Sécurité publique et protection des actifs

Ce thème a pour intention générale de s’assurer que les actifs (p. ex., le matériel et les systèmes de jeu) sont protégés et que les renseignements et les fonds des clients sont sauvegardés.

Voici les risques liés à la réglementation relevés sous ce thème : 

  • sécurité des personnes compromise; 
  • actifs et renseignements sur les clients non sauvegardés; 
  • personnes non autorisées ayant accès à des zones interdites d’accès.

Normes informatiques

Technologie de l’information

5.01 On se sert d’un cadre standard reconnu de l’industrie pour gérer l’environnement de contrôle de la technologie de l’information en vue de favoriser la conformité avec les normes et exigences. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

Gestion de la sécurité

5.02 Les utilisateurs ont accès au système de jeu en fonction des besoins de l’entreprise. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

Exigences – À tout le moins :

  1. Des privilèges d’accès sont accordés, modifiés ou révoqués selon l’emploi occupé et les exigences du poste, et toutes les activités associées à ces privilèges sont consignées.
  2. Les privilèges d’accès sont examinés et confirmés de façon indépendante périodiquement.

5.03 L’accès aux systèmes d’information sur les jeux est surveillé, consigné et rattaché à une personne en particulier, soit en attribuant chaque compte à un seul utilisateur individuel, soit par toute autre méthode raisonnable. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

Exigences – À tout le moins :

  1. L’accès aux comptes du système (ou aux autres comptes auxquels sont rattachés des privilèges équivalents) est réservé au personnel qui fournit un soutien informatique, et des mécanismes sont en place pour sécuriser ces comptes et en surveiller l’utilisation.

5.04 Des processus sont en place pour s’assurer que seules les personnes autorisées sont en mesure d’ouvrir des comptes du système. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.05 Autant que possible, on se sert de composants, tant matériels que logiciels, qui sont acceptés par l’industrie. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.06 Toute connexion ou interface entre le système de jeu et un autre système, interne ou d’une tierce partie externe, est surveillée, renforcée et évaluée régulièrement pour assurer l’intégrité et la sécurité du système de jeu. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.07 Des mécanismes sont en place pour assurer la fiabilité, l’intégrité et la disponibilité du système de jeu. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

Exigences – À tout le moins :

  1. Les exploitants veillent à ce qu’un site de reprise après sinistre soit en place.

5.08 Un environnement physique sûr convenable est en place pour prévenir les accès non autorisés au système de jeu et assurer la protection des actifs. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.09 Les systèmes de jeu, l’infrastructure, les données, les registres des activités et tous les autres composants connexes sont protégés contre les menaces, les vulnérabilités, les attaques et les intrusions. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

Exigences – À tout le moins :

  1. Tous les utilisateurs sont authentifiés.
  2. On évalue régulièrement si des mesures appropriées et efficaces ont été prises pour renforcer les composants technologiques.
  3. Les correctifs visant à remédier à tout risque de sécurité sont mis à niveau régulièrement.

5.10 Les activités de surveillance de la sécurité sont consignées de façon à pouvoir être vérifiées, elles sont surveillées et promptement analysées, un rapport est préparé, et des mesures de renforcement sont prises au besoin. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

Exigences – À tout le moins :

  1. Si les composants du système de jeu font l’objet de tentatives d’attaque, d’intrusion et d’accès sans autorisation, des mesures appropriées sont prises en temps utile.
  2. Les tentatives d’intrusion sont détectées activement, et, si possible, des mesures sont prises pour éviter qu’elles ne causent l’interruption ou une panne du système de jeu.
  3. On consigne adéquatement les renseignements de façon à déceler et à surveiller les tentatives d’attaque, d’intrusion et d’accès sans autorisation à l’égard des composants du système de jeu. Une procédure de renforcement appropriée est en place.

