Guía para la homologación de los Sistemas de apuestas en base al Reglamento de apuestas de la Comunidad Valenciana y al Marco Técnico de Referencia

Transcripción

1 Guía para la homologación de los Sistemas de apuestas en base al Reglamento de apuestas de la Comunidad Valenciana y al Marco Técnico de Referencia Versión 1.0 Fecha 29/06/2011

2 ÍNDICE Nº Pág. 1 Alcance de la homologación Control de identidad de los apostantes. Limitaciones Requisitos del resguardo Requisitos de información a los apostantes Modelo de cobro y pago de apuestas Seguridad lógica Seguridad física Cumplimiento de la legislación vigente Otras verificaciones Fecha Impresión: 29/06/2011 Página 2 de 36 Fecha Modificación: 2906/2011

3 1 Alcance de la homologación Identificación P01 Artículo NA Identificación inequívoca del sistema ensayado Se debe identificar de manera inequívoca todos los elementos que componen el sistema ensayado, en particular los elementos soportados por SW. La identificación debe permitir a la administración verificar en cualquier momento que el SW en uso coincide con el homologado. (dependiendo de las características del SW se deberá tomar una imagen completa del mismo, junto con su CRC) Identificación inequívoca del HW de la UCA y de su réplica. Indicación de los tipos de HW, las funciones, el fabricante, modelo y número de referencia de los distintos componentes HW: componentes de red, componentes de almacenamiento, componentes de seguridad, componentes de copias de seguridad, servidores, etc. Listado de todos los elementos SW y HW que componen el sistema de apuestas con la información indicada en apartados anteriores. Imagen del SW con su CRC Identificación P02 Artículo NA Organización del equipo de trabajo destinado a labores de explotación de la UCA Entre otros procedimientos organizativos internos deben definirse formalmente las funciones y responsabilidades de los integrantes del Departamento de IT encargado de realizar labores de explotación de la UCA. Se debe garantizar la coherencia con las funciones asignadas a las personas del Dto. IT y las dependencias, tanto dentro del departamento de IT, como de éste en la organización. Fecha Impresión: 29/06/2011 Página 3 de 36 Fecha Modificación: 2906/2011

4 Estructura del Departamento de Explotación y Sistemas con las funciones y responsabilidades asignadas de forma coherente. Fecha Impresión: 29/06/2011 Página 4 de 36 Fecha Modificación: 2906/2011

5 2 Control de identidad de los apostantes. Limitaciones Identificación P03 Artículo Artículo 7; Artículo 21; Artículo 33; Artículo 38; Artículo 43 Limitación de acceso a menores y a personas incluidas en el Registro de Prohibidos El sistema de apuestas debe garantizar mediante alguno de los mecanismos establecidos en el Marco de Referencia que los menores y que las personas incluidas en el Listado de Prohibidos no puede realizar apuestas. Se debe garantizar esta limitación en los locales / zonas de apuestas con servicio de admisión, y en los medios electrónicos, telemáticos o de comunicación a. Los mecanismos establecidos no permite el acceso a la realización de apuestas a menores ni a personas incluidas en el Listado de Prohibidos. Fecha Impresión: 29/06/2011 Página 5 de 36 Fecha Modificación: 2906/2011

6 3 Requisitos del resguardo Identificación P04 Artículo Artículo 5; Artículo 24 Contenido de los boletos de apuestas emitidos por Terminales de Expedición y Maquinas auxiliares Se debe verificar de la información que contienen y concordancia con los datos reales. Al menos debe contener la siguiente información: - Número de identificación fiscal y número de inscripción en el Registro de Entidades Operadoras de Apuestas de la Comunidad Valenciana. - Acontecimiento sobre el que se apuesta y fecha del mismo. - Modalidad e importe de la apuesta realizada. - Coeficiente de la apuesta, en su caso. - Pronóstico realizado. - Hora, día, mes y año de formalización de la apuesta. - Número o combinación alfanumérica que permita identificarlo con carácter exclusivo y único. - Identificación del medio de formalización de las apuestas utilizado. Además se deben analizar los mecanismos de seguridad incorporados al boleto para dificultar su falsificación. Los boletos o resguardos emitidos por los Terminales de Expedición o las Maquinas Auxiliares tras la realización de la apuestas contienen toda la información exigida. Además existen mecanismos para evitar su falsificación. Identificación P05 Artículo Artículo 44 Contenido de los boletos electrónicos emitidos por los sistemas interactivos de apuestas o de comunicación a distancia. Se debe verificar de la información que contienen y concordancia con los datos reales. Al menos debe contener la siguiente información: - Número de identificación fiscal y número de inscripción en el Registro de Fecha Impresión: 29/06/2011 Página 6 de 36 Fecha Modificación: 2906/2011

7 Entidades Operadoras de Apuestas de la Comunidad Valenciana. - Acontecimiento sobre el que se apuesta y fecha del mismo. - Modalidad e importe de la apuesta realizada. - Coeficiente de la apuesta, en su caso. - Pronóstico realizado. - Hora, día, mes y año de formalización de la apuesta. - Número o combinación alfanumérica que permita identificarlo con carácter exclusivo y único. - Identificación del medio de formalización de las apuestas utilizado. Además se deben analizar los mecanismos de seguridad incorporados para garantizar su integridad y evitar su falsificación. Los boletos o resguardos electrónicos enviados a los usuarios tras la realización de la apuestas contienen toda la información exigida. Además existen mecanismos para evitar su falsificación y garantizar su integridad. Fecha Impresión: 29/06/2011 Página 7 de 36 Fecha Modificación: 2906/2011

