Estándar de Control de la Seguridad de la WLA

Transcripción

1 Asociación Mundial de Loterías Estándar de de la Seguridad de la WLA Estándar de seguridad e integridad para organizaciones operadoras de loterías y juegos de azar y pronósticos y pronósticos WLA-SCS:2012 Edición septiembre 2012 Todos los derechos reservados. Salvo que se especifique lo contrario, ninguna parte de esta publicación puede ser reproducida o utilizada de ninguna forma ni por ningún medio, sea electrónico o mecánico, incluyendo fotocopiado o microfilm, sin el consentimiento por escrito de la WLA.

2 Prefacio 2 Introducción 3 Contenido Compatibilidad con otros sistemas de gestión 3 1. Alcance General Aplicación 4 2. Referencias a estándares 4 3. Términos y definiciones Abreviaturas comunes Definiciones 4 4. Visión general 5 5. Requisitos generales de seguridad e integridad 5 Cumplimiento con el estándar ISO Alcance del Sistema de Gestión de Seguridad de la Información (SGSI) 5 Declaración de aplicabilidad 5 es básicos de la WLA 5 6. Requisitos específicos de seguridad e integridad para organizaciones operadoras de loterías y juegos de azar y pronósticos 5 Anexo A 6 es básicos (generales) de seguridad e integridad 6 G.1 Organización de la seguridad 6 G.2 Seguridad y personas 7 G.3 Seguridad física y del entorno 7 G.4 de acceso a sistemas de juego 8 G.5 Mantenimiento de los sistemas de información 8 G.6 Gestión de la continuidad de negocio 9 Anexo B 10 es específicos de seguridad e integridad 10 L.1 Billetes de lotería instantánea 10 L.2 Sorteos de lotería 14 L.3 Seguridad en puntos de venta 16 L.4 Custodia del dinero de premios 17 L.5 Personal de ventas y servicios al cliente 19 L.6 Ventas a través de Internet y servicios interactivos 19 L.7 Apuestas deportivas 21 Listado de tablas Tabla A es básicos y objetivos 6 9 Tabla B es específicos y objetivos Prefacio La Asociación Mundial de Loterías (WLA por sus iniciales en inglés), desde sus primeros pasos percibió la necesidad de establecer estándares de seguridad e integridad adecuados para las organizaciones operadoras de loterías y juegos de azar y pronósticos, y ha desarrollado de manera más amplia el trabajo iniciado por las asociaciones que la precedieron. Las organizaciones operadoras de loterías y juegos azar y pronósticos necesitan desarrollar un entorno de seguridad e integridad visible y documentado que les permita mantener la confianza del público y de otros grupos de interés. El Estándar de de la Seguridad de la WLA (WLA- SCS) se ha diseñado para que resulte de ayuda, a las organizaciones operadoras de loterías y juegos de azar y pronósticos del mundo, para alcanzar un nivel de control alineado tanto con las mejores prácticas generalmente aceptadas como con los requisitos específicos del sector en materia de integridad operativa y seguridad de la información. Esto contribuye a crear una mayor confianza sobre la integridad de las actividades de las organizaciones operadoras de loterías y juegos de azar y pronósticos. La certificación en el WLA-SCS proporciona una medida objetiva sobre el desempeño de una organización operadora de loterías y juegos de azar y pronósticos respecto su control de la seguridad y la gestión de riesgo. EL WLA-SCS ha sido elaborado por el Comité de Seguridad y Gestión de Riesgo (SRMC por sus siglas en inglés) de la WLA. Este Comité cuenta con representantes y especialistas en materia de seguridad provenientes de organizaciones operadoras de loterías y juegos de azar y pronósticos de todo el mundo. Gracias a la comparación de las prácticas actuales en seguridad e integridad empleadas en el sector con las prácticas probadas por expertos de loterías, se ha logrado establecer un marco de seguridad y gestión de riesgo sólido para las organizaciones operadoras de loterías y juegos de azar y pronósticos. El SRMC de la WLA genera todos los estándares de control de seguridad para su implementación en el sector de las organizaciones operadoras de loterías y los juegos de azar y pronósticos (de la WAL), actúa como contacto principal en materia de seguridad para WLA y supervisa el proceso de certificación a través del cual se verifica el cumplimiento de las organizaciones operadoras de loterías y juegos de azar y pronósticos con el WLA-SCS. Toda actualización o adopción de nuevos estándares por parte del SRMC de la WLA requiere ser respaldada y autorizada por el Comité Ejecutivo de la WLA y aprobada en Asamblea General antes de su publicación como estándar de la WLA. 2 2

