Spillemyndighedens certificeringsprogram Retningslinjer for sårbarhedsscanning

Relaterede dokumenter
Spillemyndighedens certificeringsprogram. Retningslinjer for sårbarhedsscanning SCP DK.1.0

Spillemyndighedens certificeringsprogram. Retningslinjer for indtrængningsefterprøvning SCP DK.1.1

Spillemyndighedens krav til akkrediterede testvirksomheder. Version af 1. juli 2012

Spillemyndighedens certificeringsprogram. Generelle krav SCP DK.1.1

Spillemyndighedens certificeringsprogram Program for styring af systemændringer

Teststandarder for landbaseret kasino

Spillemyndighedens certificeringsprogram. Teststandarder for online væddemål SCP DK.1.0

Inspektionsstandarder for landbaseret kasino

Spillemyndighedens certificeringsprogram Program for styring af systemændringer

Spillemyndighedens certificeringsprogram Ledelsessystem for informationssikkerhed

Inspektionsstandarder for landbaseret væddemål

Spillemyndighedens certificeringsprogram. Ledelsessystem for informationssikkerhed SCP DK.1.0

Teststandarder for landbaseret væddemål

Teststandarder for lotterier

Spillemyndighedens certificeringsprogram. Teststandarder for onlinekasino SCP DK.1.0

Tillæg B Tillæg til ansøgning om tilladelse til at udbyde væddemål og onlinekasino.

Tillæg B Tillæg til ansøgning om tilladelse til at udbyde væddemål og onlinekasino.

Spillemyndighedens program for styring af systemændringer. Version af 1. juli 2012

Tillæg B Tillæg til ansøgning om tilladelse til at udbyde væddemål og onlinekasino.

Tillæg B Tillæg til ansøgning om tilladelse til at udbyde væddemål og onlinekasino.

Spillemyndighedens certificeringsprogram Teststandarder for onlinekasino

Generel bestemmelse om akkreditering af virksomheder Nr. : AB 1 Dato : Side : 1/6

Spillemyndighedens certificeringsprogram Inspektionsstandarder for online væddemål

Vejledning til rapport om udbud af spil 1/7

Generel bestemmelse om akkreditering af virksomheder Nr. : AB 1 Dato : xx UDKAST af 3/ Side : 1/6

Inspektionsstandarder for online væddemål

Bilag 1 Tekniske krav til kontrolsystem

Information om DANAK-akkreditering til

Bekendtgørelse om landbaserede væddemål¹ )

Oplysninger om tilladelsesindehaver og godkendt virksomhed

Bekendtgørelse om certificeringsordning for transportable telte og konstruktioner

Bekendtgørelse om udbud af online væddemål

Tv-overvågning (TVO) Kravspecifikation

Akkreditering til certificering Nr. : AB 6 UDKAST Dato : Side : 1/5

Bekendtgørelse om certificeringsordning for transportable konstruktioner

Rapport for det første års udbud af spil

Præsentation af Curanets sikringsmiljø

Bekendtgørelse om udstedelse af godkendelser for byggevarer i kontakt med drikkevand

Bekendtgørelse om certificeringsordning for transportable telte og konstruktioner.

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

Information om akkreditering til

DANAK s akkrediteringsmærke og henvisning til akkreditering Nr. : AB 2 Dato : 2015.xx.yy Udkast til revision af AB 2, juni 2015 Side : 1/9

Kurser og certificeringer

Adgangskontrol. Kravspecifikationer til brug for. certificering af virksomheder. Forsikring & Pension September 2010 rettet februar 2011

Notificering som bemyndiget organ i henhold til Byggevareforordningen, baseret på akkrediteret

Vejledning om udbud af gættekonkurrencer. Denne vejledning henvender sig til personer og selskaber mv., der ønsker at udbyde gættekonkurrencer

Kravspecifikation Tækkearbejde af bygninger

DANAK s akkrediteringsmærke og henvisning til akkreditering Nr. : AB 2 Dato : Side : 1/9

DANAK s akkrediteringsmærke og henvisning til akkreditering Nr. : AB 2 Dato : xx30 UDKAST 3/ Side : 1/9

