El Vínculo El Vínculo.
Resolución Vigente 2 redacciones

4. Seguridad de los sistemas de información.

4. Seguridad de los sistemas de información de la Resolución de 6 de octubre de 2014, de la Dirección General de Ordenación del Juego, por la que se aprueba la disposición por la que se desarrollan las especificaciones técnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas técnicos de juego de carácter no reservado objeto de licencias otorgadas al amparo de la Ley 13/2011, de 27 de mayo, de regulación del juego. · BOE-A-2014-10302

Redacción vigente según el texto consolidado del BOE, en vigor desde el 2025-03-22.

Texto consolidado

Los requisitos de seguridad del sistema técnico de juego que se establecen tienen como objetivo proteger los registros de usuario de los usuarios y sus cuentas de juego asociadas, así como garantizar que el juego se desarrolla de manera correcta.

4.1 Componentes críticos.–Los componentes críticos son los elementos cuya seguridad debe ser reforzada, ya que su impacto en el desarrollo del juego es importante.

Son componentes críticos:

• En el registro de usuario, cuenta de juego y procesamiento de los medios de pago: los componentes del sistema técnico de juego que almacenan, manipulan o transmiten información sensible de los clientes como datos personales, de autenticación, o económicos y los que almacenan el estado puntual de los juegos, apuestas y su resultado.

• En el generador de números aleatorios: los componentes del sistema técnico de juego que transmiten o procesan números aleatorios que serán objeto del resultado de los juegos y la integración de los resultados del generador de números aleatorios en la lógica del juego.

• Las conexiones con la Dirección General de Ordenación del Juego.

• El sistema de control interno: el capturador y el almacén.

• Los puntos de acceso y las comunicaciones de y hacia los componentes críticos anteriores.

• Las redes de comunicación que transmiten información sensible de participantes.

4.2 Gestión de la seguridad del sistema técnico de juego.–El operador deberá implementar un sistema de gestión de la seguridad, que protegerá especialmente los componentes críticos referidos en el número anterior.

Los procedimientos de seguridad deberán estar dirigidos a implementar medidas concretas de seguridad, partiendo de una evaluación de los riesgos. El operador deberá planificar las revisiones periódicas y realizar las revisiones derivadas de los cambios significativos.

4.3 Gestión de riesgos.–La gestión de riesgos identificará los elementos a proteger, para después llevar a cabo una identificación, cuantificación y priorización periódica de los riesgos a los que está sometido el sistema técnico de juego. La gestión de riesgos deberá plasmarse en un plan de medidas.

4.4 Política de seguridad.–Los operadores deberán contar con unos procedimientos de seguridad que serán comunicados a la totalidad de sus empleados y, en su caso, a las entidades colaboradoras externas.

4.5 Organización de la seguridad de la información.–Los operadores deberán establecer un marco de gestión para la seguridad de la información indicando las funciones y responsabilidades de su personal.

4.6 Seguridad en la comunicación con los participantes.–Deben adoptarse mecanismos de autenticación que permitan al sistema de juego identificar al participante, y que, a su vez, permitan al participante identificar al sistema de juego.

El operador deberá establecer los sistemas y mecanismos que garanticen la confidencialidad de las comunicaciones de los participantes con sus sistemas técnicos de juego y, en particular, con la unidad central de juegos y su réplica. Las comunicaciones serán cifradas en los casos de transmisión de datos personales (registro de usuario) o económicos (cuenta de juego).

En relación con las comunicaciones, el operador adoptará las medidas que resulten necesarias para garantizar la integridad y el no repudio en los casos de transmisión de datos personales o económicos, y en las transacciones de participación en el juego.

4.7 Seguridad de recursos humanos y terceros.–El plan de seguridad del personal del operador incluirá acciones formativas, gestión de la contratación, cambios y finalización de la contratación, prestando especial atención a los permisos de acceso a información y componentes críticos.

Cuando el operador necesite de los servicios de terceros que supongan acceso, procesamiento, comunicación o tratamiento de la información, o bien el acceso a instalaciones, productos o servicios relacionados con el juego, éstos terceros deberán cumplir la totalidad de los requisitos de seguridad exigibles al resto del personal.

4.8 Seguridad física y medioambiental.–Los planes de seguridad de los operadores deberán incluir, en relación con la seguridad física de los componentes del sistema técnico de juego y de su réplica, lo siguiente:

• Seguridad perimetral para las áreas que contienen componentes críticos e información sensible: paredes, tarjetas de acceso, etc.