3 La estructura actual de los estándares de la WLA se alinea con la de la Organización Internacional de Estandarización (ISO por sus siglas en inglés). La WLA se compromete a mantener el WLA-SCS actualizado de manera que permanezca alineado con el estándar ISO/IEC Introducción Este estándar define requisitos de seguridad, integridad y gestión de riesgo a ser empleados por el sector de las organizaciones operadoras de loterías y juegos de azar y pronósticos, además de ser referencia en materia de seguridad e integridad en el sector. Este estándar ayuda a las organizaciones operadoras de loterías y juegos de azar y pronósticos del mundo a alcanzar un nivel de control que se alinee con las prácticas generalmente aceptadas y hace posible que haya una mayor confianza en la integridad de sus operaciones. Este estándar prescribe un proceso de gestión de la seguridad que cumple con estándares tanto reconocidos internacionalmente como con buenas prácticas básicas de seguridad específicas para las organizaciones operadoras de loterías y juegos de azar y pronósticos. Se trata de un conjunto completo de requisitos, controles y prescripciones elaboradas para las organizaciones operadoras de loterías y juegos de y pronósticos que incluye el cumplimiento con el estándar ISO/IEC 27001:2005 sobre los sistemas de gestión de seguridad de la información. seguridad, los procesos que emplea, así como por su tamaño y estructura. Puesto que estos factores y sus sistemas de apoyo se modifican con el tiempo debería producirse una adaptación en la implementación del sistema de acuerdo con las necesidades de la organización. El cumplimiento con WLA-SCS puede ser usado por grupos tanto internos como externos con el fin de evaluar la seguridad e integridad de los sistemas de una organización operadora de loterías y juegos de azar y pronósticos. Compatibilidad con otros sistemas de gestión El WLA-SCS está alineado con los estándares ISO/IEC 27001:2005 e ISO 9001:2008 a fin de permitir la implementación y operación consistente e integrada con otros estándares en materia de gestión. Así pues, un solo sistema de gestión diseñado adecuadamente podrá satisfacer los requisitos de estos estándares ISO y los de la WLA. Se puede considerar como la piedra angular sobre la cual se construyen las relaciones de confianza con otras organizaciones operadoras de loterías y juegos de azar y pronósticos, grupos de interés y reguladores con el fin de gobernar la operación de loterías y juegos de azar y pronósticos, así como juegos multi-jurisdiccionales. La experiencia ha probado que este estándar constituye un elemento importante que permite una evaluación independiente de la gestión de la seguridad que contribuya a aumentar la confianza en la organización. El cumplimiento con WLA-SCS permite a las organizaciones operadoras de loterías y juegos de azar y pronósticos proporcionar confianza sobre la integridad, disponibilidad y confidencialidad de sus servicios y de la información, vital para su funcionamiento efectivo. La adopción del WLA-SCS es una decisión estratégica de las organizaciones operadoras de loterías y juegos de azar y pronósticos. El diseño e implementación de los sistemas de una organización vienen definidos conforme a sus necesidades y objetivos específicos, sus requisitos en materia de 3 3

4 1 Alcance 1.1 General El WLA-SCS se aplica a todo tipo de organizaciones operadoras de loterías y juegos de azar y pronósticos (sean empresas, agencias gubernamentales o organizaciones sin ánimo de lucro). El WLA-SCS especifica los requisitos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un sistema de gestión de la seguridad e integridad documentado dentro del contexto de los riesgos generales de la organización. De igual modo, define los requisitos necesarios para implementar controles de seguridad e integridad aplicables a las necesidades específicas de la organización de manera que los sistemas puedan ser diseñados para dar confianza sobre la selección de controles de seguridad e integridad adecuados y proporcionados que protejan los recursos y den mayor confianza a las partes interesadas. 1.2 Aplicación Los requisitos establecidos por el WLA-SCS son genéricos y se pretende que sean aplicables a todas las organizaciones, independientemente del tipo, tamaño o naturaleza de estas. Cuando una organización desee declarar conformidad con el WLA-SCS no puede excluir ninguno de los requisitos especificados en las cláusulas 5 y 6 ni en los anexos A y B. Cualquier exclusión de controles que se considere necesaria en relación con las cláusulas 5 y 6 y con los anexos A y B, debe quedar justificada formalmente, disponiendo de pruebas de que las personas responsables han aceptado tal exclusión. Cuando algún control queda excluido no se puede declarar a la organización conforme con el WLA-SCS salvo que dicha exclusión no afecte a la capacidad y/o responsabilidad de la organización para ofrecer un nivel de seguridad e integridad que cumpla con los requisitos exigibles resultantes de la evaluación de riesgo y con los requisitos legales o regulatorios aplicables. Nota: Si una organización cuenta ya con un sistema de gestión de procesos operacional (por ejemplo, en relación con los estándares ISO 9001 o ISO 14001), es preferible, en la mayoría de los casos, satisfacer los requisitos del WLA-SCS dentro del sistema de gestión existente. Importante: El WLA-SCS no pretende incluir todas las disposiciones necesarias de un contrato. Las organizaciones operadoras de loterías y juegos de azar y pronósticos que adopten el WLA-SCS son responsables de su correcta aplicación. El cumplimiento con cualquier estándar no concede automáticamente inmunidad ante cualquier obligación legal. 2 Referencias a estándares Para la aplicación del WLA-SCS se requieren los siguientes documentos de referencia. Para referencias fechadas, solo se aplica la edición que se menciona a continuación. Para referencias sin fecha, se aplica la edición más reciente del referido documento (incluyendo cualquier modificación). Tecnología de la Información Técnicas de Seguridad Sistemas de Gestión de Seguridad de la Información Requisitos ISO/IEC 27001: Términos y definiciones 3.1 Abreviaturas comunes Las siguientes abreviaturas aparecen frecuentemente en este Estándar: WLA: World Lottery Association (Asociación Mundial de Loterías) WLA-SCS: WLA Security Standard (Estándar de de Seguridad de la WLA) SRMC de la WLA: Security and Risk Management Committee of the World Lottery Association (Comité de Seguridad y Gestión de Riesgos de la WLA) 3.2 Definiciones En esta sección encontrará solo aquellos términos que se usan de manera especializada en este documento. La mayoría de los términos aquí empleados se usan ya sea de acuerdo con su definición en los diccionarios o con las definiciones normalmente aceptadas que se pueden encontrar en los glosarios de seguridad de ISO o cualquier otro glosario reconocido de términos de seguridad. WLA (World Lottery Association): organización internacional formada por organizaciones operadoras de loterías y juegos de azar y pronósticos provenientes de más de 80 países en seis continentes. La WLA mantiene el compromiso de compartir conocimientos y experiencias entre sus miembros y a mejorar sus negocios para el beneficio de los grupos de interés, tal como lo exigen las autoridades en sus respectivas jurisdicciones. SRMC de la WLA (Comité de Seguridad y Gestión de Riesgos): comité de profesionales en materia de seguridad provenientes de diferentes organizaciones operadoras de loterías y juegos de azar y pronósticos de seis continentes y cuyos miembros son nombrados por el Comité Ejecutivo de la WLA. El SRMC de la WLA está autorizado para supervisar 4 4