Ansøgning. Ansøgning for bestyrer og personale (se vejledningen) Spillemyndigheden Englandsgade 25, 6. sal 5000 Odense C. Stilling

Oplysninger om tilladelsesindehaver og godkendt virksomhed

Kravspecifikation. Særlige vilkår for certificering af virksomheder der udfører

Bekendtgørelse om godkendelse af prøvningsinstanser og kontrolinstanser på det køretøjstekniske område

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

det fremgå, at det ikke er tilladt for personer under 18 år at deltage i spillene, (iii) formidles adgang til en selvtest for ludomani, og

Bekendtgørelse om markedsføring og salg af byggevarer i kontakt. med drikkevand

Vejledning om salgsfremmende foranstaltninger ved udbud af spil

Bekendtgørelse om sikkerhed i net- og informationssystemer af betydning for skibes sikkerhed og deres sejlads 1)

RC Rapport. Høje-Taastrup Kommune. Ledelsessystemcertificering ISO 9001:2015. Auditstart og -slutdato 2018/03/ /03/14 SAFER, SMARTER, GREENER

Vejledning til bekendtgørelse nr. 789 af 16. juni 2017 om assessorer i forbindelse

Høje-Taastrup Kommune, Teknik- og Miljøcenter

Business Institute A/S

Forslag. Lov om ændring af lov om spil, lov om afgifter af spil, lov for Grønland om visse spil og forskellige andre love 1)

Til Folketinget Skatteudvalget

P1 Rapport. Emborg-Form ApS. Ledelsessystemcertificering ISO 9001:2015. Auditstart og -slutdato 2018/04/ /04/10 SAFER, SMARTER, GREENER

Spil i Danmark December 2014 Få overblik over reglerne for udbydning af spil i Danmark

Tv-overvågning (TVO)

Netplan A/S. Periodisk audit, P1. Ledelsessystemcertificering ISO 9001: aug-30 til 2013-aug-30. Certificeringens dækningsområde

Ansøgning. Ansøgning for bestyrer og personale (se vejledningen) Spillemyndigheden Havneholmen 25, 7. sal 1561 København V.

ITEK og Dansk Industris vejledning om betalingskortsikkerhed

P2 RAPPORT. Health Group A/S. Ledelsessystemcertificering ISO 9001:2008. Charlotte Nørremark Hechmann

RC RAPPORT. Health Group A/S. Ledelsessystemcertificering ISO 9001:2015. Charlotte Nørremark Hechmann

Kontraktbilag 8. It-sikkerhed og compliance

Opnåelse af tilladelse til at udbyde spil i Danmark

Denne privatlivspolitik beskriver hvordan Axdata A/S (herefter vi, vores eller os ) behandler personoplysninger om dig.

Nye konstruktions- og brandklasser Overførsel af driftsmæssige bestemmelser for hoteller mv., plejeinstitutioner,

Version Kravspecifikation. Certificering af leverandørvirksomheder der yder sikringsrådgivning. Side 1 af 8

Arbejdsmiljø Nr. : RL 18 Kompetencekrav ved inspektion og certificering Dato : Side : 1/6

Bekendtgørelse nr. [Klik og indtast nummer] af [Klik og indtast dato] Bekendtgørelse om almennyttige foreningslotterier 1)

Indbrudsalarmanlæg (AIA) Kravspecifikation. Forsikring & Pension Januar Certificering af AIA-virksomheder

1 Indholdsfortegnelse

Information om akkreditering til

Punkt Rettelse Vedtaget dato Ændres Punkt 52. Ansøgningens omfang Ansøgningen skal indeholde følgende generelle oplysninger om firmaet:

MedComs informationssikkerhedspolitik. Version 2.2

Tekniske krav til spiludbydere i forbindelse med opnåelse af tilladelse til at udbyde online spil i Danmark

Bekendtgørelse om sikkerhedscertifikat til jernbanevirksomheder 1

Jammerbugt Kommune. Periodisk audit, P2. Ledelsessystemcertificering. Kvalitetsstyring - iht. Lov 506 af og Bek af

