Registrar`s Standards for Gaming: Lottery Sector (2016/01)

Transcription

SYSTÈMES DE TOMBOLA ÉLECTRONIQUE NORMES
TECHNIQUES MINIMALES POUR LES TOMBOLAS MOITIÉ-MOITIÉ
VERSION PROVISOIRE - SEPTEMBRE 2016
VISION DE LA CAJO
Être un chef de file dans les secteurs des alcools,
des jeux et des courses de chevaux grâce à une
réglementation et à des services efficaces qui sont
équitables, qui répondent aux besoins et qui servent
l’intérêt public dans son ensemble.
MANDAT DE LA CAJO
Réglementer les secteurs des alcools, des jeux et
des courses de chevaux en respectant les principes
d’honnêteté et d’intégrité tout en veillant à l’intérêt
public.
Commission des alcools et des jeux de l’Ontario
90, AVENUE SHEPPARD EST, BUREAU 200
TORONTO (ONTARIO) M2N 0A4
Télécopieur : 416 326 8711
Tél. : 416 326 8700 ou 1 800 522 2876 (sans frais en Ontario)
http://www.agco.on.ca
© Imprimeur de la Reine pour l’Ontario, 2016
English also available
Table des matières
Introduction5
Exigences opérationnelles
5
Glossaire6
Partie A : POINT DE VENTE
1 Unité de vente de tombola (UVT) 9
9
1.1
Construction générale de l’UVT 9
1.2
Suivi des stocks d’UVT
9
1.3
Sécurité de l’UVT
9
1.4
Communication avec le matériel connexe 9
1.5
Autres fonctionnalités 10
1.6Options
10
1.7
11
Conditions d’erreur 3 Afficheur des prix de tombola 13
4 Exigences environnementales
14
4.1 Immunité aux champs électromagnétiques
14
4.2Sécurité
14
5 Fonctionnement du jeu
15
5.1 Conception de la tombola
15
5.2 Règles de la tombola
15
5.3 Intégrité, sécurité et capacité de faire l’objet de vérifications des billets
15
5.4 Vente de billets
16
5.5 Tirage de tombola 16
Partie B : SYSTÈME ADMINISTRATIF 6 Serveurs et applications de tombola 17
17
6.1 Sécurité du système 17
6.2 Gestion des comptes des utilisateurs du système 17
6.3Accès et surveillance à distance
19
6.4Synchronisation de la date et de l’heure 20
6.5Gestion des données 21
6.6 Configuration, gestion et vente en vue de la tombola 21
6.7 Consignation et rapports 22
7 Générateurs de nombres aléatoires (GNA)
7.1
Logiciel de génération de nombres aléatoires 23
23
Partie C : VÉRIFICATION DES LOGICIELS DE JEU ESSENTIELS 24
8 Authentication of Critical Game Software at ERS
24
9 Authentification des logiciels de jeu essentiels de l’UVT 25
9.1 Autovérification dans la mémoire volatile de l’UVT 25
9.2 Vérification des logiciels de jeu essentiels de l’UVT par le système administratif
25
Partie D : AUTRES EXIGENCES 10Réseaux
4
26
26
10.1 Exigences générales 26
10.2 Réseaux sans fil
27
11 Forensics Capabilities
28
12 Exigences relatives à la soumission 29
Systèmes de tombola électronique: Normes techniques minimales pour les tombolas moitié-moitié Version provisoire - Septembre 2016
Introduction
Le registrateur des alcools, des jeux et des courses est nommé conformément à la Loi de
1996 sur la réglementation des alcools et des jeux et la protection du public, et ses pouvoirs
et responsabilités découlent de la Loi de 1992 sur la réglementation des jeux. Aux termes de
l’article 3.8 de la Loi de 1992 sur la réglementation des jeux, le registrateur est autorisé à établir
les normes et les exigences pour la mise sur pied, l’administration et l’exploitation de sites
de jeu, de loteries ou d’entreprises liées à un site de jeu ou à une loterie. Le registrateur a fait
de ces normes techniques les normes minimales à utiliser dans l’évaluation des systèmes de
tombola électronique (STE) moitié-moitié à approuver en Ontario, comme applicables à une
solution de tombola précise.
La Commission des alcools et des jeux de l’Ontario (CAJO) a élaboré des normes minimales
visant les tombolas à la suite d’une analyse de la vulnérabilité et des risques des produits de
tombola moitié-moitié et d’un examen des normes d’autres provinces. Ces normes tiennent
compte de l’architecture typique d’un STE moitié-moitié et des processus de tombola pour ce
qui est de l’intégrité technique, de la sécurité et de la capacité de faire l’objet de vérifications
des produits de tombola, notamment en ce qui a trait au générateur de nombres aléatoires, à
la vérification des logiciels de jeu essentiels, à l’intégrité des appareils, à la sécurité de la TI, à la
capacité de vérification des STE et à d’autres facteurs semblables. Les STE moitié-moitié sont
constitués d’un système administratif et de terminaux de jeu et doivent satisfaire à l’objectif
des normes établies dans le présent document, que ce soit à l’aide des terminaux de jeu ou
du système administratif. D’autres exigences peuvent s’appliquer en fonction de la solution
technique adoptée.
Ces normes techniques minimales entreront en vigueur le (date à déterminer) 2016. On
encourage les intervenants à lancer des consultations avec la CAJO à l’étape de la conception
pendant le cycle de développement de leur produit afin de simplifier ce développement et de
réduire au minimum les efforts nécessaires à l’évaluation finale du produit et à son approbation.
