Til forside TAX.DK - skat & afgift
Den Juridiske Vejledning 2023-2
<< >>

J.A.11.9.1 Krav til spilsystemet

Dette afsnit handler om de krav, der er fastsat til spilvirksomhedens spilsystem.

Afsnittet indeholder:

  • Hvad er omfattet af begrebet spilsystem?
  • Certificering af spilsystemet mv.
  • Brug af akkrediterede testvirksomheder
  • Fysisk placering af spilsystem
  • Spillemyndighedens afgørelse om tilladelse

Hvad er omfattet af begrebet spilsystem?

Spillemyndigheden definerer spilsystemet som et elektronisk system eller andet udstyr, der anvendes af eller på vegne af tilladelsesindehavere, herunder udstyr, der

  • anvendes til lagring af oplysninger vedrørende en persons deltagelse i spil, herunder historiske data, og resultatoplysninger,
  • frembringer og/eller præsenterer spil for spilleren, eller
  • fastlægger resultatet af et spil, eller beregner, hvorvidt spilleren har vundet eller tabt ved spillet.

Nedenfor er illustreret hvilke komponenter der (normalt) anvendes til at udbyde spil online, og hvilke af disse komponenter, der anses for at være omfattet af spilsystemet. Betalingsformidling og SAFE er ikke en del af spilsystemet.

Beskrivelse af de forskellige komponenter i figur

  • "Front End" er udtryk for den del af systemet, som spilleren interagerer med, hvilket vil sige hjemmesiden, herunder serveren, som hjemmesiden afvikles på/fra. Det omfatter også klientsoftware installeret på kundens computer og/eller mobiltelefon.
  • "Back Office" er udtryk for den del af et system, hvor kundespecifikke data er gemt. Som minimum vil der være tale om spillerens identitetsoplysninger og finansielle data, og i nogle tilfælde vil spildata også være opbevaret her.
  • "Data Warehouse" er udtryk for den del af systemet, hvor systemgenereret data struktureres og opbevares. I ovennævnte illustration vil der som udgangspunkt være tale om spildata, men i visse tilfælde kan finansielle data også være opbevaret her.
  • "Spilafvikling" er Spillemyndighedens udtryk for den del af systemet, der fastlægger resultatet af et spil, eller beregner hvorvidt spilleren har vundet eller tabt ved spillet. Tilfældighedsgeneratoren med støtteprocesser samt systemet til afvikling af væddemål o.l. findes her. Spil, der leveres af leverandører, er også omfattet af spilsystemet.

Certificering af spilsystemet mv.

Spillemyndigheden stiller krav om, at spilsystemer, forretningsgange og forretningssystemer skal testes og inspiceres af en akkrediteret testvirksomhed, før spilsystemet anvendes til udbud af spil.

Spilsystemet skal foretage test og inspektion første gang inden der kan udstedes en tilladelse til udbud af spil. Herefter skal tilladelsesindehaveren til hver en tid have en gyldig certificering.

Kravene til certificeringerne er beskrevet i syv dokumenter.

  • Generelle krav
  • Teststandarder
  • Inspektionsstandarder
  • Ledelsessystem for informationssikkerhed
  • Retningslinjer for indtrængningsefterprøvning
  • Retningslinjer for sårbarhedsscanning
  • Program for styring af systemændringer.

Test- og inspektionsstandarder er opdelt på forskellige spilområder, mens de resterende dokumenter gælder på tværs. 

For at blive en akkrediteret testvirksomhed, og derved være godkendt til at teste og inspicere efter de forskellige dokumenter, skal testvirksomheden leve op til krav, der er beskrevet i de enkelte dokumenter.

Dokumenterne og deres krav er:

Dokumentkode

Beskrivelse

00.00

Generelle krav

Overordnede krav og rammen for certificeringerne.

01.00

Teststandarder

Random Number Generator (RNG) og jackpots.

02.00

Inspektionsstandarder

Spilleregler, registrering, driftsrapporteringer, kundeoversigt, betingelser og vilkår, registrering, sikkerhed, mistænkelig spilleradfærd osv.

03.00

Ledelsessystem for informationssikkerhed

Informationssikkerhed osv. (revision af procedurer)

04.00

Retningslinjer for penetrationstest

Informationssikkerhed (efterprøvning)

05.00

Retningslinjer for sårbarhedsscanning

Informationssikkerhed (scanning)

06.00

Program for styring af systemændringer

Krav til procedurer for ændringshåndtering i spilsystemer

Den akkrediterede testvirksomhederne skal teste og inspicere med udgangspunkt i de krav, der fremgår af ovenstående dokumenter. Resultatet af test og inspektion skal indrapporteres til Spillemyndigheden via standardrapporter, som findes på spillemyndigheden.dk. 

