Agencia Estatal Boletín Oficial del Estado

[Bloque 1: #pr]

La Ley 13/2011, de 27 de mayo, de regulación del juego, establece el marco regulatorio de la actividad de juego, en sus distintas modalidades, que se desarrolle con ámbito estatal, con el fin de garantizar la protección del orden público, luchar contra el fraude, prevenir las conductas adictivas, proteger los derechos de los menores y salvaguardar los derechos de los participantes en los juegos.

La Disposición adicional décima de la Ley 3/2013, de 4 de junio, de creación de la Comisión Nacional de los Mercados y de la Competencia establece que «La Dirección General de Ordenación del Juego del Ministerio de Hacienda y Administraciones Públicas asumirá el objeto, funciones y competencias que la Ley 13/2011, de 27 de mayo, de regulación del juego, atribuye a la extinta Comisión Nacional del Juego.»

La Ley 13/2011, de 27 de mayo, de regulación del juego, establece, en su artículo 16, que «las entidades que lleven a cabo la organización, explotación y desarrollo de juegos regulados en el ámbito de la Ley 13/2011, de 27 de mayo, de regulación del juego, han de disponer del material software, equipos, sistemas, terminales e instrumentos en general necesarios para el desarrollo de las actividades de juego, debidamente homologados», atribuyendo a la Dirección General de Ordenación del Juego la homologación de los sistemas técnicos de juego, el establecimiento de las especificaciones necesarias para el funcionamiento de los mismos y el procedimiento para su certificación.

Por su parte, el Real Decreto 1613/2011, de 14 de noviembre, por el que se desarrolla la Ley 13/2011, de 27 de mayo, de regulación del juego, en lo relativo a los requisitos técnicos de las actividades de juego, establece, en su artículo 6.1, in fine, que la Dirección General de Ordenación del Juego «para la realización de las homologaciones podrá basarse en informes de certificación de la adecuación de los sistemas técnicos de juego del operador emitidos por entidades designadas a estos efectos». Asimismo, el número primero del artículo 8 del citado Real Decreto 1613/2011 dispone que la Dirección General de Ordenación del Juego establecerá el contenido mínimo de los informes emitidos por las entidades designadas para la certificación de los sistemas técnicos de juego.

A mayor abundamiento ha de señalarse que el Real Decreto 1613/2011 atribuye en la disposición final primera a la Dirección General de Ordenación del Juego el desarrollo de determinados aspectos técnicos propios de la comercialización de las actividades de juego objeto de la Ley 13/2011, de 27 de mayo, de regulación del juego.

La presente Resolución, que se dicta en cumplimiento del mandato del artículo 8 del Real Decreto 1613/2011, tiene por objeto el establecimiento del contenido mínimo de los informes definitivos de certificación de las entidades designadas para la emisión de los mismos, así como los modelos que han de ser empleados por estas entidades.

En base a la experiencia acumulada desde la publicación de la primera versión del modelo y contenido del informe de certificación definitiva mediante la Resolución de 12 de julio de 2012, de la Dirección General de Ordenación del Juego, se ha procedido a actualizar y revisar su contenido y forma.

En su virtud, y previo el informe favorable de la Abogacía del Estado en la Secretaría de Estado de Hacienda del Ministerio de Hacienda y Administraciones Públicas, esta Dirección General, en uso de las atribuciones conferidas, resuelve:

[Bloque 2: #pr-2]

Primero.

Aprobar la disposición por la que se establece el modelo y contenido del informe definitivo de certificación de los sistemas técnicos de juego de los operadores habilitados en España que se acompaña como anexo I a esta Resolución.

[Bloque 3: #se]

Segundo.

Aprobar los anexos II, III, IV, V, VI y VII que acompañan a esta Resolución.

[Bloque 4: #te]

Tercero.

La presente Resolución entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».

[Bloque 5: #cu]

Cuarto.

Las solicitudes de homologación de aquellas licencias que hubiesen sido adjudicadas a la fecha de publicación de la presente Resolución podrán adjuntar informes de certificación en base al modelo y contenido establecidos en la Resolución de 12 de julio de 2012.

[Bloque 6: #qu]

Quinto.

Derogar la Resolución de 12 de julio de 2012, de la Dirección General de Ordenación Del Juego, por la que se aprueba la disposición que establece el modelo y contenido del informe de certificación definitiva de los sistemas técnicos de los operadores de juego y se desarrolla el procedimiento de gestión de cambios.

Contra la presente resolución, de conformidad con los artículos 114 y 115 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, el interesado podrá interponer, en el plazo de un mes contado a partir del día siguiente al de su publicación, recurso de alzada ante el Secretario de Estado de Hacienda.

[Bloque 7: #fi]

Madrid, 6 de octubre de 2014.–El Director General de Ordenación del Juego, Carlos Hernández Rivera.

[Bloque 8: #ai]

ANEXO I

Disposición por la que se establece el modelo y contenido del informe de certificación definitivo de los sistemas técnicos de los operadores de juego y se desarrolla el procedimiento de gestión de cambios

Primero. Objeto y alcance.

Esta disposición tiene por objeto el establecimiento del modelo y contenido mínimo del informe definitivo de certificación del cumplimiento de los requisitos establecidos en la vigente normativa por los sistemas técnicos de juego empleados para el desarrollo y explotación de los juegos objeto de la correspondiente licencia general o singular.

El informe definitivo de certificación será emitido por una o varias de las entidades designadas a estos efectos por la Dirección General de Ordenación del Juego y tendrá como objeto la obtención de la homologación de los sistemas técnicos de juego de los operadores. Deberá presentarse un informe por cada licencia general o singular que hubiera sido otorgada al operador interesado.

El informe definitivo de certificación, cuyo modelo y contenido mínimo se establece en esta disposición, alcanza a la certificación de los sistemas técnicos de juego de los operadores con licencia general para el desarrollo y explotación de las modalidades de juego a las que se refieren las letras c), e) y f) del artículo 3 de la Ley 13/2011, de 27 de mayo, de regulación del juego, y respecto de los tipos de juego regulados hasta la fecha de publicación de la misma.

Asimismo, esta disposición desarrolla el procedimiento de gestión de cambios a que se refiere el artículo 8.4 del Real Decreto 1613/2011, de 14 de noviembre, por el que se desarrolla la Ley 13/2011, de 27 de mayo, de regulación del juego, en lo relativo a los requisitos técnicos de las actividades de juego, complementando a lo ya dispuesto en el apartado 4.13 de la Resolución de 6 de octubre de 2014, de la Dirección General de Ordenación del Juego, por la que se aprueba la disposición por la que se desarrollan las especificaciones técnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas técnicos de juego de carácter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulación del juego.

Segundo. Definiciones.

A los efectos de esta disposición, los términos que en ella se emplean tendrán el sentido que se establece en el apartado 1.2 del Anexo I de la Resolución de 6 de octubre de 2014, de la Dirección General de Ordenación del Juego, por la que se aprueba la disposición por la que se desarrollan las especificaciones técnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas técnicos de juego de carácter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulación del juego.

Tercero. Procedimiento y plazo para la homologación de los sistemas técnicos de juego.

1. La homologación inicial de los sistemas técnicos de juego se realizará en el marco del procedimiento de otorgamiento de licencias generales y singulares.

El informe o informes definitivos de certificación de los sistemas técnicos de juego de los operadores deberán presentarse por el interesado en el plazo improrrogable de cuatro meses contados desde que le hubiera sido notificada la resolución de otorgamiento de la licencia general o de la licencia singular provisional.

El informe definitivo de certificación se compone de los siguientes documentos:

a) Descripción del sistema técnico objeto de licencia, cumplimentado por el operador.

b) Informe definitivo de certificación de la funcionalidad.

c) Informe definitivo de certificación de la seguridad.

d) Informe de cumplimiento de la normativa de protección de datos de carácter personal por parte del operador.

El procedimiento de homologación se iniciará en el momento en que el informe definitivo de certificación tenga entrada en el Registro General del Ministerio de Hacienda y Administraciones Públicas en la forma establecida en el artículo 38.4 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. Los procedimientos se iniciaran en función del orden de entrada de los informes.

El informe definitivo de certificación y la documentación e informes adicionales deberán presentarse en formato electrónico. Únicamente deberá presentarse en papel, y debidamente firmados por la persona o personas autorizadas en la entidad de certificación, la identificación de la certificación, el objeto de la misma y su resumen ejecutivo.

Si el operador realizara la presentación telemática del informe de certificación, deberá asegurarse de que el informe de certificación esté firmado mediante un certificado admitido en el ámbito de la Administración General del Estado, de acuerdo con la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos y su desarrollo reglamentario.

La Dirección General de Ordenación del Juego podrá requerir a los interesados cuanta documentación e información considere precisa para la resolución del procedimiento de homologación.

Recibido el informe definitivo de certificación y previa la valoración favorable del mismo, la Dirección General de Ordenación del Juego homologará los sistemas técnicos de juego de acuerdo con lo establecido en el artículo 16 de la Ley 13/2011, de 27 de mayo, de regulación del juego, en un plazo máximo de seis meses contados desde la notificación del otorgamiento de la licencia, sin perjuicio de la ampliación del plazo citado por el tiempo que el interesado hubiera empleado para atender a los requerimientos que, tras la presentación del informe definitivo de certificación, practicara la Dirección General de Ordenación del Juego.

2. La segunda y sucesivas homologaciones de los sistemas técnicos de juego podrán solicitarse por los operadores de juego que hayan contado con la homologación inicial de sus sistemas técnicos de juego acordada mediante la correspondiente resolución de la Dirección General de Ordenación del Juego, durante los últimos seis meses de su último año de vigencia y con al menos cuatro meses de antelación a la fecha de su extinción.

La homologación del sistema técnico de juego objeto de solicitud deberá ceñirse al sistema técnico de juego efectivamente empleado por el operador para el desarrollo y explotación del juego correspondiente a cada una de las licencias cuya homologación se solicita. En este sentido, el sistema técnico de juego debe estar conformado por el conjunto de proveedores de software que han sido previamente homologados o autorizados a través de los procedimientos de homologación o de solicitud de autorización de cambio sustancial en el sistema técnico de juego.