5 el proceso de selección de los auditores de certificación y a asesorar a la WLA y a sus miembros en lo que respecta a seguridad y gestión de riesgo. 4 Visión general El objetivo principal del enfoque de seguridad e integridad para las organizaciones operadoras de loterías y juegos de azar y pronósticos es dar mayor confianza sobre las operaciones. La confianza sobre las operaciones es un elemento clave para satisfacer a los participantes en los juegos y otros grupos de interés. Por tanto, las organizaciones operadoras de loterías y juegos de azar y pronósticos necesitan desarrollar y mantener un entorno de seguridad e integridad visible y documentado. El WLA-SCS compila los requisitos y controles que se consideran mejores prácticas en el área. Una organización operadora de loterías y juegos de azar y pronósticos debe implementar los controles que se derivan directamente del estándar ISO 27001, así como los controles generales obligatorios. El WLA-SCS incorpora requisitos y controles básicos dentro del proceso general de seguridad, integridad y gestión de riesgo de una organización operadora de loterías y juegos de azar y pronósticos. Asimismo, evita la duplicidad con marcos de seguridad más generales y permite a los profesionales con responsabilidades en el área de seguridad e integridad contar con un proceso a través del cual pueden formalmente gestionar, actualizar y mejorar de manera continua sus controles. Ello requiere que las organizaciones operadoras de loterías y juegos de azar y pronósticos desarrollen y mantengan un entorno de seguridad visible y documentado. El WLA-SCS comprende dos partes en las que se especifican los requisitos mínimos necesarios para el manejo efectivo de la seguridad e integridad dentro de una organización de loterías y juegos de azar y pronósticos. La primera parte (Anexo A es generales de seguridad e integridad) incluye el cumplimiento tanto con el estándar ISO/IEC 27001:2005, con alcance global, así como con otros 21 controles básicos adicionales elaborados por la WLA. La segunda parte (Anexo B- es específicos de seguridad e integridad) proporciona 90 controles adicionales específicos para las organizaciones operadoras de loterías y juegos de azar y pronósticos, que representan las mejores prácticas actuales en materia de seguridad e integridad en el sector. 5 Requisitos generales de seguridad e integridad Cumplimiento con el estándar ISO La organización debe operar un Sistema de Gestión de Seguridad de la Información (SGSI) que cumpla con el estándar ISO/IEC 27001:2005. Alcance del SGSI El alcance del SGSI de la organización operadora de loterías y juegos de azar y pronósticos debe incluir todas sus actividades, así como todos los sistemas relacionados. Cualquier exclusión del alcance debe ser justificado de manera detallada. Declaración de aplicabilidad La declaración de aplicabilidad del SGSI de la organización debe incluir explícitamente todos los controles mencionados en las cláusulas 5 y 6 y en los anexos A y B del WLA-SCS, incluyendo todas las actividades efectuadas por la organización operadora de loterías y juegos de azar y pronósticos, así como todos los sistemas relacionados. Clquier exclusión de controles del estándar ISO/IEC 27001:2005, así como cualquier control no aplicable, debe ser justificado en detalle. es básicos de la WLA La organización debe implementar los 21 controles básicos (generales) compilados en la tabla A, anexo A, cláusulas G.1 a la G.6. Se derivan, acotan y refuerzan controles fundamentales definidos en el estándar ISO/IEC 27001: Requisitos específicos de seguridad e integridad para organizaciones operadoras de loterías y juegos de azar y pronósticos La organización debe implementar los 90 controles específicos que se encuentran en la tabla B, anexo B, cláusulas L.1 a la L.7. La implantación de estos controles específicos para organizaciones operadoras de loterías y juegos de azar es obligatoria siempre que sean aplicables. 5 5