De temps à autre, au besoin, des modifications seront apportées aux normes.
Exigences opérationnelles
Ces normes doivent être lues parallèlement aux Conditions d’utilisation de la tombola
électronique moitié-moitié.
5
Glossaire
• Billet annulé : Billet de tombola dont l’achat a été annulé. Les STE renvoient ou non les
numéros de tombola à la mise collective à des fins de vente.
• Billet au rabais (ou à prix arrondi): Billet de tombola portant un nombre précis de
numéros et vendu à prix réduit (3 pour 5 $, 10 pour 10 $, 40 pour 20 $, etc.).
• Billet de loterie : Billet donnant la chance de participer à une loterie.
• Billet de tombola (aussi appelé billet) : Type de billet de loterie, sous forme de fichier
électronique ou de billet papier, sur lequel sont inscrits des numéros de tombola et qui
permet de participer à un tirage.
• Billet invalidé : Billet de tombola dont les numéros sont retirés de la liste des numéros
de tombola valides par le STE.
• CAJO : Commission des alcools et des jeux de l’Ontario.
• Données essentielles sur le jeu : Données stockées jugées essentielles au
fonctionnement continu d’une UVT, y compris :
a.les numéros de tombola;
b.les transactions au comptant et transactions de billets en cours;
c.les données de configuration relatives à l’UVT et aux billets;
d.les événements importants de l’UVT concernant l’intégrité, la sécurité et la
comptabilité.
• Empreinte numérique : Valeur créée par une fonction de hachage, soit un algorithme
unidirectionnel déterministe qui produit des données de sortie de longueur fixe selon un
ensemble de données d’entrée.
• Événement important : Incident d’une UVT concernant l’intégrité, la sécurité et la
comptabilité qui se produit :
a.dans le cadre d’un fonctionnement normal – transactions de billets, changements
de configuration, ouvertures et fermetures de session, bourrages d’imprimante et
incidents semblables;
b.dans le cadre d’un fonctionnement anormal – erreurs dans la production des billets,
atteintes à la sécurité de l’UVT (comme les tentatives d’accès ratées), conditions
d’erreur et incidents semblables.
• Exploitant : Personne, y compris l’OLG, qui exploite un site de jeu.
• Fournisseur de matériel de jeu (aussi appelé fournisseur) : Personne ou entité qui
fournit le matériel de jeu.
• Fournitures de jeu : Matériel de jeu qui pourrait avoir une incidence sur la mise sur pied,
l’administration ou l’exploitation d’une loterie, ou qui fait partie intégrante de l’une ou
6
l’autre de ces activités.
• Générateur de nombres aléatoires (GNA) : Matériel ou logiciel utilisé pour générer des
nombres au hasard.
• Hasard / chance : Imprévisibilité et absence d’un schéma pour une série d’événements
qui ont des probabilités certaines de se produire.
• Jeu : Loterie dont le résultat est déterminé par la chance.
• Logiciel de jeu essentiel : Tout logiciel ou toute donnée qui peut influer sur l’intégrité ou
les résultats d’une tombola ou encore sur l’interprétation des résultats d’une tombola.
Citons notamment tout logiciel servant à contrôler les fonctions de la tombola, les
résultats de la tombola, les prix, la sécurité ou les fonctions de comptabilité, et toute
donnée connexe, y compris les données permanentes et les fichiers graphiques utilisés
pour interpréter les résultats de la tombola. Les logiciels de jeu essentiels excluent les
données essentielles sur le jeu.
• Matériel connexe : Matériel qui ne fait pas partie d’une unité de vente de tombola (UVT),
mais qui est essentiel à son fonctionnement optimal, comme les afficheurs des prix de
tombola, l’imprimante et le système administratif.
• Matériel de jeu : Produits, y compris les feuilles de bingo, les billets de loterie, le matériel,
les systèmes et les logiciels, utilisés pour l’une ou l’autre des activités suivantes :
a.mise sur pied, administration ou exploitation d’une loterie;
b.enregistrement ou transmission de renseignements concernant une loterie ou des
transactions connexes;
c.offre de services de sécurité et de surveillance liés à une loterie.
• Mémoire essentielle : Emplacements de mémoire où sont stockées les données
essentielles sur le jeu.
• Numéro de tombola : Numéro unique généré par un STE et associé à un billet de
tombola.
• Numéro de validation : Numéro unique d’identification de billet de tombola utilisé pour
valider le numéro de tombola gagnant avant que le prix soit réclamé. Il peut s’agir d’un
code à barres ou d’un numéro lisible à l’œil.
• OLG : Société des loteries et des jeux de l’Ontario.
• Point de vente : UVT et matériel connexe, comme l’imprimante et les afficheurs des prix
de tombola, qui facilitent la vente de billets de tombola.
• Prix : Prix associé à un ou plusieurs numéros de tombola gagnants.
• Site de jeu : Lieu ou canal électronique servant au déroulement ou à l’exploitation d’une
loterie.
• Support de stockage de logiciels : Mémoire servant à stocker des logiciels de jeu
essentiels, comme une mémoire morte reprogrammable, une carte mémoire flash, un
7
disque dur, un CD-ROM ou un DVD.
• Système administratif (aussi appelé serveur administratif) : Système informatique
servant exclusivement à exploiter et à gérer les jeux ainsi qu’à communiquer les
transactions et les événements. Il contient les serveurs, les bases de données et le
matériel de réseau.
• Système de jeu : Matériel, logiciels, applications et tous les composants associés aux
fournitures de jeu et à l’environnement technologique.