Junto con las solicitudes de segunda y sucesivas homologaciones, los operadores interesados presentarán la siguiente documentación:

– Descripción del alcance de la solicitud: La solicitud deberá indicar:

• Relación de licencias cuya homologación se solicita.

• Relación de proveedores de software que conforman el sistema técnico de juego efectivamente empleado por el operador para el desarrollo y explotación del juego y cuya homologación se solicita. Deberá indicarse la relación de proveedores de software para cada uno de los siguientes componentes del sistema técnico de juego: proveedores de software de plataforma de juego, proveedores de software de juego para cada una de las licencias singulares, proveedores de software de agregador y proveedores de almacén.

– Una declaración responsable en la que se haga constar que el conjunto de proveedores de software de plataforma de juego, software de juego, software de agregador y software de almacén, que conforman el sistema técnico de juego efectivamente empleado por el operador para el desarrollo y explotación del juego y que han sido relacionados en la solicitud, han sido previamente homologados o autorizados a través de los correspondientes procedimientos de homologación o de solicitud de autorización de cambio sustancial en el sistema técnico de juego.

La presentación por los operadores de juego de las solicitudes y de los documentos adjuntos deberá realizarse por su representante legal, debidamente apoderado, a través de la sede electrónica de la Dirección General de Ordenación del Juego, empleando el formulario normalizado específico dispuesto al efecto para su presentación electrónica. De acuerdo con lo previsto en el artículo 66.6 de la Ley 39/2015, de 1 de octubre, del Procedimiento administrativo común de las Administraciones Públicas, este formulario será de uso obligado para los interesados.

Las solicitudes deberán ser firmadas por sus presentadores mediante el uso de un sistema de firma electrónica avanzada.

Cada solicitud dará lugar al correspondiente procedimiento, que se iniciará en el momento de su presentación y, sin perjuicio de las eventuales ampliaciones o interrupciones de plazo, concluirá mediante resolución de homologación, dentro del plazo de tres meses, contado desde su entrada en la sede electrónica, de acuerdo con lo establecido en el artículo 21.3 de la Ley 39/2015, de 1 de octubre, sin perjuicio de las suspensiones del citado plazo por el tiempo empleado por el interesado para atender los requerimientos de subsanación o de información adicional practicados de acuerdo con lo establecido en el artículo 68 de la Ley 39/2015, de 1 de octubre. De acuerdo con lo previsto en el artículo 24.1 de la Ley 39/2015, de 1 de octubre, transcurrido el plazo de tres meses anteriormente descrito sin que la Dirección General de Ordenación del Juego hubiera dictado y notificado la resolución expresa sobre la homologación, ésta se entenderá acordada por silencio administrativo.

Cuarto. Descripción del sistema técnico objeto de licencia.

Para la descripción del sistema técnico objeto de licencia se deberá aportar la siguiente documentación:

– Descripción actualizada del sistema técnico.

– En el caso de licencias singulares, las reglas particulares.

– El cuestionario descriptivo del operador.

El cuestionario descriptivo del operador es un documento elaborado por este, que incluye información estructurada en relación al ejercicio de su actividad, su oferta de juego, sus proveedores y sus contactos.

El contenido del cuestionario cumplimentado por el operador debe coincidir con el de los informes definitivos de certificación presentados en aquellos aspectos que son comunes. En caso contrario, el operador deberá justificar las diferencias existentes.

Quinto. Informes de certificación.

El operador deberá presentar un informe definitivo de certificación de la funcionalidad del sistema técnico de juego y un informe definitivo de certificación de la seguridad del sistema técnico de juego empleado para el desarrollo y ejecución del juego objeto de la correspondiente licencia.

El informe definitivo de certificación de la funcionalidad del sistema técnico de juego deberá ser emitido por una de las entidades designadas por la Dirección General de Ordenación del Juego para la certificación de software de juego.

El informe definitivo de certificación de seguridad deberá ser emitido por una de las entidades designadas por la Dirección General de Ordenación del Juego para la certificación de seguridad de los sistemas de información.

Los informes definitivos de certificación deberán acreditar que el sistema técnico efectivamente empleado por el operador para el desarrollo y explotación del juego objeto de la correspondiente licencia cumple los requisitos técnicos exigidos por la vigente normativa de juego, pronunciándose sobre el estado del sistema técnico de juego empleado a la fecha de su presentación.

Los informes definitivos de certificación que han de ser aportados por el operador tras el otorgamiento de una licencia general deberán alcanzar al registro de usuario, la cuenta de juego, la gestión de los cobros y pagos, el sistema de control interno y los diferentes terminales o aplicaciones que permitan el acceso del participante.

Los informes definitivos de certificación que han de ser aportados por el operador tras el otorgamiento provisional de una licencia singular deberán alcanzar al software de juego y, en su caso, el generador de números aleatorios, al sistema de control interno y a los diferentes terminales o aplicaciones que permitan el acceso del participante.

El operador interesado podrá presentar una única vez un mismo informe de certificación, con independencia de que éste sea de aplicación en los procesos de homologación de una o varias de las licencias que le hubieren sido otorgadas. En este supuesto, y tras la primera presentación del informe de certificación, bastará con la referencia a su aportación y la identificación del procedimiento en que ésta se hubiera realizado.

El informe se realizará íntegramente en castellano. Los anexos, las evidencias o la documentación de soporte del informe podrán recogerse en castellano o en el idioma original en que estuvieran redactados, en cuyo caso, la Dirección General de Ordenación del Juego podrá requerir al operador para que, en el plazo de diez días, aporte la traducción al castellano de cualquiera de los anexos o documentos inicialmente aportados en otro idioma.

Sexto. Proveedores de servicios de juego.

El sistema técnico de juego efectivamente empleado por el operador para el desarrollo y explotación del juego objeto de la licencia comprenderá a los sistemas de todos los proveedores de servicios de juego que participen en la solución completa.

El operador solicitante deberá responsabilizarse de homologar el sistema técnico de juego completo y de presentar informes definitivos de certificación que deberán comprender los sistemas técnicos de todos los proveedores de servicios de juego.

Séptimo. Informe de certificación de la funcionalidad.

El informe definitivo de certificación de la funcionalidad evaluará el cumplimiento de los requisitos técnicos del sistema técnico de juego efectivamente empleado por el operador para el desarrollo y explotación del juego objeto de la licencia.

En las licencias generales se presentará un único informe que cubra el alcance completo.

En las licencias singulares se podrán presentar varios informes cuando el software de los juegos o modalidades incluidos en un informe, sea completamente independiente del software de los juegos o modalidades de otros informes. En todo caso cada informe deberá acreditar el cumplimiento de todos los requisitos técnicos para los juegos y modalidades incluidas así como el sistema de control interno y la integración con la plataforma de juego.

El modelo y contenido mínimo del informe definitivo de certificación de la funcionalidad es el que figura en el anexo III a la Resolución por la que se aprueba esta disposición.

El informe definitivo de certificación de la funcionalidad constará como mínimo de tres conjuntos de pruebas o análisis:

a) Pruebas de evaluación del cumplimiento de los requisitos técnicos:

Para la evaluación del cumplimiento de los requisitos técnicos, la entidad de certificación podrá escoger la prueba o pruebas que considere más adecuadas. La relación de requisitos técnicos se describe en el anexo V a la Resolución por la que se aprueba esta disposición.

La entidad de certificación que emita el informe podrá realizar alguna de las pruebas referidas en un entorno distinto del efectivamente empleado por el operador para el desarrollo y explotación del juego objeto de la licencia, pero la certificación emitida deberá de referirse en todo caso al sistema técnico de juego que sea efectivamente empleado por el operador. En los casos en que se utilicen entornos diferentes del efectivamente empleado por el operador, la entidad de certificación deberá certificar bajo su responsabilidad que los resultados obtenidos en el entorno de prueba son extrapolables a los que hubieran sido obtenidos de haberse realizado en el sistema técnico efectivamente empleado por el operador para el desarrollo y explotación del juego objeto de la licencia, habiendo analizado que las eventuales diferencias entre el entorno de pruebas y el sistema técnico de juego efectivamente empleado no afectan a la calidad del resultado de las pruebas realizadas.

b) Análisis específicos de funcionalidades relevantes:

La entidad de certificación deberá realizar un análisis específico de determinadas funcionalidades de especial relevancia.

En los supuestos de licencia general se analizarán las comprobaciones de la identidad y de las causas de prohibición subjetiva y se evaluarán las medidas de lucha contra el fraude y el blanqueo de capitales. En los supuestos de licencia singular se analizará la lógica del juego, y, cuando resulten de aplicación, el porcentaje de retorno al jugador y el generador de números aleatorio.

c) Pruebas de integración:

La entidad de certificación deberá diseñar y realizar las pruebas de integración necesarias para acreditar el cumplimiento de los requisitos en el sistema técnico de juego efectivamente empleado.

En el caso de la homologación inicial, las pruebas de integración deberán realizarse en el sistema técnico de juego efectivamente empleado por el operador para el desarrollo y explotación del juego objeto de la licencia, no pudiendo utilizarse a estos efectos un entorno distinto.

En el caso de certificaciones posteriores, en el contexto de una gestión de un cambio sustancial, las pruebas de integración podrán realizarse en un entorno distinto del efectivamente empleado por el operador para el desarrollo y explotación del juego objeto de la licencia. En los casos en que se utilicen entornos diferentes del efectivamente empleado por el operador, la entidad de certificación deberá certificar bajo su responsabilidad que los resultados obtenidos en el entorno de prueba son extrapolables a los que hubieran sido obtenidos de haberse realizado en el sistema técnico efectivamente empleado por el operador para el desarrollo y explotación del juego objeto de la licencia, habiendo analizado que las eventuales diferencias entre el entorno de pruebas y el sistema técnico de juego efectivamente empleado no afectan a la calidad del resultado de las pruebas realizadas.

El conjunto de pruebas de integración deberá comprender como mínimo las que se describen en el anexo VI de la Resolución por la que se aprueba esta disposición.

