LIFS 2018:8
Lotteriinspektionens föreskrifter och allmänna råd om tekniska krav samt ackreditering av organ för den som ska kontrollera, prova och certifiera spelverksamhet
1
Lotteriinspektionens författningssamling
Utgivare: Johan Röhr, Lotteriinspektionen, Box 199, 645 23 Strängnäs.
ISSN
Lotteriinspektionens föreskrifter och allmänna råd
om tekniska krav samt ackreditering av organ för
den som ska kontrollera, prova och certifiera
spelverksamhet;
beslutade den 25 juli 2018.
Lotteriinspektionen föreskriver1 följande med stöd av 16 kap. 9 § och 10 § 7
spelförordningen (2018:1475) och beslutar följande allmänna råd.
1 kap. Tillämpningsområde
1 §
Dessa föreskrifter och allmänna råd gäller den som ansöker om att bli
ackrediterad för att utföra kontroll, provning och certifiering av spelverk-
samhet och den som ansöker om licens för att bedriva spelverksamhet samt
den som har licens enligt spellagen (2018:1138).
Spelinspektionen får besluta om undantag från föreskrifterna, om det är
motiverat ur säkerhetssynpunkt och i övrigt inte medför några risker för
spelaren.
Föreskrifterna och de allmänna råden gäller inte för
1. landbaserat kasino i därför avsedd lokal enligt 5 kap. 1 § spellagen,
2. värdeautomatspel enligt 5 kap.7–8 §§spellagen,
3. lokalt poolspel enligt 6 kap. 8 § spellagen,
4. spel som omfattas av kommunal registrering enligt 6 kap. 9 § spellagen,
5. landbaserat kasinospel, varuspelsautomater och kortspel i turnerings-
form enligt 9 kap. 1 § spellagen, och
6. spel på fartyg i internationell trafik enligt 10 kap. 1 § spellagen.
För lotteri enligt 6 kap. 1 § spellagen som omsätter under fem (5) miljoner
kronor gäller endast 13 kap.
Uttryck i föreskrifterna och allmänna råden
2 §
Om inte annat anges har de uttryck och benämningar som används i
föreskrifterna samma betydelse som i spellagen (2018:1138) och i spelför-
ordningen (2018:1475).
I dessa föreskrifter och allmänna råd avses med
1
Se Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september
2015 om ett informationsförfarande beträffande tekniska föreskrifter och beträffande
föreskrifter för informationssamhällets tjänster.
LIFS 2018:8
Utkom från trycket
den 8 augusti 2018
2
LIFS 2018:8
checksumma: siffror som bifogas tal eller meddelande för att ändringar
och fel ska kunna upptäckas. Checksummor räknas fram genom en bestämd
matematisk procedur,
informationstillgång: information, och resurser som hanterar den, som är
av värde för en organisation. Ett spel- och affärssystem består av en eller
flera informationstillgångar som licenshavaren själv definierar i en förteck-
ning,
kryptering: förvanskning av data och information med krypteringsalgo-
ritm som är allmänt känd och publicerad,
live kasinospel: kasinospel som erbjuds som onlinespel via videolänk,
dataöverförd kommunikationstjänst eller liknande där dragningsutrustning
används istället för ett spelsystem,
maximal belastning: definieras av den certifierade licensinnehavaren och
avser det tillfälle då spelsystemet automatiskt avvisar insatser från spelare,
person i politiskt utsatt ställning (PEP):en person som har, eller har haft
en viktig offentlig funktion i ett land, eller i ledningen i en internationell
organisation,
ombudsterminal: en teknisk utrustning som används för att hantera olika
typer av spel och spelarinformation, inte kan hanteras av spelaren, är en del
av spelsystemet och som inte fungerar utan anslutning till det övriga spelsys-
temet,
spelomgång: en kombination av händelser från det att licenshavaren öpp-
nar ett spel och spelaren lägger en insats tills det att resultatet av spelet gene-
reras,
inloggningstid: den tid från det att spelaren loggar in i spelsystemet tills
det att spelaren väljer att logga ut eller att spelsystemet loggar ut spelaren,
slumptalsgenerator: en algoritm eller fysisk enhet som är avsedd att gene-
rera en sekvens av element (ofta tal) som har vissa statistiska egenskaper ge-
mensamma med talföljder, vilka uppstår rent slumpmässigt efter en given
sannolikhetsfördelning,
UTC: världstid UTC (Coordinated Universal Time). UTC Sverige finns
på tidsbyrån BIPM i Paris och hämtas på ett garanterat säkert sätt till RISE,
Research Institutes of Sweden – Sveriges forsknings- och innovationspartner
för näringsliv och samhälle, i Borås och kallas UTC(SP), och
vinstpott: alla eller delar av spelarnas insatser i enlighet med den aktuella
spelformens spelregler och där licenshavaren behåller på dessa insatser till
dess att hela eller delar av insatserna delas ut, kan t.ex. vara en jackpott,
poolspel eller en fördelad jackpott.
2 kap. Kontroll, provning och certifiering
1 §
Den som ansöker om spellicens ska vända sig till ett ackrediterat organ
för kontroll, provning och certifiering av spelsystem, affärssystem, rutiner,
dragningsutrustning och fysiska lotter i enlighet med 16 kap. 3 § spellagen
(2018:1138).
Bestämmelser om ackreditering enligt första stycket som utförs av Styrel-
sen för ackreditering och teknisk kontroll finns i lagen (2011:791) om ackre-
ditering och teknisk kontroll.
3
LIFS 2018:8
Allmänt råd:
Är sökanden, eller den som utför tjänster för sökandens räk-
ning, certifierat i förhållande till gällande ISO/IEC
27001:2014 kan kraven i 4-6 kap. dessa föreskrifter vara upp-
fyllda.
Giltigt ISO/IEC 27001:2014 certifikat, uttalande om
tillämplighet2 och dokumenterad riskbedömning ska finnas
tillgängliga för det ackrediterade organet att utvärdera.
2 §
Den som ansöker om spellicens ska skicka underlag för utförd kontroll,
provning och certifiering till Spelinspektionen.
