4.1 Παικτική Συνεδρία
Παικτική Συνεδρία είναι το χρονικό διάστημα που μεσολαβεί από τη στιγμή που ο Παίκτης συνδέεται (logs into) στο ΠΣ, μέχρι τη στιγμή που o ίδιος αποσυνδέεται από αυτό (logs out) ή τον αποσυνδέει το ίδιο το ΠΣ. Όταν ένα σύστημα παρέχει πρόσβαση σε πολλά Παίγνια, ο Παίκτης μπορεί να παίξει περισσότερα από ένα Παίγνιο κατά τη διάρκεια μιας συνεδρίας.
4.2 Έναρξη Παικτικής Συνεδρίας
4.2.1 Προκειμένου ο Παίκτης να ξεκινήσει μια συνεδρία χρησιμοποιεί μοναδικό ηλεκτρονικό αναγνωριστικό (username) και κωδικό πρόσβασης (password).
4.2.2 Το ΠΣ προτρέπει τον Παίκτη και του υπενθυμίζει σε τακτική βάση την χρησιμότητα της αλλαγής των κωδικών του.
4.2.3 Σε περίπτωση που ο Παίκτης ξεχάσει τον κωδικό πρόσβασης του, η πλατφόρμα τυχερών παιγνίων παρέχει μια ασφαλή διαδικασία για την εκ νέου ταυτοποίηση του Παίκτη και την ανάκτηση και / ή επανέκδοση του κωδικού πρόσβασης. Όλες οι διαδικασίες για την αντιμετώπιση απώλειας ονόματος χρήστη Παίκτη ή κωδικού πρόσβασης, πρέπει να περιγράφονται με σαφήνεια στον Παίκτη και να είναι ασφαλείς.
4.2.4 Όταν ένας Παίκτης συνδέεται (logs in) στο ΠΣ, εμφανίζονται οι πληροφορίες σχετικά με την τελευταία φορά που συνδέθηκε σε αυτό.
4.2.5 Κάθε συνεδρία Παίκτη έχει ένα μοναδικό αναγνωριστικό που αποδίδεται από το ΠΣ, προκειμένου να διακρίνονται όλες οι συνεδρίες του.
4.2.6 Το ΠΣ εφαρμόζει μηχανισμούς που ανιχνεύουν μη εξουσιοδοτημένη χρήση του λογαριασμού Παίκτη, όπως η παρατήρηση της τελευταίας σύνδεσης (log in) στο πεδίο «Εμφάνιση ώρας» (Time Display), της διεύθυνσης IP κατά την τελευταία σύνδεση (log in) και δυνατότητα αντιπαραβολής των χρεώσεων των πιστωτικών καρτών σε σχέση με τις ήδη γνωστές καταθέσεις.
4.3 Αυτοεπιβαλλόμενη Συνεδρία Αδράνειας Παίκτη.
Κατά τη διάρκεια διεξαγωγής ενός παιγνίου μέσω διομότιμης επικοινωνίας, το λογισμικό πρέπει να επιτρέπει στο χρήστη να ορίσει κατάσταση «προσωρινής απουσίας» («Away from computer»), η οποία θα μπορούσε να χρησιμοποιηθεί εάν ο παίκτης χρειαστεί να απομακρυνθεί από τον υπολογιστή για μικρό χρονικό διάστημα. Αυτή η λειτουργία πρέπει να περιγράφεται πλήρως στις οθόνες βοήθειας ή στους ισχύοντες όρους και προϋποθέσεις.
α) Η κατάσταση «προσωρινής απουσίας» («Away from computer») δεν πρέπει να επιτρέπει τη διεξαγωγή του παιγνίου από τον παίκτη, και επίσης να έχει σαν αποτέλεσμα την παράλειψη της σειράς του παίκτη κατά τη διάρκεια κάθε γύρου του παιγνίου που λαμβάνει χώρα για όσο διάστημα ο χρήστης παραμένει στη συγκεκριμένη κατάσταση
β) Αν ο παίκτης καθορίσει την κατάστασή του ως κατάσταση «προσωρινής απουσίας» («Away from computer») κατά τη διάρκεια της διεξαγωγής ενός γύρου παιγνίου, θα χάσει αυτόματα το δικαίωμα να παίξει στο συγκεκριμένο γύρο (π.χ. για ένα γύρο του πόκερ, το λογισμικό θα πρέπει αυτόματα να τον θέσει σε κατάσταση «πάω πάσο» «fold the player’s hand» κατά τη διάρκεια του επόμενου γύρου των στοιχημάτων), υπό την προϋπόθεση ότι απαιτούνται επιπλέον στοιχήματα ή αποφάσεις του παίκτη προκειμένου να ολοκληρωθεί το παιχνίδι.