• Système de tombola électronique (STE) : Type de système de jeu électronique pour
l’organisation de tombolas. Il comprend des unités de vente de tombola, un système
administratif et un réseau informatique associé. Il contient aussi du matériel connexe,
comme des afficheurs des prix de tombola et une imprimante.
• Tirage : Sélection aléatoire d’un ou de plusieurs numéros de tombola gagnants à un
moment préétabli au moyen d’un générateur de nombres aléatoires.
• Tombola : Loterie dans le cadre de laquelle on vend des billets donnant la chance de
gagner un prix à l’occasion d’un tirage, incluant les tirages moitié-moitié.
• Unité de vente de tombola (UVT) : Appareil à base fixe ou mobile qui communique avec
le système administratif et l’imprimante pour faciliter la vente de billets de tombola.
8
Partie A : POINT DE VENTE
1
UNITÉ DE VENTE DE TOMBOLA (UVT)
1.1 CONSTRUCTION GÉNÉRALE DE L’UVT
1.1.1 L’UVT mobile portative est construite de façon à éviter le plus possible les
problèmes liés à l’intégrité des données et des applications stockées.
1.1.2 L’UVT à base mobile ou fixe est à l’épreuve des altérations.
1.2 SUIVI DES STOCKS D’UVT
1.2.1 Les renseignements suivants sont visibles sur chaque UVT :
a) numéro de modèle;
b) numéro de série unique.
1.3 SÉCURITÉ DE L’UVT
1.3.1 Les données essentielles sur le jeu contenues dans l’UVT sont protégées contre un
usage non autorisé.
1.3.2 Si un logiciel de jeu non essentiel est installé sur l’UVT, il ne nuit pas à l’intégrité ou
aux résultats de la tombola, ni à l’interprétation de la tombola ou de ses résultats.
1.3.3 Les logiciels de jeu essentiels et la configuration de l’UVT ne sont accessibles que
par une connexion sécurisée. En outre, les logiciels de l’UVT :
a) se verrouillent après un nombre prédéfini de tentatives d’accès;
b) ferment la session au bout d’une période d’inactivité configurable.
1.3.4 Les ports de communication de l’UVT sont protégés contre un accès non autorisé.
Par exemple, tout port non utilisé pour la tombola est désactivé. .
1.4 COMMUNICATION AVEC LE MATÉRIEL CONNEXE
1.4.1 L’UVT communique les événements importants au système administratif en
temps réel ou dès que possible sur le plan technique, par exemple une fois la
communication sans fil rétablie.
1.4.2 Le système administratif signale à l’exploitant les événements importants causés
par un mauvais fonctionnement de l’UVT qui ne peuvent être limités par les
9
applications de l’UVT et qui présentent des risques liés à l’intégrité ou à la sécurité,
comme les erreurs dans la production des billets, les atteintes à la sécurité de l’UVT
et les erreurs mentionnées aux points 1.7.1 a), b) et c).
1.4.3 L’UVT surveille et contrôle en permanence tous les ports de communication utilisés
pour transmettre des données ou des signaux en provenance ou à destination du
matériel connexe.
1.4.4 Si la communication est rompue entre l’UVT et le matériel connexe, toute
l’information essentielle sur les transactions de billets, l’intégrité et la sécurité est
préservée.
1.5 AUTRES FONCTIONNALITÉS
1.5.1 L’UVT est dotée des fonctionnalités minimales suivantes :
a) affichage du nom, de la version et de la signature des logiciels;
b) test d’impression;
c) étalonnage et vérification de l’écran tactile, s’il y a lieu.
1.5.2 L’UVT affiche clairement son état de fonctionnement actuel.
1.6OPTIONS
1.6.1 Il est possible de configurer les points de vente de billets de tombola pour qu’ils
affichent des renseignements précis sur les tirages et les billets en suivant des
procédures techniques restrictives. Les options suivantes sont considérées comme
étant à accès restreint, selon le cas :
a) nom de l’organisation qui tient la tombola;
b) identifiant de l’endroit où se déroule la tombola;
c) identifiant, date et heure de la tombola;
d) prix des billets;
e) prix des billets au rabais ou à prix arrondi;
f)
limites de vente;
g) toute autre option qui, si elle est mal configurée, entraînera le non-respect
d’une ou de plusieurs normes établies dans le présent document et présentera
un risque pour l’intégrité et la sécurité de la tombola ainsi que sa capacité de
faire l’objet de vérifications qui ne pourra être atténué grâce à d’autres mesures
de contrôle.
1.6.2 L’UVT peut être désactivée à distance par une commande du système administratif.
10
1.7 CONDITIONS D’ERREUR
1.7.1 Advenant l’un des problèmes suivants, les fonctions ou les périphériques touchés
de l’UVT sont désactivés et ne sont réactivés qu’une fois le problème réglé :
a) réinitialisation forcée de l’UVT;
b) erreur d’un logiciel de jeu essentiel, par exemple :
i) défectuosité d’un support de stockage de logiciels,
ii) échec de hachage,
iii) plantage d’une application de l’UVT,
iv) erreur de communication;
c) saturation de la mémoire tampon contenant les événements importants;
d) échec d’impression des billets.
1.7.2 L’UVT peut détecter, afficher et enregistrer dans le journal des erreurs les problèmes
de la section 1.7.1 dès qu’ils surviennent. De plus, lorsque cela est possible sur le
plan technique (dans la portée des réseaux sans fil), l’UVT peut communiquer avec
le système administratif advenant au moins l’un des problèmes énumérés aux
points a), b) et c).