8 4 Requisitos de información a los apostantes Identificación P06 Artículo Artículo 46; Artículo 47 Información dada a los usuarios Se debe proporcionar a los usuarios la siguiente información: Acontecimiento objeto de apuestas; prohibición de la participación de los menores edad; mención a que la práctica abusiva de juegos y apuestas puede producir ludopatía; los acontecimientos objeto de las apuestas; las normas de funcionamiento y organización de las apuestas; las cuantías mínimas y máximas de las apuestas; los horarios y límites de admisión de pronósticos; demás condiciones a que se sujete la formalización de las apuestas y el reparto y abono de premios; dar publicidad a los resultados validos; procedimiento para formular reclamaciones. Se debe verificar que dicha información es facilitada a los usuarios en los locales y zonas de apuestas. En el caso concreto de las Maquinas Auxiliares ubicadas en los locales especificados en el artículo 38 la información indicada debe ser transmitida mediante las propias maquinas, puesto que no está permitida la utilización de indicaciones, carteles, etc en el interior del local para facilitar cualquier tipo de información sobre la práctica de apuestas. En el caso concreto de los sistemas de comunicación a distancia la pagina principal debe mostrar la siguiente información: El nombre registrado de la entidad titular de la autorización; el domicilio social; el número y fecha de la autorización; enlaces a páginas web especializadas en la ayuda de los problemas relacionados con el juego; enlaces a las reglas del juego, las apuestas ofrecidas y los procedimientos adoptados por el titular de la autorización para el registro de los usuarios. Además ya sea en la página principal o mediante un enlace accesible desde esta, se debe indicar al usuario: Nombre del juego; restricciones del juego; instrucciones del juego, incluyendo una tabla con los premios y las características especiales del mismo y el balance de la cuenta del jugador. En las zonas/locales de apuestas se trasmite dicha información mediante mecanismos diversos (pantallas, paneles, carteles, folletos, etc). En el caso de las maquinas auxiliares ubicadas en los establecimientos indicados en el artículo 38, la información es facilitada a través de los monitores de la propia maquina auxiliar. En el caso de sistemas de comunicación a distancia se comunica correctamente la información requerida por el Reglamento. Fecha Impresión: 29/06/2011 Página 8 de 36 Fecha Modificación: 2906/2011

9 5 Modelo de cobro y pago de apuestas Identificación P07 Artículo Artículo 31 Medios de cobro y pago Se deben tener identificados los medios de cobro y pago establecido, y verificar que estos coinciden con los permitidos por el Reglamento para cada canal de formalización de apuestas: - Apuestas formalizadas en maquinas de apuestas (Maquinas auxiliares y terminales de expedición): el pago para la formalización de las apuestas deberá realizarse en moneda o papel moneda. El abono de los premios no podrá realizarse en las propias maquinas de apuestas en moneda o papel moneda, siendo válido cualquier otro medio de pago valido en derecho. Se debe garantizar que las apuestas formalizadas en los establecimientos determinados en el artículo 38 del Reglamento y en los salones de juego sin servicio de admisión la apuesta máxima serán de 20 euros. - Apuestas formalizadas por medio electrónicos, telemáticos o de comunicación a distancia: El cobro /pago podrá ser realizado mediante cualquier medio legal admitido por la empresa de apuestas. Se debe garantizar que no supone un coste para el usuario. Los métodos de cobro y pago son los establecidos por el Reglamento, son seguros y no suponen un coste para el usuario. Identificación P08 Artículo N/A Tratamiento y almacenamiento de números de tarjeta de crédito. En el caso de que se permitan transacciones mediante tarjeta de crédito, y siempre que se almacene, procese o transmita la información de las tarjetas, se deberá cumplir con los estándares de seguridad Payment Card Data Security Standard (PCI DSS). Fecha Impresión: 29/06/2011 Página 9 de 36 Fecha Modificación: 2906/2011

10 En el caso de cobros / pagos mediante tarjeta de crédito se cumple con el estándar de seguridad PCI DSS, realizándose al menos un test de penetración anualmente y una revisión trimestral de la red inalámbrica y de las reglas establecidas en los cortafuegos y routers. Fecha Impresión: 29/06/2011 Página 10 de 36 Fecha Modificación: 2906/2011

11 6 Seguridad lógica Identificación P09 Artículo Artículo 19; Artículo 20; Artículo 44; Artículo 45 Perfiles de acceso al sistema de apuestas Deben estar definidos en el sistema informático de apuestas diferentes perfiles de acceso al mismo en base a las funciones a desempeñar por cada usuario (administradores, operadores, usuarios finales de las aplicaciones, etc) Deben formalizarse procedimientos y controles para garantizar que los perfiles son correctamente asignados y revisados. Se han definido perfiles de acceso en los diferentes entornos que componen el sistema de apuestas, los cuales han sido asignados en base a las funciones desempeñadas por el usuario. Existen procedimientos de gestión de usuarios y se han definido procedimientos periódicos de revisión de perfiles asignados. Identificación P10 Artículo Artículo 19; Artículo 20; Artículo 44; Artículo 45 Autenticación fuerte La autenticación fuerte requiere el uso de dos factores de entre los siguientes: Algo que se tiene (Certificado digital, tarjeta criptográfica, tarjeta de coordenadas, DNIe, Tokens, llave, ). Algo que se sabe (usuario y contraseña, pin, segunda contraseña, ). Algo que se es (factores biométricos como la huella dactilar, la retina, el iris, la voz, ). En todos los entornos de los sistemas de apuestas se deben establecer mecanismos de acceso mediante autenticación fuerte para garantizar la integridad de la información y evitar accesos no autorizados. Fecha Impresión: 29/06/2011 Página 11 de 36 Fecha Modificación: 2906/2011