Oplysninger om tilladelsesindehaver og godkendt virksomhed

Introduktion til hvervet som teknisk assessor i DANAK

Installationsguide. Integration af erhvervsdata fra NN Markedsdata til Microsoft Dynamics NAV 2015

Generel bestemmelse om akkreditering af virksomheder Nr. : AB 1 Dato : Side : 1/8

Afinstaller alle andre programmer Vigtigt! Fjern alle andre antivirus programmer før du installerer Panda Internet Security Mere end et antiviru

Retningslinjer for behandling af cookies og personoplysninger

Combipack Danmark A/S

Health Group A/S. Ledelsessystemcertificering ISO 9001:2015. Auditstart og -slutdato 2019/06/ /06/13. DNV GL Team Leader Charlotte Butty

Gern Glas Ordre nr. 0302/ Industrivej 4 Side 1 of Sorring Bilag 1 Danmark Initialer MJLD/MFRI

Et godt og effektivt vedligehold af en ISO27001 certificering. Erwin Lansing Head of Security & Chief Technologist

Vejledning til anvendelse af metodefrihed i forbindelse med type- og projektcertificering under BEK73

Generelle bestemmelser for certificering af ledelsessystemer Dato Side 1 af 5 Sign: Udg. 3

Transkript:

SCP.05.00.DK.1.0

Indhold Indhold... 2 1 Indledning... 3 1.1 Spillemyndighedens certificeringsprogram... 3 1.2 Formålet med retningslinjer for sårbarhedsscanning... 3 1.3 Overblik over dette dokument... 3 1.4 Definitioner... 4 1.5 Lovmæssigt grundlag for dokumentet... 4 1.6 Version... 4 1.7 Dokumentkode... 5 1.8 Henvendelser... 5 2 Certificering... 6 2.1 Rammen for certificeringen... 6 2.2 Krav til certificeringen... 6 2.3 Certificeringsfrekvens... 6 2.4 Overførsel af tidligere udførte inspektioner og prøvninger... 7 2.4.1 Inspektioner og prøvninger udført i henhold til Spillemyndighedens certificeringsprogram... 7 2.4.2 Inspektioner og prøvninger udført i henhold til andre standarder... 7 2.5 Tilladelsesindehaveres underleverandører... 7 2.5.1 Certificering af en underleverandør... 7 2.5.2 Integration i tilladelsesindehavers spilsystem... 7 2.5.3 Periodeforskydning... 8 2.5.4 Kompilering af certificeringerne... 8 2.6 Akkrediterede testvirksomheder... 8 2.6.1 Krav til testvirksomheden... 8 2.6.2 Krav til personale, der superviserer og attesterer certificeringen... 8 3 Rammen for sårbarhedsscanning... 9 3.1 Formål med sårbarhedsscanning... 9 3.2 Beskyttede komponenter... 9 3.3 Opdatering af software og hardware... 9 3.3.1 Bortfald af certificering... 9 3.3.2 Intern funktion hos tilladelsesindehaver... 10 4 Processen for gennemførsel af sårbarhedsscanning... 10 SCP.05.00.DK.1.0 Side 2 af 10