1.7.3 À tout le moins, l’UVT informe immédiatement les utilisateurs de toute rupture de
communication avec le matériel connexe en affichant un message visible en tout
temps qui ne disparaît qu’une fois le problème réglé.
11
2IMPRIMANTE
2.1.1 Un mécanisme manuel ou automatisé prévient l’impression incomplète des billets.
Par exemple, en cas d’erreur comme l’impression partielle d’un billet ou un bourrage
dû à l’impression de plusieurs billets, le système administratif invalide les billets.
2.1.2 En cas d’arrêt de l’UVT par le système administratif, l’UVT affiche un message
d’explication, et l’imprimante termine l’impression du billet valide.
2.1.3 L’imprimante n’imprime pas de billets en double. En cas de réimpression, le billet
réimprimé est marqué comme tel de façon claire.
2.1.4 Les numéros de tombola inscrits sur les billets correctement imprimés ne servent
qu’au tirage, sauf si les billets ont été invalidés.
2.1.5 Le numéro de validation est imprimé sur le bord d’entrée du billet. 12
3
AFFICHEUR DES PRIX DE TOMBOLA
3.1.1 Les prix de tombola annoncés sur l’afficheur sont mis à jour en temps réel en tenant
compte des billets valides comme des billets invalidés. L’information sur les prix
peut être mise à jour à une fréquence configurable, à condition que les montants
finaux réels soient affichés une fois la vente terminée.
3.1.2 Tous les afficheurs des prix de tombola sont synchronisés. Les montants annoncés
sur les différents afficheurs correspondent autant que possible sur le plan technique.
Les décalages attribuables à des retards sur les lignes de communication ou à
des ventes effectuées pendant une rupture de communication avec le système
administratif sont acceptables.
3.1.3 Une fois vérifiés, les résultats des tirages de la tombola (soit les numéros gagnants
et les prix) sont présentés sur tous les afficheurs des prix de tombola.
3.1.4 Les renseignements dont les participants à la tombola ont besoin pour jouer sont
présentés sur l’afficheur des prix de tombola ou au point de vente. Au minimum, les
renseignements suivants sont affichés :
a) identifiant unique de la tombola en cours;
b) prix unitaire d’un billet de tombola ou prix des billets à prix arrondi (au rabais);
c) prix offerts pour le jeu en cours (argent comptant et marchandises);
d) tout autre renseignement lié au jeu et nécessaire pour y participer.
13
4
EXIGENCES ENVIRONNEMENTALES
4.1 IMMUNITÉ AUX CHAMPS ÉLECTROMAGNÉTIQUES
4.1.1 Toutes les UVT assemblées, y compris les composants matériels comme
l’imprimante et les afficheurs, sont immunisées contre les champs
électromagnétiques conformément aux pratiques exemplaires de l’industrie
relatives au matériel de TI, à savoir la norme CAN/CSA CEI/IEC 61000 4 2:12 sur les
décharges électrostatiques, la norme CAN/CSA CEI/IEC 61000 4 4 06 (R2011) sur les
transitoires électriques rapides en salves, ou d’autres textes semblables.
4.2SÉCURITÉ
4.2.1 La sécurité de l’ensemble du matériel est certifiée conformément aux normes
établies par les organismes compétents, comme l’Association canadienne de
normalisation. 14
5
FONCTIONNEMENT DU JEU
5.1 CONCEPTION DE LA TOMBOLA
5.1.1 La conception et les caractéristiques de la tombola sont claires et n’induisent
d’aucune façon le joueur en erreur.
5.2 RÈGLES DE LA TOMBOLA
5.2.1 Les personnes disposent de renseignements exacts et utiles qui leur permettent de
faire des choix éclairés.
À tout le moins :
a) Des renseignements exacts et utiles sur les règles du jeu sont clairement
énoncés et mis à la disposition des joueurs.
b) Le prix d’achat de chaque billet ou d’un groupe billets est énoncé clairement et
mis à la disposition des joueurs.
5.3 INTÉGRITÉ, SÉCURITÉ ET CAPACITÉ DE FAIRE L’OBJET DE VÉRIFICATIONS DES BILLETS
5.3.1 Le STE détecte les billets non valides, altérés ou en double lorsque cela est possible
sur le plan technique.
5.3.2 Les numéros de tombola sont uniques (jamais en double).
5.3.3 Chaque billet de tombola présente, à tout le moins, les renseignements
(paramètres) suivants :
a) prix du billet;
b) identifiant de l’événement;
c) identifiant du tirage;
d) identifiant de l’UVT;
e) numéros de tombola;
f)
numéro de validation unique;
g) date et heure de l’émission du billet;
h) date du tirage;
i)
code ou élément de sécurité, comme un code à barres.
5.3.4 Les renseignements de la section 5.3.3 et les transactions connexes, y compris
l’annulation et l’invalidation de billets, sont consignés de façon précise dans les
rapports du système administratif pour permettre une vérification complète.
15
5.4 VENTE DE BILLETS
5.4.1 Les billets ne sont émis qu’une fois le paiement confirmé.
5.4.2 L’écran de l’UVT ne contient aucun bouton ni point de contact (selon le cas) caché ou
inconnu qui a une incidence sur les fonctions approuvées de l’unité.
5.4.3 L’activation simultanée ou séquentielle des diverses données d’entrée et de sortie, qui
risque de causer des défaillances ou d’invalider les billets, n’a aucun effet négatif sur
l’UVT.
5.4.4 L’UVT peut vendre des billets préchargés lorsqu’elle ne communique pas avec le
système administratif. Tous les billets vendus et invalidés sont alors enregistrés dans
l’appareil, puis transmis au système administratif une fois la communication rétablie.