5.11 Des évaluations indépendantes sont effectuées régulièrement par une personne qualifiée afin de vérifier si la sécurité du système de jeu et de tous ses composants connexes est adéquate. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.12 Les exploitants et les fournisseurs de services ou de biens relatifs au jeu se tiennent au courant des tendances, des problèmes et des solutions en ce qui a trait à la sécurité, à l’intégrité et à la disponibilité des systèmes de jeu et des composants connexes qu’ils exploitent ou fournissent.  Les exploitants ont mis en place des politiques et des procédures pour atténuer ces risques et menaces.  Les fournisseur de biens ou de services relatifs au jeu informent leurs clients de toute menace ou de tout risque important pour la sécurité ou l’intégrité des systèmes de jeu qu’ils fournissent ou exploitent. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

Gestion du changement

5.13 Un cycle de développement du système tenant compte de la sécurité et de l’intégrité du traitement est en place pour la technologie mise au point à l’interne pour le système de jeu. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.14 On exerce une diligence raisonnable à l’égard de toute technologie liée au système de jeu dont on fait l’acquisition en vue de s’assurer que les exigences relatives à la sécurité et à l’intégrité du traitement sont respectées. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.15 Une stratégie de mise à l’essai est en place pour les changements technologiques afin de s’assurer que les systèmes de jeu fonctionnent correctement. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.16 Tous les changements au système de jeu sont consignés de façon appropriée, uniforme et claire, examinés, mis à l’essai et approuvés. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

Exigences – À tout le moins :

  1. Tous les composants technologiques du système de jeu sont installés et entretenus conformément aux procédures de gestion du changement appropriées.
  2. Les demandes de changement et d’entretien du système de jeu sont normalisées et assujetties aux procédures de gestion du changement.
  3. Les changements d’urgence sont approuvés, mis à l’essai, consignés et surveillés.
  4. Les procédures de gestion du changement tiennent compte de la répartition des tâches entre les équipes de développement et de production.
  5. Les changements ne peuvent être apportés qu’à l’aide de comptes réservés à cet effet.

5.17 Les exploitants mettent en place des mesures de prévention et de détection pour s’assurer qu’aucune modification non autorisée ou non intentionnelle n’est apportée au système de jeu.

Exigence — À tout le moins :

  1. Il existe un mécanisme permettant de vérifier que le logiciel installé est le logiciel certifié. 

5.18 Des examens sont effectués après la mise en oeuvre pour s’assurer que les changements ont été apportés correctement, et les résultats sont examinés et approuvés. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.19 Tous les changements liés à la documentation et à l’information sont consignés, conservés et gérés de façon à en assurer la sécurité. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.20 L’application de mises à jour, de correctifs ou de mises à niveau liés aux logiciels est consignée, passée en revue, mise à l’essai, gérée et surveillée régulièrement, sous la supervision du personnel de gestion et avec son approbation. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.21 Un mécanisme est en place pour que les mises à jour, les correctifs ou les mises à niveau liés à tous les composants du matériel de jeu soient consignés, passés en revue, mis à l’essai, approuvés et surveillés régulièrement à la fin de la vie utile des composantes ou lorsque ces derniers deviennent désuets, montrent des signes de faiblesse ou de vulnérabilité, ne sont plus à jour ou ont fait l’objet d’autres travaux d’entretien. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.22 Des processus de gestion des versions et de la configuration appropriés avec des systèmes de soutien sont en place pour appuyer les changements apportés aux logiciels et au matériel. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.23 Les changements ne peuvent être apportés qu’à l’aide de comptes réservés à cet effet. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

Gouvernance des données

5.24 Des mesures de gouvernance des données sont en place pour veiller à l’intégrité du traitement des données et à la protection des données sensibles. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.25 Les données sensibles, dont les renseignements sur les joueurs et les données permettant de déterminer les résultats des jeux, sont sécurisées et protégées en tout temps contre un accès ou un usage non autorisé. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

Exigences – À tout le moins :

  1. Le système de jeu permet de sauvegarder les données de façon appropriée pour qu’elles puissent être récupérées intégralement et avec exactitude.
  2. Les fichiers de sauvegarde des données sont entreposés à un endroit sûr à l’extérieur des lieux et conformément aux politiques et aux lois pertinentes.

