9. Sécurité (jeux sur Internet)

Architecture et infrastructure

Remarque : la présente norme ne s’applique qu’aux activités de jeu sur Internet de l’OLG. Tous les autres exploitants de jeux sur Internet qui souhaitent entrer sur le marché réglementé de l’Ontario doivent se référer aux Normes du registrateur pour les jeux sur Internet.

9.1 On démontre que l’architecture du système de jeu et tous ses composants connexes font l’objet de mesures de sécurité strictes.

9.2 Tous les systèmes et les dispositifs de jeu valident les entrées avant qu’elles ne soient traitées.

9.3 Les utilisateurs non autorisés n’ont accès qu’à un minimum de renseignements sur le système de jeu, notamment lorsqu’il fonctionne mal.
Directive : L’objectif consiste à s’assurer que les personnes non autorisées n’obtiennent pas de renseignements qu’elles n’ont pas besoin de savoir et qui pourraient porter atteinte à l’intégrité du système de jeu ou à la confidentialité des renseignements.

9.4 Tous les modes d’accès à distance sont sécurisés et gérés de façon appropriée.

9.5 Les communications sans fil sont sécurisées et on y a recours seulement lorsque cela est approprié.
Directive : L’objectif consiste à s’assurer qu’on n’a pas recours aux communications sans
fil dans des zones où cela pourrait causer des dommages (p. ex. dans les centres de
données).

9.6 Avant que les composants entrent en service ou lorsqu’ils sont modifiés, ils sont renforcés conformément aux pratiques exemplaires de l’industrie et à celles liées à la technologie.
Exigences – À tout le moins :

  1. Tous les paramètres par défaut ou de configuration standard sont retirés de tous les composants en cas de risque pour la sécurité.
  2. On évalue régulièrement si les mesures prises pour renforcer les composants technologiques sont appropriées et efficaces, et, s’il y a lieu, des changements sont apportés pour accroître le renforcement.

9.7 L’accès est restreint de façon appropriée pour s’assurer que les enregistrements du serveur de noms de domaine sont conservés en toute sécurité de façon à éviter les modifications malveillantes et non autorisées.

Gestion des données et de l’information

9.8 Toutes les clés de cryptage privées sont stockées sur un support sécurisé et redondant accessible uniquement par le personnel de gestion autorisé.

9.9 Les clés de cryptage font l’objet d’une rotation appropriée à intervalles réguliers.

9.10 L’architecture du système de jeu limite la perte de données et de renseignements sur les séances de jeu.

Gestion des comptes du système

9.11 Le système de jeu est en mesure de modifier, de bloquer, de désactiver ou de retirer des comptes du système en temps utile à la suite d’un départ, d’un changement de rôle ou de responsabilité, d’une suspension ou d’une utilisation non autorisée d’un compte.

9.12 Un authentificateur sécurisé conforme aux pratiques exemplaires de l’industrie est utilisé pour identifier un utilisateur et son compte de façon à garantir que seules les personnes autorisées ont accès à leur compte du système de jeu.
Exigences – À tout le moins :

  1. Le système de jeu verrouille automatiquement les comptes si les exigences d’identification et d’autorisation ne sont pas respectées après un nombre défini detentatives d’accès.

9.13 Le système de jeu veille à ce que l’accès au système soit entièrement attribuable à l’identification d’un utilisateur unique et consigné en conséquence.

9.14 Des droits d’accès minimums sont accordés à chaque compte du système de jeu, et ces droits d’accès sont consignés clairement.

9.15 Tous les comptes temporaires et d’invité sont mis hors d’usage dès qu’ils ne sont plus nécessaires.

9.16 Les comptes du système et les droits d’accès au système de jeu sont passés en revue et mis à jour régulièrement.

9.17 Un registre des détenteurs de compte est conservé ainsi que passé en revue et mis à jour régulièrement.

9.18 Un mécanisme est en place pour veiller à ce que les comptes d’administrateur soient confiés à des personnes approuvées par le personnel de gestion de l’exploitant et à ce que l’on surveille l’utilisation de ces comptes pour s’assurer qu’elle est appropriée.

9.19 Toute utilisation inappropriée des comptes du système de jeu est consignée et passée en revue, et des mesures sont prises dans un délai raisonnable.

9.20 Toute utilisation inappropriée des comptes d’administrateur est signalée au registrateur en temps utile.

Logiciels

Remarque : Les normes ci-dessous s’appliquent aux logiciels suivants : 1) logiciels commerciaux sur étagère; 2) logiciels commerciaux sur étagère modifiés; 3) logiciels développés exclusivement; 4) logiciels développés précisément pour l’OLG.