γ) Εάν ο παίκτης εκτελέσει οποιοδήποτε δράση κρίσιμη για την εξέλιξη του παιχνιδιού ενώ βρίσκεται σε κατάσταση «προσωρινής απουσίας» (Away) (π.χ. επιλέγοντας ένα ποσό για να ποντάρει, κλπ), η κατάσταση «προσωρινής απουσίας» (Away) θα πρέπει να απομακρυνθεί και ο παίκτης θα πρέπει να συμμετάσχει στον επόμενο γύρο του παιγνίου. Μη σημαντικές για την εξέλιξη του παιχνιδιού δράσεις, όπως η πρόσβαση στο μενού βοήθεια από το παράθυρο του παιγνίου, δεν απαιτούν την απομάκρυνση της κατάστασης «προσωρινής απουσίας» (Away).
δ) Εάν δεν έχει αναληφθεί καμία δράση από τον παίκτη εντός της προθεσμίας που καθορίζεται στις οθόνες βοήθειας ή / και τους όρους και τις προϋποθέσεις, η κατάσταση του παίκτη θα πρέπει να αλλάξει αυτόματα σε κατάσταση «προσωρινής απουσίας» (Away).
ε) Εάν ο παίκτης είναι σε κατάσταση «προσωρινής απουσίας» (Away) για πάνω από 30 λεπτά ή για χρονικό διάστημα που ορίζεται από το ρυθμιστικό φορέα, αποβάλεται αυτόματα από το τραπέζι τυχερών παιγνίων (table) στο οποίο συμμετέχει εκείνη τη στιγμή.
4.4 Αυτόματος Εντοπισμός Αδράνειας Συνεδρίας Παίκτη.
Τα Συστήματα Τυχερών Παιγνίων με αλληλεπίδραση πρέπει να χρησιμοποιούν ένα μηχανισμό ο οποίος να ανιχνεύει την αδράνεια μιας συνεδρίας (session-inactivity) και να την τερματίζει, όταν αυτό είναι εφικτό.
α) Εάν η πλατφόρμα παιγνίων δεν λάβει μια απάντηση από τη συσκευή του παίκτη για 30 λεπτά ή για ένα χρονικό διάστημα που καθορίζεται από τη ρυθμιστική αρχή, θα πρέπει να στείλει εντολή λήξης χρονικού ορίου λόγω αδράνειας του χρήστη και να τερματίσει τη συνεδρία.
β) Εάν μια συνεδρία τερματίζεται με εντολή λήξης χρονικού ορίου λόγω αδράνειας του χρήστη, η συσκευή του παίκτη πρέπει να εμφανίσει στον παίκτη μήνυμα σχετικό με τον τερματισμό της συνεδρίας με τον εξυπηρετητή (server session termination) (δηλαδή: λήξη χρονικού ορίου λόγω αδράνειας του χρήστη) κατά την επόμενη προσπάθεια χρήσης της πλατφόρμας τυχερών παιγνίων από τον παίκτη.
γ) Σε αυτή την περίπτωση κανένα παιχνίδι δεν πρέπει να επιτρέπεται έως ότου δημιουργηθεί νέα συνεδρία μεταξύ της πλατφόρμας τυχερών παιγνίων και της συσκευής του παίκτη.
4.5 Τέλος Συνεδρίας Παίκτη.
Μια συνεδρία παίκτη τελειώνει όταν:
α) Ο παίκτης ενημερώνει την πλατφόρμα τυχερών παιγνίων ότι η συνεδρία έχει τελειώσει [π.χ. «αποσυνδεθεί» (logs out)].