• Control de acceso físico a las instalaciones en las cuales se encuentren los equipos, tanto para empleados como para personal externo, que incluya elementos físicos, procedimientos de autorización, registros de acceso y servicios de vigilancia.

• Protección de los equipos críticos frente a riesgos ambientales: agua, fuego, provocados por personas, etc.

• Protección de los equipos críticos frente a cortes del suministro eléctrico y otras interrupciones causadas por fallos en instalaciones de soporte. El cableado de suministro eléctrico debe ser protegido de daños.

• Control de acceso al cableado de comunicaciones si transporta información crítica sin cifrar.

• Mantenimiento de las instalaciones y equipos.

• Los dispositivos que contienen información deben ser borrados de manera segura o destruidos antes de ser reutilizados o retirados.

• Los equipos que contienen información no pueden ser trasladados fuera de las instalaciones seguras sin la correspondiente autorización.

4.9 Gestión de comunicaciones y operaciones.–Se debe garantizar la segura y correcta operación del sistema técnico de juego, así como las comunicaciones:

• Los componentes críticos deberán ser monitorizados para evitar que puedan utilizarse versiones diferentes de la homologada.

• La comunicación entre los componentes de los sistemas técnicos de juego garantizarán la integridad y la confidencialidad.

• Las tareas se segregarán entre las diferentes áreas de responsabilidad, para minimizar la posibilidad de acceso no autorizado y potenciales daños.

• Se separarán las tareas de desarrollo, pruebas y producción.

• Los servicios proporcionados por terceras partes deben incluir controles y métricas de seguridad en los contratos, y deben ser periódicamente auditados y monitorizados.

• Se adoptarán medidas de protección contra código malicioso.

• Deben hacerse regularmente copias de seguridad con la frecuencia adecuada y conservarse custodiadas según quede recogido en el plan de copias de seguridad.

• Se adoptarán medidas de seguridad en la red de comunicaciones.

• Se adoptarán medidas de seguridad en la manipulación de soportes portátiles así como de borrado seguro o de destrucción de los mismos, que se plasmarán en un procedimiento documentado.

• Los relojes de todos los componentes, especialmente los críticos, deberán estar sincronizados con una fuente de tiempo fiable. La fuente de tiempo fiable puede no ser la misma para cada componente. El operador establecerá medidas y controles para evitar la manipulación de las marcas de tiempo o su alteración posterior, especialmente en los registros de auditoría.

• Deberán generarse y guardarse registro de auditoría de actividades de todos los usuarios, excepciones y eventos de seguridad de la información durante un periodo mínimo de dos años.

• Los registros de auditoría estarán protegidos frente a la alteración y el acceso indebido.

• Las actividades del administrador del sistema y del operador del Sistema deberán quedar registradas.

• Se realizará un análisis periódico de los registros de auditoría. Se tomarán acciones en función de las incidencias detectadas.

4.10 Control de acceso.–Los accesos del personal del operador y de los participantes deben cumplir los siguientes requisitos:

• Debe existir una política de acceso a información documentada, que será revisada periódicamente.

• Se debe asegurar el acceso autorizado e impedir el no autorizado mediante controles en el alta de usuarios, gestión de privilegios de acceso, revisión periódica de los privilegios de acceso y política de gestión de las contraseñas.

• Los usuarios deben seguir buenas prácticas en el uso de contraseñas y proteger adecuadamente la documentación y soportes en su puesto de trabajo.

• Los usuarios únicamente tendrán acceso a los servicios que han sido autorizados a usar.

• No existirán usuarios genéricos y todos los usuarios accederán con su usuario propio único.

• El sistema debe autenticar todos los accesos, ya sea personal propio, de mantenimiento u otros, ya sea de otros sistemas y componentes (por ejemplo la pasarela de pagos). También debe ser autenticado el personal de inspección de la Dirección General de Ordenación del Juego u otro personal que actúe en su nombre.

• Las redes se segregarán en función del área y responsabilidad de la tarea o función.

• El acceso a los sistemas operativos requerirá un mecanismo de autenticación seguro.

• Se restringirá y se controlará el uso de programas que permitan evitar los controles de acceso y de seguridad.

• Las sesiones de usuario tendrán un tiempo máximo de duración de la conexión y un tiempo de desconexión por inactividad.

• El personal de soporte informático tendrá restringido el acceso a los datos reales de las aplicaciones. Los datos reales sensibles estarán ubicados en entornos aislados.

• Se gestionarán los riesgos asociados a dispositivos móviles.

• Si existe el teletrabajo, se comprobará que el riesgo asociado está gestionado en el marco del plan de seguridad.

