22.01.2020 Українською асоціацією ігрової індустрії був направлений до Верховної Ради України опис моделі організації державної системи онлайн моніторингу за моделлю, яку використовують в Данії (відома як Модель SAFE) та вже успішно адаптована кількома іншими країнами в ЄС (подібні системи також застосовуються в Іспанії, Португалії та Швейцарії). Модель має переваги для держави, так і для операторів азартних ігор.
Цей опис є початковим загальним оглядом питання. Також до цього опису додається переклад відповідних частин Керівництва для операторів букмекерської діяльності та онлайн казино від 20.02.2019 р., затвердженого Органом з питань азартних ігор Данії.
Модель SAFE
Модель SAFE – це система онлайн-моніторингу, яка в принципі дуже схожа на чорну скриньку літака.
Оператор азартних ігор несе відповідальність за надання та експлуатацію SAFE, яка отримує та зберігає всі необхідні записи даних у єдиному форматі XML, визначеному Регулятором (всі оператори звітують, використовуючи один і той самий формат даних). Оператор передає необроблені дані до SAFE в майже реальному часі на основі транзакцій або сесій (депозити, розміщення ставок, розрахунки, ставки, виграші і т.п.).
SAFE перевіряє формат даних, зберігає їх у пакетах даних (стиснуті zip-файли) та створює резервні копії даних. SAFE використовує криптографію для забезпечення цілісності та конфіденційності даних і зберігає їх таким чином, щоб Регулятор мав до них постійний доступ протягом декількох років.
Регулятор завантажує дані з SAFE для вивантаження їх в Систему звітування (Reporting System), тобто в системі моніторингу, на своєму боці. Потім Регулятор може здійснювати різноманітні пошуки в завантажених даних, перевірки та звіти, які необхідні для нагляду (податкові перевірки, розслідування відмивання коштів, тощо).
Модель SAFE дає ряд переваг:
1. Своєчасність
- Дані стають доступними Регулятору для здійснення моніторингу в майже реальному часі.
2. Підзвітність
- Відповідальність і ризик, пов’язаний із повідомленням даних та забезпеченням їх безпеки, залишається за операторами азартних ігор.
3. Доступність
- Якщо є проблема з однією системою SAFE, то ця проблема стосується лише одного оператора.
- Якщо Система звітування Регулятора не працює на стороні Регулятора, то звітування до SAFE залишається безперебійним.
4. Гнучкість
- Регулятор може швидко та легко вносити зміни до власної Системи звітування, оскільки ці зміни не потребують змін від операторів.
- Оскільки моніторинг та створення звітів відбувається в Системі звітування Регулятора, оператори не знають про розслідування та перевірки, що проводяться Регулятором.
5. Вартість
-
- Систему звітування Регулятора не потрібно збільшувати в розмірі, щоб забезпечити адаптацію до сплесків кількості даних при звітуванні, коли ігрові системи операторів перебувають під навантаженням.
- Вартість звітування даних покладена на операторів, а не Регулятора.
7 Вимоги щодо належних фінансових та професійних операцій
Щоб отримати ліцензію на проведення азартних ігор в Данії, ви повинні продемонструвати, що діяльність з організації азартних ігор буде здійснюватися у належний професійний та фінансовий спосіб. Два аспекти описані окремо нижче.
7.1 Належні фінансові операції
Гральний бізнес повинен вестись у належний фінансовий спосіб. Подаючи заявку на отримання ліцензії, ви повинні додати документацію, яка дозволить Органу з питань азартних ігор оцінити фінансове становище вашої компанії. […]
7.2 Належна професійна діяльність
Оцінка Органом з питань гральних ігор Данії заявників поширюється на вимоги, викладені в розділі 6 [цього Керівництва], а також у відповідних законах і виконавчих наказах. Оцінка також базуватиметься на інформації, яку ви подаєте разом із заявкою.