5.4.5 Le STE permet l’annulation de billets de tombola achetés avant la fermeture de la
période de vente. Les billets annulés sont consignés et entièrement vérifiables, et tout
paiement effectué est remboursé au joueur.
5.4.6 Seuls les exploitants autorisés peuvent invalider des billets de tombola, et cette
opération est entièrement vérifiable.
5.4.7 Les numéros de tombola invalidés et les numéros de validation de billets
correspondants ne peuvent pas être réémis ni revendus.
5.5 TIRAGE DE TOMBOLA
5.5.1 Le tirage des numéros de tombola a lieu seulement après :
a) la fermeture de la période de vente des billets de la tombola;
b) le rapprochement des billets valides et invalidés;
c) le rapprochement des billets admissibles pour le tirage;
d) le rapprochement des ventes, au besoin, pour déterminer le montant du prix du tirage;
e) la vérification visant à s’assurer que seuls les numéros de tombola valides font
partie du tirage.
5.5.2 Le tirage est réalisé à l’aide d’un processus de sélection aléatoire.
5.5.3 Le tirage inclut les numéros de tombola valides vendus et exclut les numéros non
valides, comme les numéros des billets invalidés. Les numéros de billets de tombola
annulés qui ne sont pas renvoyés à la mise collective à des fins de vente sont exclus
du tirage.
5.5.4 Le système administratif consigne de façon précise et sécuritaire chaque tirage de
tombola et ses renseignements connexes.
16
Partie B : SYSTÈME ADMINISTRATIF
6
SERVEURS ET APPLICATIONS DE TOMBOLA
6.1 SÉCURITÉ DU SYSTÈME
6.1.1 Les champs de saisie de données par l’utilisateur sont validés pour empêcher les
atteintes à la sécurité.
6.1.2 L’accès aux fichiers ou aux tables de base de données sensibles du STE, comme
les procédures et les journaux stockés, est restreint pour empêcher l’altération de
l’information ayant une incidence sur l’intégrité du jeu ou la sécurité du système
administratif. Des techniques appropriées sont employées pour détecter l’altération
de tels fichiers ou données du STE sans avoir recours aux fonctions approuvées du
système, à moins que la base de données soit cryptée.
6.1.3 Si un logiciel de jeu ou un système non essentiel est installé, il ne nuit pas à
l’intégrité ou aux résultats de la tombola, ni à l’interprétation de la tombola ou de
ses résultats.
6.2 GESTION DES COMPTES DES UTILISATEURS DU SYSTÈME
6.2.1 La méthode d’authentification des utilisateurs est sécurisée afin d’empêcher l’accès
non autorisé aux comptes des utilisateurs du système.
6.2.2 Tout changement aux privilèges d’accès des utilisateurs du système est consigné
par le STE de façon à ce qu’on connaisse l’utilisateur ayant effectué le changement,
la nature du changement, la date et l’heure du changement et l’information
permettant de déterminer l’origine du changement. À tout le moins, les actions
suivantes sont consignées :
a) création d’un compte;
b) suppression d’un compte;
c) désactivation ou suspension d’un compte;
d) modification d’un mot de passe;
e) modification d’un rôle;
f)
modification des permissions.
6.2.3 Les mots de passe des utilisateurs du système sont consignés en texte non clair
de façon irréversible. L’algorithme utilisé est conforme aux normes de hachage de
l’industrie.
17
6.2.4 Les données de mot de passe stockées sont protégées en cas d’accès par une
personne malveillante conformément à la section 6.2.3. Les valeurs de hachage
font l’objet de mesures de protection supplémentaires, comme le salage aléatoire.
Le GNA utilisé pour le salage est sécurisé de façon cryptographique et conforme
aux normes de l’industrie. Une fois stockés, les mots de passe conservent les
caractéristiques prescrites à la section 6.2.3 (texte non clair chiffré de façon
irréversible) en cas d’accès au mécanisme de stockage par une personne
malveillante.
6.2.5 Le STE peut résister à un accès non autorisé grâce à l’application des pratiques
exemplaires de l’industrie relatives aux mots de passe et aux comptes des
utilisateurs.
6.2.6 Les mots de passe ne sont jamais communiqués en texte clair pendant le processus
d’authentification.
6.2.7 L’utilisateur a un accès minimal au STE en fonction de ses besoins opérationnels.
À tout le moins :
a) Les privilèges d’accès sont accordés, modifiés et révoqués en temps utile en
fonction des exigences du poste de la personne.
b) Les privilèges d’accès sont consignés clairement.
c) Les privilèges d’accès sont examinés et confirmés de façon indépendante
périodiquement.
d) Chaque compte du STE est attribué à une seule personne.
6.2.8 Les mots de passe des comptes de système d’exploitation et de base de données
utilisés par les logiciels du système administratif ne sont pas figés dans le code, car
l’exploitant doit pouvoir changer les mots de passe des comptes de processus s’ils
sont compromis.
6.2.9 Il est techniquement impossible de gérer ou de configurer le système administratif à
partir de l’UVT.
18
6.3 ACCÈS ET SURVEILLANCE À DISTANCE
6.3.1 Les méthodes d’accès à distance et les procédures connexes permettent
uniquement aux utilisateurs et aux systèmes autorisés de réaliser des tâches
précises au moyen d’un lien sécurisé.