β) Λήξει το χρονικό όριο λόγω αδράνειας του χρήστη
γ) Η πλατφόρμα τυχερών παιγνίων τερματίσει τη συνεδρία.
i) Σε περίπτωση που η πλατφόρμα παιγνίων τερματίσει μια συνεδρία, μια εγγραφή πρέπει να καταγραφεί σε ένα αρχείο ελέγχου (audit file) με το λόγο τερματισμού και
ii) Η πλατφόρμα τυχερών παιγνίων πρέπει να προσπαθήσει να στείλει μήνυμα τερματισμού της συνεδρίας προς την συσκευή του παίκτη κάθε φορά που μια συνεδρία τερματίζεται από την πλατφόρμα τυχερών παιγνίων.
4.6 Ανενεργοί Λογαριασμοί (Inactive Accounts).
4.6.1 Ένας λογαριασμός θεωρείται ότι είναι ανενεργός, εάν ο Παίκτης δεν έχει εισέλθει στο λογαριασμό του για χρονικό διάστημα, το οποίο καθορίζεται από τη ρυθμιστική αρχή.
4.6.2 Το ΠΣ διαθέτει μηχανισμό για την προστασία ανενεργών λογαριασμών, οι οποίοι διαθέτουν χρηματικά ποσά, από μη εξουσιοδοτημένες αλλαγές ή αφαίρεση κεφαλαίων.
4.6.3 Ο Φ.Ε. προβλέπει και εφαρμόζει διαδικασία για τη διαχείριση αζήτητων κεφαλαίων από ανενεργούς λογαριασμούς, η οποία καταγράφεται σε ειδικό εγχειρίδιο.
4.7 Διασφάλιση Κεφαλαίων Παικτών
Για τη διασφάλιση (maintenance) των κεφαλαίων των Παικτών το ΠΣ εξασφαλίζει ότι:
α) Οι λογαριασμοί των Παικτών είναι ασφαλείς (secured) από μη έγκυρη πρόσβαση ή ενημέρωση (update),
β) Όλες οι συναλλαγές διατηρούνται σε ένα αρχείο καταγραφής-αρχειοθέτησης (audit log),
γ) Κατάθεση σε λογαριασμό Παίκτη, που πραγματοποιήθηκε μέσω συναλλαγής με πιστωτική κάρτα ή με άλλες μεθόδους που μπορούν να παράγουν πιστωτικό ίχνος (audit trail), δεν πρέπει να είναι άμεσα διαθέσιμη για στοιχηματισμό. Ο στοιχηματισμός αυτός επιτρέπεται μόνο αφού το χρηματοπιστωτικό ίδρυμα του παρόχου (issuer) λάβει τα κεφάλαια ή αφού το χρηματοπιστωτικό ίδρυμα του παρόχου παράσχει έναν αριθμό έγκρισης (authorization number), υποδεικνύοντας ότι τα κεφάλαια έχουν εγκριθεί. Ο αριθμός της έγκρισης (authorization number) πρέπει να διατηρείται σε ένα αρχείο καταγραφής ελέγχου (audit log),
δ) Πριν από τη δυνατότητα απόσυρσης κεφαλαίων που τηρούνται από το ΠΣ πραγματοποιείται ταυτοποίηση του παίκτη, με την εισαγωγή κάποιου κωδικού ή με άλλες εγκεκριμένες μεθόδους ασφαλείας από την Ε.Ε.Ε.Π.,
ε) Ανενεργοί λογαριασμοί που έχουν χρηματικά ποσά στο ΠΣ προστατεύονται από την παράνομη πρόσβαση σε αυτούς ή την παράνομη αφαίρεση κεφαλαίων,
στ) Όλες οι συναλλαγές που αφορούν χρηματικά ποσά θεωρούνται σημαντικές πληροφορίες και ανακτώνται από το ΠΣ σε περίπτωση αποτυχίας λειτουργίας του συστήματος,
ζ) Οι πληρωμές από ένα λογαριασμό καταβάλλονται (συμπεριλαμβανομένης της μεταφοράς κεφαλαίων) απευθείας στο όνομα του Παίκτη ή επιτρέπεται η είσπραξή τους από τον ίδιο, σύμφωνα με τις κείμενες διατάξεις,
η) Μετά από αίτημα του Παίκτη αποστέλλονται αναφορές της κατάστασης λογαριασμού στην καταχωρημένη ηλεκτρονική ή ταχυδρομική διεύθυνση του, για το χρονικό διάστημα που θα καθορίσει ο ίδιος. Οι αναφορές περιλαμβάνουν επαρκείς πληροφορίες, ώστε να επιτρέπεται στον Παίκτη να αντιπαραβάλλει αυτές τις αναφορές με τα δικά του αρχεία
θ) Το ΠΣ εφαρμόζει ασφαλείς διαδικασίες όσον αφορά τις μεταβολές των λογαριασμών των παικτών και του πιστωτικού ίχνους (audit trail) τους. Οι παραπάνω διαδικασίες υπόκεινται σε αυστηρό έλεγχο.
