del informe de certificacin de la seguridad

El informe de certificacin de la seguridad se estructura en los apartados y presentar el contenido mnimo que a continuacin se relaciona:

1. Identificacin de la certificacin.

2. Descripcin del objeto de certificacin.

3. Resumen ejecutivo de la certificacin de la seguridad.

4. Detalle del cumplimiento de los requisitos de seguridad.

5. Detalle de los anlisis de auditora especficos.

6. Descripcin del lugar, equipo y fechas de realizacin de la certificacin.

7. Descripcin del soporte digital que acompaar al informe de certificacin.

1. Identificacin de la certificacin

En la primera pgina del informe se detallar lo siguiente:

a) Tipo de informe de certificacin: Se consignar informe definitivo de certificacin de la seguridad.

b) Cdigo de identificacin del informe: El cdigo de identificacin del informe ser nico y permitir referirse al mismo de manera unvoca y su diferenciacin de cualquier otro informe emitido por la entidad de certificacin. Cada vez que la entidad de certificacin realice cualquier modificacin en un informe deber generar un nuevo cdigo de identificacin para el mismo.

c) Datos identificativos de la entidad certificadora.

d) Datos identificativos de quien firma el informe por parte de la entidad certificadora.

e) Fechas de realizacin de los trabajos de certificacin.

f) Fecha de emisin del informe de certificacin.

2. Descripcin del objeto de certificacin

El objeto de certificacin de la seguridad ser el sistema tcnico de juego efectivamente empleado por el operador para el desarrollo y explotacin del juego objeto de la correspondiente licencia, en relacin con los procedimientos, procesos, planes y medidas de seguridad efectivamente implementados.

A los efectos de describir el alcance del objeto de certificacin de la seguridad se enumerarn tanto los centros de procesos de datos donde se albergue el sistema tcnico de juego, como el software instalado en ellos, como las organizaciones donde estn implantados los procedimientos, procesos, planes y medidas de seguridad.

Para describir los centros de procesos de datos objeto que han sido objeto de certificacin, se incluir la siguiente relacin:

CPD

Calle, nmero

Ciudad

Pas

Tipo

Razn social del proveedor de alojamiento

CPD 1

CPD 2

…..

Los campos calle, nmero, ciudad y pas, se refieren a la localizacin fsica del CPD. El campo tipo indica la modalidad de alojamiento del CPD y deber coincidir con uno de los siguientes valores: hosting, housing o propio.

El campo de razn social del proveedor de alojamiento, solo habr de completarse en el caso de que tipo contenga uno de estos valores: hosting o housing.

Para cada uno de los centros de procesos de datos, debern identificarse los elementos de software empleados en el sistema tcnico instalados en ellos, con mencin expresa del fabricante, nombre de producto y versin.

As mismo, deber indicarse la relacin de entidades responsables de la gestin de seguridad, es decir, de aplicar las polticas, procedimientos y medidas de seguridad certificadas en el informe.

3. Resumen ejecutivo de la certificacin de la seguridad

3.1 Calificacin global de la seguridad.

Se incluir una calificacin global del cumplimiento de los requisitos tcnicos en materia de seguridad por el sistema tcnico de juego efectivamente utilizado por el operador para la licencia. La calificacin podr ser Conforme o No conforme.

Esta calificacin solamente podr ser Conforme cuando la entidad de certificacin estime que el sistema tcnico de juego efectivamente utilizado por el operador para la licencia es conforme con todos los requisitos que resulten de aplicacin.

Calificacin global de la seguridad

Se calificar globalmente el resultado del anlisis como Conforme o No conforme.

Convalidacin ISO 27001

Se indicar si se utiliza en el informe la posibilidad de convalidacin de ciertos requisitos a partir de una certificacin ISO 27001.

3.2 Cuadro resumen del cumplimiento de los requisitos de seguridad.

Los requisitos tcnicos en materia de seguridad cuyo cumplimiento debe certificarse para cada licencia se describen en el Anexo VII a la Resolucin por la que se aprueba esta Disposicin.

Para cada requisito se habr obtenido una calificacin que podr ser Conforme, Convalidado, No conforme, o No aplica.

Los requisitos tcnicos han sido agrupados por reas.

En el resumen ejecutivo se presentar una tabla resumen con el nmero de requisitos que reciben cada calificacin para cada rea.

Las calificaciones se detallarn del siguiente modo:

Nmero de requisitos

Nmero de requisitos conformes

Nmero de requisitos convalidados (ISO 27000)

Nmero de requisitos no conformes

Nmero de requisitos no aplica

rea XXX

7

6

0

0

1

rea YYY

4

3

1

0

0

3.3 Cuadro resumen de los anlisis de auditora especficos.

Para determinadas reas de seguridad de especial relevancia, la entidad de certificacin deber realizar varios anlisis de auditora especficos que se describen en un apartado posterior.

En este apartado se sealar un resumen ejecutivo de los mismos:

3.3.1 Anlisis de auditora de los componentes crticos.

Calificacin.

Se calificar globalmente el resultado del anlisis como Conforme o No conforme respecto a la correcta identificacin de los componentes crticos.

3.3.2 Anlisis de auditora de la gestin de cambios.

Calificacin.

Se calificar globalmente el resultado del anlisis como Conforme o No conforme respecto a los requisitos tcnicos en esta materia.

3.3.3 Anlisis de auditora de la gestin de continuidad de negocio y prevencin de la prdida de informacin.

Calificacin.

Se calificar globalmente el resultado del anlisis como Conforme o No conforme respecto a los requisitos tcnicos en esta materia.

El resultado Conforme representa la conformidad de la entidad de certificacin con que el sistema tcnico del operador permite alcanzar los tiempos de recuperacin o de prdida de datos analizados en este apartado.

Tiempo mximo de recuperacin ante un desastre.

Se indicar el peor de los tiempos mximo de recuperacin ante un desastre, o RTO del ingls recovery time objective de entre los proporcionados por el operador.

Tiempo mximo de prdida de informacin ante un desastre.

Se indicar el peor de los tiempos mximos de prdida de informacin ante un desastre, o RPO del ingls recovery point objective de entre los proporcionados por el operador.

4. Detalle del cumplimiento de los requisitos de seguridad

Los requisitos tcnicos en materia de seguridad cuyo cumplimiento debe certificarse para cada licencia se describen en el Anexo VII a la Resolucin por la que se aprueba esta Disposicin.

Para cada requisito se habr obtenido una calificacin que podr ser Conforme, No conforme, o No aplica.

En este apartado se detallar el cumplimiento de cada uno de los requisitos tcnicos. Los requisitos se han agrupado por reas.

Adicionalmente ser necesario documentar en el espacio de observaciones las siguientes situaciones:

– El motivo por el que el requisito pudiera calificarse como No aplica.

– Cuando haya habido incidencias, aunque posteriormente se hayan subsanado.

En el caso de que se haga uso de la posibilidad de convalidacin de ciertos requisitos a partir de una certificacin ISO 27001, se utilizar la calificacin de Convalidado y en el campo de observaciones se indicar ISO 27001.

Las calificaciones se detallarn del siguiente modo:

rea y referencia del requisito

Calificacin

Observaciones

Referencia documental

rea de requisitos X:

Requisito AA.

Conforme.

Documento XXXXX apartado YY

Requisito XX.

No conforme.

No es conforme al requisito debido a….

Requisito YY.

No aplica.

El requisito no es de aplicacin debido a…

Requisito ZZ.

Convalidado.

