WLA安全控制标准是彩票行业唯一得到国际认可的安全标准。它旨在协助全球彩票行业获得符合公认最佳实践的安全控制水平,并使人们更加依赖彩票运营的完整性。
第一个WLA SCS于2000年从Intertoto安全标准中诞生,更名为平博体育:2000。平博体育由平博体育安全和风险管理委员会(WLA SRMC)起草和更新,该委员会包括来自世界各地的彩票和博彩运营商的代表和安全专家。
平博体育认证指南,也称为GtC,是包含平博体育证书过程的法规和程序的文件。它包括成为WLA附属评估服务实体(ASE)和WLA认可的审计师的要求。GtC的前提是熟悉平博体育文档。
《平博体育:2020实务守则》,也称为《CoP:2020》,是一份包含平博体育/2020控制措施的实施指南和审计证据示例的文件。通过CoP:2020,WLA旨在支持在全球范围内理解和应用平博体育:2020控制。
否,扶贫委员会载有建议和最佳做法。如果CoP扩大了平博体育:2020的范围,则对控制的扩展解释应仅被视为最佳实践,而不是获得平博体育认证的强制性要求。
只有WLA正式会员(彩票和博彩运营商)和准会员(供应商)才能获得平博体育认证。
WLA是唯一有权发布平博体育证书的实体。证书的颁发或现有证书的续期是基于审计师在平博体育评估后收到的建议
符合平博体育认证指南(GtC)中强制性要求的审计员,并且是WLA附属评估服务实体(ASE)的员工、代理人或分包商。
在平博体育(安全部分)上,有 与WLA有现有和当前联系的ASE列表。必须直接向ASE或WLA办公室询问分配给平博体育服务的审计员的姓名和联系方式,网址为 [email protected].
它必须填写WLA-ASE报告并将其发送给WLA,请求新的加入。WLA办公室将验证数据,一旦一切正常,WLA将提供要签署的非商业协议文本。通过在平博体育上公布ASE的联系方式以及WLA向ASE发送的官方通信,双方达成了合作关系。
其他信息见《认证指南》B部分。
AS必须及时通知WLA其组织或分配给平博体育服务的审计员名单中发生的任何变化。此外,ASE必须每年向WLA发送WLA-ASE报告。
AS应确保分配给平博体育服务的审计员符合GtC中规定的强制性要求。此外,所有ASE应每年向WLA发送WLA-ASE报告,确认数据和联系方式的有效性,以及在职审计员名单。
此外,为未获得ISO/IEC 17021认证的ASE工作的审核员应更新其ISO/IEC 27001首席审核员证书,并将副本发送给WLA。
报告模板可从以下网址下载 平博体育(安全部分).
ASE和审计师有责任遵守这些规则。WLA制定了内部程序,组织抽查并验证ASE和审计员的合规性。在提供更新证据之前,那些被发现不符合GtC的人会被告知其会员资格被暂停。
WLA SCSessment被视为无效,无法释放证书。
WLA SCS评估的所有表格均可从以下网址下载 平博体育(安全部分)。以下是直接链接到 世界大学生运动会:2020年以及 认证指南,包含程序和要求。
唯一的区别是平博体育 2级要求通过ISO/IEC27001认证。
不,WLA SCS认证标准始终相同,无论是WLA SCSslevel 1还是平博体育 Level 2证书。
这两个级别要求符合平博体育:2020的所有适用控制。平博体育 1级和2级都旨在保证彩票公司在彩票系统方面保持相同的高安全标准。
操作员。
不,这两个级别的认证仅适用于基于WLA SCS:2020的评估。
审核员负责确定不合格的严重程度。
原则上,必须对所有场所进行实地考察,并根据所有适用的控制措施进行评估。如果两个或多个场所执行相同的功能,审计师可以决定如何最好地获得他对实际评估的许可数量合规性的信心。
否,在WLA SCSannual评估期间,可以对适用的控制措施进行抽样。
审计员。通常,审核员应选择最关键的控制措施,或在之前的评估中发现不符合项的控制措施。
对。
应被视为运行游戏所需的系统,包括中央游戏系统及其运行这些游戏所必需的任何外围组件。