Las pruebas de integración tienen por objeto el análisis de datos reales generados durante el desarrollo y comercialización de la actividad de juego por parte del operador. Estas pruebas de integración con datos reales requieren que el sistema técnico de juego disponga al menos de un mes de datos, y no pueden ser completados mediante pruebas o simulaciones. En los casos en los que, en el momento de presentación del informe definitivo de certificación, el operador no hubiera iniciado el desarrollo de la actividad de juego, el informe podrá ser presentado sin aportar el resultado de las pruebas citadas, si bien la homologación quedará condicionada a la presentación del resultado de las mismas y su valoración favorable por parte de la Dirección General de Ordenación del Juego. El resultado de las pruebas que tienen por objeto el análisis de datos reales generados durante el desarrollo y comercialización de la actividad de juego, si no se presentara junto al informe definitivo de certificación, deberán ser presentados en el plazo de tres meses contados desde la fecha de inicio de la actividad de juego correspondiente.

El informe definitivo de certificación de la funcionalidad incluirá una copia de los binarios del software certificado y una huella digital de aquellos componentes calificados como críticos.

Octavo. Informes de certificación de la seguridad.

La certificación de la seguridad únicamente podrá realizarse sobre el sistema técnico de juego efectivamente empleado por el operador para el desarrollo y explotación del juego objeto de la correspondiente licencia, en relación con los procedimientos, procesos, planes y medidas de seguridad efectivamente implementados.

El operador podrá solicitar a la entidad de certificación un único informe de certificación de la seguridad que alcance a la totalidad del sistema técnico de juego, al objeto de poder emplearlo en los procesos de homologación de cada una de las licencias que le hubieran sido otorgadas.

En los casos en que uno o varios proveedores de servicios de juego formen parte del sistema técnico de juego efectivamente empleado por el operador para el desarrollo y explotación del juego objeto de la correspondiente licencia, el operador solicitante deberá presentar un informe definitivo de certificación de la seguridad de la infraestructura técnica de cada uno de los proveedores.

El modelo y contenido mínimo del referido informe definitivo de certificación de la seguridad es el que figura en el anexo IV a la Resolución por la que se aprueba esta disposición.

El informe definitivo de certificación de la seguridad constará de dos partes. En la primera, la entidad de certificación acreditará el cumplimiento de los requisitos de seguridad, cuyo listado figura en el anexo VII a la Resolución por la que se aprueba esta disposición. Será posible la convalidación parcial del cumplimiento de los requisitos técnicos de seguridad cuando el sistema de gestión de la seguridad objeto de certificación disponga de una certificación ISO 27001 con idéntico alcance vigente a la fecha de la solicitud de homologación. Los requisitos de seguridad que podrán beneficiarse de este reconocimiento se indican en el referido anexo VII. La entidad de certificación deberá adjuntar copia de la certificación ISO 27001 en la que conste claramente el destinatario, el alcance de la misma y su vigencia temporal.

En la segunda parte, la entidad de certificación deberá realizar análisis de auditoría específicos respecto de la relación de componentes críticos, gestión de cambios, gestión de continuidad de negocio y prevención de la pérdida de información.

Noveno. Cumplimiento de la normativa de protección de datos de carácter personal.

El operador presentará junto con el informe definitivo de certificación un informe descriptivo del cumplimiento de la normativa de protección de datos de carácter personal.

Este informe será único por operador y resultará de aplicación a las diferentes licencias generales y singulares de las que sea titular.

La Dirección General de Ordenación del Juego, en cumplimiento del artículo 16 apartado 4 de la Ley 13/2011, de 27 de mayo, de regulación del juego, solicitará informe a la Agencia Española de Protección de Datos.

Décimo. Procedimiento de gestión de cambios sustanciales en el sistema técnico de juego.

La puesta en producción de cualquier modificación sustancial que afecte a un componente crítico necesitará la previa autorización de la Dirección General de Ordenación del Juego tras la presentación del correspondiente informe de certificación. La Dirección General de Ordenación del Juego se pronunciará sobre la autorización de los cambios sustanciales de componentes críticos, en el plazo de un mes contados desde la fecha de recepción de la solicitud del operador.

La Dirección General de Ordenación del Juego podrá calificar como críticos otros componentes adicionales a los que consten en los informes definitivos de certificación o a los que el operador haya calificado como tales.

Ante situaciones de emergencia extraordinaria que afecten a la seguridad, debidamente acreditadas y comunicadas a la Dirección General de Ordenación del Juego, el operador podrá introducir cambios sustanciales en los componentes críticos y solicitar posteriormente su autorización. En estos supuestos, para la obtención de la homologación el operador presentará a la Dirección General de Ordenación del Juego, junto al informe de certificación, un informe en el que queden acreditadas las circunstancias excepcionales y el riesgo para la seguridad del sistema técnico de juego.

Desde el otorgamiento de licencia hasta que el operador realice la presentación de los informes de certificación definitivos, el operador podrá solicitar autorización para la puesta en producción de cambios sustanciales que se realicen sobre el sistema técnico de juego de acuerdo con el procedimiento de solicitud de cambio sustancial definido. No obstante, el plazo para resolver la solicitud de autorización de dichos cambios sustanciales quedará pospuesto hasta la resolución de homologación del sistema técnico correspondiente al proyecto técnico evaluado para el otorgamiento de la licencia.

Tras la obtención de la homologación, el operador elaborará trimestralmente un informe descriptivo de todos los cambios realizados en el sistema técnico de juego y lo notificará a la Dirección General de Ordenación del Juego. Se incluirá la siguiente documentación:

– Un resumen ejecutivo, en castellano, que explique de manera cualitativa los cambios realizados.

– La descripción del sistema técnico objeto de licencia actualizado, con el contenido descrito en el artículo cuarto del anexo I a la Resolución por la que se aprueba esta disposición.

La Dirección General de Ordenación del Juego podrá establecer la obligación de que el informe trimestral descriptivo de todos los cambios realizados en el sistema técnico de juego incluya una huella digital de los binarios.

La Dirección General de Ordenación del Juego solicitará al operador cuanta información considere precisa en relación con los cambios realizados.

Si la Dirección General de Ordenación del Juego estimara sustancial alguno de los cambios realizados en componentes críticos, requerirá al operador para que proceda a la homologación de los cambios, sin perjuicio de la posibilidad de requerir al operador para que proceda a la retirada del cambio hasta que obtenga la homologación pertinente.

Undécimo. Huellas digitales.

Respecto al procedimiento de obtención de la huella digital del software a que hace referencia esta Resolución, se deberá observar lo siguiente:

a) Se utilizará el algoritmo SHA-1, salvo justificación técnica de la conveniencia de la utilización de otro algoritmo, que deberá ser autorizada previamente por la Dirección General de Ordenación del Juego.

b) Deberá adjuntarse junto con las huellas digitales la herramienta o procedimiento utilizado para obtener las huellas digitales, así como la herramienta o procedimiento que permita validar las huellas digitales obtenidas. Deberá adjuntarse en soporte digital las herramientas necesarias o indicar la ubicación desde la que son públicamente disponibles y de acceso gratuito.

c) En el caso de tratarse de herramientas bajo patente o propiedad intelectual, deberá justificarse la manera en que la Dirección General de Ordenación del Juego y cualquier otra entidad de certificación pueden tener acceso gratuito y derechos de uso de las mismas.

Se modifica el apartado tercero por el apartado primero de la Resolución de 31 de octubre de 2022. Ref. BOE-A-2022-18043

[Bloque 9: #ai-2]

ANEXO II

Cuestionario descriptivo del operador

El cuestionario recogerá información sobre el operador, su actividad y su sistema técnico de juego para el desarrollo y explotación de los juegos objeto de las licencias de las que es titular.

El cuestionario incluirá, entre otras, la siguiente información:

– Datos identificativos del operador y de las licencias de las que es titular, así como del inicio de su actividad.

– Información sobre sus contactos.

– Descripción los proveedores de software.

– Relación de sus dominios.

– Relación de los dominios diferentes al «.es» que sean propiedad o estén controlados por el operador de juego, su matriz o sus filiales.

– Tipos de medios utilizados para la verificación de identidad de los jugadores.

– Relación de los medios de pago utilizados y fecha de comienzo de su comercialización. Los tipos de medios de pago deberán ajustarse a la clasificación establecida en la Resolución por la que se aprueba el modelo de datos del sistema de monitorización de la información correspondiente a los registros de operaciones de juego.

– Información relativa a las redes coorganizadas de juego.

– Descripción de la oferta de juego. Relación de variantes de juego.

– Descripción de las aplicaciones para el acceso del participante.

– Descripción de los canales de comunicación utilizados y las tecnologías de acceso.

El cuestionario podrá incluir también cualquier otro dato del sistema técnico de juego que sea relevante para la actividad de homologación.

Para facilitar su cumplimentación, se publicará en formato electrónico en el sitio web de la Dirección General de Ordenación del Juego.

La Dirección General de Ordenación del Juego podrá actualizar el contenido y formato del cuestionario. El cuestionario que deberá emplearse será en todo caso el último publicado.

[Bloque 10: #ai-3]

ANEXO III

Modelo y contenido mínimo del informe de certificación de la funcionalidad

El informe definitivo de certificación de la funcionalidad se estructura en los apartados y presentará el contenido mínimo que a continuación se relaciona:

1. Identificación de la certificación.

2. Descripción del objeto de certificación.

3. Resumen ejecutivo de la certificación de la funcionalidad.

4. Detalle del cumplimiento de los requisitos técnicos.

5. Detalle de los análisis específicos.

6. Detalle de las pruebas de integración.

7. Descripción del lugar, equipo y fechas de realización de la certificación.

8. Descripción de los entornos utilizados en las pruebas diferentes al efectivamente empleado por el operador para el desarrollo de la actividad de juego.

9. Descripción del soporte digital que acompañará al informe de certificación.

1. Identificación de la certificación

En la primera página del informe se detallará lo siguiente:

a) Tipo de informe de certificación: Se consignará «informe definitivo de certificación de la funcionalidad».

b) Código de identificación del informe: El código de identificación del informe será único y permitirá referirse al mismo de manera unívoca y su diferenciación de cualquier otro informe emitido por la entidad de certificación. Cada vez que la entidad de certificación realice cualquier modificación en un informe deberá generar un nuevo código de identificación para el mismo.

c) Datos identificativos de la entidad certificadora.

d) Datos identificativos de quien firma el informe por parte de la entidad certificadora.

e) Fechas de realización de los trabajos de certificación.

f) Fecha de emisión del informe de certificación.