5.26 Les renseignements sur les joueurs sont protégés et leur utilisation est contrôlée.

Exigences – À tout le moins :

  1. Les exigences relatives à la protection des données en ce qui a trait aux renseignements personnels sur les joueurs sont conformes à celles de la Loi sur l’accès à l’information et la protection de la vie privée.
  2. Les renseignements personnels des joueurs ne servent qu’aux loteries menées et gérées respectivement par l’OLG ou Jeux en ligne Ontario, sauf autorisation préalable. 

5.27 La communication de données sensibles sur le jeu est protégée à des fins d’intégrité. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.28 Des procédures sont établies et consignées pour la gestion des opérations et des incidents liés à la technologie de l’information, dont la gestion et la surveillance d’évènements touchant la sécurité et l’intégrité du traitement, ainsi que les mesures prises par la suite. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

Exigences – À tout le moins :

  1. Des mesures proactives de surveillance et de détection des erreurs au sein du système de jeu et des composants connexes sont en place. Des mesures sont prises immédiatement pour remédier aux incidents de non-conformité avec les normes et exigences ou les activités de contrôle.
  2. La date et l’heure de l’environnement du système de jeu et des composants connexes sont synchronisées.
  3. Les données sur les évènements sont conservées de façon à disposer de renseignements et de registres en ordre chronologique permettant la reconstitution et l’examen de séquences temporelles du traitement.

Architecture et infrastructure

5.29 On démontre que l’architecture du système de jeu et tous ses composants connexes font l’objet de mesures de sécurité strictes. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.30 Tous les systèmes et les dispositifs de jeu valident les entrées avant qu’elles ne soient traitées. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.31 Les utilisateurs non autorisés n’ont accès qu’à un minimum de renseignements sur le système de jeu, notamment lorsqu’il fonctionne mal, afin de réduire au minimum le risque de compromission du système de jeu ou de la confidentialité des renseignements. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.32 Tous les modes d’accès à distance sont sécurisés et gérés de façon appropriée. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.33 Les communications sans fil sont sécurisées et on y a recours seulement lorsque cela est approprié. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

Directive : L’objectif consiste à s’assurer qu’on n’a pas recours aux communications sans fil dans des zones où cela pourrait causer des dommages (p. ex. dans les centres de données).

5.34 Avant que les composants entrent en service ou lorsqu’ils sont modifiés, ils sont renforcés conformément aux pratiques exemplaires de l’industrie et à celles liées à la technologie. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

Exigences – À tout le moins :

  1. Tous les paramètres par défaut ou de configuration standard sont retirés de tous les composants en cas de risque pour la sécurité.

5.35 L’accès est restreint de façon appropriée pour s’assurer que les enregistrements du serveur de noms de domaine sont conservés en toute sécurité de façon à éviter les modifications malveillantes et non autorisées. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

Gestion des données et de l’information

5.36 Toutes les clés de cryptage privées sont stockées sur un support sécurisé et redondant accessible uniquement par le personnel de gestion autorisé. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.37 Les algorithmes de cryptage et la longueur des clés sont régulièrement évalués pour déceler les failles de sécurité. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.38 L’architecture du système de jeu limite la perte de données et de renseignements sur les séances de jeu. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

Gestion des comptes du système

5.39 Le système de jeu est en mesure de modifier, de bloquer, de désactiver ou de retirer des comptes du système en temps utile à la suite d’un départ, d’un changement de rôle ou de responsabilité, d’une suspension ou d’une utilisation non autorisée d’un compte. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.40    Un authentificateur sécurisé conforme aux pratiques exemplaires de l’industrie est utilisé pour identifier les utilisateurs et leur compte de façon à garantir que seules les personnes autorisées ont accès à leur compte du système de jeu. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

Exigences – À tout le moins :

  1. Le système de jeu verrouille automatiquement les comptes si les exigences d’identification et d’autorisation ne sont pas respectées après un nombre défini de tentatives d’accès.
  2. L’authentification multifactorielle est mise en œuvre dans le cadre d’un authentificateur sécurisé.