ISO 27001

La entidad de certificacin deber entregar un anexo en el que adjuntar la documentacin de seguridad, as como todas aquellas evidencias que permitan constatar el cumplimiento de los requisitos.

En aquellos casos donde exista soporte documental de la poltica o procedimiento, deber hacerse constar en el campo de observaciones, la referencia documental as como el epgrafe donde se apoya el cumplimiento.

La entidad de certificacin deber acreditar la efectiva aplicacin de los controles de seguridad en el sistema tcnico de juego efectivamente empleado. A tal efecto, se describirn las pruebas adicionales a la comprobacin documental que se hayan realizado.

5. Detalle de los anlisis de auditora especficos

Para determinadas reas de seguridad de especial relevancia, la entidad de certificacin deber realizar varios anlisis de auditora especficos que se describen en este apartado.

5.1 Anlisis de auditora de los componentes crticos.

La entidad de certificacin emitir un anlisis sobre la correcta identificacin por parte del operador de los componentes crticos del sistema tcnico de juego.

La entidad de certificacin incluir la relacin de componentes crticos del sistema tcnico de juego, indicando si la seguridad de los mismos ha sido reforzada. Para cada componente de esta relacin deber indicarse con qu elemento o elementos software del cuestionario presentado por el operador se corresponde.

5.2 Anlisis de auditora de la gestin de cambios.

La entidad de certificacin emitir un anlisis sobre la correcta llevanza del procedimiento de gestin de cambios.

La entidad de certificacin adjuntar, en caso de haberlas, las evidencias y documentacin asociada de las tres ltimas gestiones de cambio, respecto al momento de realizarse este anlisis, realizadas por el operador.

En caso de disponer de una herramienta software para la gestin de cambios deber indicarse cul. Asimismo la entidad de certificacin deber acreditar que cualquier actuacin (alta, modificacin o baja de cambios) puede ser auditada.

5.3 Anlisis de auditora de la gestin de continuidad de negocio y prevencin de la prdida de informacin.

La entidad de certificacin deber analizar el tiempo mximo de recuperacin ante un desastre, o RTO del ingls recovery time objective, que indique el operador, y valorar si las medidas tcnicas disponibles son suficientes para lograrlo. El anlisis deber describir las medidas tcnicas y la utilizacin de redundancia, planes de copias de seguridad, centros de respaldo u otras medidas.

La entidad de certificacin deber analizar el tiempo mximo de prdida de informacin ante un desastre, o RPO del ingls recovery point objective.que indique el operador, y valorar si las medidas tcnicas disponibles son suficientes para lograrlo. El anlisis deber describir las medidas tcnicas y la utilizacin de redundancia, planes de copias de seguridad, centros de respaldo u otras medidas. La entidad de certificacin deber cerciorarse de que las medidas dispuestas protegen todos los datos del operador, tanto los de usuario como los de juego.

Como desastre deber evaluarse la posibilidad de un incidente que inutilice totalmente una ubicacin fsica ante una contingencia imprevista.

6. Descripcin del lugar, equipo y fechas de realizacin de la certificacin

En este apartado se describir el equipo de trabajo que ha realizado la certificacin, as como el lugar o lugares y la fecha o fechas en que se ha realizado.

7. Descripcin del soporte digital que acompaar al informe de certificacin

Este apartado describir el contenido del soporte digital que acompaar al informe de certificacin.

El informe de certificacin se acompaar de un anexo en soporte digital, que estar estructurado de la siguiente manera:

– Informe de certificacin completo en formato digital.

– Documentacin de seguridad completa utilizada para la evaluacin de la seguridad, que se recoger dentro de una carpeta con la denominacin Documentacin.

– Evidencias de la evaluacin de los requisitos tcnicos en materia de seguridad. Se agruparn dentro de una carpeta denominada Requisitos tcnicos.

Certificacin ISO 27001, en el caso de que sean aportadas para su convalidacin.

ANEXO V
Relacin de requisitos tcnicos de funcionalidad

Los diferentes requisitos que deben ser objeto de certificacin se establecen en las normas reguladoras del juego: Ley, Reales Decretos, rdenes Ministeriales y Resoluciones.

Slo sern objeto de certificacin del sistema tcnico de juego las obligaciones establecidas en la normativa que estn directamente relacionadas con la evaluacin tcnica de equipos, software o instrumentos.

En este apartado se pretende mantener una gua que recopila los requisitos tcnicos de los diferentes textos normativos que deben tener en consideracin para la certificacin de la funcionalidad.

Los requisitos se agrupan clasificados por reas y se incluye la nomenclatura a utilizar en los informes definitivos de certificacin de la funcionalidad.

reas:

Licencias generales:

– rea: Juego Responsable.

– rea: Contrato. Aceptacin, copia y modificaciones.

– rea: Registro de usuario y comprobacin de las prohibiciones.

– rea: Cuenta de juego, cobros y pagos.

– rea: Lmites a los depsitos.

– rea: Registro y trazabilidad.

– rea: Terminales y sesin.

– rea: Canales de comunicacin

– rea: Aplicaciones de juego gratuito.

– rea: Sistema de control interno.

Licencias singulares:

– rea: Porcentaje de retorno y tablas de premios.

– rea: Generador de nmeros aleatorios.

– rea: Lgica del juego.

– rea: Registro y trazabilidad.

– rea: Terminales y sesin.

– rea: Canales de comunicacin.

– rea: Aplicaciones de juego gratuito.

– rea: Interfaz grfica.

– rea: Comportamiento ante errores tcnicos.

– rea: Juego automtico.

– rea: Repeticin de la jugada.

– rea: Juegos en vivo.

– rea: Funcionalidades varias.

– rea: Botes progresivos.

– rea: Sistema de control interno.

– rea: Desarrollo del juego.

– rea: Lmites econmicos a la participacin.

– rea: Obligaciones de informacin a los participantes.

– rea: Promocin de los juegos.

ANEXO VI
Relacin mnima de pruebas de integracin

Este Anexo tiene por objeto la descripcin de las pruebas que obligatoriamente han de ser realizadas para la certificacin de la integracin de los sistemas tcnicos de juego de los operadores.

Las pruebas de integracin debern realizarse siempre en el entorno efectivamente empleado por el operador para el desarrollo y explotacin del juego objeto de la licencia.

En las pruebas de integracin que requieran datos personales de residentes en Espaa, las entidades de certificacin podrn hacer uso de los juegos de ensayo que facilitar a tal efecto la Direccin General de Ordenacin del Juego para el entorno de produccin de los servicios web de verificacin.

Las pruebas se clasifican en funcin del tipo de licencia.

Se definen los siguientes tipos de pruebas junto con las evidencias mnimas que debern recogerse en cada uno de ellos:

a) Funcional.

Las pruebas funcionales consistirn en la evaluacin de caractersticas externas de una aplicacin o sistema, utilizando los mismos medios que estn a disposicin de un participante o las aplicaciones de gestin que estn a disposicin del personal del operador.

Como evidencia deber recogerse como mnimo:

• La conformidad o disconformidad de la prueba.

• Las capturas de pantalla resultado de la interaccin entre el participante o personal del operador que realiza la prueba y la plataforma de juego.

b) Trazabilidad.

Las pruebas de trazabilidad consistirn en el anlisis y contraste de los registros y trazas que se generan en el sistema cuando se realiza la prueba descrita. Los registros y trazas de este tipo de prueba sern los del sistema de informacin de la unidad central de juegos, no los del sistema de control interno.

Como evidencia deber recogerse como mnimo:

• La conformidad o disconformidad de la prueba.