2. Descripción del objeto de certificación

El objeto de certificación expondrá el alcance del sistema técnico de juego objeto de certificación, e incluirá al menos la siguiente información:

• La identificación de los elementos de software empleados en el sistema técnico para el desarrollo y explotación del juego objeto de la licencia correspondiente, con mención expresa del fabricante, nombre del producto y versión. En esta relación de elementos deberá constar en todo caso el capturador y el almacén.

• Relación de los componentes calificados como críticos y huella de los mismos. Esta relación podrá adjuntarse en un apartado diferenciado, como anexo, respondiendo a criterios de orden.

• La identificación de los centros de procesos de datos en que están instalados.

• Canales de acceso certificados (Internet, SMS, IVR, presencial…).

Para las licencias generales:

• Sitios web certificados y nombres comerciales.

• Versión del servicio web de verificación de identidad de jugadores contra el que el sistema consulta.

• Medios de pago utilizados durante la certificación.

Para las licencias singulares:

• Sitios web certificados y nombres comerciales.

• Rol del operador: deberá indicarse si el operador actúa como B2C, B2B o ambos. En el caso de que se trate de un operador B2B, deberá indicarse si actúa como coorganizador de juego, es decir, si gestiona plataformas de juego en la que sean miembros o se adhieran otros operadores de juego que pongan en común cantidades jugadas por sus respectivos usuarios.

• La oferta de juego bajo el alcance de la certificación, indicando variantes de juego certificadas. Para cada uno de los juegos y variantes certificadas, se indicará el nombre definido por el fabricante, el nombre comercial y, en su caso, la correspondencia con los juegos y variantes permitidas por la reglamentación básica.

• Tecnologías de acceso al sistema técnico de juego certificadas, como por ejemplo:

• Acceso web.

• Cliente descargable en tecnología Flash.

• Clientes descargables para PC (indicando para qué sistemas operativos).

• Aplicaciones nativas para Smartphone, tabletas u otros dispositivos móviles (indicando para qué sistemas operativos).

• Clientes de móvil de acceso web, por ejemplo, basados en HTML.

Para el caso de las apuestas deportivas de contrapartida y las apuestas cruzadas deberá indicarse si la oferta de juego incluye apuestas en directo.

Cuando el alcance del informe de certificación incluya varias variantes de juego, deberá indicarse a lo largo del informe, para cada prueba, análisis o requisito técnico, si la valoración emitida o cualquier otra información que se incluya hacen referencia a todas las variantes, o en su caso, solo a las que corresponda.

3. Resumen ejecutivo de la certificación de la funcionalidad

3.1 Calificación global de la funcionalidad.

Se incluirá una calificación global del cumplimiento de los requisitos técnicos por el sistema técnico de juego efectivamente utilizado por el operador para la licencia. La calificación podrá ser «Conforme» o «No conforme».

Esta calificación solamente podrá ser «Conforme» cuando la entidad de certificación estime que el sistema técnico de juego efectivamente utilizado por el operador para la licencia es conforme con todos los requisitos que resulten de aplicación.

3.2 Cuadro resumen del cumplimiento de los requisitos técnicos.

Las áreas de requisitos cuyo cumplimiento deben certificarse para cada licencia se describen en el anexo V a la Resolución por la que se aprueba esta disposición.

Para cada requisito se habrá obtenido una calificación que podrá ser «Conforme», «No conforme», o «No aplica».

Los requisitos técnicos han sido agrupados por áreas.

En el resumen ejecutivo se presentará una tabla resumen con el número de requisitos que reciben cada calificación para cada área.

Las calificaciones se detallarán del siguiente modo:

3.3 Cuadro resumen de los análisis específicos.

Para determinadas funcionalidades de especial relevancia, la entidad de certificación deberá realizar varios análisis específicos. En algunos casos será necesario detallar el análisis llevado a cabo en un apartado posterior.

3.3.1 Análisis de las comprobaciones de identidad y prohibiciones.

Este análisis será de aplicación únicamente para licencias generales.

Datos generales

Comprobaciones antes de activar el registro de usuario

Comprobaciones antes del abono de premios

3.3.2 Análisis del generador de números aleatorios.

Este análisis será de aplicación únicamente para licencias singulares donde se utilice un generador de números aleatorios, o GNA.

3.3.3 Análisis del porcentaje de retorno al jugador.

Este análisis será de aplicación únicamente para licencias singulares, en aquellos juegos con porcentaje de retorno.

3.3.4 Análisis de la lógica del juego y los sucesos aleatorios.

Este análisis será de aplicación únicamente para licencias singulares.

3.3.5 Medidas contra el fraude y el blanqueo de capitales.

Este análisis será de aplicación únicamente para licencias generales y deberá describir las medidas implementadas por el operador para el control de los comportamientos fraudulentos o colusorios por parte del jugador.

3.4 Cuadro resumen de las pruebas de integración.

Este cuadro incluirá la calificación de las pruebas de integración practicadas clasificadas por áreas, que como mínimo deberá incluir a las descritas en el anexo VI.

La nomenclatura para las pruebas adicionales a las descritas en el anexo VI comenzará por «X».

Los resultados se detallarán del siguiente modo:

4. Detalle del cumplimiento de los requisitos técnicos

Los requisitos técnicos cuyo cumplimiento debe certificarse para cada licencia se describen en el anexo V a la Resolución por la que se aprueba esta disposición.

Para cada requisito se habrá obtenido una calificación que podrá ser «Conforme», «No conforme», o «No aplica».

En este apartado se detallará el cumplimiento de cada uno de los requisitos técnicos. Los requisitos se han agrupado por áreas.

Adicionalmente será necesario documentar en el espacio de observaciones las siguientes situaciones:

– Cuando el motivo por el que el requisito pudiera calificarse como «No aplica».

– Cuando haya habido incidencias, aunque posteriormente se hayan subsanado.

– Cuando las pruebas se hayan realizado en un entorno distinto al efectivamente empleado por el operador para el desarrollo de la actividad de juego.

Las calificaciones se detallarán del siguiente modo:

La entidad de certificación deberá entregar un anexo en el que para cada requisito técnico se documenten las evidencias de las pruebas realizadas y los resultados obtenidos.

5. Detalle de los análisis específicos

Para determinadas funcionalidades de especial relevancia, la entidad de certificación deberá realizar varios análisis específicos que se describen en este apartado.

5.1 Análisis de las comprobaciones de identidad y prohibiciones subjetivas.

La entidad de certificación analizará las comprobaciones de identidad y de las prohibiciones subjetivas.

El análisis deberá describir como mínimo los siguientes aspectos:

– Datos generales:

○ Si el sistema acepta participantes no residentes.

○ Si el sistema permite jugar sin registro de usuario. La entidad de certificación describirá el juego o juegos en los que puede darse esta circunstancia.

○ La relación de canales que pueden utilizarse para acreditar la identidad: internet, telefónico, SMS, presencial u otros.

– Las comprobaciones realizadas antes de activar el registro de usuario:

○ Si se utiliza el servicio de verificación de la identidad proporcionado por la Dirección General de Ordenación del Juego para residentes.

○ Relación de otros medios de comprobación de la identidad utilizados.

○ La comprobación de la mayoría de edad.

○ La utilización del servicio de verificación de inclusión en el RGIAJ.

○ La realización de la comprobación de vinculados.

– Comprobaciones realizadas antes del abono de premios:

○ La utilización del servicio de variaciones del RGIAJ cada hora y la consiguiente actualización de la lista de prohibidos del operador y los estados de los participantes afectados.

5.2 Análisis del generador de números aleatorios.

Este análisis será de aplicación únicamente para licencias singulares donde se utilice un generador de números aleatorios, o GNA.

La entidad de certificación describirá los análisis, pruebas o tests realizados para justificar el comportamiento aleatorio del GNA y el cumplimiento de los requisitos técnicos. Se incluirán los resúmenes o gráficos justificativos, el número de simulaciones realizadas, los parámetros utilizados, así como el intervalo de confianza.

La entidad de certificación indicará si existen procedimientos de resemillado y si cumplen los requisitos técnicos.

En el caso de que existan parámetros de configuración de los que pudiera depender el funcionamiento del GNA, se describirán y se indicarán los valores de configuración para los que se ha realizado la certificación.

5.3 Análisis del retorno al jugador en los juegos.

La entidad de certificación deberá describir el porcentaje de retorno al jugador publicado por el operador para cada juego. También deberá verificar el sitio de publicación del referido porcentaje.

La entidad de certificación deberá describir todos los parámetros de configuración que puedan afectar al porcentaje de retorno al jugador, así como si el sistema técnico de juego permite registrar la auditoría de los cambios en dichos parámetros.

5.4 Análisis de la lógica del juego y los sucesos aleatorios.

La entidad de certificación, para cada una de las variantes de juego, deberá acreditar que el desarrollo del juego es conforme a las reglas particulares.

La entidad de certificación deberá analizar ciertos aspectos de la lógica del juego, los sucesos aleatorios en el juego, las configuraciones parametrizables, la contabilidad del juego y en general la capacidad de auditoría de cualquier cambio que se introduzca en las apuestas o los ganadores de forma manual.

Este análisis será de aplicación únicamente para licencias singulares.

En el caso de apuestas:

– Sistema de gestión de riesgos.

Para las apuestas de contrapartida, se describirá el sistema de gestión de riesgos, indicándose si para este fin se ha instalado alguna aplicación comercial o un desarrollo a medida.

Deberá indicarse si el sistema usado es parametrizable o no. En caso afirmativo, deberán describirse los parámetros de configuración más importantes así como los valores configurados en el momento de la certificación.

Asimismo, la entidad de certificación incluirá en este informe si la aplicación guarda un registro de los cambios llevados a cabo en el sistema referidos a la gestión de riesgos. En caso de que así sea, se indicará los ficheros o tablas de base de datos donde se almacena esta información.

