Partie C : Système de backend de la tombola
Serveurs de systèmes dorsaux avec applications de tombola
L’objectif des exigences de cette section est de garantir que l’intégrité technique est intégrée dans la conception, l’audit, la sécurité, le contrôle et la capacité comptable des STE, afin de permettre aux organismes de bienfaisances d’organiser et de gérer des tombolas tout en préservant l’intérêt public.
4.1 Conception
4.1.1 Les éléments des STE essentiels à l’issue de tombolas doivent résider au Canada.
4.1.2 Des mécanismes doivent être mis en place pour garantir la fiabilité, l’intégrité et la disponibilité des STE.
4.1.3 Les composants STE doivent être synchronisés à l’heure lorsqu’ils fournissent au moins les éléments suivants :
- Horodatage des ventes de billets et des tombolas;
- l’horodatage des événements significatifs; et
- Heure de référence pour l’enregistrement et le rapport.
4.1.4 Le STE doit valider les entrées avant de les traiter afin d’éviter tout risque pour l’intégrité ou la sécurité des tombolas.
Recommendation : Cette exigence vise à garantir que des entrées inappropriées ne compromettent pas l’intégrité ou la sécurité des tombolas. Par exemple, les données saisies par les joueurs dans les points de vente en ligne doivent être validées pour éviter l’injection de données malveillantes, ou les champs d’administration des tombolas doivent être validés pour être significatifs (par exemple, les chiffres ne sont pas acceptés à la place des lettres).
4.1.5 Le STE doit être conçu et testé pour exploiter avec intégrité la charge prévue (volume total de ventes et de prélèvements de billets de tombola par minute) et les goulets d’étranglement de la communication dans l’environnement de production.
4.1.6 Le STE doit être conçu pour résister aux attaques de sécurité, comme la sécurité en profondeur (c’est-à-dire plusieurs couches de sécurité, de sorte que si une couche est contournée, l’attaque doit encore passer par la couche suivante, et ainsi de suite).
4.1.7 Les données sensibles doivent être sécurisées et protégées contre tout accès ou utilisation non autorisé à tout moment en utilisant les bonnes pratiques de l’industrie.
4.1.8 Les composants des STE ne doivent pas avoir accès à l’internet ni être accessibles depuis l’internet au-delà de ce qui est nécessaire au STE pour prendre en charge la solution de tombola.
4.2 Récupération
4.2.1 Le STE doit pouvoir être récupéré de manière à ce qu’il n’y ait pas d’impact sur l’intégrité de la tombola ou sur la capacité d’auditer la tombola.
4.3 Contrôle d’accès
4.3.1 Le STE doit limiter l’accès des utilisateurs, en fonction des besoins de l’entreprise, aux éléments suivants, au minimum :
- Les privilèges d’accès doivent être accordés, modifiés et révoqués en fonction du statut professionnel et des exigences du poste, et toutes les activités associées à ces actions sont enregistrées; et
- Tous les comptes STE doivent être attribués de manière unique à une personne.
4.3.2 Toute modification des droits d’accès d’un utilisateur doit être consignée dans un journal, avec l’identité de l’utilisateur qui a effectué la modification et l’heure de la modification. Les modifications suivantes des privilèges d’accès des utilisateurs doivent être enregistrées, au minimum :
- Création de compte;
- Suppression du compte;
- Désactivation/suspension d’un compte;
- Changement de mot de passe;
- Changement de rôle; et
- Modification des autorisations.
4.3.3 Un authentificateur sécurisé conforme aux bonnes pratiques du secteur, par exemple un mot de passe fort, doit être utilisé pour identifier un utilisateur et son compte afin de garantir que seules les personnes autorisées peuvent accéder à leur compte STE.
4.3.4 Le STE doit automatiquement verrouiller les comptes si les conditions d’identification et d’autorisation ne sont pas remplies après un nombre défini de tentatives.
4.3.5 L’accès logique au STE doit être entièrement contrôlable et tous les événements connexes doivent être enregistrés.
4.3.6 Le STE doit empêcher tout accès non autorisé aux fichiers/tables de bases de données sensibles contenant des informations sensibles, confidentielles ou personnellement identifiables, y compris les procédures stockées et les mots de passe, et empêcher leur modification non autorisée.
4.4 Configuration sécurisée
4.4.1 Seul le personnel autorisé, l’administrateur/gestionnaire de la tombola, peut être autorisé à configurer les informations relatives aux jeux et aux billets de la tombola.
4.4.2 Le STE ne doit pas autoriser de modifications de la configuration de la tombola qui porteraient atteinte à la sécurité ou à l’intégrité de la tombola ou de toute information liée au jeu une fois que la vente des billets de tombola a commencé.
4.4.3 Le STE, les données, les journaux d’activité et tous les autres composants connexes doivent être protégés contre les menaces, les vulnérabilités, les attaques ou les violations afin de garantir l’intégrité et la sécurité des STE, comme suit, au minimum :
- Tous les composants des STE et les connexions entre l’STE et tout autre système, qu’il s’agisse d’un système interne ou d’un système tiSTE, doivent être renforcés conformément aux bonnes pratiques du secteur et de la technologie avant la mise en service et avant toute modification; et
- Le STE doit être protégé contre les logiciels malveillants.