• Las capturas de pantalla que muestren la informacin del objeto de registro o traza.

• La descripcin de la fuente de informacin (fichero, tabla…) donde se ha obtenido el registro o traza.

c) Datos reales.

El anlisis de datos reales consistir en verificar la correcta contabilidad, formato e integridad de los datos generados por la interaccin entre participantes y el sistema tcnico de juego.

Estas pruebas de integracin con datos reales necesitarn que el sistema tcnico de juego disponga al menos de un mes de datos, que no podrn ser completados mediante pruebas o simulaciones.

Como evidencia deber recogerse como mnimo:

• La conformidad o disconformidad de la prueba.

• La fuente (fichero, tablas, etc.) de la que ha sido obtenida la informacin.

• Aquellos datos representativos que en cada prueba se requieran.

Las pruebas mnimas de integracin en funcin del tipo de licencia y clasificadas por reas son las siguientes:

A. Licencias Generales

A.1 Registro de usuario y comprobacin de las prohibiciones.

Referencia de la prueba

A.1.1

Nombre de la prueba.

Alta de registro de usuario.

Tipo de prueba.

Funcional, Trazabilidad.

Descripcin de la prueba.

Desde el punto de vista de un participante, se proceder a realizar el registro de:

– Un participante residente en Espaa, con datos de identidad correctos, mayor de edad y no inscrito en el RGIAJ.

– Un participante no residente.

Esta prueba deber realizarse por parte de todos los operadores, independientemente de que el registro de usuario se requiera para la participacin en el juego o para el registro de los ganadores.

Resultado Esperado.

Se incluir en el resultado el DNI/NIE, fecha y hora en la que se ha realizado cada alta, de forma que la Direccin General de Ordenacin del Juego pueda verificar a posteriori que los servicios de verificacin de la DGOJ han sido consultados.

En el registro del no residente, se incluir el cdigo utilizado para identificar al cliente, fecha y hora en la que se ha realizado las pruebas.

Funcional

Deber validarse que el usuario ha sido dado de alta en el sistema.

El sistema deber recoger del participante todos los campos de informacin del participante descritos en la RES_TEC Anexo

I apartado 2.1.1.

En el caso de participante no residente, el sistema deber solicitar una copia de un documento identificativo.

Trazabilidad

Se analizarn los registros y trazas del sistema que recogen los datos del registro de usuario realizado.

Deber verificarse la trazabilidad de la aceptacin del contrato de juego firmado por el jugador.

Referencia de la prueba.

A.1.2

Nombre de la prueba.

Comprobacin de las prohibiciones subjetivas.

Tipo de prueba.

Funcional, trazabilidad.

Descripcin de la prueba.

Desde el punto de vista de un participante, se proceder a realizar el registro de:

– Un participante residente en Espaa que aporta datos incorrectos de identidad.

– Un participante residente en Espaa, con datos correctos de identidad, que figura inscrito en el RGIAJ.

– Un participante residente en Espaa, con datos correctos de identidad, menor de edad.

– Un participante no residente en Espaa, menor de edad.

La prueba se deber realizar con los servicios de verificacin operativos de la Direccin General de Ordenacin del Juego.

Resultado Esperado.

Se incluir en el resultado el DNI, fecha y hora en la que se ha realizado cada alta, de forma que la Direccin General de Ordenacin del Juego pueda verificar a posteriori que los servicios de verificacin de la DGOJ han sido consultados.

Funcional

El sistema no debe permitir el registro de los participantes menores, inscritos en el RGIAJ o cuyos datos de verificacin resulten ser incorrectos.

Trazabilidad

Se analizarn los registros y trazas del sistema que recogen los datos del registro de usuario.

Referencia de la prueba.

A.1.3

Nombre de la prueba.

Validacin del campo DNI/NIE.

Tipo de prueba.

Funcional, trazabilidad.

Descripcin de la prueba.

En esta prueba se verificar que el sistema de control interno dispone de mecanismos para evitar los siguientes escenarios:

– Introducir valores errneos en el DNI o NIE, como por ejemplo, errores de formato o letras incongruentes con el nmero.

– Pasar a estado activo un registro de usuario cuyo DNI o NIE incluye errores.

– Confundir el campo NIE con el campo DNI y viceversa.

Resultado Esperado.

Se deber describir el comportamiento del sistema para cada uno de los escenarios anteriormente expuestos, y una valoracin sobre ste.

A.2 Cuenta de juego, cobros y pagos.

Referencia de la prueba.

A.2.1

Nombre de la prueba.

Registro correcto de operaciones en la cuenta de juego.

Tipo de prueba.

Funcional, trazabilidad.

Descripcin de la prueba.

Desde el punto de vista del participante, se realizarn operaciones de depsito y retirada en la cuenta de juego.

Se analizar si existen otras operaciones disponibles en la cuenta de juego.

Resultado Esperado.

Se incluir en el resultado el DNI, fecha y hora, y descripcin de cada operacin realizada, de forma que la Direccin General de Ordenacin del Juego pueda verificar a posteriori que los datos llegan correctamente al sistema de control interno.

Funcional

Se verificar la correcta contabilizacin en la cuenta de juego de los depsitos y retiradas.

En el caso de existir otras operaciones disponibles en la cuenta de juego, se incluir en el resultado la relacin de las mismas.

Se verificar que entre las operaciones no existe ninguna que permita recibir crdito del operador o realizar transferencias entre participantes.

Trazabilidad

Se analizarn los registros y trazas del sistema que recogen los datos de la contabilizacin de depsitos y retiradas.

A.3 Lmites a los depsitos.

Referencia de la prueba

A.3.1

Nombre de la prueba.

Depositar por encima de los lmites.

Tipo de prueba.

Funcional, trazabilidad.

Descripcin de la prueba.

Se acceder con una cuenta que tenga lmites de depsito diario, semanal o mensual por defecto.

Se bajarn los lmites a 10, 15 y 20 euros respectivamente. Se realizarn depsitos por debajo del lmite.

Se realizarn depsitos por encima del lmite.

Se deber probar cada lmite, ya sea diario, semanal o mensual, utilizando diversas combinaciones de rangos horarios.

Resultado Esperado.

Funcional.

El sistema permite reducir los lmites.

El sistema permite depsitos por debajo del lmite y no los permite por encima.

Trazabilidad.

Se analizarn los registros y trazas del sistema que muestren los cambios de los lmites.

Referencia de la prueba.

A.3.2

Nombre de la prueba.

Datos de lmites de depsito.

Tipo de prueba.

Datos reales.

Descripcin de la prueba.

Se consultarn los datos reales del sistema para averiguar cuntos participantes tienen importes superiores a los preestablecidos.

En caso de que existan participantes cuyos lmites sean superiores a los preestablecidos, se verificar que se han realizado y evaluado correctamente las necesarias solicitudes de incremento de lmites. A los efectos de esta prueba, bastar con realizar la comprobacin de una muestra de 5 participantes, en caso de haberlos.

Resultado Esperado.

Se incluir en el resultado los cdigos de identificacin JugadorId de los participantes analizados, indicando las fechas en que realizaron las peticiones de incremento de lmites y las fechas en que fueron autorizadas.

Se verificar que el sistema conserva registros y trazas de las solicitudes, anlisis realizados y autorizacin de incremento de lmites.

A.4 Internet. Redireccin a dominio .es.

Referencia de la prueba.

A.4.1

Nombre de la prueba.

Redireccin a dominio .es

Tipo de prueba.

Funcional.

