ESTÁNDAR MUNDIAL WLA-SCS: DE LOTERÍAS 2006

Transcripción

1 ESTÁNDAR MUNDIAL WLA-SCS: DE LOTERÍAS 2006 Asociación Mundial de Loterías (AML/WLA) Estándar de de la Seguridad La referencia para la seguridad y la gestión de riesgo del sector de las loterías a nivel mundial. Actualizado por el Comité de Seguridad y Gestión de Riesgo de la AML (WLA Security and Risk Management Committee -SRMC) 16 de Noviembre de 2006 El Estándar de de la Seguridad es propiedad de la Asociación Mundial de Loterías. WLA Asociación Mundial de Loterías / World Lotery Association Lange Gasse 20 CH-4002 Basel, Suiza Número de referencia: WLA-SCS:2006 Versión en español cortesía de LAE (La versión en inglés da fe)

2 Tabla De Contenido Prefacio Introducción Propósito Cumplimiento legal Descarga de responsabilidad Compatibilidad con otros Sistemas de Gestión Cómo utilizar este estándar El Marco de WLA SCS y la Certificación AML Componentes del Marco Requisitos de Certificación Introducción Parte A. Requisitos Generales de Seguridad Parte B. Requisitos Específicos de Seguridad de Loterías (Apéndice 2)...8 Apéndice 1 Requisitos Generales de Seguridad: es Básicos AML...9 G1 Organización de la Seguridad...9 G1.1 Asignación de responsabilidades de seguridad...9 G2 Seguridad proveniente de las Personas...9 G2.1 Implantación de un Código de Conducta...9 G2.2 Concienciación, formación y capacitación en Seguridad de la Información...10 G3 Seguridad Física y del Entorno...10 G3.1 Áreas seguras...10 G4 Gestión de las Actividades...11 G4.1 Protecciones contra vulnerabilidades de seguridad...11 G5 de Acceso...11 G5.1 Gestión de acceso de usuarios remotos...11 G6 Mantenimiento de los Sistemas de Información...11 G6.1 es criptográficos...11 G6.2 Pruebas de sistemas...12 G7 Gestión de la Continuidad del Negocio...12 G7.1 Conducción de las relaciones con los medios (de comunicación pública) y disponibilidad...12 Apéndice 2. Requisitos Específicos de Seguridad de Loterías...13 L1 Tiques de lotería instantánea...13 L1.1 Diseño de juegos instantáneos...13 L1.2 Impresión de lotería instantánea...13 L1.3 Envíos de tiques de lotería instantánea...14 L1.4 Almacenamiento y distribución de tiques de lotería instantánea...15 L1.5 Seguridad en los puntos de venta (minoristas) lotería instantánea...15 L1.6 Cierre (terminación) de juegos instantáneos...16 L2 Sorteos de Lotería...16 L2.1 Gestión de los sorteos de lotería...16 L2.2 Celebración del sorteo...17 L2.3 Equipamiento de sorteo y conjuntos de bolas...18 L3 Seguridad en los puntos de venta...19 L3.1 Contratación (selección) y puesta en marcha...19 L3.2 Actividades del punto de venta...19 L3.3 Seguridad de los terminales de juego...19 L4 Custodia del dinero de premios...19 L4.1 Validación de premios y pago de premios...19 L4.2 Dinero de premios no solicitados...20 L5 Personal de Ventas y Servicios al Cliente...21 L5.1 Personal trabajando fuera de los centros de trabajo de la organización...21 L5.2 Áreas de servicio al cliente...21 Versión en español cortesía de Loterías y Apuestas del Estado LAE - España 2

3 L6 Sistemas de Juego por Internet...21 L6.1 Venta de juegos a través de Internet...21 Versión en español cortesía de Loterías y Apuestas del Estado LAE - España 3

4 Prefacio La AML (WLA) desde sus primeros pasos percibió la necesidad de estándares de seguridad adecuados y desarrolló más ampliamente el trabajo iniciado por las organizaciones que la precedieron. El primer Comité de Seguridad y Gestión de Riesgo se creo en 1989 y en la actualidad se le denomina Comité de Seguridad y Gestión de Riesgo de la AML (WLA SRMC 1 ). Representantes y especialistas de seguridad de organizaciones de lotería de todo el mundo son miembros de este Comité y participan de manera activa en el desarrollo de estos estándares. Una de sus más importantes áreas de responsabilidad es el Estándar de de la Seguridad de la AML (WLA-SCS 2 ), el estándar del sector de las loterías único con reconocimiento internacional. El Comité revisa estándares de seguridad para su empleo en el sector de la lotería y actúa como un foco en el sector sobre aspectos de seguridad. Su misión incluye emitir recomendaciones a los miembros sobre problemas y soluciones, celebrar con regularidad seminarios para los Miembros de la AML y supervisar el proceso de Certificación respecto a los estándares de seguridad. Todo estándar nuevo o actualizado debe ser aprobado y emitido por el Comité Ejecutivo de la AML para entrar formalmente en vigor (ser aplicable). Cualquier comentario o sugerencia relativa al WLA-SCS y la Certificación debe dirigirse a la atención del WLA SRMC. 1 N.del E.E.: Comité de Seguridad y Gestión de Riesgo, en su acrónimo en inglés, SRMC: Security & Risk Management Committee" 2 N.del E.E.: Estándar de de la Seguridad, en su acrónimo en inglés, SCS: Security Standard Versión en español cortesía de Loterías y Apuestas del Estado LAE - España 4