1 Indledning Spillemyndighedens certificeringsprogram har til formål at sikre, at spilsystemet afvikler spil på en korrekt måde, og at sikkerheden omkring spilsystemets opretholdes. Kravene i certificeringsprogrammet er tilpasset de forskellige spiltyper ud fra en væsentligheds- og risikovurdering af spillets omfang, udbredelse, sikkerhed, karakter, gevinsternes størrelse og risikoen for, at spillerne kan blive snydt m.v. På nuværende tidspunkt opereres med følgende spiltyper: Online væddemål Landbaseret væddemål Onlinekasino Landbaseret kasino Spilleautomater Lotteri Den akkrediterede testvirksomhed foretager prøvning, inspektion og certificering af tilladelsesindehavers spilsystemer, forretningsgange og forretningssystemer og skal tilpasses den enkelte tilladelsesindehavers spiludbud. 1.1 Spillemyndighedens certificeringsprogram Hele Spillemyndighedens certificeringsprogram udgøres af en række dokumenter, der løbende tilpasses den teknologiske udvikling. Tilladelsesindehavere skal til hver en tid oppebære certificeringer i overensstemmelse med de dele af certificeringsprogrammet, der gør sig gældende for deres spiludbud. Spiltyper, der ikke udbydes af tilladelsesindehaver, skal ikke certificeres. For hver af de seks spiltype er der tilknyttet et sæt teststandarder og et sæt inspektionsstandarder, som gælder for den pågældende spiltype. Yderligere 4 dokumenter gælder for alle spiltyper og omhandler ledelsessystem for informationssikkerhed, indtrængningsefterprøvning, sårbarhedsefterprøvning og program for styring af systemændringer. Hvert dokument fastsætter minimumskrav til indretningen af tilladelsesindehavers spilsystem, forretningsgange og forretningssystemer. Spillemyndighedens certificeringsprogram supplerer spillovgivningen, de vilkår, der er fastsat for spiludbyderne i tilladelserne, og den administrative praksis, som Spillemyndigheden fastsætter. 1.2 Formålet med retningslinjer for sårbarhedsscanning er med til at sikre, at tilladelsesindehavers spilsystem og forretningssystemer scannes med henblik på at afdække eventuelle svagheder i systemerne. Svagheder, der potentielt kan udnyttes til at opnå adgang til følsomme oplysninger. 1.3 Overblik over dette dokument Der er fastsat en række krav til, hvordan testvirksomheder bliver akkrediteret til at foretage certificering af tilladelsesindehaveres spilsystem, forretningsgange og forretningssystemer, samt hvordan selve certifice- SCP.05.00.DK.1.0 Side 3 af 10

ringen skal foretages. Selve akkrediteringen foretages af Den Danske Akkrediterings- og Metrologifond (DANAK) eller et tilsvarende akkrediteringsorgan, som er omfattet af European co-operation for Accreditations multilaterale aftale om gensidig anerkendelse eller medlem af International Laboratory Accreditation Cooperation. Disse krav til akkreditering af testvirksomheder og certificering af tilladelsesindehavere beskrives i afsnit 2 Certificering. Sårbarhedsscanning skal gennemføres ved at scanne spilsystemet og forretningssystemerne på en måde, der afdækker svagheder i komponenter. Dette kan være særligt relevant, når der sker opdateringer af systemet. Disse krav beskrives i afsnit 3 Rammen for sårbarhedsscanning. Spillemyndigheden foreslår en metodik til sårbarhedsscanningen. Denne metodik beskrives i afsnit 4 Processen for gennemførsel af sårbarhedsscanning. 1.4 Definitioner Inspektion: Følsomme oplysninger: Prøvning: Revisionsegnet log: Spilsystem: Den akkrediteret testvirksomheds undersøgelse af tilladelsesindehavers spilsystem, forretningsgange og forretningssystem, med henblik på at konstatere, om de krav Spillemyndigheden har fastsat, er opfyldt. Oplysninger, der enten er af forretnings- eller personfølsom karakter. Den akkrediteret testvirksomheds prøvning af tilladelsesindehavers spilsystem, analyse af de indsamlede data og evaluering af resultatet, med henblik på at konstatere, om de krav Spillemyndigheden har fastsat, er opfyldt. En log, der opsamler data, hvor der ikke kan manipuleres med data efter, at de er registreret i loggen. Hvis data skal ændres, skal det ske ved at oprette en ny optegning i loggen i stedet for at rette eller slette den eksisterede optegning. Elektronisk eller andet udstyr, der anvendes af eller på vegne af tilladelsesindehaver til udbud af spil, herunder udstyr der: 1. anvendes til lagring af oplysninger vedrørende en persons deltagelse i spil, herunder historiske data og resultatoplysninger, 2. frembringer og/eller præsenterer spil for spilleren, eller 3. fastlægger resultatet af et spil, eller beregner hvorvidt spilleren har vundet eller tabt ved spillet. 1.5 Lovmæssigt grundlag for dokumentet Retningslinjer for sårbarhedsefterprøvning (SCP.05.00.DK.1.0) er udstedt af Spillemyndigheden i henhold til lov nr. 848 af 1. juli 2010 om spil 41 og bekendtgørelse nr. 65 af 25. januar 2012 om landbaseret væddemål 11, bekendtgørelse nr. 66 af 25. januar 2012 om online væddemål 26 og bekendtgørelse nr. 67 af 25. januar 2012 om onlinekasino 26. 1.6 Version Spillemyndigheden vil løbende revidere certificeringsprogrammet og seneste version samt versionshistorik er tilgængelig på spillemyndighedens hjemmeside: https://spillemyndigheden.dk/certificeringsprogrammet SCP.05.00.DK.1.0 Side 4 af 10

