Αρχική ΤΕΧΝΙΚΕΣ ΠΡΟΔΙΑΓΡΑΦΕΣ ΔΙΟΡΓΑΝΩΣΗΣ ΚΑΙ ΔΙΕΞΑΓΩΓΗΣ ΤΥΧΕΡΩΝ ΠΑΙΓΝΙΩΝ ΜΕΣΩ ΤΟΥ ΔΙΑΔΙΚΤΥΟΥΆρθρο 25 Απαιτήσεις του ενδιάμεσου συστήματος ελέγχου για το διαδικτυακό παιγνιο – Γενική ΑρχιτεκτονικήΣχόλιο του χρήστη ΟΠΑΠ Α.Ε. | 1 Φεβρουαρίου 2019, 12:32
|
Ανοικτή Διακυβέρνηση Δικτυακός Τόπος Διαβουλεύσεων Άλλων Φορέων OpenGov.gr Ανοικτή Διακυβέρνηση |
Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Πολιτική Ασφαλείας και Πολιτική Cookies Όροι Χρήσης Πλαίσιο Διαλόγου |
Creative Commons License Με Χρήση του ΕΛ/ΛΑΚ λογισμικού Wordpress. |
Άρθρο 25 Γενική Αρχιτεκτονική Απόψεις / Παρατηρήσεις - Προτάσεις: 1. Δεν αναφέρονται οι στόχοι (goals and objectives) της ύπαρξης του Ενδιάμεσου Συστήματος Ελέγχου (ΕΣΕ). Προβλέπεται η δημιουργία ενός συστήματος χωρίς να είναι γνωστοί οι όροι και ο τρόπος χρήσης του από την Αρχή. Ως εκ τούτου η χρήση του ΕΣΕ κρίνεται απολύτως ασαφής. Το ίδιο ισχύει και για κάθε άλλο είδος πρόσβασης. 2. Η Αρχή θα πρέπει να προσδιορίσει το είδος των δεδομένων που θα πρέπει να παρέχονται, καθώς αυτό θα καθορίσει το κόστος και την πολυπλοκότητα υλοποίησης του ΕΣΕ στο σύνολό του. Χωρίς τον εν λόγω προσδιορισμό, δεν είναι ευχερής η αξιολόγηση της εμπορικής βιωσιμότητας της απόκτησης και λειτουργίας Άδειας Διεξαγωγής Τυχερών Παιγνίων μέσω Διαδικτύου, αφής στιγμής δεν δύναται να αποσαφηνιστεί το ύψους του κόστος που θα πρέπει να δαπανηθεί προκειμένου τα συστήματα των παρόχων να τελούν σε πλήρη συμμόρφωση με το ρυθμιστικό πλαίσιο. Προτείνεται όπως στην εν λόγω ρύθμιση συμπεριληφθούν και τα δεδομένα των συναλλαγών του Παίκτη, δηλαδή δεδομένα που αφορούν στην εγγραφή του, τα στοιχήματά του, τις καταθέσεις και τις αποσύρσεις κεφαλαίων από τον Ηλεκτρονικό Λογαριασμό του. Η συμπερίληψη περαιτέρω δεδομένων όπως π.χ. αυτά που αφορούν στα στοιχηματικά γεγονότα (δηλ. αλλαγές σε τιμές αποδόσεων κλπ.), λαμβάνοντας υπόψη και την απαίτηση διατήρησης του συνόλου των δεδομένων για 10 χρόνια, θα καταστήσει το κόστος επένδυσης και υλοποίησης του ΕΣΕ ιδιαίτερα υψηλό, ενδεχομένως και απαγορευτικό. 3. Η ύπαρξη και υλοποίηση της πύλης ελέγχου σε πραγματικό χρόνο (Gateway) μπορεί να επιφέρει σημαντικότατες αλλαγές στην υπάρχουσα αρχιτεκτονική των Παρόχων και δεν θα πρέπει να θεωρείται αυτονόητη. Επίσης, αφής στιγμής δεν προβλέπεται η ακριβής λειτουργία που θα επιτελεί η εν λόγω πύλη ελέγχου, εγείρονται ζητήματα που άπτονται της δυνατότητας υλοποίησής της. i. Πέραν της τεχνικής δυνατότητας υλοποίησης της πύλης ελέγχου σε πραγματικό χρόνο με την τρέχουσα τεχνολογία, η ύπαρξη ενός μοναδικού σημείου μέσω του οποίου θα κατευθύνεται όλη η διαδικτυακή κίνηση των παικτών, ενδέχεται να επηρεάσει τόσο την προσφορά υπηρεσιών προς τους παίκτες, όσο και το ιδιωτικό τους απόρρητο. ii. Η Αρχή ενδεχομένως να μπορεί να χρησιμοποιήσει στοιχεία επιπέδου δικτύου (network elements) με τα οποία θα μπορεί με τεχνικές δικτύου (π.