1. ------IND- 2012 0205 GR- DE- ------ 20120427 --- --- PROJET HELLENISCHE REPUBLIK UNABHÄNGIGE VERWALTUNGSBEHÖRDE KOMMISSION ZUR ÜBERWACHUNG UND KONTROLLE VON SPIELEN (E.E.E.P.) DOKUMENT TECHNISCHER NORMEN FÜR GRIECHENLAND INHALT TEIL 1: Spielautomaten TEIL 2: Progressive Jackpots TEIL 3: TEIL 4: Systemserver für Spiele (DSP) und Validierungssysteme Zentraldatenverarbeitungssystem (CPS) TEIL 5: Überwachungs- und Kontrollsystem (SCS) TEIL 6: Bargeldlose Systeme und Spielerverwaltungssysteme TEIL 1: Spielautomaten Version: 1.0 TEIL 1: Spielautomaten Seite 3 KAPITEL 1 1.0 UMWELTRELEVANTE ANFORDERUNGEN UND SICHERHEITSANFORDERUNGEN AN DIE MASCHINE 1.1 Physikalische Sicherheit 1.1.1 Allgemeiner Hinweis Der Spielautomat muss ausreichend widerstandsfähig sein, um einem gewaltsamen Eindringen standzuhalten. 1.2 Sicherheit der Maschine und der Spieler 2.2.1 Allgemeiner Hinweis Die elektronischen und mechanischen Teile und die Planungsprinzipien des Spielautomaten dürfen den Spieler keiner Gefahr seiner körperlichen Unversehrtheit aussetzen. Das unabhängige Zertifizierungslabor liefert keine Erkenntnisse hinsichtlich der Sicherheit und der Prüfung der elektromagnetischen Verträglichkeit (EMV), dies fällt unter die Verantwortung des Produktherstellers oder der Käufer. Solche Sicherheitstests und Prüfungen der elektromagnetischen Verträglichkeit können aufgrund des besonderen normativen Aktes, der Verordnung, des Gesetzes oder des Rechtsaktes erforderlich sein und müssen jeweils von den Parteien durchgeführt werden, die die besagte Maschine herstellen oder kaufen. Das unabhängige Zertifizierungslabor führt keine Tests durch, trägt keinerlei Verantwortung und liefert kein Ergebnis in Verbindung mit diesen konkreten Sachverhalten. 1.3 Einwirkung der Umwelt auf die Integrität des Spiels 1.3.1 Norm über die Integrität des Spiels Das unabhängige Zertifizierungslabor führt bestimmte Tests durch, um zu bestimmen, ob äußere Einwirkungen den fairen Charakter des Spiels gegenüber dem Spieler beeinflussen oder ob sie Möglichkeiten des Betrugs schaffen. Ein TEIL 1: Spielautomaten Seite 4 Spielautomat muss in der Lage sein, den folgenden Tests standzuhalten und dabei sein Spiel ohne Eingriff des Bedieners fortzusetzen: a) Zufallszahlengenerator Der Zufallszahlengenerator und das Verfahren nach dem Zufallsprinzip sollten unbeeinflussbar durch Einwirkungen von außen auf die Maschine, einschließlich elektromagnetischen und elektrostatischen Interferenzen und Funkstörungen, sein. b) Elektrostatische Interferenz Zum Schutz vor einem elektrostatischen Überschlag ist eine Erdung der leitenden Einbauschränke des Spielautomaten in der Art erforderlich, dass die Energie des elektrostatischen Überschlags keine dauerhafte Schädigung oder dauerhafte Hemmung des regulären Betriebs der elektronischen oder anderen Komponenten des Spielautomaten hervorruft. Die Spielautomaten können eine vorübergehende Unterbrechung aufweisen, wenn sie einer bedeutenden elektrostatischen Entladung ausgesetzt sind, die höher als die Entladung des menschlichen Körpers ist, aber sie müssen über die Möglichkeit verfügen, alle ihre Funktionen wiederherzustellen und zu vervollständigen, die unterbrochen wurden, ohne Verluste oder Verfälschungen der Informationen über die Kontrolldaten oder die wichtigen Daten, die mit dem Spielautomaten verbunden sind. Die Prüfungen werden bis zu einem Beanspruchungsgrad von 27 kV durchgeführt. TEIL 1: Spielautomaten Seite 5 KAPITEL 2 2.0 ANFORDERUNGEN AN DIE HARDWARE 2.1 Einführung 2.1.1 Allgemeiner Hinweis Alle Spielautomaten, die durch OPAP A.E. (Organisation für Prognosen bei Fußballspielen AG) und deren Betreiber eingerichtet werden, müssen in jedem Fall durch ein Netzwerk mit dem Zentraldatenverarbeitungssystem (CPS) verbunden sein und Folgendes erfüllen: 2.2 Allgemeine Anforderungen an die Hardware 2.2.1 Allgemeiner Hinweis Alle Spielautomaten müssen folgende Hardware-Anforderungen erfüllen: a) Steuerung durch den Mikroprozessor Die Hardware muss durch einen (1) oder mehrere Mikroprozessoren derart gesteuert werden, dass das Spielergebnis vollständig durch einen Mikroprozessor oder durch ein anderes mechanisches Gerät, wie in Einheit 3.3 „Anforderungen Zufallszahlengenerator (RNG)“ zugelassen, gesteuert wird; und b) Ein/Aus-Schalter Der Ein/Aus-Schalter, der die Stromversorgung steuert, muss sich in einem leicht zugänglichen Bereich innerhalb des Spielautomaten befinden, damit die Stromzufuhr des Spielautomaten nicht von außen durch Betätigen des Ein/Aus-Schalters unterbrochen werden kann. Die Positionen auf dem Ein/Aus-Schalter müssen gekennzeichnet werden. 2.3 Verkabelung der Spielautomaten 2.3.1 Allgemeiner Hinweis Der Spielautomat muss so konzipiert sein, dass seine Versorgungs- und Datenleitungen innerhalb und außerhalb des Spielautomaten so eingebaut sind, dass sie für die Öffentlichkeit nicht zugänglich sind. Dies geschieht aus Gründen der Integrität des Spiels und nicht aus Gesundheits- und Sicherheitsgründen. Hinsichtlich der TEIL 1: Spielautomaten Seite 6 Sicherheit müssen die Kabel und Drähte an einer logischen Stelle eingebaut sein, an der sie sich nicht leicht entfernen lassen. 2.4 Spielautomatenerkennung 2.4.1 Allgemeiner Hinweis Jeder Spielautomat muss außen auf der Konsole ein vom Hersteller angebrachtes Erkennungszeichen tragen, das nicht entfernt werden kann, ohne ein Zeichen von Fremdeinwirkung zu hinterlassen. Das Erkennungszeichen muss folgende Informationen enthalten: a) den Hersteller, b) eine eindeutige Seriennummer, c) die Modellnummer des Spielautomaten, d) das Herstellungsdatum und e) die Zulassungsnummer der Bescheinigung der EEEP (Kommission zur Überwachung und Kontrolle von Spielen) für die Maschine und das auf ihr installierte elektronische Spiel. 2.4.2. Konformitätskennzeichnung Die CE-Konformitätskennzeichnung oder jede andere entsprechende Kennzeichnung muss auf oder in der Nähe der Außenidentifikationsplatte angebracht werden. 2.5 Lichtturm 2.5.1 Lichtturm Am Spielautomat muss ein sichtbares Licht im oberen Bereich installiert sein, das automatisch leuchtet, sobald der Spieler einen Geldbetrag gewonnen oder Guthaben gesammelt hat, der/das nicht automatisch durch die Maschine ausgezahlt wird, sobald eine Fehlerbedingung stattgefunden hat [einschließlich „Door Open“ (Tür geöffnet)] oder sobald der Spieler eine Bedingung des „Call Attendant“ (Aufruf Croupier) aktiviert hat. Für Maschinen wie die „bar-top-style“ ist die gemeinsame Verwendung des Lichtturms mit anderen Spielautomaten oder sein Ersatz durch ein Alarmsignal gestattet. TEIL 1: Spielautomaten Seite 7 2.6 2.6.1 Handhabung der Stromversorgung Plötzliche Spannungserhöhungen Der Spielautomat darf nicht negativ beeinflusst werden, außer durch plötzliche Spannungserhöhungen oder -senkungen von ± 20% der Stromspannung. Anmerkung: Eine Rückstellung der Ausstattung ist nur unter der Voraussetzung gestattet, dass sie nicht beschädigt wird und kein Verlust und keine Veränderung der Bestandteile im Installationsraum stattfinden. Nach der Rückstellung muss das Spiel in seine vorherige Situation zurückkehren. Eine Rückstellung des Spiels in den Endzustand ist unter der Voraussetzung gestattet, dass der Spielverlauf und alle Zähler für Buchguthaben und Logistik das abgeschlossene Spiel anerkennen. 2.6.2 Sicherheiten Die Stromversorgung, die für Spielautomaten verwendet wird, muss durch Sicherungen oder Leitungsschutzschalter geschützt werden. Die Ampere-Einheit aller Sicherungen und Schalter muss sichtbar auf der oder um die Sicherung oder auf dem bzw. um den Schalter angegeben werden. 2.7 Anforderungen an den Umlenker 2.7.1 Allgemeiner Hinweis Bei Spielen, die Münzen oder Spielmarken akzeptieren, muss durch die Software sichergestellt werden, dass der Umlenker die Münzen in die Auszahleinheit oder in die Einwurfsbox lenkt, sobald die Auszahleinheit gefüllt ist. Der Messfühler des Füllstands der Auszahleinheit wird überwacht, um festzustellen, ob eine Änderung am Zustand des Umlenkers vorgenommen werden muss. Sobald sich der Zustand des Messfühlers ändert, oder innerhalb von zehn (10) Spielen nach der Änderung des Zustands muss der Umlenker unverzüglich funktionieren, ohne den Münzfluss zu unterbrechen oder einen Münzstau zu verursachen. Spielautomaten ohne eine Auszahleinheit müssen immer die Münzen in die Einwurfsbox umlenken. 2.8 Anforderungen an die Einwurfsbox TEIL 1: Spielautomaten Seite 8 2.8.1 Allgemeiner Hinweis Wenn der Spielautomat für die Aufnahme von Münzen und Spielmarken ausgestattet ist, müssen folgende Regeln erfüllt werden: a) alle Spielautomaten, die für die Aufnahme von Münzen und Spielmarken ausgestattet sind haben einen getrennten Behälter oder eine Einwurfsbox, damit alle Münzen und Spielmarken, die in die Einwurfsbox umgelenkt werden, gesammelt und aufbewahrt werden, b) ein Einwurfsbehälter muss in einem abgeschlossenen Teil, getrennt von jedem anderen Bereich des Spielautomaten, eingebaut sein, c) in diesem Teil muss es die Möglichkeit der Überwachung der Einwurfsbox geben, selbst wenn dieser Bereich von einer anderen Firma hergestellt wurde. Es ist vorzuziehen, dass die Überwachungsmethode eine Online-Meldungsoption vorsieht. 2.9 Anforderungen an die Außentüren/Außenabschnitte 2.9.1 Allgemeiner Hinweis a) Die Türen müssen aus einem Material beschaffen sein, das geeignet ist, nur den gesetzlich gestatteten Zugang zum Inneren der Konsole zuzulassen (d. h. Schlösser, Türen und ihre entsprechenden Fugen müssen in der Lage sein, bei bestimmten und nicht berechtigten Zugangsversuchen zum Inneren des Spielautomaten Widerstand zu leisten und Zeichen der Anwendung von Gewalt zu hinterlassen, wenn solche Versuche unternommen wurden). b) Die Abschottung zwischen der Konsole und der Tür zu einem abgeschlossenen Bereich muss so konzipiert sein, dass sie dem Eindringen mit einem Gegenstand standhält. c) Alle Außentüren müssen geschlossen sein und durch Türsensoren überwacht werden, d. h. sobald sie geöffnet werden, wird das Spiel angehalten, jede Annahme wird außer Betrieb und die Maschine in den Fehlermodus gesetzt, was zumindest zum Leuchten des Lichtturms, falls vorhanden, und zum Versenden einer Fehlermeldung zum OnlineSystem, falls vorhanden, führt. d) Ein Einführen eines Geräts in den Spielautomaten, das den Türsensor deaktiviert, sobald sich die Tür des Spielautomaten schließt, darf nicht möglich sein, ohne ein Zeichen der Anwendung von Gewalt zu hinterlassen. e) Im Fall, dass ein Türsensorensystem abgeschaltet wird, muss der Spielautomat diesen Zustand als geöffnete Tür interpretieren. TEIL 1: Spielautomaten Seite 9 f) Das System der Sensoren muss eine Außentür als geöffnet erkennen, sobald sie sich aus der verriegelten und geschlossenen Position bewegt. g) Wenn eine Stromspannung vorhanden ist, muss der Spielautomat den Türzugang an ein Online-System melden. 2.10 Die Logik-Tür und der Logik-Bereich 2.10.1 Allgemeiner Hinweis Der Logik-Bereich ist ein getrennter, abgeschlossener Bereich der Kabine (mit einer eigenen, verschließbaren Tür), in dem die elektronischen Komponenten, die das Potenzial haben, die wichtigsten Funktionen des Spielautomaten zu beeinflussen, eingerichtet sind. Es kann mehr als einer (1) dieser entsprechenden Logik-Bereiche in einem Spielautomaten vorhanden sein. Die Logik-Tür muss überwacht werden. 2.10.2 Elektronische Komponenten Die elektronischen Komponenten, die in einem oder mehreren Logik-Bereichen eingerichtet werden müssen, sind: a) ein Hauptprozessor (CPU) und ein Gerät zum Speichern des Programms mit einer Software, die die Integrität des Spieles beeinflussen kann, wie zum Beispiel die Daten des Spiels, die Logistik, das Kommunikationssystem und die Peripheriegeräte der Firmware, die wesentlich die Funktion und die Berechnungen des Spiels, die Darstellung des Spiels, die Festlegung des Spielergebnisses, die Spiellogistik, die Einnahmen oder die Sicherheit beeinflussen oder daran beteiligt sind. Mögliche Ausnahmen werden auf der Grundlage des jeweiligen Sachverhalts beurteilt, b) die elektronische Kommunikationssteuerung und die Komponenten, die das Gerät zum Speichern des Kommunikationsprogramms aufnehmen. Mögliche Ausnahmen werden auf der Grundlage des jeweiligen Sachverhalts beurteilt, und c) das Gerät zur Datensicherung des Speichers NV. Falls möglich, muss dieses innerhalb eines abgeschlossen Logik-Bereichs eingerichtet werden. 2.10.3 Sicherung des Logik-Bereichs Der Logik-Bereich der elektronischen Komponente, die die Elemente der vorherigen Einheit 2.10.2 aufnimmt, muss die Möglichkeit der Versiegelung unter Anwendung einer Methode, die von der zuständigen Behörde genehmigt ist, bieten. TEIL 1: Spielautomaten Seite 10 2.10.4 Zugang zum Logik-Bereich Der/Die Logik-Bereich(e) muss/müssen ein Nachweissystem der Fehlerbedingung Offene Tür beinhalten, bei dem der Spielautomat deaktiviert wird und das Zentralkommunikationssystem benachrichtigt wird. a) Wenn die Zugangsnachweisgeräte in diesem Bereich an eine Stromquelle für normalen Betrieb angeschlossen sind und es zu einer Unterbrechung der Stromversorgung kommt, muss dies als Zugang zum Schrank des Logik-Bereichs betrachtet werden, die Spielautomaten müssen deaktiviert werden und das entsprechende Zentralsystem muss nach der Wiederherstellung der Stromversorgung benachrichtigt werden. b) Das Nachweissystem muss so konzipiert werden, dass es einen Zugang zum Schrank des Logik-Bereichs meldet. c) Wenn ein Logik-Bereich vollständig aus der Konsole des Spielautomaten entfernt werden kann, ohne geöffnet zu werden und ohne dass ein Zugang zum Logik-Bereich stattgefunden hat, muss dieser Logik-Bereich mit einem Gerät oder Geräten ausgestattet sein, die das Entfernen nachweisen kann/können. 2.11 Fächer für Münzen/Spielmarken und Zahlungsmittel 2.11.1 Allgemeiner Hinweis Die Bereiche der Münzen oder Spielmarken und Zahlungsmittel müssen getrennt vom Zentralbereich der Konsole verschließbar sein. 2.11.2 Zugang zu den Zahlungsmitteln a) Der Zugang zum Bereich der Zahlungsmittel muss durch ein zusätzliches Schloss mit Schlüssel geschützt werden, das mit Sensoren ausgestattet ist, die das Öffnen/Schließen oder das Entfernen des Ablagefachs unter der Voraussetzung anzeigen, dass die Maschine an die Stromversorgung angeschlossen ist. b) Der Zugang zum Bereich der Zahlungsmittel muss durch zwei (2) Schließvorgänge (durch die entsprechende Außentür und eine weitere Tür oder ein Schloss) erfolgen, bevor Zahlungsmittel entnommen werden können. TEIL 1: Spielautomaten Seite 11 2.12 Programmspeicher, Strukturspeicher und nicht entfernbare Geräte, die für die Speicherung des Programmspeichers verwendet werden. 2.12.1 Anforderungen an den Strukturspeicher (NV) Folgende Anforderungen bestehen für den Speicher für Spielautomaten. a) Der Spielautomat muss in der Lage sein, die Daten aller wichtigen Speicher, die hier definiert werden, zu speichern und diese Daten mit den entsprechenden genauen Informationen dreißig (30) Tage nach Trennung des Spielautomaten von der Stromversorgung beizubehalten. b) Nur für mit Akku betriebene Geräte gilt: Wenn die Reservebatterie als Quelle der „Offchip“-Batterie eingesetzt wird, muss diese höchstens innerhalb von vierundzwanzig (24) Stunden vollständig wieder aufgeladen werden. Die Lebensdauer im Lager sollte mindestens fünf (5) Jahre betragen. c) Der Strukturspeicher, der die Reservestromquelle des Off-chips zur Erhaltung seines Inhalts verwendet, muss, wenn seine Stromversorgung ausgeschaltet wird, ein Nachweissystem bereitstellen, dessen Methode es der Software ermöglicht, den Zustand zu ermitteln und zu reagieren, wenn der Batteriespiegel niedrig ist, bevor die Batterie in einen Zustand gelangt, in dem sie nicht mehr in der Lage ist, den entsprechenden Speicher zu versorgen. d) Die Löschung des Strukturspeichers muss einen Zugang zum verschlossenen LogikBereich vorsehen oder eine andere sichere Methode unter der Voraussetzung, dass sie durch einen Regulierungsträger kontrolliert werden kann, bereitstellen. 2.12.2 Funktion der Speicherrückstellung NV Das Verfahren der Speicherrückstellung NV muss durch eine zertifizierte Methode zum Löschen von Inhalten abgeschlossen werden. Die Methode zum Löschen von Inhalten muss alle wichtigen Speicherpositionen in einem Vorgabemodus zurückstellen können. Alle Speicherpositionen, die gemäß dem Löschvorgang von Inhalten des Speichers NV gelöscht werden, müssen in jedem Fall wieder vollständig hergestellt werden können. Bei Spielen mit der Methode der teilweisen Löschung von Inhalten muss die selektive Wiederherstellung genau und nachprüfbar sein. TEIL 1: Spielautomaten Seite 12 2.12.3 Vorwählbare Einstellung der Walzen oder des Spielmonitors Die vorwählbare Einstellung der Walzen oder der Spielmonitor darf nicht direkt nach der Rückstellung des Strukturspeichers den höchsten Preis in einer ausgewählten Linie anzeigen. Der vorwählbare Spielmonitor sollte zu Spielbeginn auch keinen höchsten Preis anzeigen. Dies gilt nur für das Basisspiel und nicht für eventuelle sekundäre Belohnungen, aber nicht für Spiele oder Zahlungsanzeigetafeln, die nach dem ursprünglichen Spiel ausgewählt wurden. 2.12.4 Einstellungen/Parametrisierungen Es darf nicht möglich sein, die Einstellungen der Parametrisierung zu ändern, die einen Widerspruch oder einen Fehler bei den elektronischen Buchungszählern ohne vorherige Löschung des Strukturspeichers verursacht. Dennoch können Änderungen des Nennwerts durch eine sicheres Mittel, das den Zugang zum geschlossenen Logik-Bereich ermöglicht, oder durch eine andere sichere Methode vorgenommen werden, unter der Voraussetzung, dass diese durch eine Regulierungsbehörde kontrolliert werden kann (also durch eine Prüfung des Zugangscodes oder auf Basis der PIN). 2.13 Inhalte des kritischen Speichers 2.13.1 Allgemeiner Hinweis Im kritischen Speicher werden alle erforderlichen Daten, die für den ständigen Betrieb des Spielautomaten notwendig sind, gespeichert. Diese beinhalten insbesondere: a) alle erforderlichen elektronischen Zähler, einschließlich der Daten der letzten Banknoten und der Anzahl der Aktivierungen und Öffnungen der Tür, b) Buchguthaben, c) Daten der Parametrisierung des Spielautomaten/Spieles, d) Informationen über die letzten zehn (10) Spiele mit den Spielergebnissen (einschließlich des aktuellen Spiels, sollte es nicht abgeschlossen sein), e) Zustand der Software (ihr letzter physiologischer Zustand, ihr letzter Zustand oder der Tilt-Zustand, in dem die Software vor der Unterbrechung war), f) Informationen über die Parametrisierung der Zahlungsanzeigetafel, die im Speicher hinterlegt sind, und TEIL 1: Spielautomaten Seite 13 g) es wird empfohlen, ein Archiv über zumindest die letzten 100 wichtigen Ereignisse im kritischen Speicher zu führen. 2.14 Erhaltung des kritischen Speichers 2.15.1 Allgemeiner Hinweis Die Erhaltung der Daten, die im kritischen Speicher gespeichert werden, muss mit einer Methode erfolgen, die es ermöglicht, Fehler zu erkennen. Die Methode kann Signaturen, Prüfsummen, teilweise Prüfsummen, mehrere Kopien, Datumseinträge und/oder die effiziente Nutzung von Validierungscodes umfassen. Anmerkung: Die Einheit „Erhaltung des kritischen Speichers“ schließt nicht die Verwendung anderer Methoden zur Datenspeicherung aus, wie Festplatten für die Erhaltung wichtiger Daten. Diese alternativen Speichermedien sollten die Integrität der wichtigen Daten gemäß den Bestimmungen dieser Einheit gewährleisten, dasselbe gilt für die entsprechende Technologie, die für die Datenspeicherung verwendet wird. 2.14.2 Ausführliche Kontrollen Ausführliche Kontrollen des kritischen Speichers sollten nach einem Spielstart und auf jeden Fall vor der Anzeige des Spielergebnisses an den Spieler vorgenommen werden. Die ständige Überwachung des kritischen Speichers gegen Korruption wird empfohlen. Diese Methode soll mit einem außergewöhnlich hohen Genauigkeitsgrad Versagen melden. 2.14.3 Nicht wiederherstellbarer kritischer Speicher Eine nicht wiederherstellbare Korruption des kritischen Speichers muss zu einer Fehlermeldung führen. Der Speicherfehler darf nicht automatisch gelöscht werden und muss zu einem Tilt-Zustand führen, dies erleichtert die Identifizierung des Fehlers und führt zur Unterbrechung des Betriebs des Spielautomaten. Der kritische Fehler im Speicher sollte darüber hinaus eine sofortige Unterbrechung einer eventuell nach außen bestehenden Kommunikation des Spielautomaten hervorrufen. Im Fall eines Fehlers des nicht wiederherstellbaren kritischen Speichers muss das vollständige Löschen des Speichers NV durch eine autorisierte Person erfolgen. TEIL 1: Spielautomaten Seite 14 2.14.6 Speicher NV und Raum des Programmspeichergeräts Der Raum für den Strukturspeicher, der nicht von Bedeutung für die Sicherheit des Spielautomaten ist (also Video oder Ton), muss nicht validiert werden. 2.15 Anforderungen an das Programmspeichergerät 2.15.1 Allgemeiner Hinweis Der Begriff Programmspeichergerät wird definiert als das Medium oder ein elektronisches Gerät, das die wichtigen Bestandteile des Kontrollprogramms enthält. Die Gerätetypen umfassen insbesondere EPROM, Compact-Flash-Karten, optische Datenspeicher, Festplatten, fest eingebaute Platten, USB-Sticks usw. Diese Teilliste wird bei Bedarf geändert und an die Entwicklung der Technologie der Speichermedien angepasst. Alle Programmspeichergeräte sollten: a) in einem vollständig geschlossenem und verschlossenem Logik-Raum eingerichtet werden, b) mit eindeutigen und ausreichenden Informationen über die Version der Software und Änderungen der Informationen, die auf dem Gerät gespeichert werden, gekennzeichnet werden. Im Fall von Speichermedien, auf denen mehrere Programme gespeichert sind, ist es zulässig, diese Informationen durch ein Croupier-Menü darzustellen, c) sich selbst nach jedem Neustart des Prozessors validieren und d) sich selbst bei ihrer erstmaligen Verwendung validieren, e) CD-ROM, DVD und andere Programmspeicher, basierend auf optische Datenspeicher: i. dürfen keine wiederbeschreibbaren Datenspeicher sein und ii. die „Sitzung“ muss abgeschlossen werden, um einem versehentlichen Überschreiben vorzubeugen. 2.16 Anforderungen an das Kontrollprogramm 2.16.1 Validierung des Kontrollprogramms a) EPROM-basierte Programmspeicherung: TEIL 1: Spielautomaten Seite 15 i. Spielautomaten mit Kontrollprogrammen, die auf einem oder mehreren EPROMs eingerichtet sind, sollten über einen Validierungsmechanismus für die Kontrollprogramme und Daten verfügen. Der Mechanismus muss zumindest eine Prüfsumme verwenden. Dennoch wird die Verwendung von Berechnungen der zyklischen Redundanzprüfung (Cyclic Redundancy Check / CRC) (mindestens16 bit) empfohlen. b) Bei der nicht EPROM-basierten Programmspeicherung müssen folgende Regeln eingehalten werden: i. Die Software muss bei jedem Zugang einen Mechanismus zur Erkennung nicht befugter und korrumpierter Software-Elemente bereitstellen und danach deren Ausführung oder die Verwendung dieser Elemente im Spielautomaten verhindern. Der Mechanismus muss einen Verschlüsselungsalgorithmus verwenden, der eine zusammenfassende Meldung von mindestens 128 bits erzeugt, ii. im Fall eines Scheiterns der Autorisierung, und nachdem das Spiel aktiviert wird, muss der Spielautomat sofort in den Fehlermodus gesetzt werden und es muss eine Fehlermeldung angezeigt werden. Dieser Fehler muss den Bediener zum Eingreifen und zum Löschen auffordern und er wird nicht gelöscht, bis die Daten nach dem Eingriff des Bedieners richtig autorisiert werden oder nachdem das Medium ersetzt oder korrigiert wird und der Speicher des Spielautomaten geleert wurde. Anmerkung: Die Validierungsmechanismen des Kontrollprogramms werden auf der Grundlage des jeweiligen Sachverhalts beurteilt und von der Regulierungsbehörde und dem unabhängigen Zertifizierungslabor auf Grund der entsprechenden industriellen Sicherheitsstandards genehmigt. c) Wechselmedien müssen folgende Regeln zusätzlich zu den Anforderungen, die in der Einheit 2.16.1(b) beschrieben werden, erfüllen: i. Verwendung eines Mechanismus, der die nicht genutzten oder nicht zugewiesenen Bereiche der Wechselmedien auf ungewollte Programme oder Daten prüft und die Struktur der Medien auf ihre Integrität testet. Der Mechanismus muss ein Weiterspielen des Spiels am Spielautomaten verhindern, sobald Unregelmäßigkeiten und Inkonsistenzen bei den Daten oder der Struktur festgestellt werden, TEIL 1: Spielautomaten Seite 16 ii. Verwendung eines Mechanismus zur Aufzeichnung eines Protokolls, in welchem jedes Mal, wenn auf einem veränderbaren Medium dem Kontrollprogramm eine Komponente hinzugefügt, eine Komponente von ihm entfernt oder verändert wird, dieser Vorgang erfasst wird. Dieses Protokoll muss zumindest die letzten zehn (10) Änderungen auf dem Medium erfassen und in jedem Protokoll müssen das Datum und die Uhrzeit der Aktion, die Erkennung der beeinflussenden Komponente, der Grund der Umwandlung und einige entsprechende Validierungsinformationen enthalten sein. Anmerkung: Die Speicherung eines veränderten Programms umfasst nicht die Speichergeräte, die als veränderbar angesehen werden und die unter Anwendung einer Hardware oder einer Software nur „zum Lesen“ eingesetzt werden. 2.16.2 Erkennung des Programms Die Programmspeichergeräte, die keine Möglichkeit zur Änderung haben, während sie im Spielautomaten bei regulärem Betrieb installiert sind, müssen eindeutig mit ausreichenden Informationen zur Erkennung der Software und des Aktualisierungsstands der in den Spielautomaten gespeicherten Informationen gekennzeichnet werden. Siehe auch Einheit 2.15 über konkrete Informationen. 2.17 Unabhängige Validierung des Kontrollprogramms 2.17.1 Unabhängige Validierung des Kontrollprogramms Das Gerät muss die Möglichkeit zur Durchführung einer unabhängigen Kontrolle der Integrität der Software des Gerätes durch eine externe Quelle zulassen. Dies ist für alle Kontrollprogramme erforderlich, die die Integrität des Spiels beeinflussen können. Es muss über die Validierung von einem dritten Gerät, das in die Software des Spiels integriert werden kann (siehe die unten stehende ANMERKUNG), über einen Schnittstellenanschluss dritter Geräte für die Validierung der Medien oder über die Möglichkeit einer Entfernung der Medien zur Validierung außerhalb des Spielautomaten erfolgen. Die Prüfung der Integrität stellt ein Validierungsmittel der Software für die Erkennung und die Validierung des Programms vor Ort dar. Vor der Genehmigung der Geräte muss das unabhängige Zertifizierungslabor die Methode zur Prüfung der Integrität beurteilen. TEIL 1: Spielautomaten Seite 17 Anmerkung: Wenn das Identifizierungsprogramm in die Software des Spiels integriert ist, muss der Hersteller vor der Einreichung eine schriftliche Bestätigung vom unabhängigen Zertifizierungslabor erhalten. Validierung des Systems Wenn ein Zentralsystem die „Online-Validierung“ zur Validierung der Spielautomaten unterstützt, muss das Gerät auch ein Validierungssystem unterstützen und vollständig an das entsprechende Zentralsystem angepasst sein. 2.18 Leiterplatte (PCB) 2.18.1 Anforderungen zur Erkennung der PCB Die Anforderungen zur Erkennung der PCB umfassen Folgendes: a) jede Leiterplatte (PCB) muss anhand einer Benennung (oder Nummer) und ihrer Revisionsebene erkennbar sein. Soweit durchführbar, sollte diese Erkennung jederzeit möglich sein, ohne dass die PCB aus dem Spielautomaten entfernt werden muss, b) die höchste Revisionsebene der Baugruppe der PCB muss erkennbar sein, c) wenn Spuren und/oder Patchkabel der PCB hinzugefügt werden, muss der Baugruppe eine neue Revisionsnummer oder -ebene erteilt werden, d) die Hersteller müssen sicherstellen, dass die Baugruppe der Leiterplatte, die in ihren Spielautomaten verwendet wird, gemäß den Dokumentationen und zertifizierten Versionen den Leiterplatten, die durch das unabhängige Zertifizierungslabor bewertet und genehmigt wurden, funktionell angepasst ist, und e) das Hinzufügen des Herstellernamens, sein Logo oder sein Symbol wird empfohlen. 2.19 Patchkabel 2.19.1 Dokumentation der Patchkabel und Spuren Alle Patchkabel und Spuren müssen ordnungsgemäß im entsprechenden Wartungshandbuch und/oder im Wartungsblatt dokumentiert und dem unabhängigen Zertifizierungslabor vorgelegt werden. Dies steht erforderlichen Reparaturen vor Ort nicht entgegen. TEIL 1: Spielautomaten Seite 18 2.20 Schalter und Steckbrücken 2.20.1 Allgemeiner Hinweis Wenn ein Spielautomat mit Schalter und Steckbrücken ausgestattet ist, müssen folgende Regeln erfüllt werden: a) Alle Schalter und Steckbrücken der Hardware müssen vollständig für die Bewertung durch ein unabhängiges Zertifizierungslabor dokumentiert werden, b) Schalter und Steckbrücken der Hardware, die für eine gerichtliche Zuständigkeit Einstellungen der Parametrisierung verändern können, die Zahlungsanzeigetafeln, der Nennwert des Spieles oder die Auszahlungsbeträge müssen die geltenden Vorschriften dieses Schriftstücks erfüllen und sich innerhalb eines Logik-Bereichs des Spielautomaten befinden. Dies betrifft auch Änderungen beim Höchstpreis (insbesondere dem progressiven), bei ausgewählten Einstellungen oder anderen Auswahlarten, die den Auszahlungsbetrag beeinflussen könnten. 2.21 Geräteausstattungen, die für die Anzeige der Spielergebnisse verwendet werden 2.21.1 Allgemeiner Hinweis Wenn das Spiel mechanische oder elektromechanische Geräte umfasst, die für die Anzeige der Spielergebnisse verwendet werden, müssen folgende Regeln beachtet werden: a) Die elektromechanisch kontrollierten Anzeigegeräte (z. B. Walzen oder Räder) müssen über eine stabile, geschlossene Regelschleife verfügen, damit eine Fehlfunktion der Software und/oder jede Form eines Interventionsversuchs in den regulären Betrieb des Geräts erkannt wird. Diese Anforderung soll sicherstellen, dass eine Fehlermeldung erzeugt wird, wenn sich eine Walze oder ein Rad nicht in der vorgesehenen Stellung befindet, b) die mechanischen Baugruppen (z. B. Walzen und Räder) sollten über einen Mechanismus verfügen, der die korrekte Platzierung der grafischen Darstellung der Baugruppe gewährleistet, TEIL 1: Spielautomaten Seite 19 c) die Monitore sollten so beschaffen sein, dass die Gewinn bringende Kombination der Symbole den Auszahlungslinien oder anderen Anwendungszeichen entspricht, und d) die mechanische Baugruppe sollte so beschaffen sein, dass sie nicht durch andere Komponenten beeinflusst werden kann. 2.22 Videoüberwachung/Tastbildschirme 2.22.1 Allgemeiner Hinweis Für alle Tastbildschirme zur Videoüberwachung müssen folgende Regeln beachtet werden: a) Alle Tastbildschirme müssen genau sein und, nachdem sie kalibriert wurden, diese Genauigkeit für mindestens den vom Hersteller empfohlenen Wartungszeitraum beibehalten, b) ein Bildschirm sollte durch eine sicher Methode neu kalibriert werden können, ohne dass dazu ein Zugang zur Konsole des Spielautomaten, außer das Öffnen der Haupttür, erforderlich ist, c) es dürfen auf dem gesamten Bildschirm keine verborgenen oder nicht dokumentierten Tasten/Kontaktfelder, die das Spiel und/oder das Spielergebnis beeinflussen könnten, vorhanden sein, es sei denn, sie werden durch die Spielregeln vorgesehen. 2.23 Kartenlesegeräte 2.23.1 Allgemeiner Hinweis Alle Kartenlesegeräte müssen so beschaffen sein, dass sie die Einführung jeder gültigen Spielerkarte im gegebenen Fall erkennen, und sie müssen eine Methode zur Aktivierung der Software des Spielautomaten für die Auswertung und Ausführung der entsprechenden Aktionen bei gültigem bzw. ungültigem Einführen zur Verfügung stellen. Das/Die Kartenlesegerät(e) sollte(n) elektronisch so eingestellt werden, dass es/sie nur die Einführung von gültigen Karten gewährleistet/gewährleisten und alle anderen ablehnt/ablehnen. Das System der Karteneinführung muss so aufgebaut sein, dass es Schutz vor Vandalismus, Missbrauch und Betrug bietet. Außerdem sollten die Kartenaufnahmegeräte an folgende Bestimmungen für alle zugelassenen Medientypen angepasst werden: TEIL 1: Spielautomaten Seite 20 a) Die Spielerkarte muss zu Beginn eines jeden Spiels identifiziert werden. Die Methode der Identifizierung und alle weiteren Sicherheitseinstellungen müssen nachweislich einen wirksamen Schutz gegenüber unbefugtem Zugang zu den persönlichen Daten der Spieler bieten, b) im Fall der PIN-Zugangsmethode muss bei dreimaliger falscher PIN-Eingabe die Ablehnung der Karte mit einer entsprechend angezeigten Nachricht an den Spieler erfolgen. Diese Nachricht kann am Spielautomaten und/oder am Kartenlesegerät angezeigt werden, c) Aktualisierung des Guthabenzählers bei Einführung der Karte Dem Spieler sollte die Möglichkeit zur Verwendung einer Prepaid-Karte oder einer persönlichen Spielerkarte anstatt Bargeld angeboten werden. Das Auslesen der Daten der Prepaid-Karten oder der persönlichen Spielerkarten muss in Verbindung mit einer gleichzeitigen unabhängigen Zertifizierung der Eindeutigkeit der entsprechenden Daten durchgeführt werden, d) Sicherheitseigenschaften des Kartenlesegeräts Jedes Kartenlesegerät sollte so konzipiert sein, dass betrügerische Praktiken wie z. B. die Einführung von Fremdkörpern und andere Manipulationen, die als Betrugsmethoden angesehen werden können, verhindert werden. Es sollte eine Methode zur Erkennung gefälschter Karten angewendet werden, e) Voraussetzungen für die Kartenannahme Die Kartenlesegeräte müssen Mechanismen zur Verhinderung der Kartenannahme durch das Gerät (also Ablehnung der Karte) anwenden, wenn eine Einführung in Zeiten erfolgt, in denen der Spielautomat aus beliebigen Gründen außer Betrieb ist (bekannt als „lockout“). Andere Situationen wie z. B. die Fehlerbedingungen - einschließlich Öffnen der Tür, Überwachungsfunktion und Partie des Spiels - sollten das System des Kartenlesegeräts deaktivieren, f) Fehlerbedingungen der Kartenlesegeräte Alle Spielautomaten und/oder Kartenlesegeräte müssen in der Lage sein, folgende Fehlerbedingungen zu erkennen und anzuzeigen (für die Kartenlesegeräte ist die Deaktivierung oder das Blinken der Lampen in Bezug auf dasselbe Kartenlesegerät gestattet): i. Kartenblockierung, ii. Versagen der Kommunikation mit dem Kartenlesegerät, iii. Fehlfunktion des Kartenlesegeräts, die nicht oben definiert wurde. TEIL 1: Spielautomaten Seite 21 2.24 Einzahleinheiten für Münzen 2.24.1 Allgemeiner Hinweis Wenn ein Spielautomat mit einer Einzahleinheit für Münzen/Spielmarken ausgestattet ist, muss diese Einheit die Marken/Spielmarken anhand ihrer metallischen Beschaffenheit, ihrer Masse, ihrer Zusammensetzung oder anhand eines gleichwertigen Verfahrens für die sichere Identifizierung einer gültigen Münze/Spielmarke erkennen und entsprechend annehmen oder ablehnen. Außerdem müssen folgende Regeln eingehalten werden: a) Jede Einzahleinheit für Münzen muss Einstellungsmöglichkeiten für die Annahme von bestimmten Währungen, die von der Regulierungsbehörde ausgewählt werden, haben, b) eine entsprechende Kennzeichnung, die die akzeptierten Geldwerte der Münzen anzeigt, muss am Kopf der Einzahleinheit für Münzen angebracht werden, c) Aktualisierung des Guthabenzählers bei Einführung von Münzen/Spielmarken Jede gültige eingeführte Münze/Spielmarke muss dem tatsächlichen Geldwert entsprechen oder das entsprechende Guthaben, das für den Nennwert erstellt wurde, berücksichtigen, das für den Guthabenzähler des Spielers für das laufende Spiel oder für den Zähler der Einsätze verwendet wird. Wenn dieses sofort als Guthaben aufgezeichnet wird, muss die Umrechnung sichtbar oder leicht feststellbar am Spielautomaten angezeigt werden, d) Sicherheitseigenschaften/Fehlerbedingungen der Einzahleinheiten für Münzen/Spielmarken Jede Einzahleinheit für Münzen sollte so konzipiert sein, dass betrügerische Praktiken wie beispielsweise „slugging“ (Falschmünzen), „stringing“ (Münzrückzug), die Einführung von Fremdkörpern und andere Manipulationen, die als Betrugsmethoden angesehen werden können, verhindert werden. Es müssen entsprechende Fehlerbedingungen erzeugt werden und die Einzahleinheit für Münzen muss deaktiviert werden, e) Schneller Münzeinwurf Der Spielautomat sollte in der Lage sein, schnell eingeworfene Münzen/Spielmarken oder angesammelte Münzen/Spielmarken so zu verarbeiten, dass ein Vorkommen von Betrug ausgeschaltet werden kann. Münzen, die sich zu schnell bewegen und daher nicht auf dem Guthabenzähler des Spielers registriert werden können, sollten an den Spieler zurückgegeben werden, f) Bewegungsrichtung Messfühler TEIL 1: Spielautomaten Der Spielautomat sollte über geeignete Messfühler Seite 22 verfügen, die die Bewegungsrichtung und Geschwindigkeit steuern, mit der die Münze/Spielmarke in die Aufnahmeeinheit wandert. Wenn sich eine Münze/Spielmarke zu langsam oder in die falsche Richtung bewegt, muss der Spielautomat eine entsprechende Fehlbedingung für mindestens dreißig (30) Sekunden anzeigen oder von einem Croupier gelöscht werden, g) ungültige Münzen/Spielmarken Münzen/Spielmarken, die von der Einzahleinheit als ungültig erkannt werden, müssen an das Münzenfach zurückgewiesen werden und dürfen nicht als Guthaben gezählt werden, h) Fehlerbedingungen der Einzahleinheit für Münzen Die Einzahleinheiten für Münzen müssen über einen Mechanismus verfügen, der es der Software erlaubt, die unten stehenden Situationen zu erkennen und darauf zu reagieren: i. Blockierung des Münzeinwurfs, ii. Blockierung der Münzrückgabe, iii. falsch eingeführte Münze (die Münze bewegt sich in die falsche Richtung der Einzahleinheit) und iv. Münze zu langsam. Anmerkung: Es ist gestattet, einen Münzstau, eine falsch eingeführte Münze und eine zu langsam eingeführte Münze als allgemeinen Münzeinführungsfehler anzuzeigen. 2.25 Validierungseinheiten für Banknoten 2.25.1 Validierungseinheiten für Banknoten Alle Geräte zur Annahme von Banknoten müssen so beschaffen sein, dass sie die Einführung einer gültigen Banknote, von Coupons, Belegen oder anderen zulässigen Wechselscheinen im gegebenen Fall erkennen und sie müssen eine Methode zur Aktivierung der Software des Spielautomaten für die Auswertung und Ausführung der entsprechenden Aktionen bei einer gültigen oder ungültigen Einführung zur Verfügung stellen. Das Banknotenannahmegerät sollte elektronisch so eingestellt sein, dass es die Annahme nur von gültigen, legal angebotenen Banknoten, Coupons, Belegen oder anderen zulässigen Wechselscheinen gewährleistet und alle anderen Elemente ablehnt. Abgelehnte Banknoten, Belege, Coupons oder andere zulässige Wechselscheine müssen an den Spieler zurückgegeben werden. Bei Belegen handelt es sich um Nachweise in Papierform, die als Währungseinheiten TEIL 1: Spielautomaten Seite 23 gewertet werden und die in Bargeld eingelöst oder als Guthaben im Spielautomaten umgetauscht werden können. Bei Coupons handelt es sich um Nachweise in Papierform die ursprünglich zu Werbezwecken eingesetzt werden und die einen einlösbaren oder auch keinen einlösbaren Wert haben können. Das System der Einführung von Banknoten muss so aufgebaut sein, dass es Schutz gegen Vandalismus, Missbrauch und Betrug bietet. Außerdem sollten die Banknotenannahmegeräte an folgende Bestimmungen für alle zugelassenen Medientypen angepasst sein: g) Jede eingeführte gültige Banknote, jeder Coupon, Beleg oder andere zulässige Wechselschein muss dem tatsächlichen Geldwert entsprechen oder das entsprechende Guthaben für den Nennwert, das für den Guthabenzähler des Spielers verwendet wird, berücksichtigen, h) jede Validierungseinheit für Banknoten muss für den Bediener Einstellmöglichkeiten für die Annahme von bestimmten Währungen, die von der Regulierungsbehörde gestattet werden, haben, i) eine entsprechende Kennzeichnung, die die Nennwerte der Banknoten anzeigt (also €5, €10 und €20), muss am Kopf der Validierungseinheit für Banknoten angebracht werden, j) Aktualisierung des Guthabenzählers bei Einführung von Banknoten Das Guthaben soll nur übertragen werden, wenn: i. die Banknote oder ein anderer Wechselschein den Punkt, an dem sie/er angenommen wurde, durchlaufen hat und abgelegt wurde und ii. die Einzahleinheit die Meldung „Unwiderrufliche Ablage“ an den Spielautomaten gesendet hat, k) Sicherheitseigenschaften der Validierungseinheit für Banknoten Jede Validierungseinheit für Banknoten sollte so konzipiert sein, dass betrügerische Praktiken wie z. B. „stringing“ (Münzrückzug), die Einführung von Fremdkörpern und andere Manipulationen, die als Betrugsmethoden angesehen werden können, verhindert werden. Es sollte eine Methode zur Erkennung von Falschgeld angewendet werden, f) Anforderungen an die Guthabenannahme Die Annahme von Banknoten, Belegen, Coupons oder anderer zulässiger Wechselscheine zur Gutschrift auf dem Guthabenzähler sollte erst nach Aktivierung des Spielautomaten und erst, wenn er spielbereit ist, möglich TEIL 1: Spielautomaten Seite 24 sein. Andere Situationen wie z. B. die Fehlerbedingungen - einschließlich Öffnen der Tür, Überwachungsfunktion und Partie des Spiels - sollten das System der Validierungseinheit für Banknoten deaktivieren, g) Fehlerbedingungen der Validierungseinheit für Banknoten Alle Spielautomaten und/oder Validierungseinheiten für Banknoten müssen in der Lage sein, folgende Fehlerbedingungen zu erkennen und anzuzeigen (für die Validierungseinheiten für Banknoten ist die Deaktivierung bzw das Blinken der Lampen in Bezug auf das Kartenlesegerät gestattet): iv. Ablagefach voll - Die Verwendung der ausdrücklichen Meldung „Ablagefach voll“ (stacker full) wird nicht empfohlen, da dies Sicherheitsfragen hervorrufen kann. Statt dessen wird die Meldung „Fehlfunktion der Validierungseinheit für Banknoten“ oder Ähnliches empfohlen, v. Blockierung Banknote, vi. Versagen der Kommunikation mit der Validierungseinheit für Banknoten, vii. offene Ablagefachtür (die Ablagefachtür ist die Tür unmittelbar vor dem Zugang zur installierten Kasse/Ablage), viii. Ablagefach wurde entfernt und ix. Fehlfunktion der Validierungseinheit für Banknoten, die nicht oben definiert wurde. 