Dato Version Beskrivelse 2013.10.01 1.0 Beskrivelse Ved ændringer i certificeringsprogrammet vil certificeringer som udgangspunkt fortsat være gyldige i den periode, de er udstedt for. Det skal fremhæves, at det er den danske version, der er bindende og at den engelske version udelukkende er af vejledende karakter. 1.7 Dokumentkode Hvert dokument i Spillemyndighedens certificeringsprogram har en dokumentkode, der udgøres af: SCP Der angiver at der er tale om Spillemyndighedens Certificerings Program. To tal Der angiver hvilken dokumenttype der er tale om. Koderne er: "01" Teststandarder "02" Inspektionsstandarder "03" Ledelsessystem for informationssikkerhed "04" Indtrængningsefterprøvning "05" Sårbarhedsefterprøvning "06" Program for styring af systemændringer To tal Der angiver hvilken spiltype dokumentet omhandler. Koderne er: "00" Alle spiltyper "01" Online væddemål "02" Landbaseret væddemål "03" Onlinekasino "04" Landbaseret kasino "05" Gevinstgivende spilleautomater "06" Lotterispil DK eller EN Der angiver sprogversionen. DK for dansk og EN for engelsk. Versionsnummer Der er beskrevet ovenfor i afsnit 1.6. Dokumentkoden SCP.02.02.DK.1.0 er således inspektionsstandarder for landbaseret væddemål. Til hvert dokument er der tilknyttet en standardrapport med dokumentkoden SCP.XX.XX.ST, der skal bruges ved meddelelser til Spillemyndigheden om certificeringer. Dokumentkoden for standardrapporter bruger samme systematik som ovenfor. 1.8 Henvendelser Alle henvendelser, der vedrører dette dokument, bør stilles skriftligt til denne adresse: mail@spillemyndigheden.dk eller SCP.05.00.DK.1.0 Side 5 af 10

Spillemyndigheden Helgeshøj Allé 9 2630 Taastrup 2 Certificering 2.1 Rammen for certificeringen En certificering er baseret på inspektion og prøvning af en tilladelsesindehavers spilsystem, forretningsgange og forretningssystemer i forhold til kriterier fastsat i Spillemyndighedens certificeringsprogram. Det er tilladelsesindehavers ansvar at opnå de påkrævede certificeringer og, at disse er udfærdiget af en akkrediteret testvirksomhed i henhold til certificeringsprogrammet, ved at tilrettelægge sin virksomhed med udgangspunkt i dette. Det er altid tilladelsesindehavers ansvar, at certificeringsprogrammet til enhver tid er opfyldt. 2.2 Krav til certificeringen Certificering udført på baggrund af dette dokument skal indleveres ved brug af formularen SCP.06.00.ST Den akkrediterede testvirksomhed skal attestere, at tilladelsesindehavers spilsystem, forretningsgange og forretningssystemer efterlever kravene i dette dokument. Rent undtagelsesvist kan det accepteres, at den akkrediterede testvirksomhed attesterer certificeringen på trods af, at alle kravene ikke er opfyldt som beskrevet i dette dokument. Dette skal ske på baggrund af en risikovurdering med udgangspunkt i formålet med spilleloven og tilhørende bekendtgørelser. Risikovurderingen skal være baseret på ISO/IEC 31010 Risk management - Risk assessment techniques. Det skal fremgå tydeligt af certificeringen, hvorvidt denne fremgangsmåde er anvendt. 2.3 Certificeringsfrekvens Tilladelsesindehavers spilsystem, forretningsgange og forretningssystemer skal til enhver tid være certificeret. Tilladelsesindehaver er derfor til enhver tid ansvarlig for at sikre, at der løbende og med et interval på maksimalt 3 kalendermåneder sker certificering af tilladelsesindehavers spilsystem, forretningsgange og forretningssystemer, i overensstemmelse med kravene i dette dokument. Følgende retningslinjer er gældende i forbindelse med fornyelse af certificeringen og tidsfristerne for indlevering heraf: Inspektionen skal være påbegyndt inden udløbet af den eksisterende certificering, og skal være færdiggjort senest 1 måneder fra udløbet af den eksisterende certificering. Inden for samme frist skal det være Spillemyndigheden i hænde. Gen-certificeringen dateres med datoen for færdiggørelsen af inspektionen, medmindre inspektionen fortsætter efter udløbsdatoen for den eksisterende certificering. I så fald skal den nye certificering dateres med udløbsdatoen for den eksisterende certificering, da en certificeringsperiode ikke kan overskride 3 måneder. SCP.05.00.DK.1.0 Side 6 af 10