ι) Δεν είναι δυνατή η μεταφορά πιστώσεων μεταξύ λογαριασμών χρηστών.
4.8 Φορολογία.
Το ΠΣ έχει διαδικασία που ανιχνεύει όλα τα φορολογούμενα κέρδη και παρέχει τις αναγκαίες πληροφορίες, σύμφωνα με τις απαιτήσεις της φορολογικής Αρχής.
4.9 Αρχείο Συναλλαγών.
Ο Πάροχος (operator) πρέπει να είναι σε θέση να παρέχει αρχείο καταγραφής συναλλαγών ή το ιστορικό του λογαριασμού παικτών κατόπιν αιτήματος. Οι παρεχόμενες πληροφορίες πρέπει να περιλαμβάνουν επαρκείς πληροφορίες που επιτρέπουν στον παίκτη να διασταυρώσει τα οικονομικά στοιχεία. Οι πληροφορίες που πρέπει να παρέχονται πρέπει να περιλαμβάνουν, τουλάχιστον, στοιχεία σχετικά με τους ακόλουθους τύπους συναλλαγών:
α) Χρηματοοικονομικές συναλλαγές (χρονοσήμανση):
i. Καταθέσεις στο λογαριασμό παίκτη.
ii. Αναλήψεις από το λογαριασμό παίκτη.
iii. Τα διαφημιστικά ή μπόνους που προστίθενται / αφαιρούνται από το λογαριασμό παίκτη (εκτός των πιστωτικών μονάδων που κερδίζονται σε πονταρίσματα).
iv. Μη αυτόματες προσαρμογές ή τροποποιήσεις του λογαριασμού παίκτη (π.χ. λόγω επιστροφών χρημάτων).
β) Συναλλαγές στοιχηματισμού:
i. Η ημερομηνία και η ώρα που τοποθετήθηκε το στοίχημα.
ii. Η ημερομηνία και η ώρα έναρξης του γεγονότος ή αναμένεται να συμβεί για τα μελλοντικά συμβάντα (εάν είναι γνωστά).
iii. Η ημερομηνία και η ώρα επιβεβαίωσης των αποτελεσμάτων (κενή έως επιβεβαίωση).
iv. Οποιεσδήποτε επιλογές παίκτη που συμμετέχουν στο στοίχημα, συμπεριλαμβανομένης της επιλογής στοιχημάτων, τύπος στοιχήματος και τα χαρακτηριστικά και οι τυχόν ειδικές προϋποθέσεις που ισχύουν για το στοίχημα.
v. Τα αποτελέσματα του στοιχήματος (κενό μέχρι επιβεβαίωση).
vi. Συνολικό ποσό πονταρίσματος, συμπεριλαμβανομένων τυχόν διαφημιστικών / bonus πιστώσεων (εάν ισχύει).
vii. Συνολικό ποσό που κέρδισε, συμπεριλαμβανομένων τυχόν διαφημιστικών / bonus πιστώσεων (εάν ισχύει).
viii. Προμήθειες ή τα τέλη που έχουν εισπραχθεί (εάν ισχύει) και
ix. Την ημερομηνία και την ώρα που το στοίχημα νίκης καταβλήθηκε στον παίκτη.
Στην παράγραφο 4.2.6 το τελευταίο περί αντιπαραβολής των χρεώσεων πιστωτικών καρτών με τις γνωστές καταθέσεις δεν είναι κατανοητό. Θα πρέπει να περιγραφεί περαιτέρω καθώς στις ρυθμισμένες αγορές δεν υπάρχει τέτοια απαίτηση και πρέπει να δούμε και πως θα μπορούσε να γίνει με τους περιορισμούς βάσει PCI.