Descripcin de la prueba.

El operador proporcionar a la entidad de certificacin la lista de dominios diferentes a .es en los que l mismo, su matriz o sus filiales ofrecen juego.

La entidad de certificacin acceder a cada uno de los sitios desde una direccin IP asociada al territorio espaol y verificar la redireccin.

Resultado Esperado.

Se verificar que se efecta la redireccin a dominio .es.

La entidad de certificacin listar los dominios diferentes de .es que se han utilizado en la prueba.

A.5 Sistema de Control Interno.

Referencia de la prueba.

A.5.1

Nombre de la prueba.

Integridad de los registros RUT y CJT.

Tipo de prueba.

Datos reales.

Descripcin de la prueba.

En esta prueba se contrastarn los datos del SCI respecto a los datos del sistema de informacin del operador, con objeto de evaluar la integridad de los datos del SCI.

Se obtendrn los siguientes datos mensuales:

A partir del registro RUT mensual:

• Nmero de altas.

• Nmero de participantes por estado.

A partir del registro CJT mensual:

• Saldo inicial.

• Depsitos.

• Retiradas.

• Participacin.

• Devolucin de la participacin.

• Premios.

• Saldo final.

• Premios en especie.

• Otros movimientos.

Esta prueba requiere que la entidad de certificacin acceda a datos reales en claro. El operador deber proporcionar en claro los ficheros RUT y CJT mensuales a la entidad de certificacin y sta deber validar que stos coinciden con los almacenados realmente en el sistema de informacin del operador.

En ningn caso se requiere que la entidad de certificacin conozca la clave de cifrado.

Resultado Esperado.

Para el RUT mensual:

– Se contrastarn los datos del fichero RUT con listados obtenidos del backoffice del sistema tcnico de juego.

Es necesario que la entidad de certificacin se cerciore de la veracidad de estos listados, dado que son la fuente para contrastar la integridad de los datos reales del SCI.

Para el CJT mensual:

– Se contrastarn los datos del fichero CJT con listados obtenidos del backoffice del sistema tcnico de juego.

Es necesario que la entidad de certificacin se cerciore de la veracidad de estos listados, dado que son la fuente para contrastar la integridad de los datos reales del SCI.

– Se verificar que el saldo inicial de un mes es igual al saldo final del mes inmediatamente anterior.

– Se verificar que el saldo final equivale al saldo inicial y la suma del resto de movimientos.

Como resultado de esta prueba, la entidad de certificacin deber incluir:

– La conformidad de las comprobaciones realizadas y evidencias de las mismas.

NOTA: Las comprobaciones y los clculos se realizarn por separado, tanto en unidades monetarias EUR, como en cualquier otra unidad, ya sean puntos de bonificacin u otros.

Referencia de la prueba

A.5.2

Nombre de la prueba.

Certificado vlido.

Tipo de prueba.

Datos reales.

Descripcin de la prueba.

En esta prueba se verificar con qu certificado se estn firmando los datos y acreditar que se trata de un certificado vlido y que no ha sido objeto de revocacin.

En ningn caso se requiere que la entidad de certificacin conozca la clave de cifrado.

Resultado Esperado.

La entidad de certificacin verificar con qu certificado se estn firmando los datos y acreditar que se trata de un certificado vlido y que no ha sido objeto de revocacin.

La entidad de certificacin indicar en el resultado la parte pblica del certificado con que se estn firmando los datos del almacn.

Modelo de resumen ejecutivo de las pruebas de integracin para licencias generales.

rea y requisito

Calificacin

A.1 Registro de usuario y comprobacin de las prohibiciones.

A.1.1 Alta de registro de usuario.

A.1.2 Comprobaciones de las prohibiciones subjetivas.

A.1.3 Validacin campo DNI/NIE.

A.2 Cuenta de juego, cobros y pagos.

A.2.1 Registro correcto de operaciones en la cuenta de juego.

A.3 Lmites a los depsitos.

A.3.1 Depositar por encima de los lmites.

A.3.2 Datos de lmites de depsito.

A.4 Internet. Redireccin a dominio .es

A.4.1 Redireccin a dominio .es

A.5 Sistema de Control Interno.

A.5.1 Integridad de los registros RUT y CJT.

A.5.2 Certificado vlido.

B. Licencias Singulares.

B.1. Oferta de juego.

Referencia de la prueba.

B.1.1

Nombre de la prueba.

Oferta de juego y variantes de juego.

Tipo de prueba.

Funcional.

Descripcin de la prueba.

Desde el interfaz del jugador, se acceder a comprobar la oferta de juego correspondiente a la licencia singular.

Se analizar la oferta disponible de juego desde cada una de las diferentes aplicaciones o terminales de participacin.

Se analizar cada uno de los juegos y variantes ofrecidas, y se buscar la correspondencia con los juegos y variantes permitidas por la reglamentacin bsica.

Para realizar esta prueba no se requiere jugar, sino analizar la informacin publicada por el operador, ya sea informativa o reglas de los juegos.

Resultado Esperado.

Se indicar en el resultado una relacin con la siguiente informacin:

– el nombre comercial de los juegos y variantes encontrados.

– las aplicaciones o terminales desde los que estn disponibles.

– la correspondencia con las variantes de la reglamentacin bsica.

– la versin de las reglas particulares evaluadas.

Se contrastar esta informacin con el cuestionario descriptivo de la licencia cumplimentado por el operador.

Referencia de la prueba.

B.1.2

Nombre de la prueba.

Desarrollo del juego y correcta contabilizacin.

Tipo de prueba.

Funcional, trazabilidad.

Descripcin de la prueba.

Desde el interfaz del jugador se realizar participacin en el juego, verificndose:

– la correcta contabilizacin de apuestas, premios, comisiones u otros.

– en el caso de juegos en los que exista comisin del operador, se deber verificar que el clculo de comisiones se corresponde con lo establecido en las reglas particulares.

– se intentar realizar una participacin por importe superior al saldo disponible en la cuenta de juego. En el caso de determinados juegos, se verificar:

– Para apuestas, que no se pueden realizar apuestas en momentos no previstos por las reglas particulares, y en particular con posterioridad al cierre de la comercializacin, del inicio del evento para apuestas convencionales, o del final del evento para apuestas en directo.

– Para bingo, que no permite comprar cartones fuera del periodo de comercializacin, o cuando la partida hubiera comenzado.

– Para pquer o casino, que no se pueden realizar apuestas fuera de los momentos designados para ello en las reglas particulares.

– Para mquinas de azar, se comprobar que cuando la sesin destinada al juego de mquinas de azar finalice automticamente por alcanzar el tiempo predeterminado o la cantidad fijada al configurar dicha sesin, la partida en curso finaliza ordenadamente, y la contabilizacin es correcta.

Nota: Esta prueba se repetir para cada una de las diferentes aplicaciones o terminales de participacin, y para cada uno de los juegos, variantes o modalidades.

Resultado Esperado.

Funcional

La conformidad de las verificaciones descritas anteriormente, desglosadas para cada variante analizada.

Se verificar que no es posible realizar participacin por importe superior al saldo disponible en la cuenta de juego. Asimismo se indicar la versin de las reglas particulares.

Trazabilidad.

Se describir en el resultado las tablas, ficheros u otros que contienen la informacin.

Se emitir juicio sobre si el sistema de registro del sistema tcnico de juego permite recuperar informacin para explicar cada una de las situaciones, as como reconstruir totalmente lo acontecido en cada una de las partidas.