4.4.4 Les fonctions exécutées par l’administrateur/gestionnaire de la tombola dans le système administratif doivent être techniquement limitées et ne doivent pas pouvoir être exécutées à partir du point de vente.
4.4.5 Le système administratif doit être en mesure de contrôler et de gérer toutes les unités de tombola (UTR) et les fonctions exécutées par les vendeurs de billets de tombola à l’UTR, comme suit, au minimum :
- La UVT doit avoir un identifiant unique pour permettre son contrôle et son suivi;
- Les UVT doivent être autorisées par le système administratif avant d’y être connectées;
- Seuls les vendeurs autorisés peuvent vendre des billets pour un tombola après s’être connectés aux UVT attribuées;
- Les vendeurs peuvent être activés et désactivés à la demande dans le système administratif;
- Les UVT peuvent être activées ou désactivées à la demande dans le système administratif; et
- Par défaut, toutes les UVT sont désactivées pour la vente de billets, sauf lorsqu’elles sont attribuées et activées pour la vente de billets pour un tombola.
4.5 Surveillance et réponse aux incidents
4.5.1 Les activités de sécurité doivent être enregistrées de manière vérifiable et contrôlées, comme suit, au minimum :
- Tentatives d’attaque, de violation ou d’accès non autorisé aux composants des STE;
- Les tentatives d’intrusion doivent être activement détectées et, dans la mesure du possible, empêchées de provoquer une perturbation ou une panne des STE; et
- Il doit y avoir une journalisation adéquate pour saisir et surveiller toute tentative d’attaque, de violation ou d’accès non autorisé à tout composant des STE.
4.6 Gouvernance des données
4.6.1 Des registres appropriés, précis et complets des transactions de billets et des informations relatives aux tombolas doivent être conservés à des fins d’audit et à d’autres fins réglementaires.
4.6.2 Les systèmes dorsaux doivent enregistrer et stocker des données complètes sur les billets et les transactions financières (par exemple, les fonds de caisse et les encaissements), des données comptables de tirage pour tous les billets valides et annulés et des données sur les joueurs, comprenant au minimum les éléments suivants
- Nom de l’organisme de bienfaisance qui organise la tombola;
- L’ID du tirage, la date et l’heure;
- Date et heure d’émission du billet;
- Prix du (des) billet(s);
- Liste des prix, le cas échéant;
- Valeur des semences du prix, le cas échéant;
- Numéro(s) gagnant(s) de la tombola et valeur(s) du prix;
- Lorsque la tombola est organisé dans plusieurs territoires, le territoire dans laquelle se trouve le(s) numéro(s) de tombola et la(les) valeur(s) du prix gagnants;
- Des informations financières suffisantes pour rapprocher les ventes de billets, y compris le mode paiement et les prix des billets vendus;
- Lorsque la tombola est organisée dans plusieurs territoires, des informations suffisantes pour rapprocher les ventes de billets, y compris le mode paiement et les prix des billets vendus, pour chaque territoire séparément;
- Informations sur les joueurs, y compris le nom, l’adresse, l’âge et les coordonnées pour les ventes en ligne;
- Informations sur les billets individuels par section 2.3.1;
- Statut du billet;
- Historique des transactions de billets, y compris les billets annulés;
- Type de transaction ou autre méthode permettant de différencier les types de billets;
- PdV; et
- ID vendeur UVT.
4.6.3 Les personnes autorisées peuvent procéder à des ajustements et à des corrections des données essentielles relatives au gibier, à condition que les informations suivantes soient consignées dans des registres inaltérables :
- ID de l’utilisateur autorisé qui a effectué la modification;
- Date et heure de la modification;
- le type de données modifiées; et
- La valeur des données ajustées avant et après le changement.
4.7 Journalisation et rapports
4.7.1 Le STE doit fournir au minimum les informations suivantes pour la piste d’audit dans des rapports générés à la demande avec des périodes de temps réglables et des activités spécifiques pour chaque événement de la tombola :
- Transactions des tombolas - Informations sur toutes les transactions de billets et la comptabilité des tombolas gérées par l’STE, y compris : Tous les billets valides, annulés et annulés avec les numéros de tirage et les numéros de validation, le prix du billet, l’identifiant du point de vente de la transaction, l’heure de la transaction, le(s) lot(s), les ventes totales, les fonds de caisse et les encaissements, le(s) numéro(s) de tirage gagnant(s) et le(s) lot(s) distribué(s);
- Transactions de tombolas - Lorsque des tombolas ont lieu dans plusieurs territoires, des informations sur toutes les transactions de billets et la comptabilité des tombolas gérées par l’STE, y compris : le territoire dans laquelle la transaction a eu lieu et le territoire dans laquelle le(s) numéro(s) gagnant(s) ont été achetés, ainsi que le(s) prix distribué(s) par territoire;
- Événements de sécurité - toute information sur l’accès et les tentatives d’authentification, y compris : composant(s) consulté(s), nom d’utilisateur, succès ou échec de l’authentification, heure, modifications apportées;
- Journaux d’erreurs - Toutes les erreurs critiques, par exemple l’échec de l’authentification du logiciel et les erreurs de communication; et
- Journal des événements significatifs - Au moins les 100 derniSTE événements avec l’horodatage approprié.