6.3.2 L’accès à distance au STE peut seulement être accordé à l’organisme de
bienfaisance ou au fournisseur inscrit à partir de son réseau d’entreprise sécurisé,
comme un client RPV à authentification à deux facteurs, à condition que le STE
surveille et consigne automatiquement le nom de l’utilisateur, l’heure et la date de
la connexion, la durée de la connexion et l’activité durant la connexion, y compris les
zones consultées et les changements effectués liés à la tombola.
19
6.4 SYNCHRONISATION DE LA DATE ET DE L’HEURE
6.4.1 L’intégrité des rapports transmis par les divers composants du STE est préservée à
l’aide d’une méthode de synchronisation des horloges de tous les composants du
système administratif, y compris des UVT. Ainsi, la date et l’heure des transactions
consignées sont synchronisées pour les besoins des vérifications.
20
6.5 GESTION DES DONNÉES
6.5.1 Le système administratif consigne et stocke les transactions de billets, les liquidités,
les encaissements et les données de comptabilité liées au tirage pour tous les billets
valides et invalidés, y compris, à tout le moins :
a) le nom de l’organisation qui tient la tombola;
b) l’identifiant de l’endroit où se déroule la tombola;
c) l’identifiant, la date et l’heure de la tombola;
d) la date et l’heure de l’émission des billets;
e) le prix des billets;
f)
la liste des prix, selon le cas;
g) les numéros de tombola gagnants et la valeur des prix;
h) l’information financière permettant de rapprocher les ventes de billets, y compris
les niveaux de prix des billets vendus;
i)
la valeur de départ des prix;
j)
les renseignements sur chaque billet mentionnés à la section 5.3.3;
k) l’état des billets;
l)
l’historique des transactions de billets, y compris l’invalidation et l’annulation de billets;
m) le type de transaction ou toute autre méthode de différenciation des types de billets;
n) les identifiants de l’UVT et de l’utilisateur, dans le cas des billets vendus à l’unité.
6.5.2 Les personnes autorisées peuvent modifier ou corriger des données essentielles, à
condition que les renseignements suivants soient consignés dans un registre immuable :
a) nom de l’utilisateur autorisé ayant apporté le changement;
b) date et heure du changement;
c) type de donnée changé;
d) valeur avant et après le changement.
6.6 CONFIGURATION, GESTION ET VENTE EN VUE DE LA TOMBOLA
6.6.1 Le système administratif peut fixer les dates et les heures de vente des billets de tombola.
6.6.2 Le système administratif et l’UVT envoient des messages aux vendeurs et aux
joueurs lorsqu’il y n’a pas assez de billets à vendre pour une tombola.
6.6.3 Le système administratif envoie des messages aux vendeurs et aux joueurs
lorsqu’une limite de prix est configurée et atteinte pour un tirage de tombola.
21
6.6.4 Le système administratif ne permet aucune modification à la configuration de la
tombola une fois la vente de billets commencée.
6.6.5 Le système administratif permet de surveiller et de gérer toutes les UVT et tous les
vendeurs afin de garantir que :
a) les UVT non autorisées ne peuvent pas se connecter au système administratif;
b) seuls les vendeurs autorisés peuvent vendre des billets pour un tirage de
tombola après s’être connectés à l’UVT qui leur a été assignée;
c) l’accès (les justificatifs d’identité) des vendeurs peut être activé ou désactivé
sur demande;
d) les UVT peuvent être activées ou désactivées sur demande pour la vente de billets;
e) toutes les UVT sont désactivées par défaut, sauf lorsqu’elles sont utilisées pour
la vente de billets en vue d’un tirage de tombola.
6.6.6 Après avoir payé, le joueur reçoit un billet de tombola lui donnant une chance de
gagner à l’occasion d’un tirage.
6.6.7 Le système administratif effectue une vérification pour empêcher l’émission de
numéros ou de billets de tombola en double.
6.6.8 Le système administratif garantit que les numéros de tombola, de validation et de
billet attribués à des billets invalidés ne peuvent pas être revendus ni réémis.
6.7 CONSIGNATION ET RAPPORTS
6.7.1 À tout le moins, le système administratif consigne les renseignements suivants
dans des rapports servant de liste de contrôle complète, pouvant être générés sur
demande, pour des périodes et des activités précises :
a) Transactions liées aux tombolas – Renseignements sur les transactions de
billets et la comptabilité liée au tirage traités par le STE, y compris tous les
billets de tombola valides, annulés et invalidés avec leurs numéros de tombola
et de validation, le prix des billets, les identifiants des UVT servant aux
transactions, les dates et heures des transactions et les noms des vendeurs qui
les effectuent, la valeur de départ des prix, les ventes totales, les liquidités, les
encaissements, les numéros de tombola gagnants et les prix attribués.
b) Événements touchant la sécurité – Renseignements sur l’accès et la tentative
d’authentification, y compris le composant auquel on tente d’accéder, le nom
de l’utilisateur, la réussite ou l’échec de la tentative, la date et l’heure, et tout
changement apporté.
c) Journal des erreurs – Erreurs critiques, comme le plantage des applications de l’UVT
ou du STE, les erreurs d’authentification de logiciels et les erreurs de communication
22
7
GÉNÉRATEURS DE NOMBRES ALÉATOIRES (GNA)
7.1 LOGICIEL DE GÉNÉRATION DE NOMBRES ALÉATOIRES
Les exigences ci-dessous s’appliquent au logiciel de génération de nombres
aléatoires et à sa mise en œuvre.
7.1.1 Les nombres aléatoires :
a) sont indépendants du point de vue statistique;
b) ont les mêmes chances d’être générés à l’intérieur d’une même série;
c) peuvent réussir divers tests statistiques reconnus;
d) sont imprévisibles.