12 Todos los usuarios de los sistemas de apuestas, a excepción de los usuarios clientes/apostantes, tienen un mecanismo de autenticación fuerte en el acceso al sistema. Identificación P11 Artículo Artículo 19; Artículo 20; Artículo 44; Artículo 45 Gestión de contraseñas En el caso de que se utilicen sistemas basados en usuario y contraseña en la autenticación de los diversos perfiles de usuarios del sistema (incluyendo los usuarios clientes / apostantes), éstas deben reunir características que las hagan suficientemente robustas. Las contraseñas utilizadas en el control de acceso a los sistemas de apuestas, incluyendo el acceso por parte de los usuarios/clientes, son robustas, teniendo las siguientes características: - Longitud mínima: 8 caracteres - Como mínimo compuesta por dos de los siguientes conjuntos de caracteres: o o Letras Mayúsculas (A-Z) Letras Minúsculas (a-z) o Números (0-9) o Signos de puntuación (.,_-&%$) - No posible repetir las últimas cuatro contraseñas. Los apostantes no tendrán histórico. - No posible utilizar datos del nombre y apellidos. - Caducidad (máximo 45 días) exceptuando a los apostantes, a quienes no les caducará. - Limitar el número de reintentos fallidos a tres. - En caso de contraseñas generadas por el sistema, exigir que ésta se cambie en el primer acceso al sistema. Fecha Impresión: 29/06/2011 Página 12 de 36 Fecha Modificación: 2906/2011

13 Identificación P12 Artículo Artículo 19; Artículo 20; Artículo 44; Artículo 45 Seguridad de las comunicaciones entre la UCA y el apostante. Garantía de la autenticidad del receptor, confidencialidad e integridad de las comunicaciones. Es necesario contemplar varios tramos: Comunicación Operador Terminal de Expedición. La seguridad viene garantizada por el uso de autenticación fuerte. Comunicación Maquina Auxiliar / Terminal de Expedición UCA. Ver control P12. La conexión entre los sistemas de comunicación a distancia deben utilizar protocolos de comunicaciones seguros que garanticen la integridad y la confidencialidad de la comunicación. Las comunicaciones realizadas entre la UCA y el apostante utilizan protocolos de comunicaciones seguros que cifran la información garantizando la integridad y confidencialidad de esta. Identificación P13 Artículo Artículo 19; Artículo 20; Artículo 44; Artículo 45 Seguridad de las comunicaciones entre los componentes del sistema técnico. Para garantizar la integridad y confidencialidad entre los distintos elementos del sistema pueden usarse distintos métodos en función de si se tiene un control total sobre el entorno de las comunicaciones. Si no se tiene dicho control, es decir, cuando las comunicaciones salen fuera de las instalaciones donde se ubica la UCA, las comunicaciones deberán ir cifradas, mientras que si se tiene el entorno controlado, dentro de las instalaciones donde se ubica la UCA, otras medidas físicas serán suficientes. Las conexiones que están bajo el control de la empresa titular de la autorización (por ejemplo Comunicaciones en el interior de los locales o zonas de apuestas, Comunicaciones en el interior de la UCA, etc) disponen de mecanismos de seguridad físicos y otros que garantizan su integridad y confidencialidad. Las comunicaciones que están fuera del control de la empresa (por ejemplo Comunicaciones Apostante UCAs, Comunicaciones UCA Principal UCA de Fecha Impresión: 29/06/2011 Página 13 de 36 Fecha Modificación: 2906/2011

14 Respaldo, Comunicaciones UCAs Oficinas centrales de la empresa, Comunicaciones UCAs Locales/Zonas de apuestas, etc) se realizan mediante protocolos de comunicación seguros que garantizan la integridad y confidencialidad de la información transmitida. Identificación P14 Artículo Artículo 19; Artículo 20; Artículo 44; Artículo 45; Articulo 50 Existencia de una conexión segura, confidencial e integra compatible con los sistemas de la Generalitat Valenciana que permita conocer en tiempo real el estado de las apuestas realizadas y anuladas, cantidades apostadas y premios otorgados. El Reglamento indica que debe existir un Registro acumulado de las operaciones de apuestas que contenga al menos la siguiente información: Apuestas realizadas Apuestas anuladas Cantidades apostadas Cantidades totales devueltas Cantidades totales pagadas Este registro debe ser actualizado en un plazo máximo de 48 horas desde la finalización de un determinado evento. Se debe proporcionar un modo de acceder en tiempo real a la información indicada desde la sede del organismo competente de la Generalitat Valenciana. El sistema de acceso debe garantizar que se observa el estado del sistema real (conexión segura), sin posibilidad de que terceros puedan acceder a la información, y sin posibilidad de que se transmita o se valide información errónea (integridad). Se dispone de un Registro con la información exigida que puede ser facilitado / accedido en todo momento por los órganos competentes en materia de juego de la Generalitat Valenciana. Dicho acceso o transmisión de información es realizado mediante protocolos de comunicaciones seguros que garantizan la integridad y disponibilidad de la información. Fecha Impresión: 29/06/2011 Página 14 de 36 Fecha Modificación: 2906/2011