2.4 Overførsel af tidligere udførte inspektioner og prøvninger 2.4.1 Inspektioner og prøvninger udført i henhold til Spillemyndighedens certificeringsprogram Når en akkrediteret testvirksomhed har certificeret et givent krav i Spillemyndighedens certificeringsprogram og dette krav indgår i flere forskellige dele af certificeringsprogrammet fx SCP.01.01.DK Teststandarder for online væddemål og SCP.01.02.DK Teststandarder for landbaseret væddemål, er det ikke nødvendigt at gentage certificeringen af kravet. I sådanne tilfælde kan der i stedet henvises til den allerede udførte certificering. Dette er også tilfældet, hvis certificeringen er udført af en anden akkrediteret testvirksomhed. 2.4.2 Inspektioner og prøvninger udført i henhold til andre standarder Det er muligt at lægge tidligere inspektioner og prøvninger, foretaget på baggrund af lignende kriterier, til grund for certificeringen. Det skal dog understreges, at det faktiske tidspunkt for den seneste inspektion eller prøvning i sådanne tilfælde danner grundlag for fastlæggelsen af certificeringsfrekvensen. Det vil eksempelvis sige, at hvis en seks måneder gammel inspektion eller prøvning lægges til grund for certificeringen, skal der ske en fornyelse af certificeringen seks måneder tidligere end normalt. Ovenstående er også muligt, selv om certificeringen er udført af en anden akkrediteret testvirksomhed. Når den akkrediterede testvirksomhed skal tage stilling til om en inspektion eller prøvning, foretaget på baggrund af lignende kriterier, kan overføres, skal dette ske på baggrund af en risikovurdering med udgangspunkt i formålet med spilleloven og tilhørende bekendtgørelser. Risikovurderingen skal være baseret på ISO/IEC 31010 Risk management - Risk assessment techniques. Det skal fremgå tydeligt af certificeringen, hvorvidt denne fremgangsmåde er anvendt. 2.5 Tilladelsesindehaveres underleverandører 2.5.1 Certificering af en underleverandør En underleverandør til en tilladelsesindehaver kan lade deres produkter certificere helt eller delvist efter Spillemyndighedens certificeringsprogram. I sådanne situationer udfylder underleverandørens akkrediterede testvirksomhed en tilsvarende formular, som beskrevet i afsnit 2.2. Tilladelsesindehavers akkrediterede testvirksomhed skal ved test af tilladelsesindehaverens spilsystem alene teste de dele af spilsystemet, der ikke er certificeret i forbindelse med underleverandørens certificering. Tilladelsesindehavers akkrediterede testvirksomhed behøver i denne sammenhæng ikke at forholde sig til det arbejde, underleverandørens akkrediterede testvirksomhed har udført, men skal alene i certificeringen henvise til dette. 2.5.2 Integration i tilladelsesindehavers spilsystem Den akkrediterede testvirksomhed skal være særligt opmærksom på, at selvom underleverandørens produkt allerede er certificeret, kan det være nødvendigt at gentage dele af certificeringen, når produktet integreres i tilladelsesindehaverens samlede spilsystem. Dette vil særligt være relevant, når der ved implementeringen sker ændringer i det certificerede produkt. SCP.05.00.DK.1.0 Side 7 af 10