7.1.2 La série de nombres aléatoires correspond à celle utilisée pour un jeu donné, y
compris les premier et dernier numéros générés lors de la vente de billets de
tombola. Plus précisément, les nombres générés aléatoirement produisent des
statistiques qui se trouvent dans l’intervalle de confiance de 99 % de divers tests
statistiques empiriques, y compris les tests de fréquence, les tests visant à déceler
les séquences d’écarts par rapport à la moyenne et les tests de corrélation sérielle.
7.1.3 Les résultats du GNA ne font ressortir aucune tendance ni aucune corrélation avec
des résultats antérieurs.
7.1.4 Le STE ne prend aucune décision secondaire visant à modifier les numéros
gagnants d’une tombola.
7.1.5 Le GNA et le STE utilisent un mécanisme qui empêche de déterminer les valeurs de
départ du GNA.
7.1.6 Les valeurs de départ du GNA sont réinitialisées en cas de corruption des données.
7.1.7 Si le processus de sélection des éléments du jeu est interrompu, les choix initiaux
sont conservés jusqu’à la récupération complète des données du STE.
7.1.8 Le STE se sert de protocoles de communication sécurisés pour protéger le GNA et
le processus de sélection aléatoire.
7.1.9 Les mises collectives de numéros de tombola sont stockées de façon sécuritaire.
23
Partie C : VÉRIFICATION DES
LOGICIELS DE JEU ESSENTIELS
8
AUTHENTICATION OF CRITICAL GAME SOFTWARE AT ERS
8.1.1 Le système de jeu peut détecter des changements non autorisés.
8.1.2 Le système de jeu comporte un mécanisme permettant de vérifier l’intégrité des
logiciels mis en production, en permanence ou avant que des changements soient
mis en œuvre, de façon à ce que les logiciels approuvés soient utilisés et qu’ils ne
subissent aucun changement non autorisé.
À tout le moins, le STE est authentifié :
a) immédiatement avant son démarrage;
b) automatiquement à intervalles réguliers pendant son fonctionnement;
c) sur demande par l’exploitant ou la CAJO.
Remarque : La méthode d’authentification est évaluée au cas par cas et approuvée
par le registrateur en fonction des pratiques exemplaires de l’industrie. Par exemple,
les valeurs SHA 1 du logiciel sont calculées par rapport à une liste maîtresse de
signatures protégées, c’est-à-dire les valeurs SHA 1 cryptées.
8.1.3 Si la tentative d’auto-authentification échoue, le logiciel en cause passe en mode
erreur, s’arrête de façon sécuritaire et avise l’exploitant.
8.1.4 Les résultats de chaque tentative d’authentification sont consignés dans un rapport
immuable accessible à la CAJO. Ce rapport contient une condition de réussite ou
d’échec précisant les logiciels dont la tentative d’authentification a échoué.
8.1.5 Les fichiers modifiables, comme les paramètres de configuration, n’ont pas à faire
l’objet des vérifications de logiciels exigées aux sections 8.1.2 et 9.2. Cependant, les
paramètres essentiels sont configurables de façon à ne pas compromettre l’intégrité
du jeu.
24
9
AUTHENTIFICATION DES LOGICIELS DE JEU ESSENTIELS DE L’UVT
9.1 AUTOVÉRIFICATION DANS LA MÉMOIRE VOLATILE DE L’UVT
Les composants des logiciels de jeu essentiels, sauf les composants graphiques et
sonores, sont entièrement vérifiés par l’UVT au moment de leur chargement dans
la mémoire effaçable électriquement ou volatile (avant leur exécution) et, à tout le
moins, après chaque réinitialisation et chaque démarrage de l’UVT. Si un composant
non valide est détecté, les fonctions touchées sont désactivées.
9.2 VÉRIFICATION DES LOGICIELS DE JEU ESSENTIELS DE L’UVT PAR LE SYSTÈME
ADMINISTRATIF
9.2.1 L’UVT peut accepter les valeurs de hachage de départ aléatoires reçues du système
administratif conformément à l’exigence de la section 9.2.2, qui servent à calculer
l’empreinte numérique des logiciels de jeu essentiels, et renvoyer les résultats
des calculs. Cette vérification automatique est transparente et ne nuit pas au
fonctionnement normal de l’UVT. Si les résultats ne correspondent pas à ceux reçus
du système administratif, le système administratif envoie un avis, puis les logiciels
de l’UVT passent en mode erreur, s’arrêtent de façon sécuritaire et informent
l’exploitant de la défaillance. Le système administratif n’accepte aucune transaction
de tombola de l’UVT en cause. (La date d’entrée en vigueur de cette exigence est à
déterminer.)
9.2.2 Le système administratif réalise une vérification indépendante des logiciels de
chaque appareil client ou des logiciels de jeu essentiels de l’UVT après avoir établi
une connexion avec l’appareil et aléatoirement. On utilise un algorithme de hachage
d’une complexité d’au moins 128 bits, comme un algorithme MD5 ou SHA 1. La
vérification permet de renvoyer des valeurs de hachage de départ aléatoires qui
serviront à calculer et à vérifier les valeurs de hachage de l’UVT, comme l’explique la
section 9.2.1. (La date d’entrée en vigueur de cette exigence est à déterminer.)
25
Partie D : AUTRES EXIGENCES
10RÉSEAUX
10.1 EXIGENCES GÉNÉRALES
10.1.1 Un diagramme de réseau conforme aux normes reconnues par l’industrie est fourni
au moment de la soumission.
