Insights > Client Alert
Client Alert
Nova portaria regulamenta requisitos técnicos de sistemas de apostas online
10 de maio de 2024
No dia 3 de maio de 2024, foi publicada a Portaria SPA/MF nº 722, que estabelece os requisitos técnicos e de segurança dos sistemas de apostas, bem como de suas plataformas de apostas esportivas e de jogos online.
Desde a data de publicação da portaria, os sistemas de apostas esportivas e jogos online utilizados por agentes operadores para explorar a modalidade lotérica das apostas de quota fixa devem cumprir os parâmetros e requisitos técnicos estipulados por ela. Conheça os principais.
Requisitos técnicos para sistemas de apostas online
Registro de domínio
Os canais eletrônicos utilizados pelo agente operador para ofertar apostas de quota fixa em meio virtual devem utilizar o registro de domínio “bet.br”.
Bases de dados
A central de dados utilizada deve possuir a certificação ISO 27001, garantindo padrões de segurança da informação.
O uso de bases de dados e sistemas localizados fora do território nacional é permitido somente em países que possuam Acordo de Cooperação Jurídica Internacional com o Brasil, em matéria civil e penal conjuntamente, desde que observado o inciso VIII do caput do art. 33 da Lei nº 13.709/2018, e quatro requisitos sejam atendidos cumulativamente:
- (i) o titular deve autorizar, de modo específico e prévio, a transferência internacional de seus dados pessoais, cabendo ao agente operador prestar informações claras quanto à finalidade da operação;
- (ii) a área técnica responsável do Ministério da Fazenda deve ter acesso seguro e irrestrito, de forma remota e presencial, aos sistemas, às plataformas e aos dados da operação;
- (iii) o agente operador deve replicar, no Brasil, sua base de dados e de informações, que serão atualizadas de forma contínua, garantindo que todas as instâncias do banco de dados possuam o mesmo conteúdo, e que sejam testados periodicamente;
- (iv) o agente operador deve apresentar um plano de continuidade de negócios de Tecnologia da Informação, no caso da ocorrência de situações críticas que possam colocar em risco a operação e os dados, contendo, no mínimo:
- mapeamento de cenários de perdas prováveis;
- identificação, análise e avaliação dos riscos;
- ações de prevenção e mitigação; e
- designação de responsáveis.
Programa de controle
O sistema de apostas deve controlar comportamentos relativos a qualquer requisito definido pela Secretaria de Prêmios e Apostas do Ministério da Fazenda por meio de uma aplicação ou software, denominado “programa de controle”. Este programa de controle deve obedecer a características específicas acerca de seu algoritmo e funções.
Comunicação com o usuário
A plataforma de jogos online deve exibir diretamente na interface do usuário ou de uma página acessível ao apostador:
- as regras e conteúdo dos jogos;
- as informações de proteção ao apostador;
- os termos e condições de uso; e
- a política de privacidade.
Os apostadores devem ser informados sobre o uso de cookies na instalação do software de apostas ou no acesso por meio de navegadores de internet para a realização das apostas. Quando os cookies forem necessários para as apostas, estas não podem ocorrer se a política de cookies não for aceita pelo apostador. Nenhum cookie utilizado pode conter código malicioso.
Idade e acesso dos apostadores
Apostadores devem ser maiores de 18 anos, com identidade verificada por reconhecimento facial e CPF válido. A conta será ativada após o usuário aceitar as políticas e termos de uso, desde que não esteja em listas de exclusão. A ativação será realizada mediante sucesso na verificação de idade e identidade, aceitação de políticas de privacidade e autorização de monitoramento de dados.
Além disso, a autenticação deverá ser feita utilizando usuário e senha ou biometria, com processo de recuperação multifatorial incluindo reconhecimento facial em caso de esquecimento ou bloqueio de conta.
Backup
O sistema de apostas deve manter e realizar o backup de todos os dados gravados pelo prazo mínimo de cinco anos. Isso inclui manter o registro sobre as apostas realizadas e o registro de dados sobre o pagamento ao apostador, impostos, movimentações da conta gráfica do apostador, o operador, eventos diversos (como logins errados sucessivos), indisponibilidade de sistemas, entre outros.
Softwares de jogos
O software de jogo instalado deve obedecer a diversos parâmetros, por exemplo, autenticar que todos os componentes críticos nele contidos são válidos cada vez que o software é iniciado para uso ou sob demanda.
Adicionalmente, o software não deve desabilitar automaticamente programas de antivírus ou alterar quaisquer regras de firewall configuradas pelo dispositivo. Ainda, o software deve ter sua integridade preservada e não pode armazenar informações confidenciais.
Segurança da informação
Diversos requisitos de segurança da informação devem ser respeitados, tais como:
- Localização dos servidores: os servidores devem ter proteção física e lógica, com vigilância e controles de acesso para prevenir danos e acessos não autorizados;
- Controle de acesso lógico: o sistema deve usar métodos de autenticação seguros, como senhas e biometria, com procedimentos formais para gerenciar credenciais e níveis de acesso;
- Autorização de usuários: o sistema deve incluir procedimentos para identificar contas suspeitas, restringir o uso de utilitários que possam comprometê-lo e para exigir a alteração regular de senhas;
- Proteção de dados: o sistema deve ter métodos implementados para proteger dados contra alterações ou acessos não autorizados;
- Restrição de acesso: o acesso a estações de trabalho deve ser limitado e deve haver uso de criptografia para segurança de arquivos;
- Armazenamento seguro: dados devem ser armazenados em servidores criptografados e protegidos;
- Controle de alterações: qualquer alteração nos dados deve requisitar documentação rigorosa com identificação do usuário responsável.
Ademais, o sistema de apostas deve detectar o uso de programas que possuam a capacidade de contornar a detecção da localização do apostador, ataques man-in-the-middle (interceptação do compartilhamento entre duas partes), adulteração de nível de sistema, entre outros.
Por fim, a contratação e a utilização de serviços de terceiros devem incluir todos os requisitos de segurança relevantes e estes serviços precisam ser monitorados e revisados anualmente. Além disso, os direitos de acesso de terceiros devem ser removidos ao final do contrato ou acordo.
Leia também: Ministério da Fazenda anuncia agenda regulatória para apostas de quota fixa no Brasil
O time de Privacidade, Tecnologia & Cibersegurança do Demarest está à disposição para auxiliar em quaisquer dúvidas.