5 0. Introducción 0.1 Propósito La Seguridad es un elemento clave para operar con éxito una lotería. Un factor crítico de la actividad 1 es la confianza en aquellos que la gestionan de forma directa, confianza tanto del jugador como de los principales grupos de interés 2. Es imprescindible, por tanto, que se desarrolle y mantenga un entorno seguro evidente y documentado- a fin de obtener y mantener la confianza del público en la actividad. El Estándar de de la Seguridad de la AML se ha diseñado para que resulte de ayuda, al sector de la lotería de todo el mundo, para alcanzar un nivel de controles alineado con prácticas generalmente aceptadas de cara a posibilitar una mayor confianza en la integridad de la actividad de la lotería. El Estándar demanda la existencia de un proceso de gestión de la seguridad conforme con Estándares Internacionales y un punto base común de seguridad para aspectos específicos de las loterías que representa buena praxis. Se puede considerar como un primer paso en la construcción de la necesaria relación de confianza con otras loterías, grupos de interés y reguladores al efecto de realizar actividades de lotería o juegos multi-jurisdiccionales. La experiencia ha probado que el Estándar de de la Seguridad de la AML es una ayuda importante facilitando a los Gestores una apreciación independiente que contribuya a elevar la confianza sobre la seguridad de la organización. Aquellos Miembros de la AML que consideren operar juegos de forma conjunta con otros Miembros pueden solicitar a la AML confirmación sobre el estado de Certificación 3 de los mismos, Certificación de que cumplen con el Estándar de de la Seguridad de la AML. Es posible que deban acordar entre ellos requisitos de seguridad y procedimientos adicionales que sean específicos del juego. El Comité Ejecutivo de la AML ha autorizado a entidades certificadoras externas concretas para realizar evaluaciones de Miembros de la AML y Miembros Asociados 4 de la AML para que sus actividades sean certificadas respecto a este Estándar. Obtener la Certificación requiere cumplir con los requisitos del Estándar en el momento de la evaluación. La WLA permite a los Miembros certificados confirmar su cumplimiento con el Estándar durante los tres años siguientes a la certificación (inicial) siempre que al menos cada 12 meses se realice una revisión de cumplimiento de seguimiento por una de las entidades certificadoras designadas. 0.2 Cumplimiento legal En caso de existir contradicciones entre leyes o regulaciones que resulten aplicables y el contenido de este Estándar, siempre tendrán precedencia las leyes y regulaciones aplicables. 0.3 Descarga de responsabilidad La Certificación WLA-SCS no garantiza que un Miembro de la AML o un Miembro Asociado de la AML no vaya a sufrir incidente alguno de seguridad, sino que tiene como objetivo disminuir la posibilidad de tal evento. Por lo tanto, la AML o el organismo certificador quedan libres de responsabilidad 5 alguna. 0.4 Compatibilidad con otros Sistemas de Gestión. El Estándar de de la Seguridad de la AML se basa en el estándar ISO a fin de permitir la implementación y operación consistente con otros estándares de gestión (por ejemplo, ISO 9001). 1 N.del E.E.: operations en la versión en inglés; connota todas las actividades relacionadas con la actividades de juego de la lotería. Véase alcance. 2 N.del E.E.: Stakeholders en la versión en inglés 3 N.del E.E.: Certificación: verificación independiente por auditor acreditado del cumplimiento con el Estándar 4 Los miembros asociados a la AML pueden ser Certificados WLA-SCS mediante una evaluación formal respecto de la parte A del Estándar WLA-SCS 5 N.del E.E.: Commercial liability en la versión inglesa 6 En la versión formalmente publicada efectiva en el momento de publicación de la versión del Estándar WLA-SCS Versión en español cortesía de Loterías y Apuestas del Estado LAE - España 5

6 0.5 Cómo utilizar este estándar El Estándar de de la Seguridad de la AML marca los requisitos para organizaciones que persiguen la Certificación y está dirigido a personas con conocimientos en Seguridad. No tiene como objetivo servir para la formación del lector en seguridad en las loterías; debe usarse para determinar qué medidas de seguridad necesitan ser implementadas para cumplir con el Estándar. Si necesita obtener más información contacte por favor con el WLA SRMC o una de las entidades certificadoras aprobadas. Este Estándar comprende dos partes. La Parte A incluye los requisitos relativos al Estándar Internacional de Sistemas de Gestión de la Seguridad de la Información ISO 27001, el requisito de Alcance y los es Básicos de la AML. La Parte B cubre los requisitos específicos de loterías. La AML no tiene voluntad de mermar la autonomía que dispongan las organizaciones en el sector de la lotería. Como tal, si bien el entorno de controles especificado debe existir para alcanzarse la Certificación, las tecnologías, metodologías o procesos concretos que se sigan para alcanzar el cumplimiento se deja a la elección de cada una de las organizaciones. Versión en español cortesía de Loterías y Apuestas del Estado LAE - España 6