4.2.4 Προτείνεται να διαγραφεί η συγκεκριμένη παράγραφος καθώς δεν υπάρχει πάροχος που να παρέχει τέτοια πληροφορία κάθε φορά που ο Παίκτης συνδέεται.
4.2.6 Να οριστεί η μη εξουσιοδοτημένη χρήση λογαριασμού παίκτη.
«4.2.6 Το ΠΣ εφαρμόζει μηχανισμούς που ανιχνεύουν μη εξουσιοδοτημένη χρήση του λογαριασμού Παίκτη, όπως η παρατήρηση της τελευταίας σύνδεσης (log in) στο πεδίο «Εμφάνιση ώρας» (Time Display), της διεύθυνσης IP κατά την τελευταία σύνδεση (log in) και δυνατότητα αντιπαραβολής των χρεώσεων των πιστωτικών καρτών σε σχέση με τις ήδη γνωστές καταθέσεις. »
Απαιτούνται περαιτέρω διευκρινίσεις. – Δεν είμαστε σίγουροι για το στόχο αυτού του σημείου.
«4.3 Self-imposed Player Session-Inactivity.»
Απαιτούνται περαιτέρω διευκρινίσεις. – Αφορά μονο το Poker ; Ποιός είναι ο στόχος ;
«4.4 Αυτόματος Εντοπισμός Αδράνειας Συνεδρίας Παίκτη.
α) Εάν η πλατφόρμα παιγνίων δεν λάβει μια απάντηση από τη συσκευή του παίκτη για 30 λεπτά ή για ένα χρονικό διάστημα που καθορίζεται από τη ρυθμιστική αρχή, θα πρέπει να στείλει εντολή λήξης χρονικού ορίου λόγω αδράνειας του χρήστη και να τερματίσει τη συνεδρία. »
Απαιτούνται περαιτέρω διευκρινίσεις. – Ποια χρονική περίοδο καθορίζεται από τη ρυθμιστική αρχή;
«4.7 Διασφάλιση Κεφαλαίων Παικτών
γ) Κατάθεση σε λογαριασμό Παίκτη, που πραγματοποιήθηκε μέσω συναλλαγής με πιστωτική κάρτα ή με άλλες μεθόδους που μπορούν να παράγουν πιστωτικό ίχνος (audit trail), δεν πρέπει να είναι άμεσα διαθέσιμη για στοιχηματισμό. Ο στοιχηματισμός αυτός επιτρέπεται μόνο αφού το χρηματοπιστωτικό ίδρυμα του παρόχου (issuer) λάβει τα κεφάλαια ή αφού το χρηματοπιστωτικό ίδρυμα του παρόχου παράσχει έναν αριθμό έγκρισης (authorization number), υποδεικνύοντας ότι τα κεφάλαια έχουν εγκριθεί. Ο αριθμός της έγκρισης (authorization number) πρέπει να διατηρείται σε ένα αρχείο καταγραφής ελέγχου (audit log), »
Απαιτούνται περαιτέρω διευκρινίσεις. – “λάβει“ πρέπει να γράφει “στείλει” Δεν είναι ξεκάθαρος ο στόχος.
«ζ) Οι πληρωμές από ένα λογαριασμό καταβάλλονται (συμπεριλαμβανομένης της μεταφοράς κεφαλαίων) απευθείας στο όνομα του Παίκτη ή επιτρέπεται η είσπραξή τους από τον ίδιο, σύμφωνα με τις κείμενες διατάξεις,»
Απαιτούνται περαιτέρω διευκρινίσεις. – Τι εννοείτε λέγοντας “…απευθείας στο όνομα του Παίκτη”
«η) Μετά από αίτημα του Παίκτη αποστέλλονται αναφορές της κατάστασης λογαριασμού στην καταχωρημένη ηλεκτρονική ή ταχυδρομική διεύθυνση του, για το χρονικό διάστημα που θα καθορίσει ο ίδιος. Οι αναφορές περιλαμβάνουν επαρκείς πληροφορίες, ώστε να επιτρέπεται στον Παίκτη να αντιπαραβάλλει αυτές τις αναφορές με τα δικά του αρχεία »
Απαιτούνται περαιτέρω διευκρινίσεις – Πρέπει να οριστεί περίοδος διατήρησης δεδομένων για ενεργούς λογαριασμούς.