5.41 Le système de jeu veille à ce que l’accès au système soit entièrement attribuable à l’identification d’un utilisateur unique et consigné en conséquence. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.42 Des droits d’accès minimums sont accordés à chaque compte du système de jeu, et ces droits d’accès sont consignés clairement. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.43 Tous les comptes temporaires et d’invité sont mis hors d’usage dès qu’ils ne sont plus nécessaires. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.44 Les comptes du système et les droits d’accès au système de jeu sont passés en revue et mis à jour régulièrement. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.45 Un registre des détenteurs de compte est conservé ainsi que passé en revue et mis à jour régulièrement (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.46 Un mécanisme est en place pour veiller à ce que les comptes d’administrateur soient confiés à des personnes approuvées par le personnel de gestion de l’exploitant et à ce que l’on surveille l’utilisation de ces comptes pour s’assurer qu’elle est appropriée. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.47 Toute utilisation inappropriée des comptes du système de jeu est consignée et passée en revue, et des mesures sont prises dans un délai raisonnable. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.48 Toute utilisation inappropriée des comptes d’administrateur est signalée au registrateur conformément à la matrice d’avis. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

Logiciels

Remarque : Les normes ci-dessous s’appliquent aux logiciels suivants : 1) logiciels commerciaux sur étagère modifiés; 2) logiciels développés exclusivement; 3) logiciels développés précisément par l’OLG ou Jeux en ligne Ontario.

5.49 Les logiciels utilisés pour le système de jeu sont développés selon les pratiques exemplaires de l’industrie. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.50 Les méthodes de développement des logiciels utilisées sont clairement consignées, mises à jour régulièrement et conservées à l’aide d’un moyen qui est sécurisé tout en étant accessible. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.51 Un système approprié est en place pour la gestion des logiciels, dès leur développement et pendant tout leur cycle de vie. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.52 Toutes les fonctions de développement des logiciels sont réparties pendant et après la transmission du code à l’environnement de production. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.53 On établit une liste de contrôle appropriée pour l’examen du code des logiciels par le personnel de gestion. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.54 Des mesures de contrôle sont en place pour s’assurer que les logiciels sont sécurisés de façon appropriée et que l’accès aux logiciels est restreint comme il se doit tout au long du processus de développement. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.55 Le personnel de gestion autorisé examine et approuve la documentation des logiciels pour s’assurer qu’elle est appropriée et claire.

5.56 Le code source et le code compilé sont gardés en lieu sûr. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

Directive : Le code compilé peut porter une signature numérique ou faire l’objet d’un condensé numérique (y compris chaque fois qu’il y a un changement) de façon à permettre une vérification externe.

5.57 Lorsque du code est transmis de l’environnement d’essai à d’autres environnements jusqu’à celui de la production, ce transfert est consigné et approuvé de la façon appropriée. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.58 La transmission de code de l’environnement de développement à celui de la production n’est effectuée que par le personnel de soutien à la production et non pas par le personnel travaillant au développement. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.59 Un environnement d’essai approprié est en place pour permettre la mise à l’essai exhaustive de tout code avant le début de la production. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.60 Le personnel travaillant au développement n’a pas accès à l’environnement de production. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

Remarque : Cette restriction n’écarte pas la possibilité d’accorder un accès supervisé temporaire en vue d’enquêtes techniques ne pouvant être menées que dans l’environnement de production.

5.61 Le code de développement ne se trouve pas dans l’environnement de production. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.62 Un mécanisme est en place pour vérifier en permanence, notamment avant que des changements soient mis en œuvre, l’intégrité des logiciels déployés en production. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.63 Des systèmes de gestion des versions et de la configuration appropriés sont en place pour appuyer le développement des logiciels. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.64 Tout code développé par une tierce partie est mis à l’essai pour vérifier s’il respecte les pratiques exemplaires de l’industrie et s’il permet d’atteindre les objectifs avant d’être intégré à l’environnement d’essai et avant l’essai d’intégration. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.65 Le code développé par une tierce partie n’est pas intégré à l’environnement de production avant d’avoir réussi l’essai d’intégration. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.66 Des mécanismes sont en place pour garantir que les bogues sont repérés et que les mesures qui s’imposent sont prises, avant et pendant la production. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.67 Avant que tout code ne soit libéré, des processus d’assurance de la qualité, dont des essais, sont menés pendant le développement. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.68 Tous les composants sont mis à l’essai, s’il y a lieu, afin de vérifier s’ils permettent d’atteindre les objectifs. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

Gestion des fonds

Dépôts

5.69 Les joueurs ne peuvent être autorisés à déposer des fonds dans leur compte de joueur qu’une fois que les vérifications appropriées ont été effectuées et que l’autorisation nécessaire a été obtenue.