2.25.2 Kommunikation Alle Validierungseinheiten für Banknoten müssen mit dem Spielautomaten unter Verwendung eines bidirektionalen Kommunikationsprotokolls kommunizieren. In dem Fall, dass die Software der Validierungseinheit für Banknoten einen Online-Download ermöglicht, müssen entsprechende Medien vorhanden sein, die die Validierung der Software, die mit der Validierungseinheit für Banknoten in Verbindung steht, durch eine sichere Signaturprüfungsmethode ermöglichen. 2.25.3 Werkseinstellungen der Validierungseinheiten für Banknoten Wenn die Validierungseinheiten für Banknoten ausschließlich für Werkseinstellungen ausgelegt wurden, darf es für die genannten Validierungseinheiten für Banknoten vor Ort keine Möglichkeit des Zugangs, der Wartung oder der Anpassung geben außer: TEIL 1: Spielautomaten Seite 25 a) der Auswahl der gewünschten Annahme von Banknoten, Coupons, Belegen oder anderer zulässiger Wechselscheine und deren Grenzen, b) dem Austausch des zertifizierten Kontrollprogramms oder dem Download der zertifizierten Software, c) die Anpassung der Validierungseinheit für Banknoten im Toleranzbereich zur Annahme von Banknoten oder Wechselscheinen unterschiedlicher Qualität sollte nicht außerhalb des Spielautomaten gestattet werden. Die Anpassungen im Toleranzbereich dürfen nur gestattet werden, wenn ein ausreichend hohes Sicherheitsniveau gewährleistet ist. Dies kann durch ein Schloss mit Schlüssel, physische Schaltereinstellungen oder andere zulässige Methoden, die auf der Grundlage des jeweiligen Sachverhalts genehmigt werden, erreicht werden, d) der Wartung, Reparatur und Einstellung gemäß den werkseitig zugelassenen Verfahren oder e) den Auswahloptionen, die die Richtung oder Ausrichtung der Annahme bestimmen. 2.25.4 Umwandlung in Spielmarken Bei Spielen, bei denen eine Umwandlung in Spielmarken gestattet ist, muss das Spiel den Geldwert aus der Einzahlung von Banknoten oder Münzen entnehmen und den eingeführten Gesamtbetrag im Guthaben des Spielers anzeigen; desgleichen sollten eventuelle Teilguthaben, soweit vorhanden, angezeigt werden. Die Speicherung der Teilguthaben durch das Gerät ist gestattet, wenn eine der folgenden Bedingungen erfüllt ist: a) Das Spiel zeigt den Guthabenzähler in Euro und Cent an oder b) das Spiel informiert den Spieler rechtzeitig, dass die Teilguthaben im Gerät gespeichert werden, damit die Möglichkeit ausgeschlossen wird, dass der Spieler den Spielautomaten verlässt, ohne davon Kenntnis genommen zu haben. Für ausführliche Informationen über den Umgang und die Anzeige von Restguthaben wird auf die Einheiten 4.10 „Umwandlung in Spielmarken“/„Restguthaben“ verwiesen. 2.25.5 Zulässige Positionen der Validierungseinheiten für Banknoten Wenn ein Spielautomat mit einer Validierungseinheit für Banknoten ausgestattet ist, so muss sich diese in einem geschlossenen Bereich des Spielautomaten (z. B. Zugang durch Öffnen der Haupttür), jedoch TEIL 1: Spielautomaten Seite 26 nicht im Logik-Bereich befinden. Es sollte nur der Bereich der Banknoten- und Belegeinführung für den Spieler zugänglich sein. 2.26 Messung der Ereignisse bei der Validierung der Banknoten im Gerät 2.26.1 Allgemeiner Hinweis Wenn in einem Spielautomat ein Gerät zur Validierung von Banknoten eingebaut ist, muss dieser ausreichende elektronische Messungen durchführen, damit er in der Lage ist, Folgendes anzuzeigen: a) Gesamtgeldwert aller angenommenen Elemente, b) Gesamtzahl aller angenommenen Element und c) detaillierter Bericht über die angenommenen Banknoten: i. Für Banknoten muss das Spiel die Anzahl der Banknoten anzeigen, die für jeden Banknoten-Nennwert angenommen wurden, und d) für die restlichen Wechselscheine (Belege und Coupons) muss das Spiel einen separaten Zähler haben, der die Anzahl der angenommenen Elemente anzeigt, mit Ausnahme der Banknoten. 2.26.2 Rückruf der Validierungseinheit für Banknoten Wenn ein Spielautomat mit einer Validierungseinheit für Banknoten ausgestattet ist, müssen in seinem Speicher die letzten fünf (5) Elemente, die die Validierungseinheit für Banknoten angenommen hat, gespeichert und angezeigt werden (also Zahlungsmittel, Belege, Coupons usw.). Das Rückrufregister der Validierungseinheit für Banknoten kann kombiniert oder separat in Abhängigkeit von der Art der Elemente geführt werden. Wenn es kombiniert geführt wird, muss die Art des angenommenen Elementes mit der entsprechenden Zeiterfassung aufgezeichnet werden. 2.27 Anforderungen an das Ablagefach zur Validierung der Banknoten 2.27.1 Allgemeiner Hinweis Jede Validierungseinheit für Banknoten muss ein sicheres Ablagefach haben und alle angenommenen Elemente müssen im sicheren Ablagefach deponiert TEIL 1: Spielautomaten Seite 27 werden. Das sichere Ablagefach muss mit seinem Gehäuse so im Spielautomaten angebracht werden, dass es nicht leicht durch Krafteinwirkung entfernt werden kann, und es müssen folgende Regeln beachtet werden: a) Das Gerät zur Validierung der Banknoten muss die Möglichkeit haben, den Füllstand des Ablagefaches zu ermitteln, und b) es muss eine separate verschließbare Sicherung für den Zugang zum Bereich des Ablagefaches geben. Diese verschließbare Sicherung muss von der Haupttür getrennt sein. Außerdem ist eine separate, verschließbare Sicherung für die Entfernung der Banknoten aus dem Ablagefach erforderlich. 2.28 Einlösung von Guthaben 2.28.1 Allgemeiner Hinweis Die verfügbaren Guthaben können im Spielautomaten gesammelt werden, wenn der Spieler den Zahlungs- oder Auszahlungsknopf zu einem beliebigen Zeitpunkt betätigt, außer in der Zeitspanne, wenn: a) ein Spiel gespielt wird, b) eine Kontrollfunktion durchgeführt wird, c) eine Tür geöffnet ist, d) eine Prüfungsfunktion durchgeführt wird, e) eine Erhöhung am Guthabenzähler oder Gewinnzähler festgestellt wird, es sei denn, der gesamte Betrag wird den Zählern hinzugefügt, wenn der Zahlungsknopf gedrückt ist, oder f) eine Fehlerbedingung auftritt, unter der Voraussetzung, dass die Fehlerbedingung eine gültige Einlösung verhindert, die durch andere Medien nicht unterstützt wird. 2.28.2 Überschreitung der Auszahlungsgrenze Wenn Guthaben gesammelt werden und der gesamte Guthabenwert größer oder gleich einer bestimmten Grenze ist (also Druckergrenze für Druckerspiele usw.), muss das Spiel gesperrt werden, bis die Guthaben ausgezahlt werden und die Auszahlung auf die Hand durch den Croupier erfolgt. Anmerkung: In einigen Fällen ist der Druck vieler unabhängiger Belege mit Beträgen unter der Grenze des Belegs TEIL 1: Spielautomaten eine akzeptable Alternative, wenn sie die Zustimmung der Seite 28 Regulierungsbehörde hat. 2.29 Eingebaute Auszahleinheit 2.29.1 Allgemeiner Hinweis Wenn eine eingebaute Auszahleinheit verwendet wird, muss diese bei allen Spielsituationen durch das Kontrollprogramm des Spielautomaten überwacht werden. Die eingebauten Auszahleinheiten müssen in der Lage sein, einen Münzstau, ob sie selbst leer sind, und die Bedingungen für die Auszahlung zusätzlicher Münzen erkennen. Darüber hinaus müssen die eingebauten Auszahleinheiten die Manipulation durch Einführen einer Lichtquelle oder eines Fremdkörpers verhindern und es dürfen keine ungewöhnlichen Auszahlungen stattfinden, wenn sie einer höheren elektrostatischen Entladung ausgesetzt werden oder wenn die Stromzufuhr während einer Auszahlung unterbrochen wird. ANMERKUNG: Aktivitäten, die dazu führen, dass nur eine zusätzliche Münze (z. B. bei Entnahme und Wiedereinsetzen der eingebauten Auszahleinheit) ausgezahlt wird, werden nicht als ungewöhnliche Auszahlung angesehen, wenn dies als Auszahlung einer zusätzlichen Münze registriert wird. 2.29.2 Zulässige Positionen der eingebauten Auszahleinheit Wenn ein Spielautomat mit einer eingebauten Auszahleinheit ausgestattet ist, so muss sich diese in einem geschlossen Bereich des Spielautomaten, jedoch nicht im Logik-Bereich und in der Einwurfsbox befinden. Für den Zugang zur eingebauten Auszahleinheit muss zumindest das Öffnen einer gesicherten Außentür erforderlich sein. 2.29.3 Fehlerbedingungen der eingebauten Auszahleinheit Wenn ein Spielautomat mit einer eingebauten Auszahleinheit ausgestattet ist, muss er über einen Mechanismus verfügen, der es der Software des Kontrollprogramms ermöglicht, die unten stehenden Situationen zu erkennen und darauf zu reagieren: a) Die eingebaute Auszahleinheit ist leer oder ihre Funktion wurde unterbrochen, b) Blockierung der eingebauten Auszahleinheit und c) Entweichung der eingebauten Auszahleinheit oder zusätzliche Münzauszahlung. TEIL 1: Spielautomaten Seite 29 2.30 Drucker 2.30.1 Auszahlung durch Ausdruck von Belegen Ist der Spielautomat mit einem Drucker ausgestattet, der für Auszahlungen eingesetzt wird, kann der Spielautomat den Spieler durch Drucken eines Belegs auszahlen. Der Drucker muss den Beleg gemäß den Bestimmungen in der Einheit 2.31 ausdrucken und der Spielautomat muss die Übertragung der Daten an ein OnlineDatensystem unterstützen, das die unten stehenden Informationen in Bezug auf jeden Auszahlungsbeleg, der gedruckt wird, aufzeichnet: a) Wert der Guthaben in örtlichen Währungseinheiten in numerischer Form, b) Uhrzeit des Tages, an dem der Beleg gedruckt wurde, im Vierundzwanzig-(24-)StundenFormat durch Anzeige der Stunden und Minuten, c) Datum in jeder anerkannten Form, die den Tag, den Monat und das Jahr anzeigt, d) Nummer des Spielautomaten oder Nummer des Geräts und e) eindeutige Validierungsnummer. Um die weiteren Anforderungen dieser Norm zu erfüllen, muss der Spielautomat in der Lage sein die Informationen* der letzten fünfundzwanzig (25) Ausgabebelege, die zur Beilegung etwaiger Streitigkeiten mit dem Spieler dienen, zu speichern. Außerdem muss der Spielautomat über ein genehmigtes Validierungssystem der Auszahlungsbelege verfügen und die Informationen des Belegs im Zentralsystem müssen zumindest so lange an diesem Ort aufbewahrt werden, wie der Beleg gültig ist. Wenn die Offline-Belege-Ausgabe unterstützt wird, MUSS der Spielautomat alle fünfundzwanzig (25) Belege, die im Ausgabe-Register angezeigt werden, bis auf die letzten 4 Ziffern der Validierungsnummer abdecken. (*Das Ausgabe-Register kann Belege und Nachweise enthalten.) 2.30.2 Druckerort Wenn ein Spielautomat mit einem Drucker ausgestattet ist, so muss sich dieser in einem geschlossenen Bereich des Spielautomaten (d. h. das Öffnen einer geschlossenen Außentür ist erforderlich), jedoch nicht im Logik-Bereich oder in der Einwurfsbox befinden. TEIL 1: Spielautomaten Seite 30 2.30.3 Fehlerbedingungen des Druckers Ein Drucker muss über einen Mechanismus verfügen, der es der Software des Kontrollprogramms ermöglicht, die unten stehenden Situationen zu erkennen und darauf zu reagieren: a) kein Papier / Papierstand niedrig Es ist gestattet, dass sich der Spielautomat unter diesen Umständen nicht sperrt, jedoch muss es eine Methode geben, den Croupier zu informieren, b) Blockierung/Versagen des Druckers und c) Trennung des Druckers Der Spielautomat kann diese Fehlerbedingung ausgeben, wenn das Spiel versucht, einen Ausdruck vorzunehmen. 2.31 Einlösung von Belegen 2.31.1 Auszahlung durch Ausdruck von Belegen Die Auszahlung durch Ausdruck von Belegen/Spielmarken als Methode zur Einlösung eines Guthabens darf nur gestattet werden, wenn: a) der Spielautomat an ein EDV-gestütztes „Validierungssystem für Belege“ angeschlossen ist, das die Validierung der gedruckten Belege gestattet. Die Genehmigung oder die Validierungsinformationen stammen aus dem Validierungssystem für Belege. Die Belege können an jedem beliebigen Ort validiert werden, vorausgesetzt, sie erfüllen die Normen dieser Einheit. Es müssen Vorkehrungen getroffen werden für den Fall, dass die Kommunikation unterbrochen wird und die Validierungsinformationen nicht an das Validierungssystem gesandt werden können, daher wird vom Hersteller eine alternative Auszahlungsmethode gefordert. Das Validierungssystem muss in der Lage sein, doppelte Belege zu erkennen, um der Möglichkeit des Betrugs durch neu gedruckte und eingelöste Belege, die bereits durch den Spielautomaten ausgegeben wurden, vorzubeugen, oder b) wenn eine genehmigte alternative Methode eingesetzt wird, die die Möglichkeit bietet, doppelte Belege zu erkennen, um der Möglichkeit des Betrugs durch neu gedruckte und eingelöste Belege, die bereits durch den Spielautomaten ausgegeben wurden, vorzubeugen. TEIL 1: Spielautomaten Seite 31 2.32 Informationen Belege 2.32.1 Allgemeiner Hinweis Ein Beleg muss mindestens folgende Informationen beinhalten: a) Name der autorisierten Organisation und des Ortes, an dem der Spieler den Beleg erhalten hat (eine Zusammenfassung dieser Informationen beim gleichen Belegbestand ist gestattet), b) Name des Orts / Standortkennung (eine Zusammenfassung dieser Informationen beim gleichen Belegbestand ist gestattet), c) Nummer und Adresse der Maschine (oder die Nummer des Standorts und die Adresse der Kasse / des Wechselschalters, wenn die Erstellung des Belegs außerhalb des Spielautomaten unterstützt wird), d) Datum und Uhrzeit (in 24-Stunden-Form, die mit der Form des örtlichen Datums / der Uhrzeit verständlich wird), e) alphanumerische Angabe des Betrags des Belegs in Euro, f) laufende Nummer des Belegs, g) eindeutige Validierungsnummer (einschließlich einer Kopie der Validierungsnummer am oberen Rand des Belegs), h) Barcode oder anderer Code, der von der Maschine, die die Validierungsnummer ausgibt, abgelesen wird, i) Transaktionstyp oder andere Methode zur Differenzierung der Belegtypen (angesichts der Tatsache, dass mehrere Belegtypen zur Verfügung stehen). Außerdem wird besonders empfohlen, dass jedes Mal, wenn der Belegtyp ein nicht einlösbares Element und/oder einfach ein Nachweis ist, Folgendes deutlich auf dem Beleg angegeben wird: „ohne Barwert“, j) Hinweis auf das Ablaufdatum ab dem Tag der Ausgabe, Datum und Uhrzeit des Ablaufs des Belegs (in 24-Stunden-Form, die mit der Form des örtlichen Datums / der Uhrzeit verständlich wird). Eine Zusammenfassung dieser Information beim gleichen Ticketbestand ist gestattet (z. B. „Läuft ab in 90 Tagen“), und k) wenn die Offline-Belege-Ausgabe unterstützt wird, muss zumindest eine OfflineIdentifizierungskennung am oberen Rand des Belegs in der Reihe nach der Validierungsnummer, die auf keinen Fall kopiert oder anderweitig eingeschränkt dargestellt werden darf, gedruckt werden (dies ist nicht erforderlich für Belege, die am TEIL 1: Spielautomaten Seite 32 Spielautomaten nicht einlösbar sin). Die Offline-Identifizierungsnummer muss aus einer ZERSPLITTERUNG oder einer anderen sicheren Verschlüsselungsmethode mit einer Länge von mindestens 128 bit hervorgehen, die auf eindeutige Weise den Beleg erkennt und bestätigt, dass das Einlösungssystem auch das Erstellungssystem ist, und den Betrag des Belegs bestätigt. In Fällen, in denen keine geeignete Identifizierungskennung auf die Spielmarke gedruckt wurde, muss der Spielautomat höchstens einen Wettbeleg drucken, nachdem die Kommunikation zwischen Spielautomat und System unterbrochen wurde. ANMERKUNG: Einige der oben angeführten Informationen können ein Teil der Validierungsnummer oder des Barcodes sein. Es werden mehrere Barcodes zugelassen und diese können weitere Informationen als nur die Validierungsnummer darstellen. 2.33 Erstellung und Einlösung von Belegen 2.33.1 Erstellung von Belegen Ein Beleg / Eine Spielmarke kann in einem Spielautomaten durch einen internen Drucker erzeugt werden. Belege, die Teilguthaben entsprechen, können automatisch von einem Spielautomaten ausgegeben werden. Darüber hinaus ist auch die Ausgabe durch die Kasse / den Wechselschalter, sofern dies durch das Validierungssystem unterstützt wird, gestattet. 2.33.2 Erstellung von Offline-Belegen Der Spielautomat muss die folgenden Mindestanforderungen erfüllen, um eine Möglichkeit zur Erstellung von Offline-Belegen nach einem Verlust der Kommunikation, die vom Spielautomaten erkannt wurde, zu integrieren: a) Regeln zur Erstellung Der Spielautomat darf nicht mehr Offline-Belege erstellen, als er verwalten und im Beleg-Ausgaben-Register, das vom Spielautomaten geführt wird, anzeigen kann, b) Antrag auf Neuausgabe Der Spielautomat darf so lange keine Validierungsnummer und „Ausgangszahlen“, Schlüssel usw., die für die Erstellung von Offline-Belegen verwendet wurden, anfordern, bis alle Informationen der Offline-Belege, die im Validierungssystem der Belege noch offen sind, versandt worden sind, TEIL 1: Spielautomaten Seite 33 c) Regeln für die Neuausgabe Der Spielautomat muss einen neuen Satz von Validierungsnummern und „Ausgangszahlen“, Schlüsseln usw., die für die Erstellung von Online-/Offline-Belegen verwendet wurden, anfordern, wenn die aktuelle Liste der Validierungsnummer und „Ausgangszahlen“, Schlüsseln usw. die Möglichkeit zur Einschränkung gibt, was in folgenden Fällen beispielhaft vorkommen kann: d) i. nachdem die Stromversorgung wieder hergestellt ist und/oder ii. nach dem Verlassen einer Offenen-Tür-Bedingung für die Haupttür, die Ausgangszahlen, Schlüssel usw. dürfen nie über einen Monitor, der vom Spielautomaten unterstützt wird, sichtbar sein. Darüber hinaus müssen die Validierungsnummern immer abgedeckt werden, wenn sie durch einen Monitor, der vom Spielautomaten unterstützt wird, sichtbar sind, und zwar so, dass nur die letzten 4 Ziffern der Validierungsnummer sichtbar ist. 2.33.3 Einlösung von Online-Belegen Die Belege können in jeden beliebigen Spielautomaten, der am Validierungssystem beteiligt ist, eingeführt werden, unter der Voraussetzung, dass keine Guthaben von dem Spielautomaten vor Bestätigung der Gültigkeit des Belegs ausgestellt wurden. TEIL 1: Spielautomaten Seite 34 KAPITEL 3 ANFORDERUNGEN AN DIE SOFTWARE 3.1 Einführung 3.1.1 Allgemeiner Hinweis Die Spielautomaten müssen eine zuverlässige, funktionelle, benutzerfreundliche, sichere und geeignete Software zur Durchführung unterschiedlicher Arten von Spielen installiert haben. 3.2 Regeln für die Spiele 3.2.1 Anzeige a) Monitor für die Auszahlung/Monitor für Video Die Monitore für die Auszahlung oder für Video müssen deutlich lesbar sein, die Regeln des Spiels genau erklären und den Preis, der dem Spieler ausgezahlt wird, sobald er einen bestimmten Gewinn erzielt hat, anzeigen. Die Monitore für die Auszahlung oder für Video müssen für alle Spiele je nach ihrer Art Folgendes deutlich darstellen: i. maximalen Einsatz, ii. maximale Anzahl der Einsätze per Linie (falls zutreffend), iii. inwieweit die höchsten Preise nur per Linie oder nicht ausgezahlt werden, iv. inwieweit die Boni während des Spielverlaufs wieder verwendet werden oder nicht, dort, wo der Bonus zum ersten Mal verwendet wurde, b) die grafische Darstellung sollte in keiner Art und Weise oder Form unangemessen oder anstößig sein, c) Monitore für die Auszahlung oder für Video müssen die Preise in Euro und Cent deutlich darstellen, d) der Spielautomat muss jegliche Änderung des Werts des Preises zum Ausdruck bringen, TEIL 2: Progressive Jackpots Seite 35 die während des Spielverlaufs eingetreten kann. Dies kann durch ein digitales Display an einer deutlich sichtbaren Stelle am Spielautomaten erreicht werden und das Spiel muss dies deutlich anzeigen, e) alle Meldungen, die auf dem Monitor angezeigt werden, sollten für einen angemessenen Zeitraum angezeigt werden, f) alle Informationen der Zahlenanzeigetafel, die Regeln des Spiels und die Meldungen des Hilfsmonitors müssen für den Spieler, bevor er einen Einsatz setzt, zugänglich sein. Dies gilt für eindeutige Spielfunktionen, umfangreiches Spiel, Freispiele, Verdoppelungen, Risiko, automatisches Spiel, rückläufige Zeitzähler und Gemeinschaftsbelohnungen, g) Monitore für die Auszahlung oder für Video dürfen nicht zertifiziert werden, wenn ihre Informationen unzutreffend sind, h) bevorstehende Gewinne Das Spiel darf keine „bevorstehenden Gewinne“ anzeigen, wie zum Beispiel eine zu erwartende dreifache (3) Auszahlung. Im Gegensatz zum Vorherigen kann ein Spiel Informationen zu Bevorstehendem anzeigen, wenn: i. mathematisch bewiesen wird, dass ein Ereignis zum Preisgewinn bevorsteht, und ii. wenn dem Spieler dies in einer grafischen Darstellung in Form einer voraussichtlichen Entwicklung angezeigt wird, muss die aktuelle Entwicklung zu diesem Preisgewinn genau dargestellt werden, i) Informationen über Belohnungsmerkmale Jedes Spiel mit einen Merkmal wie Freispiel oder Fever-Modus muss die Anzahl der restlichen Spiele mit solchen Merkmalen während jedes Spielverlaufs anzeigen, j) Kartenspiele Alle Kartenspiele müssen deutlich sichtbar die Anzahl der Karten und die derzeit gespielten Kartenspiele anzeigen. 3.2.2 Informationen zur Anzeige Am Spielautomat muss ein Monitor für die Auszahlungen vorhanden sein, der jedes Mal wenn der Spielautomat für den Zugang eines Spielers bereit ist, die folgenden Informationen pro Spieler darstellt; die aktuellen Salden, die Zahlungsanzeigetafeln, der aktuelle Einsatz und die Werte der Gewinne oder Verluste müssen in Euro und Cent angezeigt werden: a) der Name des Spiels, das gespielt wird, TEIL 2: Progressive Jackpots Seite 36 b) die aktuellen Guthaben des Spielers, c) der aktuelle Einsatz. Dies gilt nur während des Basisspiels oder dann, wenn der Spieler den Wetteinsatz während des Spielverlaufs erhöhen kann, d) alle möglichen Gewinnergebnisse, entweder als Menüpunkt oder im Hilfemenü, e) die Gewinnbeträge für mögliche Gewinnergebnisse, entweder als Menüelement oder im Hilfemenü, f) der Betrag, der für das zuletzt abgeschlossene Spiel gewonnen wurde (bis das folgende Spiel beginnt oder die Auswahloptionen des Einsatzes geändert werden), g) die vom Spieler ausgewählten Optionen (z. B. Wetteinsatz, gespielte Linien) für das zuletzt abgeschlossene Spiel (bis das folgende Spiel beginnt oder eine neue Auswahl erfolgt), h) die Währung, in der gespielt wird, wird deutlich angezeigt und i) es wird die deutliche Anzeige der Haftungsausschlusserklärung* in Bezug auf den Hinweis „Bei Fehlfunktion werden alle Auszahlungen ungültig“ (oder eine gleichwertige Formulierung) empfohlen. *ANMERKUNG: Im Fall der Verwendung der oben genannten Haftungsausschlusserklärung ist ein permanenter Aushang der Information an der Außenseite des Video-Lottery-Terminals ohne Möglichkeit der Entfernung anzubringen. 3.2.3 Spiele mit mehreren Gewinnlinien Die unten angeführten Anforderungen müssen für Spiele mit mehreren Gewinnlinien angewendet werden: a) Jede einzelne gespielte Linie muss deutlich vom Spielautomaten dargestellt werden, damit der Spieler keine Zweifel hinsichtlich der Linien hat, auf die gewettet wurden (die Anzeige der Anzahl der Linien, auf die gesetzt wurde, ist ausreichend, um diese Anforderung zu erfüllen), b) die Guthaben, die pro Linie gewettet werden, müssen angezeigt werden (es ist gestattet, wenn der Einsatz pro Linie aufgrund der Anzahl der Linien, auf die gesetzt wurde, und aufgrund des Gesamteinsatzes berechnet werden kann) und TEIL 2: Progressive Jackpots Seite 37 c) die Auszahlungslinie/n, die gewinnt/gewinnen, müssen für den Spieler deutlich sichtbar sein (z. B. kann dies bei einem Videospiel durch das Einblenden einer Linie über den Symbolen der Auszahlungslinie/n und/oder durch blinkende Gewinnsymbole und über Auswahlrahmen der Linien erreicht werden). Falls mehrere Linien gewinnen, kann jede gewonnene Auszahlungslinie nacheinander angezeigt werden. 3.2.4 Start des Spiels Der Spielautomat muss dem Spieler die Möglichkeit der Änderung des Einsatzes vor dem Start des Spiels anbieten. Der Spielautomat darf einen Start des Spiels nur dann gestatten, wenn alle nachstehenden Bedingungen in der aufgeführten Reihenfolge erfüllt sind: a) Die Karte des Spielers wurde in das Kartenlesegerät eingeführt, b) es steht genügend Geld zur Deckung des gewählten Wetteinsatzes zur Verfügung und c) der Spieler beginnt das Spiel. 3.2.5 Spielverlauf Ein Spiel gilt als abgeschlossen, wenn die endgültige Übertragung an den Guthabenzähler des Spielers durchgeführt wurde oder wenn alle eingesetzten Guthaben verloren wurden. Die Dauer eines einzelnen Spiels muss mindestens 3 Sekunden betragen. Folgendes wird als Teile eines Einzelspiels angesehen: a) Spiele, die ein Freispiel-Merkmal haben und einige Folge-Freispiele gewähren, b) Belohnungsmerkmal/e „Zusatzmonitor“, c) Spiele mit Spielerauswahl (z. B. Draw Poker oder Blackjack), d) Spiele, deren Regeln den Einsatz weiterer Guthaben zulassen (z. B. Sicherheits-Blackjack oder zweiter Teil eines zweiteiligen Keno-Spiels), und e) Merkmal Verdoppelung/Einsatz. 3.3 Anforderungen an Zufallszahlengenerator (RNG) 3.3.1 Auswahlverfahren des Spiels TEIL 2: Progressive Jackpots Seite 38 a) Es müssen alle Kombinationen und Ergebnisse zur Verfügung stehen. Jeder mögliche Austausch und jede mögliche Kombination der Spielelemente, die einen Gewinn oder Verlust des Spiels bewirkt, muss für die Zufallsauswahl bei Start jedes Spiels zur Verfügung stehen, außer wenn es im Spiel anders vorgesehen ist. b) Ohne Beinahe-Niederlage Nach der Auswahl des Spielergebnisses darf der Spielautomat keine anderen sekundären Entscheidungen vornehmen, die das Ergebnis, das dem Spieler angezeigt wird, beeinflussen. Zum Beispiel wählt der Zufallszahlengenerator ein Ergebnis, bei dem das Spiel verloren wird. Das Spiel ersetzt keinen bestimmten Typ der Niederlage, die dem Spieler angezeigt wird. Dies schaltet die Möglichkeit der Simulation eines „Beinahe-Niederlage“-Szenarios aus, in dem die Wahrscheinlichkeit, dass das obere Preissymbol in der Auszahlungslinie landet, eingeschränkt wird, aber dieses ständig über oder unter der Auszahlungslinie angezeigt wird. c) Keine Korruption durch eine entsprechende Ausrüstung Der Spielautomat muss geeignete Protokolle verwenden, um den Zufallszahlengenerator und das Verfahren nach dem Zufallsprinzip vor der Beeinflussung durch eine entsprechende Ausrüstung, die mit dem Spielautomaten kommunizieren kann, zu schützen. 3.3.2 Anforderungen an den Zufallszahlengenerator Die Verwendung eines Zufallszahlengenerators (RGN) führt zur Auswahl der Spielsymbole oder zur Erzeugung von Spielergebnissen. Die Auswahl muss: a) statistisch unabhängig sein, b) hinsichtlich der gewünschten Verteilung angepasst sein, c) gleichmäßig im Bereich aller möglichen Kombinationen verteilt sein, d) unterschiedliche anerkannte statistische Tests durchlaufen und e) unvorhersehbar sein. 3.3.3 Testanwendungen Das unabhängige Zertifizierungslabor kann unterschiedliche Testanwendungen durchführen, um sicherzustellen, dass die zufälligen Werte aus dem TEIL 2: Progressive Jackpots Seite 39 Zufallszahlengenerator das gewünschte Vertrauensniveau von 99 % erreichen. Dies kann ohne Einschränkung folgende Tests umfassen: a) X2, b) Gleichverteilung (Häufigkeit), c) GAP, d) Überlappung, e) Poker, f) Couponkollektor, g) Austausch, h) Kolmogorov-Smirnov, i) Adjazenz-Kriterium j) Bestellungen statistischer Tests, k) Testlauf (die Motive dürfen nicht regelmäßig auftreten), l) Test interaktive Korrelation, m) Wirksamkeit der seriellen Korrelation und Grad der seriellen Korrelation (die Ergebnisse sollten unabhängig vom vorherigen Spiel sein), n) Testsequenzen und o) Poisson-Verteilung. Anmerkung: Das unabhängige Zertifizierungslabor wird die geeigneten Tests auf Grundlage der jeweiligen Sachverhalte je nach dem zu untersuchenden Zufallszahlengenerator (RNG) auswählen. 3.3.4 Anforderung an die Aktivität des RNG im Hintergrund Der RNG sollte kontinuierlich im Hintergrund zwischen den Spielen und während der Spiele mit einer Geschwindigkeit, die vom Spieler nicht zeitgesteuert werden kann, rotieren. Das unabhängige Zertifizierungslabor erkennt an, dass für einige Zeit während des Spiels, wenn die Unterbrechungen ausgesetzt werden können, der RNG nicht rotieren kann. Das unabhängige Zertifizierungslabor erkennt dies zwar an, besteht jedoch darauf, dass diese Ausnahme auf ein Minimum reduziert wird. TEIL 2: Progressive Jackpots Seite 40 3.3.5 Erzeugung Ausgangszahlen RNG Die erste Ausgangszahl muss nach dem Zufallsprinzip von einem unkontrollierten Ereignis erzeugt werden. Nach jedem Spiel muss es eine zufällige Änderung im Prozess des RNG geben (neue Ausgangszahl, zufällige Zeitschaltuhr, Verzögerung usw.). Damit wird sichergestellt, dass der RNG nicht jedes Mal mit demselben Wert startet. Sonst ist die Verwendung einer beliebigen Ausgangszahl nicht erlaubt, dennoch muss der Hersteller sicherstellen, dass die Spiele nicht synchronisiert werden. 3.3.6 Korrelation Live-Spiel Sofern am Monitor für die Auszahlung nichts anderes angegeben wird, muss der Spielautomat bei einem Spiel, das als Simulation eines Casino-Live-Spiels wie Poker, Black Jack, Roulette usw. gespielt wird, im simulierten Spiel deutlich ersichtlich die gleichen Möglichkeiten wie bei einem Live-Spiel anbieten. Zum Beispiel sind die Möglichkeiten, eine bestimmte Zahl im Roulette zu treffen, in dem es nur eine Null (0) und eine Doppelnull (00) auf dem Rad gibt, 1 zu 38; die Möglichkeiten, eine bestimmte Karte oder Karten beim Poker zu ziehen, müssen dieselben sein wie bei einem Live-Spiel. 3.3.7 Möglichkeiten-Symbol Bei Spielen dieses Typs (Walzenspiele oder Video- Walzenspiele), sofern am Monitor für die Auszahlung nicht anders angegeben, muss die mathematische Wahrscheinlichkeit, dass ein Symbol an einer Position angezeigt wird, um ein Spielergebnis zu erhalten, kontinuierlich sein. 3.3.8 Kartenspiele Die Anforderungen an Spiele, die Karten darstellen, die aus einem Kartenstapel gezogen werden, sind Folgende: a) Zu Beginn jeden Spiels / jeder Verteilung müssen die Karten aus einem zufällig gemischten Kartenstapel gezogen werden; die Ersatzkarten dürfen erst gezogen werden, wenn sie gebraucht werden, und entsprechend den Regeln des Spiels dürfen mehrere Kartenstapel und Kartenstapel mit reduzierter Spielkartenanzahl verwendet werden, b) die Karten, die vom Kartenstapel gezogen wurden, dürfen nicht auf den Kartenstapel zurückgelegt werden, außer es ist in den Spielregeln des dargestellten Spiels vorgesehen, c) der Kartenstapel darf nicht erneut gemischt werden, außer es ist in den Spielregeln des dargestellten Spiels vorgesehen, und TEIL 2: Progressive Jackpots Seite 41 d) wenn die Karten vom Kartenstapel gezogen wurden, müssen sie sofort eingesetzt werden, wie es die Spielregeln des Spiels vorsehen (d. h. die Karten sollten nicht durch Anpassungsverhalten des Spielautomaten verworfen werden). Anmerkung: Es wird der Erhalt von zufälligen Zahlen für Ersatzkarten im Moment des Erhalts der ersten zufälligen Zahl akzeptiert. Voraussetzung hierfür ist, dass die Karten nacheinander wie vorgeschrieben eingesetzt werden. 3.3.9 Lotterie-Spiele mit Kugeln Die Anforderungen an Spiele, die Kugeln darstellen, die aus einem Behälter gezogen werden (z. B. Keno), sind Folgende: a) Die simulierten Kugeln müssen aus einem zufällig gemischten Behälter (unter Verwendung eines genehmigten RNGs) gezogen werden, der die Gesamtanzahl der Kugeln, die für das dargestellte Spiel gültig sind, enthält, b) zu Beginn eines jeden Spieles dürfen nur die Kugeln dargestellt werden, die für das Spiel gültig sind. Bei Spielen mit dem Merkmal Belohnung und zusätzlich auszuwählender Kugel muss deren Auswahl bei der Basisauswahl ohne das Kopieren einer bereits gewählten Kugel erfolgen, c) die Gesamtheit der Kugeln darf nicht erneut gemischt werden, außer es ist in den Spielregeln des dargestellten Spiels vorgesehen, und d) wenn die Kugeln aus der Gesamtheit der Kugeln gezogen wurden, müssen sie sofort verwendet werden, wie es die Spielregeln des Spiels vorsehen (d. h. die Kugeln sollten nicht durch Anpassungsverhalten des Spielautomaten verworfen werden). 3.3.10 Skalierungsalgorithmen a) Wenn eine Zufallszahl in einem kleineren Bereich als dem vom RNG gelieferten für irgendeinen Zweck innerhalb des Spielautomaten erforderlich ist, muss die Methode der neuen Skalierung (d. h. die Umwandlung der Zahl in einen kleineren Bereich) so sein, dass alle Zahlen innerhalb des kleineren Bereichs gleich wahrscheinlich sind. TEIL 2: Progressive Jackpots Seite 42 b) Wenn eine bestimmte ausgewählte Zufallszahl außerhalb des Bereichs der gleichmäßigen Verteilung der neu skalierten Werte liegt, ist die Ablehnung dieser Zufallszahl und die Auswahl der folgenden in der Reihe zum Zweck einer Neu-Skalierung gestattet. 3.3.11 Mechanische Spiele auf Basis eines RNGs Mechanische Spiele auf Basis eines RNGs sind Spiele, die in einer Weise die Gesetze der Physik anwenden, um ein Spielergebnis zu erzeugen. Alle mechanischen Spiele auf Basis eines RNGs müssen die Anforderungen dieses Schriftstücks außer denen der Einheiten 3.3.4, 3.3.5 und 3.3.10, die die Anforderungen an elektronische Zufallszahlengeneratoren bestimmen, erfüllen. Des Weiteren müssen mechanische Spiele auf Basis eines RNGs folgende Regeln einhalten: a) Das unabhängige Zertifizierungslabor prüft mehrere Wiederholungen, um genügend Daten für die Validierung der Zufälligkeit zu sammeln. Des Weiteren kann der Hersteller Live-Daten liefern, um die Beurteilung zu unterstützen, b) die mechanischen Bestandteile müssen aus einem Material hergestellt werden, das es nicht zulässt, dass sich ein Element im Laufe der Zeit ablöst (z. B. darf sich eine Kugel nicht auflösen), c) die Eigenschaften der physikalischen Elemente, die für die Auswahl verwendet werden, dürfen nicht veränderbar sein und d) dem Spieler darf es nicht möglich sein, physikalisch zu interagieren oder körperlichen Kontakt zu haben oder das Gerät mit dem mechanischen Element des Spiels zu manipulieren. ANMERKUNG: Das unabhängige Zertifizierungslabor behält sich das Recht vor, nach einem vorgegebenen Zeitraum die Ersetzung zum Zweck der Anpassung des Spiels an die oben genannte Regel 3.3.11b zu fordern. Des Weiteren kann es sein, dass für das/die Gerät(e) keine regelmäßigen Kontrollen notwendig sind, um die Integrität zu gewährleisten. Jedes mechanische Spiel auf Basis eines RNGs wird auf Grundlage des jeweiligen Sachverhalts untersucht werden. TEIL 2: Progressive Jackpots Seite 43 3.4 Auszahlungshöhe, Möglichkeiten und Grenzen 3.4.1 Anforderungen an die Software für eine prozentuale Auszahlung Alle Spiele müssen theoretisch mindestens achtzig Prozent (80 %) über die erwartete Laufzeit des Spiels auszahlen (d. h. progressiv; Belohnungssysteme, Waren usw. werden nicht in die prozentuale Auszahlung einbezogen, wenn diese spielextern sind). Dieser Parameter muss kontinuierlich bis zum Erreichen von 5.000.000 Beteiligungen und dann alle 15 Tage, je nach den Ergebnissen des Zentraldatenüberwachungssystems, geprüft werden. ANMERKUNG: Das unabhängige Zertifizierungslabor wird den minimalen und maximalen theoretischen Prozentsatz für die Auszahlung für das Basis-Spiel in seinem Zertifizierungsbericht berücksichtigen. Für Preise, die einem Spiel hinzugefügt werden, muss eine Neubewertung des theoretischen Prozentsatzes für die Auszahlung durchgeführt werden, unter Berücksichtigung der Werte der Preise und möglichen anderen Faktoren. Das unabhängige Zertifizierungslabor wird, wenn gewünscht, den neuen theoretischen Prozentsatz des Auszahlungsbetrags eines Spiels berechnen. a) Optimale Spielart, die für Geschicklichkeitsspiele verwendet wird. Die Spielautomaten, die durch die Geschicklichkeit des Spielers beeinflusst werden können, müssen die Anforderungen dieser Einheit erfüllen, wenn sie eine Spielmethode verwenden, die dem Spieler die höchste Rendite während des Zeitraums eines kontinuierlichen Spiels, gewährt. b) Mindestanforderung an den Prozentsatz, der kontinuierlich erfüllt werden muss. Die Mindestanforderung an den Prozentsatz muss jederzeit erfüllt werden. Die Mindestanforderung an den Prozentsatz muss erfüllt werden, wenn im niedrigsten Bereich einer nicht linearen Zahlungsanzeigetafel gespielt wird (d. h. wenn ein Spiel kontinuierlich auf dem niedrigsten Einsatzniveau der Spielrunde gespielt wird und der theoretische RTP niedriger als der Mindestprozentsatz ist, dann ist die Zahlungsanzeigetafel nicht zulässig). TEIL 2: Progressive Jackpots Seite 44 c) Verdoppelung oder Wette. Die Auswahloptionen der Verdoppelung oder des Einsatzes müssen eine theoretische Rendite in der Größenordnung von hundert Prozent (100 %) für den Spieler ergeben. 3.4.2 Mehrere Prozentsätze Für Spiele, die mehrere Prozentsätze anbieten, wird auf die Einheit 2.13.4 „Einstellungen/Parametrisierung“ dieses Schriftstücks verwiesen. 3.4.3 Wahrscheinlichkeiten Die höchste angekündigte Auszahlung eines jeden Spielautomaten muss statistisch mindestens einmal alle 50.000.000 Spiele erfolgen. Dies gilt nicht für mehrere Preise, die zusammen im selben Spiel gewonnen wurden, in dem die Gesamtheit der Preise nicht angekündigt wird. Die Wahrscheinlichkeitsregel sollte nicht für Spiele gelten, die einem Spieler den höchsten Gewinn mehrere Male bei der Verwendung von Freispielen ermöglichen. Diese Regel gilt nicht für jede Wette, die den Höchstgewinn erzielt. Wenn der angekündigte Preis innerhalb eines Bonus eines Spiels mit Freispiel-Merkmal auftreten kann, dann muss die Berechnung der Wahrscheinlichkeiten die Wahrscheinlichkeiten des Erwerbs des gerundeten Bonus miteinbeziehen, einschließlich der Wahrscheinlichkeiten der Erreichung des Höchstpreises. 3.4.4 Maximale Grenze des Einsatzes Eine Grenze muss für den geringsten Starteinsatz, der vom Guthabenzähler des Spielers vorgeschlagen wird, gelten. Der geringste Wetteinsatz eines Spiels beträgt 10 Cent (€0,10). 3.4.5 Maximale Grenze des Einsatzes Eine Grenze muss für den höchsten Starteinsatz, der vom Guthabenzähler des Spielers vorgeschlagen wird, gelten. Der Spieler sollte nicht der Gefahr eines Guthabenverlusts in einer Gesamthöhe von über zwei Euro (€2,00) ausgesetzt werden. 3.4.6 Grenzen des Gewinns Es muss eine Grenze des maximalen Betrags festgelegt werden, der bei einer beliebigen Wette eines Spiels für nicht progressive Spiele gewonnen werden kann, dieser sollte tausend Euro (€ 1000) betragen, sowie auch für jeden progressiven Gewinn für unabhängige progressive Spiele, dieser sollte viertausend Euro (€ 4000) betragen. Der maximale TEIL 2: Progressive Jackpots Seite 45 nicht progressive Gewinn kann in jedem einzelnen Element des Spiels gewonnen werden. Dies wird als die Summe der Preise definiert (zeitgleiche Gewinne), die in einem Element des Spiels vergeben werden (also die Summe der Preise, die sich aus Gewinnkombinationen, Boni, Verdoppelungen usw. in einem bestimmten Element des Spiels ergibt). 3.5 Bonus-Spiele 3.5.1 Bonus-Spiele Spiele mit Preisen, die im Spiel innerhalb der Spielrunde des Basisspiels auftreten (z. B. Merkmal-Bonus, einschließlich der Freispiele), müssen Folgendes erfüllen: a) Das Spiel muss dem Spieler die geltenden Spielregeln der aktuellen Spielsituation deutlich darstellen. Diese Regeln müssen dem Spieler vor Beginn des Bonus-Spiels und nicht erst während des Bonus-Spiels zur Verfügung stehen, b) das Spiel muss dem Spieler den wahrscheinlichen Umfang des Gewinnbetrags, den Umfang der Verdoppelung usw., den er im Bonus-Spiel erhalten kann, deutlich anzeigen, c) ein Spiel, das ein Bonus-Spiel anbietet, im Unterschied zu sich zufällig ergebenden, muss dem Spieler ausreichende Informationen über die aktuelle Situation hinsichtlich der Aktivierung des folgenden Bonus-Spiels zur Verfügung stellen, d) wenn ein Spiel mehrere Ereignisse/Symbole für ein Merkmal braucht, muss die Anzahl der Ereignisse, die zur Aktivierung des Bonus-Spiels benötigt werden, zusammen mit der Anzahl der Ereignisse/Symbole, die an einem Punkt gesammelt wurden, angezeigt werden, e) das Spiel sollte nicht die Wahrscheinlichkeit der Anzeige eines Bonus auf Basis des Verlaufs der Preise, die in vorherigen Spielen erhalten wurden, anpassen (d. h. die Spiele sollten nicht ihre theoretische Rendite auf Grund früherer Auszahlungen an den Spieler anpassen), f) wenn der Bonus eines Spiels nach der Erhöhung einer bestimmten Anzahl von Ereignissen/Symbolen oder einer Kombination von Ereignissen/Symbolen unterschiedlichen Typs in vielen Spielen aktiviert wird, darf die Wahrscheinlichkeit des Erhalts entsprechender Ereignisse/Symbole während der Entwicklung des Spiels nicht herabgestuft werden (d. h. bei identischen Ereignissen/Symbolen ist es nicht gestattet, TEIL 2: Progressive Jackpots Seite 46 dass die letzten notwendigen Ereignisse/Symbole schwieriger zu erhalten sind als die vorherigen Ereignisse/Symbole diesen Typs), g) das Spiel muss dem Spieler durch optische Unterscheidung deutlich darstellen, dass er sich in diesem Modus befinden, um zu vermeiden, dass sich der Spieler vom Spielautomaten entfernt, ohne zu wissen, dass sich das Spiel im Bonus-Modus befindet, h) die Preise für Bonus-Spiele sind ein Teil der Spielrunde mit vorgegebenen Werten der Preise. Der Anteil des Preises des Bonus-Spiels als Prozentsatz des Auszahlungsbetrags wird gemäß den Preisen aus einer regulären Spielrunde berechnet. Genauer gesagt, wenn sich die Spielrunde für den Preis des Bonus-Spiels von der Spielrunde des Basis-Spiels unterscheidet, dann werden die Preise des Bonus-Spiels, die aus der Spielrunde des Basis-Spiels hervorgehen, als Teil der Auszahlung des Bonus-Spiel berechnet und i) das Spiel muss die Spielregeln für den Preis des Bonus-Spiels, die Belohnungen, die mit jedem Preis des Bonus-Spiels verbunden sind, und die Kombinationen der Merkmale, die zu bestimmten Auszahlungen führen, darstellen. Für die Preise des Bonus-Spiels, die durch bestimmte Spielergebnisse erreicht wurden, wird deren Entwicklung angezeigt. 