7 1. El Marco de WLA SCS y la Certificación AML 1.1 Componentes del Marco Estándar de de la Seguridad de la AML Introducción Parte A Requisitos Generales de Seguridad Parte B Requisitos Específicos de Seguridad de Loterías Requisitos ISO/IEC 27001, Requisito de Alcance, es Básicos de la AML 1.2 Requisitos de Certificación Introducción Los Miembros de la AML que deseen conseguir la Certificación WLA deben 1 satisfacer los requisitos de las Partes A y B que se presentan a continuación. Los Miembros Asociados de la AML deben satisfacer los requisitos de la Parte A que se presenta a continuación. Para obtener la Certificación WLA, todas las organizaciones deben solicitar la certificación a una de las entidades certificadoras aprobadas por la AML Parte A. Requisitos Generales de Seguridad ISO/IEC Requisitos sobre SGSI 2 Obtener el documento del estándar ISO/IEC (ISO 27001) de una entidad de estandarización 3 y asegurar el cumplimiento de la organización con el mismo. El estándar ISO requiere que se establezca, implemente, opere, monitorice y mejore de forma continua un Sistema de Gestión de la Seguridad de la Información (SGSI). Los principales pasos para conseguir implementar un SGSI incluyen definir el alcance, desarrollar una política, ejecutar un análisis de riesgo, seleccionar los controles y generar el documento Declaración de Aplicabilidad 4. Todas las partes del SGSI deben estar documentadas y el SGSI debe estar formalmente aprobado, y ser revisado de forma periódica por la Alta Dirección. 1 N.del E.E.: a lo largo del estándar, debe implica obligación de cumplimiento; shall en la versión en inglés 2 N.del E.E.: SGSI: Sistema de Gestión de Seguridad de la Información; su acrónimo en inglés es ISMS 3 ISO/IEC (basada en la anterior BS7799-2:2002) es un estándar para certificación globalmente aceptado para la Gestión de la Seguridad de la Información. El Estándar está alineado con un Código de Buenas Prácticas para la Gestión de la Seguridad de la Información (también disponible vía ISO). Se recomienda encarecidamente guiarse por este Código de Práctica. La AML puede ayudar a los Miembros a obtener esos documentos. 4 La Declaración de Aplicabilidad, es una exposición documentada donde se describen los objetivos de control y controles que son importantes y aplicables al SGSI de la organización. Statement of Applicability (SOA) en la versión en inglés. Versión en español cortesía de Loterías y Apuestas del Estado LAE - España 7

8 El sistema de gestión se basa en el modelo cíclico PHVA 1 que se aplica para estructurar todos los procesos del SGSI y asegurar una mejora continua sobre la base de objetivos que pueden medirse. Planificar Establecer el SGSI Hacer Implantar y operar el SGSI Verificar Monitorizar y revisar el SGSI Actuar Mantener y mejorar el SGSI ISO asegura que un enfoque basado en el riesgo obligatorio este establecido y que aspira a alcanzar una seguridad de la información efectiva a través de un proceso de mejora continua. Todos los detalles se encuentran en el documento ISO Requisito de Alcance Se requiere que la organización incluya en el Alcance de la Certificación todas las actividades que realice relacionadas con la lotería, incluyendo todos los sistemas 2 comprendidos dentro del Alcance de la Certificación. Cualquier exclusión en el Alcance o en los controles debe ser justificada en detalle y cuestionada por la entidad certificadora. es Básicos de la AML (Apéndice 1) Además de los objetivos de control y controles requeridos por la ISO en su Anexo A, la AML ha definido controles adicionales que deben estar implementados para conseguir la Certificación WLA. Estos controles se listan en el Apéndice 1 y deben reflejarse en el Documento de Aplicabilidad. Tanto la lista de los controles de la ISO como las que define la AML no son exhaustivas, y la organización bien puede decidir que son necesarios controles adicionales Parte B. Requisitos Específicos de Seguridad de Loterías (Apéndice 2) Los es Específicos de Seguridad de Loterías de la AML se listan en el Apéndice 2. Esta parte cubre los aspectos de seguridad específicos de las loterías. Para obtener la Certificación WLA, todos estos controles deben ser aplicados salvo que sean totalmente no aplicables (por ejemplo, si un Miembro de la AML no ofrece sorteos, los controles que se identifican para sorteos no necesitan desplegarse) y debe quedar reflejado en la Declaración de Aplicabilidad. 1 N.del E.E.: PHVA: Planificar-Hacer-Verificar-Actuar; PDCA ( Plan-Do-Check-Act ) en la versión en inglés 2 N.del E.E.: Sistemas informáticos y otros (equipamiento, de gestión, etc.) Versión en español cortesía de Loterías y Apuestas del Estado LAE - España 8