Referencia de la prueba

B.1.3

Nombre de la prueba

Traza de la participacin para canales diferentes a internet

Tipo de prueba

Trazabilidad

Descripcin de la prueba

En el caso de que existan, se realizarn varias participaciones de cada uno de los canales diferentes de internet, por ejemplo, SMS y telfono.

Resultado Esperado

Trazabilidad

Se analizarn los registros y trazas del sistema de cada una de los canales de participacin utilizados, verificando que en el caso de SMS y telfono el sistema conserva detalle de:

– fecha/hora de cada mensaje o llamada realizada.

– nmero de telfono que ha originado el mensaje o llamada.

– contenido del mensaje o de la llamada.

B.2. Lmites a la participacin.

Referencia de la prueba.

B.2.1

Nombre de la prueba.

Lmites a la participacin.

Tipo de prueba.

Funcional.

Descripcin de la prueba.

Se verificar que el sistema es conforme a los lmites econmicos: importes mximos de participacin y de premio.

Para ello la entidad de certificacin participar en el juego intentando superar cada uno de los lmites descritos en las rdenes ministeriales de los juegos, en el anexo III apartado segundo.

Para las mquinas de azar se verificar que el sistema es conforme a los lmites establecidos al iniciar la sesin destinada al juego de mquinas de azar, tanto el lmite econmico como el lmite temporal. Asimismo, se verificar que la cantidad de dinero que un mismo participante puede dedicar a la participacin en la mquina de azar no podr exceder del importe del saldo que el participante tenga en su cuenta de juego en el momento en que se inicie la sesin de destinada al juego de mquinas de azar de las mquinas de azar, incrementado en el importe de los premios obtenidos en dicha sesin.

Resultado Esperado.

Se dejar constancia de las pruebas realizadas y el resultado obtenido.

B.3. Comportamiento ante errores tcnicos.

Referencia de la prueba.

B.3.1

Nombre de la prueba.

Prdida de la comunicacin con el cliente.

Tipo de prueba.

Funcional.

Descripcin de la prueba.

Se realizarn pruebas de iniciar una partida y se provocar la prdida de comunicacin con la unidad central de juegos.

Se restablecer la conexin al transcurrir 1 minuto, 5 minutos o 15 minutos (diferentes intervalos de tiempo).

Se verificar la reaccin del sistema para finalizar la partida y su conformidad con lo descrito en las reglas particulares. Esta prueba se deber realizar para cada uno de los terminales, aplicaciones o clientes y cada uno de los juegos o modalidades ofrecidas.

Resultado Esperado.

Se indicar la conformidad con las reglas particulares.

Se indicar en el resultado el comportamiento obtenido para cada terminal, aplicacin o cliente, y para cada juego o modalidad.

Se incluir tambin la versin de reglas particulares analizadas.

Referencia de la prueba.

B.3.2

Nombre de la prueba.

Error en el cliente.

Tipo de prueba.

Funcional.

Descripcin de la prueba.

Se iniciar una partida y se provocar el apagado inesperado del terminal cliente.

Se iniciar de nuevo el terminal al transcurrir 1 minuto, 5 minutos o 15 minutos (diferentes intervalos de tiempo).

Se verificar la reaccin del sistema para finalizar la partida, y su conformidad con lo descrito en las reglas particulares. Esta prueba se deber realizar para cada uno de los terminales, aplicaciones o clientes y cada uno de los juegos o modalidades ofrecidas.

Resultado Esperado.

Se indicar la conformidad con las reglas particulares.

Se indicar en el resultado el comportamiento obtenido para cada terminal, aplicacin o cliente, y para cada juego o modalidad.

Se incluir tambin la versin de las reglas particulares analizadas.

B.4. Sistema de control interno.

Referencia de la prueba.

B.4.1

Nombre de la prueba.

Integridad de los registros OPT/ORT.

Tipo de prueba.

Datos reales.

Descripcin de la prueba.

En esta prueba se contrastarn los datos del SCI respecto a los datos del sistema de informacin del operador, con objeto de evaluar la integridad de los datos del SCI.

Se obtendrn los siguientes datos mensuales:

A partir del registro OPT/ORT mensual:

• Participacin.

• Devolucin de la participacin.

• Premios.

• Premios en especie.

Esta prueba requiere que la entidad de certificacin acceda a datos reales en claro. El operador deber proporcionar en claro los ficheros OPT/ORT a la entidad de certificacin y sta deber validar que stos coinciden con los almacenados realmente en el sistema de informacin del operador. No se requiere que la entidad de certificacin tenga acceso a datos personales.

En ningn caso se requiere que la entidad de certificacin conozca la clave de cifrado.

Resultado Esperado.

Se contrastarn los datos de los ficheros OPT/ORT con listados obtenidos del backoffice del sistema tcnico de juego. Es necesario que la entidad de certificacin se cerciore de la veracidad de estos listados, dado que son la fuente para contrastar la integridad de los datos reales del SCI.

Como resultado de esta prueba, la entidad de certificacin deber incluir:

– La conformidad de las comprobaciones realizadas.

– Los siguientes datos de OPT/ORT, calculados a partir de los datos mensuales, para cada mes:

El cociente entre el importe de premios y el importe de participacin (expresado con 4 decimales).

Nota: No se incluir en el resultado cifras de facturacin directamente.

Nota: Las comprobaciones y los clculos se realizarn por separado, tanto en unidades monetarias EUR, como en cualquier otra unidad, ya sean puntos de bonificacin u otros.

Referencia de la prueba.

B.4.2

Nombre de la prueba.

Integridad de los registros JUD/JUT.

Tipo de prueba.

Datos reales.

Descripcin de la prueba.

En esta prueba se contrastarn los datos del SCI respecto a los datos del sistema de informacin del operador, con objeto de evaluar la integridad de los datos del SCI.

Se obtendrn los siguientes datos diarios de los 5 das previos a la realizacin de la prueba:

A partir de los registros JUT/JUD:

• Nmero de partidas de cada modalidad

• Se tomar una muestra aleatoria de 5 partidas y se contrastarn sus datos con el sistema de informacin del operador. Por ejemplo, los participantes, los premios, el evento en el caso de una apuesta o el nmero de SMS’s en el caso de un concurso.

Esta prueba requiere que la entidad de certificacin acceda a datos reales en claro. El operador deber proporcionar en claro los ficheros JUT/JUD a la entidad de certificacin y sta deber validar que stos coinciden con los almacenados realmente en el sistema de informacin del operador. No se requiere que la entidad de certificacin tenga acceso a datos personales.

En ningn caso se requiere que la entidad de certificacin conozca la clave de cifrado.

Resultado Esperado.

Se contrastarn los datos de los ficheros JUT/JUD con listados obtenidos del backoffice del sistema tcnico de juego. Es necesario que la entidad de certificacin se cerciore de la veracidad de estos listados, dado que son la fuente para contrastar la integridad de los datos reales del SCI.

Como resultado de esta prueba, la entidad de certificacin deber incluir:

– La conformidad de las comprobaciones realizadas.

Nota: No se incluir en el resultado cifras de facturacin directamente.

Nota: Las comprobaciones y los clculos se realizarn por separado, tanto en unidades monetarias EUR, como en cualquier otra unidad, ya sean puntos de bonificacin u otros.

Modelo de resumen ejecutivo de las pruebas predefinidas para licencias singulares

rea y requisito

Calificacin

B.1 Oferta de Juego..

B.1.1 Oferta de juego y variantes de juego.

B.1.2 Desarrollo del juego y correcta contabilizacin.