Certificeringsfrekvenser:

Tilladelsesindehaver er ansvarlig for at sikre, at certificering sker med følgende frekvenser:

Dokumentkode

Frekvens

00.00

Generelle krav

-

01.00

Teststandarder

Interval på maksimalt 12 måneder

02.00

Inspektionsstandarder

Interval på maksimalt 12 måneder

03.00

Ledelsessystem for informationssikkerhed

Interval på maksimalt 12 måneder

04.00

Retningslinjer for penetrationstest

Interval på maksimalt 12 måneder

05.00

Retningslinjer for sårbarhedsscanning

Interval på maksimalt 3 måneder

06.00

Program for styring af systemændringer

Interval på maksimalt 12 måneder (procedurer) og

Ved certificeringer, der skal foretages med interval på maksimalt 12 måneder har tilladelsesindehaver en frist på 2 måneder, fra test og inspektion er foretaget, til at indsende certificeringsrapporten for den pågældende certificering.

Ved sårbarhedsscanning, der skal foretages med interval på maksimalt 3 måneder har tilladelsesindehaver en frist på 1 måned, fra test og inspektion er foretaget, til at indsende certificeringsrapporten for den pågældende certificering.

Brug af akkrediterede testvirksomheder

I de enkelte dokumenter er der angivet krav til den testvirksomhed, som skal udføre test og inspektion. Testvirksomheden skal oprette et revisionsprogram baseret på Spillemyndighedens certificeringsprogram og på denne baggrund opnå en ISO 17020, ISO17021-1 eller ISO17065-akkreditering.

Akkrediteringen af testhusene foretages af Den Danske Akkrediteringsfond (DANAK) eller et tilsvarende akkrediteringsorgan, som er omfattet af European co-operation for Accreditations multilaterale aftale om gensidig anerkendelse eller medlem af International Laboratory Accreditation Cooperation.

For at kunne foretage penetrationstest og sårbarhedsscanning er det desuden et krav at testvirksomheden er godkendt som Approved Scanning Vender (ASV). Godkendelsen foretages af Payment Card Industry (PCI) Security Standards Council (SSC).

Når en testvirksomhed er blevet akkrediteret og/eller godkendt, kan den uden Spillemyndighedens godkendelse, foretage test og inspektion af spilsystem mv.

Det er tilladelsesindehaver, der skal dokumentere over for Spillemyndigheden, at testvirksomheden overholder fastsatte krav til akkrediterede testvirksomheder. Dette sker ved at sende dokumentation for testvirksomhedens ISO-akkreditering og/eller ASV-godkendelse sammen med certificeringsrapporterne eller ved at linke til ISO akkrediteringen i selve rapporterne.

Fysisk placering af spilsystem

Der er ikke noget geografisk krav til, hvor tilladelsesindehaverens spilsystem skal være placeret.

Tilladelsesindehaver skal med kort varsel (normalt fem dage) kunne give Spillemyndigheden adgang til at foretage en betryggende kontrol af spilsystemet ved hjælp af fjernadgang eller lignende. Kontrol ved hjælp af fjernadgang sker ved, at repræsentanter fra tilladelsesindehaveren møder fysisk op hos Spillemyndigheden og herfra giver Spillemyndigheden adgang til at foretage tilsyn med spilsystemet.

Spiludbydere kan anmode om, at kravet om kontrol via fjernadgang fraviges, hvis tilladelsesindehaver har tilladelse til udbud af spil i en anden jurisdiktion, hvor en offentlig myndighed fører tilsyn med tilladelsesindehavers spiludbud, og denne tilsynsmyndighed har indgået en aftale med Spillemyndigheden om tilsynet med tilladelsesindehavers udbud af spil her i landet. Godkendelse af fravigelsen forudsætter, at hele tilladelsesindehaverens spilsystem er dækket af tilsyn af en anden myndighed, også selvom spilsystemet fx ved anvendelse af flere leverandører er geografisk placeret i flere jurisdiktioner.

Spillemyndighedens afgørelse om tilladelse

Hvis Spillemyndigheden finder, at kravene til faglig forsvarlig drift ikke er opfyldt, kan det medføre et afslag på ansøgning om tilladelse.

Kilde: Ligningsvejledningen/Den Juridiske Vejledning

,, Rigsrevisionens undersøgelse har vist, at der i knap halvdelen af klagesagerne ikke findes dokumentation for den afgørelse, som SKAT har truffet, og at et af hovedprincipperne inden for forvaltningsretten - officialprincippet - er tilsidesat. Det er i sådanne sager ikke muligt at vurdere, om SKAT har taget saglige hensyn i klagebehandlingen.

Rigsrevisionens beretning om den offentlige ejendomsvurdering, august 2013

Skattesager
Befordring
Rejse
Erhvervsmæssige udgifter
Personalegoder
Lønmodtagere
Virksomheder
Ægteskab og samliv
Børn
Bolig og fast ejendom
Motor
Pension
Aktier og obligationer
Gaver
Arv
Arbejde i udlandet
Flytning til og fra Danmark
Told og afgift
! Materialet på TAX.DK har alene til formål at informere generelt om udvalgte retsregler. Har du behov for at træffe beslutning om, hvorvidt - og i givet fald hvordan - du skal handle i et konkret tilfælde, bør du altid søge bistand hos en skatterådgiver eller anmode om et bindende svar fra SKAT.