6 Anexo A es básicos (generales) de seguridad e integridad Los controles que se mencionan en la tabla A, cláusulas G.1 a la G.6 son controles obligatorios en el marco del WLA- SCS. Se derivan, acotan y refuerzan controles fundamentales definidos en el estándar ISO/IEC 27001:2005. La lista que se presenta en la tabla A no es exhaustiva por lo que una organización operadora de loterías y juegos de azar y pronósticos puede considerar necesario contar con controles adicionales. Tabla A es básicos y objetivos G.1 Organización de la seguridad G.1.1 Asignación de responsabilidades de seguridad asegurar que las responsabilidades de la función de seguridad están efectivamente implementadas. G Foro/comité de seguridad Debe estar formalmente establecido un foro de seguridad, o cualquier otra estructura organizativa formada por gestores senior, que supervise y revise el SGSI. Dicho foro debe reunirse al menos cada seis meses y mantener actas formales de las reuniones. G Función de seguridad Debe existir la función de seguridad, responsable de proponer e implementar las estrategias de seguridad y los planes de actuación. Debe evaluar y estar implicada en todos los procesos de la organización que tengan relación con aspectos de la seguridad, incluyendo, pero no limitado a, la protección de la información, las comunicaciones, la infraestructura física y los procesos de juego. G G G Dependencia de la función de seguridad Rango de la función de seguridad Responsabilidad de la función de seguridad La función de seguridad debe depender de un nivel que no sea inferior a la Dirección Ejecutiva y no estará ubicada dentro de la función IT o dependiendo de ella. La función de seguridad debe estar suficientemente facultada y tener acceso a todos los recursos corporativos necesarios para permitir una adecuada evaluación, gestión y reducción del riesgo. El jefe de la función de seguridad debe ser miembro permanente del foro de seguridad y debe ser responsable de recomendar políticas de seguridad y cambios. 6 6

7 G.2 Seguridad y personas G.2.1 Implantación de un Código de Conducta asegurar que este implantado un Código de Conducta. G Código de Conducta Se debe entregar a toda persona que se incorpore una copia del Código de Conducta. Toda persona debe declarar aceptación formalmente, mediante acuse de recibo del mencionado Código. G Cumplimiento y acción disciplinaria El Código de Conducta debe incluir declaraciones respecto al cumplimiento de todas las políticas y procedimientos y sobre las acciones disciplinarias a las que podría conllevar cualquier incumplimiento o desacato al Código. G Conflictos de interés El Código de Conducta debe requerir la notificación de conflictos de interés en el momento en que se produzcan. En el código se deben citar ejemplos precisos de conflictos de interés. G Política sobre agasajos y obsequios El Código de Conducta debe incluir una política respecto a agasajos y obsequios dados o recibidos de personas o entidades con las cuales la organización mantiene transacciones comerciales (negocios). G.3 Seguridad física y del entorno G.3.1 Áreas seguras asegurar que las áreas desde las que se tiene acceso a los centros de proceso de datos de los juegos en producción, o a otros sistemas importantes para las actividades de juego, están adecuadamente protegidas. G es de acceso físico El acceso físico a los centros de proceso de datos de los sistemas de juegos en producción, salas de equipos informáticos, centros de operación/control de red y cualquier otra área identificada como crítica, debe estar controlada mediante mecanismos de autenticación de dos factores. Son aceptables mecanismos electrónicos de control de acceso basados en un solo factor, si el área está permanentemente ocupada por personal. 7 7