Adicionalmente, para los operadores que ofrezcan apuestas en directo, deberán describirse las medidas implementadas por el operador para evitar que el jugador pueda realizar apuestas sobre acontecimientos que ya hayan tenido lugar o cuyo resultado sea conocido («late betting»).

– Auditoría de las apuestas.

La entidad de certificación deberá explicar la aplicación de gestión de apuestas, y el registro y traza de las modificaciones que pudieran realizarse desde las aplicaciones de backoffice por el personal del operador, entre las cuáles se analizarán al menos las siguientes:

○ Cambio de los datos de una apuesta.

○ Inserción de nuevas apuestas.

○ Borrado de apuestas.

○ Cambio en el resultado del evento.

○ Cambio en la adjudicación de los premios.

Se describirá la auditoría de los cambios, así como la manera en que se impide la manipulación de la auditoría.

Se deberá describir los ficheros o tablas de base de datos donde se almacena esta información de auditoría.

– Gestión de los fondos.

En las apuestas mutuas se deberá analizar la aplicación que gestiona la contabilidad de los fondos.

La aplicación explicará el registro y auditoría del fondo de juego, del reparto de premios, de los supuestos en que no hubiese acertantes de una categoría, o de cualquier otro movimiento.

En los juegos de casino, póquer, juegos complementarios y máquinas de azar:

– Se describirá cada uno de los sucesos aleatorios implementados en el juego en los que intervenga el generador de números aleatorios. Por ejemplo si existe mezcla inicial de cartas, el sorteo de la carta del mazo si no existe una mezcla inicial, la fabricación de los cartones de bingo, venta de cartones de bingo, el presorteo de las bolas del bingo, el sorteo de una bola de bingo si no es presorteado, el giro de la ruleta, el giro de los rodillos en las máquinas de azar, etcétera.

– Se deberá analizar la gestión contable de las partidas y, de los botes progresivos, en aquellos juegos en los que se permita su utilización. Los importes apostados, los premios obtenidos, las comisiones calculadas o los botes progresivos constituidos o aplicados deberán poder ser auditados.

– Auditoría de las partidas.

La entidad de certificación deberá explicar el registro y traza de las modificaciones que pudieran realizarse desde las aplicaciones de backoffice por el personal del operador.

Se describirá la auditoría de los cambios, así como la manera en que se impide la manipulación de la auditoría.

Se deberá describir los ficheros o tablas de base de datos donde se almacena esta información de auditoría.

– En el caso de que el software utilizado para implementar la lógica de juego sea configurable, la entidad de certificación deberá describir e indicar el valor de los parámetros de configuración que estén relacionados con los siguientes aspectos:

• Modalidades de juego.

• Estrategia de juego de la banca o nivel de riesgo asumido.

• Importes máximos.

• Reglas de juego.

La entidad de certificación deberá acreditar asimismo que existe registro de auditoría de cualquier modificación de estos parámetros.

5.5 Medidas contra el fraude y el blanqueo de capitales.

Este análisis será de aplicación únicamente para licencias generales.

La entidad de certificación describirá y evaluará las medidas implementadas en el sistema técnico de juego contra el fraude y el blanqueo de capitales. Asimismo, se adjuntarán aquellos documentos o evidencias recabadas durante la certificación.

6. Detalle de las pruebas de integración

En este apartado se detallarán las pruebas de integración realizadas, clasificadas por áreas, que como mínimo comprenderán a las que se describen en el anexo VI a la Resolución por la que se aprueba esta disposición.

La nomenclatura para estas pruebas adicionales a las descritas en el anexo VI comenzará por «X».

El resultado de cada prueba recibirá la calificación de «Conforme», «No conforme», o «No aplica», en función del resultado esperado y el cumplimiento de la reglamentación.

Cada prueba se detallará del siguiente modo:

Como resultado obtenido, la entidad de certificación deberá entregar un anexo en el que recogerá y documentará las evidencias del resultado de la realización de las pruebas de integración. Las evidencias que se deben recoger dependen del tipo de prueba a realizar y están descritas en el referido anexo VI a la Resolución por la que se aprueba esta disposición.

7. Descripción del lugar, equipo y fechas de realización de la certificación

En este apartado se describirá el equipo de trabajo que ha realizado la certificación, así como el lugar o lugares y la fecha o fechas en que se ha realizado.

8. Descripción de los entornos utilizados en las pruebas diferentes al efectivamente empleado por el operador para el desarrollo de la actividad de juego

En el caso de que determinadas pruebas del sistema técnico de juego se hayan realizado en un entorno diferente al efectivamente empleado por el operador para el desarrollo y explotación del juego objeto de la licencia, la entidad de certificación deberá describir en este apartado los diferentes entornos empleados.

Para cada uno de estos entornos, se indicará la relación de pruebas para las que se ha utilizado cada entorno.

9. Descripción del soporte digital que acompañará al informe de certificación

Este apartado describirá el contenido del soporte digital que acompañará al informe de certificación.

El informe de certificación se acompañará de un soporte digital, y estará estructurado de la siguiente manera:

– Informe de certificación completo en formato digital.

– Cuestionario descriptivo del objeto de certificación en formato digital.

– Evidencias de la evaluación de los requisitos técnicos. Se agruparán dentro de una carpeta denominada «Requisitos técnicos».

– Evidencias de las pruebas de integración. Se agruparán dentro de una carpeta denominada «Integración».

– Copia de los elementos software del sistema técnico de juego, que contendrá copia de los binarios de los elementos software del sistema técnico de juego certificado. Deberán agruparse en una carpeta que se denominará «Binarios» y se estructurarán en subcarpetas con el nombre de cada uno de los elementos software indicados en el cuestionario.

[Bloque 11: #ai-4]

ANEXO IV

Modelo y contenido del informe de certificación de la seguridad

El informe de certificación de la seguridad se estructura en los apartados y presentará el contenido mínimo que a continuación se relaciona:

1. Identificación de la certificación.

2. Descripción del objeto de certificación.

3. Resumen ejecutivo de la certificación de la seguridad.

4. Detalle del cumplimiento de los requisitos de seguridad.

5. Detalle de los análisis de auditoría específicos.

6. Descripción del lugar, equipo y fechas de realización de la certificación.

7. Descripción del soporte digital que acompañará al informe de certificación.

1. Identificación de la certificación

En la primera página del informe se detallará lo siguiente:

a) Tipo de informe de certificación: Se consignará «informe definitivo de certificación de la seguridad».

b) Código de identificación del informe: El código de identificación del informe será único y permitirá referirse al mismo de manera unívoca y su diferenciación de cualquier otro informe emitido por la entidad de certificación. Cada vez que la entidad de certificación realice cualquier modificación en un informe deberá generar un nuevo código de identificación para el mismo.

c) Datos identificativos de la entidad certificadora.

d) Datos identificativos de quien firma el informe por parte de la entidad certificadora.

e) Fechas de realización de los trabajos de certificación.

f) Fecha de emisión del informe de certificación.

2. Descripción del objeto de certificación

El objeto de certificación de la seguridad será el sistema técnico de juego efectivamente empleado por el operador para el desarrollo y explotación del juego objeto de la correspondiente licencia, en relación con los procedimientos, procesos, planes y medidas de seguridad efectivamente implementados.

A los efectos de describir el alcance del objeto de certificación de la seguridad se enumerarán tanto los centros de procesos de datos donde se albergue el sistema técnico de juego, como el software instalado en ellos, como las organizaciones donde estén implantados los procedimientos, procesos, planes y medidas de seguridad.

Para describir los centros de procesos de datos objeto que han sido objeto de certificación, se incluirá la siguiente relación:

Los campos «calle», «número», «ciudad» y «país», se refieren a la localización física del CPD. El campo «tipo» indica la modalidad de alojamiento del CPD y deberá coincidir con uno de los siguientes valores: «hosting», «housing» o «propio».

El campo de «razón social del proveedor de alojamiento», solo habrá de completarse en el caso de que «tipo» contenga uno de estos valores: «hosting» o «housing».

Para cada uno de los centros de procesos de datos, deberán identificarse los elementos de software empleados en el sistema técnico instalados en ellos, con mención expresa del fabricante, nombre de producto y versión.

Así mismo, deberá indicarse la relación de entidades responsables de la gestión de seguridad, es decir, de aplicar las políticas, procedimientos y medidas de seguridad certificadas en el informe.

3. Resumen ejecutivo de la certificación de la seguridad

3.1 Calificación global de la seguridad.

Se incluirá una calificación global del cumplimiento de los requisitos técnicos en materia de seguridad por el sistema técnico de juego efectivamente utilizado por el operador para la licencia. La calificación podrá ser «Conforme» o «No conforme».

Esta calificación solamente podrá ser «Conforme» cuando la entidad de certificación estime que el sistema técnico de juego efectivamente utilizado por el operador para la licencia es conforme con todos los requisitos que resulten de aplicación.

3.2 Cuadro resumen del cumplimiento de los requisitos de seguridad.

Los requisitos técnicos en materia de seguridad cuyo cumplimiento debe certificarse para cada licencia se describen en el Anexo VII a la Resolución por la que se aprueba esta Disposición.

Para cada requisito se habrá obtenido una calificación que podrá ser «Conforme», «Convalidado», «No conforme», o «No aplica».

Los requisitos técnicos han sido agrupados por áreas.

En el resumen ejecutivo se presentará una tabla resumen con el número de requisitos que reciben cada calificación para cada área.

Las calificaciones se detallarán del siguiente modo:

3.3 Cuadro resumen de los análisis de auditoría específicos.

Para determinadas áreas de seguridad de especial relevancia, la entidad de certificación deberá realizar varios análisis de auditoría específicos que se describen en un apartado posterior.

En este apartado se señalará un resumen ejecutivo de los mismos:

3.3.1 Análisis de auditoría de los componentes críticos.

3.3.2 Análisis de auditoría de la gestión de cambios.

3.3.3 Análisis de auditoría de la gestión de continuidad de negocio y prevención de la pérdida de información.

4. Detalle del cumplimiento de los requisitos de seguridad

Los requisitos técnicos en materia de seguridad cuyo cumplimiento debe certificarse para cada licencia se describen en el Anexo VII a la Resolución por la que se aprueba esta Disposición.