15 Identificación P15 Artículo Artículo 19; Artículo 20 Capacidad de auditoría de operaciones sobre apuestas. Seguridad de los registros ante manipulación. Se debe poder reconstruir en cualquier momento las transacciones (apuestas y resultados en particular) realizados contra la UCA. Para ello se debe de proceder al registro de las siguientes operaciones y disponer de procedimientos/mecanismos de reconstrucción de las transacciones: Apuestas aceptadas/confirmadas con confirmación entregada al apostante. Apuestas anuladas/canceladas por la empresa. Apuestas denegadas Pago/reembolso de apuestas por la empresa. Además de otra información indicada en el Marco de Referencia, se debe incluir en cada transacción la fecha y la hora, procedente de una fuente no manipulable. Deben existir medidas de seguridad para evitar la manipulación del registro de transacciones. Los sistemas de apuestas disponen de registros de las operaciones de apuestas y de los resultados de estas. Concretamente se registra las siguientes operaciones: Apuestas aceptadas/confirmadas con confirmación entregada al apostante; Apuestas anuladas/canceladas por la empresa; Apuestas denegadas; Pago/reembolso de apuestas por la empresa. De dichas operaciones se guarda información que permite garantizar su asociación temporal a fuentes de tiempo fiables, y que permita reconstruir completamente la operación. Se dispone de procedimientos de reconstrucción de transacciones. Se han establecido medidas de seguridad que garantizan la integridad de dichos registros. Identificación P16 Artículo Artículo 19; Artículo 20 Capacidad de auditoría sobre eventos de apuestas. Seguridad de los registros ante manipulación. Se debe poder reconstruir en cualquier momento las transacciones (eventos de apuestas) realizados en la UCA. Para ello se debe de proceder al registro de las siguientes operaciones y disponer de procedimientos/mecanismos de reconstrucción Fecha Impresión: 29/06/2011 Página 15 de 36 Fecha Modificación: 2906/2011

16 de las transacciones: Alta del evento sobre el que se apuesta. Modificación de parámetros del evento sobre el que se apuesta. Eventos cancelados/anulados por parte de la empresa. del evento sobre el que se apuesta. Además de otra información indicada en el Marco de Referencia, se debe incluir en cada transacción la fecha y la hora, procedente de una fuente no manipulable. Deben existir medidas de seguridad para evitar la manipulación del registro de transacciones. Los sistemas de apuestas disponen de registros de las operaciones sobre eventos de apuestas. De dichas operaciones se guarda información que permite garantizar su asociación temporal a fuentes de tiempo fiables, y que permita reconstruir completamente la operación. Se han establecido medidas de seguridad que garantizan la integridad de dichos registros. Identificación P17 Artículo Artículo 19; Artículo 20 Capacidad de auditoría sobre operaciones de reparto de premios. Seguridad de los registros ante manipulación. Se debe poder reconstruir en cualquier momento las transacciones de repartos de premios realizadas en la UCA. Además de otra información indicada en el Marco de Referencia, se debe incluir en cada transacción la fecha y la hora, procedente de una fuente no manipulable. Deben existir medidas de seguridad para evitar la manipulación del registro de transacciones. Los sistemas de apuestas disponen de registros de las operaciones sobre las operaciones de reparto de premios. De dichas operaciones se guarda información que permite garantizar su asociación temporal a fuentes de tiempo fiables, y que permita reconstruir completamente la operación. Se han establecido medidas de seguridad que garantizan la integridad de dichos Fecha Impresión: 29/06/2011 Página 16 de 36 Fecha Modificación: 2906/2011

17 registros. Identificación P18 Artículo Artículo 19; Artículo 20 Registro de operaciones sobre la UCA La UCA debe disponer de un registro de todas las acciones u operaciones realizadas en ella. Deben existir medidas de seguridad para evitar la manipulación del registro de operaciones. El sistema de apuestas dispone de un registro de todas las acciones u operaciones realizadas en el entorno de producción de la UCA. Dicho registro contempla las siguientes operaciones: Accesos autorizados incluyendo: - El identificador del usuario. - Terminal o dispositivo desde el que se realiza el acceso. - La fecha y hora del acceso. - Tipo de evento. - Fichero accedido. - Programas o aplicaciones usadas. Intentos de acceso no autorizados: - El identificador del usuario. - Terminal o dispositivo desde el que se realiza el acceso. - La fecha y hora del acceso. - Acciones del usuario rechazadas. - Violaciones de políticas de acceso. Operaciones con privilegio realizadas: - Uso de cuentas con privilegios. Además se han establecido mecanismos de seguridad que garantizan la integridad de estos registros. Fecha Impresión: 29/06/2011 Página 17 de 36 Fecha Modificación: 2906/2011