Caractère aléatoire des tombolas
L’objectif de cette section est de garantir que le résultat des tombolas est aléatoire.
5.1 Générateur de nombres aléatoires (GNA)
Les exigences suivantes s’appliquent au caractère aléatoire du GNA et à sa mise en œuvre.
5.1.1 Les résultats fournis par le GNA doivent satisfaire aux tests statistiques applicables en matière de hasard, afin de démontrer :
- Indépendance statistique;
- une distribution uniforme dans leur gamme pour le jeu de tombola prévu; et
- Imprévisibilité.
5.1.2 L’éventail des nombres aléatoires utilisés pour les tests statistiques doit correspondre à l’ensemble des résultats possibles du jeu de la tombola, tels qu’ils sont fournis au joueur, et inclure à la fois le haut et le bas de l’échelle des ventes de la tombola. L’intervalle de confiance de 99 % s’applique aux tests statistiques spécifiques au jeu, y compris, mais sans s’y limiter, le test de fréquence, le test des séries et le test de corrélation sérielle.
5.1.3 Les résultats valides du GNA doivent être utilisés pour le résultat du jeu de tombola sans modification ni décision secondaire de la part des STE.
Recommendation : La sortie du GNA comprend toutes les mises à l’échelle nécessaires pour que la sortie soit utilisable par le jeu de tombola.
5.1.4 Lorsque le processus de tirage des numéros gagnants est interrompu, la sélection originale doit être conservée jusqu’à la récupération complète du SRÉ.
5.1.5 Le STE doit utiliser des protocoles de communication sécurisés pour protéger le GNA et le processus de sélection aléatoire.
5.1.6 Les lots de numéros de tombola doivent être conservés en toute sécurité.
5.2 Machines à hasard physiques
5.2.1 Les machines à hasard physique qui utilisent les lois de la physique pour déterminer le billet gagnant doivent garantir l’intégrité du jeu et le caractère aléatoire des tombolas (par exemple, le mélange des billets).
Note : Le caractère aléatoire et la mise en œuvre de dispositifs physiques de randomisation seront évalués au cas par cas.
Intégrité des logiciels et des données de jeu critiques
L’objectif des exigences de cette section est de garantir l’intégrité technique du logiciel critique et des données de jeu critiques pendant les opérations de tombola et de veiller à ce que seuls des logiciels approuvés soient installés.
6.1 Authentification des logiciels critiques
6.1.1 Un mécanisme conforme aux bonnes pratiques de l’industrie doit être intégré au STE pour vérifier l’intégrité du logiciel critique dans la production afin de s’assurer que le logiciel approuvé est utilisé sans modifications non autorisées et que les tombolas fonctionnent comme prévu.
6.1.2 Au minimum, le STE doit être authentifié avec succès :
- Immédiatement avant le début de la tombola;
- Avant la tombola des prix du gros lot; et
- Sur demande.
6.1.3 Si l’auto-authentification échoue, le logiciel qui échoue à l’authentification doit entrer dans une condition d’erreur, arrêter son fonctionnement en toute sécurité et avertir l’Organisme de bienfaisance.
6.1.4 Les résultats de chaque authentification doivent être consignés dans un rapport inaltérable. Ce rapport doit inclure une condition de réussite/échec avec des détails sur les logiciels qui n’ont pas réussi l’authentification.
6.2 Authentification à distance des unités de vente par tombola ( UVT) Logiciel critique
6.2.1 Le système administratif doit lancer une vérification indépendante sur tout dispositif client ou logiciel critique UVT lors de l’établissement initial d’une connexion avec le système. Lorsqu’un seuil de tentatives de vérification infructueuses est atteint, ce dispositif client ou UVT doit être désactivé.
6.3 Intégrité des données de jeu essentielles
6.3.1 Le STE doit maintenir avec précision l’intégrité des données critiques du jeu afin de garantir que le jeu de tirage fonctionne comme prévu et qu’il est contrôlable.
6.3.2 Le STE doit employer des méthodes pour détecter la corruption et les modifications non autorisées de ses données de jeu critiques afin de prévenir les problèmes d’intégrité.
6.3.3 La détection d’une altération ou d’une modification non autorisée des données essentielles du jeu qui ne peut être récupérée doit entraîner l’arrêt immédiat des ventes de la tombola et faire en sorte que le PdV se mette en état d’erreur et ne reprenne pas les ventes de la tombola tant que la situation n’a pas été corrigée.
6.3.4 L’intégrité des données critiques du jeu de l’UVT doit être maintenue par une méthodologie permettant la détection des défaillances, la sauvegarde et la récupération des données critiques du jeu.
6.3.5 Il doit être possible d’extraire les données essentielles de jeu de l’UVT par des procédures techniques restreintes sans contaminer les données du support de stockage d’origine.