Para cada requisito se habrá obtenido una calificación que podrá ser «Conforme», «No conforme», o «No aplica».

En este apartado se detallará el cumplimiento de cada uno de los requisitos técnicos. Los requisitos se han agrupado por áreas.

Adicionalmente será necesario documentar en el espacio de observaciones las siguientes situaciones:

– El motivo por el que el requisito pudiera calificarse como «No aplica».

– Cuando haya habido incidencias, aunque posteriormente se hayan subsanado.

En el caso de que se haga uso de la posibilidad de convalidación de ciertos requisitos a partir de una certificación ISO 27001, se utilizará la calificación de «Convalidado» y en el campo de observaciones se indicará «ISO 27001».

Las calificaciones se detallarán del siguiente modo:

La entidad de certificación deberá entregar un anexo en el que adjuntará la documentación de seguridad, así como todas aquellas evidencias que permitan constatar el cumplimiento de los requisitos.

En aquellos casos donde exista soporte documental de la política o procedimiento, deberá hacerse constar en el campo de observaciones, la referencia documental así como el epígrafe donde se apoya el cumplimiento.

La entidad de certificación deberá acreditar la efectiva aplicación de los controles de seguridad en el sistema técnico de juego efectivamente empleado. A tal efecto, se describirán las pruebas adicionales a la comprobación documental que se hayan realizado.

5. Detalle de los análisis de auditoría específicos

Para determinadas áreas de seguridad de especial relevancia, la entidad de certificación deberá realizar varios análisis de auditoría específicos que se describen en este apartado.

5.1 Análisis de auditoría de los componentes críticos.

La entidad de certificación emitirá un análisis sobre la correcta identificación por parte del operador de los componentes críticos del sistema técnico de juego.

La entidad de certificación incluirá la relación de componentes críticos del sistema técnico de juego, indicando si la seguridad de los mismos ha sido reforzada. Para cada componente de esta relación deberá indicarse con qué elemento o elementos software del cuestionario presentado por el operador se corresponde.

5.2 Análisis de auditoría de la gestión de cambios.

La entidad de certificación emitirá un análisis sobre la correcta llevanza del procedimiento de gestión de cambios.

La entidad de certificación adjuntará, en caso de haberlas, las evidencias y documentación asociada de las tres últimas gestiones de cambio, respecto al momento de realizarse este análisis, realizadas por el operador.

En caso de disponer de una herramienta software para la gestión de cambios deberá indicarse cuál. Asimismo la entidad de certificación deberá acreditar que cualquier actuación (alta, modificación o baja de cambios) puede ser auditada.

5.3 Análisis de auditoría de la gestión de continuidad de negocio y prevención de la pérdida de información.

La entidad de certificación deberá analizar el tiempo máximo de recuperación ante un desastre, o RTO del inglés «recovery time objective», que indique el operador, y valorar si las medidas técnicas disponibles son suficientes para lograrlo. El análisis deberá describir las medidas técnicas y la utilización de redundancia, planes de copias de seguridad, centros de respaldo u otras medidas.

La entidad de certificación deberá analizar el tiempo máximo de pérdida de información ante un desastre, o RPO del inglés «recovery point objective».que indique el operador, y valorar si las medidas técnicas disponibles son suficientes para lograrlo. El análisis deberá describir las medidas técnicas y la utilización de redundancia, planes de copias de seguridad, centros de respaldo u otras medidas. La entidad de certificación deberá cerciorarse de que las medidas dispuestas protegen todos los datos del operador, tanto los de usuario como los de juego.

Como desastre deberá evaluarse la posibilidad de un incidente que inutilice totalmente una ubicación física ante una contingencia imprevista.

6. Descripción del lugar, equipo y fechas de realización de la certificación

En este apartado se describirá el equipo de trabajo que ha realizado la certificación, así como el lugar o lugares y la fecha o fechas en que se ha realizado.

7. Descripción del soporte digital que acompañará al informe de certificación

Este apartado describirá el contenido del soporte digital que acompañará al informe de certificación.

El informe de certificación se acompañará de un anexo en soporte digital, que estará estructurado de la siguiente manera:

– Informe de certificación completo en formato digital.

– Documentación de seguridad completa utilizada para la evaluación de la seguridad, que se recogerá dentro de una carpeta con la denominación «Documentación».

– Evidencias de la evaluación de los requisitos técnicos en materia de seguridad. Se agruparán dentro de una carpeta denominada «Requisitos técnicos».

Certificación ISO 27001, en el caso de que sean aportadas para su convalidación.

[Bloque 12: #av]

ANEXO V

Relación de requisitos técnicos de funcionalidad

Los diferentes requisitos que deben ser objeto de certificación se establecen en las normas reguladoras del juego: Ley, Reales Decretos, Órdenes Ministeriales y Resoluciones.

Sólo serán objeto de certificación del sistema técnico de juego las obligaciones establecidas en la normativa que estén directamente relacionadas con la evaluación técnica de equipos, software o instrumentos.

En este apartado se pretende mantener una guía que recopila los requisitos técnicos de los diferentes textos normativos que deben tener en consideración para la certificación de la funcionalidad.

Los requisitos se agrupan clasificados por áreas y se incluye la nomenclatura a utilizar en los informes definitivos de certificación de la funcionalidad.

Áreas:

Licencias generales:

– Área: Juego Responsable.

– Área: Contrato. Aceptación, copia y modificaciones.

– Área: Registro de usuario y comprobación de las prohibiciones.

– Área: Cuenta de juego, cobros y pagos.

– Área: Límites a los depósitos.

– Área: Registro y trazabilidad.

– Área: Terminales y sesión.

– Área: Canales de comunicación

– Área: Aplicaciones de juego gratuito.

– Área: Sistema de control interno.

Licencias singulares:

– Área: Porcentaje de retorno y tablas de premios.

– Área: Generador de números aleatorios.

– Área: Lógica del juego.

– Área: Registro y trazabilidad.

– Área: Terminales y sesión.

– Área: Canales de comunicación.

– Área: Aplicaciones de juego gratuito.

– Área: Interfaz gráfica.

– Área: Comportamiento ante errores técnicos.

– Área: Juego automático.

– Área: Repetición de la jugada.

– Área: Juegos «en vivo».

– Área: Funcionalidades varias.

– Área: Botes progresivos.

– Área: Sistema de control interno.

– Área: Desarrollo del juego.

– Área: Límites económicos a la participación.

– Área: Obligaciones de información a los participantes.

– Área: Promoción de los juegos.

[Bloque 13: #av-2]

ANEXO VI

Relación mínima de pruebas de integración

Este Anexo tiene por objeto la descripción de las pruebas que obligatoriamente han de ser realizadas para la certificación de la integración de los sistemas técnicos de juego de los operadores.

Las pruebas de integración deberán realizarse siempre en el entorno efectivamente empleado por el operador para el desarrollo y explotación del juego objeto de la licencia.

En las pruebas de integración que requieran datos personales de residentes en España, las entidades de certificación podrán hacer uso de los juegos de ensayo que facilitará a tal efecto la Dirección General de Ordenación del Juego para el entorno de producción de los servicios web de verificación.

Las pruebas se clasifican en función del tipo de licencia.

Se definen los siguientes tipos de pruebas junto con las evidencias mínimas que deberán recogerse en cada uno de ellos:

a) Funcional.

Las pruebas funcionales consistirán en la evaluación de características externas de una aplicación o sistema, utilizando los mismos medios que están a disposición de un participante o las aplicaciones de gestión que están a disposición del personal del operador.

Como evidencia deberá recogerse como mínimo:

• La conformidad o disconformidad de la prueba.

• Las capturas de pantalla resultado de la interacción entre el participante o personal del operador que realiza la prueba y la plataforma de juego.

b) Trazabilidad.

Las pruebas de trazabilidad consistirán en el análisis y contraste de los registros y trazas que se generan en el sistema cuando se realiza la prueba descrita. Los registros y trazas de este tipo de prueba serán los del sistema de información de la unidad central de juegos, no los del sistema de control interno.

Como evidencia deberá recogerse como mínimo:

• La conformidad o disconformidad de la prueba.

• Las capturas de pantalla que muestren la información del objeto de registro o traza.

• La descripción de la fuente de información (fichero, tabla…) donde se ha obtenido el registro o traza.

c) Datos reales.

El análisis de datos reales consistirá en verificar la correcta contabilidad, formato e integridad de los datos generados por la interacción entre participantes y el sistema técnico de juego.

Estas pruebas de integración con datos reales necesitarán que el sistema técnico de juego disponga al menos de un mes de datos, que no podrán ser completados mediante pruebas o simulaciones.

Como evidencia deberá recogerse como mínimo:

• La conformidad o disconformidad de la prueba.

• La fuente (fichero, tablas, etc.) de la que ha sido obtenida la información.

• Aquellos datos representativos que en cada prueba se requieran.

Las pruebas mínimas de integración en función del tipo de licencia y clasificadas por áreas son las siguientes:

A. Licencias Generales

A.1 Registro de usuario y comprobación de las prohibiciones.

A.2 Cuenta de juego, cobros y pagos.

A.3 Límites a los depósitos.

A.4 Internet. Redirección a dominio «.es».

A.5 Sistema de Control Interno.

Modelo de resumen ejecutivo de las pruebas de integración para licencias generales.

B. Licencias Singulares.

B.1. Oferta de juego.

B.2. Límites a la participación.

B.3. Comportamiento ante errores técnicos.

B.4. Sistema de control interno.

Modelo de resumen ejecutivo de las pruebas predefinidas para licencias singulares

[Bloque 14: #av-3]

ANEXO VII

Relación de requisitos técnicos de seguridad

Este Anexo tiene por objeto establecer la relación de los requisitos que, de conformidad con lo dispuesto en la Resolución de 6 de octubre de 2014, de la Dirección General de Ordenación del Juego, por la que se aprueba la disposición por la que se desarrollan las especificaciones técnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas técnicos de juego de carácter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulación del juego, han de ser cumplidos por los sistemas técnicos de los operadores de juego y que deben ser verificados por las entidades de certificación en sus informes definitivos de certificación.