9 Apéndice 1 Requisitos Generales de Seguridad: es Básicos AML El listado siguiente contiene los controles requeridos que deben estar implementados en las organizaciones para optar y llegar a obtener la Certificación WLA. Estos controles son adicionales a los definidos en el Anexo A de la ISO y deben ser parte del SGSI de la organización. G1 Organización de la Seguridad G1.1 Asignación de responsabilidades de seguridad Objetivo.- Asegurar que las responsabilidades de la función seguridad están realmente implantadas. G1.1.1 G1.1.2 G1.1.3 G1.1.4 G1.1.5 Foro/Comité de Seguridad Función de Seguridad Dependencia de la Función de Seguridad Rango de la Función de Seguridad Debe estar formalmente establecido un Foro de Seguridad, o cualquier otra estructura organizativa formada por Gestores Senior, que supervise y revise el SGSI, manteniendo actas de las reuniones y reuniéndose al menos cada seis meses. Debe existir la Función de Seguridad, responsable de proponer e implementar las estrategias de seguridad y los planes de actuación. Debe estar implicada en todos los procesos de la organización en relación con aspectos de la seguridad, y los evalúa, incluyendo, sin que quede limitado a este listado, la protección de la información, comunicaciones, infraestructura física y los procesos de juego. La Función de Seguridad debe depender de un nivel que no sea inferior a la Dirección Ejecutiva y no estará ubicado dentro de la Función IT o dependiendo de ella. La Función debe estar suficientemente facultada y autorizada y debe tener acceso a todos los recursos corporativos necesarios para permitir una adecuada evaluación, gestión y reducción del riesgo. Responsabilidad de la Función de Seguridad G2 Seguridad proveniente de las Personas G2.1 Implantación de un Código de Conducta El jefe de la Función de Seguridad deber ser un miembro permanente del Foro de Seguridad y debe ser responsable de recomendar políticas de seguridad y cambios. Objetivo.- Asegurar que está realmente implantado un adecuado Código de Conducta. G2.1.1 Código de Conducta Se debe entregar a todo el personal que se incorpore una copia del Código de Conducta. Todo el personal debe declarar aceptación formalmente mediante acuse de recibo de este Código. Versión en español cortesía de Loterías y Apuestas del Estado LAE - España 9

10 G2.1.2 G2.1.3 G2.1.4 Observancia y acción disciplinaria Conflictos de Interés Política sobre agasajos y obsequios El Código de Conducta debe incluir declaraciones respecto a la observancia de todas las políticas y procedimientos y sobre que infringirlas, o cualquier otro desacato al Código, podría conllevar a la puesta en marcha de actuaciones disciplinarias. El Código de Conducta debe incluir declaraciones sobre la obligación de los empleados de notificar los conflictos de interés en su trabajo en el mismo momento en que se produzcan. En el Código se deben citar ejemplos precisos de Conflictos de Intereses. El Código de Conducta debe incluir una política respecto a agasajos y obsequios facilitados por personas o entidades con las cuales la organización mantiene transacciones comerciales (negocios). G2.2 Concienciación, formación y capacitación 1 en Seguridad de la Información Objetivo.- Asegurar que todos los empleados son conscientes de los aspectos de seguridad de la información tal como los implementa la organización, tan pronto como sea posible. G2.2.1 Capacitación concienciante Todos los empleados nuevos contratados, y según sea relevante, el personal nuevo de contratistas y nuevos usuarios de terceros, deben recibir un programa apropiado de capacitación que conciencie, dentro de las dos semanas siguientes a su incorporación y, posteriormente, de forma regular. Tal capacitación debe estar documentada y con el acuse de recibo del personal. G3 Seguridad Física y del Entorno 2 G3.1 Áreas seguras Objetivo.- Asegurar que las áreas desde las que se tiene acceso a los centros de proceso de datos de los juegos en producción o a otros sistemas de hecho importantes para las actividades de juego, están adecuadamente protegidas. G3.1.1 es de acceso físico El acceso físico a los centros de proceso de datos de los juegos en producción, salas de ordenadores, centros de operación/control de red y cualquier otra área identificada como crítica, debe estar controlada mediante mecanismos de autenticación de dos factores 3. Son aceptables mecanismos electrónicos de control de acceso basados en un sólo factor 4 si el área está permanentemente ocupada por personal. 1 N.del E.E.: Awareness, education and training en la version en inglés 2 N.del E.E.: Entorno: fenómenos de la naturaleza (terremotos, inundaciones, etc.), condiciones medioambientales (temperatura, humedad, etc.) e insumos (electricidad, comunicaciones, etc.). 3 N.del E.E.: two factor authentication en la versión inglesa 4 N.del E.E.: single factor authentication en la versión inglesa Versión en español cortesía de Loterías y Apuestas del Estado LAE - España 10

11 G4 Gestión de las Actividades G4.1 Protecciones contra vulnerabilidades de seguridad Objetivo.- Asegurar que los sistemas críticos para las actividades de juego o las de soporte de los mismos, están adecuadamente protegidos contra vulnerabilidades de seguridad. G4.1.1 frente a vulnerabilidades de seguridad en sistemas críticos para las actividades de juego La Función IT debe asegurar que existan procedimientos documentados para la gestión de parches de seguridad para vulnerabilidades de los sistemas importantes para las actividades de juego y de que se realizan de forma periódica revisiones sobre el nivel de actualización de parches para todas las aplicaciones instaladas. G5 de Acceso G5.1 Gestión de acceso de usuarios remotos Objetivo.- Asegurar el acceso de usuarios remotos autorizados a los sistemas de información de juegos y prevenir accesos no autorizados. G5.1.1 G5.1.2 G5.1.3 Acceso de usuarios remotos a los sistemas del juego Funcionalidades para usuarios de acceso remoto Solo en caso de emergencia se debe poder acceder de forma remota desde fuera de las instalaciones controladas por la organización a los sistemas informáticos de juego; no se considera acceso remoto a los accesos de los participantes a los juegos ofrecidos por la organización. El conjunto de funcionalidades disponibles para estos usuarios debe definirse de forma conjunta por los Propietarios del Proceso, la Función IT y la Función de Seguridad. G5.1.4 Registro 1 de acceso de usuarios remotos Notificación de acceso de usuarios remotos Todas las acciones ejecutadas a través de acceso remoto deben registrarse y esos registros (logs) deben revisarse de forma regular. Cada acceso de usuario remoto debe notificarse y registrarse un informe de incidente de seguridad con la Función de Seguridad G6 Mantenimiento de los Sistemas de Información G6.1 es criptográficos Objetivo.- Proteger la confidencialidad, autenticidad e integridad de la información crítica relacionada con los juegos y la lotería, mediante el empleo de medios criptográficos. G6.1.1 es criptográficos para datos en equipos portátiles Se deben cifrar los datos de la organización clasificados como no públicos depositados en dispositivos portátiles (ordenadores portátiles, dispositivos USB, etc.) 1 N.del E.E.: Logged en la versión en inglés Versión en español cortesía de Loterías y Apuestas del Estado LAE - España 11

