Section 2 - Confirmation de conformité de la technologie

Les exploitants et les fournisseurs de biens ou de services relatifs au jeu qui exploitent des systèmes de jeu cruciaux doivent confirmer à la CAJO que leur technologie est conforme aux Normes de la CAJO applicables avant l’entrée en service dans le marché en Ontario.

• Si vous êtes un exploitant : La confirmation de conformité de la technologie doit porter sur la solution technologique complète qui sera déployée pour les activités de jeux sur Internet en Ontario, y compris la plateforme et l’infrastructure sous-jacente, les périphériques réseau, les systèmes d’exploitation et les bases de données, ainsi que les logiciels de jeu et les autres applications. Si un exploitant utilise la plateforme d’un fournisseur tiers de biens ou de services relatifs au jeu, la confirmation de conformité de la technologie doit également viser cette plateforme. Si un exploitant fait appel à des fournisseurs tiers de biens ou de services relatifs au jeu qui exploitent des systèmes de jeu cruciaux, sa confirmation de conformité de la technologie ne porte pas sur les technologies de ces fournisseurs. Ces aspects de la solution sont couverts par la confirmation de conformité de la technologie des fournisseurs tiers, sauf pour ce qui est de l’intégration de ces systèmes à la plateforme.

  Remarque : Les plateformes représentent un sous-ensemble du « matériel » de jeu, qui est défini dans la Loi de 1992 sur la réglementation des jeux. Les plateformes offrent de nombreuses fonctions, y compris la gestion des comptes des joueurs, les paiements, les portefeuilles des joueurs et les mesures de contrôle pour un jeu responsable, et sont intégrées aux systèmes de jeu cruciaux pour fournir les services du site de jeu.
  Les plateformes n’ont pas à être certifiées par un LEI.

• Si vous êtes un fournisseur de biens ou de services relatifs au jeu qui exploite des systèmes de jeu cruciaux (cette catégorie ne comprend pas les plateformes) : La confirmation de conformité de la technologie doit porter sur l’infrastructure (les serveurs de jeux, les systèmes d’exploitation et les bases de données, ainsi que les périphériques réseau) et les jeux (logiciels) utilisés pour l’offre de services en Ontario.

  Remarque : Les systèmes de jeu cruciaux représentent un sous-ensemble du « matériel » de jeu, qui est défini dans la Loi de 1992 sur la réglementation des jeux. Ces systèmes comprennent les jeux, les générateurs de nombres aléatoires et les composants des systèmes de jeux sur Internet qui acceptent, traitent et déterminent les résultats des paris et des mises des joueurs, et qui affichent et consignent des renseignements à ce sujet. Tous ces types de technologie doivent être certifiés par un LEI.

La confirmation de conformité de la technologie doit être fournie à la CAJO avant l’entrée en service et comprendre :

1. Une lettre adressée à la CAJO et signée par le président de l’entité inscrite (ou l’équivalent) et le directeur de la conformité (ou l’équivalent) qui contient une déclaration selon laquelle la technologie qui sera utilisée pour offrir les produits et les services dans le marché de l’Ontario est conforme à toutes les Normes applicables. Cette lettre doit également confirmer que tous les jeux qui seront offerts en Ontario seront certifiés par un LEI inscrit par la CAJO ou approuvés par le registrateur avant leur mise en œuvre en Ontario, et seront offerts par un fournisseur inscrit auprès de la CAJO.

   Les fournisseurs de biens ou de services relatifs au jeu qui exploitent des systèmes de jeu cruciaux doivent inclure dans leur lettre une déclaration selon laquelle ils ont mis en place une MAC qui répond à toutes les Normes applicables.

2. Une annexe contenant les éléments de preuve ci-dessous (selon les produits et les services offerts) doit être fournie à la CAJO avant l’entrée en service :

   1. Si vous êtes un exploitant : Un aperçu de la solution technologique complète du site de jeu, y compris la liste de tous les fournisseurs de biens ou de services relatifs au jeu, et des compléments technologiques de tiers intégrés au site de jeu.

   2. Les résultats des évaluations de la sécurité et des vulnérabilités, ainsi que les résultats des tests de pénétration interne et externe des infrastructures et des applications produites en Ontario, ces évaluations et tests étant effectués par une entreprise de sécurité indépendante et qualifiée.

      1. La direction devra fournir une description de l’évaluation des risques ainsi que des mesures et des contrôles correctifs mis en place par l’entreprise à la lumière des résultats.

      2. Les mesures correctives devront être proportionnelles aux risques, et les risques de sécurité graves devront être éliminés avant l’entrée en service des systèmes de jeu en Ontario.

         • Par exemple, un exploitant peut choisir de corriger en 30 jours une vulnérabilité ayant une note de 7 selon le Système commun de notation des vulnérabilités de la National Vulnerability Database (NVD CVSS) et de corriger en 90 jours une vulnérabilité ayant une note de 4.

      3. Une autre analyse doit être effectuée à la suite de l’application des mesures correctives.

   3. Une description de l’utilisation prévue de centres de données ou de services infonuagiques de fournisseurs tiers, y compris le nom des fournisseurs, une description du type de modèle de service et les derniers rapports SOC 2 Type II du Service Organization Control ou la certification ISO 27001 pour chaque fournisseur.

   4. Si vous êtes un exploitant : Une explication de la façon dont les contrôles mis en œuvre pour respecter la norme 3.02 (selon laquelle les joueurs doivent se trouver en Ontario) ont été vérifiés pour garantir :

      • leur exactitude et leur efficacité sur la majorité des appareils de jeu et des types de connexion réseau prévus, y compris :

        • la conformité avec l’exigence 1 de la norme 3.02 concernant la surveillance dynamique de l’emplacement des joueurs;

        • la conformité avec l’exigence 2 de la norme 3.02 concernant la détection et la prévention des mécanismes capables de contourner les contrôles.

   5. Une description des mécanismes mis en place pour respecter l’exigence 1 de la norme 5.17 (vérifier que le logiciel installé est certifié par un LEI) et la norme 5.62 (vérifier l’intégrité des logiciels déployés).

Les personnes et entités inscrites doivent s’assurer que les mesures qu’elles jugent nécessaires pour appuyer leur confirmation sont mises en place de façon satisfaisante. Pour ce faire, elles peuvent faire appel à un tiers pour mener des essais. Les personnes et entités inscrites doivent également conserver tous les documents et éléments de preuve à l’appui de leur confirmation de conformité de la technologie, et les fournir à la CAJO à sa demande.