18 Identificación P19 Artículo Artículo 19; Artículo 20 Tiempo de almacenamiento de los Registros de operaciones sobre apuestas, eventos y reparto de premios. Según lo establecido en el artículo 30 del código de comercio, los registros relativos a la actividad del negocio, deben ser conservados durante un plazo mínimo de 6 años: - Registro de operaciones sobre apuestas - Registro de operaciones sobre eventos - Registros de reparto de premios - Registro acumulado de operaciones de apuestas (destinado a la Generalitat Valenciana) Los registros de las distintas operaciones de apuestas, eventos y reparto de premios, así como el registro acumulado son almacenados durante un periodo mínimo de 6 años. Identificación P20 Artículo Artículo 19 Realización s periódicas de intrusión. La empresa debe realizar con una periodicidad mínima anual simulaciones de ataques externos a los sistemas de apuestas con el objeto de detectar posibles vulnerabilidades de seguridad y tomar acciones correctoras para subsanarlas. Verificar la existencia de una planificación de seguridad de la información que contemple la realización s periódicas de intrusión. Fecha Impresión: 29/06/2011 Página 18 de 36 Fecha Modificación: 2906/2011

19 Identificación P21 Artículo Artículo 19 Plan de contingencias tecnológico Se debe disponer de un Plan de contingencias Tecnológicas preparado para la indisponibilidad de la UCA principal. Debe existir una planificación s periódicas a realizar. La unidad central debe estar respaldada por al menos otra equivalente, capaz de tomar el control en caso de fallo de la principal. Se garantizar que el tiempo en el que la réplica asume el control esta dentro de los límites establecidos. Los datos de las apuestas debe ser enviados de forma simultánea tanto a la UCA principal como a la réplica, es decir, que los datos deben estar on-line en las dos UCAs. Se dispone de un Plan de Contingencias formalizado, así como una planificación de pruebas periódicas a realizar. Ante diferentes incidencias que dejan inoperativa la UCA principal, la UCA réplica toma el control y está completamente operativa en un tiempo inferior a 45 minutos. Por otro lado, los datos de las apuestas son copiados simultáneamente en la UCA principal y en la réplica, disponiendo de la información replicada en tiempo real. Identificación P22 Artículo Artículo 19, Artículo 20 Existencia de políticas y procedimientos de Backup y de recuperación de datos. Para evitar posibles contingencias, se deben realizar copias de seguridad periódicas de los sistemas de apuestas (incluyendo información del sistema, bases de datos, registros, etc). Se debe disponer de procedimientos documentados de copias de seguridad y de recuperación de datos, así como procedimientos y planes s para verificar el correcto funcionamiento de estos. Fecha Impresión: 29/06/2011 Página 19 de 36 Fecha Modificación: 2906/2011

20 Se realizan copias de seguridad de los datos de los sistemas de apuestas de forma periódica. Se disponen de procedimiento operativos de realización de copias de seguridad así como de procedimientos de recuperación de datos. Se dispone de una planificación s periódicas de recuperación de datos para verificar que se puede restaurar correctamente la información Identificación P23 Artículo Artículo 19, Artículo 20 Existencia de mecanismos de Seguridad perimetral Se debe disponer de soluciones de seguridad perimetral (por ejemplo Firewalls o Sistemas de Detección de Intrusos) con el objeto de proteger las redes de la empresa ante posibles intrusiones. Las políticas definidas en dichas soluciones deben garantizar que se registran y detectan correctamente los intentos de acceso a los sistemas de juego. Dichos registros deben ser revisados periódicamente. Se disponen de Firewalls e IDS correctamente configurados para proteger las redes de la empresa frente a ataques externos. Los intentos de acceso son monitorizados y registrados. Identificación P24 Artículo Artículo 19, Artículo 20 Existencia de mecanismos de control frente al Software malicioso Se debe disponer de antivirus actualizados para la protección de los servidores, ordenadores, y otros elementos que componen el sistema de juego frente a software malicioso. Se dispone de Software antivirus actualizado en todos los servidores y equipos que componen el sistema de apuestas. Fecha Impresión: 29/06/2011 Página 20 de 36 Fecha Modificación: 2906/2011

21 Identificación P25 Artículo Artículo 19, Artículo 20 Separación de entornos entre desarrollo y producción Con el fin de evitar errores accidentales o accesos no autorizados a datos, debe existir una adecuada separación entre los entornos de desarrollo, pruebas y producción, debiéndose garantizar que los desarrolladores no tienen acceso al entorno productivo. Los usuarios desarrolladores no tienen acceso al entorno de producción. El paso de un nuevo desarrollo / funcionalidad es traspasado al entorno de producción por personal de explotación tras haberse realizado las pruebas correspondientes. Identificación P26 Artículo Artículo 19, Artículo 20 Medidas de seguridad contra peligros del entorno (inundaciones, explosiones, incendios, etc) Las instalaciones donde se ubiquen la UCA principal y su réplica deben cumplir una serie de requerimientos de de seguridad ambiental para minimizar el impacto de amenazas y peligros del entorno: - Techo / Suelo técnico - Sistema automático de extinción y detección de incendios - UPS o SAI - Detectores de humedad - Ubicación no señalizada y sin ventanas. - Monitorización de las condiciones ambientales de la UCA - Etc. Fecha Impresión: 29/06/2011 Página 21 de 36 Fecha Modificación: 2906/2011