[…]
7.2.3 Контроль за даними про азартні ігри
Додаток 1 до Виконавчих Наказів вимагає [від оператора] встановити систему SAFE та використовувати Ключ Втручання (Tamper Token). Крім того, оператори, які проводять азартні ігри онлайн, повинні бути під’єднані до Реєстру самовиключених гравців Органу з питань азартних ігор Данії (ROFUS).
SAFE
SAFE – це власна система зберігання даних (файловий сервер) ліцензіата, в якій вам потрібно зберігати дані (згідно із стандартами запису даних) для всіх азартних ігор, які ви надаєте. Усі ліцензіати зобов’язані встановити принаймні одну систему SAFE. Датський Орган з азартних ігор повинен мати можливість отримати онлайн доступ до сховища даних ліцензіата.
Ключ Втручання (Tamper Token)
Ключ Втручання – система безпеки, яка забезпечує, щоб дані, збережені ліцензіатом у системі SAFE, залишалися незмінними у сховищі.
Ключ Втручання реалізовано в системі Органу з питань азартних ігор Данії та стосується:
- Створення ключів (токенів), що використовуються для створення ідентифікаційних кодів.
- Зберігання ідентифікаційних кодів для подальшого контролю.
- Постійного контролю з метою перевірки, чи дотримується встановлений часовий період припинення дії ключів.
- Верифікації, що отримані серії даних не були змінені стосовно отриманого ідентифікаційного коду.
ROFUS
Реєстр самовиключених осіб (ROFUS) – це реєстр усіх гравців у Данії, які добровільно заявили вимогу про виключення – тимчасово або постійно – з онлайн казино чи букмекерських ставок онлайн, а також про виключення з доступу до наземних казино в Данії. Реєстр знаходиться у Органі з питань азартних ігор Данії, який також відповідає за ведення реєстру. Якщо гравець хоче зареєструватися в ROFUS, ліцензіат повинен надати [йому] доступ до веб-сайту Органу з питань азартних ігор, на якому може відбуватися самовиключення.
Подальший опис ROFUS див. в розділах 7.2.4 та 7.2.10.
Більш детальний технічний опис SAFE та ROFUS див. на www.spillemyndigheden.dk під пунктом: «Ліцензування азартних ігор та технічні вимоги».
7.2.4 Підключення до SAFE та ROFUS
Перш ніж отримати ліцензію, заявник повинен пройти ряд випробувань (=тестувань) своєї гральної системи. Процес підключення складається з наступного:
Випробування (=тестування) доступу до SAFE
Данський Орган з азартних ігор повинен мати можливість доступу до SAFE, щоб отримувати дані. Заявник повинен розкрити ім’я користувача, пароль та кінцеву точку до SAFE. Ця інформація повинна бути надана Органу з питань азартних ігор у формі заявки (Додаток B).
Затвердження стандартів даних
У зв’язку з процедурою подання заявки [на видачу ліцензії] заявник повинен надати наступний матеріал:
Більш детальний технічний опис процесу підключення див. на веб-сайті www.Spillemyndigheden.dk в пункті: “Ліцензування у сфері азартних ігор та технічні вимоги” для кожної категорії азартних ігор.
7.2.5 Вимоги до гральної системи
Що включає поняття “гральна система”?
Орган з азартних ігор Данії визначає ігрову систему як електронне або інше обладнання, яке використовується ліцензіатами чи від імені ліцензіатів для проведення азартних ігор, централізованої розробки, експлуатації ігор; включаючи обладнання, яке:
- Використовується для зберігання інформації щодо участі гравців в азартних іграх, таких як історичні дані та дані про результати.
- Створює та презентує ігри гравцю.
- Визначає результат гри або розраховує, виграв чи програв гравець у грі.
На малюнку нижче показані компоненти, які (зазвичай) використовуються для надання азартних ігор онлайн, і які з цих компонентів вважається частиною гральної системи. Сервіси з передачі платежів та SAFE не становлять частини гральної системи.