对于初始认证,平博体育:2016的有效期至2021年4月30日。
对于重新认证和年度审查,平博体育:2016的有效期至2022年10月31日。
对。在这种情况下,除了最初计划进行年度审查的抽样控制措施外,还必须对平博体育:2020的所有新适用控制措施进行评估。
游戏运营商可以将中央实体和/或游戏系统的供应商直接作为其自身范围内的供应商。在这种情况下,游戏运营商应根据平博体育:2020的相关控制,通过设计运营游戏系统的中央实体提供的产品和服务,提供完整性和安全性的证明。
重大变化是指根据组织的风险评估结果,对运营环境引入的任何可能引发重大风险并影响游戏系统(物理或逻辑)安全的变化。这可能包括但不限于:
G控制适用于彩票和游戏运营商以及供应商。
无论组织规模如何,都可以实施这种控制。这里所要求的只是让人们申报他们是否有任何利益冲突。这可以通过正式的审计或流程来实现,彩票的每个成员都可以声明他们是否有任何利益冲突。
注:利益冲突不同于职责分离。另请阅读问题29。
当一名具有技术职能的彩票员工同时担任独立验证方的角色或拥有该方的股份时,就会发生典型的利益冲突。在这种情况下,员工对第三方活动有一定的兴趣,因此他/她为彩票工作存在利益冲突。
在小型组织中实施职责分离控制可能会很困难。在这种情况下,考虑补偿控制可能是有用的。如果可用的工作人员数量不允许在访问或责任方面完全分离职责,也可以采取其他措施。
“实时生产系统”和“生产环境”被用作同义词,指的是为向最终用户提供可访问的服务而投入运行的一组数据、软件、计算机、网络及其设置。
生产环境不同于开发和测试环境,如最终用户无法访问的QA和测试环境。
在生产环境中,活动/交易会影响会计,而在测试环境中则不会发生这种情况。
平博体育审核员不需要接受ISO/IEC 27017的详细培训或了解ISO/IEC 27017,因为它遵循与ISO/IEC 27001相同的原则,尽管审核员应该充分了解公共云背后的概念,以评估是否符合这一控制要求。
否。要求G.5.3符合ISO/IEC 17021标准。
合规性不同于认证。合规性意味着系统完全符合标准的要求。认证意味着系统已被认证符合标准的要求。
运营商或供应商应拥有足够的文件作为其ISMS的一部分,以向平博体育审核员证明符合ISO/IEC 27017。网上有一些关于云安全的问卷,可用于验证系统是否符合ISO/IEC 27017。
值得一提的是,ISO/IEC 27017中包含的许多控制都是建立在ISO/IEC 27001的现有控制之上的。在组织已经建立的ISMS中,审计人员可能希望看到有关如何在云环境中应用这些控制的参考。
是的,这是正确的。如果服务提供商在云端数据中心为您托管应用程序,则不被视为云托管。
彩票系统是指能够以某种方式影响彩票系统操作的所有系统。
如果游戏系统托管在云中,则提供商和用户都应该合规。
注:大多数云提供商已经符合ISO/IEC 27017标准。
不是。尽管如此,可以直接在云提供商的网站上检查是否符合ISO/IEC 27017。
审核员在倡导架构审查时,应检查运营商提供的证据是否有意义。例如,如果运营商无法说出他们的关键服务和系统是什么,这应该被视为一个危险信号;如果操作员不能证明他们在他们认为至关重要的系统的可用性要求中定义了恢复时间目标(RTO)和恢复点目标(RPO),这也应该被视为一个危险信号。
L适用于彩票和游戏运营商,但适用于供应商的L.2.4除外。
在WLA SC文档中没有包含“即时票证”的定义。尽管如此,即时彩票的概念依赖于中奖彩票是预先确定的事实。即时门票可以称为刮刮卡。
是的,将奖金分配给每个级别是抽奖过程中不可或缺的一部分,并受L.2.2.8的控制。
L.2.4.3仅适用于使用随机数生成器的电子抽奖。它不适用于用于为客户选择随机数进行投注的RNG。在这种情况下,RNG属于正常的质量控制测试。
WLA不提供责任披露政策模板。
运营商仍对风险管理负责。
