1.18 On se sert d’un cadre standard reconnu de l’industrie pour gérer l’environnement de contrôle de la technologie de l’information en vue de favoriser la conformité avec les normes et exigences.
1.19 Les utilisateurs ont accès au système de jeu en fonction des besoins de l’entreprise.
Exigences – À tout le moins :
- Des privilèges d’accès sont accordés, modifiés ou révoqués selon l’emploi occupé et les exigences du poste, et toutes les activités associées à ces privilèges sont consignées.
- Les privilèges d’accès sont examinés et confirmés de façon indépendante périodiquement.
1.20 L’accès aux systèmes d’information sur les jeux est surveillé, consigné et rattaché à une personne en particulier.
Exigences – À tout le moins :
- Chaque compte d’utilisateur professionnel est attribué à une seule personne.
- L’accès aux comptes du système (ou aux autres comptes auxquels sont rattachés des privilèges équivalents) est réservé au personnel qui fournit un soutien informatique, et des mécanismes sont en place pour sécuriser ces comptes et en surveiller l’utilisation.
1.21 Des processus sont en place pour s’assurer que seules les personnes autorisées sont en mesure d’ouvrir des comptes du système.
1.22 Autant que possible, on se sert de composants, tant matériels que logiciels, qui sont acceptés par l’industrie.
1.23 Toute connexion ou interface entre le système de jeu et un autre système, interne ou d’une tierce partie externe, est surveillée, renforcée et évaluée régulièrement pour assurer l’intégrité et la sécurité du système de jeu.
1.24 Des mécanismes sont en place pour assurer la fiabilité, l’intégrité et la disponibilité du système de jeu.
1.25 Un environnement physique sûr convenable est en place pour prévenir les accès non autorisés au système de jeu et assurer la protection des actifs.
1.26 Les systèmes de jeu, l’infrastructure, les données, les registres des activités et tous les autres composants connexes sont protégés contre les menaces, les vulnérabilités, les attaques et les intrusions.
Exigences – À tout le moins :
- Tous les utilisateurs sont authentifiés.
- Avant que les composants entrent en service ou soient modifiés, ils sont renforcés conformément aux pratiques exemplaires de l’industrie et à celles liées à la technologie.
- On évalue régulièrement si des mesures appropriées et efficaces ont été prises pour renforcer les composants technologiques.
- Les correctifs visant à remédier à tout risque de sécurité sont mis à niveau régulièrement.
1.27 Les activités de sécurité sont consignées de façon à pouvoir être vérifiées, elles sont surveillées et promptement analysées, un rapport est préparé, et des mesures de renforcement sont prises au besoin.
Exigences – À tout le moins :
- Si les composants du système de jeu font l’objet de tentatives d’attaque, d’intrusion et d’accès sans autorisation, des mesures appropriées sont prises en temps utile.
- Les tentatives d’intrusion sont détectées activement, et, si possible, des mesures sont prises pour éviter qu’elles ne causent l’interruption ou une panne du système de jeu.
- On consigne adéquatement les renseignements de façon à déceler et à surveiller les tentatives d’attaque, d’intrusion et d’accès sans autorisation à l’égard des composants du système de jeu. Une procédure de renforcement appropriée est en place.
1.28 Des évaluations indépendantes sont effectuées régulièrement par une personne qualifiée afin de vérifier si la sécurité du système de jeu et de tous ses composants connexes est adéquate.
1.29 Les exploitants et les fournisseurs de services ou de biens relatifs au jeu se tiennent au courant des tendances, des problèmes et des solutions en ce qui a trait à la sécurité.