Las áreas que han de ser verificadas por las entidades de certificación y el orden en que habrán de presentarse en el informe correspondiente es el que sigue:

a) Política de Seguridad.

De conformidad con el apartado 4.4 del Anexo I de la Resolución de 6 de octubre de 2014, de la Dirección General de Ordenación del Juego, por la que se aprueba la disposición por la que se desarrollan las especificaciones técnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas técnicos de juego de carácter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulación del juego, la entidad de certificación deberá verificar que:

1. El operador dispone de procedimientos de seguridad.

2. Los procedimientos de seguridad han sido comunicados a la totalidad de sus empleados y, en su caso, a las entidades colaboradoras.

Aquellas organizaciones que hayan obtenido la certificación ISO 27001 vigente, podrán dar conformidad a los requisitos 1 y 2. En el apartado de observaciones se indicará «ISO 27001».

b) Análisis y Gestión de Riesgos.

De conformidad con los apartados 4.1, 4.2 y 4.3 de Resolución de 6 de octubre de 2014, de la Dirección General de Ordenación del Juego, por la que se aprueba la disposición por la que se desarrollan las especificaciones técnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas técnicos de juego de carácter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulación del juego, la entidad de certificación deberá verificar que:

1. El operador dispone de un plan de análisis y gestión de riesgos.

2. Se realiza una revisión periódica del análisis de riesgos.

3. La organización tiene identificados los componentes críticos del Sistema Técnico de Juego.

4. En la relación de componentes críticos están incluidos:

a) El registro de usuario.

b) La cuenta de juego.

c) El procesamiento de los medios de pago.

d) En el generador de números aleatorios: los componentes del sistema técnico de juego que transmiten o procesan números aleatorios que serán objeto del resultado de los juegos y la integración de los resultados del generador de números aleatorios en la lógica del juego.

e) Aquellos componentes que almacenan, manipulan o transmiten información sensible de los clientes, como datos personales, de autenticación, etc.

f) Aquellos componentes que almacenan el estado puntual de los juegos. g) Las conexiones con la Dirección General de Ordenación del Juego.

h) El sistema de control interno: el capturador y el almacén.

i) Los puntos de acceso y las comunicaciones de y hacia los componentes críticos anteriores.

j) Las redes de comunicación que transmiten información sensible de participantes.

5. El operador tiene reforzada la seguridad de todos los componentes críticos.

En relación con los requisitos 4 y 5, la entidad de certificación en el campo de observaciones anotará las referencias documentales así como los epígrafes dentro de éstas en los que se constate el cumplimiento de dichos requisitos.

c) Organización de la Seguridad de la Información.

De conformidad con el apartado 4.5 del Anexo I de la Resolución de 6 de octubre de 2014, de la Dirección General de Ordenación del Juego, por la que se aprueba la disposición por la que se desarrollan las especificaciones técnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas técnicos de juego de carácter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulación del juego, la entidad de certificación deberá verificar que la organización ha definido un marco de gestión para la seguridad de la información, indicando las funciones y responsabilidad de su personal.

Aquellas organizaciones que hayan obtenido la certificación ISO 27001 vigente, podrán dar conformidad a los requisitos de esté área. En el apartado de observaciones se indicará «ISO 27001».

d) Seguridad en la comunicación con los participantes.

De conformidad con los apartados 2.1.12 y 4.6 del Anexo I de la Resolución de 6 de octubre de 2014, de la Dirección General de Ordenación del Juego, por la que se aprueba la disposición por la que se desarrollan las especificaciones técnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas técnicos de juego de carácter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulación del juego, la entidad de certificación deberá verificar que:

1. El operador ha adoptado mecanismos de autenticación que permiten al sistema de juego identificar al participante, y que, a su vez, permiten al participante identificar al sistema de juego.

2. Las comunicaciones son cifradas en los casos de transmisión de datos personales (registro de usuario) o económicos (cuenta de juego).

3. En relación con las comunicaciones, el operador ha adoptado las medidas que resultan necesarias para garantizar la integridad y el no repudio en los casos de transmisión de datos personales o económicos, y en las transacciones de participación en el juego.

4. Se establece, por defecto o por el participante, una contraseña inicial de usuario.

5. Durante el proceso de definición de la contraseña de usuario, el participante es informado sobre buenas prácticas en la elección de contraseñas seguras

6. La longitud mínima de la contraseña es de 8 caracteres o dígitos, e incluye al menos elementos de tres de los siguientes grupos: números, letras minúsculas, letras mayúsculas y otros símbolos.

7. La contraseña no puede contener ninguno de los siguientes datos: el nombre del usuario, el seudónimo, el nombre o apellidos o la fecha de nacimiento del participante.

8. Se ofrece al usuario un recordatorio de cambio de contraseña con una frecuencia mínima anual, aunque no es obligatorio que el usuario realice el cambio.

9. El mecanismo de identificación mediante usuario y contraseña se bloquea si se producen en un mismo día más de 5 intentos de acceso erróneos. El operador puede establecer un límite inferior a este requisito.

10. El sistema del operador está diseñado para requerir la autenticación del participante ante cada inicio de sesión de usuario, y en el caso de uso de contraseñas, la introducción de la contraseña. El sistema no utiliza cookies u otros mecanismos para evitar la autenticación del usuario o la introducción de la contraseña.

11. El operador dispone de un procedimiento para detectar las cuentas inactivas durante un tiempo razonablemente prolongado y requiere un nivel de autenticación superior al normal o verificaciones adicionales a través del servicio de atención al cliente, antes de permitir reanudar la actividad de juego, especialmente las retiradas de fondos.

12. El operador dispone de un procedimiento para detectar dentro de lo razonable accesos no autorizados a la cuenta de los participantes, intentos de suplantación de identidad o acceso a sus datos personales.

13. El operador dispondrá de un procedimiento para detectar cambios bruscos en el comportamiento de un participante, y en particular del importe de los depósitos o retiradas, e iniciará alguna acción para prevenir que la cuenta de juego pueda estar siendo accedida por un tercero.

En relación con los requisitos anteriores, la entidad de certificación, en el campo de observaciones anotará las referencias documentales así como los epígrafes dentro de estas en las que se constata el cumplimiento de dichos requisitos.

e) Seguridad de recursos humanos y terceros.

De conformidad con el apartado 4.7 del Anexo I de la Resolución de 6 de octubre de 2014, de la Dirección General de Ordenación del Juego, por la que se aprueba la disposición por la que se desarrollan las especificaciones técnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas técnicos de juego de carácter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulación del juego, la entidad de certificación deberá verificar que:

1. El operador dispone de un plan de Seguridad del Personal.

2. El plan incluye acciones formativas para todos los empleados de la organización, prestando especial atención a los permisos de acceso a información y componentes críticos.

3. En los casos en los que el operador necesite servicios de terceros que impliquen acceso, procesamiento, comunicación o tratamiento de la información, o bien el acceso a instalaciones, productos o servicios relacionados con el juego, éstos terceros deben cumplir la totalidad de los requisitos de seguridad exigibles al resto del personal.

Aquellas organizaciones que hayan obtenido la certificación ISO 27001 vigente, podrán dar conformidad a los requisitos de esté área. En el apartado de observaciones se indicará «ISO 27001».

f) Seguridad física y medioambiental.

De conformidad con el apartado 4.8 del Anexo I de la Resolución de 6 de octubre de 2014, de la Dirección General de Ordenación del Juego, por la que se aprueba la disposición por la que se desarrollan las especificaciones técnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas técnicos de juego de carácter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulación del juego, la entidad de certificación deberá verificar que:

1. Existe un plan de seguridad física de los componentes del sistema técnico de juego.

2. La seguridad perimetral para las áreas que contienen componentes críticos e información sensible está definida.

3. Existe un Control de acceso físico a las instalaciones en las cuales se encuentren los equipos, tanto para empleados como para personal externo, y que este control incluye elementos físicos, procedimientos de autorización, registros de acceso y servicios de vigilancia.

4. Está contemplada la protección frente a riesgos ambientales: agua, fuego, provocados por personas, etc.

5. Los equipos críticos están protegidos frente a cortes del suministro eléctrico y otras interrupciones causadas por fallos en instalaciones de soporte y que el cableado de suministro eléctrico está protegido de daños.

6. Están definidos los mecanismos de control de acceso al cableado de comunicaciones si transporta información crítica sin cifrar.

7. Se proporciona y está previsto el adecuado mantenimiento de las instalaciones y equipos.

8. Los dispositivos que contienen información son borrados de manera segura o destruidos antes de ser reutilizados o retirados.

9. Los equipos que contienen información no pueden ser trasladados fuera de las instalaciones seguras sin la correspondiente autorización.

En relación con los requisitos 2, 3, 4, 5, 7, 8, 9 anteriores, la entidad de certificación, en el campo de observaciones anotará las referencias documentales así como los epígrafes dentro de estas en las que se constata el cumplimiento de dichos requisitos.

Aquellas organizaciones que hayan obtenido la certificación ISO 27001 vigente, podrán dar conformidad a los requisitos de esté área. En el apartado de observaciones se indicará «ISO 27001».

g) Gestión de Comunicaciones y Operaciones.

De conformidad con el apartado 4.9 del Anexo I de la Resolución de 6 de octubre de 2014, de la Dirección General de Ordenación del Juego, por la que se aprueba la disposición por la que se desarrollan las especificaciones técnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas técnicos de juego de carácter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulación del juego, la entidad de certificación deberá verificar que:

1. Los componentes críticos son monitorizados para evitar que puedan utilizarse versiones diferentes de la homologada.

2. La comunicación entre los componentes de los sistemas técnicos de juego garantizan la integridad y la confidencialidad.

3. Las tareas se segregan entre las diferentes áreas de responsabilidad, para minimizar la posibilidad de acceso no autorizado y potenciales daños.

4. Se han separado las tareas de desarrollo, pruebas y producción.

5. Los servicios proporcionados por terceras partes incluyen controles y métricas de seguridad en los contratos y son periódicamente auditados y monitorizados.