12 G6.1.2 G6.1.3 G6.1.4 G6.1.5 es criptográficos para redes es criptográficos para almacenamiento es criptográficos para números de validación es criptográficos para transferencias Debe cifrarse la información sensible, incluyendo la validación o cualquier otra información crítica de juego, correo electrónico, etc., que viaja en redes para las que el análisis de riesgos indica que proveen un inadecuado nivel de protección. La información contenida en los resguardos ganadores e información de validación debe cifrarse para su almacenamiento. Deben cifrarse los datos de validación de productos de lotería instantánea 1. Deben cifrarse las transacciones financieras entre la organización y las instituciones bancarias. G6.2 Pruebas de sistemas 2 Objetivo.- Mantener la seguridad de los datos (confidencialidad e integridad). G6.2.1 Política de metodología de pruebas y datos La política de metodología de pruebas debe incluir disposiciones dirigidas a impedir el uso de datos (reales) creados en un sistema en producción correspondientes a sorteos aún activos, y debe incluir disposiciones dirigidas a impedir el uso de datos personales de participantes. G7 Gestión de la Continuidad del Negocio G7.1 Conducción de las relaciones con los medios (de comunicación pública) y disponibilidad Objetivo.- Asegurar la protección de la imagen y reputación de la organización y contrarrestar interrupciones a la actividad del negocio. G7.1.1 G7.1.2 Conducción de las relaciones con los medios (de prensa) y dirección del personal El plan de continuidad de negocio debe incluir planes para conducir las relaciones con los medios de comunicación y para dirigir al personal durante situaciones de crisis. Aprobación de los Socios o el Consejo de Administración La organización debe asegurar que el Consejo de Administración o los Socios de la organización están conformes con los requisitos de disponibilidad marcados. 1 N.del E.E.: Instant ticket en la versión inglesa. 2 N.del E.E.: Debe entenderse que se refiere a sistemas informáticos Versión en español cortesía de Loterías y Apuestas del Estado LAE - España 12

13 Apéndice 2. Requisitos Específicos de Seguridad de Loterías El siguiente listado contiene los controles requeridos que deben estar implementados en las organizaciones de lotería para poder recibir la Certificación WLA. Son adicionales a los controles definidos en el Anexo A de la norma ISO y en la Parte A anterior y deben ser parte del SGSI de la organización. L1 Tiques de lotería instantánea L1.1 Diseño de juegos instantáneos Objetivo.- Asegurar que los diseños del juego cumplen los requisitos legales y regulatorios y que son autorizados al nivel adecuado antes de ser puestos en producción. L L L Procedimientos documentados de tiques de lotería instantánea Aprobación del diseño del juego Deben desarrollarse y estar documentados procedimientos formales que cubran el diseño, desarrollo, producción y emisión. El diseño final del juego debe ser formalmente aprobado mediante un proceso que involucre a la función de Seguridad. L L L Selección de suministrador Requisitos de seguridad de calidad Los impresores/suministradores de tiques de lotería instantánea deben estar sujetos a un proceso de selección y aprobación. La aprobación debe involucrar a la función de Seguridad. Los requisitos de seguridad concretos relativos al juego y al tique físico deben estar documentados y ser parte del contrato con el impresor/suministrador. Los requisitos de control de calidad para la impresión de tiques instantáneos deben estar documentados y ser parte del contrato con el impresor/suministrador. Políticas de auditoria y pruebas en laboratorio L1.2 Impresión de lotería instantánea Debe estar establecida una política que describa las auditorias necesarias sobre el diseño del juego, impresión de tiques y, al menos una vez al año, comprobaciones en laboratorio. Objetivo.- Asegurar que los tiques de lotería instantánea cumplen con los estándares de seguridad de la organización relativos a producción e impresión. L Requisitos de impresión de tiques instantáneos La organización debe facilitar al impresor/suministrador una especificación detallada del juego y requisitos detallados de seguridad. Versión en español cortesía de Loterías y Apuestas del Estado LAE - España 13