8 G.4 de acceso a sistemas de juego G.4.1 Gestión de acceso de usuarios remotos asegurar el acceso de usuarios remotos autorizados a los sistemas de información de juegos y prevenir accesos no autorizados. G G G Acceso de usuarios remotos a los sistemas de juego Funcionalidades para usuarios de acceso remoto Registro de acceso de usuarios remotos Debe estar establecido un procedimiento que permita un acceso remoto estrictamente controlado. El conjunto de funcionalidades disponibles para estos usuarios debe definirse de forma conjunta por los propietarios del proceso, la función IT y la función de seguridad. Todas las acciones ejecutadas a través de acceso remoto deben registrarse y esos registros (logs) deben revisarse de forma regular. G.5 Mantenimiento de los sistemas de información G.5.1 es criptográficos proteger la confidencialidad, autenticidad e integridad de la información crítica relacionada con los juegos, la lotería y el participante, mediante el empleo de medios criptográficos. G G G G G es criptográficos para datos en equipos portátiles es criptográficos para redes es criptográficos para almacenamiento es criptográficos para números de validación es criptográficos para transferencias Se deben cifrar los datos de la organización clasificados como no públicos depositados en dispositivos portátiles (procesadores portátiles, dispositivos USB, etc.) Se debe cifrar la información sensible, incluyendo la validación o cualquier otra información crítica de juego, correo electrónico, etc., transmitida mediante redes para las que el análisis de riesgo indica que proveen un inadecuado nivel de protección. Se deben aplicar medidas de integridad para almacenar la información contenida en los resguardos ganadores así como de la información de validación. Se deben cifrar los datos de validación de productos de lotería instantánea. Se deben cifrar las transacciones financieras entre la organización y las instituciones bancarias. 8 8

9 G.5.2 Pruebas de sistemas mantener la seguridad de los datos (confidencialidad e integridad). G Política de metodología de pruebas y datos La política de metodología de pruebas debe incluir disposiciones dirigidas a impedir el uso de datos (reales) creados en un sistema en producción correspondientes a sorteos aún activos. Debe también incluir disposiciones dirigidas a impedir el uso de datos personales de los participantes. G.6 Gestión de la continuidad de negocio G.6.1 Gestión de las relaciones con los medios de comunicación pública y disponibilidad asegurar la protección de la imagen y reputación de la organización y contrarrestar interrupciones de la actividad del negocio. G G Gestión de las relaciones con los medios de comunicación y con el personal Aprobación de los Socios o del Consejo de Administración El plan de continuidad de negocio debe incluir planes para gestionar las relaciones con los medios de comunicación y el personal durante situaciones de crisis. La organización debe asegurar que el Consejo de Administración o los Socios de la organización están conformes con los requisitos de disponibilidad establecidos. 9 9

10 Anexo B es específicos de seguridad e integridad Los controles que se mencionan en la tabla B, cláusulas L.1 a la L.7 son obligatorios, salvo aquellos que no sean aplicables a las operaciones de una determinada organización operadora de loterías y juegos de azar y pronósticos. La lista no es exhaustiva por lo que una organización operadora de loterías y juegos de azar y pronósticos puede considerar que es necesario contar con controles adicionales. Tabla B es específicos y objetivos L.1 Billetes de lotería instantánea L.1.1 Diseño de juego instantáneo asegurar que el diseño del juego cumple con los requisitos legales y regulatorios y que esta autorizado al nivel adecuado antes de ser puesto en producción. L L Procedimientos documentados de billetes de lotería instantánea Aprobación del diseño del juego Deben desarrollarse y estar documentados procedimientos formales que incluyan el diseño, desarrollo, producción y emisión del juego instantáneo. El diseño final del juego debe ser formalmente aprobado mediante un proceso que involucre a la función de seguridad. L Selección del proveedor Los impresores/proveedores de billetes de lotería instantánea deben estar sujetos a un proceso de selección y aprobación. La aprobación debe involucrar a la función de seguridad. L Requisitos de seguridad Los requisitos de seguridad concretos relativos al juego y al billete físico deben estar documentados y ser parte del contrato con el impresor/ proveedor. L de calidad Los requisitos de control de calidad para la impresión de billetes de lotería instantánea deben estar documentados y ser parte del contrato con el impresor/proveedor. L Políticas de auditoría y pruebas en laboratorio Debe estar establecida una política que describa las auditorías necesarias y las pruebas en laboratorio del diseño del juego e impresión de billetes

11 L.1.2 Impresión de billetes de lotería instantánea asegurar que los billetes de lotería instantánea cumplen con los estándares de seguridad de la organización relativos a la producción e impresión. L L L L Requisitos de impresión de billetes de lotería instantánea Aseguramiento de la calidad de la impresión Cifrado de números de validación Cifrado de archivos de validación y ganadores La organización debe entregarle al impresor/proveedor una especificación del juego y requisitos detallados en materia de seguridad. Los requisitos de seguridad deben incluir que el impresor/ proveedor tenga una función interna de aseguramiento de calidad. Los requisitos de seguridad deben incluir el cifrado de los números de validación. Los requisitos de seguridad deben incluir el cifrado de de los archivos de validación y de información de ganadores. L Verificación de billete Se deben realizar comprobaciones de muestras aleatorias de paquetes de billetes por juego para asegurar que estos cumplen con los márgenes de tolerancia dispuestos en la especificación de la organización. L Datos para pruebas de aceptación Los requisitos de seguridad deben incluir la provisión de datos de inventario y validación a la función de seguridad o control de calidad designada por la organización para realizar pruebas de aceptación en cada primera ronda de impresión y antes del lanzamiento. L.1.3 Envío de billetes de lotería instantánea asegurar el transporte seguro de billetes de lotería instantánea desde el impresor/proveedor a la organización. L Manifiesto de transporte Los requisitos de transporte deben especificar que se debe enviar un manifiesto de transporte completo a la organización antes del despacho de cada envío. L Modo de transporte La organización debe asegurarse de que el proceso de envíos se produce conforme al método de transporte acordado y que no se cambia sin la debida autorización de la organización. L Contenedores de transporte precintados Los contenedores de transporte deben estar precintados y los números de los precintos deben constar en el manifiesto de transporte