22 La sala donde se ubica la UCA principal y la sala donde se ubica la UCA réplica, dispone de adecuadas medidas de seguridad ambiental. Se dispone de una planificación s a realizar para verificar el correcto funcionamiento de los mecanismos de control ambiental. Identificación P27 Artículo Artículo 20 Ubicación de la UCA, y su réplica. La unidad central y su réplica deben estar situadas en el ámbito territorial de la Comunidad Valenciana, bajo el control y la vigilancia de la empresa titular, y a una distancia razonable para minimizar el riesgo de que una amenaza afecte a ambas. LA UCA y su réplica están situadas dentro de la Comunidad Valenciana a una distancia suficiente para reducir el impacto de una amenaza que pueda afectar a ambas. Fecha Impresión: 29/06/2011 Página 22 de 36 Fecha Modificación: 2906/2011

23 7 Seguridad física Identificación P28 Artículo Artículo 20 Control de Acceso (tanto a la UCA principal como a su Réplica) El acceso a la unidad central debe ser restringido mediante un mecanismo que ofrezca suficientes garantías de seguridad. Además deben existir procedimientos de autorización de acceso que definan quien puede y quien no puede acceder a la UCA. Existencia de un mecanismo robusto de control de acceso físico a las instalaciones donde se ubica la UCA (y su réplica). Los accesos a las instalaciones son debidamente autorizados y registrados. Identificación P29 Artículo Artículo 20 Ubicación de la UCA en un tercero En el caso de que la UCA se encuentre ubicada en las dependencias de un tercero, el contrato entre la empresa titular y la empresa que realiza el hosting contendrá los clausulados y los acuerdos necesarios que permitan garantizar las medidas de seguridad física y ambientes definidas en el Marco de Referencia. Existe un contrato con la empresa que alberga la UCA donde se garantizan las medidas de seguridad mínimas requeridas. Fecha Impresión: 29/06/2011 Página 23 de 36 Fecha Modificación: 2906/2011

24 Identificación P30 Artículo Artículo 19, Artículo 20 Seguridad física de las maquinas de apuestas Las maquinas auxiliares / terminales de expedición deberán disponer de mecanismos físicos que impidan el acceso a los datos y sistema que alojan. Las maquinas auxiliares están convenientemente protegidas mediante mecanismos físicos (estructuras herméticas, cerraduras especiales, ubicación controlada, etc) para evitar el acceso a los datos y sistemas que alojan. Los terminales de expedición están adecuadamente protegidos mediante mecanismos físicos (mamparas de protección, ubicación controlada, etc) para evitar los accesos no autorizados. Fecha Impresión: 29/06/2011 Página 24 de 36 Fecha Modificación: 2906/2011

25 8 Cumplimiento de la legislación vigente Identificación P31 Artículo Artículo 17; Artículo 44 Garantizar el cumplimiento de la legislación y normativa de aplicación Las empresas titulares de la autorización debido a la actividad que desempeñan, los datos que tratan y los canales de comunicación que utilizan están sujetos a diferentes normativas de obligado cumplimiento. Se debe verificar el grado de cumplimiento de las diferentes normativas que resulten de aplicación, en especial las relativas a la protección de datos de carácter personal (Ley 15/1999 y RD 1720/2007). La empresa titular esta adecuada a la LOPD: ha declarado sus ficheros a la AEPD, se dispone de Documento de Seguridad y se ha realizado la auditoría LOPD bi-anual obligatoria. Fecha Impresión: 29/06/2011 Página 25 de 36 Fecha Modificación: 2906/2011

26 9 Otras verificaciones Identificación P32 Artículo Artículo 20 Capacidad de Gestionar todos los equipos y usuarios La Unidad Central debe estar preparada para gestionar un número definido de equipos y usuarios (totales y simultáneos) garantizando el correcto funcionamiento de las apuestas. Se debe conocer el comportamiento del sistema en caso de que se supere dicho máximo mediante intentos de saturación. La UCA soporta de forma adecuada el número de equipos y usuarios para los que está definida, garantizando el correcto funcionamiento de las apuestas para todos los usuarios para los que se ha solicitado autorización. Identificación P33 Artículo Artículo 22; Artículo 23 Funcionalidades y dependencia de la Unidad Central Los terminales de apuestas y las maquinas auxiliares deben permitir la realización de apuestas y la emisión del boleto. Su funcionamiento debe quedar condicionado por su conexión con la UCA. Los Terminales de apuestas y maquinas auxiliares permiten fundamentalmente la definición de apuestas, la petición de aceptación y expedición de boleto y la verificación de si un boleto incluye una apuesta ganadora. Los Terminales de expedición y maquinas auxiliares funcionan siempre mediante conexión con al UCA, no permitiendo la emisión de apuestas si la conexión no está activa. Fecha Impresión: 29/06/2011 Página 26 de 36 Fecha Modificación: 2906/2011