14 L L L L L Aseguramiento de la calidad de impresión Números de validación cifrados Archivos de validación y ganadores cifrados Verificación de tiques Los requisitos de seguridad deben requerir la existencia de una función interna de aseguramiento de calidad del impresor/suministrador. El empleo de cifrado para los números de validación debe estar en los requisitos de seguridad. El empleo de cifrado en el almacenamiento de los archivos de validación y de información de ganadores debe ser parte de los requisitos de seguridad. Se deben realizar comprobaciones de muestras aleatorias de paquetes de tiques para asegurar que los juegos cumplen con los márgenes de tolerancia dispuestos en la especificación de la organización. Datos de pruebas de aceptación Que se provean los datos de inventario y validación a la función de seguridad o calidad para pruebas de aceptación en cada primera impresión y antes del lanzamiento debe estar en los requisitos de seguridad L1.3 Envíos de tiques de lotería instantánea Objetivo.- Asegurar el transporte seguro de tiques de lotería instantánea desde el impresor/suministrador a la organización. L L L Manifiesto de transporte Modo de transporte Contenedores de transporte precintados Los requisitos de transporte deben especificar que se debe enviar un manifiesto de transporte completo a la organización antes del despacho de cada envío. La organización debe asegurar que proceso de envíos se produce conforme al método de transporte acordado y que no es cambiado sin la debida autorización de la organización. El acuerdo sobre el método de transporte debe especificar que los contenedores de transporte deben estar precintados 1 y que los números de los precintos deben constar en el manifiesto de transporte. 1 N.del E.E.: Se requiere implícitamente que los precintos incluyan elementos de identificación única para cada precinto. Versión en español cortesía de Loterías y Apuestas del Estado LAE - España 14

15 L1.4 Almacenamiento y distribución de tiques de lotería instantánea Objetivo.- Asegurar que los tiques de lotería instantánea se almacenan y distribuyen de forma segura. L L L L L Auditorias de almacenes Verificación del transporte de tiques Procedimiento de verificación de tiques Resultados de verificación de tiques Debe estar establecido un procedimiento de inspección, por personal autorizado, de los almacenes de tiques instantáneos, al menos anualmente. Cada consignación de tiques instantáneos debe ser formalmente comprobada a su llegada. Un procedimiento de comprobación de las entregas a su llegada debe asegurar que los números de los precintos son correctos y que la seguridad del contenedor se ha preservado. Los resultados de la verificación deben ser documentados y en caso de no conformidades y/o irregularidades se debe actuar para determinar si la seguridad de un envío se ha comprometido. Sistema de control de tiques instantáneos Debe estar operativo un sistema de control que permita contabilizar los paquetes de tiques instantáneos desde su llegada a los almacenes de la organización hasta el momento en que llegan al punto de venta. L1.5 Seguridad en los puntos de venta (minoristas) lotería instantánea Objetivo.- Asegurar que los puntos de venta se adecuan a los requisitos de seguridad aplicables a la recepción, almacenamiento y venta de tiques lotería instantánea. L L L Recepción de los tiques instantáneos por los puntos de venta Confirmación de recepción Instrucciones al punto de venta La organización debe requerir a los puntos de venta, bien por vía contractual bien por los medios que corresponda, que validen en el momento de la recepción la integridad de los paquetes de tiques instantáneos y se les debe requerir que confirmen la recepción concreta de (cada) consignación de tiques. A la confirmación de recepción, se debe registrar formalmente que los tiques se han emitido a ese punto de venta La organización debe disponer instrucciones a los puntos de venta sobre pago de premios, validación de tiques, manejo y almacenamiento de tiques instantáneos, comunicación de asuntos de seguridad y la gestión de tiques perdidos y robados. Versión en español cortesía de Loterías y Apuestas del Estado LAE - España 15

16 L Capacitación de los puntos de venta en asuntos de seguridad L1.6 Cierre (terminación) de juegos instantáneos Se debe proporcionar y documentar- capacitación a los puntos de venta para que puedan cumplir con los requisitos de seguridad asociados al procesado de tiques instantáneos. Objetivo.- Asegurar que los requisitos de controles de seguridad y auditoria se mantienen cuando se cierra un determinado juego instantáneo. L L Procedimiento de cierre del juego Se debe generar y circular un procedimiento de cierre de juego a ser empleado para el cierre de un juego instantáneo. L Información a puntos de venta El método y calendario de para informar a los puntos de venta sobre el cierre de cada juego y la recolección de tiques debe establecerse y documentarse. L L L Cuadre de inventario y existencias de tiques Auditorias de comprobación de existencias Autorizados Destrucción de tiques Se debe establecer y documentar un método de cuadre entre inventario y existencias de tiques de juego mantenidos en almacenes y en puntos de venta. Se deben establecer y documentar requisitos de auditorias de comprobación de existencias de tiques instantáneos. Se debe definir formalmente quienes están autorizados a cerrar un juego y/o a destruir tiques. Debe estar formalmente establecido el método y forma de control de la destrucción de tiques. L2 Sorteos de Lotería L2.1 Gestión de los sorteos de lotería Objetivo.- Asegurar que los sorteos se realizan en los momentos que la regulación estipula y conforme a las reglas que sean de aplicación al juego de lotería. L L Acto del sorteo Instrucciones de trabajo para el sorteo. Debe estar establecida una política que asegure que los actos de sorteo de lotería se desarrollan como actos planificados y controlados y conforme a instrucciones de trabajo claras. Antes de cada sorteo la organización debe haber publicado las instrucciones de trabajo incluyendo instrucciones especiales con respecto al sorteo. Versión en español cortesía de Loterías y Apuestas del Estado LAE - España 16