9.21 Les logiciels utilisés pour le système de jeu sont développés selon les pratiques exemplaires de l’industrie.

9.22 Les méthodes de développement des logiciels utilisées sont clairement consignées, mises à jour régulièrement et conservées à l’aide d’un moyen qui est sécurisé tout en étant accessible.

9.23 Un système approprié est en place pour la gestion des logiciels, dès leur développement et pendant tout leur cycle de vie.

9.24 Toutes les fonctions de développement des logiciels sont réparties pendant et après la transmission du code à l’environnement de production.

9.25 L’exploitant établit une liste de contrôle appropriée pour l’examen du code des logiciels par les personnes autorisées, dont le personnel de gestion.

9.26 Des mesures de contrôle sont en place pour s’assurer que les logiciels sont sécurisés de façon appropriée et que l’accès aux logiciels est restreint comme il se doit tout au long du processus de développement.

9.27 Le personnel de gestion autorisé de l’exploitant examine et approuve la documentation des logiciels pour s’assurer qu’elle est appropriée et claire.

9.28 Le code source et le code compilé sont gardés en lieu sûr.
Directive : Le code compilé peut porter une signature numérique ou faire l’objet d’un condensé numérique (y compris chaque fois qu’il y a un changement) de façon à permettre une vérification externe.

9.29 Lorsque du code est transmis de l’environnement d’essai à d’autres environnements jusqu’à celui de la production, ce transfert est consigné et approuvé de la façon appropriée.

9.30 La transmission de code de l’environnement de développement à celui de la production n’est effectuée que par le personnel de soutien à la production et non pas par le personnel travaillant au développement.

9.31 Un environnement d’essai approprié est en place pour permettre la mise à l’essai exhaustive de tout code avant le début de la production.

9.32 Le personnel travaillant au développement n’a pas accès à l’environnement de production.
Remarque : Cette restriction n’écarte pas la possibilité d’accorder un accès supervisé
temporaire en vue d’enquêtes techniques ne pouvant être menées que dans
l’environnement de production.

9.33 Le code de développement ne se trouve pas dans l’environnement de production.

9.34 Le système de jeu comporte un mécanisme permettant de vérifier en permanence, notamment avant que des changements soient mis en oeuvre, l’intégrité des logiciels déployés en production.

9.35 Des systèmes de gestion des versions et de la configuration appropriés sont en place pour appuyer le développement des logiciels.

9.36 Tout code développé par une tierce partie est mis à l’essai pour vérifier s’il respecte les pratiques exemplaires de l’industrie et s’il permet d’atteindre les objectifs avant d’être intégré à l’environnement d’essai et avant l’essai d’intégration.

9.37 Le code développé par une tierce partie n’est pas intégré à l’environnement de production avant d’avoir réussi l’essai d’intégration.

9.38 Des mécanismes sont en place pour garantir que les bogues sont repérés et que les mesures qui s’imposent sont prises, avant et pendant la production.

9.39 Avant que tout code ne soit libéré, des processus d’assurance de la qualité, dont des essais, sont menés pendant le développement.

9.40 Tous les composants sont mis à l’essai, s’il y a lieu, afin de vérifier s’ils permettent d’atteindre les objectifs.

Gestion du changement

9.41 Des examens sont effectués après la mise en œuvre pour s’assurer que les changements ont été apportés correctement, et les résultats sont examinés et approuvés.

9.42 Tous les changements liés à la documentation et à l’information sont consignés, conservés et gérés de façon à en assurer la sécurité.

9.43 L’application de mises à jour, de correctifs ou de mises à niveau liés aux logiciels est consignée, passée en revue, mise à l’essai, gérée et surveillée régulièrement, sous la supervision du personnel de gestion et avec son approbation.

9.44 Un mécanisme est en place pour que les mises à jour, les correctifs ou les mises à niveau liés à tous les composants du matériel de jeu soient consignés, passés en revue, mis à l’essai, approuvés et surveillés régulièrement à la fin de la vie utile des composantes ou lorsque ces derniers deviennent désuets, montrent des signes de faiblesse ou de vulnérabilité, ne sont plus à jour ou ont fait l’objet d’autres travaux d’entretien.

9.45 Des processus de gestion des versions et de la configuration appropriés avec des systèmes de soutien sont en place pour appuyer les changements apportés aux logiciels et au matériel.

9.46 Les changements ne peuvent être apportés qu’à l’aide de comptes réservés à cet effet.