3.5.2 Auswahl oder Interaktion des Spielers bei Bonus-Spielen Bei allen Spielautomaten, die ein Bonus-Spiel oder umfangreiche Merkmale anbieten, die eine Auswahl oder Interaktion des Spielers erfordern, ist die automatische Ausführung von Auswahlen, dem Start des Spiels oder der Merkmale untersagt, außer wenn der Spielautomat die direkt unten aufgeführten Anforderungen erfüllt und den Mechanismus des automatischen Starts oder der automatischen Auswahl am Monitor des Geräts oder am Video-Monitor erläutert. a) Dem Kunden wird eine Auswahl angeboten und das Gerät erkennt seine Absicht des automatischen Starts des Bonus-Spiels oder der Merkmale des umfangreichen Spiels, indem er eine Taste drückt oder eine andere physisch/mechanische Interaktion vornimmt. b) Das Bonus-Spiel oder das Merkmal des umfangreichen Spiels bietet dem Kunden nur eine Auswahl an, z. B. „Drücken Sie die Taste zum Drehen des Rades“. In diesem Fall kann das Gerät automatisch das Bonus-Spiel oder das Merkmal des umfangreichen Spiels nach einer Wartezeit von mindestens zwei (2) Minuten starten. TEIL 2: Progressive Jackpots Seite 47 c) Das Bonus-Spiel oder das Merkmal des umfangreichen Spiels kann auch als Gemeinschaftsspiel angeboten werden, an dem zwei oder mehrere Kunden teilnehmen und bei dem die Verzögerung einer angebotenen Auswahl oder der Start des Spiels direkte Auswirkungen auf die Möglichkeit der anderen Kunden, mit ihrem Bonus-Spiel oder dem Merkmal des umfangreichen Spiels fortzufahren, hat. Bevor die automatische Auswahl oder ein Bonus-Spiel oder ein neues Merkmal als Gemeinschaftsspiel gestartet wird, muss dem Kunden die verbleibende Zeit, in der er die Auswahl vornehmen oder das Spiel beginnen muss, angegeben werden. 3.6 Einsatz weiterer Guthaben während eines Bonus-Spiels 3.6.1 Allgemeiner Hinweis Wenn ein Bonus-Spiel oder ein Merkmal eine Erhöhung des Wetteinsatzes während des Bonus-Spiels voraussetzt und das Spiel alle Gewinnerträge (aus dem aktivierten Spiel und dem Merkmal) auf einem vorläufigen „Gewinn“-Zähler sammelt (anstatt direkt auf dem Guthabenzähler), dann muss das Spiel: a) ein Medium anbieten, damit die Gewinne des vorläufigen Zählers eingesetzt werden können (durch den Guthabenzähler), damit Fälle, in denen der Spieler kein ausreichendes Restguthaben auf dem Guthabenzähler hat, um das Merkmal zu beenden, gestattet werden, b) alle Guthaben des vorläufigen Zählers bei Abschluss des Merkmals auf den Guthabenzähler übertragen, c) nicht die maximale Grenze des Einsatzes übersteigen, wenn eine bestimmt ist, und d) dem Spieler die Möglichkeit anbieten, NICHT daran teilzunehmen. 3.7 Überraschungspreise 3.7.1 Allgemeiner Hinweis Es ist den Spielen gestattet, einen „Überraschungspreis“ zu vergeben (einen Preis, der nicht in Verbindung mit einer bestimmten Kombination von Symbolen steht), jedoch muss das Spiel den maximalen Betrag, der vom Spieler gewonnen TEIL 2: Progressive Jackpots Seite 48 werden kann, anzeigen. Wenn der minimale Betrag, der möglicherweise vergeben werden könnte, nicht angezeigt wird, dann wird er auf „0“ eingestuft. Des Weiteren müssen der minimale und maximale Betrag für jeden Überraschungspreis dargestellt werden, wenn die Methode zum Erhalt des Preises eine Strategie oder Geschicklichkeit erfordert. Dies könnten auch Methoden sein, bei denen der Wert der Zahlungsanzeigetafel für Entscheidungen, die die Rendite des Spielers erhöhen (z. B. Video-Poker), eingesetzt wird. 3.8 Mehfachspiele am Spielautomaten 3.8.1 Allgemeiner Hinweis Ein Mehrfachspiel wird als ein Spiel definiert, das für den gleichzeitigen Einsatz von mehreren Themen und/oder Mehrfachzahlungsanzeigetafeln konfiguriert werden kann. 3.8.2 Auswahl des Spiels für die Anzeige a) Die Methode, die ein Spieler für die Auswahl eines bestimmten Spiels am Spielautomaten für Mehrfachspiele verwenden soll, muss dem Spieler am Spielautomaten deutlich und klar erläutert werden. b) Der Spielautomat muss in der Lage sein, den Spieler über alle Spiele, ihre Regeln und/oder die Zahlungsanzeigetafeln sichtbar zu informieren, bevor der Spieler das Spiel beginnt. c) Der Spieler muss zu jedem Zeitpunkt darüber informiert werden, welches Thema des Spiels ausgewählt wurde und im gegebenen Fall gespielt wird. d) Wenn mehrere Themen des Spiels angeboten werden, sollte der Spieler nicht gezwungen werden, ein Spiel zu spielen, indem er einfach einen Spieltitel auswählt, außer wenn eindeutig auf dem Monitor des Spiels angekündigt wird, dass es keine Änderungsmöglichkeit bei der Auswahl des Spiels gibt. Wenn dies nicht angekündigt wird, muss es dem Spieler möglich sein, ins Hauptmenü zurückzukehren. e) Die Auswahl oder der Beginn eines neuen Spiels sollte nicht möglich sein, bevor nicht das laufende Spiel abgeschlossen ist und alle entsprechenden Zähler aktualisiert wurden, TEIL 2: Progressive Jackpots Seite 49 einschließlich der Merkmale der Einsätze und anderer Auswahloptionen des Spiels, außer wenn die Aktivierung eines neuen Spiels das laufende Spiel regulär schließt. f) Die Gesamtheit der Spiele oder ihre Zahlungsanzeigetafeln, die dem Spieler zur Auswahl angeboten werden, dürfen nur mit einer sicheren, genehmigten Methode geändert werden, die die Aktivierung und Deaktivierung der zur Verfügung stehenden Spiele beinhaltet. Die Bestimmungen, die in „Einstellungen/Parametrisierung" dieses Schriftstücks beschrieben werden, müssen die Kontrollanforderungen zum Löschen des Speichers NV für diese Arten der Auswahl regeln. Dennoch wird für Spiele, die die Daten der vorherigen Zahlungsanzeigetafeln (die Zahlungsanzeigetafel wurde deaktiviert) in ihrem Speicher speichern, das Löschen des Speichers NV nicht gefordert. g) Keine Änderung an der Gesamtheit der Spiele oder ihren Zahlungsanzeigetafeln, die dem Spieler zur Auswahl angeboten werden, ist gestattet, wenn es Guthaben im Guthabenzähler des Spielers gibt oder ein Spiel gespielt wird; davon ausgeschlossen sind bestimmte Merkmale des Protokolls, das diese Art von Änderungen in einer kontrollierten Weise gestattet. Elektronische Messung im Spielautomaten 3.9.1 Einheiten und Monitor des Guthabenzählers Der Guthabenzähler muss die Guthaben oder ihren Barwert (d. h. in lokaler Währung) verwalten und zu jedem Zeitpunkt alle Guthaben oder den Barwert, der zum Einsatz zur Verfügung steht oder an den Spieler ausgezahlt wird, anzeigen, außer wenn dem Spieler eine Monitorinformation wie ein Element des Menü- oder Hilfe-Monitors angezeigt wird. Der Guthabenzähler, der dem Spieler angezeigt wird, stellt die Summe der drei Guthabenarten dar. Die Guthaben, die für das Spiel zur Verfügung stehen, müssen in der unten stehenden Reihenfolge eingesetzt werden: a) ohne Möglichkeit der Bargeldeinlösung Guthaben für geförderte Spiele, die nicht in Bargeld umgewandelt werden können. Die Guthaben müssen an einem Spielautomaten gespielt werden oder auf ein Wettkonto übertragen werden, b) Geförderte Spiele Guthaben für geförderte Spiele, die in Bargeld umgewandelt werden können, TEIL 2: Progressive Jackpots Seite 50 c) mit der Möglichkeit der Bargeldeinlösung Guthaben, die dem Barwert entsprechen. 3.9.2 Umwandlung in Spielmarken Wenn der aktuelle Betrag in der lokalen Währung kein gleichwertiges Vielfaches des Umrechnungsfaktors in Spielmarken für ein Spiel ist oder der Betrag des Guthabens einen Teilwert hat, dann können die dargestellten Guthaben für dieses Spiel angezeigt werden und als ein Betrag gespielt werden, der gekürzt wurde (d. h. der Teilbetrag wurde entfernt). Dennoch wird der Teilguthabenbetrag dem Spieler zur Verfügung gestellt, wenn das gekürzte Restguthaben Null ist. Der Teilbetrag ist auch als „Restguthaben“ bekannt, siehe auch „Umwandlung in Spielmarken - Restguthaben“ in der Einheit 3.10. 3.9.3 Guthabenzähler – Erhöhung Der Wert eines jeden Preises muss am Ende eines Spiels dem Guthabenzähler des Spielers hinzugefügt werden, außer Preisen, die bar oder auf andere Art und Weise ausbezahlt werden. 3.9.4 Progressive Die progressiven Preise können zum Guthabenzähler addiert werden, wenn: a) der Guthabenzähler in Form eines Betrags in der lokalen Währung verwaltet wird oder b) der progressive Zähler in ganzen Guthabenbeträgen steigt oder c) der progressive Preis in Form eines Betrags der lokalen Währung ordnungsgemäß in Guthaben umgewandelt wird und auf den Guthabenzähler des Spielers so übertragen wird, dass der Spieler nicht irregeführt wird (d. h. durch einen positiven Hinweis „Betrag Gewinnzähler“ und die Abrundung bei der Umwandlung oder Verursachung einer ungleicher Buchung). 3.9.5 Sammlungszähler Es muss einen Sammlungszähler geben, der die Anzahl der Guthaben oder das Bargeld anzeigt, die/das der Spieler durch Einlösung gesammelt hat. Die Anzahl der Guthaben oder das Bargeld, die/das gesammelt wurde(n), müssen/muss vom Guthabenzähler des Spielers abgezogen und dem Sammlungszähler hinzugefügt werden. Dieser Zähler kann Barauszahlungen enthalten. TEIL 2: Progressive Jackpots Seite 51 3.9.6 Zugang zu Informationen des Softwarezählers Die Informationen des elektronischen Zählers dürfen nur einer autorisierten Person zugänglich sein und nur auf Anfrage über ein sicheres Medium angezeigt werden. 3.9.7 Fehler des Softwarezählers Der Spielautomat darf keinen Mechanismus zur Verfügung stellen, durch den ein Fehler, das Löschen eines Zählers oder die Übernahme eines falschen Wertes hervorgerufen werden kann. Die Zähler dürfen sich ohne Wiederherstellung des Arbeitsspeichers nicht zurückstellen (ausgenommen im Fall der Umkehrung) oder die Löschung der Münzen/Spielmarken/Banknoten/Belege vornehmen. 3.9.8 Elektronische Buchungszähler und Anzeigezähler Die elektronischen Buchungszähler müssen eine Länge von mindestens zehn (10) Ziffern haben. Diese Zähler müssen in Guthabeneinheiten gleich ihres Nennwerts oder in Euro und Cent geführt werden. Wenn der Zähler in Form von Euro und Cent geführt wird, müssen acht (8) Ziffern für den Betrag der Euro und zwei (2) Ziffern für den Betrag der Cent verwendet werden. Die Geräte, die für Spiele mit einem mehrfachen Nennwert parametrisiert wurden, müssen die Einheiten in Euro und Cent anzeigen. Der Zähler muss im folgenden Fall auf Null rollen: immer, wenn der Zähler die zehn (10) Ziffern übersteigt und wenn er 9.999.999.999 oder einen anderen entsprechenden Wert erreicht hat. Die Anzeigezähler müssen eine Länge von mindestens acht (8) Ziffern haben, allerdings ist ihr automatisches Rollen nicht erforderlich Die Zähler müssen mit Etiketten gekennzeichnet werden, damit sie in ihrer Funktion verständlich werden. Alle Spielautomaten müssen mit einem Gerät, Mechanismus oder einer Methode zur Erhaltung der Werte für alle Informationen des Zählers, wie in dieser Einheit (3.9) bestimmt, ausgestattet werden, die im Fall eines Stromausfalls im Spielautomaten erhalten bleiben müssen. Die erforderlichen elektronischen Zähler sind (Buchungszähler sind mit einem Stern (*) gekennzeichnet): a) Münzeinwurf* Der Spielautomat muss einen Zähler haben, der den Gesamtwert aller Einsätze oder den Betrag des Einsatzes, der sich aus dem Einwurf der Münzen, Spielmarken, Banknoten, Belege aus einem Guthabenzähler oder auf andere Weise ergibt, erfasst. Dieser Zähler muss: TEIL 2: Progressive Jackpots Seite 52 i. keine Folgeeinsätze von Zwischengewinnen beinhalten, die sich während der Spielfolge ergeben, wie sie aus Spielen mit „Verdoppelung“ erworben werden, ii. für alle Spiele müssen Informationen über den Einwurf von Münzen anhand einer Zahlungsanzeigetafel für die Berechnung des durchschnittlichen theoretischen Rückzahlungsanteils zur Verfügung gestellt werden und iii. für Zahlungsanzeigetafeln mit einem anderen theoretischen Rückzahlungsanteil, der 4 Prozent zwischen den Einsatzkategorien übersteigt, muss das Gerät Eingangszähler für Münzen verwalten und den entsprechenden theoretischen Rückzahlungsanteil für jede Einsatzkategorie mit einem anderen theoretischen Rückzahlungsanteil anzeigen sowie eine Berechnung für den durchschnittlichen theoretischen Rückzahlungsanteil für die Zahlungsanzeigetafel vornehmen. ANMERKUNG: Die Einsatzkategorien, wie sie oben bestimmt sind, gelten nicht für Keno und Geschicklichkeitsspiele. b) Münzauswurf* Der Spielautomat muss einen Zähler haben, der den Gesamtwert aller Beträge erfasst, die direkt vom Gerät als Ergebnis der gewonnen Einsätze ausbezahlt werden; entweder wird die Auszahlung durch die eingebaute Auszahleinheit an den Guthabenzähler oder auf eine andere Weise vorgenommen. Dieser Zähler zeichnet keine gewonnenen Beträge aus einem externen Bonussystem oder eine progressive Auszahlung auf, c) Fallende Münzen* Der Spielautomat muss einen Zähler haben, der den Gesamtwert der Münzen oder Spielmarken, die in die Einheit für fallende Münzen geleitet werden, erfasst, d) Jackpot-Auszahlung durch den Croupier* Der Spielautomat muss einen Zähler haben, der den Gesamtwert aller Beträge der Guthaben, die durch einen Croupier ausbezahlt werden und aus nur einer Spielrunde hervorgehen – einen Betrag, den der Spielautomat nicht selbst ausbezahlen kann – erfasst. Darin sind keine progressiven Beträge oder Beträge aus einem externen Bonussystem enthalten. Dieser Zähler sollte nur Preise aus bestimmten anerkannten Beträgen, die im Blatt für Wechselkurse des Herstellers TEIL 2: Progressive Jackpots Seite 53 aufgeführt werden, berücksichtigen. Jackpots, die im Guthabenzähler gesperrt sind, dürfen den Betrag dieses Zählers NICHT nicht erhöhen, e) stornierte Guthaben, die vom Croupier ausbezahlt wurden* Der Spielautomat muss einen Zähler haben, der den Gesamtwert erfasst, der von einem Croupier an einen Spieler ausbezahlt wurde, der eine Auszahlung begonnen hat, die die physische oder eingestellte Möglichkeit des Geräts, den regulären Betrag auszuzahlen, übersteigt, f) Einwurf physischer Münzen* Der Spielautomat muss einen Zähler haben, der den Gesamtwert der Münzen oder Spielmarken, die in das Gerät eingeführt wurden, erfasst, g) Einwurf von Banknoten* Der Spielautomat muss eine Zähler haben, der den Gesamtwert der akzeptierten Währungen erfasst. Des Weiteren muss der Spielautomat über einen bestimmten Anzeigezähler für jeden akzeptierten Nennwert der Währung verfügen, der die Anzahl der Banknoten, die für jeden Nennwert akzeptiert wurden, aufzeichnet, h) Einwurf Belege und/oder Coupons* Der Spielautomat muss einen Zähler haben, der den Gesamtwert aller Coupons des Spielautomaten, die das Gerät annimmt (auch als „Einwurf Belege“ bezeichnet), erfasst. i) Auswurf Belege und/oder Coupons* Der Spielautomat muss einen Zähler haben, der den Gesamtwert aller Coupons des Spielautomaten und der Auszahlungsbelege, die das Gerät erstellt (auch als „Auswurf Belege“ bezeichnet), erfasst, j) Eingang elektronische Kapitalübertragung* (Eingang EFT) Der Spielautomat muss einen Zähler „Eingang EFT“ haben, der den Gesamtwert der eingelösten Guthaben, die elektronisch durch ein Finanzinstitut auf den Spielautomaten mit einem Einsatzsystem ohne Bargeld übertragen werden, erfasst, k) Eingang bargeldlose Kontenübertragung* (auch bezeichnet als „Eingang Kontenübertragung Einsatz WAT“*) Der Spielautomat muss einen Zähler haben, der den Gesamtwert der eingelösten Guthaben, die elektronisch an den Spielautomaten von einem Einsatzkonto über eine externe Verbindung zwischen dem Gerät und einem bargeldlosen Einsatzsystem übertragen wurden, erfasst, l) Ausgang bargeldlose Kontenübertragung* (auch bezeichnet als „Ausgang Kontenübertragung Einsatz WAT“). Der Spielautomat muss einen Zähler haben, der den Gesamtwert der eingelösten Guthaben, die elektronisch an den Spielautomaten von einem TEIL 2: Progressive Jackpots Seite 54 Einsatzkonto über eine externe Verbindung zwischen dem Gerät und einem bargeldlosen Einsatzsystem übertragen wurden, erfasst, m) Eingang elektronischer Werbeförderungen ohne Möglichkeit der Bargeldeinlösung* Der Spielautomat muss einen Zähler haben, der den Gesamtwert der nicht eingelösten Guthaben, die elektronisch an den Spielautomaten von einem Werbekonto über eine externe Verbindung zwischen dem Gerät und einem bargeldlosen Einsatzsystem übertragen wurden, erfasst, n) Eingang elektronischer Werbeförderungen mit Möglichkeit der Bargeldeinlösung* Der Spielautomat muss einen Zähler haben, der den Gesamtwert der eingelösten Guthaben, die elektronisch an den Spielautomaten von einem Werbekonto über eine externe Verbindung zwischen dem Gerät und einem bargeldlosen Einsatzsystem übertragen wurden, erfasst, o) Ausgang elektronischer Werbeförderungen ohne Möglichkeit der Bargeldeinlösung* Der Spielautomat muss einen Zähler haben, der den Gesamtwert der nicht eingelösten Guthaben, die elektronisch an den Spielautomaten von einem Werbekonto über eine externe Verbindung zwischen dem Gerät und einem bargeldlosen Einsatzsystem übertragen wurden, erfasst, p) Ausgang elektronischer Werbeförderungen mit Möglichkeit der Bargeldeinlösung* Der Spielautomat muss einen Zähler haben, der den Gesamtwert der eingelösten Guthaben, die elektronisch an den Spielautomaten von einem Werbekonto über eine externe Verbindung zwischen dem Gerät und einem bargeldlosen Einsatzsystem übertragen wurden, erfasst, q) Einlösbare Werbeguthabeneinsätze Wenn diese Funktion unterstützt wird, muss der Spielautomat einen Zähler haben, der den Gesamtwert der einlösbaren Werbeguthabeneinsätze, die gesetzt werden, erfasst, Dies betrifft Guthaben, die an das Gerät elektronisch oder über die Couponeinheit oder durch Belege übertragen werden, r) Eingang Werbecoupons* Der Spielautomat muss einen Zähler haben, der den Gesamtwert aller Werbecoupons des Spielautomaten, die das Gerät annimmt, erfasst, s) Ausgabe Werbecoupons* Der Spielautomat muss einen Zähler haben, der den Gesamtwert aller Werbecoupons des Spielautomaten, die das Gerät erstellt, erfasst, TEIL 2: Progressive Jackpots Seite 55 t) Auszahlung externer Boni durch den Automaten* Der Spielautomat muss einen Zähler haben, der den Gesamtwert der zusätzlichen Beträge, die von einem externen Bonussystem verliehen wurden und durch das Gerät ausbezahlt wurden, erfasst, u) Auszahlung externer Boni durch den Croupier* Der Spielautomat muss einen Zähler haben, der den Gesamtwert der zusätzlichen Beträge, die von einem externen Bonussystem verliehen wurden und durch den Croupier ausbezahlt wurden, erfasst. Bonusauszahlungen, die im Guthabenzähler gesperrt sind, dürfen den Betrag dieses Zählers nicht erhöhen, v) Auszahlung eines progressiven Preises durch den Croupier* Der Spielautomat muss einen Zähler haben, der den Gesamtbetrag der Guthaben, die durch den Croupier auf Grund progressiver Preise ausbezahlt wurden und die nicht durch das Gerät selbst ausbezahlt werden können, erfasst. Die progressiven Auszahlungen, die im Guthabenzähler gesperrt sind, dürfen den Betrag dieses Zählers nicht erhöhen, w) Auszahlung eines progressiven Preises durch den Automaten* Der Spielautomat muss einen Zähler haben, der den Gesamtwert der Guthaben, die aufgrund progressiver Preise direkt durch das Gerät ausbezahlt wurden, erfasst. Dieser Zähler beinhaltet keine Preise, die von einem externen Bonussystem ausbezahlt wurden, x) Gespielte Spiele Der Spielautomat muss Zähler haben, die die Anzahl der gespielten Spiele erfassen: y) i. seit der Wiederherstellung der Stromversorgung, ii. seit der Schließung der Außentür und iii. seit Beginn des Spiels (Löschen des Speichers NV), Außentüren Der Spielautomat muss Zähler haben, die die Häufigkeit erfassen, in der seit der letzten Löschung des Speichers NV eine Außentür der Konsole geöffnet wurde, die den Zugang zum verschlossenen Logik-Bereich oder zum Bereich der Banknoten gestattet, z) Ablagefach wurde entfernt Der Spielautomat muss einen Zähler haben, der die Häufigkeit angibt, in der das Ablagefach seit der letzten Löschung des Speichers NV entfernt wurde, aa) Progressive Anzeige Der Spielautomat muss einen Zähler haben, der die Häufigkeit angibt, in der jeder progressive Zähler aktiviert wurde. (Die oben genannte Regel muss als vorsorgliche Notwendigkeit für den Anzeigezähler in jeder progressiven Ebene, die TEIL 2: Progressive Jackpots Seite 56 vom Kontroller unterstützt wird, angesehen werden – gleich, ob es sich um den Spielautomaten selbst handelt oder um einen externen progressiven Kontroller -, wenn er für eine progressive Funktion konfiguriert wurde.) 3.9.9 Bestimmte Zähler der Zahlungsanzeigetafel Außer sämtlichen zentralen elektronischen Buchungszähler, die laut oben Genanntem erforderlich sind, muss jedes einzelne bereitgestellte Spiel die Fortschrittszähler „Gesetzte Guthaben“ (d. h. der gesetzte Betrag) und „Gewonnene Guthaben“ (d. h. der gewonnene Betrag) in Guthaben oder Euro eingestellt haben. Selbst wenn ein sekundäres Spiel verloren wurde, muss auf dem Zähler dieses Spiels der ursprünglich gewonnene Betrag, nicht der Betrag der eingesetzten Guthaben, angezeigt werden. 3.9.9 Zähler der Verdoppelung oder des Einsatzes Für jeden Typ des Merkmals Verdoppelung oder Einsatz müssen genügend Zähler vorhanden sein, damit der tatsächliche Renditenprozentanteil des Merkmals festgestellt werden kann, dessen Genauigkeit jedes Mal ansteigt, wenn ein Spiel mit Verdoppelung oder Einsatz abgeschlossen wurde, einschließlich aller Beträge, die während der Dauer der Zwischenspiele gesetzt und gewonnen wurden. Diese Zähler müssen den gesetzten und gewonnenen Betrag widerspiegeln. Wenn der Spielautomat keine Logistik für Informationen zum Verdoppelungs- oder Einsatzspiel zur Verfügung stellt, muss er die Möglichkeit anbieten, dieses Merkmal zu deaktivieren. 3.10 Umwandlung in Spielmarken – Restguthaben 3.10.1 Allgemeiner Hinweis Wenn Restguthaben vorhanden sind, kann der Hersteller ein Merkmal der Entfernung der Restguthaben oder eine andere gestattete Methode der Einlösung anbieten, damit die Restguthaben entnommen werden können oder der Spielautomat sie in ein reguläres Spiel zurückgibt (d. h. dass aus den Restguthaben des Guthabenzählers des Spielers ein Einsatz wird). Darüber hinaus gilt: TEIL 2: Progressive Jackpots Seite 57 a) Die Restguthaben im Spiel „Restguthaben entfernen“ werden dem Zähler der Betragseinsätze hinzugefügt, während die Restguthaben, die im Spiel „Restguthaben entfernen“ gewonnen wurden, dem Zähler der gewonnenen Beträge hinzugefügt werden, b) c) wenn das Spiel „Restguthaben entfernen“ gewinnt, muss der Wert des Gewinns: i. den Betrag des Guthabenzählers des Spielers erhöhen oder ii. automatisch den Wert der Münze(n) dem Zähler der Gewinnbeträge hinzufügen, alle übrigen geeigneten Zähler des Spielautomaten müssen entsprechend aktualisiert werden, d) wenn das Spiel „Restguthaben entfernen“ verloren wird, muss jedes Restguthaben vom Guthabenzähler abgezogen werden, e) wenn die Restguthaben eingelöst anstatt gesetzt werden, muss der Spielautomat die entsprechenden Zähler (z. B. stornierte Guthaben) sowie die letzten Spielinformationen, die im Spielrückruf enthalten sind, aktualisieren, f) das Spiel „Restguthaben entfernen“ muss dem Spieler mindestens fünfundsiebzig (75 %) Prozent während der Spieldauer zurückgeben, g) die aktuellen Auswahloptionen des Spielers müssen deutlich dargestellt werden, entweder elektronisch oder durch eine Videoanzeige. Diese Auswahloptionen dürfen nicht irreführend sein, h) wenn das Spiel „Restguthaben entfernen“ dem Spieler eine Auswahl zum Abschließen des Spiels anbietet (z. B. eine versteckte Karte auswählen), muss dem Spieler auch die Option „Verlassen des Zustands des Entfernens der Restguthaben und Rückkehr zum vorherigen Zustand“ angeboten werden, i) es ist nicht gestattet, das Spiel „Restguthaben entfernen“ mit einem anderen Merkmal des Spiels zu vermischen (z. B. Verdoppelung oder Einsatz), j) wenn das Spiel „Restguthaben entfernen“ von Spielautomaten für Mehrfachspiele angeboten wird, muss das Spiel (aus Gründen der Zählung jedes einzelnen Spiels), entweder als Teil eines Spiels, das aus einem anderen Spiel hervorging, oder als ein einzelnes Spiel angesehen werden, und k) der letzte Rückruf des Spiels muss entweder das Ergebnis für das Spiel „Restguthaben entfernen“ anzeigen oder ausreichende Informationen (z. B. aktualisierte Zähler) liefern, um das Ergebnis zu erhalten. TEIL 2: Progressive Jackpots Seite 58 3.11 Kommunikationsprotokoll 3.11.1 Allgemeiner Hinweis Die Kommunikation der Spielautomaten muss durch einen DSPServer mittels eines offenen, allgemein anerkannten und weitläufig verwendeten Kommunikationsprotokolls im Bereich der elektronischen Spiele erfolgen, das von der Organisation Gaming Standards Association festgelegt wird. 3.11.2 Schutz der sensiblen Informationen Der Spielautomat darf die Anzeige der Informationen, die in der Kommunikation mit dem Netzüberwachungssystem enthalten und zum Schutz des Kommunikationsprotokolls bestimmt sind oder die sensibel sind, nicht durch einen vom Spielautomaten unterstützten Projektionsmechanismus gestatten. Dazu gehören die entsprechenden Validierungsinformationen, sichere PIN, zertifizierte und sichere Ausgangszahlen und Schlüssel. 3.12 Fehlerbedingungen 3.12.1 Allgemeiner Hinweis Die Spielautomaten müssen in der Lage sein, die unten stehenden Fehlerbedingungen zu ermitteln und darzustellen und für jede von ihnen den Lichtturm aufleuchten oder ein Alarmsignal ertönen zu lassen. Die Fehlerbedingungen müssen zum Ausschalten des Spielautomaten führen und ein Eingreifen des Croupiers erfordern, außer wenn es in dieser Einheit anders bestimmt ist. Die Fehlerbedingungen müssen entweder durch den Croupier oder durch einen Neustart des Spiels nach Behebung des Fehlers gelöscht werden, außer in den Fällen, in denen sie mit einem „*“ gekennzeichnet sind; für diese ist eine weitere Bewertung erforderlich, wenn sie als kritischer Fehler eingestuft werden. Die Fehlerbedingungen müssen an das CPS und PSEE, sofern vorhanden, gesandt werden. 3.12.2 Fehlerbedingung Öffnen der Tür a) Alle Außentüren (z. B. Haupttür, Zentraltür, Decoder), TEIL 2: Progressive Jackpots Seite 59 b) Tür Logik-Bereich, c) Tür Einwurfsbox, d) Tür Ablagefach und e) jeder andere Bereich der Zahlungsmittel, der eine Tür hat. 3.12.3 Übrige Fehlerbedingungen a) Fehlerbedingung Speicher NV (für einen kritischen Speicher)*, b) niedriger Batteriestand im Speicher NV für Batterien außerhalb des Speichers NV oder niedrige Stromversorgung, g) Verlust der Kommunikation mit dem Zentralsystem oder dem Prüfer des Raums oder dem Progressiven Prüfer, h) Programmfehler oder Missverhältnis der Identifizierung*, a) Fehler der Walzenumdrehung, die konkrete Walzennummer muss am Fehlercode erkannt werden. Diese muss unter folgenden Umständen ermittelt werden: i. Zustand der fehlerhaften Umdrehung der Walzen, die das Ergebnis des Spiels beeinflussen, ii. wenn in der Ruhestellung der Walze sich die Fehlstellung über die Hälfte der Breite des kleinsten Symbols zieht, mit Ausnahme der Lücke im Walzenfilm, und iii. Walzen, die durch einen Mikroprozessor gesteuert werden, müssen hinsichtlich einer Fehlfunktion überwacht werden, wie z. B. bei Blockierung einer Walze oder wenn sich die Walze nicht frei dreht oder wenn ein Versuch unternommen wurde, ihre endgültige Ruhestellung zu beeinflussen. 3.12.4 Fehlercodes Für Spiele bei denen Fehlercodes verwendet werden, muss eine Beschreibung der Fehlercodes des Spielautomaten und ihrer Bedeutung im Inneren des Spielautomaten platziert werden. Dies gilt nicht für Video-Spiele. Allerdings müssen die VideoSpiele einen Text mit eindeutiger Bedeutung hinsichtlich der Fehlerbedingungen anzeigen. TEIL 2: Progressive Jackpots Seite 60 3.13 Unterbrechung & Wiederherstellung des Programms 3.13.1 Unterbrechung Nach einer Unterbrechung des Programms muss die Software in der Lage sein, in den Zustand zurückzukehren, in dem sie sich direkt vor der Unterbrechung befand. Eine Rückstellung des Spiels in den Zustand der Beendigung ist unter der Voraussetzung gestattet, dass sein Spielverlauf und alle Zähler der Buchguthaben die Beendigung des Spiels anerkennen. Wenn eine Unterbrechung der Stromzufuhr während der Annahme von Banknoten oder anderer Zahlungsmittel aufgetreten ist, muss die Validierungseinheit für Banknoten entsprechende Guthaben anbieten oder das Zahlungsmittel zurückgeben; es kann allerdings vorkommen, dass nur für einen kurzen Zeitraum die Stromzufuhr unterbrochen wird und das Guthaben nicht zurückgegeben wird. In diesem Fall muss der Zeitraum kleiner als eine (1) Sekunde sein. 3.13.2. Wiederherstellung der Stromversorgung Wenn ein Spielautomat aufgrund eines Fehlerzustands deaktiviert ist, dann muss nach Wiederherstellung der Stromversorgung weiterhin die konkrete Fehlermeldung angezeigt werden und der Spielautomat außer Betrieb bleiben. Dies muss nicht erfolgen, wenn die Deaktivierung der Stromversorgung als Teil der Wiederherstellung des Fehlers verwendet wird oder wenn während der Deaktivierung oder bei Schließung der Tür der Spielautomat eine Kontrolle in Bezug auf den Fehlerzustand durchführt und erkennt, dass der Fehler behoben wurde. 3.13.3 Gleichzeitige Eingaben Das Programm darf durch gleichzeitige oder nacheinander ausgeführte Aktivitäten der verschiedenen Eingaben und Ausgaben nicht negativ beeinflusst werden, wie bei den „Tasten des Spiels“, die - absichtlich oder versehentlich - eine Fehlfunktion oder nicht gültige Ergebnisse hervorrufen könnten. 3.13.4 Wiederherstellung Bei der Wiederherstellung eines Programms müssen die folgenden Prozesse als Mindestanforderung angewendet werden: TEIL 2: Progressive Jackpots Seite 61 a) Die Kommunikation mit einem externen Gerät darf erst aufgenommen werden, wenn die Wiederherstellung des Programms einschließlich der automatischen Tests erfolgreich abgeschlossen ist, b) das Gerät zur Validierung der Banknoten muss bei jeder Aktivierung einen automatischen Test durchführen. Bei einem Scheitern der automatischen Tests muss das Gerät zur Validierung von Banknoten automatisch deaktiviert werden (also in den Zustand der Ablehnung der Banknoten versetzt werden), bis eine Klärung der Fehlerbedingung stattgefunden hat. 3.14 Öffnen/Schließen Tür 3.14.1 Erforderliche Zählung Türen Das Programm muss in der Lage sein, den Zugang zu den unten aufgeführten Türen oder Sicherheitsbereichen zu ermitteln: a) alle Außentüren (z. B. Haupttür, Zentraltür, Decoder), b) Tür Logik-Bereich, c) Tür Einwurfsbox, d) Tür Ablagefach und e) jeder andere Bereich der Zahlungsmittel, der eine Tür hat. 3.14.2 Prozesse Tür öffnen Wenn eine der Außentüren des Spielautomaten geöffnet wird, muss das Spiel unterbrochen werden, eine Fehlerbedingung muss erzeugt werden, es muss eine entsprechende Fehlermeldung angezeigt werden und die Einzahleinheiten der Münzen und Banknoten müssen deaktiviert werden, es dürfen keine Einlösungen dürfen stattfinden und es muss ein Alarmsignal ertönen oder der Lichtturm muss aufleuchten oder beides. 3.14.3 Prozesse Tür schließen Wenn alle Außentüren des Spielautomaten geschlossen werden, muss das Spiel in seinen Ausgangszustand zurückkehren und es muss eine entsprechende Fehlermeldung angezeigt werden, bis das nächste Spiel endet. TEIL 2: Progressive Jackpots Seite 62 3.15 Grenzen der Steuermeldung 3.15.1 Allgemeiner Hinweis Das Spiel muss in der Lage sein, sich selbst zu beenden, wenn ein Preis aus nur einer Spielrunde die Grenze, die von einer Steuerbehörde gefordert wird, übersteigt. 3.16 Prüfungs-/Diagnosefunktionen (Testzustand) 3.16.1 Allgemeiner Hinweis Wenn sich ein Spielautomat im Prüfungs-, Diagnose- oder Testzustand befindet, müssen die Prüfungen, die die eingehenden und ausgehenden Guthaben des Automaten betreffen, bei normalen Betrieb abgeschlossen werden. Außerdem darf es keine andere Funktion geben als die des normalen Betriebs („Spielbereit“), die den Betrag eines elektronischen Zählers erhöhen könnte. Eventuelle Guthaben im Spielautomaten, die während der Prüfungs-, Diagnose- oder Testfunktion erhöht wurden, müssen automatisch vor Verlassen der Funktion gelöscht werden. Bestimmte Zählungen sind für diese Art von Funktionen unter der Voraussetzung gestattet, dass sie durch die Zähler nachgewiesen werden. 3.16.2 Eingang zu den Prüfungs-/Diagnosefunktionen Der Eingang zum Prüfungs/Diagnosezustand ist anhand einer geeigneten Anweisung durch den Croupier während der Dauer des Zugriffs auf eine Kontrollfunktion gestattet. Diese Funktionen dürfen für Spieler nicht zugänglich sein. 3.16.3 Ausgang aus den Prüfungs-/Diagnosefunktionen Nach dem Ausgang aus den Prüfungs/Diagnosefunktionen muss das Spiel in seinen Ausgangszustand zurückkehren, in dem es sich vor dem Eingang in den Testbetrieb befand. 3.16.4 Testspiele Wenn sich der Automat im Testbetrieb der Spiele befindet, muss der Spielautomat deutlich darstellen, dass er sich in einem Testzustand und nicht in einem regulären Spiel befindet. TEIL 2: Progressive Jackpots Seite 63 3.17 Prozesse der Deaktivierung des Spielautomaten 3.17.1 Allgemeine Anforderungen Alle Spielautomaten, die in den Modus Spielstart gesetzt werden und mit dem Online-System kommunizieren, müssen während des Empfangs einer Deaktivierungsmeldung oder eines externen/internen Deaktivierungsmodus, wie bei der Lottery oder durch das aktuelle Kommunikationsprotokoll bestimmt, deaktiviert werden. Der unten stehende Prozess der Deaktivierung wird widerrufen, wenn das Video-Lottery-Terminal oder eines seiner Spiele aus einem beliebigen Grund beendet werden muss: a) Der Erhalt einer Deaktivierungsmeldung MUSS einen ausstehenden Deaktivierungsmodus hervorrufen, in dem der Spielautomat in einen Wartezustand bis zur Beendigung der unten stehenden Szenarien versetzt wird. Die ausstehende Deaktivierung wird als ein Modus definiert, in dem noch keine Aktion stattgefunden hat, mit Ausnahme des Starts und der Anzeige des Zeitzählers und der Anfrage nach der Beendigung des Spiels, wie unten festgelegt. b) Der Adressencode der Deaktivierungsaktion zeigt einen rückläufigen Zeitzähler von fünf Minuten und eine Meldung an, die dem Spieler rät, das Spiel abzuschließen, nachdem die Deaktivierung aktiviert ist. Des Weiteren wird allen Basisspielen, deren besonderen Merkmalen, den Freispielen, den Boni „Einzahlen zum Spielen“ und den Verdoppelungen gestattet, abzuschließen. c) Wenn ein Spielautomat in den Deaktivierungsmodus gesetzt wird, wird ein Beleg direkt nach Abschluss des Spieles ausgedruckt. Der Spielautomat MUSS sofort nach dem Abschluss eines Spieles deaktiviert werden, mit den unten angeführten Ausnahmen: i. Der Start bei Verdoppelungsspielen, die Erweiterungen eines anderen Spiels sind, MUSS gestattet sein, nachdem ein gewonnenes „Basisspiel“ abgeschlossen wurde; und ihre Weiterführung muss gestattet sein, bis ein Spieler: 1) gewinnt und die Option auswählt, nicht wieder zu verdoppeln, oder 2) verliert und die Verdoppelungsrunde abschließt oder 3) bis 4 Minuten und 30 Sekunden seit dem Empfang der Deaktivierungsmeldung oder dem Deaktivierungsmodus vergangen sind. TEIL 2: Progressive Jackpots Seite 64 ii. Andere Spiele, die Bonus-Merkmale anbieten, oder Partien als Erweiterung, sobald ein Ereignis im Basisspiel stattfindet, wie Flush-Spiele, MÜSSEN weitergeführt werden, bis ein Spieler: 1) das gesamte Bonusspiel, das sich auf das Basisgewinnspiel bezieht, abschließt oder 2) bis der Spieler einen Spielwechsel oder eine Einlösung auswählt oder 3) bis 4 Minuten und 30 Sekunden seit dem Empfang der Deaktivierungsmeldung oder dem Deaktivierungsmodus vergangen sind. iii. Andere Spiele, die Freispiele anbieten, oder weitere Monitore mit Merkmalen für Gewinnmöglichkeiten im Basisspiel MÜSSEN weitergeführt werden, bis alle Freispiele oder Merkmale abgeschlossen sind. d) Die Spielautomaten können die letzten 30 Sekunden des 5-Minuten-Countdowns verwenden, um den Spieler an den Monitor zur Einlösung des Guthabens zu leiten, in dem Versuch, ihn dazu zu bringen, vor Ablauf von 5 Minuten eine Guthabeneinlösung zu starten. e) Wenn der Spieler nicht alle Spiele in diesem 5-Minuten-Zeitraum abgeschlossen hat, so wird der Spielautomat automatisch das aktuelle Spiel beenden, es wird deaktiviert und es wird automatisch ein Beleg über den Kontenstand am Automaten ausgedruckt. f) Die unten angeführten Informationen erklären, auf welche Art jeder Spieltyp automatisch das aktuelle Spiel beendet, sobald die 5 Minuten des Countdowns abgelaufen sind. Das automatische Spiel muss den gleichen Bestimmungen folgen wie das reguläre Spiel. i. Poker-Spiele: 1) Wenn sich der Spieler im Draw-Zustand befindet und nicht beschlossen hat, Karten abzulehnen, wird der Spielautomat automatisch das Spiel unter Verwendung der empfohlenen Karten des Spielautomaten abschließen. 2) Wenn sich der Spieler im Draw-Zustand befindet und beschlossen hat, andere Karten als die empfohlenen auswählen, wird der Spielautomat TEIL 2: Progressive Jackpots Seite 65 automatisch das Spiel unter Verwendung der Auswahl des Spielers abschließen. 3) Wenn sich der Spieler in einem speziellen Zustand befindet, wird der Spielautomat automatisch beliebige Symbole auswählen, bis das Merkmal abgeschlossen ist. ii. Walzen Spiele (besondere Merkmale): 1) Wenn sich der Spieler in einem speziellen Zustand befindet, wird der Spielautomat automatisch beliebige Symbole auswählen, bis das Merkmal abgeschlossen ist. 2) iii. Freispiele werden automatisch regulär beendet. Verdoppelungsspiele: 1) Wenn sich der Spieler bei Ablauf des Zeitzählers am Verdoppelungsmonitor befindet, wird der Spielautomat die Gewinne nehmen und den Verdoppelungsmonitor verlassen. g) Wenn der Deaktivierungsmodus während des Countdowns aufgehoben wird, werden die Meldung und der Zeitzähler entfernt und der Automat muss direkt in den ursprünglichen Aktivierungsmodus zurückkehren. 3.18 Rückruf des Spielverlaufs 3.18.1 Anzahl der letzten erforderlichen Spiele Die Informationen der letzten zehn (10) Spiele müssen durch die Verwendung eines geeigneten Außenschlüssel-Schalters, oder einer anderen sicheren Methode, die nicht für den Spieler zugänglich ist, immer abgerufen werden können. 3.18.2 Erforderliche Informationen der letzten Spiels Die Informationen des letzten Spiels müssen alle Informationen beinhalten, die für die vollständige Wiederherstellung der letzten zehn (10) Spiele erforderlich sind. Es müssen alle Werte angezeigt werden einschließlich der Anfangsguthaben oder der Ablaufguthaben, der eingesetzten Guthaben und der gewonnenen Guthaben, der Kombinationen der Symbole der Auszahlungslinie und der eingezahlten Guthaben, unabhängig davon, ob das Ergebnis ein Gewinn oder eine Niederlage war. Diese TEIL 2: Progressive Jackpots Seite 66 Information kann in Form einer Grafik oder eines Textes angezeigt werden. Im Fall eines progressiven Preises genügt ein Hinweis, dass der progressive Preis verliehen wurde, sein Wert muss nicht angezeigt werden. Diese Informationen müssen das Endergebnis des Spiels einschließlich aller Auswahloptionen des Spielers und deren Boni enthalten. Des Weiteren müssen sie die Ergebnisse der Verdoppelungen oder der Einsätze (soweit vorhanden) beinhalten. Anmerkung: Für die oben erwähnten „Informationen des letzten Spiels“ ist die Anzeige der Werte in Währung anstatt in „Guthaben“ gestattet. 3.18.3 Bonusrunden Der Rückruf der letzten zehn (10) Spiele muss die Bonusrunden in ihrer Gesamtheit reflektieren. Wenn eine Bonusrunde „x (Anzahl) Ereignisse“ dauert und jedes mit verschiedenen Ergebnissen endet, so muss jedes von den „x Ereignissen“ mit dem entsprechenden Ergebnis angezeigt werden, unabhängig davon, ob das Ergebnis ein Gewinn oder eine Niederlage war. Der Rückruf muss auch die Ereignisse reflektieren, die von der Position abhängig sind, wenn durch das Ergebnis eine Preisverleihung stattfindet. Die Spielautomaten, die Spiele mit einer veränderbaren Anzahl von Spielzwischenschritten pro Partie zur Verfügung stellen, können eventuell die konkrete Anforderung erfüllen, indem sie die letzten 50 Spielschritte nach jedem Basisspiel anzeigen. TEIL 2: Progressive Jackpots Seite 67 TEIL 2: Progressive Jackpots Version: 1.0 TEIL 2: Progressive Jackpots Seite 68 KAPITEL 1 1.0 ÜBERBLICK - PROGRESSIVE JACKPOTS 1.1 Physikalische Sicherheit 1.1.1 Allgemeiner Hinweis Alle progressiven Bestandteile müssen ausreichend widerstandsfähig sein, um einem gewaltsamen Eindringen standzuhalten. 1.2 Sicherheit des Materials und der Spieler 1.2.1 Allgemeiner Hinweis Die elektronischen und mechanischen Teile und die Planungsprinzipien des Materials der progressiven Bestandteile, die mit den elektronischen Bestandteilen verbunden sind, dürfen den Spieler keiner Gefahr seiner körperlichen Unversehrtheit aussetzen. Das unabhängige Zertifizierungslabor liefert keine Erkenntnisse hinsichtlich der Sicherheit und der Prüfungen der elektromagnetischen Verträglichkeit, dies fällt unter die Verantwortung des Geräteherstellers oder der Käufer. Diese Art Sicherheitstests und Prüfungen der elektromagnetischen Verträglichkeit können aufgrund des besonderen normativen Aktes, der Verordnung, des Gesetzes oder des Rechtsaktes erforderlich sein und müssen jeweils von den Parteien durchgeführt werden, die das besagte Material herstellen oder kaufen. Das unabhängige Zertifizierungslabor führt keine Tests durch, trägt keinerlei Verantwortung und liefert kein Ergebnis in Verbindung mit diesen konkreten Sachverhalten. 1.3 Einwirkung der Umwelt auf die Integrität der progressiven Bestandteile TEIL 2: Progressive Jackpots Seite 69 1.3.1 Norm über die Integrität des progressiven Bestandteils Das unabhängige Zertifizierungslabor führt bestimmte Tests durch, um zu bestimmen, ob die äußeren Einwirkungen den fairen Charakter des Spiels gegenüber dem Spieler beeinflussen oder ob sie Möglichkeiten des Betrugs schaffen. Ein progressives System muss in der Lage sein, den folgenden Tests standzuhalten und dabei seinen Betrieb ohne Eingriff des Bedieners fortzusetzen: a) Elektrostatische Interferenz Zum Schutz vor einem elektrostatischen Überschlag ist eine Erdung der progressiven Bestandteile in der Art erforderlich, dass die Energie des elektrostatischen Überschlags keine dauerhafte Schädigung oder dauerhafte Hemmung des regulären Betriebs der elektronischen oder anderer Bestandteile im Rahmen des progressiven Systems hervorruft. Die Bestandteile des progressiven Systems können eine vorübergehende Unterbrechung aufweisen, wenn sie einer bedeutenden elektrostatischen Entladung ausgesetzt sind, die höher als die Entladung des menschlichen Körpers ist, aber sie müssen über die Möglichkeit verfügen, alle ihre Funktionen wiederherzustellen und zu vervollständigen, die unterbrochen wurden, ohne Verluste oder Verfälschungen der Informationen über die Kontrolldaten oder die wichtigen Daten aufzuweisen, die mit dem progressiven System verbunden sind. Die Prüfungen werden bis zu einem Beanspruchungsgrad von höchstens 27 kV durchgeführt. TEIL 2: Progressive Jackpots Seite 70 KAPITEL 2 2.0 ANFORDERUNGEN FÜR PROGRESSIVE BESTANDTEILE 2.1 Einführung 2.1.1 Allgemeiner Hinweis Ein oder mehrere progressive Spielautomaten müssen direkt oder indirekt an ein mechanisches, elektrisches oder elektronisches Gerät angeschlossen werden einschließlich des Video-Monitors, falls vorhanden -, das den Gewinn, der in einem bestimmten Progressionsrhythmus ansteigt, sowie die gesetzten Guthaben anzeigt. Dieses Gerät ist der progressive Zähler. Für die Spiele, die ein progressives Merkmal aufweisen, wie „Mystery Jackpot“, ist es nicht erforderlich, dass dem Spieler der Gewinn angezeigt wird, aber dem Spieler müssen Informationen zur Verfügung gestellt werden, die das Merkmal beschreiben. 