17 L L L L L2.1.7 Personas miembros del equipo de sorteo Deberes del equipo de sorteo Equipo de sorteo de reserva Horario y cronología 1 del sorteo Las instrucciones de trabajo deben incluir la composición (personas) del equipo de sorteo incluyendo sus números de teléfono de contacto. Las instrucciones de trabajo deben incluir las obligaciones y responsabilidades de los miembros identificados del equipo de sorteo. Las instrucciones de trabajo deben nombrar e identificar a las personas de reserva y detalles sobre el despliegue del equipo de reserva. Las instrucciones de trabajo deben incluir horarios y cronología detallada de las operaciones de sorteo desde la apertura del local del sorteo hasta el cierre del mismo. Las instrucciones de trabajo deben incluir detalles de Observadores del sorteo cualquier requisito de las Normas de la Lotería sobre la obligación de presencia de observadores independientes durante el sorteo. L2.2 Celebración del sorteo Objetivo.- Asegurar que la celebración del sorteo cumple con los requisitos reguladores y las normas aplicables del juego de lotería. L L2.2.2 L2.2.3 L2.2.4 L2.2.5 Procedimiento de sorteo Guía del sorteo paso a paso Lugar del sorteo Asistencia al sorteo y responsabilidades Supervisión del sorteo La organización debe establecer un procedimiento detallado de sorteo que asegure que todas las funciones del sorteo se ejecutan de manera conforme con las reglas aplicables del juego de lotería y los requisitos reguladores. El procedimiento de sorteo debe incluir una guía paso a paso del proceso del sorteo. El procedimiento de sorteo debe definir el lugar de celebración del sorteo. El procedimiento de sorteo debe definir quienes asisten al sorteo y las responsabilidades y actos de todos los participantes. El procedimiento de sorteo debe definir la política respecto a la asistencia de un oficial de cumplimiento (independiente) o un auditor. 1 N.del E.E.: timing en la versión en inglés Versión en español cortesía de Loterías y Apuestas del Estado LAE - España 17

18 L2.2.6 L2.2.7 Seguridad de la actividades del sorteo El procedimiento de sorteo debe incluir medidas de seguridad adecuadas para las actividades del sorteo y para todo el equipamiento utilizado durante el sorteo. Emergencias en el sorteo El procedimiento de sorteo debe incluir las acciones a tomar en caso de que suceda una emergencia durante la celebración del sorteo. L2.3 Equipamiento de sorteo y conjuntos de bolas Objetivo.- Asegurar que el equipamiento de sorteo y los conjuntos de bolas cumplen con los requisitos de seguridad convenidos y/o las especificaciones reguladoras. L L L Procedimiento de inspección Inspecciones periódicas y mantenimiento Conjuntos de bolas compatibles Debe estar en vigor un procedimiento para la inspección de forma periódica del equipamiento de sorteo y los conjuntos de bolas, a su entrega por el fabricante y a partir de entonces, tras consultar con autoridad independiente (para asegurar el cumplimiento con las especificaciones técnicas y estándares). Deben realizarse, al menos anualmente, inspecciones y mantenimiento del equipamiento de sorteo, y documentarse, de cara a mantener los estándares especificados a lo largo de toda la vida útil del equipamiento. La organización debe tener en vigor un procedimiento que estipule el uso de conjuntos de bolas fabricados con las medidas y peso -y sus toleranciascompatibles con el equipamiento de sorteo (bombo) a ser empleado. L L Equipamiento alternativo de sorteo (de reemplazo) Manejo, almacenamiento y traslado del equipamiento de sorteo y conjunto de bolas La organización debe tener en vigor, si el sorteo es transmitido en directo 1, un procedimiento que estipule la disponibilidad de equipamiento de sorteo alternativo y un(unos) conjuntos de bolas alternavos, para su empleo en caso de problemas mecánicos o fallos de cualquier tipo. La organización debe tener en vigor un procedimiento que estipule el almacenamiento, traslado y manejo en condiciones de seguridad del equipamiento de sorteo y conjuntos de bolas. 1 N.del E.E.: broadcasted en la versión en inglés; transmitido (emitido) por TV, radio, internet o cualquier otro medio de comunicación de masas. Versión en español cortesía de Loterías y Apuestas del Estado LAE - España 18

19 L3 Seguridad en los puntos de venta L3.1 Contratación (selección) y puesta en marcha Objetivo.- Asegurar que únicamente personas adecuadas y validadas 1, operando en locales aprobados, sean aceptadas para la operación de puntos de venta de los productos, en línea y fuera de línea 2, de la organización. L Contrato del punto de venta L3.2 Actividades del punto de venta La relación con el punto de venta debe sustanciarse mediante la suscripción de una relación contractual y sus correspondientes estipulaciones. Objetivo.- Asegurar que las actividades (operaciones) del punto de venta, para productos en y fuera de línea, se adecuan y son conformes con los requisitos de seguridad de la organización. L Seguridad del punto de venta La organización debe especificar los requisitos de seguridad que el punto de venta debe cumplir, para posibilitarle que se adecue y sea conforme. L3.3 Seguridad de los terminales de juego Objetivo.- Asegurar la adecuada seguridad de los terminales de juego L L Seguridad de las transacciones Los terminales de juego deben incluir prestaciones que permitan la autenticación y cifrado del tráfico de datos entre el terminal y el ordenador central del sistema de juegos. L3.3.3 Pruebas de seguridad de terminales Seguridad de terminales de autoservicio Previo a su uso en el entorno de producción, se debe completar un concienzudo programa de pruebas relativo a las funcionalidades de seguridad del terminal. Estas pruebas deben incluir comprobaciones de que esté instalada la versión correcta de la aplicación (software). Los terminales de autoservicio deben disponer de mecanismos de seguridad que protejan la integridad del juego. L4 Custodia del dinero de premios L4.1 Validación de premios y pago de premios Objetivo.- Asegurar que la organización tiene desplegados los controles necesarios para la validación y pago de premios. L Validez de la información de premiados En relación con los premiados, la organización debe implementar procedimientos que aseguren la validez de las transacciones, peticiones de cobro y resguardos 3. 1 N.del E.E.: approved en la versión en inglés 2 N.del E.E.: on and off line en la versión en ingles; se denominan fuera de línea a aquellos juegos cuya venta no requiere una transacción contra un ordenador central; por ejemplo, una lotería de billetes. 3 N.del E.E.: ticket en la versión en inglés Versión en español cortesía de Loterías y Apuestas del Estado LAE - España 19

