LIFS 2013:3

1

Lotteriinspektionens författningssamling

Utgivare: Johan Röhr, Lotteriinspektionen, Box 199, 645 23 Strängnäs.

ISSN

Lotteriinspektionens föreskrifter om krav på

utrustning som används av anordnare av lotterier

som förmedlas med hjälp av elektromagnetiska

vågor;

beslutade den 17 december 2013.

Med stöd av 4 b § lotteriförordning (1994:1451) föreskriver¹ Lotteriinspek-

tionen följande.

Tillämpningsområde

1 §

Dessa föreskrifter gäller för utrustning (hård- och programvara) som

används av anordnare av tillståndspliktiga lotterier som avses i 21 a § lotteri-

lagen (1994:1000).

Föreskrifterna tillämpas inte på lotterier där värdet av högsta vinsten upp-

går till högst 1/60 prisbasbelopp enligt 2 kap. 6 och 7 §§ socialförsäkrings-

balken (2010:110) och vinsterna bara utgörs av varor eller tjänster.

Föreligger särskilda skäl kan Lotteriinspektionen även i andra fall än vad

som anges i andra stycket besluta om undantag från föreskrifterna.

Definitioner

2 §

I dessa föreskrifter har följande uttryck nedan angiven betydelse.

Spelsystem:

System (hård- och programvara) som används

för anordnande av lotteri som förmedlas med

hjälp av elektromagnetiska vågor.

Verifikationssystem:

System (hård- och programvara) som hanterar

alla uppgifter hänförliga till deltagaren i lotte-

riet.

Dragningssystem:

System (hård- och programvara) för generering

eller förvaring av elektroniska lotter, vad eller

motsvarande eller tilldelning av desamma till

deltagaren i lotteriet.

Förhandsdraget lotteri:

Lotteri där dragningsresultatet föreligger före

deltagandet.

¹

Jfr Europaparlamentets och rådets direktiv 98/34/EG av den 22 juni 1998 om ett

informationsförfarande beträffande tekniska standarder och föreskrifter och beträf-

fande informationssamhällets tjänster (EGT L 204 21.7.1998 s. 37, Celex 398L0034),

ändrat genom Europaparlamentets och rådets direktiv 98/48/EG (EGT L 217 5.8.1998,

s. 18, Celex 398L0048).

LIFS 2013:3

Utkom från trycket

den 28 februari 2014

2

LIFS 2013:3

Kryptering:

Förvanskning av data och information med

krypteringsalgoritm som är allmänt känd och

publicerad.

Spel:

Händelser som inträffar under tiden från bekräf-

telse av deltagande till bekräftelse av deltagan-

dets slutliga resultat.

Allmänt

3 §

Lotteriinspektionen ska ges tillträde till de lokaler, den utrustning och

den information Lotteriinspektionen behöver för att kunna utöva kontroll

och tillsyn av lotteriet. Detta gäller även om tillståndshavaren använder sig

av serviceföretag.

4 §

Rutinbeskrivning för felhantering och incidentrapportering avseende

spelsystemet ska finnas. Dessa ska åtföljas av en åtgärdsplan.

5 §

Planerade ändringar i tillståndshavarens spelsystem ska i god tid anmä-

las till Lotteriinspektionen för prövning av att föreslagna ändringar uppfyller

de krav som följer av lag, föreskrifter eller av Lotteriinspektionen ställda

villkor. Ändringarna ska godkännas av Lotteriinspektionen innan de får ge-

nomföras.

Säkerhetskrav

Allmänt om spelsystemet

6 §

Programvara i spelsystemet ska vara identifierbar med modulnamn och

versionsnummer.

Spelsystemets programkod ska innehålla kommentarer som förklarar pro-

gramkodens funktion.

Verifikationssystemets och dragningssystemets programkoder ska vara

logiskt separerade.

7 §

Spelsystemet ska ha sådana funktioner att det inte lämnar kredit för in-

satser i lotteriet.

8 §

Spelsystemet får inte medge att, vid efterhandsdragna lotterier,

spel/vad/lottköp kan ske efter dragningen/matchen/loppet/händelsen har

påbörjats/startats. Tillståndshavaren ska ha rutiner som säkerställer funk-

tionen i systemet.

Kryptering m.m.

9 §

Vid lagring av förhandsdragna lotter ska de genererade elektroniska

lotterna eller motsvarande vara krypterade med minst 256 bitars symmetrisk

kryptering.

3

LIFS 2013:3

10 §

Spelsystemet ska ha särskild hård- och programvara som innehåller

följande funktioner till skydd mot intrångsförsök och sabotage via Internet

eller andra nät.

a) Obehöriga datapaket ska blockeras.

b) In- och utgående kommunikation ska registreras.

c) Nätverkets interna struktur ska döljas för externa användare.

d) Kommunikationsportar ska endast vara öppna under behörig kommunika-

tion.

11 §

Spelsystemet ska ha en funktion som upptäcker skadlig programkod

och vidtar åtgärder. Denna funktion ska revideras kontinuerligt.