χ. port mirroring) να παρακολουθήσει και να καταγράψει με δικά της μέσα τη διαδικτυακή (TCP/IP traffic) κίνηση προς τα κεντρικά συστήματα του Παρόχου. Κρίνεται σκόπιμο όπως η παρακολούθηση της διαδικτυακής κίνησης γίνεται από την Αρχή με δικά της μέσα αφής στιγμής δεν δύναται να αποτελέσει μέρος της τεχνικής υλοποίησης ενός Παρόχου. iii. Επίσης, θα πρέπει να είναι σαφές το πλαίσιο ενημέρωσης του τελικού πελάτη (καταναλωτή) για την παρακολούθηση της κίνησής του από τρίτους. Π.χ. θα πρέπει να τελεί πάντοτε σε γνώση του πελάτη (καταναλωτή) αν η Αρχή καταγράφει τις συναλλαγές του Θα υπάρχουν εξαιρέσεις, ήτοι περιπτώσεις που δεν θα χρειάζεται να ενημερώνεται ο πελάτης (καταναλωτής); 4. Η Αρχή θα πρέπει να γνωστοποιήσει τις διαδικασίες με τις οποίες αποκτά τα δεδομένα από το Safe και να διασφαλίσει με κάθε δυνατό τρόπο τα δεδομένα του εκάστοτε Παρόχου. Π.χ. πώς διασφαλίζονται τα από-κρυπτογραφημένα δεδομένα κατά την επεξεργασία τους από τυχόν διαρροή προς τρίτους Παρόχους. 5. Για να είναι εφικτή η πιστοποίηση των υλοποιήσεων των Παρόχων, θα πρέπει η Αρχή να δημιουργήσει και να παρέχει στους ενδιαφερόμενους πρόσβαση σε μια πρότυπη υλοποίηση του ΕΣΕ που η ίδια προτείνει (Reference implementation). 6. Αναφορικά με την παράγραφο 25.2.1 όπου αναφέρεται ότι «Τα μοντέλα δεδομένων περιγράφονται από αντίστοιχα σχήματα XML (XML schemas). Πριν τα δεδομένα αποθηκευτούν και σφραγιστούν στη διάταξη ασφαλούς αποθήκευσης (“Safe”), πιστοποιούνται ως προς τη συμβατότητά τους με το μοντέλο δεδομένων, που ορίζει η Αρχή (validate XML against XSD). Τα αρχεία XSD θα είναι διαθέσιμα στους ενδιαφερόμενους μέσω του διαδικτυακού τόπου της Αρχής (https://www.gamingcommission.gov.gr).»: i. Η Αρχή θα πρέπει εγκαίρως να δημοσιεύσει και τα αντίστοιχα σχήματα (XML Schema), έτσι ώστε οι Πάροχοι να διασφαλίσουν ότι μπορούν ή όχι να παρέχουν την αντίστοιχη πληροφορία, καθώς και να αξιολογήσουν την εμπορική βιωσιμότητα της απόκτησης και λειτουργίας Άδειας Διεξαγωγής Τυχερών Παιγνίων μέσω Διαδικτύου όπως αναφέρεται στο σχόλιο υπό 2 ανωτέρω. ii. Σε περιπτώσεις όπου ο Πάροχος διαπιστώνει και αποδεικνύει αδυναμία παροχής της πληροφορίας λόγω έλλειψής της από το επιχειρησιακό του μοντέλο, η Αρχή θα πρέπει να έχει