2.2 Anforderungen an das Erscheinungsbild der progressiven Bestandteile 2.2.1 Progressive Monitore Der progressive Zähler muss für alle Spieler, die an dem Gerät spielen, das den progressiven Betrag gewinnen kann, sichtbar sein, wenn die progressive Jackpot-Kombination angezeigt wird, abgesehen von dem „Mystery Jackpot“. Die Spieler müssen darüber informiert sein, dass sie ein progressives Spiel spielen, und dürfen nicht den maximalen Einsatzbetrag spielen, um dies herauszufinden. Die oben genannten Faktoren werden am Installationsort vor der Anwendung bestätigt. Die folgenden Regeln gelten für alle Monitore eines progressiven Zählers: TEIL 2: Progressive Jackpots Seite 71 a) Der progressive Zähler muss den aktuellen Gesamtbetrag des progressiven Jackpots als Geldwert anzeigen. Ferner darf der Polling-Zyklus keine Verzögerung hervorrufen, der Jackpot-Zähler braucht den tatsächlichen Betrag der progressiven Preise nicht zu jedem Zeitpunkt genau angeben, siehe auch Typen der Informationsmonitore, Einheit 2.2.2. Diese Regel gilt nicht für den „Mystery Jackpot“. ANMERKUNG: Bei den Geräten, die über Verdoppelungs-, Verdreifachungsmerkmale usw. verfügen, werden die Gewinne mit Symbolen, die auf die Gewährung des progressiven Preises hinweisen, nicht verdoppelt oder verdreifacht, wenn sie während der Ausführung dieses Merkmals gewonnen wurden, sofern eine solche Absicht bestand. 2.2.2 Typen der Informationsmonitore Die Verwendung von Countern und anderer „inkrementeller“ Informationsmonitore ist gestattet. Der progressive Zähler muss den Wert des Gewinns innerhalb von 30 Sekunden ab der Anerkennung des Jackpots durch das Zentralsystem anzeigen. Im Falle einer Verwendung inkrementeller Informationsmonitoren muss der Zähler des systematischen Jackpots den Wert des Gewinns nach Erhalt des Jackpotzeichens vom Zentralsystem anzeigen. 2.2.3 Digitale Beschränkungen eines progressiven Monitors Wenn der progressive Zähler den höchsten Betrag erreicht, den er anzeigen kann, bleibt der Zähler stehen und verbleibt auf dem maximalen Wert, bis dieser dem Spieler zugestanden wird. Dies kann verhindert werden, indem die Grenze des Jackpots gemäß den digitalen Beschränkungen des Symbols festgelegt wird. 2.2.3 Ausgewechselte Monitore Wenn diese Regel die Anzeige mehrerer Informationen auf dem Spielautomaten oder dem progressiven Zähler vorsieht, genügt es, die Informationen im Durchlaufverfahren anzuzeigen. TEIL 2: Progressive Jackpots Seite 72 2.3 Progressive Preise, die graduell gezahlt werden 2.3.1 Informierung über eine graduelle Zahlung Jeder Inhaber einer Genehmigung, die die graduelle Zahlung eines Preises gestattet, muss sich an die Anforderungen an Monitore und Kennzeichnungen oder die Anforderungen einer internen Kontrolle halten. Dennoch muss der Monitor oder die Kennzeichnung den Wert in Bargeld nicht unbedingt anzeigen. Davon abgesehen, müssen die Spieler deutlich und gut erkennbar über Folgendes informiert werden: a) Dass der zu zahlende Jackpot in Raten und nicht pauschal gezahlt wird, und b) über die zeitliche Dauer, in der die Zahlungen durchgeführt werden. 2.4 Anforderungen an eine progressive Quote und Wahrscheinlichkeiten 2.4.1 Wahrscheinlichkeiten verbundener Spielautomaten Jedes Gerät einer Gruppe verbundener Automaten muss, angepasst an die Zahlungsmittel, mit denen gespielt wird, dieselben Wahrscheinlichkeiten aufweisen, den progressiven Jackpot zu gewinnen. Im Falle von Spielen mit mehreren Zahlungsmitteln müssen die Wahrscheinlichkeiten auf der Grundlage des Geldwerts des Einsatzes konstant bleiben (z. B. 1. Die Wahrscheinlichkeit eines Spiels für 1 € mit zwei (2) Münzen ist eins (1) zu 10.000, während für ein Spiel für 2 € mit zwei (2) Münzen in derselben Verbindung die Wahrscheinlichkeit eins (1) zu 5.000 ist). 2.5 Anforderungen an progressive Prüfer 2.5.1 Allgemeiner Hinweis Alle progressiven Systeme müssen an die Normen für Spiele, die im vorliegenden Schriftstück bestimmt werden, und die Normen für Spielautomaten angepasst werden. Die Anforderungen der vorliegenden Einheit gelten im selben Maße für einen progressiven Spielautomat, der mit einem progressiven Prüfer oder einer internen Kontrolle verbunden ist, wie für mehrere progressive Spielautomaten, die mit einem progressiven Prüfer in einem oder mehreren Räumen verbunden sind. TEIL 2: Progressive Jackpots Seite 73 2.5.2 Beschreibung eines progressiven Prüfers Der progressive Prüfer ist die Software, die die Kommunikation zwischen den Geräten kontrolliert, die die Werte der progressiven Jackpots berechnen und die Informationen im Rahmen einer Verbindung progressiver Spielautomaten und des entsprechenden progressiven Zählers (falls vorhanden) anzeigen (die progressiven Prüfer können sowohl von innen aus auch vom Kontrollprogramm des Spiels aus wirken). Ein progressiver Prüfer kann aus mehreren einzelnen Bestandteilen bestehen und ohne Einschränkung EDV-basierte Rechner, Verkabelungen, Verbindungstafeln und Sammelpunkte usw. enthalten. 2.5.3 Einstellung der Jackpot-Beträge Die Methode, mit der die Werte der Parameter des Jackpot-Systems verändert oder eingegeben werden, muss sicher sein. Alle progressiven Spielautomaten oder genehmigten Bestandteile des progressiven Systems müssen auf Anfrage die folgenden Informationen für jeden angebotenen progressiven Preis (falls vorhanden) anzeigen: a) CURRENT VALUE: aktueller Betrag des Preises b) OVERFLOW: Betrag, der die Grenze übersteigt c) HITS: Häufigkeit, mit der der progressive Preis gewonnen wurde d) WINS: Gesamtwert der Gewinne dieses progressiven Preises oder Verlauf der letzten 25 progressiven Treffer e) BASE: Ausgangswert f) LIMIT: Grenzwert des Jackpots (wenn der Jackpot an der obersten Grenze gewonnen wird, wird diese Norm nicht auf die Beträge angewandt, die den Grenzwert beim folgenden Ausgangswert übersteigen; er wird nach dem Raum-pro-Raum-Prinzip festgelegt) g) INCREMENT: Quote des Erhöhungsrhythmus h) SECONDARY INCREMENT: Quote des Erhöhungsrhythmus nach Erreichen der Grenze i) HIDDEN INCREMENT: Quote des Erhöhungsrhythmus der Reserve j) RESET VALUE: Betrag, auf den der progressive Preis nach dem Gewinn des progressiven Jackpots zurückgesetzt wird, und k) teilnehmende Spielautomaten. TEIL 2: Progressive Jackpots Seite 74 ANMERKUNG: Jegliche Änderung am Jackpotbetrag muss an die örtlichen Verfahren der internen Kontrolle angepasst werden. 2.5.4 Unterbrechung eines Programms eines progressiven Prüfers Nach jeglicher Unterbrechung des Programms (z. B. Unterbrechung der Stromversorgung) muss die Software in der Lage sein, in den Zustand zurückzukehren, in dem sie sich direkt vor der Unterbrechung befand. 2.5.5 Progressiver Prüfer einer internen Verbindung Für die verbundenen progressiven Bestandteile, bei denen der progressive Prüfer einen Teil der Software des Spiels darstellt (interne Verbindung), müssen alle Spiele der Verbindung die folgenden Kriterien erfüllen: a) Es ist eine sichere Methode zur Parametrisierung aller Spiele der Verbindung erforderlich. b) Es dürfen keine Änderungen an den Einstellungen des progressiven Jackpots vorgenommen werden, es sei denn, es handelt sich um eine sichere Methode. c) Jedes Spiel der Verbindung muss über einen eindeutigen Erkennungscode verfügen. d) Nur ein (1) Spiel der Verbindung darf als progressiver Hauptprüfer fungieren. e) Wenn das Spiel so eingestellt ist, dass der zentrale Prüfer außer Betrieb gesetzt ist, müssen alle Spiele der Verbindung unterbrochen werden. f) Wenn ein Spiel der Verbindung die Kommunikation zum zentralen Prüfer verliert, muss das besagte Spiel unterbrochen werden. g) Die Verbindung der progressiven Bestandteile muss in der Lage sein, alle Parameter der progressiven Bestandteile (also Beitrag, Rückstellungsbetrag, Level usw.) anzuzeigen. 2.5.6 Progressive Wiederherstellung eines Programms Bei der Wiederherstellung eines Programms müssen die folgenden Verfahren als Mindestanforderung angewendet werden: TEIL 2: Progressive Jackpots Seite 75 e) die Kommunikation mit einem externen Gerät darf nicht aufgenommen werden, bis die Wiederherstellung des Programms einschließlich der automatischen Tests erfolgreich abgeschlossen ist; f) die Kontrollprogramme des progressiven Systems müssen automatisch auf mögliche Schädigungen aufgrund eines Fehlers in den Speichermedien des Programms geprüft werden. Die Prüfsumme kann bei der Verifizierung verwendet werden. Dennoch wird die Verwendung von Berechnungen der zyklischen Überflusskontrolle (Cyclic Redundancy Check / CRC) als Minimum vorgezogen (mindestens 16 bit). Andere Prüfmethoden werden akzeptiert, wenn sie durch ein annehmbares Maß an Integrität gekennzeichnet sind; und g) die Integrität aller wichtigen Speicherbestandteile wird kontrolliert. 2.5.7 Kommunikationen für die Jackpot-Anzeige Es muss ein sicheres, bidirektionales Kommunikationsprotokoll zwischen der CPU des Spiels und dem progressiven Bestandteil gelten. Darüber hinaus muss das progressive System in der Lage sein: a) den Betrag, der gewonnen wurde, zu Zählungszwecken an den elektronischen Spielautomat zu senden und b) den progressiven Monitor während des Verlaufs des Spiels in der Verbindung laufend zu informieren. 2.5.8 Überwachung der Guthaben, die gesetzt werden Während des regulären Betriebs („Normal Mode“) der progressiven Spielautomaten muss der progressive Prüfer ständig jedes Gerät der Verbindung hinsichtlich der gesetzten Guthaben überwachen und sie mit dem Fortschrittsrhythmus und dem Nennwert multiplizieren, damit die richtigen Beträge für den progressiven Jackpot bestimmt werden. Diese Berechnung muss zu 99,99 % genau sein. 2.5.9 Zugang zum progressiven Prüfer Jeder progressive Prüfer, der in einem Spielautomaten verwendet wird, muss in einer sicheren Umgebung mit Zugang nur für bevollmächtigte Benutzer platziert werden. Der Zugang zum Prüfer muss an die örtlichen Verfahren der internen Kontrolle angepasst werden. TEIL 2: Progressive Jackpots Seite 76 2.5.10 Erforderliche Zähler eines progressiven Prüfers Der progressive Prüfer oder andere genehmigte Bestandteile des progressiven Systems müssen die folgenden Informationen auf einem nicht löschbaren Speicher speichern, der auf Anfrage vorzulegen ist. Abgesehen davon, müssen die Zähler zu 99,99 % genau sein: a) die Anzahl der progressiven Jackpots, die auf jeder Ebene des progressiven Systems gewonnen wurden, wenn auf dem progressiven Monitor mehr als ein (1) gewonnener Betrag angezeigt wird, b) die angehäuften Beträge, die auf jeder Ebene des progressiven Systems gezahlt wurden, wenn auf dem progressiven Monitor mehr als ein (1) gewonnener Betrag angezeigt wird, c) der maximale Betrag des progressiven Gewinns für jede angezeigte Ebene, d) der minimale Betrag des progressiven Gewinns für jede angezeigte Ebene, e) der Fortschrittsrhythmus für jede angezeigte Ebene. 2.5.11 Funktionen des Prüfers und des Monitors während eines Gewinns eines progressiven Jackpots Bei der Registrierung eines progressiven Jackpots in einem elektronischen Spielautomaten, der mit dem progressiven Prüfer verbunden ist, muss der progressive Prüfer die Durchführung der folgenden Aktionen im Gerät und/oder am progressiven Monitor zulassen: a) Anzeige des gewonnenen Betrags, b) Anzeige des Erkennungscodes des elektronischen Spielautomaten, der den progressiven Zähler aktiviert hat, wenn mehr als ein (1) elektronischer Spielautomat mit dem Prüfer verbunden ist, c) der progressive Prüfer muss automatisch auf den Rückstellungsbetrag zurückgestellt werden und das Spiel regulär fortsetzen, und d) Anzeige der neuen progressiven Preise, die für die Verbindung gelten. TEIL 2: Progressive Jackpots Seite 77 2.5.12 Grundbetrag eines progressiven Jackpots Der Anfangsbetrag eines progressiven Jackpots muss ab oder über einem Preis für den konkreten Spielautomaten beginnen, bei dem der Gesamtgewinn des Zählers größer als der minimale prozentuale Anteil ist. 2.5.13 Voraussetzungen für einen Fehler des progressiven Prüfers Im Falle eines Fehlers des Prüfers erfolgt als Erstes ein Monitorwechsel oder eine vergleichbare Maßnahme zwischen der Anzeige des aktuellen Betrags und der jeweiligen Fehlermeldung, oder es wird zunächst der Raum über den Fehler benachrichtigt. Im Falle einer der unten stehenden Ereignisse muss der progressive Prüfer ein geeignetes Signal zur Deaktivierung der Spiele, die den progressiven Prüfer verwenden, senden und eine Fehlermeldung muss auf dem progressiven Zähler, einem anderen genehmigten Bestandteil des progressiven Systems oder dem Spielautomaten angezeigt werden: a) während der „fehlerhaften Kommunikation“ zwischen dem Spiel und dem Prüfer oder an einer beliebigen Stelle des Systems des progressiven Prüfers, b) wenn mehrfache Kommunikationsfehler hervorgerufen wurden, c) wenn ein Fehler der Prüfsumme oder der Signatur des Prüfers vorliegt, d) wenn der RAM-Speicher oder das PSD (program storage device) des Prüfers nicht passen oder ein Fehler hervorgerufen wird, e) wenn die Parametrisierung des Jackpots verloren gegangen oder nicht eingestellt ist, f) wenn eine irrationale Anzahl an Guthaben gesetzt wird (die irrationale Anzahl der Guthaben, die gesetzt wurden, wird von der Einstellung des progressiven Prüfers bestimmt, die auf der Anzahl der Einsätze und der Anzahl der Automaten basiert), oder g) wenn die Zähler des Spiels im Vergleich zu den Zählern des Prüfers (über Kommunikationen zwischen der Platine des Spiels und des Prüfers) bestätigt werden und beide nicht übereinstimmen. 2.5.14 Übertragung des progressiven Jackpots Der progressive Jackpot muss über sichere Mittel zur Übertragung des progressiven Jackpots und/oder der Preise auf andere progressive Prüfer oder andere genehmigte Bestandteile des progressiven Systems verfügen. Die TEIL 2: Progressive Jackpots Seite 78 Übertragung der progressiven Jackpots muss an die örtlichen Verfahren der internen Kontrolle angepasst werden. 2.5.15 Grenzen des Jackpots Die Parameter des Prüfers können mit einer Begrenzung des Jackpots des progressiven Spielautomaten eingestellt werden, wenn die Grenze größer als der Gewinn des Jackpots des Spielautomaten zum Zeitpunkt der Einstellung der Begrenzung ist. Die maximale Grenze des progressiven Jackpots in jedem Raum darf einhunderttausend Euro (100.000 €) nicht übersteigen. Die Begrenzung muss auf dem Gerät oder den Geräten, für das/die sie gilt, oder in dessen/deren Nähe kenntlich gemacht werden. 2.5.16 Zeitliche Grenzen Der progressive Prüfer kann die Möglichkeit haben, zeitliche Grenzen zu bestimmen, die die Zeit beschränken, in der über den progressiven Jackpot verfügt wird. In diesem Fall müssen die Regeln, die die besagten zeitlichen Rahmen betreffen, den Spielern vor dem Beginn des Spiels erklärt werden. 2.6 Progressive Jackpots 2.6.1 Allgemeiner Hinweis Der progressive Jackpot ist ein Preis für eine Gewinn bringende oder nicht Gewinn bringende (z. B. Mystery Jackpot) Partie des Spiels. Ein Bonusspiel, bei dem die Erfüllung bestimmter Voraussetzungen vor der Belohnung mit einem bestimmten Bonuspreis erforderlich ist, stellt keinen progressiven Spielautomaten dar und unterliegt nicht den entsprechenden Verfahren. Der Gesamtpreis kann ein festgelegter Betrag oder ein Betrag sein, der graduell entsprechend den Beträgen, die eingesetzt wurden, ansteigt. 2.6.2 Änderung progressiver Level Für die progressiven Spiele, die mehrere Preislevel anbieten, muss der Spieler immer mit dem höchsten progressiven Betrag belohnt werden, wenn er eine bestimmte Kombination erreicht, die den höchsten Preis aktiviert. Dies geschieht, wenn die Gewinn bringende Kombination höher als eine der verfügbaren Kombinationen der Zahlungstafel bewertet wird (d. h. der Flush ist eine Art Straße und die Straße ist eine Art Royal Flush). So kann es zu Fällen kommen, in denen eine Änderung der progressiven Level erfolgen TEIL 2: Progressive Jackpots Seite 79 kann, damit sichergestellt wird, dass der Spieler mit dem höchstmöglichen progressiven Wert auf der Grundlage aller Kombinationen, die das Ergebnis bestimmen, belohnt wird. 2.6.3 Anforderungen an einen Spielautomaten bei der Gewährung eines progressiven Jackpots Wenn ein progressiver Preis gewährt wird, muss der Spielautomat oder ein anderes progressives Bestandteil die folgenden Aktionen durchführen: a) Es muss eine geeignete Meldung angezeigt werden, b) wenn der Gewinn nicht auf den Guthabenzähler des Spielers übertragen worden ist, müssen die Software und das Spiel ihn bis zur Zahlung des Preises durch den Croupier sperren, und c) alle Zähler, die mit dem progressiven Preis verbunden sind, müssen informiert werden. ANMERKUNG: Der Spieler muss durch ein Aufleuchten oder einen Alarm informiert werden, dass er einen geheimen Jackpot (Mystery Jackpot) gewonnen hat, damit die Möglichkeit abgewendet wird, dass die Spieler es versäumen, den Preis, den sie gewonnen haben, zu beanspruchen. 2.6.4 Voraussetzungen zur Zählung der progressiven Spielautomaten Der elektronische Spielautomat muss seine elektronischen Zähler aktualisieren, damit er den Betrag des gewonnenen progressiven Jackpots in Einklang mit diesen Verfahren und den Anforderungen des elektronischen Buchungszählers für Spielautomaten widerspiegelt. Die progressiven Gewinne können zum Guthabenzähler addiert werden, wenn: a) der Guthabenzähler mit Geldwerten oder Guthaben arbeitet, b) der progressive Zähler in ganzen Guthabenbeträgen steigt, oder c) der Geldpreis bei der Übertragung an den Guthabenzähler des Spielers so in Guthaben umgewandelt wird, dass er den Spieler nicht irreführt. Die Umwandlung von einem Geldwert in Guthaben muss immer gerundet werden. TEIL 2: Progressive Jackpots Seite 80 ANMERKUNG: Progressive Jackpots, die die eventuelle lokale Grenze der Einkommenssteuer übersteigen, müssen durch einen Croupier ausgezahlt werden. 2.7 Unabhängige Validierung des Kontrollprogramms 2.7.1 Allgemeiner Hinweis Für die Software des Prüfers und die entsprechenden wichtigen Programme, die im Rahmen des progressiven Systems verwendet werden, muss es die Möglichkeit geben, die Durchführung einer unabhängigen Kontrolle der Integrität der Software des Geräts durch eine externe Quelle zuzulassen; dies ist für alle Kontrollprogramme erforderlich, die die Integrität des Spiels beeinflussen können. Es muss über die Validierung von einem dritten Gerät, das in die Software des Spiels integriert werden kann (siehe die unten stehende ANMERKUNG), über einen Verbindungsanschluss für dritte Geräte für die Validierung der Medien oder über die Möglichkeit einer Entfernung der Medien zur Validierung außerhalb des Spielautomaten erfolgen. Die Prüfung der Integrität stellt ein Überwachungsmittel zur Validierung der Software für die Anerkennung und die Validierung des Programms dar. Vor der Genehmigung der Geräte muss das unabhängige Zertifizierungslabor die Methode zur Prüfung der Integrität genehmigen. ANMERKUNG: Wenn das Identifizierungsprogramm im Rahmen des Kontrollprogramms fortgesetzt wird, muss der Hersteller vor der Einreichung eine schriftliche Genehmigung vom unabhängigen Zertifizierungslabor erhalten. TEIL 2: Progressive Jackpots Seite 81 TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Version: 1.0 TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 82 KAPITEL 1 1.0 UMWELTRELEVANTE ANFORDERUNGEN UND SICHERHEITSANFORDERUNGEN DES SYSTEMS 1.1 Physikalische Sicherheit 1.1.1 Allgemeiner Hinweis Alle Bestandteile eines Systems müssen ausreichend widerstandsfähig sein, um einem gewaltsamen Eindringen standzuhalten. 1.2 Sicherheit des Materials und der Spieler 1.2.1 Allgemeiner Hinweis Die elektronischen und mechanischen Teile und die Planungsprinzipien des elektronischen Materials dürfen den Spieler keiner Gefahr seiner körperlichen Unversehrtheit aussetzen. Das unabhängige Zertifizierungslabor liefert KEINE Erkenntnisse hinsichtlich der Sicherheit und der Prüfung der elektromagnetischen Verträglichkeit, dies fällt unter die Verantwortung des Produktherstellers oder der Käufer. Solche Sicherheitstests und Prüfungen der elektromagnetischen Verträglichkeit können aufgrund des besonderen normativen Aktes, der Verordnung, des Gesetzes oder des Rechtsaktes erforderlich sein und müssen jeweils von den Parteien durchgeführt werden, die das besagte Material herstellen oder kaufen. Das unabhängige Zertifizierungslabor führt keine Tests durch, trägt keinerlei Verantwortung und liefert kein Ergebnis in Verbindung mit diesen konkreten Sachverhalten. 1.3 Einwirkung der Umwelt auf die Integrität des Systems TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 83 1.3.1 Norm über die Integrität Das unabhängige Zertifizierungslabor führt bestimmte Tests durch, um zu bestimmen, ob äußere Einwirkungen den fairen Charakter des Spiels gegenüber dem Spieler beeinflussen oder ob sie Möglichkeiten des Betrugs schaffen. Ein System muss in der Lage sein, den folgenden Tests standzuhalten und dabei sein Spiel ohne Eingriff des Bedieners fortzusetzen: a) Elektrostatische Interferenz Die Systeme dürfen kein elektronisches Rauschen verursachen, das die Integrität oder den fairen Charakter der umgebenden verbundenen Ausstattung beeinflusst. b) Elektrostatische Interferenz Zum Schutz vor einem elektrostatischen Überschlag ist eine Erdung des Materials des Systems in der Art erforderlich, dass die Energie der elektrostatischen Überschlags keine Schädigung oder Hemmung des regulären Betriebs der elektronischen oder anderen Komponenten des Systems hervorruft. Die Systeme können eine vorübergehende Unterbrechung aufweisen, wenn sie einer bedeutenden elektrostatischen Entladung ausgesetzt sind, die höher als die Entladung des menschlichen Körpers ist, aber sie müssen über die Möglichkeit verfügen, alle ihre Funktionen wiederherzustellen und zu vervollständigen, die unterbrochen wurden, ohne Verluste oder Verfälschungen der Informationen über die Kontrolldaten oder die wichtigen Daten, die mit dem System verbunden sind. Die Prüfungen werden bis zu einem Beanspruchungsgrad von 27 kV durchgeführt. TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 84 KAPITEL 2 2.0. ANFORDERUNGEN AN DIE KOMMUNIKATION 2.1. Kommunikationsprotokoll 2.1.1 Sichere Verbindungen und Kommunikationen, DES oder eine entsprechende Verschlüsselung von Daten Die Verbindungen zwischen allen Bestandteilen des DSP müssen ausschließlich über die Verwendung sicherer Kommunikationsprotokolle, geplant zur Verhinderung eines nicht bevollmächtigten Zugriffs oder einer Verfälschung, unter Verwendung von Verschlüsselungsalgorithmen mit demselben Sicherheitsniveau wie das Protokoll TLS mit 1024-bit RSA Key & 3DES erfolgen. Die zu verwendenden Protokolle müssen Techniken zur Fehlerermittlung und Wiederherstellungsmechanismen zur Verhinderung einer Veränderung der Inhalte verwenden, d. h. es müssen sichere Verbindungen und eine Verschlüsselung zwischen den Verbindungsbestandteilen und dem System verwendet werden. Dieses Sicherheitsniveau ist zwischen dem Spielautomat und dem Verbindungsbestandteil nicht erforderlich, wenn diese innerhalb derselben Konsole oder dem Gehäuse angebracht sind: a) Alle Kommunikationen wichtiger Daten müssen auf einem Protokoll basieren und/oder einen Plan zur Lokalisierung und zur Fehlerkorrektur zur Sicherung der Genauigkeit von neunundneunzig Prozent (99 %) oder mehr für die erhaltenen Meldungen integrieren, b) alle Kommunikationen wichtiger Daten, die die Einnahmen beeinflussen können und bei der Übertragung oder Anwendung nicht gesichert sind, müssen Verschlüsselungsmethoden verwenden. Der Verschlüsselungslogarithmus muss für die Wahrung der sicheren Kommunikation veränderliche Schlüssel oder ähnliche Methoden enthalten. In groben Zügen beschrieben, dürfen Zertifikate, Schlüssel oder Ausgangszahlen nicht in den Code integriert sein und müssen alle sechs Monate im Rahmen des Kommunikationsbetriebs geändert werden, TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 85 c) jede Art Kommunikation, die vollständig innerhalb des Systems stattfindet, muss mit einer Genauigkeit funktionieren, die von dem anzuwendenden Kommunikationsprotokoll bestimmt wird, und d) wenn das System die Verwendung einer bidirektionalen Kommunikation gestattet, müssen die geeigneten Sicherheitsmaßnahmen getroffen werden. 2.1.2 Kommunikationsverlust Im Falle einer Unmöglichkeit des Sendens der erforderlichen Informationen an den DSP muss der Spielautomat außer Betrieb gesetzt werden. Wenn ein Spiel sich im Aufbau befindet, muss ein Mechanismus zur Verfügung stehen, der es ermöglicht, den Punkt des Spiels, an dem die Kommunikation unterbrochen wurde, wiederherzustellen. Andernfalls kann in einem Umfeld mehrerer Spieler der Kommunikationsverlust zum Verlassen des Spiels und Verlust der Einsätze des Spielers führen. 2.1.3 Verschlüsselung Alle Kommunikationen wichtiger Daten müssen über eine Verschlüsselungsmethode (d. h. FIPS 140 Level 2) gesichert werden. Wenn das System die Wahl der Integration einer Verschlüsselung bietet, muss die besagte Verschlüsselung verwendet werden. Die Sicherheitsmeldungen, die die Datenübertragungsleitungen durchlaufen, müssen auf die zu dem entsprechenden Zeitpunkt beste bekannte Verschlüsselungsweise verschlüsselt werden. Ziel ist die Sicherstellung einer erwiesenen Sicherheit der Kommunikationen vor Entschlüsselungsangriffen. Zumindest die unten stehenden Daten müssen in verschlüsselter Form an das/vom Zentralsystem übertragen werden: a) Signatur-Ausgangszahlen (Faktoren von Algorithmen), b) Signaturergebnisse, c) Verschlüsselungsschlüssel, bei denen die gewählte Anwendung die Übertragung von Schlüsseln erfordert, d) Upgrade oder Downgrade einer Software für die gesamte Software, die in Verbindung mit der Sicherheit steht (z. B. Signatur, RNG, Bestimmung des Spielergebnisses, Zahlungssoftware), und e) andere Informationen, die die Sicherheit betreffen. 2.1.4 Mindestlänge der Verschlüsselungsschlüssel TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Die Mindestlänge der Seite 86 Verschlüsselungsschlüssel beläuft sich auf 112 bit für symmetrische Algorithmen und auf 1024 bit für die öffentlichen Schlüssel. 2.1.5 Verwaltung der Verschlüsselungsschlüssel Es muss eine sichere Methode zur Änderung der bestehenden Gruppe von Verschlüsselungsschlüsseln angewendet werden. Die Verwendung von nur der bestehenden Gruppe von Schlüsseln zur „Verschlüsselung“ der folgenden Gruppe ist nicht gestattet. Ein Beispiel einer annehmbaren Methode zur Änderung der Schlüssel stellt die Verwendung von Verschlüsselungstechniken öffentlicher Schlüssel zur Übertragung neuer Gruppen von Schlüsseln dar. 2.1.6 Speicherung der Verschlüsselungsschlüssel Es muss eine sichere Methode zur Speicherung der Verschlüsselungsschlüssel zur Verfügung stehen. Die Verschlüsselungsschlüssel dürfen nicht unverschlüsselt gespeichert werden. 2.1.7 Deaktivierung der Verschlüsselung Es muss eine sichere und durch einen Zugangscode gesicherte Funktion zur Deaktivierung der Verschlüsselung und Verwaltung der Zustände, bei denen ein Problem mit der Kommunikation besteht, zur Verfügung stehen. 2.2 Sicherheit des Systems 2.2.1 Allgemeiner Hinweis Falls der DSP-Server zusammen mit einem anderen Netz verwendet wird, muss die gesamte Kommunikation einschließlich des Remote-Zugangs mindestens eine genehmigte Firewall in einer anwendungsorientierten Schicht durchlaufen und darf über keine Einrichtung verfügen, die einen alternativen Netzzugang gestattet. Wenn ein alternativer Netzzugang zu Redundanzzwecken besteht, muss auch dieser mindestens eine Sicherheitsfirewall in einer anwendungsorientierten Schicht durchlaufen. 2.2.2 Kontrollarchive einer Firewall Die Anwendung der Firewall muss ein Kontrollarchiv der unten stehenden Informationen beinhalten und muss jede Kommunikation deaktivieren und ein Fehlerereignis erzeugen, wenn das Kontrollarchiv voll ist: TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 87 a) alle Änderungen in der Parametrisierung der Firewall, b) alle erfolgreichen und gescheiterten Verbindungsversuche über die Firewall und c) die Quelle und das Ziel der IP-Adressen, die Port-Nummern und die MAC-Adressen. ANMERKUNG: Ein modulierbarer Parameter „gescheiterte Verbindungsversuche“ kann zur Abweisung weiterer Verbindungsanfragen verwendet werden, wenn eine Überschreitung der vorbestimmten Grenze erfolgt. Darüber hinaus muss der Systemadministrator informiert werden. 2.3 Remote-Zugang 2.3.1 Allgemeiner Hinweis Als Remote-Zugang wird ein beliebiger Zugang im System außer dem „zuverlässigen“ Zugang bestimmt. Der Remote-Zugang muss, wo dies gestattet ist, alle Systeme eines Rechners auf der Grundlage der bevollmächtigten Einstellungen des DSP oder der Anwendung der Firewall, die eine Verbindung zu dem DSP erzeugt, identifizieren. Die Sicherheit des Remote-Zugangs wird auf der Grundlage des jeweiligen Sachverhalts in Verbindung mit der aktuellen Technologie und der Genehmigung durch die lokale Regulierungsbehörde untersucht. Unten Stehendes sind zusätzliche Anforderungen: a) keine unautorisierte Verwaltungsfunktion eines Remote-Nutzers (Hinzufügen von Nutzern, Änderung von Genehmigungen usw.), b) kein unautorisierter Zugang zu irgendeiner anderen Datenbank als der Wiedererlangung von Informationen unter Verwendung der bestehenden Funktionen und c) kein unautorisierter Zugang zum Betriebssystem. 2.3.2 Kontrolle eines Remote-Zugangs Der DSP-Server muss automatisch ein Aktivitätsarchiv führen oder über die Möglichkeit verfügen, nicht automatische Archive zu registrieren, die alle Informationen des Remote-Zugangs darstellen und Folgendes enthalten: a) Verbindungsname, b) Uhrzeit und Datum, an dem die Verbindung erfolgte, TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 88 c) Dauer der Verbindung und d) Aktivität während der Verbindung einschließlich der konkreten Bereiche, auf die zugegriffen wurde, und der erfolgten Änderungen. 2.4 Netzkommunikationen 2.4.1 Kommunikationsnetz Das Kommunikationsnetz verbindet die DSP-Server mit der Gesamtheit der Spielautomaten eines Raums. Jedes Kommunikationsnetz muss eine umfangreiche Sicherheit zur Sicherung des Folgenden bieten: a) der zuverlässigen, genauen und getreuen Übertragung aller Daten, die für den ordnungsgemäßen Betrieb der Spiele zwischen dem DSP-Server und den Spielautomaten erforderlich sind, b) der besonderen, operativen Verfügbarkeit des Zentralsystems, c) des Schutzes des privaten und geheimen Charakters der übertragenen Daten, d) der Originalität des Absenders und des Empfängers. Die Kommunikation zwischen einem DSP-Server und den Spielautomaten über eventuell nicht betroffene und nicht autorisierte Rechner ist nicht gestattet, e) wenn der DSP-Server oder die Bestandteile untereinander an ein lokales Netz zur gemeinsamen Verwendung von Funktionen oder anderer Zwecke verbunden sind, müssen Kommunikationsprotokolle verwendet werden, die es den fehlerhaften Daten oder Signalen unmöglich machen, die Funktionen der besagten Systeme oder Bestandteile negativ zu beeinflussen, f) der Austausch von Informationen zwischen zwei oder mehreren DSP-Servern kann über ein Netz spezieller und geschützter Verbindungen gestattet sein, die den unautorisierten Zugang verbieten. Die Einstellungsdetails des Spiels und andere Informationen ohne Anzeigemöglichkeit, wie sie in den übrigen Einheiten der vorliegenden Norm beschrieben werden, stehen nicht zur Verfügung und werden nicht zwischen den verbundenen Systemen oder Installationen übertragen. TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 89 2.4.2 Lokale Netze Die Anforderungen der vorliegenden Einheit betreffen die lokalen Netze (Local Area Network / LAN) einschließlich der seriellen Multidrop-Verbindungen der Spielautomaten, die im Rahmen des Zentralnetzes und in den Glücksspielräumen verwendet werden. a) die Produktionsnetze und die Teile der Produktionskupplung müssen vor einem unautorisierten physischen und logischen Zugriff geschützt werden. Wenn dies nicht möglich ist, müssen sie resistent gegen Abhören und „man-in-the-middle“-Angriffe sein, b) es darf keine Art von nicht produktivem, Entwicklungs-, Test- oder SystemsicherungsZentralrechner, -server oder -client, an das produktive System angeschlossen sein, c) alle Produktionsnetze müssen widerstandsfähig bei großen Belastungen (z. B. BroadcastStürme) oder gegen Fehler anderer produktiver oder nicht produktiver Netze sein. 2.4.3 Weitverkehrsnetze Kommunikationen über ein Weitverkehrsnetz (Wide Area Network / WAN) sind im Rahmen des DSP-Servers gestattet, angesichts der Tatsache, dass: a) die gerichtliche(n) Zuständigkeit(en), innerhalb dem/der DSP-Server betrieben werden soll, nicht die Verbindung vieler Länder verbietet, b) die Kommunikationen über das WAN sicher sind vor Eindringen, Interferenzen und Abhören über Techniken wie die Verwendung eines virtuellen privaten Netzes (VPN), einer Verschlüsselung, Identifizierung usw. und c) im WAN werden nur Funktionen verwendet, die im Kommunikationsprotokoll dokumentiert sind. Das Protokoll muss dem unabhängigen Zertifizierungslabor vorgelegt werden. Die Dokumentation des Protokolls kann in mehreren Teilen erfolgen, z. B. einem Überlieferungsmechanismus und Formen von Meldungen usw. TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 90 KAPITEL 3 3.0 Anforderungen für DSP-Bestandteile 3.1 Verbindungsbestandteil 3.1.1 Allgemeiner Hinweis Alle im Raum installierten Spielautomaten müssen über ein integriertes Gerät oder eine Einrichtung (Verbindungsbestandteil) innerhalb eines sicheren Bereichs des Spielautomaten verfügen, das die Kommunikation zwischen dem Spielautomaten und einem externen Datenspeicher sichert. 3.1.2 Anforderungen an eine Zählung Im Falle einer indirekten Kommunikation mit den Zählern des Spielautomaten muss das Verbindungsbestandteil getrennte elektronische Zählungen ausreichender Länge vornehmen, damit die Möglichkeit des Verlustes der Informationen aufgrund einer Anpassung der Zähler für den jeweiligen verbundenen Spielautomaten verhindert wird. Diese elektronischen Zähler müssen in der Lage sein, auf Anfrage auf einer Ebene der Verbindungskomponente über eine Methode des autorisierten Zugangs überprüft zu werden, siehe auch Einheit 3.3 „Zähler“. 3.1.3 Anforderungen für eine Reservebatterie Die Verbindungskomponente muss die erforderlichen Informationen nach der Unterbrechung der Stromversorgung über einen Zeitraum bewahren, der von der jeweiligen Regulierungsbehörde bestimmt wird. Wenn diese Daten auf einem löschbaren RAM-Speicher gespeichert werden, muss eine Reservebatterie im Inneren der Verbindungskomponente installiert werden, siehe auch Einheit 3.3 „Zähler“. 3.1.4 Ausführliche Kontrollen Bei der Wiederversorgung mit Strom (einschließlich des Neustarts der Verbindungskomponente) müssen ausführliche Kontrollen des Hauptspeichers der Verbindungskomponente durchgeführt werden. TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 91 a) Nach der Wiederversorgung mit Strom muss die Integrität des gesamten Hauptspeichers der Verbindungskomponente überprüft werden. b) Die ununterbrochene Überwachung des Hauptspeichers der Verbindungskomponente gegen Korruption oder über ausführliche Kontrollen, die beim Neustart des Spiels durchgeführt werden, wird empfohlen. c) Davon abgesehen wird die Gewährung der Möglichkeit durch das Kontrollprogramm (Software, die die Funktionen der Verbindungskomponente bedient), in der Verbindungskomponente ununterbrochen die Integrität aller Komponenten des Kontrollprogramms, die sich im nicht löschbaren Speicher befinden, zu sichern, empfohlen. 3.1.5 Anforderungen an eine Adresse Die Verbindungskomponente muss die Erzeugung einer eindeutigen Erkennungszahl zur Verwendung in Verbindung mit einem Archiv des Spielautomaten auf dem DSP-Server gestatten. Diese Erkennungszahl wird von dem DSP-Server zur Lokalisierung aller wichtigen Informationen des verbundenen Spielautomaten verwendet. Davon abgesehen darf der DSP-Server den Zugang der besagten Erkennungszahl zum Archiv des Spielautomaten kein zweites Mal gestatten. 3.1.6 Anforderungen an einen Parametrisierungszugang Das Einstellungs- /Parametrisierungsmenü der Verbindungskomponente darf nur über Methoden mit autorisiertem Zugang verfügbar sein. 3.2 Sicherheitsanforderungen 3.2.1 Zugangskontrolle Der DSP-Server muss eine hierarchische Rollenstruktur, bei der der Zugang in das Programm oder die isolierten Komponenten des Menüs auf der Grundlage des Nutzers und eines Zugangscodes bestimmt wird, oder eine Sicherheitsstruktur des Verbindungs/Geräteprogramms unterstützen, die streng auf dem Nutzer und dem Zugangscode oder der PIN basiert. Des Weiteren darf der DSP-Server die Änderung solcher wichtigen Verbindungsinformationen nicht gestatten, die von dem Spielautomaten abgesendet werden. TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 92 Darüber hinaus muss eine Prognose zur Informierung des Systemadministrators und zur Eintragung eines Ausschlusses eines Nutzers oder eines Kontrollzugangs nach einer bestimmten Anzahl gescheiterter Zugangsversuche vorhanden sein. 3.2.2 Datenänderung Der DSP-Server darf keine Änderung der Informationen des Archivs zur Eintragung der logistischen oder wichtigen Ereignisse gestatten, die entsprechend vom Spielautomaten ohne Prüfungen eines beaufsichtigten Zugangs abgesendet werden. Im Fall einer Änderung der wirtschaftlichen Daten muss er über die Möglichkeit einer automatischen Erzeugung eines Archivs der Prüfungseintragung für das Dokument verfügen: a) Datenbestandteil, der geändert wurde, b) Wert des Datenbestandteils vor der Änderung, c) Wert des Datenbestandteils nach der Änderung, d) Uhrzeit und Datum der Änderung und e) Personal, das die Änderung vornahm (Verbindung des Nutzers). 3.3 Allgemeiner Betrieb & Serversicherheit 3.3.1 Multiserver Ein DSP-Server kann im Wesentlichen eine Sammlung von Servern aus Gründen des Ausgleichs, der Redundanz oder Belastungszweckmäßigkeit sein. Zum Beispiel können zwei oder mehr Spielserver, ein wirtschaftlicher Server, ein Überwachungsserver, ein Download-Server usw. existieren. Das System als Ganzes, das eine Sammlung solcher Server sein kann, muss alle Anforderungen der technischen Vorschrift erfüllen, was aber nicht für jeden Server erforderlich ist. 3.3.2 Serverbasierte Spielsysteme Der Spielserver muss Daten der Kontrolle, Parametrisierung und Informationen in den Spielautomaten entsprechend der jeweiligen Anwendung erzeugen und übertragen, z. B.: a) Guthabenbewegung, b) zufällige Zahlen, c) Spielergebnisdaten, z. B. Kugeln, Karten oder Zylinderhaltepositionen, d) tatsächliche Spielergebnisse oder TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 93 e) Informationen an den Guthabenzähler über Spiele, die gewonnen wurden. 3.3.3 Systembasierte Spielsysteme Bei systembasierten Spielsystemen ist der Server nicht am Festlegungsprozess des Spiel beteiligt, die Hauptfunktionen betreffen also den Download von Kontrollprogrammen und anderer Softwarequellen oder die Erteilung von Kontrollaufträgen und -richtlinien, die die Parametrisierung der Software ändern können, die bereits auf ungleichmäßiger Grundlage auf den Spielautomaten geladen wurde. 3.3.4 Sicherheit Die Server müssen in einem sicheren Computerraum oder einem sicheren abgeschlossenen Einbauschrank außerhalb der Spielautomaten platziert sein. 3.3.5 Schutz gegen Eindringen Alle Server müssen über einen ausreichenden Schutz gegen physisches / logisches Eindringen über einen unautorisierten Zugang verfügen. Idealerweise muss das System vom Hersteller und der Regulierungsbehörde verlangen, einen gemeinsamen und nicht getrennten Zugang zu gewähren. 3.3.6 Anforderungen an einen Parametrisierungszugang Das/Die Einstellungs- /Parametrisierungsmenü/s der DSP-Verbindungskomponente dürfen nicht verfügbar sein, es sei denn, es wird eine sichere Methode mit einem autorisierten Zugang verwendet. 3.3.7 Programmierung eines Servers Es dürfen keine Mittel zur Durchführung einer Programmierung durch irgendeinen Nutzer am Server mit irgendeiner Parametrisierung zur Verfügung stehen, z. B. darf der Nutzer nicht in der Lage sein, SQL-Meldungen zur Änderung der Datenbank abzugeben. Dennoch ist es gestattet, dass die Netzwerkadministratoren eine autorisierte Wartung der Infrastruktur des Netzwerkes mit den ausreichenden Zugangsrechten durchzuführen, die die Verwendung von SQL-Meldungen beinhalten, die bereits auf dem System bestanden. 3.3.8 Schutz gegen Viren Es wird empfohlen, dass alle Server und alle Client-Geräte über einen ausreichenden Virenschutz verfügen, sofern dies möglich ist. TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 94 3.3.9 Kopierschutz Auf Servern und Clients kann ein Kopierschutz angewendet werden, um eine nicht autorisierte Verbreitung oder Änderung der Software zu verbieten, unter der Voraussetzung, dass: a) die Kopierschutzmethode vollständig dokumentiert ist und dem unabhängigen Zertifizierungslabor zur Verfügung gestellt wird, welches bestätigt, dass der Betrieb des Schutzes gemäß dem Beschriebenen erfolgt und b) jedes Gerät, das der Anwendung des Kopierschutzes unterliegt, einzeln über die Methode bestätigt werden kann, die in der Einheit 3.7.2 beschrieben wird. 3.4 Anforderungen an Datenstationen 3.4.1 Betrieb eines Jackpots/Einwurfs Jedes DSP-System muss über eine Anwendung oder Einrichtung verfügen, die die Gesamtheit der Barauszahlungsmeldungen aller Spielautomaten aufzeichnet und verarbeitet. Die Barauszahlungsmeldungen müssen für einzelne Gewinne (Jackpots), progressive Jackpots und angehäufte Einlösungen von Guthaben (stornierte Guthaben) erzeugt werden, die in Barauszahlungen enden. Ein Einwurf (Fill / Einzahlung eines vorbestimmten oder auf andere Weise genehmigten Betrags in Spielmarken in die Lagereinheit eines Spielautomaten) wird gewöhnlich durch eine Meldung einer leeren eingebauten Auszahleinheit aktiviert, während ein Guthaben (Entfernung überzähliger Spielmarken aus einem Spielautomaten) gewöhnlich durch den Nutzer aktiviert wird. Eine akzeptierte Ausnahme hinsichtlich der Aktivierung des Einwurfs ist die Unterstützung eines präventiven oder Wartungsbetriebs einer Zahlung durch das System, bei der die Transaktion von dem System oder einem autorisierten Nutzer aktiviert werden kann. Nach der Registrierung müssen ausreichende Zugangskontrollen hinsichtlich der Autorisierung, der Änderung oder der Löschung irgendeines Werts vor der Zahlung oder der Durchführung zur Verfügung stehen. 