12 L.1.4 Almacenamiento y distribución de billetes de lotería instantánea asegurar que los billetes de lotería instantánea se almacenan y distribuyen de forma segura. L Auditoría de almacenes Debe estar establecido un procedimiento de inspección, por personal autorizado, de los almacenes de billetes de lotería instantánea, al menos una vez al año. L L L L Verificación del transporte de billetes Procedimiento de verificación de billetes Resultado de la verificación de billetes Sistema de control de billetes Cada consignación de billetes debe ser formalmente comprobada a su llegada. Se debe verificar mediante un procedimiento de comprobación de entregas a su llegada que los números de los precintos son correctos y que la seguridad del contenedor se ha preservado. Los resultados de la verificación deben documentarse y en caso de no conformidades y/o irregularidades se debe actuar para determinar si se ha comprometido la seguridad de un envío. Se deben contabilizar -mediante un sistema de control en funcionamiento- los paquetes de billetes desde su llegada a los almacenes de la organización hasta el momento que llegan al punto de venta. L.1.5 Seguridad en los puntos de venta (minoristas) lotería instantánea asegurar que los puntos de venta se adecuan a los requisitos de seguridad aplicables a la recepción, almacenamiento y venta de billetes de lotería instantánea. L L L L Recepción de billetes en los puntos de venta Confirmación de recepción Instrucciones para los minoristas Capacitación de los minoristas en materia de seguridad La organización debe requerir a los minoristas, bien por vía contractual o por los medios que corresponda, que validen la integridad de los paquetes de billetes al momento de la recepción. Asimismo, se les debe solicitar que confirmen la recepción concreta de cada una consignación de billetes. Tan pronto se disponga de la confirmación de recepción, se debe registrar formalmente que los billetes se han emitido a ese punto de venta. La organización debe dar instrucciones a los minoristas sobre pago de premios, validación de billetes, manejo y almacenamiento de billetes, comunicación de asuntos de seguridad y la gestión de billetes perdidos y robados. La organización debe proporcionar y documentar la capacitación a minoristas que les permita cumplir con los requisitos de seguridad asociados al manejo de billetes de lotería instantánea

13 L.1.6 Cierre de juegos de lotería instantánea asegurar que los requisitos de controles de seguridad y auditoría se mantienen cuando se cierra un determinado juego instantáneo. L L L L Procedimiento de cierre del juego Información para los minoristas Cuadre de inventario y existencia de billetes Auditoría de comprobación de existencia ( de inventario) La organización debe establecer el procedimiento a ser empleado para el cierre del juego. Debe establecerse y documentar el método y calendario para informar a los minoristas sobre el cierre de un juego y la recolección de billetes. Debe establecerse el método de cuadre entre inventario y existencia de billetes de juego que se encuentran en almacenes y en puntos de venta. Deben establecerse documentalmente los requisitos de auditorías de comprobación de existencia de billetes. L Personal autorizado Se debe definir formalmente quiénes están autorizados a cerrar un juego y/o a destruir billetes. L Destrucción de billetes Debe estar formalmente establecido el método y forma de control de la destrucción de billetes

14 L.2 Sorteos de lotería L.2.1 Gestión de los sorteos de lotería asegurar que los sorteos se realizan en el horario y días en el que la regulación lo estipula y conforme a las reglas aplicables del juego en cuestión. L Acto del sorteo Debe estar establecida una política que asegure que los actos de sorteo de lotería se desarrollan como actos planificados y controlados, conforme a instrucciones de trabajo claras. L L L L L Instrucciones para la celebración del sorteo Miembros del equipo de sorteo Deberes del equipo de sorteo Equipo de sorteo de reserva Horario y cronología del sorteo Antes de cada sorteo, la organización debe haber publicado las instrucciones de trabajo, incluyendo instrucciones especiales con respecto al sorteo. Las instrucciones de trabajo deben incluir la composición (personas) del equipo de sorteo, incluyendo sus números de teléfono de contacto. Las instrucciones de trabajo deben incluir las responsabilidades de los miembros identificados del equipo de sorteo. Las instrucciones de trabajo deben nombrar e identificar a las personas de reserva y dar detalles sobre el despliegue del equipo de reserva. Las instrucciones de trabajo deben incluir los horarios y cronología detallada de las operaciones de sorteo desde la apertura del local del sorteo hasta el cierre del mismo. L Observadores del sorteo Las instrucciones de trabajo deben incluir detalles de cualquier requisito relativo a las normas sobre el operador de la lotería sobre la obligación de presencia de observadores independientes durante el sorteo