σαφείς εναλλακτικές επιλογές για τον Πάροχο. iii. Η Αρχή θα πρέπει να μπορεί να δεσμευτεί για την σταθερότητα του σχήματος (XML Schema) στο οποίο απαιτεί οι Πάροχοι να είναι συμβατοί. iv. Κάθε αλλαγή στο σχήμα των δεδομένων θα πρέπει να μπορεί να προγραμματίζεται από κοινού με τους Παρόχους και εφόσον τα αντίστοιχα κόστη υλοποίησης δεν ξεπερνούν συγκεκριμένα κατώφλια που θα πρέπει να οριστούν. 7. Αναφορικά με την παράγραφο 25.4.2 είναι σημαντικό να διευκρινιστεί ο λόγος για τον οποίο η Αρχή προτείνει η διάταξη ασφαλούς αποθήκευσης (Safe) να υλοποιηθεί και να φιλοξενείται από τον εκάστοτε Πάροχο. Προτείνεται η εξής αλλαγή: i. οι Πάροχοι να «κλειδώνουν» τα δεδομένα με το ιδιωτικό τους κλειδί, ii. τα δεδομένα να μεταφέρονται στο Safe το οποίο θα βρίσκεται υπό την πλήρη ευθύνη και έλεγχο της Αρχής. iii. Με αυτόν τον τρόπο διευκολύνονται οι Πάροχοι στην υλοποίηση και η Αρχή έχει άμεση πρόσβαση στα δεδομένα, διασφαλίζοντας έτσι και την εγκυρότητα του Safe. 8. Αναφορικά με την παράγραφο 25.4.11 όπου απαιτείται η αποστολή συμπληρωματικών δεδομένων, σημειώνουμε ότι οποιαδήποτε μοντέλο δεδομένων ζητηθεί που δεν συμπεριλαμβάνεται στη λίστα με τα διαθέσιμα μοντέλα, δημιουργεί σημαντικές εργασίες και κόστη από την πλευρά του Παρόχου. Η απαίτηση θα πρέπει να καταργηθεί και να δημιουργηθεί μια διαδικασία, η οποία θα ενσωματώνει τυχόν νέες απαιτήσεις της Αρχής όπως αναφέρουμε σε σχόλιό μας που αναρτήθηκε στο άρθρο 25.2.1. 9. Στο άρθρο 25.6.3 και όπου απαιτούνται συμπληρωματικοί τρόποι πρόσβασης σημειώνουμε ότι η Αρχή, στο πλαίσιο της πιθανής απομεμακρυσμένης πρόσβασης στις κεντρικές πλατφόρμες των παρόχων, θα πρέπει να μεριμνά για τη μη διατάραξη της ασφαλούς και καλής λειτουργίας των κεντρικών συστημάτων του Παρόχου. Η αλληλεπίδραση, έστω και στη μορφή της ανάγνωσης θα πρέπει να διασφαλίζει την ομαλή εμπορική λειτουργία του Παρόχου. Η όλη διαδικασία θα πρέπει να σχεδιάζεται και να συμφωνείται από κοινού με τον κάθε Πάροχο και την Αρχή ξεχωριστά. 10. Στο άρθρο 25.4.8 απαιτείται ο εναλλακτικός χώρος αποθήκευσης να βρίσκεται σε απόσταση τουλάχιστον 30 χιλιομέτρων από την κύρια διάταξη ασφαλούς αποθήκευσης. Σύμφωνα με τα σχόλιά μας που έχον αναρτηθεί στα άρθρα 30 & 31 του υπό διαβούλευση σχεδίου Κανονισμού η εν λόγω απόσταση δεν θα πρέπει να καθορίζεται με σταθερή τιμή αλλά σύμφωνα με τις βέλτιστες διεθνείς πρακτικές. Προτείνουμε η εν λόγω απόσταση να καθορίζεται μετά από αξιολόγηση που θα βασίζεται στους γεωγραφικούς κινδύνους της φυσικής έδρας εγκατάστασης της κύριας διάταξης ασφαλούς αποθήκευσης.