B.1.6 Traza de la participacin para canales diferentes a internet.

B.2 Lmites econmicos a la participacin.

B.2.1 Lmites econmicos a la participacin.

B.3 Comportamiento ante errores tcnicos.

B.3.1 Prdida de la comunicacin con el cliente.

B.3.2 Error en el cliente.

B.4 Sistema de control interno.

B.4.1 Integridad de los registros OPT/ORT.

B.4.2 Integridad de los registros JUT/JUD.

ANEXO VII
Relacin de requisitos tcnicos de seguridad

Este Anexo tiene por objeto establecer la relacin de los requisitos que, de conformidad con lo dispuesto en la Resolucin de 6 de octubre de 2014, de la Direccin General de Ordenacin del Juego, por la que se aprueba la disposicin por la que se desarrollan las especificaciones tcnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas tcnicos de juego de carcter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulacin del juego, han de ser cumplidos por los sistemas tcnicos de los operadores de juego y que deben ser verificados por las entidades de certificacin en sus informes definitivos de certificacin.

Las reas que han de ser verificadas por las entidades de certificacin y el orden en que habrn de presentarse en el informe correspondiente es el que sigue:

a) Poltica de Seguridad.

De conformidad con el apartado 4.4 del Anexo I de la Resolucin de 6 de octubre de 2014, de la Direccin General de Ordenacin del Juego, por la que se aprueba la disposicin por la que se desarrollan las especificaciones tcnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas tcnicos de juego de carcter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulacin del juego, la entidad de certificacin deber verificar que:

1. El operador dispone de procedimientos de seguridad.

2. Los procedimientos de seguridad han sido comunicados a la totalidad de sus empleados y, en su caso, a las entidades colaboradoras.

Aquellas organizaciones que hayan obtenido la certificacin ISO 27001 vigente, podrn dar conformidad a los requisitos 1 y 2. En el apartado de observaciones se indicar ISO 27001.

b) Anlisis y Gestin de Riesgos.

De conformidad con los apartados 4.1, 4.2 y 4.3 de Resolucin de 6 de octubre de 2014, de la Direccin General de Ordenacin del Juego, por la que se aprueba la disposicin por la que se desarrollan las especificaciones tcnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas tcnicos de juego de carcter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulacin del juego, la entidad de certificacin deber verificar que:

1. El operador dispone de un plan de anlisis y gestin de riesgos.

2. Se realiza una revisin peridica del anlisis de riesgos.

3. La organizacin tiene identificados los componentes crticos del Sistema Tcnico de Juego.

4. En la relacin de componentes crticos estn incluidos:

a) El registro de usuario.

b) La cuenta de juego.

c) El procesamiento de los medios de pago.

d) En el generador de nmeros aleatorios: los componentes del sistema tcnico de juego que transmiten o procesan nmeros aleatorios que sern objeto del resultado de los juegos y la integracin de los resultados del generador de nmeros aleatorios en la lgica del juego.

e) Aquellos componentes que almacenan, manipulan o transmiten informacin sensible de los clientes, como datos personales, de autenticacin, etc.

f) Aquellos componentes que almacenan el estado puntual de los juegos. g) Las conexiones con la Direccin General de Ordenacin del Juego.

h) El sistema de control interno: el capturador y el almacn.

i) Los puntos de acceso y las comunicaciones de y hacia los componentes crticos anteriores.

j) Las redes de comunicacin que transmiten informacin sensible de participantes.

5. El operador tiene reforzada la seguridad de todos los componentes crticos.

En relacin con los requisitos 4 y 5, la entidad de certificacin en el campo de observaciones anotar las referencias documentales as como los epgrafes dentro de stas en los que se constate el cumplimiento de dichos requisitos.

c) Organizacin de la Seguridad de la Informacin.

De conformidad con el apartado 4.5 del Anexo I de la Resolucin de 6 de octubre de 2014, de la Direccin General de Ordenacin del Juego, por la que se aprueba la disposicin por la que se desarrollan las especificaciones tcnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas tcnicos de juego de carcter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulacin del juego, la entidad de certificacin deber verificar que la organizacin ha definido un marco de gestin para la seguridad de la informacin, indicando las funciones y responsabilidad de su personal.

Aquellas organizaciones que hayan obtenido la certificacin ISO 27001 vigente, podrn dar conformidad a los requisitos de est rea. En el apartado de observaciones se indicar ISO 27001.

d) Seguridad en la comunicacin con los participantes.

De conformidad con los apartados 2.1.12 y 4.6 del Anexo I de la Resolucin de 6 de octubre de 2014, de la Direccin General de Ordenacin del Juego, por la que se aprueba la disposicin por la que se desarrollan las especificaciones tcnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas tcnicos de juego de carcter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulacin del juego, la entidad de certificacin deber verificar que:

1. El operador ha adoptado mecanismos de autenticacin que permiten al sistema de juego identificar al participante, y que, a su vez, permiten al participante identificar al sistema de juego.

2. Las comunicaciones son cifradas en los casos de transmisin de datos personales (registro de usuario) o econmicos (cuenta de juego).

3. En relacin con las comunicaciones, el operador ha adoptado las medidas que resultan necesarias para garantizar la integridad y el no repudio en los casos de transmisin de datos personales o econmicos, y en las transacciones de participacin en el juego.

4. Se establece, por defecto o por el participante, una contrasea inicial de usuario.

5. Durante el proceso de definicin de la contrasea de usuario, el participante es informado sobre buenas prcticas en la eleccin de contraseas seguras

6. La longitud mnima de la contrasea es de 8 caracteres o dgitos, e incluye al menos elementos de tres de los siguientes grupos: nmeros, letras minsculas, letras maysculas y otros smbolos.

7. La contrasea no puede contener ninguno de los siguientes datos: el nombre del usuario, el seudnimo, el nombre o apellidos o la fecha de nacimiento del participante.

8. Se ofrece al usuario un recordatorio de cambio de contrasea con una frecuencia mnima anual, aunque no es obligatorio que el usuario realice el cambio.

9. El mecanismo de identificacin mediante usuario y contrasea se bloquea si se producen en un mismo da ms de 5 intentos de acceso errneos. El operador puede establecer un lmite inferior a este requisito.

10. El sistema del operador est diseado para requerir la autenticacin del participante ante cada inicio de sesin de usuario, y en el caso de uso de contraseas, la introduccin de la contrasea. El sistema no utiliza cookies u otros mecanismos para evitar la autenticacin del usuario o la introduccin de la contrasea.

11. El operador dispone de un procedimiento para detectar las cuentas inactivas durante un tiempo razonablemente prolongado y requiere un nivel de autenticacin superior al normal o verificaciones adicionales a travs del servicio de atencin al cliente, antes de permitir reanudar la actividad de juego, especialmente las retiradas de fondos.

12. El operador dispone de un procedimiento para detectar dentro de lo razonable accesos no autorizados a la cuenta de los participantes, intentos de suplantacin de identidad o acceso a sus datos personales.

13. El operador dispondr de un procedimiento para detectar cambios bruscos en el comportamiento de un participante, y en particular del importe de los depsitos o retiradas, e iniciar alguna accin para prevenir que la cuenta de juego pueda estar siendo accedida por un tercero.

En relacin con los requisitos anteriores, la entidad de certificacin, en el campo de observaciones anotar las referencias documentales as como los epgrafes dentro de estas en las que se constata el cumplimiento de dichos requisitos.

e) Seguridad de recursos humanos y terceros.