2.5.3 Periodeforskydning Perioden mellem underleverandørens certificering og tilladelsesindehavers certificering, som beskrevet i afsnit 2.3, kan afvige med maksimalt én kalendermåned. Vejledning: Dette kunne fx betyde, at en tilladelsesindehaver bruger en certificeringsperiode fra 1. maj til 30. april, mens dennes underleverandør bruger en certificeringsperiode fra 1. april til 31. marts. 2.5.4 Kompilering af certificeringerne Det er tilladelsesindehavers akkrediterede testvirksomheds opgave at sikre, at der er taget stilling til samtlige krav i dette dokument. Det skal fremgå af tilladelsesindehavers certificering, hvorvidt det enkelte krav er testet af tilladelsesindehavers akkrediterede testvirksomhed, en underleverandørs akkrediterede testvirksomhed eller ikke er en del af tilladelsesindehavers udbud af spil. 2.6 Akkrediterede testvirksomheder Testvirksomheder skal opnå ISO/IEC 17020-akkreditering og/eller ISO/IEC 17025-akkreditering med udgangspunkt i de kriterier, der er beskrevet i de følgende afsnit. Akkrediteringens scope skal udvides, så Spillemyndighedens certificeringsprogram SCP.05.00.DK.1.0 fremgår eksplicit heraf. For at sikre, at de nødvendige kvalifikationer er til stede, når en certificering udføres, skal testvirksomheden og dennes ansatte leve op til følgende minimumskrav. Dokumentation for, at kravene er opfyldt, skal vedlægges certificeringen. 2.6.1 Krav til testvirksomheden Testvirksomheden skal: a) have mindst 2 års erfaring med sårbarhedsscanning af systemer eller et lignende nært beslægtet fagområde, b) være akkrediteret som Payment Card Industry (PCI) Approved Scanning Vendor (ASV) c) arbejde med udgangspunkt i ISO/IEC 17020-akkrediteringen og/eller ISO/IEC 17025- akkrediteringen, der henviser til kravene i SCP.05.00.DK.1.0, og d) sikre, at tilstrækkeligt kvalificeret personale udfører certificeringen. 2.6.2 Krav til personale, der superviserer og attesterer certificeringen Certificeringen skal udføres af personale, der er tilstrækkeligt kvalificeret, jævnfør afsnit 2.6.1 ovenfor. Udførslen skal superviseres, og certificeringserklæringen skal attesteres af én eller flere personer, der indestår for, at arbejdet er udført fagligt forsvarligt. Disse personer skal opfylde følgende krav: a) 5 års erhvervsmæssig erfaring med sårbarhedsefterprøvning af systemer, eller et lignende nært beslægtet fagområde, og b) være certificeret som International Council of E-Commerce (EC-Council) Certified Ethical Hacker (CEH), International Council of E-Commerce (EC-Council) Licensed Penetration Tester (LPT), Information Assurance Certification Review Board (IACRB) Certified Penetration Tester (CPT), SCP.05.00.DK.1.0 Side 8 af 10