10.1.2 L’accès logique au matériel de réseau est sécurisé pour résister aux altérations
ou aux accès non autorisés grâce à l’application des pratiques exemplaires de
l’industrie. Par exemple :
a) un protocole sécurisé, comme le protocole SSH, est utilisé pour accéder aux
interfaces de gestion;
b) les interfaces d’administration non sécurisées (Telnet, HTTP, etc.) sont
désactivées;
c) les comptes d’administration par défaut sont désactivés ou à accès restreint,
de sorte que la priorité est accordée aux comptes d’administration qui peuvent
être assignés à des personnes;
d) les ports TCP ou UDP inutilisés sont désactivés.
10.1.3 Les exigences de synchronisation de la section 6.4.1 s’appliquent également
au matériel de réseau et visent à préserver la crédibilité des journaux et des
vérifications.
10.1.4 Tout le trafic réseau lié au jeu et exposé aux lignes de réseau publiques est sécurisé
à l’aide d’une méthode cryptographique normalisée et reconnue par l’industrie.
10.1.5 L’accès au réseau local est restreint aux appareils autorisés.
10.1.6 Les appareils et serveurs uniques n’ont pas accès à Internet. Les connexions
Internet bidirectionnelles sont filtrées à l’aide d’une source distincte protégée sur le
réseau interne.
10.1.7 La conception de l’architecture de réseau permet de contrôler le trafic pour éviter
que les joueurs éprouvent des problèmes d’intégrité causés par un nombre élevé de
communications.
10.1.8 Conformément aux cadres de sécurité exemplaires de l’industrie, des personnes
qualifiées évaluent le STE avant qu’il soit utilisé pour le jeu, de façon périodique une
fois qu’il est mis en service et après toute mise à niveau ou modification importante
26
de l’infrastructure ou des applications, de sorte que les vulnérabilités sont révélées et
évaluées, et que les risques sont jugés négligeables après la réalisation de tests de
sécurité et d’intrusion des applications et de l’infrastructure, au besoin.
10.2 RÉSEAUX SANS FIL
Outre les conditions susmentionnées à la section 10.1, les réseaux sans fil sont
conformes aux exigences suivantes :
10.2.1Tous les protocoles visés par les normes publiées IEEE 802.11 sont considérés comme
normalisés par l’industrie, et seule leur mise en œuvre est examinée par le registrateur.
Tout protocole exclu de ces normes fait l’objet de tests approfondis et est examiné par
le registrateur.
10.2.2Les réseaux sans fil sont sécurisés selon une méthode de cryptage normalisée par
l’industrie, comme la norme AES. La méthode utilisée peut être examinée par le
registrateur.
10.2.3L’authenticité de tous les appareils clients est vérifiée à l’aide d’un protocole
d’authentification normalisé par l’industrie, tel le protocole EAP TLS ou PEAP.
10.2.4Les fonctions de réseau ad hoc et de partage réseau sont désactivées sur les appareils
intégrant une carte réseau sans fil.
10.2.5Les réseaux sans fil ne diffusent pas ouvertement leur identifiant de réseau sans fil
(identifiant SSID); la connaissance de l’identifiant SSID d’un réseau est plutôt une
condition à remplir pour pouvoir s’y connecter. Le mot de passe d’un réseau est
réinitialisé automatiquement après un certain temps même si l’identifiant SSID n’est
pas diffusé ouvertement.
10.2.6La portée d’un réseau sans fil à l’intérieur de laquelle les transactions des joueurs
peuvent être effectuées est limitée à la zone de vente désignée du site de jeu. Aucun
appareil sans fil ne fonctionne à l’extérieur des zones surveillées du site.
10.2.7Les adresses IP sont attribuées aux appareils sans fil de façon statique.
10.2.8Les appareils sans fil ne comportent aucune logique de commande de jeu. Ils peuvent
uniquement servir d’interfaces dotées d’un système logique central. Le serveur
administratif enregistre le solde du compte des joueurs, leurs résultats de jeu et
l’information sur leurs prix dans un emplacement central.
10.2.9Les communications sans fil sont conçues de façon à prévenir les problèmes d’intégrité
du jeu que peuvent causer le brouillage des signaux et les interférences radio.
27
11 FORENSICS CAPABILITIES
11.1.1 Raffle Ticket transactions must be fully auditable and all related events must be
logged.
11.1.2 Critical Game Data related to Game play must be preserved under irregular
conditions, e.g. malfunctions and error conditions, where technically possible.
11.1.3 The contents of Critical Memory must be preserved when the hardware device is
removed from the RSU.
11.1.4 Forensic tools must extract all Critical Game Data onto duplicate device without
compromising the integrity of the source device.
11.1.5 Physical and logical access to the RSU and Backend System must be fully auditable
and all related events must be logged.
28
12 EXIGENCES RELATIVES À LA SOUMISSION
12.1.1 Les exigences relatives à la soumission et à la formation sont énoncées dans les
lignes directrices de soumission des systèmes de tombola électronique moitiémoitié, fournies sur demande.
12.1.2 Tout dossier de soumission d’un STE est accompagné des formulaires de
soumission de la CAJO requis.
29

Registrar`s Standards for Gaming: Lottery Sector (2016/01)

Transcription

Documents pareils

2016 AFFICHE cidre et chataigne

telethon-2016

« Pour bien grandir…» - Ecole Ste Marie St Hilaire de Loulay

demande PERMIS_TOMBOLA - Police de l`Ouest lausannois

Honorable Correspondant, A l`occasion de l`expansion de ses

reglement - Meeting aérien Des Étoiles et des Ailes

week-end ludique - Roquefort les Pins