De conformidad con el apartado 4.7 del Anexo I de la Resolucin de 6 de octubre de 2014, de la Direccin General de Ordenacin del Juego, por la que se aprueba la disposicin por la que se desarrollan las especificaciones tcnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas tcnicos de juego de carcter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulacin del juego, la entidad de certificacin deber verificar que:

1. El operador dispone de un plan de Seguridad del Personal.

2. El plan incluye acciones formativas para todos los empleados de la organizacin, prestando especial atencin a los permisos de acceso a informacin y componentes crticos.

3. En los casos en los que el operador necesite servicios de terceros que impliquen acceso, procesamiento, comunicacin o tratamiento de la informacin, o bien el acceso a instalaciones, productos o servicios relacionados con el juego, stos terceros deben cumplir la totalidad de los requisitos de seguridad exigibles al resto del personal.

Aquellas organizaciones que hayan obtenido la certificacin ISO 27001 vigente, podrn dar conformidad a los requisitos de est rea. En el apartado de observaciones se indicar ISO 27001.

f) Seguridad fsica y medioambiental.

De conformidad con el apartado 4.8 del Anexo I de la Resolucin de 6 de octubre de 2014, de la Direccin General de Ordenacin del Juego, por la que se aprueba la disposicin por la que se desarrollan las especificaciones tcnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas tcnicos de juego de carcter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulacin del juego, la entidad de certificacin deber verificar que:

1. Existe un plan de seguridad fsica de los componentes del sistema tcnico de juego.

2. La seguridad perimetral para las reas que contienen componentes crticos e informacin sensible est definida.

3. Existe un Control de acceso fsico a las instalaciones en las cuales se encuentren los equipos, tanto para empleados como para personal externo, y que este control incluye elementos fsicos, procedimientos de autorizacin, registros de acceso y servicios de vigilancia.

4. Est contemplada la proteccin frente a riesgos ambientales: agua, fuego, provocados por personas, etc.

5. Los equipos crticos estn protegidos frente a cortes del suministro elctrico y otras interrupciones causadas por fallos en instalaciones de soporte y que el cableado de suministro elctrico est protegido de daos.

6. Estn definidos los mecanismos de control de acceso al cableado de comunicaciones si transporta informacin crtica sin cifrar.

7. Se proporciona y est previsto el adecuado mantenimiento de las instalaciones y equipos.

8. Los dispositivos que contienen informacin son borrados de manera segura o destruidos antes de ser reutilizados o retirados.

9. Los equipos que contienen informacin no pueden ser trasladados fuera de las instalaciones seguras sin la correspondiente autorizacin.

En relacin con los requisitos 2, 3, 4, 5, 7, 8, 9 anteriores, la entidad de certificacin, en el campo de observaciones anotar las referencias documentales as como los epgrafes dentro de estas en las que se constata el cumplimiento de dichos requisitos.

Aquellas organizaciones que hayan obtenido la certificacin ISO 27001 vigente, podrn dar conformidad a los requisitos de est rea. En el apartado de observaciones se indicar ISO 27001.

g) Gestin de Comunicaciones y Operaciones.

De conformidad con el apartado 4.9 del Anexo I de la Resolucin de 6 de octubre de 2014, de la Direccin General de Ordenacin del Juego, por la que se aprueba la disposicin por la que se desarrollan las especificaciones tcnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas tcnicos de juego de carcter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulacin del juego, la entidad de certificacin deber verificar que:

1. Los componentes crticos son monitorizados para evitar que puedan utilizarse versiones diferentes de la homologada.

2. La comunicacin entre los componentes de los sistemas tcnicos de juego garantizan la integridad y la confidencialidad.

3. Las tareas se segregan entre las diferentes reas de responsabilidad, para minimizar la posibilidad de acceso no autorizado y potenciales daos.

4. Se han separado las tareas de desarrollo, pruebas y produccin.

5. Los servicios proporcionados por terceras partes incluyen controles y mtricas de seguridad en los contratos y son peridicamente auditados y monitorizados.

6. Se han adoptado medidas de proteccin contra cdigo malicioso.

7. Se hacen regularmente copias de seguridad con la frecuencia adecuada y se conservan custodiadas segn quede recogido en el plan de copias de seguridad.

8. Se han adoptado medidas de seguridad en la red de comunicaciones.

9. Se han adoptado medidas de seguridad en la manipulacin de soportes porttiles as como de borrado seguro o de destruccin de los mismos y que se plasma en un procedimiento documentado.

10. Los relojes de todos los componentes, especialmente de los crticos, estn sincronizados con una fuente de tiempo fiable y el operador ha establecido medidas y controles para evitar la manipulacin de las marcas de tiempo o su alteracin posterior, especialmente en los registros de auditora.

11. Se genera y guarda registro de auditora de actividad de todos los usuarios, excepciones y eventos de seguridad de la informacin durante un periodo mnimo de 2 aos.

12. Los registros de auditora estn protegidos frente a la alteracin y el acceso indebido.

13. Las actividades del Administrador del Sistema y del operador del Sistema estn siendo registradas.

14. Se realiza un anlisis peridico de los registros de auditora y se toman acciones en funcin de las incidencias detectadas.

En relacin con los requisitos 2, 4, 5, 6, 7, 8, 9,10, 11, 12, 13 y 14 anteriores, la entidad de certificacin en el campo de observaciones anotar las referencias documentales as como los epgrafes dentro de stas en las que se constata el cumplimiento de dichos requisitos.

Aquellas organizaciones que hayan obtenido la certificacin ISO 27001 vigente, podrn dar conformidad a los requisitos de est rea. En el apartado de observaciones se indicar ISO 27001.

h) Control de Acceso.

De conformidad con el apartado 4.10 de la Resolucin de 6 de octubre de 2014, de la Direccin General de Ordenacin del Juego, por la que se aprueba la disposicin por la que se desarrollan las especificaciones tcnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas tcnicos de juego de carcter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulacin del juego, la entidad de certificacin deber verificar que:

1. La poltica de acceso a informacin est documentada.

2. Se asegura el acceso autorizado y se impide el no autorizado mediante controles en el alta de usuarios, gestin de privilegios de acceso, revisin peridica de los privilegios de acceso y poltica de gestin de las contraseas.

3. Los usuarios siguen buenas prcticas en el uso de contraseas y protegen adecuadamente la documentacin y soportes en su puesto de trabajo.

4. Los usuarios nicamente tienen acceso a los servicios que han sido autorizados a usar.

5. No existen usuarios genricos y todos los usuarios acceden con su usuario propio nico.

6. El sistema autentica todos los accesos, ya sea personal propio, de mantenimiento u otros, ya sea de otros sistemas y componentes. Tambin ser autenticado el personal de inspeccin de la Direccin General de Ordenacin del Juego u otro personal que acte en su nombre.

7. Las redes estn segregadas en funcin del rea y responsabilidad de la tarea o funcin.

8. El acceso a los sistemas operativos requiere un mecanismo de autenticacin seguro.

9. Se restringe y se controla el uso de programas que permiten evitar los controles de acceso y de seguridad.

10. Las sesiones tienen un tiempo mximo de duracin de la conexin y un tiempo de desconexin por inactividad.

11. El personal de soporte informtico tiene restringido el acceso a los datos reales de las aplicaciones. Los datos reales sensibles estn ubicados en entornos aislados.