Spårbarhet m.m.

12 §

Spelsystemet ska i realtid registrera alla händelser som påverkar spe-

let. Spelsystemet ska ha tidsregistrering.

13 §

Spelsystemet ska kunna säkerhetskopiera alla uppgifter som påverkar

deltagarens spel. Säkerhetskopiering ska ske minst dagligen.

En säkerhetskopia ska förvaras på annan plats än där spelsystemet är pla-

cerat och sparas så länge den är aktuell.

14 §

Versionshantering ska finnas i spelsystemet för tidigare och gällande

programvara. Tidigare versioner av programkoden ska sparas i minst tolv

månader eller till lotteriet är avslutat.

15 §

Vid ändringar i spelsystemet ska system- och funktionsbeskrivning

uppdateras.

16 §

Anteckningar ska föras gällande säkerhetsrelevanta händelser som

sker utanför den tekniska utrustningen och som påverkar spelsystemet.

Dessa anteckningar ska bevaras i minst tolv månader eller till lotteriet är av-

slutat.

17 §

Tillståndshavaren ska ha dokumenterade rutiner för hantering av

flyttbara datamedia som innehåller känslig information.

18 §

Uppgifter enligt 10, 12 och 22 §§ ska registreras av spelsystemet och

bevaras i minst tre månader avseende 10 § och minst 12 månader eller till

lotteriet är avslutat avseende 12 och 22 §§.

Avbrottsskydd m.m.

19 §

Avbrottsplan ska finnas och bestå av en del som beskriver alternativa

rutiner för att bedriva verksamheten och en del som beskriver vilka åtgärder

som ska vidtas för att datasystemet ska kunna hanteras.

20 §

Spelsystemet ska skyddas av avbrottsfri kraft på sådant sätt att syste-

met vid elavbrott kan avslutas utan att information om spelet går förlorad.

4

LIFS 2013:3

Spelsystemet ska skyddas mot andra onormala förhållanden i elförsörj-

ningen.

21 §

Om någon funktion i spelsystemet som påverkar deltagarens spel slu-

tar att fungera, ska spelsystemet omedelbart avbryta de spel som påverkas.

I händelse av avbrott ska spelsystemet återskapa alla uppgifter som påver-

kar deltagarens spel från den senaste säkerhetskopians tidpunkt till avbrotts-

tillfället.

Tillträdesskydd m.m.

22 §

All åtkomst till spelsystemet ska registreras av systemet.

23 §

Verifikationssystemet och dragningssystemet ska ha begränsade åt-

komstprivilegier för anordnaren.

Tillståndshavarens logiska åtkomst till spelsystemet ska endast kunna ske

genom personliga och unika behörighetskoder som ska bestå av minst åtta

alfanumeriska tecken.

Spelsystemet ska kräva att anordnarens koder byts efter högst 60 dagar.

24 §

Om deltagande sker via telefoni eller genom behörighetskod som ut-

görs av engångskoder ska systemet kräva att dessa består av minst fyra

tecken.

Sker deltagandet via annat än telefoni ska systemet kräva att deltagarens

behörighetskod består av minst sex tecken.

25 §

Spelsystemets verifikationssystem ska registrera deltagarens namn,

adress och personnummer eller motsvarande första gången denne deltar i ett

lotteri. Verifikation av deltagarens behörighet ska ske genom personliga och

unika behörighetskoder.

Spelsystemets verifikationssystem ska kontrollera att deltagaren är behö-

rig att delta i lotteriet. Detta innefattar kontroll av ålder, behörighetskod och

att medel finns för spel.

26 §

Andra behörighetskoder än behörighetskoder av engångstyp ska vid

överföring skyddas av kryptering.

Krypteringen vid överföring av behörighetskoden i lotteri som förmedlas

med hjälp av mobiltelefoni ska ske med minst 128 bitars autentisering mot

mobilen. Krypteringen av sessionsnyckeln ska ske med minst 64 bitars algo-

ritm.

Vid överföring av behörighetskod i övriga lotterier ska kryptering ske

med minst 2048 bitars asymmetrisk eller 256 bitars symmetrisk kryptering.

27 §

Spelsystemet ska vara placerat i ett därför avsett rum för att minska

risken för miljömässiga hot och faror och för möjligheten till obehörig åt-

komst. Tilldelning av fysiska åtkomstprivilegier för tillståndshavarens per-

sonal ska begränsas och kontrolleras kontinuerligt.

28 §

Tillståndshavaren ska se till att system för drift och test hålls logiskt

skilda från varandra.

5

LIFS 2013:3

29 §

I lotterier där lottsatser används får satserna endast skapas då Lotteri-

inspektionen är närvarande, fysiskt eller på distans.

30 §

I lotterier där lottsatser används ska åtkomst till informationen i lott-

satsen under försäljningsperioden vara begränsad till dem som behöver in-

formationen för utförande av sina arbetsuppgifter.

Denna författning träder i kraft den 1 april 2014.

På Lotteriinspektionens vägnar

HÅKAN HALLSTEDT

Johan Röhr