15 L.2.2 Celebración del sorteo asegurar que la celebración del sorteo cumple con los requisitos regulatorios y con las normas aplicables del juego de lotería en cuestión. L L Procedimiento del sorteo Guía del sorteo paso a paso La organización debe establecer un procedimiento de sorteo detallado que asegure que todas las funciones del sorteo se ejecutan de manera conforme con las reglas aplicables del juego de lotería y con los requisitos regulatorios. El procedimiento de sorteo debe incluir una guía paso a paso del proceso del sorteo. L Lugar del sorteo El procedimiento de sorteo debe definir el lugar de celebración del sorteo. L Asistencia al sorteo y responsabilidades El procedimiento de sorteo debe definir quiénes asisten al sorteo y cuáles son las responsabilidades y acciones de todos los participantes. L Supervisión del sorteo El procedimiento de sorteo debe definir la política respecto a la asistencia de un oficial de cumplimiento (independiente) o auditor. L L Seguridad de las actividades del sorteo Emergencias durante el sorteo El procedimiento de sorteo debe incluir medidas de seguridad adecuadas para las actividades del sorteo y para todo el equipamiento utilizado durante el sorteo. El procedimiento de sorteo debe incluir las acciones a tomar en caso de que suceda una emergencia durante la celebración del sorteo

16 L.2.3 Equipamiento del sorteo y conjunto de bolas asegurar que el equipamiento de sorteo y los conjuntos de bolas cumplen con los requisitos de seguridad convenidos y/o las especificaciones regulatorias. L L L L L Procedimiento de inspección Inspecciones periódicas y mantenimiento Conjunto de bolas compatibles Equipamiento alternativo (de remplazo) del sorteo Manejo, almacenamiento y traslado del equipamiento del sorteo y conjunto de bolas Debe estar en vigor un procedimiento para la inspección de forma periódica del equipamiento de sorteo y los conjuntos de bolas, al momento de su entrega por parte del fabricante y a partir de entonces, tras consultar con una autoridad independiente. Ello con el fin de asegurar el cumplimiento con las especificaciones técnicas y los estándares. Deben realizarse, al menos anualmente, inspecciones y mantenimiento del equipamiento de sorteo, y documentarse, para cumplir a lo largo de la vida útil del equipamiento las condiciones de operación especificadas. La organización debe tener en vigor un procedimiento que estipule el uso de conjuntos de bolas fabricados con las medidas y peso-y sus toleranciascompatibles con el equipamiento de sorteo (bombo) que se emplea. La organización debe tener en vigor, si el sorteo es transmitido en vivo, un procedimiento que estipule la disponibilidad de equipamiento de sorteo alternativo y uno o varios conjuntos de bolas alternativos para su empleo en caso de problemas mecánicos o fallas de cualquier tipo. La organización debe tener en vigor un procedimiento que estipule el almacenamiento, traslado y manejo seguro del equipamiento de sorteo y conjuntos de bolas. L.3 Seguridad en los puntos de venta L.3.1 Selección y puesta en marcha asegurar que solo se aceptan (para la operación de puntos de venta de los productos, en línea y fuera de línea, de la organización) personas autorizadas, que operan en locales aprobados,. L Contrato del punto de venta La relación con los minoristas debe estar sujeta a los términos de un contrato establecido. L.3.2 Actividades del punto de venta asegurar que las actividades (operaciones) del punto de venta, para productos en línea y fuera de línea, se adecuan y son conformes con los requisitos de seguridad de la organización. L Seguridad del punto de venta La organización debe especificar los requisitos de seguridad que el punto de venta debe cumplir. Ello hará posible que el punto de venta se adecue y esté conforme con los requisitos de la organización en materia de seguridad

17 L.3.3 Seguridad de los terminales de juego asegurar la adecuada seguridad de los terminales de juego. L L L Seguridad de las transacciones Pruebas de seguridad de terminales Seguridad de terminales de autoservicio Los terminales de juego deben incluir prestaciones que permitan la autenticación y cifrado del tráfico de datos entre el terminal y los sistemas de juego centrales. Previo a su uso en el entorno de producción, se debe completar un concienzudo programa de pruebas relativo a las funcionalidades de seguridad del terminal. Estas pruebas deben incluir comprobaciones de que esté instalada la versión correcta de la aplicación (software). Los terminales de autoservicio deben disponer de mecanismos de seguridad que protejan la integridad del juego. L.4 Custodia del dinero de premios L.4.1 Validación y pago de premios asegurar que la organización tiene desplegados los controles necesarios para la validación y el pago de premios. L Validez de la información de premiados En relación con los premiados, la organización debe implementar procedimientos que aseguren la validez de las transacciones, de los billetes/resguardos y de las solicitudes de cobro. L Procesos de validación La organización debe definir y documentar los procesos de validación para los distintos niveles de premio y tipos de juegos. L Pago de premios La organización debe establecer un proceso para el pago o transferencia del dinero de premios

18 L.4.2 Dinero de premios pendientes de pago (unclaimed) asegurar el dinero de premios pendientes de pago, antes y después del final del período de cobro (caducidad) de premios. L L L L L Número único de referencia del billete/resguardo Procedimiento para la protección del dinero de premios pendientes de pago Período de pago de premios y auditoría Reglas de pago e investigaciones de acceso a la información sobre premios pendientes de pago El sistema central de juegos en línea en producción debe poder incluir en cada billete/resguardo un número de referencia único. La organización debe establecer un procedimiento específicamente referido a la protección del dinero de premios pendientes de pago y de los archivos de datos que contengan información sobre la situación de pago de premios de cada juego, las transacciones específicas que están pendientes y los archivos de validación. El procedimiento debe incluir el período completo de pago de premios, así como la auditoría de las transferencias de liquidación final del juego. El procedimiento debe confirmar las reglas sobre el período de validez del billete/resguardo (caducidad), pago de premios de billetes/resguardos perdidos o en mal estado, investigaciones específicas sobre la validez de solicitudes de cobro de premios y cobro de premios tardíos o de último minuto. El procedimiento debe confirmar que el control de acceso es estricto y limitado a lo necesario para los registros relativos a premios pendientes de pago. L Notificación de accesos El procedimiento debe confirmar que existe un proceso de notificación (alerta) en el caso de que se produzca algún intento de acceso no autorizado. L Proceso de escalado El procedimiento debe confirmar que existe un proceso de escalado de cualquier incidente o actividad sospechosa. L Auditoría de información de registro de acceso El procedimiento debe confirmar que el dinero de premios pendientes de pago está resguardado. L Trazas de auditoría El procedimiento debe confirmar que se mantienen trazas de auditoría que permiten identificar patrones no habituales de pagos tardíos

19 L.5 Personal de ventas y servicios al cliente L.5.1 Personal que trabaja fuera de los locales de la organización asegurar que los representantes comerciales y técnicos que trabajan fuera de los locales de la organización reciben un adecuado nivel de protección. L Personal que trabaja fuera de los locales de la organización Debe estar en vigor una política que asegure que el personal que trabaja fuera de los locales de la organización recibe e implementa un adecuado nivel de protección. L.5.2 Áreas de servicio al cliente asegurar que el servicio al cliente y las áreas de solicitud de pago de premios tienen un adecuado nivel de protección. L Personal que trabaja en áreas críticas de acceso del público Debe estar en vigor una política que asegure que el personal que trabaja en áreas críticas de acceso del público recibe un adecuado nivel de protección. L.6 Ventas a través de Internet y servicios interactivos L.6.1 Sistemas de juegos a través de Internet para proteger los sistemas de juego por Internet y la información de los participantes, es necesario mantener la confidencialidad, integridad y disponibilidad de los sistemas de juego a través de Internet. L L Arquitectura de sistemas en capas Ataques activos y pasivos La organización debe seguir un enfoque de arquitectura de los sistemas de juego a través de Internet basado en capas, a fin de asegurar el almacenamiento y procesamiento seguro de la información. Deben estar desplegadas las medidas apropiadas para minimizar el éxito y/o el impacto de ataques activos y pasivos típicos. L Segregación de redes Las bases de datos de producción que contienen datos de participantes o transacciones y el servidor Web deben estar ubicados en redes separadas. L Información de sesión Las cookies de sesión deben crearse siempre en memoria, ser aleatorias y eliminarse cuando la sesión de usuario termine. L Identificación de puntos de entrada y salida Se deben identificar, administrar y controlar todos los puntos de entrada y salida a los sistemas de Internet

20 L.6.2 Cuenta del participante combatir el fraude y el blanqueo de capital. L L L Identificación del participante Cuentas para varios participantes Exclusión de participantes Debe existir un proceso formal de identificación de participantes. Debe haber un procedimiento en vigor para el uso de cuentas para varios participantes. En los casos en los que estas no existan, se debe permitir solo una cuenta por participante. Debe haber un procedimiento establecido para la exclusión de participantes. L.6.3 Diseño del juego y aprobación asegurar que el diseño del juego cumple con los requisitos legales y regulatorios y que han sido debidamente autorizados al nivel adecuado antes de que estén disponibles en línea. L Procedimientos documentados para juegos que se ofrecen en Internet Las normas establecidas deben incluir el diseño y desarrollo del juego. Además, las reglas del juego deben ser accesibles para los participantes. L Aprobación del juego La versión final del juego debe ser formalmente aprobada a través de un proceso en el que esté implicada la función de seguridad