27 Identificación P34 Artículo Artículo 22; Artículo 23;Artículo 44 Funcionalidades y dependencia de la Unidad Central (medios electrónicos, telemáticos o de comunicación a distancia) Los medios electrónicos, telemáticos o de comunicación a distancia deben permitir la realización de apuestas y la emisión del boleto. Su funcionamiento debe quedar condicionado por su conexión con la UCA. Los medios electrónicos, telemáticos o de comunicación a distancia permiten fundamentalmente la definición de apuestas, la petición de aceptación y expedición de boleto y la verificación de si un boleto incluye una apuesta ganadora. No se permite la emisión de apuestas si la conexión no está activa. Identificación P35 Artículo Artículo 21 Posibilidad de incorporan marcas de fabrica Los terminales y maquinas de apuestas deben permitir la incorporación de marcas de fabrica. Estas pueden ser mediante impresión mecánica o informática, pero en cualquier caso deben ser inviolables y permitir su fácil lectura directa por parte de los órganos competentes de la Administración. Los terminales de expedición y maquinas auxiliares disponen del espacio necesario para incorporar en su exterior una pegatina o chapa identificativa. Fecha Impresión: 29/06/2011 Página 27 de 36 Fecha Modificación: 2906/2011

28 Identificación P36 Artículo Artículo 21 Advertencia en maquinas auxiliares de la prohibición a menores de edad y a personas incluidas en el Registro de Prohibidos. En las maquinas auxiliares se debe hacer constar con claridad y de forma visible la prohibición de la participación en las apuestas de menores y de personas incluidas en el Registro de Prohibidos. Las maquinas auxiliares disponen de pegatinas/carteles/chapas/otros advirtiendo la prohibición a menores y a personas incluidas en el Registro de Prohibidos. También se incluye esta advertencia en el monitor de la máquina de la auxiliar. Identificación P37 Artículo Artículo 22; Artículo 23; Artículo 44 Formalización y Validación de la apuesta La validación de la apuesta debe ir pareja a la emisión del boleto o documento electrónico equivalente. Si no se acepta la apuesta, no se debe emitir boleto. Se produce la correcta emisión del boleto una vez se ha aceptado la apuesta por la maquina auxiliar / terminal de expedición. Si se producen incidencias durante el proceso (fallo en la impresión, error de conexión, etc) en el terminal o maquina auxiliar o en el equipo de comunicación a distancia y no se acepta la apuesta por la UCA, no se imprime/envía el boleto y la apuesta no queda registrada en la BD de la UCA. Fecha Impresión: 29/06/2011 Página 28 de 36 Fecha Modificación: 2906/2011

29 Identificación P38 Artículo Artículo 23 Aplazamiento o anulación de eventos La empresa debe tener establecida una procedimiento que regule la operación del sistema en caso de aplazamiento de apuestas o anulación de un evento que forme parte de una apuesta múltiple. Existe una normativa que regula la operación del sistema en caso de aplazamiento o anulación de apuestas. Identificación P39 Artículo Artículo 23 Devolución del importe en caso de anulación de la apuesta En caso de que la apuesta se anule por cualquier causa se debe devolver el importe integro de la misma mediante los mecanismos de pago establecidos en el Reglamento. Se devuelve el importe integro por mecanismos de pago permitidos por el Reglamento tras la anulación de una apuesta. Identificación P40 Artículo Artículo 23 Inalterabilidad del coeficiente de la apuesta en las apuestas de contrapartida Fecha Impresión: 29/06/2011 Página 29 de 36 Fecha Modificación: 2906/2011

30 Las apuestas de contrapartida deben mantener invariable el coeficiente una vez formalizada y validada la apuesta. El coeficiente no puede ser manipulado ni modificado, además este coincide con el impreso en el boleto. Identificación P41 Artículo Artículo 23; Artículo 29 Validez del boleto como documento acreditar de la apuesta El boleto o resguardo (ya sea físico o electrónico) debe permitir acreditar la apuesta, para ello debe incluir un código identificativo (código de barras, numérico, etc) que pueda ser reconocido por el sistema para identificar la apuesta. El boleto incluye un código identificativo que permite ser reconocido por la UCA para identificar la apuesta. Identificación P42 Artículo Artículo 23 Posibilidad de formalizar apuestas mientras se encuentre operativos los terminales o maquinas auxiliares. Las apuestas formalizadas sobre el Terminal o maquina auxiliar deben ser validas si este las admite, aun no estando operativo algún otro elemento del sistema. El Terminal o maquina debe de quedar No operativo si por algún motivo no pueden formalizarse apuestas Fecha Impresión: 29/06/2011 Página 30 de 36 Fecha Modificación: 2906/2011

31 El terminal de expedición / maquina auxiliar queda no operativo si no pueden formalizarse apuestas. Identificación P43 Artículo Artículo 23 Bloqueo automático de los terminales y maquinas en el momento del cierre de las apuestas de tipo mutuo, contrapartida y cruzada. Garantías de que es antes del comienzo de los eventos objeto de apuestas en el caso de tipo mutuo; y antes del fin de los eventos en el caso de las de tipo contrapartida y cruzada. El cierre de las apuestas debe originar el bloqueo automático e instantáneo de los terminales y maquinas de apuestas. En las apuestas mutuas se debe garantizar que el cierre de las apuestas es anterior al comienzo de los eventos. En el caso de las puestas de contrapartida y cruzadas se debe garantizar que el cierre de las apuestas es anterior al fin de los eventos. Se produce el bloqueo automático e instantáneo de los terminales y maquinas auxiliares. Identificación P44 Artículo Artículo 26 Información de los resultados Los resultados deben darse a conocer tanto en los locales y zonas de apuestas como en los sistemas de comunicación a distancia. Se debe garantizar la correcta y simultanea difusión de los resultados en todos los medios y canales considerados. Fecha Impresión: 29/06/2011 Página 31 de 36 Fecha Modificación: 2906/2011