I rapporten ska det tydligt anges vilka utvärderingsmetoder som använts i
kontroll-, provnings- och certifieringsprocesserna.
För att säkerställa att det ackrediterade organet uppfyller samtliga krav i
3 kap. ska utfärdade certifikat och övrig dokumentation för verksamheten bi-
fogas.
3 §
Kontroll-, provnings- och certifieringsprotokoll ska förnyas minst var
tolfte månad.
Om det ackrediterade organet i det löpande arbetet konstaterar brister eller
felaktigheter som är av betydelse för licensen, ska licenshavaren omedelbart
underrätta Spelinspektionen.
Licenshavaren ska omedelbart meddela Spelinspektionen om certifie-
ringsorganet återkallar certifikat.
3 kap. Ackrediterade organ
Omfattning
1 §
Den ackrediterade processen ska omfatta informationssäkerhet, kon-
troll, provning och certifiering samt risk- och sårbarhetsanalys.
Behörighetskrav för det ackrediterade organet
2 §
Den som ansöker om ackreditering ska ha erfarenhet av arbete med
ledningssystem för informationssäkerhet, kontroll, provning, certifiering och
risk- och sårbarhetsanalys.
Allmänt råd:
Med erfarenhet avses minst tre års erfarenhet av att testa och
utvärdera ledningssystem för informationssäkerhet, minst två
års erfarenhet med risk- och sårbarhetsanalys eller likvärdig
erfarenhet.
2
Statement of Applicability.
4
LIFS 2018:8
Behörighetskrav för personal hos det ackrediterade organet
3 §
Kontroll, provning och certifiering ska utföras av personal som har
adekvat och dokumenterad utbildning.
Det ska finnas personal som har minst fem års erfarenhet av att kontrollera
och prova spelsystem, spelverksamhet och onlineverksamhet eller motsva-
rande erfarenhet.
Det ska finnas personal som har minst fem års erfarenhet av risk- och sår-
barhetsarbete eller motsvarande erfarenhet.
Åberopad erfarenhet och kompetens ska styrkas genom intyg eller lik-
nande.
Allmänt råd:
Adekvat och relevant utbildning kan också vara andra kvalifi-
kationer som gör att personal uppnår tillräcklig kompetens för
uppgiften eller uppgifterna.
För arbete med slumptalsgeneratorer och annan dragnings-
utrustning bör ansvarig arbetsledare ha en mastersexamen
eller doktorsexamen inom matematik, statistik eller annan för
uppdraget relevant utbildning.
Sådana kvalifikationer ska på samma sätt som annan ut-
bildning finnas dokumenterade och kan för arbete med infor-
mationssäkerhet vara certifieringar i enlighet med:
– International Information Systems Security Certification
Consortium (ISC)2 Certified Information Systems Secu-
rity Professional (CISSP),
– Payment card industry (PCI) Qualified Security Assessor
(QSA), eller
– Information Systems Audit and Control Association
(ISACA) Certified Information Systems Auditor (CISA).
För arbete med risk- och sårbarhetsanalyser kan följande
certifieringar vara aktuella:
– International Council of E-commerce (EC-Council) Certi-
fied Ethical Hacker (CEH),
– EC-Council Licensed Penetration Tester (LPT),
– Information Assurance Certification Review Board
(IACRB) Certified Penetration Tester (CPT),
– Global Information assurance Certification (GIAC) Certi-
fied Penetration Tester (GPEN),
– CESG CHECK Team Leader,
– CESG CHECK Team Member,
– CREST Infrastructure Certification,
– CREST Registered Tester,
– Tiger Scheme Senior Security Tester, eller
– Tiger Scheme Qualified Security Tester.
Kontroll, provning och certifiering kan utföras av personal
som sammantaget uppfyller fastställda krav.
5
LIFS 2018:8
4 kap. Licenshavarens informationssäkerhet
Skydd av information
1 §
Viktig information ska skyddas mot fysiska och logiska intrång och
annan yttre påverkan samt trygga att information är tillgänglig då den be-
hövs.
Personaladministration
2 §
Det ska finnas en policy och rutiner som reglerar anställdas behörighet
i spel- och affärssystem.
Motsvarande policy, upprättande av behörighetsbeskrivning och rutiner
enligt första stycket, ska finnas för övriga personer som behöver ha behörig-
het till spel- och affärssystem.
Policyer och rutiner ska vara dokumenterade och uppdateras regelbundet.
Allmänt råd:
En policy med tillhörande rutiner kan omfatta
1. detaljerade arbetsbeskrivningar för varje anställd,
2. vilken behörighet till information som krävs för respektive
arbetsbeskrivning, det vill säga för utförande av arbetsupp-
gifter,
3. på vilket sätt förändringar i arbetsbeskrivningen också re-
flekteras i behörighet till vilken information den anställde
ska ha tillgång till, och
4. beskrivning av vilka steg som tas om en anställning avslu-
tas.
Tillträdesbegränsning
3 §
Spel- och affärssystem ska vara placerade i utrymme som är anpassat
för ändamålet.
Vid alla passerställen, eller liknande, till den plats där spel- och affärssys-
tem hanteras eller förvaras, ska det finnas personell bevakning eller teknisk
utrustning för tillträdeskontroll.
Tillträdeskontrollens omfattning ska vara anpassad till bestämmelserna
om risk- och sårbarhetsarbete i 5 kap.
Kort, koder och nycklar till utrymmen där spel- och affärssystem hanteras
eller förvaras ska kontrolleras så att inte obehöriga kan få åtkomst till dessa.
Allmänt råd:
Ett utrymme som är anpassat för ändamålet kan vara ett eller
flera rum.
4 §
System för drift och test ska hållas logiskt skilda från varandra.
System för test av generering och validering och faktisk generering och
validering av underlag för fysiska lotter ska hållas logiskt skilda från varan-
dra.
6
LIFS 2018:8
Behörighetskontroll
5 §
Spel- och affärssystem ska vara försedda med tekniska och administra-
tiva åtgärder för identifiering av användaren, användarens behörighet till
systemen samt registrering av användarens aktiviteter.
All åtkomst till spel- och affärssystemen ska registreras.
Kod, lösenord eller motsvarande till spel- och affärssystem är personliga
och får inte visas eller lämnas till andra och ska ges ett säkerhetsskydd som
är anpassat till informationen.
6 §
Spel- och affärssystemen ska ha en funktion som löpande registrerar
användares identitet, datum och klockslag för inloggning och utloggning
samt sådana aktiviteter i övrigt som är av betydelse för informationssäker-
heten.
7 §
Händelser utanför den tekniska utrustningen som påverkar spel- och
affärssystemen ska registreras.
Allmänt råd:
Brand, vattenskador kan vara exempel på sådana händelser
utanför den tekniska utrustningen som påverkar spel- och af-
färssystemen.
Registrering av händelser enligt 7 § kan göras manuellt.
Kommunikation och drift
8 §
Spel- och affärssystem ska kunna stängas ned säkert i händelse av stör-
ning eller avbrott i elförsörjningen eller i kommunikationen.
Det ska finnas reservkraftsystem för att säkerställa dataintegritet, registre-
ring av historik, säkerhetskopiering och för att pågående spel ska kunna av-
slutas.
9 §
Spel- och affärssystem ska ha en funktion som registrerar alla försök
till obehörig åtkomst till spelsystemet, övriga händelser och skapa händelse-
rapporter med tidsregistrering.
10 §
Spel- och affärssystem ska vara skyddat mot obehörigt intrång och in-
förande av otillåten och skadlig kod.
Spel- och affärssystem ska ha en funktion som upptäcker skadlig kod.
Det ska finnas dokumenterade rutiner för uppdatering av skydd mot otillå-
ten och skadlig kod.
11 §
Alla systemändringar i enlighet med 6 kap. och övriga avvikelser i
spel- och affärssystemen ska övervakas och registreras.
12 §
Spel- och affärssystem ska säkerhetskopieras minst dagligen.
Det ska säkerställas att systemen kan återskapas från tiden för senaste
säkerhetskopieringen till tidpunkten för ett eventuellt avbrott.
7
LIFS 2018:8
13 §
Spel- och affärssystem ska förses med därför avsedd brandvägg.
Brandväggar ska inrättas på sådant sätt att inte annan utrustning inom
samma nätverk kan skapa alternativa nätverksvägar.
Behörighet till brandväggar ska dokumenteras i upprättade arbets- och be-
hörighetsbeskrivningar.
Tillträde till en brandvägg ska registreras.
Alla incidenter som påverkar eller syftar till att påverka brandväggar ska
registreras.
14 §
Information ska lagras och överföras på ett säkert sätt.
Filer med vinstinformation ska hanteras så att ingen obehörig kan kopiera
den eller på annat sätt missbruka eller skada informationen.
Om publika nätverk används för överföring av information ska informa-
tionen vara krypterad och de skilda undersystemen ska verifiera sändning
och mottagning och vara skyddade mot ofullständig sändning, störning samt
kopiering av och utskick av svarsmeddelande som inte är auktoriserade.
15 §
Det ska finnas dokumenterade rutiner för hantering av flyttbara data-
media.
Skickas vinstinformation på datamedia per post, eller motsvarande, ska ett
transportalternativ väljas som säkerställer kraven i 14 § andra stycket.
Allmänt råd:
Flyttbara datamedier kan till exempel vara bärbara datorer
och flyttbara minnen.
16 §
Endast funktioner som är nödvändiga för syftet med installation av ny
programvara ska aktiveras.
Underhåll och uppdatering av applikationer i ett spel- och affärssystem
ska ske på ett säkert och kontrollerat sätt.
17 §
En programvara ska vara identifierbar med namn och versionsnum-
mer.
Spelsystemets programkod ska innehålla kommentarer som förklarar
kodens funktion.
Lagring av registrerade uppgifter, händelser och loggar
18 §
Registrerade uppgifter, händelser och loggar ska lagras i enlighet med
16 kap. 5 § spellagen (2018:1138) och hållas i oförändrat skick och ska
skyddas mot olovligt intrång.
Registrerade uppgifter enligt 13 § fjärde stycket ska lagras i minst tre må-
nader.
Tidsreferens
19 §
Spelsystemet ska registrera tid.
Alla uppgifter, händelser och loggar ska registreras i realtid.
UTC ska användas som system för tidsreferens.
8
LIFS 2018:8
5 kap. Licenshavarens risk- och sårbarhetsarbete
1 §
Licenshavaren ska göra en risk- och sårbarhetsanalys och på ett syste-
matiskt sätt identifiera och dokumentera spel- och affärssystemens informa-
tionstillgångar i en förteckning.
I arbetet ska även den egna verksamhetens beroenden av andra verksam-
heter beaktas.
Val av metod för risk- och sårbarhetsanalys ska dokumenteras.
Allmänt råd:
ISO 31000:2009 är en vägledning som innehåller principer
och generella riktlinjer för riskhantering.
En risk- och sårbarhetsanalys och en förteckning enligt 1 §
kan omfatta följande moment:
1 identifiering av informationstillgångar som alltid måste
vara skyddade/fungera (Vad ska skyddas?),
2. identifiering av riskkällor som kan påverka/hota identifie-
rade informationstillgångar (Vad kan hända?),
3. riskanalys (Hur sannolikt är det och vilka är konsekven-
serna om det inträffar?),
4. riskutvärdering för att bedöma vilka av de identifierade
riskkällorna som ska behandlas vidare och vilka åtgärder
som ska vidtas för identifierade risker,
5. bedömning av förmågan att motstå och hantera identifie-
rade riskkällor, och
6. riskbehandling genom identifiering och prioritering av åt-
gärder med anledning av analysens resultat.
2 §
För varje informationstillgång i förteckningen ska följande information
finnas
1. en definition av informationstillgången,
2. unikt identifieringsnummer,
3. versionsnummer,
4. identifierande kännetecken för informationstillgången,
5. beslutsfattare som äger rätt att besluta om förändringar i informa-
tionstillgången,
6. intern riskvärdering,
7. checksumma för informationstillgångar klassificerade enligt 3 §, andra
stycket 2–3, och
8. den geografiska placeringen av fysiska informationstillgångar.
3 §
Varje definierad informationstillgång enligt 2 § ska klassificeras enligt
följande fyra kriterier:
1. spelarinformation – skyddsvärd information,
2. spel- och affärssystemens integritet,
3. tillgänglighet av spelarinformation, eller
4. spårbarhet.
Varje klassificering ska bedömas enligt följande:
9
LIFS 2018:8
1. ingen relevans (informationstillgången har ingen betydelse för kriteriet
i respektive punkt 1–4 i första stycket),
2. viss relevans (informationstillgången kan ha betydelse för kriteriet i
respektive punkt 1–4 i första stycket), eller
3. hög relevans (kriteriet i respektive punkt 1–4 i första stycket är bero-
ende av informationstillgången).
Allmänt råd:
Beroende på om och hur virtualisering, exempelvis så kallade
molntjänster, används i spel- och affärssystemet kan redun-
dans av och tillgänglighet till information påverkas. Olika
metoder av virtualisering kan medföra förändrad klassifice-
ring av en informationstillgång. Licenshavaren bör vara upp-
märksamt på hur klassificeringen av en hårdvaruinforma-
tionstillgång påverkas och kan förändras beroende på val eller
utveckling av virtualisering internt eller externt.
Används en extern molntjänstleverantör bör det säkerstäl-
las att denne lever upp till kraven i föreskrifterna.
4 §
Licenshavaren ska utse en ansvarig beslutsfattare för risk- och sårbar-
hetsanalysarbete och hantering av information och uppkomna incidenter i
detta kapitel.
Det ska finnas dokumenterade rutiner för övervakning, upptäckt, analys,
hantering och rapportering samt registrering av säkerhets- och informations-
säkerhetsincidenter.
5 §
Det ska finnas en funktion och dokumenterade rutiner för hantering av
intrång och försök till intrång i spel- och affärssystemen.
Alla intrång och försök till intrång i spel- och affärssystemen ska registre-
ras.
6 kap. Licenshavarens systemändringar
1 §
Det ska finnas en dokumenterad process för versionshantering och ett
versionshanteringssystem för uppdateringar eller förändringar av de infor-
mationstillgångar som upprättats i en förteckning enligt 5 kap. 2 §.
2 §
Uppdatering eller förändring av en informationstillgång som klassific-
erats som kritisk med hög relevans enligt 5 kap. 3 § andra stycket, ska utan
dröjsmål granskas av ackrediterat organ.
Uppdatering eller förändring av en informationstillgång som klassificerats
med viss relevans enligt 5 kap. 3 § andra stycket ska granskas i samband
med ordinarie certifieringsprocess enligt 2 kap. 3 § första stycket.
3 §
Finns det en intern funktion som hanterar kvalitetssäkring av uppdate-
ringar eller förändringar av informationstillgångar kan det ackrediterade
organet godkänna att ändringar görs utan granskning enligt 2 § första stycket
om
10
LIFS 2018:8
1. funktionen är organisatoriskt separerad från den funktion som imple-
menterar uppdateringar eller förändringar och
2. funktionen har personal med adekvat utbildning och erfarenhet.
Uppdatering eller förändring av en informationstillgång enligt första
stycket ska granskas i samband med ordinarie certifieringsprocess enligt
2 kap. 3 § första stycket.
4 §
Vid uppdatering eller förändring av informationstillgångar enligt 1 §
ska risk- och sårbarhetsanalys utföras.
5 §
Det ska finnas en utsedd beslutsfattare som ansvarar för och beslutar
om varje uppdatering eller förändring av en informationstillgång.
6 §
Ett versionshanteringssystem ska innehålla information om begäran
om ändringar, godkännande av ändringar, och utförda ändringar av informa-
tionstillgångar.
Tidigare versioner av informationstillgångar ska lagras och hållas till-
gängliga för granskning.
Allmänt råd:
Tidigare versioner av informationstillgångar i form av hård-
vara kan destrueras.
7 kap. Funktioner för licenshavarens administration av spel
Aktivering och avaktivering av spel
1 §
Licenshavare ska utan dröjsmål kunna aktivera eller avaktivera varje
spel eller dess spelare; antingen ett eller flera spel eller spelare var för sig
eller alla på en gång.
Åtgärder enligt första stycket ska registreras och dokumenteras.
Allmänt råd
Ett spel kan till exempel avaktiveras genom att tillfälligt döl-
jas om licenshavaren upptäcker felaktigheter i spelet eller för
en enskild spelare.
2 §
Ett spel som avaktiveras ska kunna spelas färdigt.
Ett spel i flera steg som avaktiveras ska kunna spelas färdigt vid nästa in-
loggning.
Avbrutna spel
3 §
Ett avbrutet spel ska kunna spelas färdigt om inte något annat framgår
av spelreglerna.
Ett avbrutet spel ska tillsammans med gjord insats visas för en spelare när
spelsystemet återanslutits.
11
LIFS 2018:8
Insats som avses i andra stycket ska hållas åtskild och redovisas särskilt på
spelarens spelkonto tills det spelats färdigt.
Allmänna råd:
Ett spel kan anses avbrutet exempelvis om spelsystemet
tappar anslutningen mot spelarens utrustning, spelsystemet
eller spelarens utrustning startar om och onormal nedstäng-
ning av spelsystem.
Ett spel kan också anses avbrutet om en match inte kunnat
spelas färdigt eller ett lopp ställts in.
4 §
Om ett avbrutet spel inte spelas färdigt inom 90 dagar ska det avslutas.
Det ska tydligt framgå av spelreglerna vad som händer med en spelares in-
sats, om ett spel avslutas utan att det spelats färdigt.
Felhantering
5 §
För spel ska det finnas dokumenterade rutiner för hantering av fel och
brister.
Det ska tydligt framgå av spelreglerna vad som gäller gentemot spelaren
vid fel och brister.
6 §
Uppkomna fel och brister ska registreras och dokumenteras.
Orsaker och lösningar på fel och brister i första stycket ska registreras och
dokumenteras.
7 §
Det ska säkerställas att ett avbrutet spel eller fel och brister i övrigt inte
påverkar en spelares spelkonto eller spelsaldo negativt.
För det fall en spelare inte kan spela färdigt ett spel på grund av fel eller
brister ska det finnas en funktion som beräknar hur mycket som ska betalas
till en spelare.
8 §
Värdet av en vinstpott ska inte kunna påverkas av fel och brister.
8 kap. Information som ett spelsystem ska kunna generera
1 §
Rapporter avseende misstänkta spelfuskbrott som avses i 19 kap. 4 §
spellagen (2018:1138) ska kunna skapas i spelsystemet eller manuellt.
Rapporter om misstänkt spelfusk, otillåtet samarbete mellan spelare, för-
sök till spelfusk och otillåtet samarbete mellan spelarna samt övriga registre-
rade överträdelser av användarvillkor och spelregler ska kunna skapas i spel-
systemet eller manuellt.
Rapporter om otillbörlig påverkan av utgången av ett spel som är föremål
för vadslagning ska kunna skapas i spelsystemet eller manuellt.
2 §
Spelsystemet ska ha en funktion för att generera rapporter avseende av-
vikelser eller förändringar i en spelares spelvanor och spelmönster som för-
anleder spelansvarsåtgärder.
12
LIFS 2018:8
3 §
Spelsystemet ska ha en funktion för att generera rapporter för alla spe-
larregistreringar.
Spelsystemet ska ha en funktion för att generera rapporter för befintliga
och stängda tillfälliga spelkonton som avses i 13 kap. 4 § första stycket spel-
lagen (2018:1138).
4 §
Spelsystemet ska ha en funktion för att generera rapporter för alla re-
gistrerade spelare, spelarnas kontoinformation och datum för registrering.
5 §
Spelsystemet ska ha en funktion för att generera rapporter med alla
spelare som stängt av sig från spel 24 timmar, under viss tid eller stängt av
sig från spel tillsvidare i enlighet med 14 kap. 12 § spellagen (2018:1138).
6 §
Spelsystemet ska ha en funktion för att generera rapporter med alla
spelare som begränsat sin gräns i tid, insatser eller insättningar till spelkon-
ton.
Spelsystemet ska också ha en funktion för att generera rapporter med antal
spelare som sänkt respektive höjt sin gräns i tid, insatser eller insättningar till
spelkonton.
7 §
Spelsystemet ska ha en funktion för att generera rapporter avseende in-
aktiva spelkonton.
Allmänt råd:
Det bör framgå av licenshavarens avtal med spelaren när ett
spelkonto blir inaktivt och vad som händer med t.ex. tillgodo-
havande om kontot varit inaktivt under viss tid.
8 §
Spelsystemet ska ha en funktion för att generera rapporter för samtliga
spelkonton som avslutats.
Om ett spelkonto har avslutats ska det framgå varför det avslutats och om
det har avslutats av spelaren eller av licenshavaren.
9 §
Spelsystemet ska ha en funktion för att generera rapporter för spelkon-
ton med ett positivt saldo som varit avslutade i mer än fem arbetsdagar.
10 §
Spelsystemet ska ha en funktion för att generera en rapport för varje
spelkonto.
Allmänt råd:
En rapport bör innehålla information om saldo, insättningar,
insatser, vinster och uttag.
11 §
Spelsystemet ska ha en funktion för att registrera en enskild spelares
hela inloggningstid.
Följande ska kunna ingå i en eller flera rapporter enligt första stycket
1. spelar-ID,
2. tid då inloggningstiden påbörjats och avslutats,
3. spelarens utrustning,
13
LIFS 2018:8
4. total insats under inloggningstiden,
5. total utbetalad vinst under inloggningstiden,
6. total insättning på spelkonto under inloggningstiden (tidsregistrerad),
7. totalt uttag från spelkonto under inloggningstiden (tidsregistrerad),
8. tidpunkt för sista bekräftelse under inloggningstiden,
9. skäl för att en inloggning avslutats, och
10.identifiering av spel och version av spel som spelats under inlogg-
ningstiden.
12 §
Spelsystemet ska ha en funktion för att registrera och kunna generera
en eller flera rapporter med information om spelarens transaktioner under in-
loggningstiden.
Följande information ska kunna ingå i en rapport enligt första stycket
1. spelar-ID,
2. tidpunkt för spelets start,
3. spelarens saldo vid tidpunkten för spelstart,
4. insats (tidsregistrerat),
5. avsättning till vinstpott,
6. spelets status,
7. utfall i spelet (tidsregistrerat),
8. utbetalning av vinstpott,
9. sluttid för spelet,
10. vinster,
11. spelarens saldo vid tidpunkten för sluttid, och
12. alla avbrutna spel och orsaken för varför de inte spelats färdigt.
13 §
Spelsystemet ska ha en funktion för att registrera och kunna generera
en eller flera rapporter avseende händelser i spelsystemet.
Följande information ska kunna ingå i en rapport enligt första stycket
1. omfattande vinster,
2. stora överföringar av medel,
3. ändrade förutsättningar för spel,
4. ändrade förutsättningar för vinstpott,
5. nyetablerad vinstpott,
6. spelares deltagande i vinstpott,
7. utbetalning av vinstpott, och
8. avbrutna spel med vinstpott.
14 §
Spelsystemet ska ha en funktion för att registrera och kunna generera
individuella och sammanställda rapporter om en eller flera av licenshavarens
spelomgångar.
Följande information ska kunna ingå i en rapport enligt första stycket
1. spelomgångens namn och löpnummer,
2. datum,
3. tidpunkten för spelomgångens start,
4. tidpunkten för spelomgångens slut,
5. total omsättning,
6. antal insatser,
7. licenshavarens insats,
8. finansiering av en vinstpott,
14
LIFS 2018:8
9. en vinstpotts värde innan spelstart,
10. en vinstpotts värde vid spelets slut,
11. möjliga utfall,
12. verkligt utfall,
13. totalt antal vinster,
14. totalt antal vinnare,
15. antal vinnare per nivå,
16. antal rätt,
17. total utdelning, och
18. antal spelare som inte fullföljt spelomgången samt orsaken för varför
de inte fullföljt.
Allmänt råd:
Ett möjligt utfall kan vara en situation då det förekommer
möjlighet till ett unikt utfall som inte direkt framgår av rele-
vant vinstplan, t.ex. en fotbollsmatch där ett spel kan avse
1X2.
9 kap. Funktionskrav för licenshavaren gentemot spelare
Registrering av spelaren och behörighet till spelsystemet
1 §
Spelsystemet ska ha en funktion för att registrera en spelare.
Verifiering av spelarens behörighet ska ske genom personlig och unik be-
hörighetskod varje gång denne loggar in i spelsystemet.
Allmänt råd:
Efter den initiala registreringen, då spellagen kräver verifie-
ring av spelaren via bank-ID eller liknande, kan licenshavaren
fortsatt kräva verifiering via bank-ID eller liknande. Alterna-
tivt kan licenshavaren välja att låta spelaren skapa ett använ-
darnamn med tillhörande behörighetskod.
En funktion i spelsystemet bör informera hur spelaren kan
skapa en unik och säker behörighetskod.
2 §
Spelsystemet ska ha en funktion som kontrollerar spelarens ålder.
3 §
Om en kontroll av PEP enligt 3 kap. 10 § penningtvättslagen
(2017:630) har gjorts ska kontrollen registreras i spelsystemet.
Allmänt råd:
Registrering kan göras genom att en ruta med PEP förs in i
spelarregistret och att det där noteras ja eller nej.
4 §
Alla inloggningar på ett spelkonto och alla försök till inloggning som
har gjorts ska registreras.
15
LIFS 2018:8
Det ska finnas en funktion i spelsystemet för att upptäcka om någon utan
behörighet försöker logga in på en spelares spelkonto.
Om någon obehörig har försökt ta sig in på en spelares spelkonto ska spe-
laren informeras om detta omedelbart och därefter i enlighet med licens-
havarens avtal med spelaren.
Allmänt råd:
Meddelande om att någon obehörig försökt ta sig in på en
spelares spelkonto kan göras på sätt som licenshavaren anser
vara mest lämpligt vid tillfället, till exempel genom sms, e-
postmeddelande eller information vid inloggning.
5 §
En spelares identitet, datum och tidpunkt ska registreras vid varje in-
loggning och utloggning.
När en spelare loggar in i spelsystemet ska dennes senaste inloggning med
tid och datum finnas tillgängligt för spelaren.
6 §
Spelsystemet ska ha en funktion och dokumenterade rutiner för säkert
byte av behörighetskod.
En spelares behörighetskod ska inte kunna ändras ensidigt av licenshava-
ren.
Allmänt råd:
Vid behov kan en engångskod skickas till spelarens registre-
rade e-postadress eller registrerade mobilnummer.
Spelkonto
7 §
Spelsystemet ska ha en funktion för att hantera och registrera alla eko-
nomiska transaktioner till och från ett spelkonto i enlighet med 13 kap. 3 §
8 §
Vid insättning av medel på ett spelkonto ska licenshavaren kunna
säkerställa att innehavaren av uppgett bankkort/bankkonto eller annan betal-
tjänst är densamme som innehavaren av spelkontot.
Första stycket gäller även om spelaren byter bankkort, bankkonto eller
annan betaltjänst.
Allmänt råd:
Säkerställande kan ske via bank-ID eller liknande.
9 §
En spelare ska kunna se sitt saldo på spelkontot omedelbart efter varje
utförd transaktion.
Det ska finnas en funktion som i enlighet med 13 kap 3 § första stycket
spellagen (2018:1138) visar spelaren vilka spel denne deltagit i, alla insatser
som gjorts och alla vinster som utbetalats.
16
LIFS 2018:8
Begränsning av insättningar, förluster och inloggningstid
10 §
För onlinespel ska det finnas en funktion där spelaren på ett enkelt
sätt ska ange hur stora insättningar som kan göras fördelat på dag, vecka och
månad.
En spelare som inte angett gränser för insättningar enligt första stycket får
inte spela.
11 §
För onlinespel ska det finnas en funktion där spelaren på ett enkelt
sätt kan begränsa sin inloggningstid.
12 §
Det ska finnas en funktion som under inloggningstiden ska kunna
visa spelaren varningar om vinster och förluster samt information om hur
länge spelaren varit inloggad.
13 §
Endast spelaren själv ska kunna bestämma begränsningarna enligt 10
och 11 §§.
Avstängning från spel
14 §
Spelsystemet ska ha en funktion som på ett enkelt sätt tillåter en spe-
lare att stänga av sig från spel under viss tid eller tills vidare.
15 §
Spelsystemet ska ha en funktion som kontrollerar om en spelare har
stängt av sig från spel eller begränsat sin speltid varje gång en spelare regist-
rerar sig eller loggar in i spelsystemet.
Påbörjat spel
16 §
Vid spel ska det finnas en funktion och dokumenterade rutiner som
förhindrar att en insats kan läggas efter att licenshavarens bestämda tillfälle
för att dragning eller händelse för ett framtida resultat har startats.
Allmänt råd:
När det är relevant kan vadslagning ske under en pågående
match eller liknande, till exempel ett vad om vilket lag som
gör nästa mål eller matchens spelare.
10 kap. Återbetalningsprocent
1 §
Vid spel med progressiv vinst ska återbetalningsprocentens minimi-
nivå visas för spelaren.
2 §
Spelsystemet ska ha en funktion för övervakning av återbetalningspro-
centen på varje enskilt spel.
Data som genereras enligt första stycket ska lagras och finnas tillgängligt
för granskning.
17
LIFS 2018:8
11 kap. Spelinstruktioner, vinstplan och vinstpott
Spelinstruktioner
1 §
Spelinstruktioner ska vara kompletta, tydliga och inte vilseledande.
Allmänt råd:
Spelinstruktioner får översättas till andra språk och ska då ha
samma innehåll som de ursprungliga.
2 §
Spelinstruktioner och spelregler ska finnas tillgängliga utan att en in-
sats måste göras.
3 § Spelinstruktioner ska finnas tillgängliga på samma typ av medium som
det aktuella spelet.
Spelinstruktioner ska finnas lättillgängliga.
Allmänt råd:
Om ett spel tillfälligt ändrar karaktär, under pågående spel bör
spelinstruktionerna per automatik anpassas till ändringen.
Vinstplan
4 §
Det ska finnas dokumenterade rutiner för att kvalitetssäkra att konfigu-
rering av vinstplaner är korrekt.
Det ska finnas dokumenterade rutiner för att säkerställa att beräkningarna
av vinstplanerna är korrekta.
Allmänt råd:
Rutiner kan vara både automatiska och manuella.
Vinstpott
5 §
Det ska finnas spelregler för hur en spelare kan vinna en vinstpott.
Det ska tydligt framgå hur en vinstpott är finansierad och fördelad.
6 §
Det ska tydligt framgå av spelreglerna hur en vinstpott ska fördelas,
om den vinns av fler än en spelare.
7 §
Det ska tydligt framgå av spelreglerna hur en licenshavare kan avbryta
eller avsluta en vinstpott.
12 kap. Onormalt spelande och spelfusk
1 §
Spelsystemet ska ha en funktion och det ska finnas dokumenterade
rutiner för att upptäcka förekomsten av spelfusk och otillåtet samarbete
mellan spelare, försök till spelfusk och otillåtet samarbete mellan spelarna
samt andra överträdelser av användarvillkor och spelregler.
18
LIFS 2018:8
2 §
Spelsystemet ska ha en funktion så att en spelare enkelt och omedel-
bart kan rapportera misstänkt spelfusk, spelfusk, otillåtet samarbete mellan
spelare, försök till spelfusk och otillåtet samarbete mellan spelarna samt
andra överträdelser av användarvillkor och spelregler.
3 §
Det ska finnas en funktion för att analysera och skapa underlag för rap-
portering om otillbörlig påverkan av resultat som utgör objekt för vadhåll-
ning.
4 §
Det ska finnas dokumenterade rutiner för att upptäcka och motverka
avvikelser och onormalt spelande genom manipulation av spel och program-
vara.
13 kap. Funktionalitetskrav för slumptalsgeneratorer
1 §
Resultat från en slumptalsgenerator ska vara slumpmässigt, statistiskt
oberoende, ha korrekt standardavvikelse och ska vara korrekt sannolikhets-
fördelat.
Resultatet från slumptalsgeneratorn ska inte vara förutsägbart utan känne-
dom om använd algoritm, implementering och initialvärden.
Allmänt råd:
Det finns flera statistiska tester som kan användas för att
säkerställa resultatet av en slumptalsgenerator. DIEHARD-
testpaketet (Marsaglia) och NIST-testpaketet (National Insti-
tute of Standards and Technology – Statistical Test Suit) är
två tester som kan användas.
2 §
Det ska finnas en dokumenterad referens till etablerad och vedertagen
algoritm och eventuell programkod samt omräkningsförfarande för slump-
talsgenerator.
Om slumptalsgeneratorn är inbyggd i programvaran, ska hela denna pro-
gramkod, tillsammans med kommentarer och dokumentation, kunna redo-
visas.
Allmänt råd:
Den algoritm som slumptalsgeneratorn baseras på bör vara
publicerad i någon internationellt erkänd publikation.
De utfallstest som kan bli aktuella för genererade slumptal
är till exempel X2-test (chi-två-test), autokorrelationstest,
runs-test.
Licenshavaren kan möjliggöra kontroll av att den fast-
ställda vinstplanen genom att låta den ackrediterade testverk-
samheten eller Spelinspektionen granska program, tryckplå-
tar, loggar, kontrollistor eller annan dokumentation för vinst-
planen.
3 §
Slumptalsgeneratorn ska kunna klara fastställd maximal belastning.
19
LIFS 2018:8
4 §
Funktioner som inte genererar utfall i spel men som beror på slump-
mässiga element ska baseras på slumptalsgeneratorns resultat.
Allmänt råd:
Sådana funktioner kan vara till exempel en slumpad spelrad
eller placering vid ett pokerbord i en pokerturnering.
5 §
Beräkningar från en slumptalsgenerator ska ha korrekt standardavvi-
kelse och ska vara korrekt sannolikhetsfördelade.
Slumptalsgeneratorns utfall av nummer, symboler eller händelser ska kor-
respondera med de för aktuellt spel fastställda spelreglerna.
Allmänt råd:
Om slumptalen görs om till exempelvis kort bör det finnas
fyra ess, fyra kungar etc. i en normal kortlek om nu spelet an-
vänder en normal kortlek.
6 §
Slumptalsgeneratorns beräkningar ska överensstämma med registre-
rade händelser i spelsystemet.
7 §
Om det enligt spelreglerna krävs att en sekvens av utfall från en slump-
talsgenerator bestäms i förväg, är det endast tillåtet att skapa nya sekvenser
om det framgår av spelreglerna.
8 §
Om inget annat framgår av spelreglerna ska utfall av en slumptalsgene-
rator alltid vara oberoende av händelser i det aktuella spelet eller av tidigare
spel.
Dragningsutrustning utan slumptalsgenerator
9 §
Resultat från dragningsutrustning utan slumptalsgenerator ska vara
slumpmässigt, statistiskt oberoende, ha korrekt standardavvikelse och vara
korrekt sannolikhetsfördelat.
Allmänt råd:
De utfallstest som kan bli aktuella för genererade slumptal är
till exempel X2-test (chi-två-test), autokorrelationstest, runs-
test.
10 §
Fristående dragningsutrustning utan slumptalsgeneratorer ska för-
varas inlåst och med begränsad åtkomst.
Dragningsutrustning live kasinospel
11 §
Dragningsutrustning i ett live kasinospel ska övervakas och spelas in.
Av det inspelade materialet ska det framgå att spelreglerna följs.
Inspelningen ska registrera datum och tid.
20
LIFS 2018:8
12 §
Det ska finnas en fysisk behörighetskontroll till den lokal, som an-
vänds för live kasinospel, med tillhörande utrymmen.
Det ska minst finnas skild behörighetskontroll för personer med olika
arbetstagarfunktioner.
Allmänt råd:
Kortgivare, golvchef, föreståndare och övervakningspersonal
är exempel på olika typer av arbetstagare som bör kategorise-
ras i olika behörighetsgrupper.
14 kap. Funktionalitetskrav när ombudsterminal används för
insatser och kontroll
Ombudsterminal
1 §
En ombudsterminal ska på ett entydigt sätt kunna identifieras av spel-
systemet.
Allmänt råd:
En ombudsterminal är en del av spelsystemet och identifie-
ring kan ske genom validering av checksumma av termina-
lens individuella delar eller liknande förfarande som säker-
ställer hela systemets integritet.
2 §
Kommunikation mellan en ombudsterminal och övriga delar av spel-
systemet ska vid överföring skyddas av kryptering eller motsvarande.
3 §
Spel- eller betaltransaktioner som skickas från en ombudsterminal till
andra delar av spelsystemet ska efter transaktionsslut valideras av terminalen
innan utskrift.
Ombudsterminal för vinstvalidering
4 §
Om en ombudsterminal används för vinstvalidering ska den vara för-
sedd med en bildskärm som är avsedd för att förmedla information till spela-
ren.
Följande information ska visas på den skärm som är vänd mot spelaren
1. spelform,
2. insats,
3. makulering,
4. vinstbelopp alternativt ”ingen vinst” och
5. spelet stängt.
15 kap. Funktionalitetskrav för onlinespel
Spelutförande
1 §
Spel med interaktiva val ska ha illustrationer som tydligt visar aktuella
och möjliga insatser.
21
LIFS 2018:8
Spel enligt första stycket ska tydligt visa möjlighet till ändring eller åter-
ställande av aktuell insats.
2 §
Varje spelomgång ska vara minst tre sekunder.
Första stycket gäller också för en autoplay-funktion.
3 §
En spelares deltagande i ett spel och de val som spelaren gör i spelsys-
temet baseras på frivillighet.
En spelare ska ha skälig tid att överväga konsekvenserna av ett val.
Upprepade val som görs av en spelare i spelsystemet ska inte kunna
hamna i kö för att bli utförda.
Allmänt råd:
Val som kan göras är till exempel köp, betala, ”spin”, ”play”,
”hold”, ”draw”, ”double”.
Visuell presentation
4 §
Spelets namn ska visas på samtliga sidor som hör till det aktuella spe-
let.
5 §
Spelsystemet ska ha en funktion som kontinuerligt visar spelaren hur
länge denne varit inloggad.
6 §
Spelsystemet ska ha en funktion som kontinuerligt visar spelarens
saldo för spelaren under hela inloggningstiden.
7 §
Ett spels insats ska visas tydligt.
Spelarens möjliga insats och faktiska insats samt vad som är minimiinsats
och vad som är maxinsats ska visas tydligt.
Spelsystemet ska ha en funktion som gör spelarens insats inklusive den
totala insatsen i spelet väl synliga.
Allmänt råd:
Exempel på när spelarens insats kan vara inkluderad i en total
insats är när en spelare kan spela på flera händelser i kombi-
nation.
8 §
En spelare ska informeras om förekomsten av faktorer utanför dennes
kontroll som kan påverka det aktuella spelet och utfallet.
Allmänt råd:
Faktorer som kan påverka en spelare är till exempel använd-
ning av automatisering eller tilläggsapplikationer till automa-
tisering.
9 §
Ett spelresultat ska vara synligt under skälig tid.
22
LIFS 2018:8
10 §
Ett datorsimulerat automatspel ska tydligt visa eller illustrera vilka
symboler som innebär vinst.
Om olika kombinationer av symboler innebär vinst ska dessa tydligt visas
eller illustreras.
11 §
Om ett spel tillfälligt ändrar karaktär ska spelet tydligt visa aktuell
status inför nästa spel.
12 §
En symbol som används i ett spelsystem ska ha samma form och färg
i hela det aktuella spelet.
13 §
Antalet aktiva kortlekar samt vilka kort som ingår i aktuellt spel ska
tydligt anges.
Kortets framsida ska tydligt visa färg och valör.
Av spelreglerna ska det tydligt framgå vid vilka tillfällen korten blandas.
Allmänt råd:
I olika spel kan andra kort än spelkorten ingå.
14 §
Om inte en traditionell tärning används i ett tärningsspel ska detta
klargöras för spelaren.
Det ska tydligt anges vilken tärningssida som vinner ett spel.
15 §
Ett spelsystem ska ha en funktion som förhindrar att en spelare spelar
mot sig själv.
Ett spelsystem ska ha en funktion för att upptäcka och förhindra att en
eller flera spelare använder samma spelutrustning samtidigt.
16 §
Det aktuella vinstpottbeloppet ska vara synligt för deltagande spelare.
17 §
En spelare ska informeras om en vunnen vinstpott utan dröjsmål.
Efter det att en vinstpott vunnits ska samtliga spelare informeras om dess
nya värde.
Information enligt andra stycket ska också finnas tillgängligt för spelare
som inte deltagit i den aktuella vinstpotten.
18 §
Det ska tydligt framgå om en vinstpott inte är tillgänglig för en spe-
lare.
Det ska säkerställas att all information till spelarna är korrekt oavsett om
en vinstpott är tillgänglig eller inte.
1. Dessa föreskrifter och allmänna råd träder ikraft den 1 januari 2020 i
fråga om 14 kap. 4 § och i övrigt den 1 januari 2019.
2. Föreskrifterna tillämpas även på ansökningar om licens som lämnas in
till Lotteriinspektionen efter den 1 augusti 2018 och som avser tid efter den 1
januari 2019.
23
LIFS 2018:8
3. Genom föreskrifterna upphävs Lotteriinspektionens föreskrifter (LIFS
2013:3) om krav på utrustning som används av anordnare av lotterier som
förmedlas med hjälp av elektromagnetiska vågor.
4. Den upphävda föreskriften gäller dock fortfarande för beslut som har
meddelats med stöd av lotterilagen (1994:1000) före den 1 januari 2019.
På Lotteriinspektionens vägnar
CAMILLA ROSENBERG
Johan Röhr
Elanders Sverige AB, 2018