3.4.2 Steuermeldeschwelle Jede Barauszahlungsmeldung für ein einzelnes Gewinnereignis, das in der entsprechenden Anwendung durch die entsprechend autorisierte Person bestätigt wird, und das dem Wert der Steuermeldeschwelle entspricht oder höher ist, muss den Nutzer über die Notwendigkeit der entweder über den DSP-Server oder handschriftlichen Ausfüllung eines TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 95 Steuermeldeformulars informieren. Die Auslassung dieser Auswahl darf nicht gestattet sein. Die gesperrte Wiederherstellungsmöglichkeit zur Rückzahlung der Gewinne aus einem steuerpflichtigen Ereignis in den Spielautomat muss den Eingriff des Nutzers zum Widerruf des anfänglichen Jackpot-Belegs, der erzeugt wurde, erfordern. 3.4.3 Informationen von Jackpot-/Einwurfbelegen Die unten stehenden Informationen sind für sämtliche Belege erforderlich, die mit einigen/allen Feldern erzeugt werden, die vom DSPServer ausgefüllt werden, und werden an das CPS gesendet: a) Belegart, b) Belegerkennungsnummer (aufsteigend je Ereignis), c) Datum und Uhrzeit (kann falls erforderlich geändert werden), d) Nummer des Spielautomaten, e) Unterteilung, f) Betrag des Einwurfs, g) Betrag des Jackpots, der angehäuften Guthaben und der zusätzlichen Zahlung, h) Empfehlung einer Steuermeldung, falls vorhanden, i) zusätzliche Zahlung, falls vorhanden, j) Gesamtbetrag vor Besteuerung und einbehaltener Steuern, falls vorhanden, k) Betrag des Kunden, l) gesamte Münzen, die gespielt wurden, und Spielergebnisse des Preises m) Hinweise des Zählers und n) entsprechende Signaturen, wie von der Kommission zur Überwachung und Kontrolle von Spielen gefordert ist. ANMERKUNG: Die Punkte „b“ bis „f“, „m“ und „n“ betreffen die Einwurfbelege, und die Punkte „b“ bis „e“ und „g“ bis „n“ betreffen die Jackpot-Belege. Die oben stehenden Informationen können entsprechend den internen Kontrollen der jeweiligen Gerichtsbarkeit abweichen und können erforderlich sein oder auch nicht. TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 96 3.5 Versagen des Systems 3.5.1 Allgemeiner Hinweis entsprechenden Daten im Der DSP-Server wurde zum Schutz der Integrität der Falle eines Versagens programmiert. Kontrollarchive, Systemdatenbanken und jegliche andere entsprechende Daten müssen unter Verwendung von logischen Schutzmethoden gespeichert werden. Wenn Festplatten als Speichermedien verwendet werden, muss die Integrität der Daten im Fall eines Versagens der Festplatte gesichert sein. Zu den akzeptierten Methoden gehören mehrfache Festplatten in akzeptierter RAID- Parametrisierung oder gespiegelte Daten auf zwei oder mehreren Festplatten. Die verwendete Methode muss darüber hinaus eine offene Unterstützung für Sicherheitskopien und Austausch gewähren. Die Anwendung des Programms zur Erstellung von Sicherheitskopien muss mindestens einmal pro Tag durchgeführt werden, auch wenn alle Methoden auf der Grundlage des jeweiligen Sachverhalts vom unabhängigen Zertifizierungslabor untersucht werden. . Der physische Standort dieser Systeme zur Wiederherstellung von Daten und zur Erstellung von Sicherheitsdaten muss ein anderer als der Standort sein, an dem der DSP-Server installiert ist. 3.5.2 Anforderungen an eine Wiederherstellung Im Fall eines zerstörerischen Versagens, bei dem der Neustart des DSP auf keine andere Weise möglich ist, müssen das Neuladen der Datenbank ab dem letzten wiederherstellbaren Punkt der Sicherheitskopien und die vollständige Wiederherstellung der Inhalte durch die Erstellung dieser Sicherheitskopien, die wenn möglich mindestens die unten stehenden Informationen enthalten sollen, gestattet sein: a) wichtige Ereignisse, b) Kontrollinformationen, c) konkrete lokale Informationen, wie Parametrisierung des Spiels, Sicherheitskonten usw. 3.6 Selbstüberwachung 3.6.1 Allgemeiner Hinweis Der DSP-Server muss die automatische Überwachung aller wichtigen Verbindungskomponenten des DSP (z. B. Zentralrechner, Netzgeräte, Firewalls, TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 97 Verbindungen mit Dritten usw.) anwenden und die Möglichkeit haben, den Systemadministrator effektiv über den Status zu informieren, unter der Voraussetzung, dass der Status nicht zerstört ist. Der DSP-Server muss in der Lage sein, diese Funktion mit einer Frequenz von einmal in 24 Stunden durchzuführen. Die Anwendung von Programmen zur automatischen Überwachung wird auf der Grundlage des jeweiligen Sachverhalts vom unabhängigen Zertifizierungslabor untersucht. Darüber hinaus werden alle DSP-Server auf der Grundlage des jeweiligen Sachverhalts untersucht und ferner kann eine Aktion vom System entsprechend der Schwere des Versagens durchgeführt werden. 3.7 Kontrolle der Systemfunktionen 3.7.1 Allgemeiner Hinweis Jedes System muss mindestens die folgenden Funktionen zur Kontrolle der Systemfunktionen durchführen: a) Erkennung der Identität eines Spielautomaten, eines Automaten zur Einlösung eines Spielcoupons oder eines anderen Einlösungsstandorts, von dem die Übertragung der Daten durchgeführt wurde, b) Absicherung, dass alle Daten, die bei jeder Übertragung gesendet werden, bei Empfang vollständig und genau sind. Dies setzt die Verwendung einer Methode zur Sicherung der Nichtverfälschung oder Änderung des Datenpakets bei der Übertragung voraus (z. B. Verwendung von CRC am Ende der Datenpakete zur Sicherung der Genauigkeit der Daten, die heruntergeladen werden), c) Aufspüren des Vorhandenseins verfälschter oder verlorener Datenpakete und je nach Fall Ablehnung der Übertragung und d) Verwendung eines geeigneten Verschlüsselungssystems, wie z. B. Verschlüsselung eines öffentlichen/privaten Schlüssels, für alle wichtigen Datenübertragungen, wie die Übertragungen, die eine Scheinseriennummer, Informationen eines Spielautomatenzählers oder andere Informationen enthalten, die für die Berechnung oder die Bestätigung der Bruttoeinnahmen verwendet werden. TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 98 3.8 DSP-Server, die für den Betrieb von serverunterstützten/serverbasierten Spielen verwendet werden 3.8.1 Allgemeiner Hinweis Der Spielsystemserver (DSP) kann ausschnittweise als serverbasiertes Spielsystem (Server Based Game System / SBGS) oder serverunterstütztes Spielsystem (Server Supported Game System / SSGS) definiert werden. In beiden Fällen kann er als Kombination eines Zentralservers, Verbindungskomponenten festgelegt werden, Spielautomaten die kollektiv für und den gesamten die Verbindung des Spielautomaten mit dem Zentralserver zur Durchführung von Millionen Funktionen in Verbindung mit den Glücksspielen arbeiten, die Folgendes enthalten können: a) Empfang der Spielsoftware an den Spielautomaten, b) Erzeugung zufälliger Zahlen des Zentralservers, c) feine Spielparametrisierungen des Clients. ANMERKUNG: Das Kommunikationsnetz kann vollständig innerhalb eines einzigen Raums (LAN) oder in einem Weitverkehrsnetz (WAN), von dem ein Server in der Lage ist, Spielautomaten in mehreren Räumen zu unterstützen, enthalten sein. 3.8.2 Definition eines serverbasierten Spielsystems (Server Based Game System / SBGS) Die Kombination eines Servers und Spielautomaten, bei der das gesamte Spiel oder ein abgeschlossener Teil des Inhalts des Spiels auf dem Server basiert. Dieses System arbeitet sammelnd auf eine Weise, mit der der Spielautomat nicht in der Lage ist zu funktionieren, wenn er vom System getrennt ist. 3.8.3 Definition eines serverunterstützten Spielsystems (Server Supported Game System / SSGS) Die Kombination eines Servers und eines oder mehrerer Spielautomaten, die gemeinsam den Transfer des gesamten Kontrollprogramms und des Inhalts des Spiels auf den oder die Spielautomaten zum Zweck des Empfangs der Kontrollprogramme und anderer Softwarequellen auf dem Spielautomaten in getrenntem Zustand gestatten. Die Spielautomaten, die mit dem System verbunden sind, sind in der Lage, unabhängig vom System zu funktionieren, wenn der TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 99 Empfangsprozess abgeschlossen ist. Diese Parametrisierung beinhaltet Fälle, in denen das System die Kontrolle über Peripheriegeräte oder eine entsprechende Ausstattung bekommen kann, die gewöhnlich als Teil eines Spielautomaten erachtet wird, wie eine Einheit zur Einlösung von Geldscheinen oder ein Drucker. In einem Spiel, das von einem System unterstützt wird, wird das Ergebnis des Spiels von den Spielautomaten bestimmt, die mit dem System verbunden sind, und nicht von dem System selbst. Der Spielautomat ist in der Lage zu funktionieren, wenn er vom System getrennt wird. 3.8.4 Anforderungen für einen Serverrückruf Der Server, der ein serverbasiertes Spiel unterstützt, muss in der Lage sein, die unten stehenden Monitorinformationen zu gewähren: a) Eine abgeschlossene Spielhistorie für die Spiele, die kürzlich gewonnen wurden, und mindestens neunundzwanzig (29) Spiele vor dem letzten Spiel für jede Clientstation, die mit dem Spiel verbunden ist, das auf einem Server basiert. Auf dem Monitor muss auf das Spielergebnis (oder eine stellvertretende Entsprechung), die Spielzwischenschritte (wie eine Folge von „Halten und Ziehen“ oder eine Double-down-Folge), die verfügbaren Guthaben, die Einsätze, die gezahlten Guthaben oder Münzen und die angehäuften Guthaben hingewiesen werden. Die Möglichkeit, einen Rückruf des Spiels zu tätigen, muss am Client für Rückrufinformationen verfügbar sein, die insbesondere mit der konkreten Station des Clients verbunden sind, von dem aus der Rückruf des Spiels getätigt wird. Die Möglichkeit, einen Rückruf des Spiels zu tätigen, für jeden einzelnen und für alle Clients, die das serverbasierte Spielsystem verbessern, muss vom System oder einem Teil des SBGS-Servers aus zur Verfügung stehen. Die Anforderung der Anzeige des Spielrückrufs gilt für alle Programme eines Spiels, das auf dem Teil des Servers des serverbasierten Spiels installiert ist. b) Eine abgeschlossene Transaktionshistorie für Transaktionen mit einem Einsatzsystem ohne Bargeld, um die letzten und die vierunddreißig Transaktionen vor der letzten Transaktion für jede Clientstation zu beinhalten, die einer der Eingangs- oder Ausgangszähler ohne Bargeld erhöhte. Die Möglichkeit der Erstellung der Transaktionshistorie muss auf dem Spielgerät für die Transaktionshistorie zur Verfügung stehen, das insbesondere mit dem konkreten Spielautomat verbunden ist, von dem aus die Anfrage auf die Historie getätigt wird. TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 100 3.9 Bibliothek heruntergeladener Daten 3.9.1 Allgemeiner Hinweis Die Bibliothek heruntergeladener Daten bezieht sich auf die formelle Speicherung aller genehmigten Datenarchive, die auf die Spielautomaten geladen werden können, einschließlich der Kontrollsoftware und Spielsoftware, der peripheren Firmware, der Parametrisierungsdaten usw. 3.9.2 Aktualisierung der Bibliothek heruntergeladener Daten Wo dies vorkommen kann, muss die Eintragung ausschließlich in die Bibliothek der heruntergeladenen Daten des DSP über einen sicheren Zugang erfolgen, der von der Regulierungsbehörde kontrolliert wird, und in diesem Fall muss der Hersteller und/oder der Nutzer in der Lage sein, Zugang zu der Bibliothek heruntergeladener Daten zu haben, unter der Voraussetzung, dass dieser Zugang nicht das Hinzufügen neuer Archive heruntergeladener Daten zulässt, oder dass die Eintragung in die Bibliothek heruntergeladener Daten ausschließlich unter Verwendung einer Methode erfolgt, die vom unabhängigen Zertifizierungslabor und der Regulierungsbehörde akzeptiert ist. 3.9.3 Kontrollarchiv der Bibliothek heruntergeladener Daten Eventuelle Änderungen, die in der Bibliothek heruntergeladener Daten erfolgen, einschließlich des Hinzufügens, der Änderung oder der Löschung von Spielprogrammen, müssen in einem nicht verfälschbaren Kontrollarchiv gespeichert werden, das Folgendes enthält: a) Uhrzeit und Datum des Zugangs und/oder des Ereignisses, b) Verbindungsname und c) Archive der heruntergeladenen Daten, die hinzugefügt, verändert oder gelöscht wurden. 3.9.4 Kontrollarchiv der Downloadaktivität Die Verzeichnisse der Aktivität zwischen dem Server und dem Client, die den Download der Programmsoftware, die Anpassung der Einstellungen/Parametrisierungen des Clients oder die Aktivität der Programmsoftware, die in der Vergangenheit heruntergeladen wurde, beinhalten, müssen in einem nicht verfälschbaren Kontrollarchiv gespeichert werden, das Folgendes beinhaltet: TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 101 a) den/die Spielautomaten, auf den/die das Spielprogramm heruntergeladen wurde und, sofern dies der Fall ist, das Programm, das ersetzt wurde, b) den/die Spielautomaten, auf dem/denen das Spielprogramm aktiviert wurde und das Programm, das ersetzt wurde, und c) die Änderungen in den Einstellungen/Parametrisierungen der Modulation des Spielautomaten, und welche Änderungen dies waren. 3.10 Download von Datenarchiven eines Spielautomaten und Kontrollprogrammen 3.10.1 Allgemeiner Hinweis In diesem Kapitel werden die Anforderungen an den DSP-Server während des Downloads der Software, der Spiele und anderer Daten zur Parametrisierung auf die Spielautomaten beschrieben, wenn der Server die Funktion des Downloads von Kontrollprogrammen und sonstiger Software-Ressourcen unterstützt, sowohl für serverbasierte Spielsysteme als auch für systemunterstützte Spielsysteme. 3.10.2 Kontrollprogramme In dieser Einheit werden detailliert die minimalen technischen Normen beschrieben, die, sofern dies der Fall ist, beim Download/der Aktivierung von Kontrollprogrammen vom SSGS-Server auf den Spielautomaten eingehalten werden müssen: a) Der Spielautomat und/oder der DSP-Server müssen über eine Methode zur Überwachung und Meldung an das System zur Überwachung der Slots jedes Zugangs auf den externen Port während des Vordergrundprogramms Downloadprozesses verfügen. und/oder Wenn der der Aktivierung DSP-Server eines keine Überwachungsmöglichkeit des Portzugangs während des Downloadprozesses und/oder der Aktivierung eines Vordergrundprogramms hat, muss der Bericht des unabhängigen Zertifizierungslabors auf diesen Umstand hinweisen, sodass die internen Kontrollen so entwickelt werden können, dass die Sicherheit der Spielautomaten gesichert wird, hauptsächlich hinsichtlich der Orte der Zähler, wo dies der Fall ist. TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 102 b) Vor der Ausführung einer aktualisierten Software muss sich der Spielautomat für vier Minuten im Standby-Modus befinden, und die Software muss erfolgreich bestätigt worden sein, wie in der Einheit über die Bestätigung eines Kontrollprogramms der geltenden Spieleverordnungen bestimmt ist. c) Vor dem Hinzufügen oder Entfernen irgendeiner Software von einem Spielautomaten oder einer Clientstation, die einen Teil eines systemunterstützten Spiels darstellt, das zum Verlust oder der Änderung obligatorischer Informationen des Softwarezählers führen könnte, müssen die gesamten Zählerinformationen erfolgreich an ein Slot-Logistiksystem gemeldet werden. d) Die Durchführung einer kriminologischen Analyse des Spiels muss möglich sein, die eventuell die Anzeige der Spieldaten auf dem DSP-Server und/oder die Möglichkeit der Rücksendung der Spieldaten an einen anderen Spielautomaten aus Untersuchungsgründen beinhaltet. 3.11 Steuerung der Parametrisierungen eines Spielautomaten 3.11.1 Spielautomatenverwaltungsfunktion Jeder DSP-Server, der installiert werden soll, muss mindestens die folgenden wesentlichen Verwaltungs- und Betriebsmöglichkeiten gewähren: a) Der DSP-Server muss in der Lage sein, die Funktionen eines Spiels direkt zu starten oder zu löschen, indem er einen einzelnen elektronischen Spielautomaten, eine Gruppe elektronischer Spielautomaten oder alle elektronische Spielautomaten deaktiviert oder aktiviert. Der Lieferant muss einen Prozess zur Ausführung eines Deaktivierungsauftrags durch den DSP-Server, der den Betrieb der elektronischen Spielautomaten unterbricht, und einen Prozess zur Ausführung eines Starts durch den CPS anbieten. Die Möglichkeiten einer automatischen und von Hand gesteuerten Deaktivierung müssen durch den CPS verfügbar sein. b) Der DSP-Server muss in der Lage sein, die elektronischen Spielautomaten des Raums oder des Systems mit nur einem Auftrag pro Typ zu aktivieren und zu deaktivieren. TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 103 c) Der DSP-Server muss in der Lage sein, die elektronischen Spielautomaten des Raums oder des Systems mit nur einem Auftragstyp zu aktivieren und zu deaktivieren. d) Der DSP-Server muss in der Lage sein, die das Programm der elektronischen Spielautomaten des Raums oder des Systems mit nur einem Auftragstyp zu aktivieren und zu deaktivieren. e) Der DSP-Server muss über eine zentrale „Slot-Datei“ verfügen, die eine Datenbank für jeden Spielautomaten darstellt, der sich im Betrieb befindet, einschließlich mindestens der folgenden Informationen für jede Eintragung. Wenn der DSP-Server irgendeine dieser Parameter direkt vom Spielautomaten wiedererlangt, müssen ausreichende Steuerungen zur Absicherung der Genauigkeit der Informationen zur Verfügung stehen. i. eindeutige DSP-/Standortserkennungsnummer, ii. Spielautomatenerkennungsnummer, wie vom Standort bestimmt worden ist, iii. Standort, iv. Gerätebeschreibung, v. Name/-n oder Thema/Themen des Spiels, vi. Zahlungsmittel des Spielautomaten (es ist zu berücksichtigen, dass im Falle der Spielautomaten mit mehreren Zahlungsmitteln das Zahlungsmittel irgendeinen anderen Wert widerspiegelt), f) vii. Theoretische Wartezeit des Spielautomaten, viii. Steuerungsprogramm(e) innerhalb des Spielautomaten, ix. Historie von Aktualisierungen, Bewegungen und Neu-Parametrisierungen und x. andere Informationen, die für notwendig erachtet werden. Der DSP-Server muss in der Lage sein, die elektronischen Spielautomaten getrennt und kollektiv einzutragen. g) Der DSP-Server muss die Möglichkeit haben, die Parameter des elektronischen Spielautomaten beim anfänglichen Eintragungsprozess einzustellen, damit das „Vorbereiten“ der Parameter, die auf dem System des elektronischen Spielautomaten basieren (z. B. Zahlungsmittel, Geldeinheiten, Zahlungsanzeigen usw.), auf dem Spielautomaten oder ihre Wiedererlangung aus den elektronischen Spielautomaten und deren Validierung durch den CPS gestattet wird. TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 104 h) Der DSP-Server muss so programmiert sein, dass die typischen Arbeiten der Systemnutzer - einschließlich der Eingabe von Daten des elektronischen Spielautomaten, der Eintragung, der Parametrisierung, der Umstellung und der Deaktivierung der elektronischen Spielautomaten - einfach und effektiv sind und so wenige Schritte wie möglich erfordern. Die Möglichkeit der Wahl mehrerer Geräte für jede Funktion und die Möglichkeit der Kopie von Informationen muss gegeben sein. 3.11.2 Änderung der Parametrisierung der Zahlungs-/Zahlungsmittelanzeigetafel Die Steuerungsprogramme eines Spielautomaten, die mehrere Anzeigetafeln für Zahlungen und/oder Zahlungsmittel, die über den Server moduliert werden, bieten, dürfen keine Einstellungsprüfung für die Änderung der Steuerungstafel, die gewählt wurde, erfordern, unter der Voraussetzung, dass: a) alle Zahlungsanzeigetafeln, Anteilsanforderungen und die den verfügbar sind, Wahrscheinlichkeiten den lokalen einer theoretischen Gewinnrückzahlung entsprechen, sofern dies der Fall ist, b) der Spielautomat und/oder der DSP-Server die Zähler von Beträgen, die gesetzt wurden, und Beträgen, die gewonnen wurden, innerhalb des Hauptspeichers für jede der verfügbaren Zahlungsanzeigetafeln speichert, c) der Spielautomat die Hauptkontostandzähler in Dollar und Cent oder in der geringsten für die lokale Währung verfügbaren Unterteilung führt, d) das Spiel sich während der Durchführung der Aktualisierung in einem Standby-Modus befindet und e) die Änderung kein ungenaues Guthaben und keine ungenaue Zahlung verursacht (also Spiele, die eingebaute Auszahl- und Einzahleinheiten mit einer konstanten Unterteilung verwenden). 3.11.3 Löschung von Inhalten des Hauptspeichers des Spielautomaten Der Löschvorgang von Inhalten des Speichers der Spielautomaten über den DSP-Server muss eine sichere Methode verwenden, die eine Einstellungskontrolle erfordert. Für die Systeme, die an diese Regel angepasst sind, muss die Regulierungsbehörde die Methode, die verwendet wird, genehmigen. TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 105 ANMERKUNG: Die Löschung der Inhalte des Hauptspeichers, der kein RAM-Speicher ist, oder anderer Speicher muss dieselben Anforderungen erfüllen, die in der vorliegenden Verordnung für den RAM-Speicher beschrieben werden. 3.12 Download zufälliger Werte 3.12.1 Allgemeiner Hinweis Dieses Kapitel regelt die Komponenten eines DSP-Servers, die für die Erzeugung zufälliger Werte verwendet werden können, welche im Folgenden dem Steuerungsprogramm des Spielautomaten bekannt gegeben werden, das für die Bestimmung der Spielergebnisse geeignet ist. Die Erzeugung zufälliger Werte durch den DSP-Server umfasst nicht die Erzeugung der Spielergebnisse. 3.12.2 Zufallszahlengenerator In dem Fall, dass der DSP-Server die Möglichkeit hat, zufällige Werte im Spielautomaten zu erhalten, muss der Zufallszahlengenerator gemäß einem Vertraulichkeitsniveau von 99% arbeiten, wie in den RNG-Anforderungen des TEILS 1 beschrieben. 3.13 Wichtige Ereignisse 3.13.1 Allgemeiner Hinweis Die wichtigen Ereignisse werden vom Spielautomaten erzeugt und über die Verbindungskomponente an den DSP-Server unter Verwendung eines genehmigten Kommunikationsprotokolls gesendet. Alle Ereignisse müssen in einer oder mehreren Datenbanken mit den folgenden Informationen gespeichert werden: a) Datum und Uhrzeit des Ereignisses, b) Identität des Spielautomaten, der das Ereignis erzeugt hat, c) eine eindeutige Nummer / ein eindeutiger Code zur Bestimmung des Ereignisses oder d) ein kurzer Beschreibungstext des Ereignisses in der örtlichen Sprache. TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 106 3.13.2 Wichtige Ereignisse Die folgenden wichtigen Ereignisse müssen vom Spielautomat gesammelt werden und zur Speicherung an das System weitergeleitet werden: a) Wiederherstellung oder Unterbrechung der Stromversorgung b) Aktivierung/Deaktivierung eines Spiels c) Voraussetzungen für Barauszahlungen (Betrag, der an das System gesendet werden muss): i. Jackpot eines Spielautomaten (Preis jenseits der Grenze eines einzelnen Sieges am Spielautomaten), d) ii. Barauszahlung eines stornierten Guthabens und iii. progressiver Jackpot (wie der oben beschriebene Jackpot). Türöffnungen (jeder Tür, die Zugang zum wichtigen Bereich des Spielautomaten bietet). Die Verwendung von Türschaltern (diskrete Anbauten am DSP-Server) ist gestattet, sofern ihr Betrieb keine Erzeugung von überflüssigen Meldungen verursacht, die Verwirrung hervorrufen. e) Einführungsfehler von Münzen und Spielmarken (die Meldung eines Münzstaus, der Rückgabe einer eingeführten Münze und einer zu spät eingeworfenen Münze als allgemeiner „Münzeinführungsfehler“ ist gestattet): f) Fehler der Validierungseinheit für Banknoten (Gegenstände) (die Punkte „i“ und „ii“ müssen als eine Meldung gesendet werden, sofern dies vom Kommunikationsprotokoll unterstützt wird): i. Einwurfschacht voll (die Verwendung der ausdrücklichen Meldung „Einwurfschacht voll“ (stacker full) existiert nicht, dies kann Sicherheitsfragen hervorrufen, wie „Fehlfunktion der Validierungseinheit für Banknoten“ oder Ähnliches) und ii. Münzstau (Gegenstände). g) Geringer Speicher NV des Spielautomaten, Batteriefehler h) Verlust der Kommunikation mit dem DSP-Server i) Verlust der Kommunikation mit dem Spielautomaten j) Fehler der Walzenumdrehung (mit Bestimmung der einzelnen Walzennummern, falls vorhanden) k) Druckerfehler (falls ein Drucker vorhanden ist): TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 107 l) i. Drucker leer/Papierstand niedrig und ii. Trennung/Versagen des Druckers. Fehler des Kartenlesegerätes i. Kartenstau ii. Trennung/Versagen des Lesegerätes. 3.13.3 Prioritätsereignisse Der DSP-Server muss in der Lage sein, die rechtzeitige Meldung von Fehlern des CPS zu vereinfachen, die einen Neustart von Hand erfordern. Die folgenden wichtigen Ereignisse müssen an den CPS übertragen werden, wo ein Mechanismus zur rechtzeitigen Informierung (das Versenden der unten stehenden wichtigen Ereignisse an das System im Rahmen eines allgemeinen Fehlercodes ist gestattet) für die Fälle vorhanden sein muss, in denen das Spiel die Einzelheiten des Ereignisses nicht unterscheiden kann: a) Zugang zum logischen Bereich der Konsole, b) Wiederherstellung des RAM-Speichers des elektronischen Spielautomaten, c) Verfälschung einer zerstörten Software, d) irreparable Fehler der Hardware, e) Scheitern der Signaturprüfung. 3.14 Zähler 3.14.1 Allgemeiner Hinweis Die Informationen einer Zählung werden in dem Spielautomaten erzeugt, vom DSP-Server gesammelt und über ein Kommunikationsprotokoll an den CPS gesendet. Die Rechner des DSP-Servers müssen alle Daten der Zählerhinweise in Echtzeit und online und automatisch erhalten. Die Informationen einer Zählung des DSP-Servers müssen mit Etiketten gekennzeichnet werden, damit sie gemäß ihrer Funktion verständlich werden. Der DSP-Server muss genaue Dateien aufbewahren und eine gesamte Länge von mindestens vierzehn Zeichen (einschließlich der Cent) für jeden Typ speichern, vorausgesetzt dass dies für die gesamten Einnahmen, die durch den jeweiligen elektronischen Spielautomat erzeugt wurden, erforderlich ist. TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 108 3.14.2 Erforderliche Zähler Der CPS und der DSP müssen in der Lage sein, den Betrieb aller Spiele und der elektronischen Spielautomaten zu überwachen, und müssen in der Lage sein, Meldungen über die folgenden Informationen des elektronischen Spielautomaten und des Spiels zu erzeugen, falls vorhanden: a) Münzeinwurf, i. Das System muss die Informationen für die Zahlungsanzeigetafeln der eingeworfenen Münzen und für den theoretischen Rückzahlungsanteil speichern, die vom Spielautomaten für jedes mehrfache Spiel oder ein mehrfaches Spiel mehrerer Zahlungsmittel geboten werden. ii. Das System muss die Informationen für die Zahlungsanzeigetafeln der eingeworfenen Münzen und für den erwogenen durchschnittlichen theoretischen Rückzahlungsanteil speichern, die vom jeweiligen Spielautomaten geboten werden und Zahlungsanzeigetafeln mit einem anderen theoretischen Rückzahlungsanteil beinhalten, der 4 Prozent zwischen den Einsatzkategorien übersteigt. b) Münzauswurf: c) Gesamtheit der eingeworfenen Münzen (Münzen, die durch fielen oder Gesamtwert aller Münzen, Banknoten und Belegen/Coupons, die gesammelt wurden), d) Jackpots, die vom Croupier ausgezahlt wurden (Barauszahlungen), e) stornierte Guthaben, die vom Croupier ausgezahlt wurden (wenn dies vom Spielautomaten unterstützt wird), f) Einwurf physischer Münzen, g) Einwurf von Banknoten (Gesamtgeldwert aller angenommenen Banknoten), h) Auswurf von Belegen/Coupons, i) Auszahlung externer Boni durch den Automaten, j) Auszahlung externer Boni durch den Croupier, k) Auszahlung eines progressiven Jackpots durch den Croupier, l) Auszahlung eines progressiven Jackpots durch den Automaten, m) Einwurf von Belegen/Coupons (Gesamtgeldwert aller angenommenen Belege/Coupons), n) gespielte Spiele, o) gewonnene Spiele, TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 109 p) Personen, die den logischen Bereich betraten, einschließlich des Datums und der Uhrzeit des Zugangs, q) Personen, die die Zählertür betraten, einschließlich des Datums und der Uhrzeit des Zugangs, ANMERKUNG: Während die Daten der besagten elektronischen logistischen Zähler direkt vom Spielautomaten an den DSP und in der Folge an den CPS gesendet werden müssen, ist die Verwendung von sekundären Berechnungen des DSP und/oder des CPS gestattet, wenn dies für erforderlich erachtet wird. 3.15 Meldungsanforderungen 3.15.1 Allgemeiner Hinweis Die Informationen wichtiger Ereignisse und der Zähler werden in einer Datenbank auf dem DSP und dem CPS gespeichert, und danach werden logistische Meldungen auf der Grundlage der gespeicherten Informationen erzeugt. Die Daten, die von den EGM empfangen werden, müssen mindestens zehn (10) Jahre auf einem sicheren Medium (oder Medien), das die genaue Wiederherstellung aller gespeicherten Überwachungsdaten gewährleistet, aufbewahrt werden. 3.15.2 Erforderliche Meldungen Die Meldungen, die auf der Grundlage eines Zeitdiagramms erzeugt werden, das von der Kommission für Glücksspiele bestimmt wird und gewöhnlich aus täglichen, monatlichen und jährlichen Meldungen und Meldungen ab dem Tag der Inbetriebnahme bis heute besteht, die aus in der Datenbank gespeicherten Informationen erzeugt werden. Diese Meldungen sollten mindestens aus den unten stehenden Informationen bestehen: a) Meldung des Nettogewinns/Einnahmen für jeden Spielautomaten, b) vergleichende Einwurfmeldungen für jedes gesammelte Medium (z. B. Münzen oder Banknoten) mit Abzug der Abweichungen in Euro und einem Anteil in Prozent für jedes Medium, und der Gesamtwert für jeden Typ, c) vergleichende Meldung des gezählten und tatsächlichen Jackpots mit Abzug der Abweichungen in Euro und einem Anteil in Prozent für jeden von ihnen und Gesamtwert, d) Vergleich der theoretischen und tatsächlichen Verzögerung mit Abweichung, TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 110 e) Archiv der Löschung wichtiger Ereignisse für jeden Spielautomat, f) andere Meldungen gemäß dem jeweiligen Prozess. ANMERKUNG: Die Kombination von Meldungsdaten ist gestattet, wo dies für erforderlich erachtet wird (z. B. Einnahmen, Vergleich des Theoretischen/Tatsächlichen). ANMERKUNG: Für die Anforderungen einer zusätzlichen Einnahmemeldung bei der Verbindung von Spielautomaten mit Einwurf von Belegen/Coupons siehe den Paragraf „Anforderungen eines Systems zur Validierung von Belegen“, Einheit 4.0 des vorliegenden Schreibens. 3.16 Validierungsdaten und Sicherheitsprüfungen 3.16.1 Validierungsdaten und Sicherheitsprüfungen Der DSP-Server kann für die Aufzeichnung der Daten verwendet werden, die zur Validierung der Partie und zur Durchführung von Sicherheitsprüfungen an den Spielerterminals verwendet werden, angesichts der Tatsache, dass die besagten Funktionen die Sicherheit, die Integrität oder das Ergebnis dieser Spiele nicht beeinflussen. 3.16.2 Validierung der Systemsoftware Die Komponenten/Einheiten der Software des DSPServers müssen über ein sicheres Medium auf einer Systemebene zu validieren sein, auf der die Identität und die Version des Programms verzeichnet sind. Der DSP-Server muss in der Lage sein, die Durchführung unabhängiger Prüfungen der Integrität der Komponenten/Einheiten durch externe Quellen zuzulassen, und ist für alle Steuerungsprogramme erforderlich, die die Integrität des DSP-Servers beeinflussen können. Dies wird über die Identifizierung von einem externen Gerät durchgeführt, das in die Software des DSP-Servers integriert werden kann (siehe die unten stehende ANMERKUNG) oder über eine Schnittstelle für dritte Geräte zur Identifizierung der Medien verfügt. Die Prüfung der Integrität stellt ein Überwachungsmittel zur Validierung der Komponenten/Einheiten des DSP-Servers zur Erkennung und Validierung der Programme/Dateien dar. Vor der Genehmigung des Systems muss das unabhängige Zertifizierungslabor die Methode zur Prüfung der Integrität genehmigen. TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 111 ANMERKUNG: Wenn das Identifizierungsprogramm in die Software des DSP-Servers integriert ist, muss der Hersteller vor der Einreichung eine schriftliche Bestätigung vom unabhängigen Zertifizierungslabor erhalten. 3.16.3 Anforderungen an die Validierung eines Spielautomatenprogramms Wenn dies unterstützt wird, kann der DSP-Server diese zusätzliche Funktion zur Steuerung der Spielautomatensoftware anbieten. Obwohl die entsprechende zeitliche Belastung die Funktion des Spielautomaten und des DSP-Servers beeinflussen kann, müssen die folgenden Informationen hinsichtlich ihrer Gültigkeit vor der Anwendung geprüft werden: a) Algorithmus (-men) der Softwaresignatur und b) Algorithmus (-men) einer Fehlerprüfung der Datenkommunikation. 3.16.4 Validierung der Geräte, die nicht gesucht werden können Die Geräte des Programms, die nicht gesucht werden können, wie die „Smart Cards“, können unter der Voraussetzung verwendet werden, dass sie über die unten stehende Methode verifiziert werden können: a) Eine Aufforderung wird von dem homologen Gerät, wie einem Hash-Seed, gesendet, dem das Gerät mit einer Summenprüfung des gesamten Raums des Programms unter Verwendung des Aufforderungswerts antworten muss. b) Der Aufforderungsmechanismus und die Lademedien der Software auf dem Gerät werden vom unabhängigen Zertifizierungslabor verifiziert und von der Regulierungsbehörde genehmigt. Die Geräte, bei denen die Prüfung des Quellcodes durch das unabhängige Zertifizierungslabor ergibt, dass der Einfluss auf das genehmigte Spiel oder das Geldergebnis unmöglich ist, unterliegen nicht diesen Anforderungen. 3.16.5 Validierung eines Steuerprogramms Der Beginn der Validierung kann durch den Nutzer hervorgerufen oder durch bestimmte wichtige Ereignisse auf dem Spielautomaten aktiviert werden. Der Signaturprüfungsprozess muss jeglicher anderen Funktion des EGM vorausgehen. Das bedeutet, dass der Prozess nicht von einer anderen Funktion des EGM TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 112 unterbrochen werden kann. Der DSP-Server muss die Möglichkeit zur Identifizierung aller anwendbaren gesteuerten Komponenten, für die eine Kopie auf dem System besteht, auf Anfrage und einmal in 24 Stunden gewähren. a) Der DSP-Server identifiziert alle wichtigen Dateien einschließlich der ausführbaren Dateien, der Daten, der Dateien des Betriebssystems und anderer Dateien, die das Spielergebnis oder die Funktion beeinflussen können, und von denen eine Kopie auf dem System existiert. b) Der DSP-Server muss einen sicheren Verschlüsselungsalgorithmus des Industriestandards Dritter verwenden (z. B. MD-5 oder SHA-1). Wenn der Algorithmus integriert ist, muss der Hersteller darauf vorbereitet sein, den ausgewählten Algorithmus dem unabhängigen Zertifizierungslabor und der Kommission vorzuführen. c) Er muss über einen Bericht verfügen, in dem die Validierungsergebnisse für die Validierung jeder gesteuerten Komponente beschrieben werden. d) Im Falle eines Scheiterns der Identifizierung muss der DSP-Server die gesteuerte Komponente so deaktivieren, dass die unten stehenden Funktionen einschließlich und ohne Einschränkung des Downloads, der Installation und der Parametrisierung der gesteuerten Komponente in einem verbundenen Spielautomat nicht möglich sind. Der DSP-Server kann darüber hinaus einen Mechanismus zur Benachrichtigung über das Scheitern der Zertifizierung über den CPS an die Kommission gewähren. e) Zur Sicherung der vollständigen Deckung muss ein Validierungsprozess für sämtliche folgenden Ereignisse durchgeführt werden. In einem Fall, in dem ein Spielautomat die Prüfung der Signaturvalidierung nicht besteht, darf die Aktivierung des regulären Betriebs des besagten Spielautomaten nicht ohne einen manuellen Eingriff auf der Ebene des DSP-Servers und die Benachrichtigung des CPS gestattet sein: i. eingetragener Spielautomat, ii. Aktivierung des Spielautomaten, iii. die Gesamtheit der Signatur-Ausgangszahlen hat sich auf dem Kontroller des Standorts/des Zentralsystems geändert, iv. eine neue Firmware (Programmierung) wurde auf dem EGM installiert, v. eine neue Software wurde auf den EGM heruntergeladen, TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 113 vi. Wiederherstellung des Speichers NV erfolgt oder vii. der Konsolenport zum logischen Bereich wurde geschlossen (nachdem er zuerst geöffnet wurde). 3.16.6 Speicherung von Signaturen auf dem CPS Eine (1) der zwei (2) folgenden Methoden zur Speicherung der Meldung der Signaturprüfung muss angewendet werden. Sowohl das Bild der Spielsoftware als auch die im Voraus berechneten Signaturergebnisse stellen empfindliche Daten dar, die geeignet über einen Zugangscode und eine Verschlüsselung geschützt werden müssen. a) Speicherung eines Bilds der Spielsoftware: Alle Bilder der Spielsoftware, die auf dem Spielautomaten existieren, müssen darüber hinaus auf dem DSP-Server gespeichert werden: Die Bilder der Spielsoftware, die auf dem DSP-Server gespeichert werden, werden zur Berechnung der Signaturen, die an den CPS gesendet werden, und danach zur Validierung der Ergebnisse der Berechnung der Signaturen verwendet, die vom elektronischen Spielautomat erzeugt werden, oder b) Speicherung der im Voraus berechneten Ergebnisse der Signaturen: Die Auflistung der Ergebnisse der Signaturen muss mindestens fünf (5) Eintragungen enthalten. Die besagten Eintragungen müssen von zufällig gewählten Seed-Werten für jedes Spiel erzeugt und täglich erneuert werden. Das Hilfsprogramm, das zur Erzeugung der Auflistung der Ergebnisse der Signaturenprüfung verwendet wird, muss genehmigt sein. 3.16.7 Mindestanforderungen eines Signaturenalgorithmus Ein Signaturenalgorithmus muss den folgenden Anforderungen entsprechen: a) er muss alle Inhalte der Software oder der Daten, die sich in Bearbeitung befinden (einschließlich der aufeinander folgenden Lücken oder der ungenutzten Bereiche des Geräts), kombinieren (also muss jedes Bit der Bereiche das Ergebnis der Signatur beeinflussen), b) er muss die Bits auf komplexe und interaktive Weise kombinieren. Ein Beispiel für diese Technologie stellt die Methode einer zyklischen Redundanzprüfung (cyclic redundancy check / CRC) dar, TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 114 c) die Verwendung der grundlegenden Methoden darf nicht gestattet sein. Zu diesen Techniken gehören (ohne Einschränkung) eine Paritätsprüfung (unabhängig davon, ob die Paritätsprüfung „ausschließlich arithmetisch“ oder „zusätzlich arithmetisch“ ist) oder eine Prüfsumme (unabhängig davon, ob die Prüfsumme 8-bit- oder 16-bit-Ergebnisse erzeugt), d) er muss ein Ergebnis mit der Länge von mindestens 16-bit erzeugen. Der Algorithmus muss mindestens 99,995%, vorzugsweise 99,998% aller eventuellen Datenfehler lokalisieren, und e) der Signaturenalgorithmus muss schnell und effektiv und in der Lage sein, einzelne Softwareprogramme und Komponenten fester Daten sowie ganze Software-Suites zu bearbeiten, f) ein Beispiel eines akzeptierten Algorithmus, der diesen und andere Zwecke erfüllt, ist ein 16-bit-Algorithmus, der auf einer Tabelle basiert. 3.16.8 Erzeugung von Signaturen-Ausgangszahlen a) Die „Ausgangszahlen“ der Signaturenalgorithmen (auch bekannt als Algorithmenfaktoren) müssen vom Urheber der Signaturanfrage im Moment der Aktivierung gewährt werden. b) Bei der Erzeugung der Signaturen-Ausgangszahlen müssen die folgenden Prinzipien angewendet werden: i. die Informationen der „Ausgangszahl“ müssen eine Länge von mindestens 16 bit haben, und ii. die Informationen der „Ausgangszahl“ müssen das Verhalten des Algorithmus in bedeutender Weise beeinflussen. TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 115 KAPITEL 4 4.0 ANFORDERUNGEN AN EIN VALIDIERUNGSSYSTEM FÜR BELEGE/COUPONS 4.1 Einführung 4.1.1 Allgemeiner Hinweis In diesem Kapitel werden vor allem die bidirektionalen Systeme für Belege/Coupons analysiert. Wenn nur Systeme zur Ausgabe von Belegen/Coupons verwendet werden, können bestimmte Punkte des unten Stehenden nicht gelten. 4.1.2 Auszahlung durch Ausdruck von Belegen/Coupons Die Auszahlung durch Ausdruck von Belegen/Coupons als Methode zur Einlösung eines Guthabens in einen Spielautomaten darf nur gestattet werden, wenn der Spielautomat an ein genehmigtes Validierungssystem oder einen DSP-Server angeschlossen ist, der die Validierung des gedruckten Belegs/Coupons genehmigt. Die Validierungsinformationen müssen aus dem Validierungssystem oder dem DSP-Server hervorgehen, der ein sicheres Kommunikationsprotokoll verwendet. ANMERKUNG: Zur Unterstützung der offline-Erstellung von Coupons muss der Spielautomat an ein genehmigtes Validierungssystem oder einen DSP-Server angeschlossen sein, der die Validierung des gedruckten Belegs/Coupons gestattet, aber er muss sich nicht in ständigem Kontakt befinden, um die Erstellung von Coupons zu gestatten. 4.2 Erstellung von Belegen/Coupons TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 116 4.2.1 Informationen von Belegen/Coupons, die vom Spielautomaten bei der Kommunikation mit einem Validierungssystem verwendet werden Das Validierungssystem für Belege/Coupons muss in der Lage sein, die folgenden Daten eines Belegs/Coupons an den Spielautomaten zum Zweck ihrer Validierung auf dem Beleg/Coupon senden. a) Name des Raums/Standorterkennung, b) Hinweis auf die Gültigkeitsdauer ab dem Tag der Erstellung oder Datum und Uhrzeit des Ablaufs des Belegs/Coupons (in 24-Stunden-Form, die mit der Form des örtlichen Datums/der Uhrzeit verständlich wird), falls vorhanden, c) Datum und Uhrzeit des Systems (in 24-Stunden-Form, die mit der Form des örtlichen Datums/der Uhrzeit verständlich wird) und d) Validierungsnummer des Belegs/Coupons zum Zweck der Erzeugung einer Validierungsnummer durch den Spielautomat. 