12. Se gestionan los riesgos asociados a dispositivos mviles.

13. Si existe teletrabajo, se comprueba que el riesgo asociado est gestionado en el marco del plan de seguridad.

En relacin con los requisitos 1, 2, 3, 4, 6, 7, 8, 9, 10, 11, 12 anteriores, la entidad de certificacin en el campo de observaciones anotar las referencias documentales as como los epgrafes dentro de stas en las que se constata el cumplimiento de dichos requisitos.

Aquellas organizaciones que hayan obtenido la certificacin ISO 27001 vigente, podrn dar conformidad a los requisitos de est rea. En el apartado de observaciones se indicar ISO 27001.

i) Compra, desarrollo y mantenimiento de los sistemas.

De conformidad con el apartado 4.11 del Anexo I de la Resolucin de 6 de octubre de 2014, de la Direccin General de Ordenacin del Juego, por la que se aprueba la disposicin por la que se desarrollan las especificaciones tcnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas tcnicos de juego de carcter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulacin del juego, la entidad de certificacin deber verificar que existe un plan de seguridad en la toma de decisiones de compra, desarrollo y mantenimiento de los sistemas de informacin.

Aquellas organizaciones que hayan obtenido la certificacin ISO 27001 vigente, podrn dar conformidad a los requisitos de est rea. En el apartado de observaciones se indicarn que ISO 27001.

j) Gestin de incidentes de seguridad.

De conformidad con el apartado 4.12 del Anexo I de la Resolucin de 6 de octubre de 2014, de la Direccin General de Ordenacin del Juego, por la que se aprueba la disposicin por la que se desarrollan las especificaciones tcnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas tcnicos de juego de carcter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulacin del juego, la entidad de certificacin deber verificar que:

1. Existe un procedimiento documentado de gestin de incidentes de seguridad.

2. Existe un registro de incidentes de seguridad (con hechos, impactos y medidas adoptadas).

Aquellas organizaciones que hayan obtenido la certificacin ISO 27001 vigente, podrn dar conformidad a los requisitos de est rea. En el apartado de observaciones se indicar ISO 27001.

k) Gestin de cambios.

De conformidad con el apartado 4.13 del Anexo I de la Resolucin de 6 de octubre de 2014, de la Direccin General de Ordenacin del Juego, por la que se aprueba la disposicin por la que se desarrollan las especificaciones tcnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas tcnicos de juego de carcter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulacin del juego, y a lo establecido en el artculo dcimo de esta Disposicin, la entidad de certificacin deber verificar que:

1. Existe un procedimiento de gestin de cambios en equipos y componentes del sistema tcnico de juego en el entorno de produccin.

2. Existe un proceso de aprobacin interna de cambios (peticin de cambio, aprobacin de los responsables).

3. Se conserva un registro de cambios (peticiones, decisiones adoptadas) y podrn ser objeto de posterior auditora.

4. En el caso de cambios en componentes crticos, deber evaluarse si se trata de un cambio sustancial.

5. Se conservarn copias de los binarios de los elementos de software de todas las versiones software que se hayan utilizado en el sistema tcnico efectivamente empleado.

La Direccin General de Ordenacin del Juego podr establecer la obligacin de que el procedimiento de conservacin de las copias de los binarios incluya una huella digital de los mismos.

En relacin con los requisitos 1, 2, 3, 4 y 5 anteriores, la entidad de certificacin en el campo de observaciones anotar las referencias documentales as como los epgrafes dentro de stas en las que se constata el cumplimiento de dichos requisitos.

l) Plan de prevencin de prdida de informacin.

De conformidad con el apartado 4.15 del Anexo I de la Resolucin de 6 de octubre de 2014, de la Direccin General de Ordenacin del Juego, por la que se aprueba la disposicin por la que se desarrollan las especificaciones tcnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas tcnicos de juego de carcter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulacin del juego, la entidad de certificacin deber verificar que:

1. Existe un plan de prevencin de prdida de datos o transacciones que afecten al desarrollo de los juegos, a los derechos de los participantes o al inters pblico.

2. Existe un plan de medidas para cumplir con el plan de prevencin de prdida de informacin y que incluir los siguientes aspectos:

a) Ubicacin donde se conservarn las copias de la informacin.

b) Medidas de seguridad de proteccin de la copia frente accesos no autorizados.

3. Existe un procedimiento de actuacin en caso de prdida de informacin que incluir los siguientes aspectos:

a) Mecanismos de atencin de reclamaciones.

b) Mecanismos de continuacin de juegos interrumpidos.

En relacin con los requisitos 1, 2 y 3 anteriores, la entidad de certificacin en el campo de observaciones anotar las referencias documentales as como los epgrafes dentro de stas en las que se constata el cumplimiento de dichos requisitos.

m) Gestin de continuidad de negocio.

De conformidad con los apartados 4.14 y 4.16 del Anexo I de la Resolucin de 6 de octubre de 2014, de la Direccin General de Ordenacin del Juego, por la que se aprueba la disposicin por la que se desarrollan las especificaciones tcnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas tcnicos de juego de carcter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulacin del juego, la entidad de certificacin deber verificar que:

1. Existe una gestin de continuidad del negocio ante desastres que incluir los siguientes aspectos:

a) Medidas tcnicas, humanas y organizativas necesarias para garantizar la continuidad del servicio.

b) Replica de la Unidad Central de Juegos que permita el normal desarrollo de la actividad.

2. El plan de continuidad considera los siguientes escenarios:

a) Registro de usuario y cuenta de juego, con posibilidad de consultar el saldo y los movimientos de sus cuentas de juego asociadas. El tiempo mximo para prestar de nuevo estos servicios ser de una semana.

b) Retirada de fondos. El tiempo mximo para prestar de nuevo estos servicios ser de una semana.

c) Continuacin de juegos incompletos o apuestas pendientes y pago de los premios vlidamente conseguidos. El tiempo mximo para prestar de nuevo estos servicios ser de un mes.

d) Restablecimiento completo de todos los servicios.

3. En todos los escenarios se incluyen la siguiente informacin:

a) Servicios recuperados.

b) Tiempo mximo de recuperacin.

En relacin con los requisitos 1, 2 y 3 anteriores, la entidad de certificacin en el campo de observaciones anotar las referencias documentales as como los epgrafes dentro de stas en las que se constata el cumplimiento de dichos requisitos.

Aquellas organizaciones que hayan obtenido la certificacin ISO 27001 vigente, podrn dar conformidad a los requisitos de est rea. En el apartado de observaciones se indicarn que ISO 27001.

n) Penetracin y anlisis de vulnerabilidades.

De conformidad con el apartado 4.17 del Anexo I de la Resolucin de 6 de octubre de 2014, de la Direccin General de Ordenacin del Juego, por la que se aprueba la disposicin por la que se desarrollan las especificaciones tcnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas tcnicos de juego de carcter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulacin del juego, la entidad de certificacin deber verificar que:

1. En el ltimo ao el sistema tcnico de juego ha pasado un test de penetracin y un anlisis de vulnerabilidades.

2. Existe un plan de anlisis, al menos anual, de vulnerabilidades.

En relacin con el requisito 1 anterior, la entidad de certificacin en el campo de observaciones anotar las referencias documentales as como los epgrafes dentro de stas en las que se constata el cumplimiento de dichos requisitos.

Análisis

  • Rango: Resolucin
  • Fecha de disposición: 06/10/2014
  • Fecha de publicación: 10/10/2014
  • Entrada en vigor: 11 de octubre de 2014.
Referencias anteriores
Materias
  • Certificaciones
  • Consumidores y usuarios
  • Direccin General de Ordenacin del Juego
  • Internet
  • Juego
  • Licencias
  • Tecnologa

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid