Άρθρο 26 – Ασφάλεια Συστημάτων και Υποσυστημάτων διεξαγωγής παιγνίων μέσω διαδικτύου

Οι απαιτήσεις ασφάλειας που θέτει η Ε.Ε.Ε.Π. αναφορικά με το σύνολο των συστημάτων / υποσυστημάτων και του λογισμικού που χρησιμοποιείται για τη διεξαγωγή των παιγνίων μέσω διαδικτύου, είναι αυτές που περιγράφονται στο διεθνές πρότυπο πιστοποίησης ISO/EIC 27001, τουλάχιστον στην έκδοση 2013.

Με τη χρήση του ως άνω προτύπου, η Ε.Ε.Ε.Π. στοχεύει στην ελαχιστοποίηση της έκθεσης των Παικτών, σε κινδύνους ασφαλείας, από τα συστήματα / υποσυστήματα και το λογισμικό διεξαγωγής των παιγνίων μέσω διαδικτύου. Τα συστήματα / υποσυστήματα τα οποία ο Κάτοχος της Άδειας οφείλει να πιστοποιήσει κατά ISO/EIC 27001 είναι τα κάτωθι:

  • Το Κεντρικό Πληροφοριακό Σύστημα (ΚΠΣ).
  • Το Ενδιάμεσο Σύστημα Ελέγχου.
  • H Πύλη Ελέγχου σε πραγματικό χρόνο (Gateway).

Στο πλαίσιο αυτό, ο Κάτοχος της Άδειας οφείλει:

  • Με τη λήψη της Άδειας, να καταθέσει στην Αρχή τεχνική έκθεση, στην οποία να αναφέρει όλα τα πιστοποιητικά ασφάλειας που διαθέτουν τα παραπάνω συστήματα / υποσυστήματα, καθώς επίσης και ειδική αναφορά στα μέτρα ασφαλείας ΙΤ, που ισχύουν για αυτά. Ο Κάτοχος της Άδειας διεξαγωγής τυχερών παιγνίων μέσω διαδικτύου, θα πρέπει να υποβάλει τα παραπάνω συστήματα / υποσυστήματα σε έλεγχο ασφαλείας, σύμφωνα με το Παράρτημα Α του προτύπου πιστοποίησης ISO / EIC 27001:2013, από ανεξάρτητους και κατάλληλους ελεγκτικούς φορείς/εταιρείες. Στην παραγόμενη Τεχνική Έκθεση Ασφάλειας Συστημάτων και Υποσυστημάτων διεξαγωγής παιγνίων μέσω διαδικτύου, θα πρέπει να στοιχειοθετείται η επάρκεια, και η διαφάνεια του ελέγχου, καθώς και να αναφέρονται με σαφή τρόπο η μεθοδολογία του ελέγχου, τα αποτελέσματα και η τεκμηρίωση αυτών, καθώς και οι ενέργειες του Παρόχου για τυχόν ευρήματα. Η δομή της έκθεσης αυτής περιγράφεται στην παράγραφο Δομή Τεχνικής Έκθεσης Ασφάλειας Συστημάτων και Υποσυστημάτων που ακολουθεί. Η έκθεση θα πρέπει να συνοδεύεται από έγγραφη βεβαίωση του αναδόχου που θα αναλάβει την ανάπτυξη και την εφαρμογή του συστήματος διαχείρισης ασφάλειας πληροφοριών κατά ISO/IEC 27001, ότι ο Κάτοχος της Άδειας έχει ξεκινήσει τις απαραίτητες διαδικασίες που απαιτούνται για να λάβει την πιστοποίηση ISO/IEC 27001.
  • Το αργότερο 12 μήνες μετά την ημερομηνία λήψης της Άδειας, ο Κάτοχος της Άδειας πρέπει να καταθέσει το πιστοποιητικό ISO 27001 στην Αρχή.
  • Μετά τη λήξη του πιστοποιητικού, ο Κάτοχος της Άδειας οφείλει να προβεί άμεσα σε ενέργειες για την ανανέωσή του και να καταθέσει το νέο πιστοποιητικό στην Αρχή.

26.1 Προδιαγραφές ασφάλειας και λειτουργίας των data centers φιλοξενίας συστημάτων/υποσυστημάτων

Όλα τα συστήματα και υποσυστήματα, τα οποία απαρτίζουν τη γενική αρχιτεκτονική του συστήματος (Κεντρική πλατφόρμα παρόχου, Safe και λοιπά υποσυστήματα του ενδιάμεσου συστήματος ελέγχου, πύλη gateway, εναλλακτικός χώρος αποθήκευσης), πρέπει να φιλοξενούνται σε υποδομές data centers, οι οποίες διαθέτουν ισχυρά χαρακτηριστικά λειτουργίας, ως προς τη διαθεσιμότητα παροχής υπηρεσιών, την ασφάλεια και ανοχή έναντι καταστροφικών ενεργειών και την επιχειρησιακή συνέχεια.

Τα data centers πρέπει διαθέτουν τα χαρακτηριστικά λειτουργίας, που τα κατατάσσουν, τουλάχιστον στο επίπεδο Tier 3, με βάση την κατηγοριοποίηση σύμφωνα με το πρότυπο ΤΙΑ 942, ή ισοδύναμου.

26.2 Δομή Τεχνικής Έκθεσης Ασφάλειας Συστημάτων και Υποσυστημάτων

Η Τεχνική Έκθεση Ασφάλειας Συστημάτων και Υποσυστημάτων διεξαγωγής παιγνίων μέσω διαδικτύου πρέπει να περιλαμβάνει τα κάτωθι:

  • Τα στοιχεία του ελεγχόμενου Παρόχου.
  • Τα στοιχεία του ελεγκτικού φορέα/εταιρείας και την εμπειρία του, σε αντίστοιχους ελέγχους.
  • Την ημερομηνία (ες) που διενεργήθηκε ο έλεγχος.
  • Το εταιρικό προφίλ του ελεγχόμενου Παρόχου, το επιχειρηματικό του μοντέλο και τις δραστηριότητες τυχερών παιχνιδιών αυτού.
  • Στοιχεία λοιπών εταιρειών που τυχόν συμμετέχουν, άμεσα ή έμμεσα, με συστήματα και λογισμικό, στη διεξαγωγή των τυχερών παιγνίων από τον Πάροχο.
  • Τοποθεσίες του Παρόχου, που επισκέφθηκε ο ελεγκτικός φορέας/εταιρεία για την διενέργεια του ελέγχου.
  • Το πρότυπο βάσει του οποίου διενεργήθηκε ο έλεγχος, δηλ. το ISO / IEC 27001: 2013.
  • Την επιτελική σύνοψη του ελέγχου, η οποία περιλαμβάνει μια συνοπτική παρουσίαση του ελεγκτικού έργου, των αποτελεσμάτων αυτού, καθώς και τη γνώμη του ελεγκτικού φορέα/εταιρείας αναφορικά με το επίπεδο ασφαλείας των συστημάτων και του λογισμικού του Παρόχου, ανά τομέα ελέγχου (σύμφωνα με το πρότυπο ISO / IEC 27001: 2013).
  • Το εύρος του ελεγκτικού έργου (περιοχές ελέγχου: εφαρμογές/συστήματα τυχερών παιχνιδιών, δίκτυα, βάσεις δεδομένων, λειτουργικά συστήματα, διεπαφές), καθώς και λεπτομερή καταγραφή των συστημάτων και του λογισμικού που ελέγχθηκαν.
  • Τη μεθοδολογία και τις διαδικασίες που ακολουθήθηκαν για τη διενέργεια του ελέγχου (πχ. Ερωτηματολόγια, αναφορές, παρατήρηση παραμέτρων και αποτελεσμάτων), ανά περιοχή ελέγχου και ελεγχόμενο σύστημα/λογισμικό.
  • Τα πρόσωπα τα οποία συμμετείχαν στον έλεγχο και την ιδιότητα/ρόλο αυτών στην εταιρεία που ελέγχεται, ανά περιοχή ελέγχου και ελεγχόμενο σύστημα/λογισμικό.
  • Τις πολιτικές και τις διαδικασίες που ελέγχθηκαν, όπως για παράδειγμα:
    • Πολιτική ασφάλειας πληροφοριακών συστημάτων.
    • Πολιτική πρόσβασης χρηστών.
    • Πολιτική ανάπτυξης και δοκιμών εφαρμογών.
    • Συμφωνίες σε επίπεδο παροχής υπηρεσιών (SLA).
    • Πολιτική χρήσης υπηρεσιών δικτύου.
    • Πολιτική ανίχνευσης, πρόληψης και αποκατάστασης, για την προστασία από τον κακόβουλο κώδικα.
    • Πολιτική δημιουργίας αντιγράφων ασφαλείας δεδομένων.
    • Πολιτική ασφαλούς καταστροφής δεδομένων.
    • Πολιτική αποθήκευσης πληροφοριών (για την προστασία των πληροφοριών από μη εξουσιοδοτημένη ή/και κακόβουλη χρήση).
    • Πολιτική διαχείρισης αλλαγών.
    • Πολιτική παρακολούθησης χρήσης των εγκαταστάσεων επεξεργασίας πληροφοριών.
    • Πολιτική χρήσης κρυπτογραφικών ελέγχων.
    • Διάγραμμα δικτύου.
  • Τα αποτελέσματα του ελέγχου, ανά περιοχή ελέγχου και ελεγχόμενο σύστημα/λογισμικό, κατηγοριοποιημένα ως εξής:
    • Πλήρης Συμμόρφωση
    • Συμμόρφωση με Παρατηρήσεις (υπάρχει περιθώριο βελτίωσης των διαδικασιών/μέτρων ασφαλείας).
    • Μη Συμμόρφωση – Μικρού Κινδύνου (πρέπει να δρομολογηθούν ενέργειες, με καθορισμένο χρονικό ορίζοντα, για την μείωση του Κινδύνου, χωρίς την παύση των λειτουργιών του Παρόχου).
    • Μη Συμμόρφωση- Μεγάλου Κινδύνου (πρέπει να δρομολογηθούν ενέργειες, με καθορισμένο χρονικό ορίζοντα, για την μείωση του Κινδύνου, με παράλληλη παύση των λειτουργιών του Παρόχου).
  • Τα αποδεικτικά στοιχεία που προέκυψαν κατά τη διάρκεια του ελέγχου για τη τεκμηρίωση των αποτελεσμάτων του ελέγχου (πχ. έγγραφα και αναφορές που εξετάστηκαν, οι παρεμβάσεις που διενεργήθηκαν, τα δείγματα που εξετάστηκαν για την επαλήθευση της συμμόρφωσης, κ.λπ.).
  • Τις ενέργειες/σχέδιο διαχείρισης του Παρόχου για την επίλυση ζητημάτων που εντοπίστηκαν κατά τον έλεγχο.
  • Άλλους συναφείς, με τον έλεγχο, παράγοντες (πχ. λοιπές πιστοποιήσεις).
  • 1 Φεβρουαρίου 2019, 12:25 | ΟΠΑΠ Α.Ε.

    Άρθρο 26 Ασφάλεια Υποδομών IT
    Απόψεις / Παρατηρήσεις – Προτάσεις:

    Αναφορικά με τη σχετική απαίτηση κατάθεσης του πιστοποιητικού ISO 27001 στην Αρχή εντός 12 μηνών από την ημερομηνία έκδοσης της Άδειας θα πρέπει να τονίσουμε ότι η πρόβλεψη περί ολοκλήρωσης του εν λόγω έργου σε προθεσμία 12 μηνών θα εμποδίσει την ομαλή λειτουργία των Παρόχων, δεδομένου ότι η λήψη των σχετικών πιστοποιητικών είναι χρονοβόρα και πολύπλοκη. Ως εκ τούτου, προτείνουμε την όπως η προρρηθείσα προθεσμία οριστεί σε 24 μήνες.