4.11 Compra, desarrollo y mantenimiento de los sistemas.–Se deberá analizar el impacto en la seguridad en la toma de decisiones de compra, desarrollo y mantenimiento de los sistemas de información.

4.12 Gestión de incidentes de seguridad.–El operador deberá disponer de un procedimiento documentado de gestión de incidentes de seguridad.

Todos los incidentes de seguridad deberán ser registrados y se documentarán de forma clara y concisa los hechos, los impactos y las medidas adoptadas.

4.13 Gestión de cambios.–De conformidad con lo dispuesto en el artículo 8.5 del Real Decreto 1613/2011, de 14 de noviembre, por el que se desarrolla la Ley 13/2011, de 27 de mayo, de regulación del juego en lo relativo a los requisitos técnicos de las actividades de juego los informes de homologación y certificación incluirán una relación de los componentes críticos. La Dirección General de Ordenación del Juego podrá calificar como críticos otros componentes adicionales.

Desde el inicio de su actividad, el operador deberá disponer de un procedimiento de gestión de cambios documentado, que controle los cambios de los equipos y componentes del sistema técnico de juego efectivamente empleado.

a) Existirá un proceso formal de aprobación interna de todos los cambios, que debe implicar la petición de cambio y su aprobación por los responsables correspondientes.

b) En el caso de cambios en componentes críticos, deberá evaluarse si se trata de un cambio sustancial.

c) Las peticiones de cambio y las decisiones tomadas se registrarán y podrán ser objeto de posterior auditoría.

d) Se conservarán copias del código fuente, o de los binarios o de otros formatos que permitan su posterior despliegue y auditoría, de los elementos de software de todas las versiones software que se hayan utilizado en el sistema técnico efectivamente empleado en los últimos cuatro años. La Dirección General de Ordenación del Juego podrá establecer la obligación de que el procedimiento de conservación de las copias de los elementos de software incluya una huella digital de los mismos.

Téngase en cuenta que esta actualización de la letra d) del apartado 4.13, establecida por el apartado 3.8 de la Resolución de 6 de junio de 2024, Ref. BOE-A-2024-12639, entra en vigor el 22 de marzo de 2025, según determina su apartado sexto.

Redacción anterior:

"d) Se conservarán copias de los binarios de los elementos de software de todas las versiones software que se hayan utilizado en el sistema técnico efectivamente empleado en los últimos cuatro años. La Dirección General de Ordenación del Juego podrá establecer la obligación de que el procedimiento de conservación de las copias de los binarios incluya una huella digital de los mismos."

4.14 Gestión de la disponibilidad del servicio.–El operador deberá disponer de un plan de gestión de la disponibilidad del servicio. El operador deberá considerar dentro del plan cada uno de los siguientes servicios:

• Registro de participante, cuentas de juego, incluyendo la posibilidad de realizar depósitos y retirar fondos.

• Servicios de juego.

El plan indicará el tiempo máximo de indisponibilidad acumulada mensual, así como el tiempo máximo de recuperación para cada servicio. El operador adaptará su infraestructura y procesos, e implantará las medidas necesarias para cumplir los objetivos fijados en su plan de gestión de la disponibilidad.

4.15 Plan de prevención de pérdida de información.–El operador debe disponer de un plan que garantice que no se pierdan datos o transacciones que afecten o puedan llegar a afectar al desarrollo de los juegos, a los derechos de los participantes o al interés público e indique el riesgo asumido por el operador.

El operador adaptará su infraestructura y procesos, e implantará las medidas necesarias para cumplir los objetivos fijados en su plan, estableciéndose los siguientes mínimos:

• Se conservarán copias de la información en un lugar alejado convenientemente de los datos que pretende salvaguardar.

• La copia de la información se protegerá de accesos no autorizados mediante medidas de seguridad equivalentes a las de la información a salvaguardar.

El operador deberá disponer de un procedimiento documentado de actuación en caso de pérdida de información que incluirá los mecanismos para atender las reclamaciones de usuarios, la continuación de los juegos o apuestas interrumpidas, y cualesquiera otras situaciones que pudieran derivarse.

En caso de producirse una pérdida de datos, el operador deberá informar a la Dirección General de Ordenación del Juego, con carácter inmediato, indicando las acciones tomadas y una estimación de la repercusión de la pérdida.

4.16 Gestión de la continuidad de negocio.–El operador debe disponer de un plan de continuidad de negocio para el mantenimiento de la operativa de juego ante desastres, que incluya las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad del servicio y de una réplica de la unidad central de juegos que permita el normal desarrollo de la actividad.