4.2.2 Algorithmus zur Erzeugung von Zahlen oder Ausgangszahlen zur Validierung von Belegen/Coupons a) Systemvalidierung – der Algorithmus oder die Methode, die vom Validierungssystem oder dem DSP-Server zur Erzeugung einer Validierungsnummer eines Belegs/Coupons angewendet wird, muss einen unbedeutenden Wiederholungsgrad der Validierungsnummern garantieren. b) Validierungsnummer, die vom Spielautomat erzeugt wird (System-Ausgangszahl) – Direkt nach der Eintragung des Spielautomaten mit einer Möglichkeit der Validierung von Belegen/Coupons muss das Validierungssystem eine eindeutige Ausgangszahl an den Spielautomat senden. Das System kann daraufhin nach der Erstellung eines Belegs/Coupons eine neue Ausgangszahl an den Spielautomat senden. Der Algorithmus oder die Methoden, die zur Bestimmung der Ausgangszahlen verwendet werden, müssen einen unbedeutenden Wiederholungsgrad der Validierungsnummern garantieren. 4.2.3 Algorithmen Belege/Coupons zur Erzeugung von Identifizierungskennungen für offline- Wenn dies unterstützt wird, muss die offline-Identifizierungskennung ein TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 117 eindeutiger Wert sein, der aus einer ZERSPLITTERUNG oder einer anderen sicheren Verschlüsselungsmethode mit einer Länge von mindestens 128 bit hervorgeht, die: auf eindeutige Weise das Einsatzinstrument erkennt, bestätigt, dass das Einlösungssystem auch das Erstellungssystem ist, und den Betrag des Coupons bestätigt. Die unten stehende Mindestgruppe von Eingangsdaten zur Erstellung der Identifizierungskennung muss verwendet werden: a) EGM-Kennung, b) Validierungsnummer, c) Betrag des Coupons und d) sichere Ausgangszahl, Schlüssel usw., der dem Spielautomat vom Validierungssystem oder dem DSP-Server gewährt wird, i. Die sicheren Ausgangszahlen, Schlüssel usw., die in Auftrag gegeben werden, müssen in ausreichendem Maße zufällig sein. Die Maßnahmen zur Vermeidung der Vorhersehbarkeit werden vom unabhängigen Zertifizierungslabor auf der Grundlage des jeweiligen Sachverhalts überprüft. ii. Die Mindestlänge jeder sicheren Ausgangszahl, Schlüssel usw., die von dem Validierungssystem oder dem DSP-Server verwendet werden, muss aus einer Gesamtheit von Variablen des Typs gewählt werden, die im jeweiligen angewendeten Kommunikationsprotokoll bestimmt sind. Die Menge der Variablen muss aus mindestens 10 hoch 14 zufällig verteilten Werten bestehen. 4.2.4 Daten eines Systems für Belege/Coupons a) Das Validierungssystem muss die Informationen von Belegen/Coupons auf der Grundlage des verwendeten sicheren Kommunikationsprotokolls richtig wiedererlangen und diese in einer Datenbank speichern. b) Die Datei der Belege/Coupons des Zentralsystems muss mindestens die folgenden Informationen eines Belegs/Coupons enthalten: i. Validierungsnummer, ii. Datum und Uhrzeit der Erstellung des Belegs/Coupons durch den Spielautomat (in 24-Stunden-Form, die mit der Form des örtlichen Datums/der Uhrzeit verständlich wird), TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 118 iii. Transaktionstyp oder andere Methode zur Differenzierung der Belege-/CouponTypen (angesichts der Tatsache, dass mehrere Belege-/Coupon-Typen zur Verfügung stehen), iv. nummerischer Wert des Belegs/Coupons in Euro und Cent, v. Status des Belegs/Coupons (also gültig, nicht eingelöst, noch ausstehend, Einlösung in Bearbeitung, eingelöst usw.), vi. Datum und Uhrzeit des Ablaufs des Belegs/Coupons (in 24-Stunden-Form, die mit der Form des örtlichen Datums/der Uhrzeit verständlich wird), falls vorhanden, vii. Gerätenummer (oder Standortnummer der Kasse/Wechselschalter, sofern eine Erstellung eines Belegs/Coupons außerhalb des Spielautomaten unterstützt wird), die den Erstellungsort des Belegs/Coupons bestimmt. 4.2.5 Ausdruck von Belegen/Coupons beim Verlust der Kommunikation mit dem Validierungssystem Für die Validierungssysteme, die mit dem Spielautomat über eine Verbindungsplatine (auch bekannt als SMIB, also System Machine Interface Board) kommunizieren, muss/darf die Verbindungsplatine im Falle eines Fehlers in den Verbindungen zwischen der Verbindungsplatine und der Datenbank des DSP-Servers: a) der Validierungsanfrage vom Spielautomat nicht entsprechen und den Ausdruck der Belege/Coupons unterbrechen oder b) dem Spielautomat nicht gestatten, weitere Belege/Coupons zu erstellen, oder c) das Lesen oder Speichern weiterer Informationen von Belegen/Coupons, die von dem Spielautomat erstellt werden, beenden. 4.3 Einlösung von Belegen/Coupons 4.3.1 online-Einlösung von Belegen/Coupons Die Einlösung von Belegen/Coupons kann am Spielautomat, der Kasse/dem Wechselschalter oder an anderen Einlösungsterminals (Einlösungsstellen) durchgeführt werden, sofern sie mit irgendeinem Validierungssystem für die Einlösung von Belegen/Coupons eingetragen worden sind. TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 119 a) das Validierungssystem muss die Einlösung des Belegs/Coupons richtig entsprechend dem verwendeten sicheren Kommunikationsprotokoll ausführen, b) das Validierungssystem muss den Status des Belegs/Coupons in der Datenbank in jeder Phase des Einlösungsprozesses entsprechend aktualisieren. Mit anderen Worten muss das System jedes Mal, wenn sich der Status des Belegs/Coupons ändert, die Datenbank aktualisieren. Nach jeder Statusänderung muss die Datenbank auf die folgenden Informationen hinweisen: i. Datum und Uhrzeit der Statusänderung, ii. Status des Belegs/Coupons iii. Wert des Belegs/Coupons iv. Automatennummer oder Kennung der Quelle, aus der die Informationen des Belegs/Coupons hervorgehen. 4.3.2 Betrieb der Kasse/des Wechselschalters Alle Einlösungsterminals müssen durch den Nutzer und Zugangscodes gesteuert werden. Nach der Vorlage zur Einlösung muss der Kassierer: a) den Barcode mittels eines optischen Lesegerätes oder etwas Entsprechendem einlesen oder b) die Validierungsnummer des Belegs/Coupons per Hand eingeben und c) gegebenenfalls einen Validierungsbeleg nach der elektronischen Validierung des Belegs/Coupons ausdrucken. 4.3.3 Informationen eines Validierungsbelegs Wenn erforderlich müssen auf dem Validierungsbeleg mindestens die folgenden Informationen gedruckt sein: a) Automatennummer, b) Validierungsnummer, c) Datum und Uhrzeit der Auszahlung, d) Betrag und e) Kennung der Kasse/des Wechselschalters. TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 120 4.3.4 Benachrichtigung bei einem ungültigen Beleg/Coupon Das Validierungssystem oder der DSP-Server muss in der Lage sein, diese Begebenheiten zu erkennen und den Kassierer davon zu benachrichtigen, dass eine der folgenden Umstände gegeben ist: a) der Beleg/Coupon kann nicht in der Datenbank gefunden werden (verfälschtes Datum, Fälschung usw.), b) der Beleg/Coupon wurde bereits ausbezahlt oder c) der Betrag des Belegs/Coupons unterscheidet sich von dem Betrag im Archiv (die Anforderung kann mit einem Vorzeigen des Betrags des Belegs/Coupons als Bestätigung für den Kassierer während des Einlösungsprozesses gedeckt werden). 4.4 Meldungen 4.4.1 Anforderungen an Meldungen Mindestens die folgenden Meldungen müssen erzeugt und mit allen validierten/eingelösten Belegen/Coupons in Echtzeit verglichen werden: a) Meldung der Erstellung des Belegs/Coupons, b) Meldung der Einlösung des Belegs/Coupons, c) Meldung der Schuld des Belegs/Coupons, d) Meldung einer Einwurfsdifferenz des Belegs/Coupons, e) die detaillierte Transaktionsmeldung muss vom Validierungssystem, das alle Belege/Coupons, die von dem Spielautomat erstellt wurden, und alle Belege/Coupons, die vom Einlösungsterminal oder einem anderen Spielautomat eingelöst wurden, hervorbringt, zur Verfügung gestellt werden, und f) Meldung der Kasse, die detaillierte Daten für die einzelnen Belege/Coupons und den Betrag der Belege/Coupons, die von der Kasse/dem Wechselschalter oder dem Einlösungsterminal ausgezahlt wurden, enthalten. ANMERKUNG: Die Anforderungen der Punkte „b“ und „d“ gelten nicht für die Spielautomaten, die Belege/Coupons zweier Ausschnitte verwenden, bei denen der erste Ausschnitt dem Kunden als Originalbeleg/-coupon gegeben wird, und der zweite Ausschnitt als Kopie an den Ausdruckmechanismus des Spielautomaten geheftet (in Form einer Endlosrolle) bleibt. TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 121 4.5 Sicherheit 4.5.1 Sicherheit einer Datenbank und Validierungskomponente Nach der Speicherung der Validierungsinformationen in der Datenbank ist jegliche Form der Änderung der Daten untersagt. Die Datenbank des Validierungssystems muss verschlüsselt oder durch einen Zugangscode geschützt sein und über einen nicht änderbaren Steuerungspfad des Nutzers zur Vermeidung nicht autorisierten Zugangs verfügen. Des Weiteren darf der reguläre Betrieb jeglichen Geräts mit Informationen eines Belegs/Coupons keine Auswahl oder Verlustmethode der Informationen eines Belegs/Coupons bieten. Die Geräte mit gespeicherten Informationen von Belegen/Coupons auf ihrem Speicher dürfen das Löschen von Informationen nicht gestatten, es sei denn, die besagten Informationen sind zuvor in die Datenbank oder auf eine andere sicheren Komponente des Validierungssystems übertragen worden. TEIL 3: Systemserver für Spiele (DSP) und Validierungssysteme Seite 122 TEIL 4: Zentraldatenverarbeitungssystem (CPS) Version: 1.0 TEIL 4: Zentraldatenverarbeitungssystem (CPS) Seite 123 KAPITEL 1 1.0 UMWELTRELEVANTE ANFORDERUNGEN UND SICHERHEITSANFORDERUNGEN DES SYSTEMS 1.1 Physikalische Sicherheit 1.1.1 Allgemeiner Hinweis Alle Bestandteile eines Systems müssen ausreichend widerstandsfähig sein, um einem gewaltsamen Eindringen standzuhalten. 1.2 Sicherheit des Materials und der Spieler 1.2.1 Allgemeiner Hinweis Die elektronischen und mechanischen Teile und die Planungsprinzipien des elektronischen Materials dürfen den Spieler keiner Gefahr seiner körperlichen Unversehrtheit aussetzen. Das unabhängige Zertifizierungslabor liefert KEINE Erkenntnisse hinsichtlich der Sicherheit und der Prüfung der elektromagnetischen Verträglichkeit, dies fällt unter die Verantwortung des Produktherstellers oder der Käufer. Diese Art Sicherheitstests und Prüfungen der elektromagnetischen Verträglichkeit können aufgrund des besonderen normativen Aktes, der Verordnung, des Gesetzes oder des Rechtsaktes erforderlich sein, und müssen jeweils von den Parteien durchgeführt werden, die das besagte Material herstellen oder kaufen. Das unabhängige Zertifizierungslabor führt keine Tests durch, trägt keinerlei Verantwortung und liefert kein Ergebnis in Verbindung mit diesen konkreten Sachverhalten. 1.3 Einwirkung der Umwelt auf die Integrität des Systems TEIL 4: Zentraldatenverarbeitungssystem (CPS) Seite 124 1.3.1 Norm über die Integrität Das unabhängige Zertifizierungslabor führt bestimmte Tests durch, um zu bestimmen, ob die äußeren Einwirkungen den gerechten Charakter des Spiels gegenüber dem Spieler beeinflussen, oder ob sie Möglichkeiten des Betrugs schaffen. Ein System muss in der Lage sein, den folgenden Tests standzuhalten und dabei sein Spiel ohne Eingriff des Bedieners fortzusetzen: c) Elektrostatische Interferenz Die Systeme dürfen kein elektronisches Rauschen verursachen, das die Integrität oder den gerechten Charakter der umgebenden verbundenen Ausstattung beeinflusst. d) Elektrostatische Interferenz Zum Schutz vor einem elektrostatischen Überschlag ist eine Erdung des Materials des Systems in der Art erforderlich, dass die Energie des elektrostatischen Überschlags keine Schädigung oder Hemmung des regulären Betriebs der elektronischen oder anderer Bestandteile im Rahmen des Systems hervorruft. Die Systeme können eine vorübergehende Unterbrechung aufweisen, wenn sie einer bedeutenden elektrostatischen Entladung höher als die Entladung des menschlichen Körpers ausgesetzt werden, aber sie müssen über die Möglichkeit verfügen, alle ihre Funktionen wiederherzustellen und zu vervollständigen, die unterbrochen wurden, ohne Verluste oder Verfälschungen der Informationen über die Kontrolldaten oder die wichtigen Daten aufzuweisen, die mit dem System verbunden sind. Die Prüfungen werden bis zu einem Beanspruchungsgrad von 27KV durchgeführt. TEIL 4: Zentraldatenverarbeitungssystem (CPS) Seite 125 KAPITEL 2 2.0 ANFORDERUNGEN AN SYSTEMKOMPONENTEN 2.1 Anforderungen an einen Vordergrundkontroller und einen Datenkollektor 2.1.1 Allgemeiner Hinweis Ein CPS kann über einen Vordergrundprozessor (Front End Processor / FEP) verfügen, der alle Daten von den verbundenen Datenkollektoren auf der/den entsprechenden Datenbank/-en sammeln und übertragen. Die Datenkollektoren sammeln der Reihe nach alle Daten von den verbundenen Spielautomaten. Die Kommunikation zwischen den Komponenten muss über eine genehmigte Methode und im Rahmen einer minimalen Anpassung an die Anforderungen eines Kommunikationsprotokolls, das in der Einheit 3.1 des vorliegenden Schreibens bestimmt wird, durchgeführt werden. Wenn der FEP vorläufig gespeicherte Informationen/Aufzeichnungsinformationen aufbewahrt, muss er zur Abwendung des Verlusts der wichtigen Informationen, die dort enthalten sind, zur Verfügung stehen. 2.2 Anforderungen an den Server und die Datenbank 2.2.1 Allgemeiner Hinweis Ein CPS verfügt über einen (oder mehrere) Server, ein vernetztes System oder verteilte Systeme, die den gesamten Betrieb leiten, und über eine (oder mehrere) verbundene Datenbank(-en), in der (denen) alle Systeminformationen, die registriert oder gesammelt werden, gespeichert werden. 2.2.2 Systemuhr Jedes CPS muss über eine interne Uhr verfügen, die die aktuelle Uhrzeit (in 24-Stunden-Form - die mit der Form des örtlichen Datums/der Uhrzeit verständlich wird) und das Datum anzeigt, die zur Gewährung des Folgenden verwendet wird: TEIL 4: Zentraldatenverarbeitungssystem (CPS) Seite 126 a) zeitliche Kennzeichnung der wichtigen Ereignisse, b) Referenzuhr für die Meldungen und c) zeitliche Kennzeichnung der Änderungen der Parametrisierung. 2.2.3 Synchronisationsmerkmal Im Falle einer Unterstützung mehrerer Uhren muss das CPS über eine Funktion zur Aktualisierung der besagten Uhren in den Komponenten des CPS verfügen und es könnte ein Aufeinandertreffen von Informationen daraus hervorgehen. Alle internen Uhren einschließlich des Standortkontrollers und des Spielautomaten müssen vom CPS über eine Quelle synchronisiert werden, die als Referenz die Koordinierte Weltzeituhr (Coordinated Universal Time / UTC) verwendet. 2.2.4 Zugang zur Datenbank Das CPS muss in der Lage sein, den Regulierungsbehörden einen Zugang zur Datenbank „nur zum Lesen“ und zu sämtlichen Meldungsfunktionen zu jedem Zeitpunkt zu bieten. Das CPS darf über keine integrierte Einrichtung verfügen, die dem Nutzer/Bediener eines Standorts gestattet, die Systemsteuerung zu umgehen und die Datenbank direkt zu ändern. Die Bediener von Standorten müssen den sicheren Zugang prüfen. Alle Informationen, die in Verbindung mit Dateien, internen und externen Transaktionen, Terminals und Programmen stehen, müssen zum Zweck der Vermeidung eines nicht autorisierten Zugangs, einer solchen Änderung oder Zerstörung von Daten geschützt werden. 2.2.4 Überwachungs-/Sicherheitsbetrieb Das CPS muss ein Suchprogramm bieten, das die ausführliche online-Suche der Registrierungsdateien wichtiger Ereignisse des heutigen und der letzten 14 Tage auf abgelegte Daten oder die Wiederherstellung der Sicherheitskopien gestattet, wo die Speicherung solcher Daten in einer Datenbank mit einer Aktualisierung in Echtzeit als ungeeignet befunden wird. Das Suchprogramm muss in der Lage sein, Anfragen basierend mindestens auf dem Folgenden durchzuführen: a) Datum- und Uhrzeitspanne, b) eindeutige DSP-/EGM-Erkennungsnummer, c) Nummer/Kennung eines wichtigen Ereignisses. TEIL 4: Zentraldatenverarbeitungssystem (CPS) Seite 127 2.2.7 Wesentliche Transaktionen Das CPS muss so programmiert sein, dass es eine vollständige Wiederherstellung der Funktionen der Datenbank und des CPS mit nahezu Null (0) Datenverlust innerhalb einer annehmbaren Zeitspanne gemäß der Überprüfung und Genehmigung durch die Regulierungsbehörden oder deren Vertreter bietet. TEIL 4: Zentraldatenverarbeitungssystem (CPS) Seite 128 KAPITEL 3 3.0 ANFORDERUNGEN AN DAS SYSTEM 3.1. Kommunikationsprotokoll 3.1.1 Sichere Verbindungen und Kommunikationen, DES oder eine entsprechende Verschlüsselung von Daten Die Verbindungen zwischen allen Bestandteilen des CPS müssen ausschließlich über die Verwendung sicherer Kommunikationsprotokolle, geplant zur Verhinderung eines nicht bevollmächtigten Zugriffs oder einer Verfälschung, unter Verwendung von Verschlüsselungsalgorithmen mit demselben Sicherheitsniveau wie dem des Protokolls TLS mit 1024-bit RSA Key & 3DES erfolgen. Die zu verwendenden Protokolle müssen Techniken zur Fehlerermittlung und Wiederherstellungsmechanismen zur Verhinderung einer Veränderung der Inhalte verwenden. Genauer gesagt müssen sichere Verbindungen und eine Verschlüsselung zwischen den Verbindungsbestandteilen und dem System verwendet werden. Dasselbe Sicherheitsniveau ist zwischen dem Spielautomat und dem Verbindungsbestandteil nicht erforderlich, wenn diese innerhalb derselben Konsole oder dem Gehäuse angebracht sind: e) alle Kommunikationen wichtiger Daten müssen auf einem Protokoll basieren und/oder einen Plan zur Lokalisierung und zur Fehlerkorrektur zur Sicherung der Genauigkeit von neunundneunzig Prozent (99%) oder mehr für die erhaltenen Meldungen integrieren, f) alle Kommunikationen wichtiger Daten, die die Einnahmen beeinflussen können und bei der Übertragung oder Anwendung nicht gesichert sind, müssen Verschlüsselungsmethoden verwenden. Der Verschlüsselungslogarithmus muss für die Wahrung der sicheren Kommunikation veränderliche Schlüssel oder ähnliche Methoden enthalten. In groben Zügen beschrieben dürfen, wenn Zertifikate, Schlüssel oder TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 129 Ausgangszahlen verwendet werden, diese nicht in den Code integriert sein und müssen alle sechs Monate im Rahmen des Kommunikationsbetriebs geändert werden, g) jede Art Kommunikation, die vollständig innerhalb des Systems stattfindet, muss mit einer Genauigkeit funktionieren, die von dem anzuwendenden Kommunikationsprotokoll bestimmt wird, und h) wenn das System die Verwendung einer bidirektionalen Kommunikation gestattet, müssen die geeigneten Sicherheitsmaßnahmen getroffen werden. 3.1.2 Verschlüsselung Alle Kommunikationen wichtiger Daten müssen über eine Verschlüsselungsmethode (also FIPS 140 Level 2) gesichert werden. Wenn das System die Wahl der Integration einer Verschlüsselung bietet, muss die besagte Verschlüsselung verwendet werden. Die Sicherheitsmeldungen, die die Datenübertragungsleitungen durchlaufen, müssen auf die zu diesem Zeitpunkt beste bekannte Verschlüsselungsweise verschlüsselt werden. Ziel ist die Sicherstellung einer erwiesenen Sicherheit der Kommunikationen vor Entschlüsselungsangriffen. Zumindest die unten stehenden Daten müssen in verschlüsselter Form an das/vom Zentralsystem übertragen werden: f) Signaturen-Ausgangszahlen (Faktoren von Algorithmen), g) Signaturergebnisse, h) Verschlüsselungsschlüssel, bei denen die gewählte Anwendung die Übertragung von Schlüsseln erfordert, i) Upgrade oder Downgrade einer Software für die gesamte Software, die in Verbindung mit der Sicherheit steht ( z. B. Signatur, RNG, Bestimmung des Spielergebnisses, Zahlungssoftware), und j) andere Informationen, die die Sicherheit betreffen. 3.1.3 Mindestlänge der Verschlüsselungsschlüssel Die Mindestlänge der Verschlüsselungsschlüssel beläuft sich auf 112 bit für symmetrische Algorithmen und auf 1024 bit für die öffentlichen Schlüssel. 3.1.4 Verwaltung der Verschlüsselungsschlüssel Es muss eine sichere Methode zur Änderung der bestehenden Gruppe von Verschlüsselungsschlüsseln angewendet werden. Die Verwendung TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 130 von nur der bestehenden Gruppe von Schlüsseln zur „Verschlüsselung“ der folgenden Gruppe ist nicht gestattet. Ein Beispiel einer annehmbaren Methode zur Änderung der Schlüssel stellt die Verwendung von Verschlüsselungstechniken öffentlicher Schlüssel zur Übertragung neuer Gruppen von Schlüsseln dar. 3.1.5 Aufbewahrung der Verschlüsselungsschlüssel Es muss eine sichere Methode zur Aufbewahrung der Verschlüsselungsschlüssel zur Verfügung stehen. Die Verschlüsselungsschlüssel dürfen nicht unverschlüsselt aufbewahrt werden. 3.2 Wichtige Ereignisse 3.2.1 Allgemeiner Hinweis Die wichtigen Ereignisse werden vom Spielautomaten erzeugt und über den DSP-Server an das CPS unter Verwendung eines genehmigten Kommunikationsprotokolls gesendet. Obwohl in den besagten Anforderungen bestimmt ist, dass das CPS die wichtigen Ereignisse lokalisieren und registrieren muss, wird keine konkrete Anwendung empfohlen. Sofern diese Ereignisse innerhalb des bestimmten Zeitrahmens lokalisiert und gemeldet werden, ist die Methode, die verwendet wird, nicht von Bedeutung. Dennoch muss der Spielautomat, wenn in den Anforderungen bestimmt ist, dass er ein Ereignis lokalisieren und registrieren muss, so programmiert sein, dass er das Ereignis intern erzeugt und innerhalb der erforderlichen Zeitspanne an das CPS sendet. Alle Ereignisse müssen in einer oder mehreren Datenbanken mit den folgenden Informationen gespeichert werden: e) Datum und Uhrzeit des Ereignisses, f) Identität des Spielautomaten, der das Ereignis erzeugt hat, g) eine eindeutige Nummer / ein eindeutiger Code zur Bestimmung des Ereignisses oder h) ein kurzer Beschreibungstext des Ereignisses in der örtlichen Sprache. 3.2.2 Wichtige Ereignisse Die folgenden wichtigen Ereignisse müssen vom Spielautomat gesammelt werden und zur Speicherung an das System weitergeleitet werden: m) Wiederherstellung oder Unterbrechung der Stromversorgung TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 131 n) Aktivierung/Deaktivierung eines Spiels o) Voraussetzungen für Barauszahlungen (Betrag, der an das System gesendet werden muss): iv. Jackpot eines Spielautomaten (Preis jenseits der Grenze eines einzelnen Sieges am Spielautomaten), p) v. Barauszahlung eines stornierten Guthabens und vi. progressiver Jackpot (wie der oben beschriebene Jackpot). Türöffnungen (jeder Tür, die Zugang zum wichtigen Bereich des Spielautomaten bietet). Die Verwendung von Türschaltern (diskrete Anbauten am DSP-Server) ist gestattet, sofern ihr Betrieb keine Erzeugung von überflüssigen Meldungen verursacht, die Verwirrung hervorrufen. q) Einführungsfehler von Münzen und Spielmarken (die Meldung eines Münzstaus, der Rückgabe einer eingeführten Münze und einer zu spät eingeworfenen Münze als allgemeiner „Münzeinführungsfehler“ ist gestattet): r) Fehler der Validierungseinheit für Banknoten (Gegenstände) (die Punkte „i“ und „ii“ müssen als eine Meldung gesendet werden, sofern dies vom Kommunikationsprotokoll unterstützt wird): iii. Einwurfschacht voll (die Verwendung der ausdrücklichen Meldung „Einwurfschacht voll“ (stacker full) existiert nicht, dies kann Sicherheitsfragen hervorrufen, wie „Fehlfunktion der Validierungseinheit für Banknoten“ oder Ähnliches) und iv. Münzstau (Gegenstände). s) Geringer Speicher NV des Spielautomaten, Batteriefehler t) Verlust der Kommunikation mit dem DSP-Server u) Verlust der Kommunikation mit dem Spielautomaten v) Fehler der Walzenumdrehung (mit Bestimmung der einzelnen Walzennummern, falls vorhanden) w) x) Druckerfehler (falls ein Drucker vorhanden ist): iii. Drucker leer/Papierstand niedrig und iv. Trennung/Versagen des Druckers. Fehler des Kartenlesegerätes TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 132 iii. Kartenstau iv. Trennung/Versagen des Lesegerätes. 3.2.3 Prioritätsereignisse Die folgenden wichtigen Ereignisse müssen an den CPS übertragen werden, wo ein Mechanismus zur rechtzeitigen Informierung (das Versenden der unten stehenden wichtigen Ereignisse an das System im Rahmen eines allgemeinen Fehlercodes ist gestattet) für die Fälle vorhanden sein muss, in denen das Spiel die Einzelheiten des Ereignisses nicht unterscheiden kann: f) Zugang zum logischen Bereich der Konsole, g) Wiederherstellung des RAM-Speichers des elektronischen Spielautomaten, h) Verfälschung einer zerstörten Software, i) irreparable Fehler der Hardware, j) Scheitern der Signaturprüfung. 3.3 Zähler 3.3.1 Allgemeiner Hinweis Die Informationen einer Zählung werden in dem Spielautomaten erzeugt, vom DSP-Server gesammelt und über ein Kommunikationsprotokoll an den CPS gesendet. Die Rechner des DSP-Servers müssen alle Daten der Zählerhinweise in Echtzeit und online und automatisch erhalten. Die Informationen einer Zählung des DSP-Servers müssen mit Etiketten gekennzeichnet werden, damit sie gemäß ihrer Funktion verständlich werden. Das CPS muss genaue Dateien aufbewahren und eine Gesamtlänge von mindestens 16 Bits (einschließlich der Minuten) für jeden Datentyp wahren, der auch für die Gesamtheit der Einnahmen erforderlich ist, die von dem jeweiligen elektronischen Spielautomat erzeugt wird. 3.3.2 Erforderliche Zähler Das CPS muss in der Lage sein, den Betrieb aller Spiele und der elektronischen Spielautomaten zu überwachen, und muss in der Lage sein, Meldungen über die folgenden Informationen des elektronischen Spielautomaten und des Spiels zu erzeugen, falls vorhanden: TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 133 r) Münzeinwurf, iii. Das System muss die Informationen für die Zahlungsanzeigetafeln der eingeworfenen Münzen und für den theoretischen Rückzahlungsanteil speichern, die vom Spielautomaten für jedes mehrfache Spiel oder ein mehrfaches Spiel mehrerer Zahlungsmittel geboten werden. iv. Das System muss die Informationen für die Zahlungsanzeigetafeln der eingeworfenen Münzen und für den erwogenen durchschnittlichen theoretischen Rückzahlungsanteil speichern, die vom jeweiligen Spielautomaten geboten werden und Zahlungsanzeigetafeln mit einem anderen theoretischen Rückzahlungsanteil beinhalten, der 4 Prozent zwischen den Einsatzkategorien übersteigt. ANMERKUNG: Dies gilt nicht für Keno und Geschicklichkeitsspiele. s) Münzauswurf: t) Gesamtheit der eingeworfenen Münzen (Münzen, die durch fielen oder Gesamtwert aller Münzen, Banknoten und Belegen/Coupons, die gesammelt wurden), u) Jackpots, die vom Croupier ausgezahlt wurden (Barauszahlungen), v) stornierte Guthaben, die vom Croupier ausgezahlt wurden (wenn dies vom Spielautomaten unterstützt wird), w) Einwurf physischer Münzen, x) Einwurf von Banknoten (Gesamtgeldwert aller angenommenen Banknoten), y) Auswurf von Belegen/Coupons, z) Auszahlung externer Boni durch den Automaten, aa) Auszahlung externer Boni durch den Croupier, bb) Auszahlung eines progressiven Jackpots durch den Croupier, cc) Auszahlung eines progressiven Jackpots durch den Automaten, dd) Einwurf von Belegen/Coupons (Gesamtgeldwert aller angenommenen Belege/Coupons), ee) gespielte Spiele, ff) gewonnene Spiele, gg) Personen, die den logischen Bereich betraten, einschließlich des Datums und der Uhrzeit des Zugangs, TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 134 hh) Personen, die die Zählertür betraten, einschließlich des Datums und der Uhrzeit des Zugangs, ANMERKUNG: Während die Daten der besagten elektronischen logistischen Zähler direkt vom Spielautomaten an den DSP und in der Folge an das CPS gesendet werden müssen, ist die Verwendung von sekundären Berechnungen des DSP und/oder des CPS gestattet, wenn dies für erforderlich erachtet wird. 3.3.3 Löschung des Inhaltes der Zähler Das CPS muss über einen Löschmechanismus der durch nicht autorisierte Nutzer gespeicherten Informationen der logistischen Zähler verfügen, siehe auch die Einheit 3.1.4 „Vorläufige Speicherung von Daten“. 3.4 Meldungsanforderungen 3.4.1 Allgemeiner Hinweis Die Informationen wichtiger Ereignisse und der Zähler werden in einer Datenbank auf dem CPS gespeichert, und danach werden logistische Meldungen auf der Grundlage der gespeicherten Informationen erzeugt. Die Daten, die von den EGM empfangen werden, müssen mindestens zehn (10) Jahre auf einem sicheren Medium (oder Medien), das die genaue Wiederherstellung aller gespeicherten Überwachungsdaten gewährleistet, aufbewahrt werden. 3.4.2 Erforderliche Meldungen Die Meldungen, die auf der Grundlage eines Zeitdiagramms erzeugt werden, das von der Kommission für Glücksspiele bestimmt wird und gewöhnlich aus täglichen, monatlichen und jährlichen Meldungen und Meldungen ab dem Tag der Inbetriebnahme bis heute besteht, die aus in der Datenbank gespeicherten Informationen erzeugt werden. Diese Meldungen sollten mindestens aus den unten stehenden Informationen bestehen: g) Meldung des Nettogewinns/Einnahmen für jeden Spielautomaten, TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 135 h) vergleichende Einwurfsmeldungen für jedes gesammelte Medium (z. B. Münzen oder Banknoten) mit Wiedergabe der Abweichungen in Euro und einem Anteil in Prozent für jedes Medium, und der Gesamtwert für jeden Typ, i) vergleichende Meldung des gezählten und tatsächlichen Jackpots mit Wiedergabe der Abweichungen in Euro und einem Anteil in Prozent für jeden von ihnen und Gesamtwert, j) Vergleich der theoretischen und tatsächlichen Verzögerung mit Abweichung, k) Datei zur Registrierung wichtiger Ereignisse für jeden Spielautomat, l) andere Meldungen gemäß der jeweiligen Gerichtsbarkeit. ANMERKUNG: Die Kombination von Meldungsdaten ist gestattet, wo dies für erforderlich erachtet wird (z. B. Einnahmen, Vergleich des Theoretischen/Tatsächlichen). 3.5 Sicherheitsanforderungen 3.5.1 Zugangskontrolle Der DSP-Server muss eine hierarchische Rollenstruktur, bei der der Zugang in das Programm oder die isolierten Komponenten des Menüs auf der Grundlage des Nutzers und eines Zugangscodes bestimmt wird, oder eine Sicherheitsstruktur des Verbindungs/Geräteprogramms unterstützen, die streng auf dem Nutzer und dem Zugangscode oder der PIN basiert. Des Weiteren muss das CPS die Änderung solcher wichtigen Verbindungsinformationen gestatten, die von dem Spielautomaten abgesendet werden. Darüber hinaus muss eine Prognose zur Informierung des Systemadministrators und zur Eintragung eines Ausschlusses eines Nutzers oder eines Kontrollzugangs nach einer bestimmten Anzahl gescheiterter Zugangsversuche vorhanden sein. Es muss über einen umfangreichen Schutz eines Zugangscodes auf Ebene des Betriebssystems und der Anwendung verfügen, einschließlich ohne Beschränkung: a) der Möglichkeit der Bestimmung des Verfalls des Zugangscodes, b) der Verschlüsselung der Zugangscodes, c) der Nichtanzeige des Zugangscodes, d) der Gewährung der Möglichkeit für die Nutzer, ihre Zugangscodes zu ändern, und TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 136 e) der Bestimmung der Strukturform des Zugangscodes. 3.5.2 Datenänderung Das CPS darf keine Änderung der Informationen des Archivs zur Eintragung der logistischen oder wichtigen Ereignisse gestatten, die entsprechend vom Spielautomaten ohne Prüfungen eines beaufsichtigten Zugangs abgesendet werden. Im Fall einer Änderung der wirtschaftlichen Daten muss er über die Möglichkeit einer automatischen Erzeugung eines Archivs der Prüfungseintragung für das Dokument verfügen: f) Datenbestandteil, der geändert wurde, g) Wert des Datenbestandteils vor der Änderung, h) Wert des Datenbestandteils nach der Änderung, i) Uhrzeit und Datum der Änderung und j) Personal, das die Änderung vornahm (Verbindung des Nutzers). 3.5.3 Eingang mit einem Zugangscode a) Das Betriebssystem des CPS muss einen umfangreichen Schutz eines Zugangscodes oder ein anderes sicheres Mittel zur Sicherung der Integrität der Daten und der Ausführung der Nutzergenehmigungen bieten. b) Der Zugang zu allen Programmen und Dateien wichtiger Daten muss in jedem Fall über die Eingabe des Zugangscodes erfolgen, der nur dem bevollmächtigten Personal bekannt sein soll. Im Fall einer Verwendung irgendeiner PIN in irgendeiner Weise innerhalb des CPS und/oder des unterstützenden Systems müssen der Algorithmus zur Erzeugung der PIN und die Funktionen des Prozesses (also Änderungen der PIN, Speicher der Datenbank, Sicherheit und Verteilung) genehmigt werden. d) Die Speicherung der Zugangscodes und der PIN muss in verschlüsselter, irreversibler Form erfolgen. Das bedeutet, dass im Falle eines Lesens der Datei mit den Daten der PIN durch irgendeine (autorisierte oder auch nicht autorisierte) Person die besagte Person nicht in der Lage sein darf, die PIN aus den konkreten Daten neu zu erstellen, auch wenn sie den Algorithmus zur Erzeugung der PIN kennt. TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 137 e) Es muss ein Programm zur Auflistung aller im CPS eingetragenen Nutzer einschließlich ihres Berechtigungslevels zur Verfügung stehen. 3.5.4 Verbindung mit dem System a) das Betriebssystem und/oder jedes Kontrollprogramm, das mit dem CPS verbunden ist, muss über einen Zugangscode mit zwei (2) Code-Ebenen verfügen, die den persönlichen Erkennungscode und einen persönlichen speziellen Zugangscode darstellen, b) die persönliche Erkennungsnummer (Personal Identification Number / PIN) muss aus mindestens sechs (6) Zeichen des Amerikanischen Standard Codes zum Austausch von Informationen (American Standard Code for Information Interchange / ASCII) bestehen und c) der persönliche spezielle Zugangscode muss aus mindestens sechs (6) Zeichen einschließlich mindestens einem (1) nicht alphabetischen Zeichen bestehen. 3.5.5 Sicherheitsniveau und Zugangsbeschränkungen a) Das Betriebssystem muss über mehrere Ebenen eines sicheren Zugang zur Kontrolle und Beschränkung verschiedener Zugangstypen zum CPS verfügen, und b) die Zugangskonten zum CPS müssen eindeutig sein, wenn sie für eine autorisierte Person erstellt werden, und die Verwendung gemeinsamer Konten vom autorisierten Personal ist nicht gestattet. 3.5.6 Mehrfache Verbindung auf Systemverwaltungsebene (also primär gegenüber einer sekundären Funktion) a) das Betriebssystem muss in der Lage sein, eine mögliche Verfälschung von Daten, die aufgrund der mehrfachen Verbindung auf Systemverwaltungsebene hervorgerufen werden kann, durch das Personal der Systemverwaltung zu prüfen, das über die Möglichkeit des Zugangs und der Durchführung von Änderungen in derselben Datei der wichtigen Daten verfügt, b) das Betriebssystem muss bestimmen, welche der Zugangsebenen die mehrfache TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 138 Verbindung von verschiedenen Nutzern gestattet, welche der Zugangsebenen die mehrfache Verbindung nicht gestattet, und im Fall, dass die mehrfache Verbindung gestattet wird, welche Beschränkungen gelten - falls Beschränkungen gelten, und c) wenn das CPS keine ausreichende Kontrolle bietet, muss ein inhaltsreiches Schreiben einer verfahrenstechnischen Kontrolle zur Abdeckung dieser Unzulänglichkeit des Systems mit dem Ziel der Unterstützung der richtigen Funktion eines regulären Systems vorbereiten. 3.6 Datensicherung und -wiederherstellung 3.6.1 Allgemeiner Hinweis Das CPS wurde zum Schutz der Integrität der entsprechenden Daten im Falle eines Versagens programmiert. Kontrollarchive, Systemdatenbanken und jegliche anderen entsprechenden Daten müssen unter Verwendung von logischen Schutzmethoden gespeichert werden. Wenn Festplatten als Speichermedien verwendet werden, muss die Integrität der Daten im Fall eines Versagens der Festplatte gesichert sein. Zu den akzeptierten Methoden gehören mehrfache Festplatten in akzeptierter RAID-Parametrisierung oder gespiegelte Daten auf zwei oder mehreren Festplatten. Die verwendete Methode muss darüber hinaus eine offene Unterstützung für Sicherheitskopien und Austausch gewähren. Die Anwendung des Programms zur Erstellung von Sicherheitskopien muss mindestens einmal pro Tag durchgeführt werden, auch wenn alle Methoden auf der Grundlage des jeweiligen Sachverhalts vom unabhängigen Zertifizierungslabor untersucht werden. Der physische Standort dieser Systeme zur Wiederherstellung von Daten und zur Erstellung von Sicherheitsdaten muss ein anderer als der Standort sein, an dem das CPS installiert ist. 3.6.2 Anforderungen an eine Wiederherstellung Im Fall eines zerstörerischen Versagens, bei dem der Neustart des CPS auf keine andere Weise möglich ist, müssen das Neuladen des Systems ab dem letzten wiederherstellbaren Punkt der Sicherheitskopien und die vollständige Wiederherstellung der Inhalte durch die besagten Sicherheitskopien, die mindestens aus den unten stehenden Informationen bestehen sollen, möglich sein: TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 139 a) wichtige Ereignisse, b) Buchhaltungsinformationen, c) Kontrollinformationen, und d) Informationen eines konkreten Standorts, wie z. B. eine Slots-Datei, Angestelltendatei, Einstellung eines progressiven Jackpots usw. 3.7 Selbstüberwachung 3.7.1 Allgemeiner Hinweis Das CPS muss die automatische Überwachung aller wichtigen Komponenten des CPS (z. B. Netzgeräte, Firewalls, Verbindungen mit Dritten usw.) anwenden und die Möglichkeit haben, den Systemadministrator effektiv über den Status zu informieren, unter der Voraussetzung, dass der Status nicht zerstört ist. Das CPS muss in der Lage sein, diese Funktion mit einer Frequenz von einmal in 24 Stunden durchzuführen. Die Anwendung von Programmen zur automatischen Überwachung wird auf der Grundlage des jeweiligen Sachverhalts vom unabhängigen Zertifizierungslabor untersucht. Darüber hinaus werden alle wichtigen CPS auf der Grundlage des jeweiligen Sachverhalts untersucht und ferner kann eine Aktion vom System entsprechend der Schwere des Versagens durchgeführt werden. 3.8 Netzsicherheit 3. 8.1 Allgemeiner Hinweis In dem Fall, dass das CPS zusammen mit einem anderen Netz verwendet wird, muss die gesamte Kommunikation einschließlich des Remote-Zugangs mindestens eine genehmigte Firewall in einer anwendungsorientierten Schicht durchlaufen und darf über keine Einrichtung verfügen, die alternative Netzzugänge gestattet. Wenn ein alternativer Netzzugang zu Redundanzzwecken besteht, muss auch dieser mindestens eine Sicherheitsfirewall in einer anwendungsorientierten Schicht durchlaufen. 3.8.2 Kontrollarchive einer Firewall Die Anwendung der Firewall muss ein Kontrollarchiv der unten stehenden Informationen beinhalten und muss jede Kommunikation deaktivieren und ein Fehlerereignis erzeugen, wenn das Kontrollarchiv voll ist: TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 140 d) alle Änderungen in der Parametrisierung der Firewall, e) alle erfolgreichen und gescheiterten Verbindungsversuche über die Firewall und f) die Quelle und das Ziel der IP-Adressen, die Port-Nummern und die MAC-Adressen. ANMERKUNG: Ein modulierbarer Parameter „gescheiterte Verbindungsversuche“ kann zur Abweisung weiterer Verbindungsanfragen verwendet werden, wenn eine Überschreitung der vorbestimmten Grenze erfolgt. Darüber hinaus muss der Systemadministrator informiert werden. 3.9 Remote-Zugang 3.9.1 Allgemeiner Hinweis Als Remote-Zugang wird irgendein Zugang im System abgesehen von dem „zuverlässigen“ Zugang bestimmt. Der Remote-Zugang muss, wo dies gestattet ist, alle Systeme eines Rechners auf der Grundlage der bevollmächtigten Einstellungen des CPS oder der Anwendung der Firewall, die eine Verbindung zu dem CPS erzeugt, identifizieren. Die Sicherheit des Remote-Zugangs wird auf der Grundlage des jeweiligen Sachverhalts in Verbindung mit der aktuellen Technologie und der Genehmigung durch die lokale Regulierungsbehörde untersucht. Unten Stehendes sind zusätzliche Anforderungen: d) keine unautorisierte Verwaltungsfunktion eines Remote-Nutzers (Hinzufügen von Nutzern, Änderung von Genehmigungen usw.), e) kein unautorisierter Zugang zu irgendeiner anderen Datenbank als der Wiedererlangung von Informationen unter Verwendung der bestehenden Funktionen und f) kein unautorisierter Zugang zum Betriebssystem. 3.9.2 Kontrolle eines Remote-Zugangs Der CPS-Server muss automatisch ein Archiv über die Registrierungsaktivität führen oder über die Möglichkeit verfügen, nicht automatische Registrierungsarchive zu registrieren, die alle Informationen des Remote-Zugangs darstellen und Folgendes enthalten: e) Verbindungsname, TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 141 f) Uhrzeit und Datum, an dem die Verbindung erfolgte, g) Dauer der Verbindung und h) Aktivität während der Verbindung einschließlich der konkreten Bereiche, auf die zugegriffen wurde, und der erfolgten Änderungen. 3.10 Validierung der Systemsoftware 3.10.1 Allgemeiner Hinweis Die Komponenten/Einheiten der Software des CPS müssen über ein sicheres Medium auf einer Systemebene zu validieren sein, auf der die Identität und die Version des Programms verzeichnet ist. Das CPS muss in der Lage sein, die Durchführung unabhängiger Prüfungen der Integrität der Komponenten/Einheiten durch externe Quellen zuzulassen, und ist für alle Steuerungsprogramme erforderlich, die die Integrität des CPS beeinflussen können. Dies wird über die Identität von einem externen Gerät durchgeführt, das in die Software des CPS integriert werden kann (siehe die unten stehende ANMERKUNG) oder über eine Schnittstelle für dritte Geräte zur Identifizierung der Medien verfügt. Die Prüfung der Integrität stellt ein Überwachungsmittel zur Validierung der Komponenten/Einheiten des CPS zur Erkennung und Validierung der Programme/Dateien dar. Vor der Genehmigung des Systems muss das unabhängige Zertifizierungslabor die Methode zur Prüfung der Integrität genehmigen. ANMERKUNG: Wenn das Identifizierungsprogramm in die Software des CPS integriert ist, muss der Hersteller vor der Einreichung eine schriftliche Bestätigung vom unabhängigen Zertifizierungslabor erhalten. TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 142 TEIL 5: Überwachungs- und Kontrollsystem - SCS Version: 1.0 TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 143 KAPITEL 1 1.0 UMWELTRELEVANTE ANFORDERUNGEN UND SICHERHEITSANFORDERUNGEN DES SYSTEMS 1.1 Physikalische Sicherheit 1.1.1 Allgemeiner Hinweis Alle Bestandteile eines Systems müssen ausreichend widerstandsfähig sein, um einem gewaltsamen Eindringen standzuhalten. 