Exigences – À tout le moins, les dépôts sont vérifiés et autorisés en vue de s’assurer de ce qui suit :

  1. Les dépôts faits sont autorisés de façon appropriée par un fournisseur de services financiers.
     
    Remarque : Les cryptomonnaies n’ont pas cours légal et ne sont pas acceptées.

Retraits

5.70 Les joueurs ne peuvent être autorisés à retirer des fonds de leur compte de joueur qu’une fois que les vérifications appropriées ont été effectuées et que l’autorisation nécessaire a été obtenue.

Exigences – À tout le moins :

  1. Avant qu’un retrait ne soit permis, il est vérifié et autorisé en vue de s’assurer de ce qui suit :
    1. le retrait est fait par le titulaire du compte;
    2. la somme retirée est transférée à un compte dont le joueur est le titulaire.

5.71 Un joueur est autorisé à retirer des fonds de son compte de joueur dans un délai raisonnable et en s’assurant que les renseignements sont complets et exacts, dès que possible, sous réserve de l’autorisation et de la vérification appropriées.

Gestion des fonds et opérations

5.72 Les fonds des joueurs sont gérés de façon claire et appropriée.

5.73 Tous les fonds des joueurs déposés en relation avec des loteries de jeux sur Internet menées et gérées par l’OLG sont conservés dans un compte de l’OLG. Jeux en ligne Ontario prend des mesures pour veiller à ce que les fonds des joueurs déposés en relation avec des loteries de jeux sur Internet menées et gérées par Jeux en ligne Ontario font l’objet d’une surveillance par Jeux en ligne Ontario et sont mis à la disposition des joueurs.

5.74 Les exploitants n’accordent pas de crédit et ne prêtent pas d’argent aux joueurs, ils ne les aiguillent pas vers des sources de crédit et ils n’insinuent pas qu’un joueur devrait avoir recours à du crédit pour jouer.

5.75 Il est interdit aux joueurs d’avoir un solde négatif dans leur compte. Le compte d’un joueur présentant un solde négatif est suspendu et aucune transaction n’est autorisée après l’apparition du solde négatif. Aucune transaction n’est autorisée tant que le solde négatif n’est pas éliminé. Aucun pari pouvant entraîner un solde négatif n’est accepté.

Directive : Cette norme ne vise pas à interdire la révision du paiement des paris lorsqu’il est raisonnable et nécessaire de le faire.

5.76 Les joueurs sont en mesure d’obtenir facilement et rapidement en tout temps des renseignements clairs et exacts sur le solde de leur compte. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

Requirements – At a minimum:

  1. The player balance shall be displayed in Canadian dollars.

5.77 Avant de faire un retrait ou un dépôt, les joueurs obtiennent des renseignements clairs sur tous les frais se rattachant à leur compte.

5.78     On fournit aux joueurs des renseignements clairs et précis sur toutes les règles et restrictions se rattachant aux dépôts et aux retraits ainsi qu’à l’accès aux fonds pour des dépôts et des retraits.

5.79 Aucuns fonds ne sont transférés d’un compte de joueur à un autre.

5.80 Les rajustements des comptes des joueurs sont faits avec exactitude par des personnes autorisées seulement.

5.81 On enregistre et consigne les rajustements des comptes des joueurs en s’assurant que les renseignements sont complets et exacts. (Également applicable aux fournisseurs de biens ou de services relatifs au jeu)

5.82 On fournit aux joueurs des raisons exactes, claires et précises lorsque leur compte est rajusté.