Άρθρο 4 Λειτουργία Ηλεκτρονικού Λογαριασμού Παίκτη
Απόψεις / Παρατηρήσεις – Προτάσεις:
1. Στο άρθρο 4.2.6 προβλέπεται ότι απαιτείται η «δυνατότητα αντιπαραβολής των χρεώσεων των πιστωτικών καρτών σε σχέση με τις ήδη γνωστές καταθέσεις». Πρόκειται για πρόβλεψη που εγείρει ζητήματα σαφήνειας και κατανόησης και ως εκ τούτου η εν λόγω πρόβλεψη θα πρέπει να διαγραφεί, δεδομένου ότι δεν υπάρχει καμία δυνατότητα αντιπαραβολής χρεώσεων καρτών πληρωμής με καταθέσεις εφόσον δεν τηρούνται τα πλήρη στοιχεία των καρτών, διότι αυτό απαγορεύεται από τους διεθνείς κανονισμούς ασφαλούς αποδοχής καρτών (PCI DSS) που ορίζονται από τα σχήματα Visa, MasterCard, κ.λπ.
2. Επιπλέον σημειώνεται ότι η ΟΠΑΠ Α.Ε. δεν τηρεί τα νούμερα των καρτών που έχουν χρεωθεί (λόγω PCI compliance) κι ως εκ τούτου δεν μπορούν να γίνουν τέτοιου είδους αντιπαραβολές. Τέλος, η πρόβλεψη του άρθρου 4.2.6 περιορίζεται μόνο στις πιστωτικές κάρτες και δεν γίνεται αναφορά σε χρεωστικές ή προπληρωμένες κάρτες.
3. Στο σημείο γ) του άρθρου 4.7 γίνεται ειδική αναφορά στην πιστωτική κάρτα και όχι σε όλες τις μεθόδους πληρωμής, όπως επίσης και στους υπόλοιπους τύπους καρτών οι οποίες ακολουθούν την ίδια διαδικασία έγκρισης.
4. Στο ίδιο σημείο καθώς και στο σημείο θ) του άρθρου 4.7 αναφέρεται ο όρος «πιστωτικό ίχνος», ο οποίος δεν είναι κατανοητός/δόκιμος. Εναλλακτικά προτείνεται ο όρος «ιστορικό ελέγχου» ή «διαδρομή ελέγχου». Επίσης αναφέρεται λανθασμένα το χρηματοπιστωτικό ίδρυμα του παρόχου ως issuer, ενώ πρόκειται για τον acquirer. Issuer είναι το χρηματοπιστωτικό ίδρυμα του πελάτη. Στο ίδιο σημείο επίσης, αναφέρεται ότι «ο αριθμός της έγκρισης (authorization number) πρέπει να διατηρείται σε ένα αρχείο καταγραφής ελέγχου (audit log)». Η ΟΠΑΠ Α.Ε. παραλαμβάνει το αναγνωριστικό συναλλαγής (transaction ID) και το αποτέλεσμα της έγκρισης (authorization) αλλά όχι τον αριθμό έγκρισης (authorization number). Ο αριθμός έγκρισης (authorization number) αποθηκεύεται στο payment gateway. Η εν λόγω απαίτηση θα πρέπει να προβλέπει ότι η αποθήκευση μπορεί εναλλακτικά να γίνεται και από τον συνεργαζόμενο ΠΥΠ που διοδεύει τις εντολές καταθέσεων των πελατών.
5. Στο σημείο ζ) του άρθρου 4.7 όπου ορίζεται ότι οι πληρωμές καταβάλλονται «στο όνομα του Παίκτη», προτείνεται η εξής αντικατάσταση: «σε λογαριασμό του Παίκτη στον οποίο είναι μοναδικός δικαιούχος ή συνδικαιούχος»
6. Στο σημείο η) του άρθρου 4.7 προτείνεται η παρακάτω προσθήκη στο τέλος της πρώτης πρότασης: «με ανώτατο όριο τους 12 μήνες»