1.2 Sicherheit des Materials und der Spieler 1.2.1 Allgemeiner Hinweis Die elektronischen und mechanischen Teile und die Planungsprinzipien des elektronischen Materials dürfen den Spieler keiner Gefahr seiner körperlichen Unversehrtheit aussetzen. Das unabhängige Zertifizierungslabor liefert KEINE Erkenntnisse hinsichtlich der Sicherheit und der Prüfung der elektromagnetischen Verträglichkeit, dies fällt unter die Verantwortung des Produktherstellers oder der Käufer. Diese Art Sicherheitstests und Prüfungen der elektromagnetischen Verträglichkeit können aufgrund des besonderen normativen Aktes, der Verordnung, des Gesetzes oder des Rechtsaktes erforderlich sein, und müssen jeweils von den Parteien durchgeführt werden, die das besagte Material herstellen oder kaufen. Das unabhängige Zertifizierungslabor führt keine Tests durch, trägt keinerlei Verantwortung und liefert kein Ergebnis in Verbindung mit diesen konkreten Sachverhalten. TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 144 1.3 Einwirkung der Umwelt auf die Integrität des Systems 1.3.1 Norm über die Integrität Das unabhängige Zertifizierungslabor führt bestimmte Tests durch, um zu bestimmen, ob die äußeren Einwirkungen den gerechten Charakter des Spiels gegenüber dem Spieler beeinflussen, oder ob sie Möglichkeiten des Betrugs schaffen. Ein System muss in der Lage sein, den folgenden Tests standzuhalten und dabei sein Spiel ohne Eingriff des Bedieners fortzusetzen: e) Elektrostatische Interferenz Die Systeme dürfen kein elektronisches Rauschen verursachen, das die Integrität oder den gerechten Charakter der umgebenden verbundenen Ausstattung beeinflusst. f) Elektrostatische Interferenz Zum Schutz vor einem elektrostatischen Überschlag ist eine Erdung des Materials des Systems in der Art erforderlich, dass die Energie der elektrostatischen Überschlags keine Schädigung oder Hemmung des regulären Betriebs der elektronischen oder anderer Bestandteile im Rahmen des Systems hervorruft. Die Systeme können eine vorübergehende Unterbrechung aufweisen, wenn sie einer bedeutenden elektrostatischen Entladung höher als die Entladung des menschlichen Körpers ausgesetzt werden, aber sie müssen über die Möglichkeit verfügen, alle ihre Funktionen wiederherzustellen und zu vervollständigen, die unterbrochen wurden, ohne Verluste oder Verfälschungen der Informationen über die Kontrolldaten oder die wichtigen Daten aufzuweisen, die mit dem System verbunden sind. Die Prüfungen werden bis zu einem Beanspruchungsgrad von 27KV durchgeführt. TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 145 KAPITEL 2 2.0 ANFORDERUNGEN AN DAS ÜBERWACHUNGS- UND KONTROLLSYSTEM 2.1 Überwachungs- und Kontrollsystem 2.1.1 Allgemeiner Hinweis Wenn das Überwachungs- und Kontrollsystem aus mehreren Rechnersystemen an unterschiedlichen Standorten besteht, müssen das Überwachungs- und Kontrollsystem als Ganzes und die Kommunikation zwischen seinen Komponenten diese Anforderungen erfüllen. 2.1.2 Herunterfahren und Wiederherstellung Das Überwachungs- und Kontrollsystem muss die folgenden Möglichkeiten des Herunterfahrens und der Wiederherstellung haben: a) das Überwachungs- und Kontrollsystem muss in der Lage sein, von unerwarteten ResetEreignissen seiner zentralen Rechner oder irgendeinem seiner übrigen Komponenten zurückzukehren, b) das Überwachungs- und Kontrollsystem muss in der Lage sein, im Falle einer einfachen Unterbrechung der Stromversorgung regulär herunterzufahren und die Wiederherstellung nach Wiederherstellung der Stromversorgung nur zu gestatten, nachdem die folgenden Prozesse als Mindestanforderung abgeschlossen werden: i) erfolgreiche Vollendung des/der typischen Prozesse/s, zur Fortsetzung eines Programms einschließlich der automatischen Prüfungen, ii) Identifizierung aller wichtigen Dateien des Überwachungs- und Kontrollprogramms durch eine genehmigte Methode (mit Ausnahme der CRC, MD5, SHA-1 usw.) und iii) Installation und ähnliche Identifizierung der Kommunikationen mit allen Komponenten, die für den Betrieb des Überwachungs- und Kontrollsystems erforderlich sind TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 146 c) das Überwachungs- und Kontrollsystem muss in der Lage sein, die Fälle einer zentralen Wiederherstellung auf anderen Überwachungs- und Kontrollsystemen zu erkennen und entsprechend zu verwalten, die das Spielergebnis, den Betrag des Gewinns oder die Zählung beeinflussen, d) das Überwachungs- und Kontrollsystem muss in der Lage sein, alle wichtigen Informationen ab dem Zeitpunkt der letzten Datensicherung bis zum Zeitpunkt des Versagens des Überwachungs- und Kontrollsystems oder seiner Wiederherstellung wiederherzustellen (ohne dass eine zeitliche Grenze bestimmt wird), e) das System muss in der Lage sein, die ununterbrochene Verfügung der Rechte des Spielers und die Kontrollmöglichkeit ausreichend zu sichern. 2.1.3 Hosting durch Dritte Wenn eine oder mehrere Komponenten des Überwachungs- und Kontrollsystems durch dritte Dienstleistungsanbieter betreut werden, müssen die folgenden Anforderungen erfüllt werden: a) die persönlichen wirtschaftlichen Informationen aller Spieler dürfen dem dritten Dienstleistungsanbieter nicht zugänglich sein. Dies schließt dennoch nicht die Verwendung von Dienstleistungen dritter Personen für die Datensicherung und die Speicherung von Daten aus, b) die Spielfunktionen dürfen dem dritten Dienstleistungsanbieter nicht zugänglich sein, c) die Verwendung von Dienstleistungen dritter Anbieter, die eine Anpassung der Software an Regeln/Verordnungen erfordert, die in irgendeinem Punkt dem vorliegenden Schreiben widersprechen, ist nicht gestattet. 2.1.4 Deaktivierung des Einsatzes Die Nutzer müssen zu jedem Zeitpunkt die ungehinderte Kommunikation aller Spielautomaten mit dem SCS über das CPS sichern und dabei die Durchführung einer Kontrolle und Überwachung in Echtzeit gestatten. Die folgenden Anforderungen betreffen die Deaktivierung und Aktivierung des Einsatzes durch das Überwachungs- und Kontrollsystem: a) das Überwachungs- und Kontrollsystem muss in der Lage sein, jede Auswahl eines Einsatzes auf Befehl zu aktivieren und zu deaktivieren, TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 147 b) das Überwachungs- und Kontrollsystem muss in der Lage sein, die einzelnen Spiele auf Befehl zu aktivieren und zu deaktivieren, c) das Überwachungs- und Kontrollsystem muss in der Lage sein, die einzelnen Sitzungen des jeweiligen Spielers auf Befehl zu aktivieren und zu deaktivieren, und d) im Falle einer Deaktivierung oder Aktivierung irgendeiner Auswahl des Einsatzes durch das Überwachungs- und Kontrollsystem muss eine entsprechende Registrierung in der Kontrolldatei erfolgen. Der Grund einer eventuellen Deaktivierung muss in einer geschützten Kontrolldatei registriert werden, die keinen erforderlichen Teil des Überwachungs- und Kontrollsystems darstellen muss. 2.1.5 Unterbrechung aufgrund Passivität des Nutzers In dem Fall, dass das Überwachungsund Kontrollsystem nicht in der Lage ist, ein Polling des Spielautomaten zur Bestätigung einer Verbindung durchzuführen, müssen Unterbrechungen aufgrund einer Passivität des Nutzers vorgenommen werden. 2.1.6 Polling der Spielautomaten In dem Fall, dass das Überwachungs- und Kontrollsystem in der Lage ist ein Polling durchzuführen, muss es die Spielautomaten auf der Grundlage eines bestimmten Zeitplans und auf Befehl durch den Nutzer des Überwachungs- und Kontrollsystems abfragen. a) das Überwachungs- und Kontrollsystem muss in der Lage sein, die Uhrzeit und das Datum des letzten Pollings zu speichern, b) das Scheitern einer Antwort eines Spielautomaten innerhalb von 30 Minuten muss zum Beenden der Sitzung führen, und c) der Spielautomat muss erkennen, dass die Sitzung im Falle des gescheiterten Erhalts einer Antwort vom Server innerhalb von 30 Minuten beendet wurde. Der Spielautomat muss den Spieler über das Beenden der Sitzung informieren. Das Spiel muss bis zur Erstellung einer neuen Sitzung durch das Überwachungs- und Kontrollsystem und den Spielautomaten unterbrochen werden. TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 148 2.2 Informationen eines Einsatzes, der im Überwachungs- und Kontrollsystem gespeichert werden muss 2.2.1 Allgemeiner Hinweis Der Bediener und die Kommission zur Überwachung und Kontrolle von Spielen müssen die Informationen eines Einsatzes für einen Zeitraum von zehn Jahren auf einem sicheren Medium (oder Medien) speichern, das die genaue Reproduktion der gespeicherten Überwachungsdaten durch die Kommission zur Überwachung und Kontrolle von Spielen gestattet. Diese Informationen können offline gespeichert werden. Die zeitliche Kennzeichnung muss auf der Grundlage einer bestimmten Zeitzone erfolgen und, wenn diese Zeitzone nicht die Weltzeit ist (Coordinated Universal Time / UTC), muss eine klare Differenzierung zur UTC bestehen. 2.2.2 Informationen eines Spielerkontos Die Informationen der Spielerkonten, die gespeichert und zur Aggregation in den Meldungen des Überwachungs- und Kontrollsystems zur Verfügung gestellt werden müssen, und von denen Sicherheitskopien erstellt werden müssen, sind die folgenden: a) Informationen zur Identität des Nutzers (einschließlich der Verifizierungsmethode), b) Zustimmung des Spielers zu den Bedingungen und Voraussetzungen und der Geheimhaltungspolitik des Bedieners, c) Kontoinformationen und aktueller Saldo, d) maximale Ebenen eines Einsatzverlustes und Ausschlussstatus, e) vorherige Konten und Gründe der Deaktivierung und f) Informationen der aktuellen Sitzung. 2.2.3 Informationen einer Sitzung Die Informationen für jede Spielsitzung (also Uhrzeit der Verbindung und Abmeldung des Clients), die gespeichert und zur Aggregation in den Meldungen des Überwachungs- und Kontrollsystems zur Verfügung gestellt werden müssen, und von denen Sicherheitskopien erstellt werden müssen, sind die folgenden: a) eindeutige Spielerkennung, b) Uhrzeit des Beginns und des Endes der Sitzung, c) entsprechende Informationen des Geräts des Spielers, wie z. B. IP-Adresse und Version des Browsers und/oder des Clients, TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 149 d) Gesamtbetrag, der in der Sitzung gesetzt wurde, e) Gesamtbetrag, der in der Sitzung gewonnen wurde, f) Kapital, das dem Konto für die Sitzung hinzugefügt wurde (mit zeitlicher Kennzeichnung), g) Kapital, das von dem Konto für die Sitzung abgezogen wurde (mit zeitlicher Kennzeichnung), h) im Falle einer Anwendung von Polling die Uhrzeit des letzten erfolgreichen Pollings für die Sitzung, i) Grund des Beendens der Sitzung, j) im Falle einer Anwendung von Polling die Spielinformationen für die Sitzung (z. B. gespielte Partien, gesetzte Beträge, gewonnene Beträge, gewonnene Jackpots usw.), k) Übertrag des Spielerkontos bei Beginn der Sitzung, l) aktuelle aktive Sitzungen (z. B. im Aufbau, vollendete usw.) und m) Uhrzeit und Datum der Unterbrechung. 2.2.4 Informationen wichtiger Ereignisse Die folgenden Anforderungen betreffen die Registrierung der Informationen wichtiger Ereignisse durch das Überwachungs- und Kontrollsystem: a) Die Informationen der wichtigen Ereignisse, die gespeichert und zur Aggregation in den Meldungen des Überwachungs- und Kontrollsystems zur Verfügung gestellt werden müssen, und von denen Sicherheitskopien erstellt werden müssen, sind die folgenden: i) sehr hohe Gewinnbeträge, die den Wert übersteigen, der von der jeweiligen Gerichtsbarkeit bestimmt wird, ii) Übertragung eines sehr großen Kapitalvolumens (einzeln und kollektiv für einen bestimmten Zeitraum), das den Wert übersteigt, der von der jeweiligen Gerichtsbarkeit bestimmt wird, iii) Änderungen der Parameter des Spiels, die von dem Bediener vorgenommen wurden, iv) Änderungen der Parameter des Jackpots, die von dem Bediener vorgenommen wurden, v) neue Jackpots, die erzeugt wurden, vi) Anzahl der Gewinne eines Jackpots, TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 150 vii) Jackpots, die abgezogen wurden, viii) Ausschlüsse eines Spielers (einschließlich des Ausschlussgrunds, der Anträge zur Aufhebung des Ausschlusses und der Aufhebungen des Ausschlusses), ix) Ereignisse externer Überwachungs- und Kontrollsysteme, die das Spielergebnis und die Gewinnbeträge beeinflussen (z. B. externe Jackpot-Zentralrechner), x) irreversibler Verlust von Daten, die die Clients betreffen, und xi) bedeutende Zeitspannen der Nichtverfügbarkeit des Überwachungs- und Kontrollsystems. a) Das Überwachungs- und Kontrollsystem muss in der Lage sein, ein geeignetes Zugangsmedium zu den wichtigen Ereignissen einschließlich der Möglichkeit zur Suche bestimmter Ereignistypen zu gewähren, und b) das Überwachungs- und Kontrollsystem muss in der Lage sein, die Ereignisse nach Priorität auf der Grundlage ihres Bedeutungsgrades zu ordnen (z. B. wenn die Registrierung eines Ereignisses, die Aktivierung eines Alarms oder die Deaktivierung des Spiels erforderlich ist). 2.2.5 Datensicherung Es muss eine geeignete Methode zur Sicherung aller wichtigen Daten (also der wirtschaftlichen Informationen und der Informationen über Sicherheit und Ereignisse) in einem annehmbaren Zeitabstand zur Verfügung stehen, die die Wiederherstellung im Fall einer Unterbrechung gestattet. TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 151 KAPITEL 3 3.0 SICHERHEITSANFORDERUNGEN AN INFORMATIONSSYSTEME (ISS) 3.2 Politik der Datensicherheit 3.2.1 Allgemeiner Hinweis Ein Dokument der Politik der Datensicherheit muss von der Verwaltung genehmigt, veröffentlicht und sämtlichen Angestellten und den entsprechenden externen Faktoren bekannt gegeben werden. Die Politik der Datensicherheit muss den folgenden Anforderungen entsprechen: a) Die Politik der Datensicherheit muss in regelmäßigen Zeitabständen und jedes Mal überprüft werden, wenn wichtige Änderungen erfolgen, damit ihre ununterbrochene Eignung, Zulänglichkeit und Effektivität gesichert wird. b) Die Annäherung des Bedieners an die Sicherheitsverwaltung und ihre Anwendung (also Kontrollzwecke, Kontrollen, Politiken, Prozesse und Methoden der Datensicherheit) muss durch eine unabhängige Behörde in bestimmten Zeitabständen oder jedes Mal kontrolliert werden, wenn bedeutende Änderungen in der Sicherheitsanwendung erfolgen. Unter den Beispielen „bedeutender Änderungen“ können das Update des Betriebssystems, das den Zugang zum Überwachungs- und Kontrollsystem von externen Quellen gestattet, das Hinzufügen neuer Komponenten zum Überwachungs- und Kontrollsystem und die Änderungen der Netzparametrisierungen wie z. B. das Hinzufügen neuer Subnetzwerke inbegriffen sein. 3.3 Physikalische und Bereichskontrollen 3.3.1 Sichere Bereiche a) Die Überwachungs- und Kontrollsysteme Kommunikationssysteme müssen physikalischen vor Schutz sich einer TEIL 5: Überwachungs- und Kontrollsystem - SCS) in und Einrichtungen möglichen die entsprechenden befinden, Beschädigung die durch einen Brand, Seite 152 Überschwemmung, Orkan, Erdbeben und andere physische oder technische Katastrophen gewähren. b) Sicherheitsabgrenzungen (Sperren wie z. B. Wände, kartengesicherte Eingänge oder besetzte Empfangsbüros) müssen zum Schutz der Bereiche verwendet werden, in denen sich die Datenverarbeitungssysteme befinden. c) Die sicheren Bereiche müssen durch geeignete Eingangsmethoden geschützt werden, die den Zugang nur für autorisiertes Personal sichern. d) Jeder Zugangsvorfall muss in einer sicheren Datei registriert werden. e) Die sicheren Bereiche müssen über ein System zur Ermittlung von Eindringen verfügen, und die Versuche nicht autorisierten Zugangs müssen registriert werden. 3.3.2 Ausstattungssicherheit f) Die Ausstattung muss in einem geschlossenen Raum platziert oder geschützt werden, sodass die Gefahren durch Bedrohungen und Zerstörungen aus der Umgebung und die Möglichkeiten eines nicht autorisierten Zugangs eingeschränkt werden. g) Die Ausstattung muss vor eventuellen Unterbrechungen der Stromversorgung und anderen Arten von Unterbrechungen geschützt werden, die eventuell aufgrund von Fehlern in den unterstützenden Anwendungen hervorgerufen werden. h) Die Starkstrom- oder Kommunikationskabel, die Daten übertragen oder die Informationsdienste unterstützen, müssen vor eventuellem Abhören und Beschädigungen geschützt werden. 3.3.3 Verwaltung von Vorfällen a) Geeignete Politiken, Pläne und Prozesse müssen für die Verwaltung eventueller Sicherheitsvorfälle zur Verfügung stehen. 3.4 Verwaltungskontrollen 3.4.1 Schutz des Personals i) Alle Angestellten der Organisation und gegebenenfalls die Auftragnehmer und dritten Nutzer müssen eine ausreichende Bewusstseinsbildung und regelmäßige Aktualisierungen hinsichtlich der Politiken und der Prozesse der Organisation entsprechend ihrem Arbeitsplatz erhalten. j) Die Zugangsrechte aller Angestellten und gegebenenfalls der Auftragnehmer und dritten TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 153 Nutzer zu den Informationen und den Datenverarbeitungseinrichtungen müssen nach dem Ende ihrer Beschäftigung, ihres Vertrags oder ihrer Vereinbarung aufgehoben werden oder der jeweiligen Änderung angepasst werden. 3.4.2 Dienstleistungen Dritter k) Die Vereinbarungen mit Dritten, einschließlich des Zugangs, der Verarbeitung, der Bekanntgabe oder der Verwaltung der Informationen des Administrators oder der Datenverarbeitungseinrichtungen, oder das Hinzufügen von Produkten oder Dienstleistungen zu Datenverarbeitungseinrichtungen müssen sämtlichen entsprechenden Sicherheitsanforderungen genügen. l) Die Dienstleistungen, Meldungen und Aufzeichnungen, die von Dritten gewährt werden, müssen überwacht und überprüft werden, und es müssen mindestens jährliche Kontrollen durchgeführt werden. m) Die Verwaltung eventueller Änderungen in der Gewährung von Dienstleistungen einschließlich der Verwaltung und Verbesserung der bestehenden Politiken hinsichtlich der Sicherheit der Informationen, Prozesse und Kontrollen muss unter Einberechnung des Bedeutungsgrades der Unternehmenssysteme und der verbundenen Prozesse sowie einer Neubewertung der Risiken erfolgen. 3.4.3 Datensicherungspolitik n) Es muss eine Datensicherung der Informationen und der Software erstellt und regelmäßig auf eine Anpassung an die vereinbarte Datensicherungspolitik hin kontrolliert werden. 3.4.4 Verwaltung von Medien o) Es müssen Verwaltungsprozesse für entfernbare Medien zur Verfügung stehen. p) Alle Ausstattungselemente, die Speichermedien enthalten, müssen vor der Abweisung zur Absicherung des Entfernens oder eines sicheren Ersatzes der sensiblen Daten und der zugelassenen Software überprüft werden. q) Die Medien müssen mit Sicherheit und gemäß den offiziellen Verfahren abgewiesen werden, wenn sie überflüssig sind. r) Es müssen Verfahren zur Verwaltung und Speicherung von Informationen mit dem Ziel des Schutzes der besagten Informationen vor nicht autorisierter Enthüllung oder TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 154 Missbrauch festgelegt werden. s) Die Dokumentation des Überwachungs- und Kontrollsystems muss vor nicht autorisiertem Zugang geschützt werden. 3.4.5 Verwaltung von Code-Aktualisierungen und sonstigen Aktualisierungen a) Die Politik zur Sicherung sämtlicher Code-Aktualisierungen und sonstiger Aktualisierungen der Software muss in schriftlicher Form zur Verfügung stehen. b) Alle Code-Aktualisierungen müssen, wenn möglich, auf einem Überwachungs- und Kontrollsystem mit Parametern getestet werden, die denen des Überwachungs- und Kontrollsystems entsprechen, auf dem sie installiert werden sollen. Im Falle eines Scheiterns der rechtzeitigen Durchführung eines ausführlichen Tests der CodeAktualisierungen zur Einhaltung der Zeitpläne auf Alarmniveau muss der Test der CodeAktualisierungen Verfahren zur Risikoverwaltung unterzogen werden, sei es durch Isolierung oder Entfernung des nicht getesteten Überwachungs- und Kontrollsystems vom Netz oder unter Durchführung der Code-Aktualisierung und des Tests nach dem Ereignis. 3.4.6 Änderung von Kontrollverfahren t) Die Verfahren zur Änderung einer Programmkontrolle müssen ausreichend sein, um die Anwendung nur entsprechend genehmigter und getesteter Versionen der Programme auf dem Überwachungs- und Kontrollsystem der Produktion zu sichern. Die Änderungen einer Kontrolle der Produktion müssen Folgendes beinhalten: i. eine geeignete Methode oder Mechanismus zur Kontrolle der Softwareversion für sämtliche Softwarekomponenten, ii. Details hinsichtlich des Änderungsgrunds, iii. Details hinsichtlich der Person, die die Änderung vornimmt, und iv. eine vollständige Sicherheitskopie der vorigen Softwareversionen. 3.4.7 Identifizierung u) Sämtliche Personen (z. B. Computernutzer, Wartungsdienstleister, Justizbeamte und Vertreter) und Rechnersysteme (z. B. Jackpot-Prüfer, wirtschaftliche Portalsysteme, Systeme der Zertifizierungsbehörden), die mit dem Überwachungs- und Kontrollsystem TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 155 verbunden sind, müssen identifiziert werden, mit Ausnahme des folgenden Punktes b. v) Das Überwachungs- und Kontrollsystem muss seine Identität sämtlichen Personen und Rechnersystemen, die eine Verbindung herstellen zur Verfügung stellen. w) Die Identifizierung der Personen und Rechnersysteme, die durch den Nutzer und dritte Überwachungs- und Kontrollsysteme überprüft werden, muss auf einer bestimmten Methode zur Identifizierung der Zertifizierung basieren, die von der jeweiligen Gerichtsbarkeit als sicher anerkannt wird. 3.4.8 Entwicklung einer Software, Test, Verwaltung und Wartung a) Die Software mehrerer Plattformen muss einen identischen Code in jeder Version tragen, ausschließlich der Funktionen, die von der Systemsoftware abhängen. 3.4.9 Codesicherheit x) Closed Source Software. Wo dies erforderlich ist, sollte der Code so gut wie möglich vor dem Spieler geschützt werden. b) Open Source Software. Wenn die Software als ein Open Source-Projekt vorliegt: i. Die Gruppe zur Entwicklung der Software muss eine gültige Genehmigung für eine Open Source-Programmierung erhalten, um in die Kategorie der Einreichungen einer Open Source Software eingeordnet zu werden. ii. Es muss ein gültiges Verfahren angewendet werden, das die erteilte Genehmigung einer Open Source Software nicht verletzt, damit eine eventuelle Veröffentlichung der Code-Änderungen durch dieselben Personen, die die Änderungen vornahmen, welche die Änderung des Sicherheits- und Integritätslevels der Software und des Überwachungs- und Kontrollsystems zur Folge haben können, untersagt wird. iii. Das Überwachungs- und Kontrollsystem muss in der Lage sein, einleuchtend eventuelle Änderungen des Codes aufzuspüren, die durch den Endnutzer vorgenommen wurden, und die Funktion der Software zu verhindern, wenn die besagten Änderungen die Integrität des Spiels und/oder des Überwachungs- und Kontrollsystems verändern können. c) Parametrisierungsmöglichkeiten durch Code-Änderungen: Wenn die Client-Software die Parametrisierung durch den Nutzer gestattet (z. B. anpassbare Kartenspiele), müssen die folgenden Anforderungen erfüllt werden: TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 156 i. Der Spielclient kann die Parametrisierung durch den Nutzer gestatten (z. B. Änderung der Erscheinung der Arbeitsumgebung, angepasste Kartenspiele usw...). Wenn die Parametrisierung über Code-Änderungen durchgeführt wird, muss der Code dennoch ausschließlich aus den Kennzeichnungssprachen bestehen. ii. Die Verwendung irgendeiner Programmiersprache für den konkreten Zweck, die Befehle auf der Ebene des Überwachungs- und Kontrollsystems ausführen kann, ist untersagt. d) Eventuelle Themen-Pakete mit einer Möglichkeit der öffentlichen Installation müssen vom offiziellen Webstandort des Spiels aus betreut und überwacht werden, und alle Themen, die geladen werden, müssen validiert werden, damit gesichert ist, dass sie keine Programme zur Ausnutzung der Empfindlichkeit oder böswillige Software enthalten. 3.5 Technische Kontrollen 3.5.1 Proxy-Server a) Das Überwachungs- und Kontrollsystem muss in der Lage sein, über mehrere ProxyServer zu arbeiten. Die ordnungsgemäße Funktion der Spiele darf nicht von irgendeiner Erneuerungsanfrage abhängen, die das Überwachungs- und Kontrollsystem vom Spielautomaten erreicht. 3.5.3 Selbstüberwachung y) Das Überwachungs- und Kontrollsystem muss eine automatische Überwachung der wichtigen Komponenten (z. B. Zentralrechner, Netzgeräte, Firewalls, Verbindungen mit Dritten usw.) vornehmen. z) Die wichtigen Komponenten, die bei den Tests der automatischen Überwachung versagen, müssen sofort außer Betrieb gesetzt werden. Die Komponente darf nicht wieder in Betrieb genommen werden, bis ausreichend bewiesen ist, dass der Fehler behoben wurde. 3.5.4 Schutz vor Angriffen aa) Es müssen angemessene Vorsichtsmaßnahmen zum Schutz des Überwachungs- und Kontrollsystems vor Angriffen auf der Grundlage der Reproduktion authentischer und TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 157 nicht authentischer Meldungen getroffen werden (z. B. Angriff einer verteilten Dienstverweigerung). bb) Die Software muss in der Lage sein, die „man-in-the-middle“-Angriffe angemessen aufzuspüren oder rechtzeitig zu verhindern, ohne das Geheimnis des Endnutzers zu verletzen. cc) Im Falle eines Verdachts eines „man-in-the-middle“-Angriffs müssen sämtliche Kommunikationen zwischen dem verdächtigen Client und dem Server über die Anzeige einer Meldung beim Endnutzer unterbrochen werden, die den Grund für das Beenden der Kommunikation erklärt. dd) Nach dem Beenden der Kommunikation zwischen dem Client und dem Server müssen die geeigneten Schritte zur Feststellung der Durchführung oder auch nicht eines man-inthe-middle-Angriffs durch den Endnutzer befolgt werden. Wenn festgestellt wird, dass ein Versuch eines man-in-the-middle-Angriffs unternommen wurde, müssen geeignete Handlungen hinsichtlich des Betrugs erfolgen. ee) Es müssen alle angemessenen Vorsichtsmaßnahmen getroffen werden, damit gesichert ist, dass die Daten, die auf dem Überwachungs- und Kontrollsystem gesichert oder über dieses übertragen werden, nicht mit eventuellen Viren, Trojanern, Würmern oder einer anderen Art böswilliger Software infiziert werden. ff) Das Überwachungs- und Kontrollsystem mindestens einmal in sechs Monaten einem Eindringungstest unterzogen werden. 3.5.5 Verwaltung der Netzsicherheit gg) Die Netze müssen einer ausreichenden Verwaltung und Kontrolle unterliegen, damit sie vor eventuellen Bedrohungen geschützt werden und die Sicherheit der Systeme und Anwendungen sichern, die das System verwenden, einschließlich der übertragbaren Informationen. hh) Die Netzkomponenten müssen mindestens einmal in sechs Monaten einem Abtasten der internen Empfindlichkeit unterzogen werden. ii) Die Sicherheitsmerkmale, Wartungsebenen und Verwaltungsanforderungen sämtlicher Netzdienstleistungen müssen in allen Verträgen über Netzdienstleistungen anerkannt werden und enthalten sein, sei es, dass die besagten Dienstleistungen von innen aus oder durch ein anderes Unternehmen gewährt werden. TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 158 3.5.6 Netzzugangskontrollen jj) Es muss eine Politik zur Zugangskontrolle auf der Grundlage der Unternehmensanforderungen und der Sicherheitsanforderungen hinsichtlich des Zugangs festgelegt, dokumentiert und überprüft werden. kk) Es muss eine offizielle Methode zur Eintragung und Streichung von Nutzern zur Gewährung und Aufhebung des Zugangs zu sämtlichen Informationssystemen und Informationen zur Verfügung stehen. ll) Die Verteilung der Nutzerrechte muss beschränkt und auf der Grundlage der Unternehmensanforderungen kontrolliert werden. mm) Die Verwaltung muss die Zugangsrechte der Nutzer in regelmäßigen Zeitabständen über ein offizielles Verfahren prüfen. nn) Die Nutzer dürfen nur Zugang zu den Dienstleistungen haben, für die sie über eine entsprechende Autorisierung verfügen. oo) Die Zugangscodes müssen über ein offizielles Verwaltungsverfahren überprüft werden. pp) Die Wahl der Zugangscodes muss auf die richtigen Sicherheitspraktiken abgestimmt sein. qq) Die Ausstattungen, die nicht vorgesehen sind, müssen ausreichend geschützt werden und den Nutzer automatisch nach einem bestimmten Zeitraum trennen. rr) Es müssen geeignete Identifizierungsmethoden zur Kontrolle des Zugangs durch entfernte Nutzer verwendet werden. ss) Die automatische Ausstattungserkennung muss als Mittel zur Identifizierung der Verbindungen von bestimmten Standorten und Ausstattungen aufgefasst werden. tt) Der physische und logische Zugang zu den Diagnose- und Parametrisierungsports muss kontrolliert werden. uu) Die Dienstleistungsgruppen für Informierung, Nutzer und Informationssysteme müssen in den Netzen getrennt werden. vv) Was die gemeinschaftlich genutzten Netze betrifft, insbesondere solche, die sich auf die gesamte Organisation erstrecken, muss die Möglichkeit der Nutzer, sich mit dem Netz zu verbinden, gemäß der Politik der Zugangskontrolle und den Anforderungen der Anwendungen des Unternehmens beschränkt sein. ww) Die Netze müssen Initiierungsprüfungen unterzogen werden, damit gesichert ist, dass die Computerverbindungen und der Datenfluss die Politik der Zugangskontrolle der TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 159 Anwendungen des Unternehmens nicht verletzen. 3.5.3 Zugangskontrollen des Betriebssystems xx) Der Zugang zu den Betriebssystemen muss durch einen sicheren Verbindungsprozess geprüft werden. yy) Alle Nutzer müssen über eine eindeutige Kennung (Nutzeridentität) für eine ausschließlich persönliche Verwendung verfügen, und es muss eine geeignete Identifizierungsmethode für die Dokumentation der angenommenen Nutzeridentität gewählt werden. zz) Die Systeme zur Verwaltung von Zugangscodes müssen interaktiv sein und die Erzeugung starker Zugangscodes sichern. aaa) Die Verwendung von Hilfsprogrammen, die in der Lage sein können, die Kontrollen des Systems und der Anwendung zu umgehen, muss beschränkt und ausführlich geprüft werden. bbb) Passive Sitzungen müssen nach maximal 30 Minuten Untätigkeit beendet werden. ccc) Es müssen Beschränkungen der Verbindungszeiten zur Gewährung zusätzlicher Sicherheit für die besonders gefährdeten Anwendungen verwendet werden. ddd) Der Zugang der Nutzer und des Personals zur Unterstützung der Funktionen des Informationsnetzes und des Anwendungsnetzes muss gemäß der festgelegten Politik der Zugangskontrolle beschränkt sein. eee) Sensible Systeme müssen über ausschließlich eine (einzelne) Berechnungsumgebung verfügen. fff) Es muss eine offizielle Politik zur Verfügung stehen und entsprechende Sicherheitsmaßnahmen ergriffen werden für den Schutz vor Gefahren der Verwendung mobiler Rechen- und Kommunikationseinrichtungen. b) Was die Fernübertragungsaktivitäten betrifft, müssen eine Politik, Unternehmenspläne und Prozesse entwickelt und angewendet werden. 3.5.8 Verschlüsselungskontrollen Es muss eine Politik zur Verwendung von Verschlüsselungskontrollen zum Schutz der Informationen entwickelt und angewendet werden. a) Sensible Daten, die über Kommunikationsleitungen übertragen werden, müssen verschlüsselt werden. Zu den Daten, die eine Verschlüsselung erfordern können, gehören TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 160 die PIN und die Zugangscodes, die Kontonummern (einschließlich der Kartennummern) und deren Daten, die Verschlüsselungsschlüssel, die Identitätsdaten der Spieler, die Kapitalübertragungen von und zu den Spielerkonten, die Änderungen der Kontodaten (z. B. Adressänderung, Änderung der Kreditkarte, Namensänderung usw.) und die Spielinformationen (z. B. gespielte Partien, gesetzte Beträge, gewonnene Beträge, gewonnene Jackpots usw.). b) Die Daten, die keine Geheimhaltung erfordern, aber eine Identifizierung voraussetzen, müssen eine Methode zur Identifizierung einer Meldung verwenden. c) Sensible Daten müssen von Endgerät zu Endgerät verschlüsselt werden (also dürfen die Daten niemals in irgendeinem LAN oder WAN in unverschlüsselter Form angezeigt werden). Dies betrifft auch die sensiblen Daten, die zwischen Computern der Überwachungs- und Kontrollsysteme innerhalb der Einrichtungen des Bedieners übertragen werden. d) Sensible Daten, die zwischen Überwachungs- und Kontrollsystemen eines Übertragungsnetzes im Rahmen nur eines sicheren Datenzentrums übertragen werden, brauchen nicht verschlüsselt zu werden. e) Sensible Daten, die zwischen Überwachungs- und Kontrollsystemen übertragen werden, die sich auf getrennten sicheren Datenzentren befinden, brauchen nicht verschlüsselt zu werden, sofern der Kommunikationszugang aus physischer Sicht sicher ist und der Zugang durch unautorisierte Personen ausgeschlossen ist. f) Sämtliche Kommunikationen zwischen den Endgeräten eines Bedieners und dem Überwachungs- und Kontrollsystem müssen identifiziert und mit einer besonders sicheren Methode während der Übertragung außerhalb der entsprechenden sicheren Datenzentren verschlüsselt werden. g) Die Identifizierung muss über eine Secure Socket Link (SSL)-Verbindung und ein Sicherheitszertifikat einer genehmigten Organisation verfügen. h) Die Verschlüsselungsalgorithmen müssen belegbar sicher gegen Entschlüsselungsangriffe sein. i) Die Bediener müssen über genehmigte Meldeprozesse des Versagens der Verschlüsselungsalgorithmen, die in irgendeinem Teil des Überwachungs- und Kontrollsystems und bei einer Prüfung verwendet werden (einschließlich der RNG, der TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 161 Firewalls, der Identifizierungssysteme und des Überwachungs- und Kontrollbetriebssystems), verfügen. Änderungen in den Verschlüsselungsalgorithmen zur Bekämpfung des Versagens müssen so schnell wie möglich vorgenommen werden. Im Falle eines Scheiterns der Durchführung der Änderungen muss der Algorithmus ersetzt werden. 3.5.9 Verwaltung der Verschlüsselungsschlüssel a) Die Mindestlänge der Verschlüsselungsschlüssel beläuft sich auf 112 bit für symmetrische Algorithmen und auf 1024 bit für die öffentlichen Schlüssel. b) Es muss eine sichere Methode zur Änderung der bestehenden Gruppe von Verschlüsselungsschlüsseln angewendet werden. Die Verwendung von nur der bestehenden Gruppe von Schlüsseln zur „Verschlüsselung“ der folgenden Gruppe ist nicht gestattet. Ein Beispiel einer annehmbaren Methode zur Änderung der Schlüssel stellt die Verwendung von Verschlüsselungstechniken öffentlicher Schlüssel zur Übertragung neuer Gruppen von Schlüsseln dar. c) Es muss eine sichere Methode zur Aufbewahrung der Verschlüsselungsschlüssel zur Verfügung stehen. Die Verschlüsselungsschlüssel dürfen nicht gespeichert werden, ohne zuvor mit einer anderen Verschlüsselungsmethode und/oder einem anderen Verschlüsselungsschlüssel verschlüsselt worden zu sein. 3.5.10 Böswilliger und mobiler Code a) Es müssen Kontrollen zur Ermittlung, Vorbeugung und Wiederherstellung zum Schutz vor einem eventuellen böswilligen Code sowie entsprechende Verfahren zur Erkennung eines Nutzers angewendet werden. b) Wenn die Verwendung eines mobilen Codes gestattet ist, muss durch die Parametrisierung gesichert sein, dass der gestattete mobile Code gemäß der deutlich vorbestimmten Sicherheitspolitik arbeitet, und die Ausführung eines nicht gestatteten mobilen Codes muss untersagt werden. 3.5.11 Überwachung ggg) Es müssen Registrierungsdateien der Aktivitäten eines Nutzers, der Ausnahmen und der Sicherheitsereignisse von Informationen erstellt werden, die über einen TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 162 vereinbarten Zeitraum zum Zweck der Vereinfachung zukünftiger Untersuchungen und der Überwachung der Zugangskontrolle gespeichert werden. hhh) Jegliche Änderung, Versuch einer Änderung, Lesezugang oder andere Art von Änderung oder Zugang zu irgendeiner Eintragung, Kontrolldatei oder Registrierungsdatei des Überwachungs- und Kontrollsystems muss von einem genehmigten Überwachungsund Kontrollsystem durch eine Kontrolle der Version oder der zeitlichen Kennzeichnung der Datei erkenntlich gemacht werden. Die Möglichkeit der Anzeige der Daten der Person, die irgendeine Registrierungsdatei angezeigt oder geändert hat, sowie die Zeit der Handlung müssen zur Verfügung stehen. c) Es müssen Prozesse zur Datenverarbeitungseinrichtungen Überwachung festgelegt werden, der und Verwendung die Ergebnisse von der Überwachungshandlungen müssen auf dreimonatiger Basis oder gemäß der jeweiligen Gerichtsbarkeit überprüft werden. d) Die Einrichtungen und die Registrierungsinformationen müssen gegen eine Verfälschung und einen nicht autorisierten Zugang geschützt werden. e) Die Aktivitäten des Systemadministrators und des Systembedieners müssen registriert werden. f) Eventuelle Fehler müssen registriert, analysiert und durch geeignete Aktivitäten behandelt werden. g) Die Uhren sämtlicher entsprechender Datenverarbeitungssysteme im Rahmen irgendeiner Organisation oder eines Sicherheitsbereichs müssen mit einer vorbestimmten genauen Quelle synchronisiert werden. 3.5.12 Sicherheitsverwaltung der Kommunikationen. Diese Einheit betrifft die Kommunikationen zwischen dem zentralen Überwachungs- und Kommunikationssystem und den übrigen Komponenten oder der Ausstattung des Überwachungs- und Kommunikationssystems. a) Es muss eine Identifizierung einer Meldung für die wichtigen Meldungstypen, wie z. B. die Übertragung von Zugangscodes/PIN, zum Zweck der Validierung des richtigen Empfangs der Meldung durch den Zentralrechner oder die entsprechende Ausstattung angewendet werden. Die Verwendung von Protokollen, die die Fehler nicht verbessern TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 163 oder die fehlerhaften Pakete erneut senden (z. B. UDP), ist unter der Voraussetzung gestattet, dass keine wichtigen Daten oder Informationen auf diese Weise gesendet werden. c) Im Falle einer Ermittlung eines Anhangs zusätzlicher Daten (wie z. B. eines Wurms) an die empfangenen Daten muss das Eindringen des Codes überflüssiger Bytes in das Überwachungs- und Kontrollsystem untersagt werden. d) Alle Protokolle müssen Kommunikationstechniken verwenden, die über die geeigneten Mechanismen zur Ermittlung von Fehlern und/oder zur Wiederherstellung verfügen und an die folgenden Regeln angepasst sind: i. das Protokoll hohen Levels muss Techniken anwenden (z. B. Erkennung von Endgerät zu Endgerät), die den Verlust von Meldungen untersagen, auch in dem Fall eines Neustarts eines der Endgeräte, ii. die besagten Taktiken dürfen nicht zu einer vollständigen Unterbrechung aller Prozesse des Überwachungs- und Kontrollsystems oder des Spielautomaten während der Wartezeit der Erkennung führen. e) das Protokoll hohen Levels muss Techniken (z. B. Übertragungszahlen) zur Erkennung und Abweisung der wiederholt erhaltenen Meldungen anwenden, auch in dem Fall eines Neustarts eines der Endgeräte. f) Diese Anforderungen gelten nicht für unsichere Meldungen wie die Sendungsmeldungen. g) Alle Funktionen des Protokolls müssen deutlich in seiner Dokumentation bestimmt werden. h) Die folgenden Regeln betreffen die zeitliche Kennzeichnung im Falle des Protokolls hohen Levels: i. es muss eine Vorsehung zur Eingabe der örtlichen zeitlichen Kennzeichnung durch das Übertragungssystem (also das Überwachungs- und Kontrollsystem oder den Spielautomat) bei allen Meldungen, die gesendet werden, zur Verfügung stehen. Diese zeitliche Kennzeichnung trägt zur Erkennung von Fällen der Fehlfunktion der Ausstattung einschließlich der Entweichung der Hardware oder Software bei, und ii. es muss eine Vorsehung zur Eingabe der örtlichen zeitlichen Kennzeichnung durch das Übertragungssystem (also das Überwachungs- und Kontrollsystem oder TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 164 den Spielautomat) zum Zeitpunkt des Empfangs der letzten gültigen Meldung eines hohen Levels zur Verfügung stehen. i) Die folgenden Anforderungen gelten für die Verbindung hohen Levels mit Protokollen niedrigen Levels: a) es dürfen keine Beschränkungen hinsichtlich der Anzahl der Zeichen bestehen, die die Nachrichten enthalten können, die zwischen den höheren und den niedrigeren Leveln ausgetauscht werden, b) die Verbindungen zwischen den Protokollen hohen Levels und den Protokollen niedrigen Levels müssen Meldungen einer vielfältigen Breite dienen, einschließlich solcher, die die typische Größe einer vorläufigen Speicherung des niedrigen Levels übersteigen, c) es muss eine Methode zur Fließkontrolle zur Vermeidung eines möglichen Verlusts besonders wichtiger Meldungen angewendet werden. 