32 Los resultados de las apuestas son difundidos de forma instantánea por los diferentes medios técnicos establecidos. Identificación P45 Artículo Artículo 28 Premios en las apuesta mutuas De los ingresos por ventas se deberá retraer las cantidades destinadas a impuestos. El fondo destinado a premios no será inferior al 70 por 100 del fondo repartible. El dividendo por unidad de apuesta será la cantidad resultante de dividir el fondo destinado a premios entre las unidades de apuesta acertadas. Los resultados para el premio por unidad de apuesta deben ser redondeados a céntimos de EURO. En caso de no acertantes el fondo de premios se acumulará a la siguiente apuesta mutua sobre acontecimiento similar a fijar por la empresa. Las cantidades calculadas por el sistema y el porcentaje para el cálculo de los premios deben disponer de medidas de seguridad para impedir su manipulación. El cálculo del premio en las apuestas mutuas se realiza según el método establecido en el Reglamento. Identificación P46 Artículo Artículo 28 Premios en las apuesta de contrapartida El premio por apuesta unitaria del tipo contrapartida será el valor del coeficiente (validado) mas el reintegro de la apuesta El cálculo del premio en las apuestas de contrapartida se realiza según el método Fecha Impresión: 29/06/2011 Página 32 de 36 Fecha Modificación: 2906/2011

33 establecido en el Reglamento. Identificación P47 Artículo Artículo 28 Premios en las apuesta cruzadas El premio por apuesta será la cantidad apostada por el jugador menos la comisión de empresa organizadora ( máximo 10% de las cantidades apostadas a apuestas ganadoras) El cálculo del premio en las apuestas cruzadas se realiza según el método establecido en el Reglamento. Identificación P48 Artículo Artículo 29 Abono de premios en Terminales y maquinas auxiliares El cálculo de las cantidades implicadas en el reparto de premios no excederá de las 24 horas desde la validez del resultado del evento, realizándose por cualquier medio legal de pago (excepto en metálico) y sin coste para el usuario. Se debe garantizar el correcto funcionamiento del sistema en caso de incidencias (falta de fluido eléctrico, fallo en las comunicaciones, etc) Se disponen de los medios técnicos necesarios para admitir el cobro de las apuestas en un tiempo inferior a 24 horas. Así mismo se disponen de mecanismos para garantizar el pago en caso de incidencias. Fecha Impresión: 29/06/2011 Página 33 de 36 Fecha Modificación: 2906/2011

34 Identificación P49 Artículo Artículo 29 Plazo de reparto de premios en apuestas realizadas por sistemas de comunicación a distancia El reparto de premios será de manera automática en el instante de terminar el cálculo de las operaciones de reparto mediante los medios de pago permitidos por el Reglamento. Se disponen de los medios técnicos necesarios para admitir el cobro de las apuestas en un tiempo inferior a 24 horas. Así mismo se disponen de mecanismos para garantizar el pago en caso de incidencias. Identificación P50 Artículo Artículo 30 Caducidad del derecho al cobro El sistema de apuestas debe garantizar que el derecho al cobro caducará antes de los 3 meses de la fecha de puesta a disposición. El sistema dispondrá de adecuadas medidas de seguridad para garantizar la no manipulación de los tiempos de caducidad de las apuestas realizadas y no realizadas. El sistema calcula correctamente el tiempo de caducidad del cobro de las apuestas. Existen medidas para evitar la manipulación de este cálculo. Identificación P51 Artículo Artículo 29 Fecha Impresión: 29/06/2011 Página 34 de 36 Fecha Modificación: 2906/2011

35 Gestión de premios de cuantía superior a 3005,06 euros Los premios de cuantía superior a 3005,06 euros deben ser comunicados al organismo competente en materia de tributación del juego de la Generalitat Valenciana. El sistema, en el caso de premios con cuantía superior a 3005,06 informa al afectado de que sus datos personales (nombre, apellidos, y NIF) serán enviados a la Generalitat Valenciana. Identificación P52 Artículo Artículo 29 Gestión de premios de cuantía superior a 3005,06 euros en maquinas auxiliares. Cuando se obtenga un premio de cuantía superior a 3005,06 euros el abono de este no debe ser realizado por la maquina auxiliar. En el caso de premios con cuantía superior a 3005,06 la maquina auxiliar no abona el premio, se informa al afectado indicándole que debe acudir a una casa de apuestas con el boleto para proceder al cobro. Identificación P53 Artículo NA El sistema deberá estar dotado de mecanismos que permitan garantizar que el ámbito de desarrollo, celebración o comercialización de las apuestas no exceda del territorio de la Comunidad Valenciana cuando estas se formalicen por medios electrónicos, telemáticos o de comunicación a distancia. El sistema deberá estar dotado de mecanismos que permitan establecer el ámbito de desarrollo, celebración o comercialización de las apuestas cuando estas se lleven a cabo mediante medios electrónicos, telemáticos o de comunicación a distancia, sea Fecha Impresión: 29/06/2011 Página 35 de 36 Fecha Modificación: 2906/2011

36 cual sea este (Internet, teléfono, TDT, etc). Existen mecanismos establecidos que permiten garantizar que el apostante se encuentra dentro del ámbito territorial de la Comunidad Valenciana. Fecha Impresión: 29/06/2011 Página 36 de 36 Fecha Modificación: 2906/2011