S适用于开发和管理游戏系统的实体(如WLA SCS:2020中所定义),无论是供应商还是彩票和游戏运营商。
游戏系统供应商是提供游戏运营所需商品或服务的实体。任何提供与平台、电子游戏和即时门票相关的服务和产品的供应商都被视为游戏系统供应商。
对。在对运营商进行平博体育评估的框架内,审核员应检查运营商的供应商是否交付了控制措施,作为运营商认证的一部分。
对。如果供应商已经获得平博体育:2020认证,则可以视为供应商满足所有适用S控制的充分证据,而无需进一步检查。
如果供应商未获得平博体育:2020认证,审核员应验证是否对所有需要验证程序和/或运营商与供应商之间文件交换的活动和控制措施进行了评估,以确保运营商能够通过其供应商提供的产品和服务的设计提供完整性和安全性的证明。
在操作员评估的框架内,应直接与操作员一起检查S控制,而不是与供应商或在供应商的场所进行检查。
首先,应该考虑到,只有在严重不合格的情况下,才会对平博体育证书的颁发提出质疑。
其次,如果供应商不符合S控制,最终责任在于抽签。根据合同,建议彩票和供应商制定行动计划,以纠正任何最终的不合规行为。
附录C(控制)适用于这两个系统。
有特定的软件可用于确保没有注入不安全的代码。WLA不提供商业信息;建议在网上搜索或直接向选定的审计师征求建议。
除了要使用的工具外,重要的是要关注应用程序或服务基础设施生成的日志。
更实际地说,中央游戏系统所在的基础设施应该生成关于谁登录了该基础设施、她/她在服务器上运行了什么命令、发生了什么操作的日志——无论是基于人工还是计算机。
同样,在应用程序层,应该对发生的事件进行充分的日志记录,以了解哪些记录被谁修改了。
日志应提供给运营商中负责使用和查看这些日志的人员,他们可以了解操作和日志的合法性,以及系统上是否存在潜在的可疑活动。
日志的可用性应使其可供操作员使用的任何工具使用。
技术供应商应确保可以跟踪和识别未经授权的添加或修改系统硬件的尝试。根据具体情况,可以使用多种工具来完成此活动。
例如,硬件上的防篡改功能可用于物理访问硬件的情况。除此之外,固件完整性监控可用于远程安装硬件或无法物理访问硬件的情况。
注意:在硬件以基础设施即服务为基础“在云中”托管的情况下,确保硬件完整性可能很困难。这种情况可能构成控制S.1.2.4应用中的例外情况,审计员必须在WLA SCS评估表(AF)的建议字段中明确说明。
如果ISO/IEC 27001中包含的控制都列在风险评估中,其中确定了漏洞管理,并且已经通过必要的控制措施进行了缓解,则不需要为平博体育评估提供额外的证据。
注:此回复仅适用于平博体育 2级评估。对于平博体育 1级评估,需要对漏洞管理进行证明。
市场上有许多可用于漏洞管理的商业工具。WLA不提供商业信息;建议在网上进行研究或直接向选定的审计师征求建议。
不,WLA SCS:2020,附件D(M控制)仅指由多州彩票协会运营的跨司法管辖区游戏。未来,M控制可以推广,包括不同的多管辖区游戏。
强力球、MegaMillion、美国乐透和Lucky for Life。有关MUSL活动的更多详细信息,请访问MUSL网站(www.musl.com).
是的,对于想要获得平博体育 2级证书的MUSL彩票,零售商的销售点设备必须符合NASPL要求。
ICS代表内部控制系统。它用于独立于计算机游戏系统处理交易,作为一种制衡形式。
(定义由MUSL提供)
CGS代表计算机游戏系统,也称为在线游戏系统。该系统包括允许处理、存储和报告具有所有预期冗余的游戏交易所需的所有计算机系统,其中可能包括多个站点和多个供应商。
通过非传统方法(电子/网络游戏、移动游戏、通过非终端设备播放等)处理交易所需的系统是CGS的一部分。终端和零售商提供的销售点设备(如收银机)或玩家提供的销售点将设备(如智能手机)不属于CGS。
值得注意的是,虽然不包括在CGS的定义中,但MUSL规则在MUSL规则2.4中确实包括了终端和零售商销售点设备的要求和定义。
(定义由MUSL提供)