6. Se han adoptado medidas de protección contra código malicioso.

7. Se hacen regularmente copias de seguridad con la frecuencia adecuada y se conservan custodiadas según quede recogido en el plan de copias de seguridad.

8. Se han adoptado medidas de seguridad en la red de comunicaciones.

9. Se han adoptado medidas de seguridad en la manipulación de soportes portátiles así como de borrado seguro o de destrucción de los mismos y que se plasma en un procedimiento documentado.

10. Los relojes de todos los componentes, especialmente de los críticos, están sincronizados con una fuente de tiempo fiable y el operador ha establecido medidas y controles para evitar la manipulación de las marcas de tiempo o su alteración posterior, especialmente en los registros de auditoría.

11. Se genera y guarda registro de auditoría de actividad de todos los usuarios, excepciones y eventos de seguridad de la información durante un periodo mínimo de 2 años.

12. Los registros de auditoría están protegidos frente a la alteración y el acceso indebido.

13. Las actividades del Administrador del Sistema y del operador del Sistema están siendo registradas.

14. Se realiza un análisis periódico de los registros de auditoría y se toman acciones en función de las incidencias detectadas.

En relación con los requisitos 2, 4, 5, 6, 7, 8, 9,10, 11, 12, 13 y 14 anteriores, la entidad de certificación en el campo de observaciones anotará las referencias documentales así como los epígrafes dentro de éstas en las que se constata el cumplimiento de dichos requisitos.

Aquellas organizaciones que hayan obtenido la certificación ISO 27001 vigente, podrán dar conformidad a los requisitos de esté área. En el apartado de observaciones se indicará «ISO 27001».

h) Control de Acceso.

De conformidad con el apartado 4.10 de la Resolución de 6 de octubre de 2014, de la Dirección General de Ordenación del Juego, por la que se aprueba la disposición por la que se desarrollan las especificaciones técnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas técnicos de juego de carácter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulación del juego, la entidad de certificación deberá verificar que:

1. La política de acceso a información está documentada.

2. Se asegura el acceso autorizado y se impide el no autorizado mediante controles en el alta de usuarios, gestión de privilegios de acceso, revisión periódica de los privilegios de acceso y política de gestión de las contraseñas.

3. Los usuarios siguen buenas prácticas en el uso de contraseñas y protegen adecuadamente la documentación y soportes en su puesto de trabajo.

4. Los usuarios únicamente tienen acceso a los servicios que han sido autorizados a usar.

5. No existen usuarios genéricos y todos los usuarios acceden con su usuario propio único.

6. El sistema autentica todos los accesos, ya sea personal propio, de mantenimiento u otros, ya sea de otros sistemas y componentes. También será autenticado el personal de inspección de la Dirección General de Ordenación del Juego u otro personal que actúe en su nombre.

7. Las redes están segregadas en función del área y responsabilidad de la tarea o función.

8. El acceso a los sistemas operativos requiere un mecanismo de autenticación seguro.

9. Se restringe y se controla el uso de programas que permiten evitar los controles de acceso y de seguridad.

10. Las sesiones tienen un tiempo máximo de duración de la conexión y un tiempo de desconexión por inactividad.

11. El personal de soporte informático tiene restringido el acceso a los datos reales de las aplicaciones. Los datos reales sensibles están ubicados en entornos aislados.

12. Se gestionan los riesgos asociados a dispositivos móviles.

13. Si existe teletrabajo, se comprueba que el riesgo asociado está gestionado en el marco del plan de seguridad.

En relación con los requisitos 1, 2, 3, 4, 6, 7, 8, 9, 10, 11, 12 anteriores, la entidad de certificación en el campo de observaciones anotará las referencias documentales así como los epígrafes dentro de éstas en las que se constata el cumplimiento de dichos requisitos.

Aquellas organizaciones que hayan obtenido la certificación ISO 27001 vigente, podrán dar conformidad a los requisitos de esté área. En el apartado de observaciones se indicará «ISO 27001».

i) Compra, desarrollo y mantenimiento de los sistemas.

De conformidad con el apartado 4.11 del Anexo I de la Resolución de 6 de octubre de 2014, de la Dirección General de Ordenación del Juego, por la que se aprueba la disposición por la que se desarrollan las especificaciones técnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas técnicos de juego de carácter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulación del juego, la entidad de certificación deberá verificar que existe un plan de seguridad en la toma de decisiones de compra, desarrollo y mantenimiento de los sistemas de información.

Aquellas organizaciones que hayan obtenido la certificación ISO 27001 vigente, podrán dar conformidad a los requisitos de esté área. En el apartado de observaciones se indicarán que «ISO 27001».

j) Gestión de incidentes de seguridad.

De conformidad con el apartado 4.12 del Anexo I de la Resolución de 6 de octubre de 2014, de la Dirección General de Ordenación del Juego, por la que se aprueba la disposición por la que se desarrollan las especificaciones técnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas técnicos de juego de carácter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulación del juego, la entidad de certificación deberá verificar que:

1. Existe un procedimiento documentado de gestión de incidentes de seguridad.

2. Existe un registro de incidentes de seguridad (con hechos, impactos y medidas adoptadas).

Aquellas organizaciones que hayan obtenido la certificación ISO 27001 vigente, podrán dar conformidad a los requisitos de esté área. En el apartado de observaciones se indicará «ISO 27001».

k) Gestión de cambios.

De conformidad con el apartado 4.13 del Anexo I de la Resolución de 6 de octubre de 2014, de la Dirección General de Ordenación del Juego, por la que se aprueba la disposición por la que se desarrollan las especificaciones técnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas técnicos de juego de carácter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulación del juego, y a lo establecido en el artículo décimo de esta Disposición, la entidad de certificación deberá verificar que:

1. Existe un procedimiento de gestión de cambios en equipos y componentes del sistema técnico de juego en el entorno de producción.

2. Existe un proceso de aprobación interna de cambios (petición de cambio, aprobación de los responsables).

3. Se conserva un registro de cambios (peticiones, decisiones adoptadas) y podrán ser objeto de posterior auditoría.

4. En el caso de cambios en componentes críticos, deberá evaluarse si se trata de un cambio sustancial.

5. Se conservarán copias de los binarios de los elementos de software de todas las versiones software que se hayan utilizado en el sistema técnico efectivamente empleado.

La Dirección General de Ordenación del Juego podrá establecer la obligación de que el procedimiento de conservación de las copias de los binarios incluya una huella digital de los mismos.

En relación con los requisitos 1, 2, 3, 4 y 5 anteriores, la entidad de certificación en el campo de observaciones anotará las referencias documentales así como los epígrafes dentro de éstas en las que se constata el cumplimiento de dichos requisitos.

l) Plan de prevención de pérdida de información.

De conformidad con el apartado 4.15 del Anexo I de la Resolución de 6 de octubre de 2014, de la Dirección General de Ordenación del Juego, por la que se aprueba la disposición por la que se desarrollan las especificaciones técnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas técnicos de juego de carácter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulación del juego, la entidad de certificación deberá verificar que:

1. Existe un plan de prevención de pérdida de datos o transacciones que afecten al desarrollo de los juegos, a los derechos de los participantes o al interés público.

2. Existe un plan de medidas para cumplir con el plan de prevención de pérdida de información y que incluirá los siguientes aspectos:

a) Ubicación donde se conservarán las copias de la información.

b) Medidas de seguridad de protección de la copia frente accesos no autorizados.

3. Existe un procedimiento de actuación en caso de pérdida de información que incluirá los siguientes aspectos:

a) Mecanismos de atención de reclamaciones.

b) Mecanismos de continuación de juegos interrumpidos.

En relación con los requisitos 1, 2 y 3 anteriores, la entidad de certificación en el campo de observaciones anotará las referencias documentales así como los epígrafes dentro de éstas en las que se constata el cumplimiento de dichos requisitos.

m) Gestión de continuidad de negocio.

De conformidad con los apartados 4.14 y 4.16 del Anexo I de la Resolución de 6 de octubre de 2014, de la Dirección General de Ordenación del Juego, por la que se aprueba la disposición por la que se desarrollan las especificaciones técnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas técnicos de juego de carácter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulación del juego, la entidad de certificación deberá verificar que:

1. Existe una gestión de continuidad del negocio ante desastres que incluirá los siguientes aspectos:

a) Medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad del servicio.

b) Replica de la Unidad Central de Juegos que permita el normal desarrollo de la actividad.

2. El plan de continuidad considera los siguientes escenarios:

a) Registro de usuario y cuenta de juego, con posibilidad de consultar el saldo y los movimientos de sus cuentas de juego asociadas. El tiempo máximo para prestar de nuevo estos servicios será de una semana.

b) Retirada de fondos. El tiempo máximo para prestar de nuevo estos servicios será de una semana.

c) Continuación de juegos incompletos o apuestas pendientes y pago de los premios válidamente conseguidos. El tiempo máximo para prestar de nuevo estos servicios será de un mes.

d) Restablecimiento completo de todos los servicios.

3. En todos los escenarios se incluyen la siguiente información:

a) Servicios recuperados.

b) Tiempo máximo de recuperación.

En relación con los requisitos 1, 2 y 3 anteriores, la entidad de certificación en el campo de observaciones anotará las referencias documentales así como los epígrafes dentro de éstas en las que se constata el cumplimiento de dichos requisitos.

Aquellas organizaciones que hayan obtenido la certificación ISO 27001 vigente, podrán dar conformidad a los requisitos de esté área. En el apartado de observaciones se indicarán que «ISO 27001».

n) Penetración y análisis de vulnerabilidades.

De conformidad con el apartado 4.17 del Anexo I de la Resolución de 6 de octubre de 2014, de la Dirección General de Ordenación del Juego, por la que se aprueba la disposición por la que se desarrollan las especificaciones técnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas técnicos de juego de carácter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulación del juego, la entidad de certificación deberá verificar que:

1. En el último año el sistema técnico de juego ha pasado un test de penetración y un análisis de vulnerabilidades.

2. Existe un plan de análisis, al menos anual, de vulnerabilidades.

En relación con el requisito 1 anterior, la entidad de certificación en el campo de observaciones anotará las referencias documentales así como los epígrafes dentro de éstas en las que se constata el cumplimiento de dichos requisitos.