3.5.13 Firewalls. Die folgenden Anforderungen gelten für die Firewalls: a) sämtliche Verbindungen mit den Zentralrechnern des Überwachungs- und Kontrollsystems im sicheren Datenzentrum müssen mindestens eine genehmigte Firewall auf Anwendungsebene durchlaufen. Dasselbe gilt auch für die Verbindungen mit den Zentralrechnern, die nicht das Überwachungs- und Kontrollsystem betreffen (z. B. Überwachungs- und Kontrollsysteme von MIS-Rechnern) und durch den Bediener verwendet werden. Der Begriff „Verbindungen“ wird im weiteren Sinne verwendet und umfasst die UDP und TCP Datenübertragungen, b) die Wahl einer Firewall wird durch das Protokoll niedrigen Levels beeinflusst, das durch die Anwendung verwendet wird (z. B. sind bestimmte Firewalls nicht in der Lage, intelligente Entscheidungen hinsichtlich des UDP-Flusses zu treffen). Die Minderung der Effektivität der Firewall auf Anwendungsebene in einem Paketfilter ist nicht einfach aufgrund einer falschen Wahl einer Firewall / eines Protokolls niedrigen Levels gestattet, c) die Geräte, die zum selben Übertragungsbereich wie die Zentralrechner des Überwachungs- und Kontrollsystems gehören, dürfen nicht in Einrichtungen platziert werden, die die Erstellung eines alternativen Netzzugangs gestatten, der die Firewall umgeht. Bestimmte Beispiele verbotener Einrichtungen sind die folgenden: TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 165 PC eines Bedieners mit Telefonmodem und PC eines Nutzers mit einer Verbindung zum VLAN des Überwachungs- und Kontrollsystems sowie eine Verbindung zum Unternehmens-VLAN. d) die Firewalls müssen aus einem separaten Hardwaregerät mit den folgenden Eigenschaften bestehen: i. nur Anwendungen, die mit der Firewall in Verbindung stehen, können auf der Firewall angebracht werden und ii. nur eine bestimmte Anzahl von Konten kann auf der Firewall angezeigt werden (z. B. nur die Administratoren des Überwachungs- und Kontrollsystems). e) alle Datenpakete, die an die Firewall gerichtet sind, müssen abgewiesen werden, wenn sie auf Netzverbindungen außerhalb des Grundlinienordners ankommen. Ziel ist die Beschränkung des Zugangs zur Firewall nur durch autorisierte Arbeitsstationen innerhalb des Grundlinienordners, f) die Firewall muss jede Art von Kommunikation außer solchen abweisen, die ausdrücklich durch die jeweilige Gerichtsbarkeit genehmigt werden, g) die Firewall muss eine Kontrolldatei aller Änderungen der Parameter speichern, die die Art der Verbindungen, die von der Firewall zugelassen werden, beeinflussen, h) die Firewall muss eine Kontrolldatei aller erfolgreichen und gescheiterten Verbindungsversuche durch diese speichern, i) die Firewall muss sämtliche Kommunikationen im Falle einer Überfüllung der Kontrolldatei abbrechen, j) die Firewall muss alle Meldungen abweisen, die über eine Verbindung erhalten werden, wenn sie sich auf einem über eine andere Verbindung verbundenen Gerät zu befinden scheinen k) die Bediener müssen über genehmigte Prozesse zur Meldung von Sicherheitsvorfällen und zur Sicherung einer Aktualisierung der Firewalls hinsichtlich der Ratschläge, die nach solchen Vorfällen gegeben werden, verfügen, und l) die Netze der sicheren Seite der Firewall müssen Nummern eines privaten Netzes RFC1918 verwenden. Die besagten Nummern müssen in Nummern eines öffentlichen Netzes zur Übertragung über das Internet umgewandelt werden. TEIL 5: Überwachungs- und Kontrollsystem - SCS) Seite 166 TEIL 6: Bargeldlose Systeme und Spielerverwaltungssysteme Version: 1.0 TEIL 6: Bargeldlose Systeme und Spielerverwaltungssysteme Seite 167 KAPITEL 1 1.0 UMWELTRELEVANTE ANFORDERUNGEN UND SICHERHEITSANFORDERUNGEN DES SYSTEMS 1.1 Physikalische Sicherheit 1.1.1 Allgemeiner Hinweis Alle Bestandteile eines Systems müssen ausreichend widerstandsfähig sein, um einem gewaltsamen Eindringen standzuhalten. 1.2 Sicherheit des Materials und der Spieler 1.2.1 Allgemeiner Hinweis Die elektronischen und mechanischen Teile und die Planungsprinzipien des elektronischen Materials dürfen den Spieler keiner Gefahr seiner körperlichen Unversehrtheit aussetzen. Das unabhängige Zertifizierungslabor liefert KEINE Erkenntnisse hinsichtlich der Sicherheit und der Prüfung der elektromagnetischen Verträglichkeit, dies fällt unter die Verantwortung des Produktherstellers oder der Käufer. Diese Art Sicherheitstests und Prüfungen der elektromagnetischen Verträglichkeit können aufgrund des besonderen normativen Aktes, der Verordnung, des Gesetzes oder des Rechtsaktes erforderlich sein, und müssen jeweils von den Parteien durchgeführt werden, die das besagte Material herstellen oder kaufen. Das unabhängige Zertifizierungslabor führt keine Tests durch, trägt keinerlei Verantwortung und liefert kein Ergebnis in Verbindung mit diesen konkreten Sachverhalten. 1.3 Einwirkung der Umwelt auf die Integrität des Systems TEIL 6: Bargeldlose Systeme und Spielerverwaltungssysteme Seite 168 1.3.1 Norm über die Integrität Das unabhängige Zertifizierungslabor führt bestimmte Tests durch, um zu bestimmen, ob die äußeren Einwirkungen den gerechten Charakter des Spiels gegenüber dem Spieler beeinflussen, oder ob sie Möglichkeiten des Betrugs schaffen. Ein System muss in der Lage sein, den folgenden Tests standzuhalten und dabei sein Spiel ohne Eingriff des Bedieners fortzusetzen: a) Elektrostatische Interferenz Die Systeme dürfen kein elektronisches Rauschen verursachen, das die Integrität oder den gerechten Charakter der umgebenden verbundenen Ausstattung beeinflusst. b) Elektrostatische Interferenz Zum Schutz vor einem elektrostatischen Überschlag ist eine Erdung des Materials des Systems in der Art erforderlich, dass die Energie der elektrostatischen Überschlags keine Schädigung oder Hemmung des regulären Betriebs der elektronischen oder anderer Bestandteile im Rahmen des Systems hervorruft. Die Systeme können eine vorübergehende Unterbrechung aufweisen, wenn sie einer bedeutenden elektrostatischen Entladung höher als die Entladung des menschlichen Körpers ausgesetzt werden, aber sie müssen über die Möglichkeit verfügen, alle ihre Funktionen wiederherzustellen und zu vervollständigen, die unterbrochen wurden, ohne Verluste oder Verfälschungen der Informationen über die Kontrolldaten oder die wichtigen Daten aufzuweisen, die mit dem System verbunden sind. Die Prüfungen werden bis zu einem Beanspruchungsgrad von 27KV durchgeführt. TEIL 6: Bargeldlose Systeme und Spielerverwaltungssysteme Seite 169 KAPITEL 2 2.0 BARGELDLOSES GERÄT UND ANFORDERUNGEN AN DAS SYSTEM 2.1 Anforderungen an einen Spielautomaten/ein Kartenlesegerät 2.1.1 Definition von bargeldlosen Systemen Bargeldlose Systeme gestatten den Spielern, über eine typische Technologie der Industrie, die einen Zugang zum Spielerkonto auf dem Zentralsystem des Kasinos bietet, an den Spielautomaten zu spielen. Die Kapitale können dem bargeldlosen Spielerkonto über eine Kassenstation oder irgendeinen unterstützenden Spielautomat (über den Einwurf von Münzen, Belegen/Voucher, Banknoten und Coupons) zugefügt werden. Der Wert des Kontos kann über Schuldtransaktionen in kleineren Beträgen auf dem Spielautomat oder über Einlösung an der Kasse gemindert werden. Ein bargeldloses System ist als Zentralsystem gekennzeichnet, auf dem ein Spieler ein elektronisches Konto in der Zentraldatenbank des Kasinos speichert. Das Kasino erstellt Kundenkarten und Persönliche Erkennungsnummern (Personal Identification Number / PIN) in Kombination mit einem bargeldlosen Konto in der Datenbank des Systems, obwohl jegliche Methode einer einzelnen Erkennung der Spieler angewendet werden kann. 2.1.2 Parametrisierung der bargeldlosen Transaktionen auf einem Spielautomat Da irgendein bargeldloses Merkmal die elektronischen logistischen Zähler beeinflussen würde, müssen die Spielautomaten, die die Wahl der Teilnahme am bargeldlosen Spiel bieten, an die Anforderungen „Parametrisierungseinstellungen“ angepasst werden, die in TEIL 1 Spielautomaten vorgestellt werden. 2.1.3 Kontrollen für bargeldlose Transaktionen Die bargeldlosen Spielautomaten müssen über die Möglichkeit verfügen, die letzten fünfundzwanzig (25) Geldtransaktionen, die vom Zentralsystem TEIL 6: Bargeldlose Systeme und Spielerverwaltungssysteme Seite 170 empfangen wurden, und die letzten fünfundzwanzig (25) Geldtransaktionen, die an das Zentralsystem gesendet wurden, zurückzunehmen. Wenn ein Spielautomat über fördernde Merkmale oder BonusMerkmale durch den Zentralrechner oder beides verfügt, die zusammen mit den bargeldlosen Merkmalen aktiviert werden, genügt dennoch nur eine Registrierungsdatei für 100 Ereignisse. Die folgenden Informationen müssen gewährt werden: a) die Art der Transaktion (Erhöhung/Minderung), b) den Wert der Transaktion, c) die Uhrzeit und das Datum und d) die Kontonummer des Spielers oder eine eindeutige Transaktionsnummer, jede von ihnen kann zur Identifizierung der Quelle des Kapitals (also der Quelle, aus der das Kapital hervorging/auf die das Kapital übertragen wird) verwendet werden. 2.1.4 Bestätigung der Transaktionen Der Monitor des Spielautomaten oder des zentralen Kartenlesegeräts muss in der Lage sein, eine Bestätigung/Ablehnung irgendeiner bargeldlosen Transaktion zu bieten. Die Bestätigung/Ablehnung muss Folgendes umfassen: a) die Art der Transaktion (Erhöhung/Minderung), b) den Wert der Transaktion, c) die Uhrzeit und das Datum (im Falle einer gedruckten Bestätigung), d) die Kontonummer des Spielers oder eine eindeutige Transaktionsnummer, jede von ihnen kann zur Identifizierung der Quelle des Kapitals (also der Quelle, aus der das Kapital hervorging/auf die das Kapital übertragen wird) verwendet werden [im Falle einer gedruckten Bestätigung], und e) eine Meldung, die den Grund beschreibt, aus dem die gewünschte Transaktion nicht abgeschlossen wurde. Dies gilt nur für die abgelehnten Transaktionen. 2.1.5 Fehlerbedingungen In den folgenden Einheiten werden die Fehlerbedingungen vorgestellt, die Folgendes betreffen: TEIL 6: Bargeldlose Systeme und Spielerverwaltungssysteme Seite 171 a) Das Zentralsystem Die folgenden Bedingungen müssen beobachtet werden, und dem Spieler muss eine Meldung auf dem zentralen Kartenlesegerät zu den folgenden Sachverhalten angezeigt werden: i. ungültige PIN oder Spieleridentität (es kann eine erneute Eingabe vorgesehen sein, es sind nur drei aufeinander folgende ungültige Versuche gestattet) und ii. b) unbekanntes Konto. Spielautomat Im Falle eines Übertragungsversuchs der Guthaben des Spielautomaten auf das Zentralsystem mit einer gescheiterten Kommunikation als Ergebnis, bei der dieser mit der konkreten Methode das einzige verfügbare Zahlungsmittel darstellt (der Spieler kann seine Guthaben nicht über eine Speichereinheit oder den Ausdruck von Belegen/Coupons einlösen, muss eine Barauszahlung auf die Hand mit Schließung des Spielautomaten in den Lockup- oder Tilt-Zustand durchgeführt werden. 2.1.6 Übertragung von Transaktionen Wenn der Spieler eine bargeldlose Transaktion beginnt und die besagte Transaktion die festgelegten Grenzen des Spielautomaten übersteigt (also die Kreditgrenze usw.), kann die Transaktion nur dann fortgesetzt werden, wenn der Spieler deutlich darüber informiert wird, dass ein niedrigerer Betrag empfangen oder hinterlegt wurde, damit eine mögliche Meinungsverschiedenheit mit dem Spieler verhindert wird. 2.2 Sicherheitsanforderungen des zentralen Informationssystems 2.2.1 Allgemeiner Hinweis Die Regeln der vorliegenden Einheit müssen vom Zentralsystem mit dem Zweck der Änderungsmöglichkeit der entsprechenden Parameter oder eines Zugangs zu den Spielerkonten angewendet werden. Darüber hinaus muss der Kommunikationsprozess, der von dem Spielautomat und dem Zentralsystem verwendet wird, ausreichend resistent und stabil sein, damit gesichert ist, dass im Fall eines Fehlers die Lokalisierung und der Zugang zu allen bargeldlosen Transaktionen für eine Folgeprüfung und einen Ausgleich möglich sind. TEIL 6: Bargeldlose Systeme und Spielerverwaltungssysteme Seite 172 2.2.2 Änderung der Spielerinformationen Die Änderung der Spielerinformationen darf nur von autorisierten, verbundenen Angestellten durchgeführt werden. Die Sicherheit dieser Informationen (einschließlich der PIN-Codes der Spieler und der sonstigen Erkennungsdaten) muss zu jedem Zeitpunkt gesichert bleiben. 2.2.3 Saldoanpassung Jegliche Saldoanpassung irgendeines Kontos über die reguläre Methodologie hinaus muss mit der Genehmigung eines Supervisors durchgeführt werden, und alle Änderungen müssen registriert und/oder unter Angabe des Personals, des Gegenstands, des Zeitpunkts und des Gegenstandswerts vor und nach der Änderung sowie der entsprechenden Begründung gemeldet werden. 2.2.4 Sicherheitslevels Die Anzahl der Nutzer mit der erforderlichen Genehmigung/mit den Verbindungskomponenten, die die wesentlichen Parameter regeln, ist beschränkt. 2.2.5 Verhinderung nicht autorisierter Transaktionen Die folgenden minimalen Kontrollen müssen vom Zentralsystem zur Sicherung der Verhinderung der Antwort der Spiele auf Kreditbefehle neben den geeignet autorisierten bargeldlosen Transaktionen (hacking) angewendet werden: a) die Netzverteiler sind gesichert (in einem geschlossenen/überwachten Raum oder Bereich), und der Zugang zu jeglichem Netzknoten ohne gültige Verbindungsdaten und Zugangscode muss untersagt sein, b) die Anzahl der Zugangsstationen zu bargeldlosen Anwendungen oder den entsprechenden Datenbanken ist begrenzt, und c) das System muss über Erkennungs- und Kennzeichnungsprozesse von verdächtigen Spielerkonten und Angestellten zum Zweck der Vermeidung einer nicht autorisierten Verwendung verfügen, zu denen gehören soll: i. Festlegung einer maximalen Anzahl der Eingabe einer falschen PIN vor dem Schließen des Kontos, ii. Kennzeichnung der „heißen“ („hot“) Konten, die mit einem Kartenbetrug in Verbindung stehen, TEIL 6: Bargeldlose Systeme und Spielerverwaltungssysteme Seite 173 iii. Stornierung der Konten und Übertragung der Salden auf neue Konten und iv. Festlegung von Grenzen einer maximalen bargeldlosen Aktivität innerhalb und außerhalb als gesamte oder persönliche Variable zum Ausschluss der möglichen Geldwäsche. 2.2.6 Diagnosetests an bargeldlosen Spielautomaten Es müssen Prüfungen für alle Diagnosefunktionen des Geräts zur Verfügung stehen, damit dem System alle Aktivitäten gemeldet werden, die die konkreten Konten und die Personen widerspiegeln, die mit der Ausführung der Diagnosetests beauftragt wurden. Dies gestattet die Prüfung aller bargeldlosen Diagnoseaktivitäten durch die örtlichen Regulierungsbehörden, die die entsprechenden elektronischen Zähler des Spielautomaten beeinflussen. 2.2.7 Spielerkartentechnologie Für die Teilnahme an Spielen über die Spielautomaten ist die Ausstellung einer persönlichen Spielerkarte zur Lokalisierung der persönlichen Daten des jeweiligen Spielers (Vor- und Nachname, Alter, TRN usw.) und zur Sicherung der Anwendung eventueller zusätzlicher Beschränkungen erforderlich, die von dem Spieler selbst festgelegt werden. Volljährige über 21 Jahren, die nicht das Verbot ihres Eintritts ins Kasino selbst gefordert haben, können einen Antrag auf Ausstellung einer persönlichen Spielerkarte unter Einreichung der erforderlichen Dokumente zur Verifizierung ihrer persönlichen Daten durch die rechtmäßigen Glücksspielhallen stellen. Jeder Spieler darf nur eine persönliche Karte besitzen. a) Die Karten dürfen nur zur Speicherung einer eindeutigen Kennnummer verwendet werden, es sei denn, die Sicherheit der Karte ist zur Verhinderung der Verdrehung, Verfälschung oder Kopie der Daten, die auf ihr enthalten sind, ausreichend belegt, und die Informationen werden darüber hinaus auf dem Rechensystem der Karte zur Abstimmung gespeichert. b) Die Karten müssen darüber hinaus durch eine persönliche Erkennungsnummer, PIN, geschützt werden, die vor dem Beginn des Spiels in den Spielautomaten eingegeben werden muss. c) Die Karten müssen einen eindeutigen, 16 Zeichen langen Code tragen, der aus einer Reihe von Zahlen hervorgeht, die von der Griechischen Zertifizierungsorganisation TEIL 6: Bargeldlose Systeme und Spielerverwaltungssysteme Seite 174 hervorgeht. Jeder Aussteller muss der Kommission zur Überwachung und Kontrolle von Spielen die Zahlenreihen melden, die er verwendet oder zu verwenden beabsichtigt. d) Die Speicherung der Guthabeneinheiten auf den Karten muss unter Einzahlung des entsprechenden Betrags in Bargeld in die autorisierten Einrichtungen des Ausstellers genehmigt sein. e) Wenn die Sicherheit der Karte nicht ausreicht, werden alle Spielerdaten, die mit ihren Kennnummern in Verbindung stehen - einschließlich des Namens, der Adresse, der Bonuspunkte usw. -, durch den Kontroller des Standorts oder den Rechner des bargeldlosen Systems (zur Lokalisierung der Spieler mehrerer Räume) geprüft. f) Bestimmte Spielerkarten bieten die Möglichkeit der Saldoverwaltung der Spielerkonten. Die Verwendung dieser Technologie ist nur nach Bestätigung durch das Zentralsystem gestattet, dass der Betrag der Karte mit dem Betrag übereinstimmt, der in der Systemdatenbank gespeichert ist. 2.2.8 Kommunikationsverlust Im Falle eines Verlusts der Kommunikation zwischen der Software des bargeldlosen Systems und dem Spielautomat muss das Spiel oder die Verbindungskomponente dem Spieler eine Meldung anzeigen, dass die Bearbeitung der bargeldlosen Transaktionen in diesem Moment nicht möglich ist. 2.2.9 Verschlüsselung Sämtliche Daten, die an und von dem Spielautomat gesendet werden, müssen verschlüsselt sein. Dies gilt nicht für die Kommunikation zwischen dem Spielautomat und der Verbindungskomponente. 2.3 CPS und DSP-Kontrolldurchgänge 2.3.1 Allgemeiner Hinweis Das CPS und der DSP-Server müssen in der Lage sein, Registrierungsdateien der ausstehenden und vollendeten bargeldlosen Transaktionen zu erstellen. Diese Registrierungsdateien müssen die Möglichkeit der Filterung auf der Grundlage der Gerätenummer, des Spielerkontos und der Uhrzeit/des Datums bieten. TEIL 6: Bargeldlose Systeme und Spielerverwaltungssysteme Seite 175 2.4 Wirtschaftliche Meldungen und Spielermeldungen 2.4.1 Allgemeiner Hinweis Das System muss die Möglichkeit der Erzeugung der folgenden wirtschaftlichen Meldungen und Spielermeldungen haben: a) Zusammenfassende und detaillierte Meldungen des Spielerkontos Diese Meldungen müssen dem Spieler sofort nach Anfrage zur Verfügung stehen. Diese Meldungen müssen den Start- und den Endsaldo des Kontos und Transaktionsinformationen einschließlich der Gerätenummer, des Betrags und der Uhrzeit/des Datums beinhalten. b) Schuldmeldung Diese Meldung muss den letzten Wert der ausstehenden bargeldlosen Schulden des Vortages (heutiger Startwert), die bargeldlosen Gesamtbeträge, die hinzugefügt dem Konto und von ihm abgezogen wurden, und die letztlich bargeldlose Schuld des aktuellen Tages enthalten. c) Zusammenfassende und detaillierte Ausgleichsmeldungen der bargeldlosen Zähler Diese Meldungen gleichen alle bargeldlosen Zähler der teilnehmenden Spielautomaten mit der bargeldlosen Aktivität des Zentralsystems aus. d) Zusammenfassende und detaillierte Kassierermeldungen Sie beinhalten das Spielerkonto, die Beträge, die dem Konto hinzugefügt und von diesem abgezogen wurden, die Transaktionshöhe, das Datum und die Uhrzeit der Transaktion. 2.5 Softwarevalidierung 2.5.1 Allgemeiner Hinweis Jede Komponente des Systems, die die Integrität des Systems beeinflusst, muss in der Lage sein, die unabhängige Prüfung der Integrität der für die Funktion der Komponente wichtigen Software durch externe Quellen zu gestatten. Dies wird über die Identität von einem externen Gerät durchgeführt, das in die Software der Komponente integriert werden kann (siehe die unten stehende ANMERKUNG der vorliegenden Einheit) oder über eine Schnittstelle für dritte Geräte zur Identifizierung der Medien verfügt. Die Prüfung der Integrität stellt ein Überwachungsmittel zum Test der Software für die Anerkennung und die Bestätigung TEIL 6: Bargeldlose Systeme und Spielerverwaltungssysteme Seite 176 des Programms dar. Vor der Genehmigung des Systems und/oder der Komponenten muss das unabhängige Zertifizierungslabor die Methode zur Prüfung der Integrität genehmigen. ANMERKUNG: Wenn das Identifizierungsprogramm in die Software integriert ist, muss der Hersteller vor der Einreichung eine schriftliche Bestätigung vom unabhängigen Zertifizierungslabor erhalten. TEIL 6: Bargeldlose Systeme und Spielerverwaltungssysteme Seite 177 KAPITEL 3 3.0 ANFORDERUNGEN AN DIE SPIELERKONTOVERWALTUNG 3.1 Einführung 3.1.1 Allgemeiner Hinweis Alle Geldtransaktionen zwischen einem unterstützenden Spielautomat und dem Zentralrechner müssen entweder durch die Einführung der Karte in ein in den Zentralrechner integriertes Magnetkartenlesegerät und die Eingabe der PIN oder durch andere Sicherheitsmaßnahmen (z. B. Fingerabdruckerkennung) gesichert werden. Nach der Bestätigung der Identität des Spielers kann das Gerät dem Spieler die Transferauswahl über den LCD/VFD-Monitor des Kartenlesegeräts vorbringen und die Auswahl muss über eine Tastatur/einen Touchscreen ausgeführt werden. Zu dieser Auswahl gehört die Anzahl der Guthaben, die „ausgezahlt“ oder in dem Gerät, an dem sie spielen, platziert werden sollen. Einige Systeme gestatten den Transfer eines vorbestimmten Betrags oder eines gesamten Saldos des Nutzers auf ein Gerät, um ihn im Spiel einzusetzen. Nach Beenden des Spiels kann der Spieler einige Guthaben auf sein Konto übertragen oder diese einlösen. In anderen Systemen kann ein Transfer des gesamten Guthabenwerts auf das System erforderlich sein. 3.2 Eintragung eines Spielers 3.2.1 Allgemeiner Hinweis In dieser Einheit werden die Prinzipien analysiert, die für die Erstellung, die Verwendung, die Sicherheit und die Geheimhaltung der Eintragungsdaten der Spieler gelten. Die Eintragungsinformationen der Spieler müssen auf einem sicheren Teil des bargeldlosen Systems gespeichert und an die folgenden Regeln angepasst werden: TEIL 6: Bargeldlose Systeme und Spielerverwaltungssysteme Seite 178 a) Die Teilnahme an den Spielen ist nur Spielern gestattet, die beim Anbieter der Spiele eingetragen sind. Dennoch ist den Anbietern der Spiele die Eintragung ausgeschlossener Personen untersagt, b) der Anbieter der Spiele kann einen Spieler eintragen und diesem nur dann eine Karte anbieten, wenn der Anbieter der Spiele oder sein Vertreter im Raum von der Identität des Nutzers, der Steuernummer und seines Wohnorts überzeugt ist, der Spieler mindestens das gesetzmäßige Wettalter von 21 Jahren hat und keine auf der Grundlage des geltenden Gesetzes über Glücksspiele „ausgeschlossene“ Person darstellt, c) der Anbieter der Spiele oder sein bevollmächtigter Vertreter im Raum kann einen Spieler mit einer vorläufigen Karte/einer Besucherkarte eintragen, sofern der Spieler keine ausgeschlossene Person darstellt und das gesetzmäßige Wettalter für die jeweilige Gerichtsbarkeit hat. Spieler mit einer vorläufigen Karte/Besucherkarte haben kein Recht zur Teilnahme an Spielertreue/-preisprogramme. d) bei der Eintragung für eine Karte muss der Spieler die folgenden Informationen erhalten: i. alle Nutzungsbedingungen und -voraussetzungen, ii. die Spielerinformationen des Spielautomaten, wie z. B. das Alter und die Steuernummer, iii. die Mechanismen, die über das bargeldlose System zur Verwaltung des Wettverhaltens zur Verfügung stehen, iv. die Kontaktdaten für Personen, die nicht in der Lage sind, das Wettverhalten zu kontrollieren, und v. die verfügbaren Ausschlussmechanismen über das bargeldlose System und den Raum. e) beim Abschluss des entsprechenden Eintragungsprozesses muss eine Einsatzkarte auf den Namen des Spielers ausgestellt werden. Auf der Karte muss die Nummer einer Spielsuchthilfshotline verzeichnet sein, f) nach der Eintragung durch einen Anbieter von Spielen muss jeder Spieler/jede Karte einen eindeutigen Erkennungscode haben, der die Erkennung des jeweiligen Spielers/der jeweiligen Karte und der Kontodaten durch das System beim Beginn jeder Sitzung gestattet, g) die Spielerkarte muss bei Beginn jeder Sitzung eines Spiels identifiziert werden. Die TEIL 6: Bargeldlose Systeme und Spielerverwaltungssysteme Seite 179 Methodologie der Identifizierung und die übrigen Sicherheitseinstellungen müssen belegt resistent hinsichtlich der Behinderung eines nicht autorisierten Zugangs zum Kapital und den Daten des Spielerkontos sein, h) die Verifizierungsdaten eines Spielers müssen sicher im Internet geschützt sein, und i) der Anbieter von Spielen muss eine Liste mit sämtlichen Eintragungen/Karten (aktuelle oder andere) und der Konten (aktiv oder andere) führen. 3.2.5 Persönliche Erkennungsnummer Der Bediener erteilt gewöhnlich an jeden Spieler eine eindeutige magnetische Karte und eine persönliche Erkennungsnummer (Personal Identification Number / PIN) in Kombination mit einem Konto auf der Systemdatenbank, obwohl irgendeine Methode einer eindeutigen Erkennung der Kunden angewendet werden kann. 3.3 Spielerkonten 3.3.1 Allgemeiner Hinweis Die folgenden Regeln gelten für die Spielerkonten, die auf einem sicheren Teil des bargeldlosen Systems gespeichert werden. a) es ist nur die Eintragung von Spielern gestattet, die das gesetzmäßige Wettalter von 21 Jahren haben, b) die Verwendung von Kapital eines Spielerkontos zum Einsatz in Spielen irgendeines Anbieters ist nur gestattet, wenn die Karte bei dem besagten Anbieter von Spielen eingetragen ist, c) der Spielautomat darf keine Einsätze annehmen, die ein negatives Saldo auf dem Spielerkonto erzeugen, d) die Erstellung eines neuen Spielerkontos bei vom Einsatz ausgeschlossenen Personen ist nicht gestattet. Dennoch müssen die Anbieter von Spielen in der Lage sein, das Saldo des Spielerkontos zurückzuzahlen, sofern keine anderen Forderungen in Verbindung mit dem Konto bestehen. 3.3.2 Erstellung von Spielerkonten Die Erstellung eines neuen Kontos darf nicht gestattet sein, wenn der Grund der Deaktivierung des vorigen Spielerkontos oder der Karte zeigt, dass die TEIL 6: Bargeldlose Systeme und Spielerverwaltungssysteme Seite 180 Erstellung eines anderen Kontos oder einer anderen Karte für die besagte Person untersagt sein muss. 3.3.3 Geheimhaltung der Spielerinformationen. Alle Informationen, die von den Anbietern der Spiele im Rahmen der Eintragung eines Spielers oder der Erstellung eines Kontos gewonnen werden, dürfen der Geheimhaltungspolitik des Spieleanbieters nicht entgegenstehen. Darüber hinaus müssen die folgenden Regeln angewendet werden: a) der Spieleanbieter muss die Vertraulichkeit der Informationen zum aktuellen Status der Spielerkonten sichern, es sei denn, die Enthüllung ist durch das Gesetz erforderlich, b) alle Spielerinformationen müssen sicher (also nicht einfach überschrieben) von den Festplatten, den Magnetbändern, den SSD-Speichern und anderen Geräten vor der endgültigen Außerbetriebsetzung des Geräts gelöscht werden. Wenn das Löschen nicht durchführbar ist, muss das Speichergerät zerstört werden. 3.3.4 Verwaltung von Spielerkapital Die folgenden Regeln gelten für die Verwaltung von Spielerkapital: a) die Spielerkonten/-karten im bargeldlosen System müssen vor nicht autorisiertem Zugang oder Aktualisierung über die genehmigten Methoden hinaus gesichert werden, b) alle Zahlungs-, Abhebungs-, Übertragungs- oder Anpassungstransaktionen müssen in einer Kontrolldatei des bargeldlosen Systems gespeichert werden, c) vor der Abhebung von Geld aus dem bargeldlosen System muss eine positive Erkennung des Spielers durchgeführt werden, einschließlich der Eingabe der persönlichen Erkennungsnummer (PIN) oder anderer genehmigter sicherer Methoden, d) die passiven Konten des bargeldlosen Systems, auf denen sich Geld befindet, müssen vor widerrechtlichem Zugang oder einer Entfernung geschützt werden, e) alle Geldtransaktionen müssen als wesentliche Informationen behandelt werden, die im Fall eines Scheiterns vom bargeldlosen System wiedererlangt werden müssen, f) die Kopien der Kontobewegung müssen den Spielern auf Anfrage zur Verfügung gestellt werden. Die Kopien der Kontobewegung müssen ausreichende Informationen enthalten, damit sie dem Spieler - im möglichen Maß - gestatten, die Kopie mit seiner persönlichen Zahlungs- und Abhebungsdatei seit der letzten Kopie der Kontobewegung zu TEIL 6: Bargeldlose Systeme und Spielerverwaltungssysteme Seite 181 vergleichen. Die Kopien der Kontobewegung müssen darüber hinaus Daten über den Gesamtbetrag, der in Spielen gesetzt wurde, und die größten Gewinne und Verluste seit der letzten Kopie der Kontobewegung enthalten, g) die Anpassungen der Spielerkonten des bargeldlosen Systems müssen einer strengen Sicherheitskontrolle und einer Zugangskontrolle unterzogen werden. 3.3.5 Kontosaldo Die Informationen über den aktuellen Saldo des Kontos müssen von allen unterstützenden Spielautomaten aus auf Anfrage durch das entsprechende Kartenlesegerät (oder eine Entsprechung) verfügbar sein, und nachdem die Identität des Spielers bestätigt wurde, müssen sie dem Spieler in Form einer Transaktion angezeigt werden. 3.3.6 Hinzufügen von Geld auf das Spielerkonto Das Hinzufügen von Geld zum Spielerkonto kann über eine Kassenstation oder eine andere Einlösungsstelle durchgeführt werden, die vom System kontrolliert wird, vorausgesetzt dass es sich um eine genehmigte Einlösestelle handelt. Das Hinzufügen von Geld kann darüber hinaus über einen unterstützenden Spielautomat (über die Guthaben, die verloren wurden, den Einwurf von Geldstücken, Belegen/Voucher, Banknoten, Coupons usw.) durchgeführt werden. 3.3.7 Abhebung von Geld vom Spielerkonto Die Abhebung von Geld vom Spielerkonto kann entweder durch „Minderung“ der Guthaben (auf der Grundlage einer Transaktion) am Spielautomat oder durch Einlösung des Betrags an der Kasse durchgeführt werden. 3.3.8 Übertragung von Geld Darüber hinaus kann den Spielern die Auswahl der Übertragung eines Teils ihrer Guthaben vom System auf den Spielautomat, an dem sie spielen, über eine „Auszahlung“ vom Spielerkonto, das auf dem System gespeichert ist, zur Verfügung stehen. Nach Beenden des Spiels können sie ihren Saldo auf dem Gerät auf das Spielerkonto „einzahlen“. Die Transaktionen eines bargeldlosen Spiels werden vollständig elektronisch durchgeführt. 3.4 Spielertreueprogramme TEIL 6: Bargeldlose Systeme und Spielerverwaltungssysteme Seite 182 3.4.1 Allgemeiner Hinweis Die Anforderungen dieser Einheit gelten nur, wenn die fördernden Spielertreueprogramme die Verwendung der Spielertreue für den Einfluss der Steuerbasis des Spieleanbieters beinhalten, z. B. eine Übertragung der Spielertreuepunkte auf Partien oder eine Bargeldeinlösung. Im Falle einer Unterstützung durch das bargeldlose System müssen die folgenden Prinzipien angewendet werden: a) die Datenbank der Spielertreue muss auf einem sicheren Teil des bargeldlosen Systems gespeichert werden, b) die ausgeschlossenen Spieler müssen von der Teilnahme an Spielertreueprogrammen für den Zeitraum, in dem sie ausgeschlossen sind, ausgeschlossen werden, c) die Verwendung der Daten zur Spielerlokalisierung darf der geltenden Gesetzgebung über Geheimhaltung nicht entgegenstehen, d) die Einlösung der gesammelten Spielertreuepunkte muss im Rahmen einer sicheren Transaktion mit einem automatischen Abzug der Punkte vom Saldo über den Wert des Preises, der eingelöst wird, durchgeführt werden, e) alle Transaktionen der Datenbank für Spielertreue müssen als wesentliche Daten vom bargeldlosen System gespeichert werden, f) wenn das Spielertreueprogramm von einem externen System angeboten wird, muss das bargeldlose System in der Lage sein, sicher mit dem besagten System zu kommunizieren, g) die Informationen, die über die gewohnten Einsätze der Spieler gesammelt werden, dürfen nicht zur Förderung einer übermäßigen Teilnahme oder eines unverantwortlichen Setzverhaltens verwendet werden. 3.5 Ausschluss und Beschränkungen von Spielern 3.5.4 Selbstausschluss Den Spielern muss ein einfacher und klarer Mechanismus zum Selbstausschluss vom Spiel gewährt werden, und dieser Mechanismus zum Selbstausschluss muss die folgenden Funktionen unterstützen: a) dem Spieler muss die Auswahl eines dauerhaften oder vorübergehenden Selbstausschluss über einen bestimmten Zeitraum geboten werden, b) im Falle eines vorübergehenden Selbstausschlusses muss das bargeldlose System sicherstellen, dass: TEIL 6: Bargeldlose Systeme und Spielerverwaltungssysteme Seite 183 i) sofort nach Erhalt des Befehls des Selbstausschlusses keine neuen Einsätze oder Einzahlungen von dem besagten Spieler angenommen werden, bis der besagte Zeitraum des vorübergehenden Selbstausschlusses beendet ist, und ii) während des vorübergehenden Selbstausschlusses dem Spieler die Abhebung eines Teils oder des gesamten Saldos seines Kontos nicht untersagt ist, vorausgesetzt dass das bargeldlose System die Liquidierung des Kapitals anerkennt. c) im Falle eines dauerhaften Selbstausschlusses muss das bargeldlose System sicherstellen, dass: i) sofort nach Erhalt des Befehls des Selbstausschlusses keine neuen Einsätze oder Einzahlungen von dem besagten Spieler bis zur Aufhebung des dauerhaften Selbstausschlusses angenommen werden, ii) der Spieler den gesamten Saldo seines Kontos erhält, vorausgesetzt dass das bargeldlose System die Liquidierung des Kapitals anerkennt, und iii) den Spielern ein Mechanismus zum Widerruf des Befehls zum Selbstausschluss über einen speziellen Erkennungsprozess des Spieleanbieters angeboten wird. 3.5.5 Unwillkürlicher Ausschluss Das bargeldlose System muss einen Mechanismus zum Ausschluss der Spieler durch das Personal des Spieleanbieters bieten. Der Mechanismus muss: a) eine Datei der Ausschlussgründe enthalten, b) sicherstellen, dass sofort nach der Aktivierung des Ausschlusses keine neue Einsätze oder Einzahlungen des entsprechenden Spielers bis zur Aufhebung des besagten Ausschlusszeitraums angenommen werden, c) während des Ausschlusszeitraums muss der Spieler das Recht haben, einen Teil oder den gesamten Saldo seines Kontos abzuheben, vorausgesetzt dass das bargeldlose System die Liquidierung des Kapitals anerkennt, und die Gründe des Ausschlusses die Auszahlung nicht verbieten, und d) der Ausschluss wird nur auf Anfrage durch den Spieler aufgehoben. TEIL 6: Bargeldlose Systeme und Spielerverwaltungssysteme Seite 184 3.5.6 Selbstbeschränkung Den Spielern muss ein einfacher und klarer Mechanismus zur Selbstbeschränkung im Spiel gewährt werden und dieser Mechanismus zur Selbstbeschränkung muss die folgenden Funktionen unterstützen: a) Sofort nach Erhalt des Befehls zur Selbstbeschränkung muss durch die Spielplattform gesichert werden, dass alle festgelegten Grenzen richtig im bargeldlosen System angezeigt werden, b) die Selbstbeschränkungen, die von dem Spieler festgelegt werden, dürfen nicht eventuelle Beschränkungen umgehen, die von dem Spieleanbieter oder den Spielregeln festgelegt werden, c) die Selbstbeschränkungen dürfen nicht durch externe zeitliche Faktoren, wie Schaltjahre oder Uhrzeitänderungen, eingeschränkt werden, d) die Selbstbeschränkungen dürfen nicht durch Faktoren des internen Status, wie Befehle zum Selbstausschluss oder Aufhebungen des Selbstausschluss, eingeschränkt werden, e) der Mechanismus zur Selbstbeschränkung muss (ohne Einschränkung) die folgenden Wahlmöglichkeiten beinhalten: i) Einsatzgrenze für einen Zeitraum - allgemeine Beschränkung eines maximalen Einsatzes für einen bestimmten Zeitraum (z. B.: täglich, wöchentlich usw.), ii) Verlustgrenze für einen Zeitraum - allgemeine Beschränkung eines maximalen Verlustes für einen bestimmten Zeitraum (z. B.: täglich, wöchentlich usw.), iii) Einzahlungsgrenze für einen Zeitraum - allgemeine Beschränkung einer maximalen Einzahlung für einen bestimmten Zeitraum (z. B.: täglich, wöchentlich usw.), 3.5.7 Unwillkürliche Beschränkung Der Spieleanbieter hat das Recht, den Spielern Grenzen (wie oben) zu setzen und diese zeitweise zu ändern. a) Die maximale erlaubte tägliche Ausgabengrenze pro Spieler, die über einen Beschluss der Kommission zur Überwachung und Kontrolle von Spielen neu angepasst werden kann, und die gestattet wird und dem Inhaber der Genehmigung und den Anbietern bekannt gegeben wird, beläuft sich auf 500 € pro Tag. Nach Erreichen der maximalen erlaubten täglichen Grenze wird der Spieler für die folgenden 24 Stunden ausgeschlossen. TEIL 6: Bargeldlose Systeme und Spielerverwaltungssysteme Seite 185 b) Die Ausgaben eines Spielers werden als Differenz berechnet, die aus dem Abzug der Münzen, die gewonnen wurden, von den Münzen, die gesetzt wurden, hervorgeht. Die Boni sind nicht in den Münzen, die gesetzt wurden, enthalten. Der Inhaber der Genehmigung und die Anbieter erhalten das Recht der Festlegung einer niedrigeren Ausgabengrenze pro Spieler. c) Sofort nach Erhalt eines neuen Befehls zur Beschränkung durch den Spieleanbieter muss durch die Spielplattform gesichert werden, dass alle festgelegten Grenzen richtig im bargeldlosen System angezeigt werden. d) Die Beschränkungen, die durch den Spieleanbieter festgelegt werden, dürfen die Strenge der Beschränkungen, die durch den Spieler festgelegt werden, nicht mindern. e) Die Beschränkungen, die durch den Spieleanbieter auferlegt werden, dürfen nicht durch externe zeitliche Faktoren, wie Schaltjahre oder Uhrzeitänderungen, eingeschränkt werden. f) Die Beschränkungen, die durch den Spieleanbieter auferlegt werden, dürfen nicht durch Faktoren des internen Status, wie Befehle zum Selbstausschluss und Aufhebungen des Selbstausschluss, eingeschränkt werden, TEIL 6: Bargeldlose Systeme und Spielerverwaltungssysteme Seite 186 KAPITEL 4 4.0 SPIELER-NUTZER-VERBINDUNGSUMGEBUNGEN (PUI) 4.1 Definition der Spieler-Nutzer-Verbindungsumgebungen 4.1.1 Allgemeiner Hinweis Die Spieler-Nutzer-Verbindungsumgebung (PUI) ist die Entwicklungsumgebung, die der OPAP gestattet, Inhalte zu erzeugen und für die Spieler attraktiv zu verwalten. Die pUI-Umgebung besteht aus Subkomponenten, die gemeinsame Anzeigegeräte verwenden können. a) Das Spielfenster zeigt den dem Basisspiel unterliegenden Inhalt an, der vom Spielautomat geprüft und über die zentrale Prozessorplatine des Spielautomaten übertragen und auf einem oder mehreren Monitoren des Spiels des Spielautomaten angezeigt wird. Das Fenster einer angepassten Größe ist ein Spielfenster, das eine verkleinerte Größe hat, damit die Spielfenster nicht durch das Systemfenster behindert werden. b) Das Systemfenster zeigt den unterliegenden Inhalt an, der geprüft und von einem externen System und/oder den entsprechenden Komponenten gesendet wird, und der auf einem oder mehreren Monitoren des Spielautomaten angezeigt wird. Das überlappende Fenster ist ein Systemfenster, das programmiert wurde, damit es einige der oder alle Spielfenster behindert, wenn es angezeigt wird. 4.2 Anforderungen an Systemfenster 4.2.1 Aktivierung eines Systemfensters durch den Spieler a) Ein Systemfenster des Spielautomaten kann zu jedem Zeitpunkt auf Anfrage des Spielers angezeigt, aktiviert oder aufgehoben werden. TEIL 6: Bargeldlose Systeme und Spielerverwaltungssysteme Seite 187 b) Im Falle der Fenster angepasster Größe und der überlappenden Fenster muss das Systemfenster dem Spieler oder dem Bediener die Möglichkeit der Aufhebung des Fensters bieten, z. B. während der Diagnose irgendeines Schließungsstatus. c) Die Aktivierungsanfragen der Systemfenster durch den Spieler werden durch Drücken eines Knopfes, Einführung der Spielerkarte, Drücken eines Icons auf dem Monitor oder eine andere Methode zur Erkennung des Beginns irgendeiner Aktivität durch den Spieler am Spielautomaten hervorgerufen. 4.2.2 Aktivierung eines Systemfensters durch das System a) Im Falle einer Anpassung der Größe des Spielfensters ist die Anzeige, Aktivierung oder Aufhebung des Systemfensters des Spielautomaten durch das System zu jedem Zeitpunkt gestattet. b) Im Falle einer Verwendung des Systemfensters als überlappendes Fenster über dem Spielfenster ist die Anzeige, Aktivierung oder Aufhebung des Systemfensters zu jedem Zeitpunkt gestattet, vorausgesetzt dass das System den Spieler rechtzeitig vorbeugend vor dem Öffnen des Systemfensters informiert, und dem Spieler die Auswahl zur Ablehnung des Öffnens des Systemfensters geboten wird. Dies schließt weder die Möglichkeit einer internen Kommunikation des Systemfensters und des Spielfensters noch den Ersatz irgendeines Teils des Spielfensters durch das Systemfenster zum Zweck der Vereinfachung der Funktionen, die mehr Platz auf dem Monitor erfordern (z. B. bildliche Tastaturen) entsprechend der Programmierung des jeweiligen Spielautomaten aus. c) In diesem Fall muss deutlich gemacht werden, dass das Systemfenster als überlappendes Fenster des Spielfensters funktioniert, und dass das Systemfenster auf Anfrage des Spielers oder des Bedieners geschlossen werden kann. d) In den Fällen einer Überlappung muss ein bestimmter Zeitraum zur Wiederherstellung der Kontrolle im Spielfenster vorgesehen sein, sofern keine Möglichkeit des Systemfensters für einen bestimmten Zeitraum besteht. 4.2.3 Funktionen der Systemfenster a) Eine eventuelle Anpassung der Größe oder Überlappung des Monitors des Spielfensters muss genau entsprechen, um die erneute Anzeige und den Touchscreen widerzuspiegeln. TEIL 6: Bargeldlose Systeme und Spielerverwaltungssysteme Seite 188 b) Das PUI-System darf den Inhalt, das Spiel, die Farbe oder die Zweckmäßigkeit des Spielfensters nicht ändern, es sei denn, dies wurde ausdrücklich auferlegt, geprüft und für die jeweiligen Programme getrennt genehmigt. Diese Klausel schließt die Möglichkeiten des Systemfensters, die in der Einheit 3.2.2 beschrieben werden, nicht aus. c) Das PUI-System muss in der Lage sein, zu überwachen und rückgängig zu machen, wenn irgendein Systemfenster zu einem bestimmten Zeitpunkt geöffnet war. Berücksichtigen Sie, dass dies nicht bedeutet, dass der Widerruf sämtliche Informationen beinhalten muss, wie sie dem Spieler genau angezeigt wurden. 4.3 Anforderungen an eine Hardware und Protokolle 4.3.1 Allgemeiner Hinweis Diese Einheit betrifft nur die Fälle, in denen das PUI-System zur Verwendung mit einem vorigen Inhalt bestimmt ist. 4.3.2 Anforderungen an eine Hardware Wenn irgendwelche Teile des PUI-Systems auf oder innerhalb des Spielautomaten platziert werden, gelten die Anforderungen an eine Hardware des TEILS 1, sofern dies möglich ist. Diese Komponenten müssen als kritische Komponenten betrachtet werden, die in einem sicheren Bereich geschützt werden müssen. Das Steuerungsprogramm dieser Komponenten, die sich im Inneren der Konsole des Spielautomaten befinden, müssen die Möglichkeit der Durchführung interner Prüfungen der Integrität über Prüfsummen, CRC oder eine entsprechende Methode bieten. 4.3.3 Fehlerbedingungen Die PUI-Systeme mit Hardwarekomponenten, die sich im Inneren der Konsole des Spielautomaten befinden, müssen in der Lage sein, die folgenden Fehlerbedingungen zu ermitteln, und für die irreversiblen Fehler müssen sie elektrisch von allen Kreisen entfernt werden, die sie beeinflussen, und den Monitor des Basisspiels wiedererlangen oder ein Schließen des Mechanismus, ein Aufleuchten des Lichtturms oder eine Reproduktion des akustischen Alarms hervorrufen und ein Eingreifen des Nutzers erfordern: a) Scheitern der Software der internen Komponente des PUI-Systems, b) unerwartete Unterbrechung des Videos des Spielfensters oder des Touchscreens von der internen Komponente des PUI-Systems, TEIL 6: Bargeldlose Systeme und Spielerverwaltungssysteme Seite 189 c) Änderung der Version der Firmware (Software) der genehmigten verbundenen Peripherkomponenten und d) jegliche andere bedeutende Fehlfunktion der Hardware oder Software. TEIL 6: Bargeldlose Systeme und Spielerverwaltungssysteme Seite 190