El plan de continuidad de negocio determinará uno o varios escenarios de recuperación indicando para cada uno de ellos los servicios recuperados y el tiempo máximo en el que estarían operativos. El operador deberá considerar dentro del plan los siguientes escenarios:

• Acceso de los participantes a sus registros de usuario y cuentas de juego, con posibilidad de consultar el saldo y los movimientos de sus cuentas de juego asociadas. El tiempo máximo para prestar de nuevo estos servicios será de una semana.

• Posibilidad de los participantes de retirar sus fondos. El tiempo máximo para prestar de nuevo estos servicios será de una semana.

• Continuación de los juegos incompletos o las apuestas pendientes, y pago de los premios válidamente conseguidos. El tiempo máximo para prestar de nuevo estos servicios será de un mes.

• Restablecimiento completo de todos los servicios.

El operador adaptará su infraestructura y procesos, e implantará las medidas necesarias, para hacer realizables los objetivos fijados en su plan de continuidad de negocio.

En caso de desastre, el operador deberá informar a la Dirección General de Ordenación del Juego con carácter inmediato, realizando una estimación del impacto y del tiempo estimado de recuperación.

4.17 Test de penetración y análisis de vulnerabilidades.–El sistema de juego deberá pasar un test de penetración y un análisis de vulnerabilidades, al menos con periodicidad anual. Los sistemas técnicos o parte de los mismos con carácter meramente informativo, donde no se realicen apuestas y no exista acceso al registro de usuario o cuenta de juego, estarán exentos de la obligación de realizar los test de penetración y los análisis de vulnerabilidades.

Los sistemas técnicos en los que la interacción con el jugador sea telefónica o mediante SMS estarán también exentos de esta obligación.

El test de penetración y el análisis de vulnerabilidades podrán ser realizados por entidades distintas de las entidades designadas para la evaluación de la seguridad, o incluso ser realizado con recursos propios del operador en el caso de contar con los medios apropiados.

El test de penetración consistirá en un método de evaluación de la seguridad de una red o un sistema, mediante la simulación de un ataque realizado por un tercero. El proceso incluye un análisis activo del sistema buscando debilidades, fallos técnicos, o vulnerabilidades. El test incluirá todas las interfaces públicas que custodien, procesen o transmitan datos personales, económicos o de juego.

El análisis de vulnerabilidades consistirá en la identificación y cuantificación pasiva de los riesgos potenciales del sistema. El análisis incluirá todos los componentes que custodien, procesen o transmitan datos personales, económicos o de juego.

Los resultados de los test y de los análisis deberán conservarse junto con las medidas correctivas aplicadas o planeadas, para su posterior revisión o inspección.

Antes del inicio de la comercialización de juego, el sistema técnico deberá haber pasado con éxito tanto un test de penetración como un análisis de vulnerabilidades. El alcance y los resultados deberán ser valorados por una de las entidades designadas para la certificación de la seguridad durante el proceso de certificación.

En el caso de que como resultado del test o análisis se detectase un fallo de seguridad muy grave, que pudiera poner en riesgo la identidad o situación patrimonial de los jugadores o permitir su suplantación, el operador lo comunicará inmediatamente a la DGOJ junto con el plan de acción que hubiera definido. La DGOJ podrá requerir la suspensión de la oferta de juego afectada hasta la subsanación del fallo.

Ante incidencias de seguridad de menor gravedad, el operador adoptará un plan de mejora y en el siguiente test o análisis incluirá en el alcance la verificación de la adecuada subsanación de las incidencias previamente detectadas.

El operador deberá conservar el informe completo de cada test o análisis realizado durante al menos cuatro años.

Redacción vigente del texto consolidado publicado por el BOE, en vigor desde el 2025-03-22.

Redacciones de este artículo

Este precepto ha tenido 2 redacciones. La redacción vigente la dio Resolución de 6 de junio de 2024, de la Dirección General de Ordenación del Juego, por la que se aprueba el Modelo de datos del sistema de monitorización de la información y se modifican los anexos I de las Resoluciones de 6 de octubre de 2014, y de 12 de julio de 2012, relativas a las especificaciones técnicas y a la identificación y prohibiciones subjetivas a la participación en las actividades de juego previstas en la Ley 13/2011, de 27 de mayo, de Regulación del Juego..

En El Vínculo puedes comparar qué decía este artículo en cada fecha, redacción a redacción.

Más artículos de BOE-A-2014-10302

En El Vínculo puedes leer BOE-A-2014-10302 artículo a artículo, ver qué decía cada precepto en una fecha pasada y preguntarle a la IA sobre su contenido.