Опис компонентів:
- Front End означає частину системи, з якою взаємодіє гравець. На практиці це означає гральний веб-сайт, включаючи сервер, на якому працює сайт; а також клієнтське програмне забезпечення, встановлене на комп’ютері та/або мобільному телефоні гравця (пункт 1 вище);
- Back Office означає частину системи, де зберігаються дані, що стосуються гравця. Як мінімум, це включає ідентифікаційні дані гравця та фінансові дані, а в деяких випадках –тут також будуть зберігатися ігрові дані (пункт 2 вище);
- Data Warehouse (склад даних) означає частину системи, в якій структуровані та зберігаються дані, створені системою. На наведеній вище ілюстрації на практиці це будуть ігрові дані, але в деяких випадках тут також можуть зберігатися фінансові дані (пункт 2 вище);
- Game Operation (функціонування гри) означає частину системи, яка визначає результат гри або обчислює, виграв чи програв гравець у грі. Тут розташовані Генератор Випадкових Чисел з його процесами підтримки, а також система здійснення ставок та подібних дій (пункт 3. вище)
Сертифікація гральної системи
Орган з азартних ігор Данії вимагає, щоб гральні системи, бізнес-процедури та бізнес-системи були сертифіковані акредитованою випробувальною агенцією (лабораторією)1 до того, як гральна система буде використана для пропонування азартних ігор гравцям.
Вимоги до сертифікації описані в семи документах:
- Загальні вимоги
- Стандарти випробування (=тестування)
- Стандарти інспектування
- Система управління інформаційною безпекою
- Керівництва щодо випробування (=тестування) на проникнення
- Керівництва щодо сканування вразливості
- Програма управління змінами [в гральній системі].
Стандарти випробування (=тестування) та інспектування поділяються на різні категорії азартних ігор, тоді як решта документів стосуються всіх категорій. Для того, щоб бути затвердженим як сертифікована випробувальна лабораторія (агенція), випробувальна лабораторія (агенція) повинна відповідати вимогам, визначеним в окремих документах.
Документи та їх вимоги:
Випробувальні компанії повинні надати сертифікацію на основі вимог, визначених у вищевказаних документах, та повідомити про них, використовуючи стандартизовані звіти на веб-сайті www.spillemyndigheden.dk в розділі Legislation → Certification. Тут також вказана частотність сертифікації.
Якщо необхідні сертифікати не були отримані до подання Додатку В, то поля у формі, які стосується сертифікації, не повинні заповнюватися. У таких випадках повинен бути складений та доданий графік сертифікації. Сертифікація повинна бути завершена до видачі ліцензії.
Використання акредитованих випробувальних лабораторій (агенцій)
Вимоги до акредитованих випробувальних лабораторій викладені в окремих документах про програми сертифікації. Випробувальна лабораторія повинна отримати акредитацію за стандартами ISO 17025 або ISO 17020 разом з подальшими вимогами від Органу з азартних ігор Данії для окремих галузей; Legislation → Certification → окрема програма сертифікації.
Після того, як випробувальна лабораторія отримала акредитацію, воно може без будь-якого погодження з Органом з азартних ігор Данії проводити сертифікацію гральних систем тощо.
Коли ваша гральна система готова пройти сертифікацію, слід звернутися до випробувальних лабораторій і переконатися, що вибрана компанія є акредитованою лабораторією. Ліцензіат несе відповідальність за доведення Органу з азартних ігор, що випробувальна лабораторія відповідає вимогам Органу з азартних ігор Данії до акредитованих випробувальних лабораторій.
Фізичне розташування гральної системи
В принципі, гральна система повинна бути фізично розташована в Данії.
Система може бути розташована фізично в іншій країні, якщо:
- ліцензіат має ліцензію на ведення азартних ігор в цій країні, а Орган з азартних ігор Данії уклав угоду з офіційним органом, що здійснює в цій країні нагляд за ліцензіатами в галузі азартних ігор, або
- ліцензіат може надати Органу з азартних ігор Данії доступ для здійснення рівнів контролю гральної системи, використовуючи віддалений доступ або подібний до нього.