Global Information Assurance Certification (GIAC) Certified Penetration Tester (GPEN), CESG CHECK Team Leader, CESG CHECK Team Member, CREST Infrastructure Certification, CREST Registered Tester, Tiger Scheme Senior Security Tester, eller Tiger Scheme Qualified Security Tester. Vejledning: Certificeringen og attesteringen kan foretages af flere personer, der i fællesskab opfylder kravene. 3 Rammen for sårbarhedsscanning Spillemyndighedens program for sårbarhedsscanning er til dels inspireret af Payment Card Industry Data Security Standard (PCI-DSS). 3.1 Formål med sårbarhedsscanning Ved sårbarhedsscanning skal den akkrediterede testvirksomhed foretage en scanning af tilladelsesindehavers systemer med henblik på at afdække svagheder i den tekniske infrastruktur. Svagheder, som potentielt kunne blive udnyttet til uautoriseret indtrængen i tilladelsesindehavers systemer. 3.2 Beskyttede komponenter Spilsystemet og forretningssystemerne skal være beskyttet mod eventuelle angreb fra udefrakommende. I særdeleshed skal komponenter, som indeholder følsomme oplysninger om kunder, beskyttes. Definitionen af komponenter og disses væsentlighed skal ses i sammenhæng med Spillemyndighedens program for styring af systemændringer SCP.06.00.DK, afsnit 3.3.3. Tilladelsesindehaver kan ved segmentering af deres interne netværk, herunder hvilke dele af systemet, som kommunikerer via offentlige netværk med følsomme oplysninger, mindske risikoen for uautoriseret adgang. 3.3 Opdatering af software og hardware Det er tilladelsesindehavers ansvar, at systemernes komponenter er opdateret til et niveau, der frembyder den højest mulige sikkerhed og ikke kompromitterer systemernes integritet. Herved mindskes risikoen for uautoriseret adgang til følsomme oplysninger. 3.3.1 Bortfald af certificering Hvis der sker opdatering af komponenter hos tilladelsesindehaver eller en underleverandør, anbefales det at scanne for sårbarheder for at sikre, at de eksisterende interne kontroller stadig er effektive og funktionelle. Det skal fremgå af certificeringen for sårbarhedsscanning, at denne bortfalder ved væsentlige opdateringer eller ændringer i infrastrukturen eller brugen heraf (f.eks. installation af nye systemkomponenter, tilføjelse af et under-netværk eller tilføjelse af en webserver). Hvad der bedømmes som væsentligt, afhænger i høj SCP.05.00.DK.1.0 Side 9 af 10

grad af opsætningen af et givent miljø, og det kan som sådan ikke foruddefineres af Spillemyndigheden. Det betragtes altid som væsentligt, hvis opdateringen eller ændringen kan påvirke eller give adgang til følsomme oplysninger og/eller komponenter, jf. Spillemyndighedens program for styring af systemændringer SCP.06.00.DK, afsnit 3.3.3. 3.3.2 Intern funktion hos tilladelsesindehaver Den akkrediterede testvirksomhed kan tillade, at certificeringen ikke bortfalder som beskrevet i afsnit 3.3.1, hvis tilladelsesindehaver har en intern funktion, hvis primære formål er at foretage løbende sårbarhedsscanning af systemerne. Funktionen skal være bemandet med kvalificeret personale samt være organisatorisk adskilt fra funktionen, der implementerer systemændringer. Såfremt certificeringen udskydes, vurderer, godkender og certificerer den akkrediterede testvirksomhed scanningerne hver tredje måned. Det skal fremgå tydeligt af certificeringen, hvorvidt denne fremgangsmåde er anvendt. Muligheden for udskydelse af certificering til hver tredje måned kan kun benyttes af tilladelsesindehavere. Den kan ikke benyttes af underleverandører uden selvstændig tilladelse til udbud af spil i Danmark. 4 Processen for gennemførsel af sårbarhedsscanning Den akkrediterede testvirksomhed kan anvende National Vulnerability Database Common Vulnerability Scoring System version 2-skalaen (NVD CVSS v2) eller et lignende scoringssystem med tilsvarende niveau, til at vurdere om tilladelsesindehavers systemer har et tilfredsstillende niveau af sikkerhed. Hvis den samlede score for tilladelsesindehavers sårbarhedsscanning overstiger 4 på NVD CVSS v2-skalaen, kan den akkrediterede testvirksomhed ikke godkende testen. Tilladelsesindehaver skal udbedre de afdækkede sårbarheder i systemerne, og testes på ny for at opnå en certificering. SCP.05.00.DK.1.0 Side 10 af 10

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback