CAPÍTULO VI · Requisitos de seguridad de los sistemas técnicos de juego
Artículo 21. Control de acceso y seguridad
1. El operador deberá establecer un protocolo de acceso físico y lógico a sus sistemas técnicos de juego en el que se recojan los procedimientos para su control, la relación de las personas que dispongan de autorización para el acceso, así como las operaciones que pueden realizar en los sistemas. El registro de acceso a la Unidad Central de Juegos, su réplica y al sistema de control interno, deberá ser conservado por el operador durante, al menos, dos años. 2. La Unidad Central de Juegos y su réplica serán accesibles únicamente por las personas expresamente designadas por el operador a estos efectos y, en el marco de una inspección, por el personal de la Comisión Nacional del Juego. 3. El operador deberá establecer las medidas de seguridad físicas y lógicas que aseguren el control del acceso a los sistemas técnicos de juego, que impidan el acceso y permitan la detección de cualquier persona no autorizada. 4. El operador garantizará el acceso de la Comisión Nacional del Juego a los sistemas técnicos de juego en los términos establecidos en los artículos 13 y 14 de este real decreto. 5. La Comisión Nacional del Juego establecerá las condiciones adicionales de acceso a los sistemas técnicos de juego de los operadores y los requisitos técnicos que hubieren de cumplir.
Artículo 22. Comunicaciones con los participantes
El operador deberá establecer los sistemas y mecanismos que garanticen la integridad y confidencialidad de las comunicaciones de los participantes con sus sistemas técnicos de juego y, en particular, con la Unidad Central de Juegos y su réplica. El sistema deberá garantizar la identidad del transmisor y del receptor, la confidencialidad de la información transmitida mediante el empleo de algoritmos de cifrado y autenticación eficaces y la integridad de la información transmitida a través de los canales de comunicación empleados para la participación e interacción con los sistemas de juego. La Comisión Nacional del Juego podrá establecer el detalle y las condiciones adicionales que entienda necesarias para garantizar la seguridad e integridad de las comunicaciones entre los participantes y los sistemas técnicos de juego de los operadores.
Artículo 23. Comunicaciones entre los componentes de los sistemas técnicos de juego
Los sistemas empleados para la comunicación de datos entre los distintos componentes de los sistemas técnicos de juego garantizarán su integridad y confidencialidad. En particular, el operador deberá garantizar la integridad de las comunicaciones entre la Unidad Central de Juegos y el sistema de control interno. En aquellos supuestos en los que la comunicación entre los distintos componentes de los sistemas técnicos de juego se realice a través de redes de comunicaciones públicas o de terceros, el operador deberá emplear protocolos de comunicación segura que aseguren su integridad y confidencialidad. La Comisión Nacional del Juego podrá establecer el detalle y las condiciones adicionales que entienda necesarias para garantizar la seguridad e integridad de las comunicaciones entre los diferentes componentes de los sistemas técnicos de juego.
Artículo 24. Registro y trazabilidad de las operaciones de juego
1. La Unidad Central de Juegos debe garantizar la trazabilidad y el registro de la totalidad de las operaciones de juego y de las transacciones económicas que se realicen, permitiendo la reconstrucción fiel de las operaciones de juego y de las transacciones registradas. 2. El sistema de control interno realizará la captura, registro y conservación de las operaciones y transacciones en los términos que se establezcan mediante resolución de la Comisión Nacional del Juego. Todos los elementos del sistema de control interno deberán estar protegidos física y lógicamente e impedir cualquier acceso no autorizado. 3. Sin perjuicio de las resoluciones que en relación con la captura y registro de datos adicionales pudiera dictar la Comisión Nacional del Juego, los operadores deberán capturar y registrar en la base de datos segura, al menos, las siguientes operaciones: b) Operaciones sobre eventos de juego, entre las que se incluyen, como mínimo, el alta del evento o eventos que determinen los resultados del juego, la modificación de los parámetros del evento o eventos, los eventos cancelados o anulados por el operador en sus sistemas de juego y resultado del evento o eventos. c) Operaciones de pago de la participación en los juegos y de abono de los premios obtenidos. d) Operaciones sobre los registros de usuario y de juego, entre las que se incluyen, como mínimo, la apertura de cuenta y los datos aportados por el participante, la aceptación de los términos y condiciones, la modificación de los parámetros de las cuentas, los movimientos económicos, ingresos y pagos, de la cuenta de juego y el cierre de cuentas. 4. El sistema deberá permitir la captura y registro en tiempo real de los datos relativos a las operaciones de juego y de las transacciones económicas vinculadas a aquéllas. La Comisión Nacional del Juego, atendiendo a criterios de proporcionalidad, establecerá la periodicidad que deba ser observada por el operador para el registro de los datos en la base de datos segura y el modo en que ha de realizarse su asociación temporal a fuentes de tiempo fiables. 5. Los operadores también incluirán en la base de datos segura: b) Un registro de incidencias que incluya al menos las interrupciones del servicio o inhabilitación de juegos c) Cualesquiera otros datos requeridos por la Comisión Nacional del Juego de forma general o individual en un procedimiento de control. 6. La base de datos segura y los registros del operador deberán conservarse por un período mínimo de seis años, debiéndose establecer los sistemas de protección y respaldo que aseguren su integridad y seguridad durante ese plazo, así como su recuperación íntegra ante eventualidades.
Artículo 25. Continuidad de la actividad de juego
1. El operador deberá disponer de un Plan de Contingencia Tecnológica para el mantenimiento de la operativa de juego. 2. El Plan de Contingencia Tecnológica contemplará las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad del servicio. El operador deberá informar adecuadamente sobre sus políticas en relación con las interrupciones del servicio y la forma en que los clientes pueden verse afectados. El operador adoptará las medidas necesarias para garantizar que sus clientes reciban un trato justo en caso de interrupción del juego o la apuesta. 3. El Plan de Contingencia Tecnológica deberá garantizar que, en ningún caso, se pierdan datos o transacciones que afecten o puedan llegar a afectar al desarrollo de los juegos, a los derechos de los participantes o al interés público. 4. En el marco del Plan de Contingencia Tecnológica, el operador deberá disponer de una réplica de la Unidad Central de Juegos que permitirá el normal desarrollo de la actividad de los juegos. 5. Asimismo, el Plan se ocupará de los supuestos de indisponibilidad del sistema de control interno, garantizando la continuidad de las funciones de captura y registro de los datos, de las operaciones de juego y de las transacciones económicas vinculadas a aquéllas. En aquellos supuestos en los que el sistema de control interno quede fuera de servicio y no disponible, el operador deberá suspender la oferta de juego hasta que el sistema de control interno vuelva a estar activo. 6. La Comisión Nacional del Juego evaluará los Planes de Contingencia Tecnológica de los operadores y, en su caso, requerirá al operador la adopción de las medidas adicionales que considere precisas para asegurar la continuidad de las actividades de juego.