20 L L Procesos de validación La organización debe definir y documentar los procesos de validación para los distintos niveles de premio y tipos de juegos. Pago de premios La organización debe definir el proceso para el pago o transferencia del dinero de los premios. L4.2 Dinero de premios no solicitados 1 Objetivo.- Asegurar el dinero de premios no solicitados, antes y después del final del período de cobro (caducidad) de premios. L L L L L4.2.5 L L L Número único de referencia del resguardo Procedimiento para la protección del dinero de premios no solicitados Periodo de pago de premios y auditoria Reglas del pago e investigaciones de acceso a la información sobre premios no solicitados Notificación de accesos Proceso de escalado Auditoria de información de registro de acceso El sistema central de juegos en línea en producción debe poder incluir en cada resguardo un número de referencia único. La organización debe desarrollar, difundir y mantener actualizado un procedimiento específicamente referido a la protección del dinero de premios no solicitados y de los archivos de datos que contengan información sobre la situación de pago de premios de cada juego, las transacciones específicas que están pendientes de ser solicitadas y los archivos de validación. El procedimiento debe cubrir el período completo de pago de premios así como la auditoria de las transferencias de liquidación final del juego. El procedimiento debe confirmar las reglas sobre el período de validez del resguardo (caducidad), pago de premios de resguardos perdidos o desfigurados, investigaciones específicas sobre la validez de peticiones de cobro de premios y cobro de premios tardíos y de último momento. El procedimiento debe confirmar que el control de acceso es estricto y limitado a lo necesario para los registros relativos a premios aún no solicitados. El procedimiento debe confirmar que existe un proceso de notificación (alerta) en el caso de que se produzca algún intento de acceso no autorizado. El procedimiento debe confirmar que existe un proceso de escalado de cualquier incidente o actividad sospechosa. El procedimiento debe confirmar que los registros de acceso se someten de forma regular y frecuente, al menos cada 6 meses, a auditoria. 1 N.del E.E.: unclaimed en la versión en inglés. Entiéndase por sin reclamar, sin solicitar su pago ; se ha evitado la palabra reclamar para evitar ambigüedades entre las diversas acepciones del vocablo reclamar; por ejemplo, disputar con la organización sobre un premio. Versión en español cortesía de Loterías y Apuestas del Estado LAE - España 20

21 L Trazas de auditoria 1 El procedimiento debe confirmar que se mantienen trazas de auditoria que permiten identificar patrones no habituales de pagos tardíos. L5 Personal de Ventas y Servicios al Cliente L5.1 Personal trabajando fuera de los centros de trabajo de la organización Objetivo.- Asegurar que los comerciales y técnicos que trabajan fuera de los centros de trabajo de la lotería reciben un adecuado nivel de protección. L Personal que trabaja fuera de los centros de trabajo de la organización Debe estar en vigor un política que asegure que el personal que trabaja fuera de los centros de trabajo de la lotería recibe e implementa un adecuado nivel de protección L5.2 Áreas de servicio al cliente Objetivo.- Asegurar que el servicio al cliente y las áreas de solicitud de pago de premios tienen un adecuado nivel de protección. L Personal que trabaja en áreas críticas con acceso del público Debe estar en vigor una política que asegure que el personal que trabaja en áreas críticas con acceso del público recibe un adecuado nivel de protección. L6 Sistemas de Juego por Internet L6.1 Venta de juegos a través de Internet Objetivo.- A fin de proteger los sistemas de juego por Internet y la información de los participantes, debe mantenerse la confidencialidad, integridad y disponibilidad de los sistemas de juego a través de Internet. L L6.1.2 L L Arquitectura de sistemas en capas Ataques activos y pasivos Segregación de redes Información de sesión La organización debe seguir un enfoque de arquitectura de los sistemas de juego a través de Internet basado en capas, a fin de asegurar el almacenamiento y procesado seguro de la información. Deben estar desplegadas medidas apropiadas para minimizar el éxito y/o el impacto de ataques activos y pasivos típicos 2. Las bases de datos de producción que contienen datos de participantes o transacciones y el servidor web deben estar ubicados en redes separadas. Las cookies de sesión deben crearse siempre en memoria, ser aleatorias y eliminarse cuando la sesión de usuario termine. 1 N.del E.E.: audit trails en la versión en inglés 2 N.del E.E.: common en la versión en inglés Versión en español cortesía de Loterías y Apuestas del Estado LAE - España 21