Ramy prawne i zgodność
Działalność Mr Green w Unii Europejskiej musi spełniać wymagania RODO, a także krajowe przepisy dotyczące hazardu tam, gdzie wymagane są dodatkowe zezwolenia. RODO narzuca obowiązki dotyczące legalności przetwarzania, praw osób, minimalizacji danych i zgłaszania naruszeń w terminie 72 godzin. W praktyce operator wdraża polityki prywatności, rejestry czynności przetwarzania oraz oceny skutków dla ochrony danych (DPIA) tam, gdzie przetwarzanie może stwarzać wysokie ryzyko. Współpraca z organami nadzoru opiera się na procedurach odpowiedzi na żądania i auditów.
Polityka prywatności Mr Green
Polityka prywatności opisuje zakres gromadzonych danych, cele przetwarzania oraz okresy retencji. Typowe kategorie to dane identyfikacyjne, dane kontaktowe, dokumenty weryfikacyjne, historia transakcji i aktywność gry. Cele obejmują realizację umowy, weryfikację tożsamości, przeciwdziałanie praniu pieniędzy, zapobieganie oszustwom oraz marketing za zgodą. Okresy przechowywania różnią się: dane klientów aktywnych są przechowywane w czasie trwania konta plus okres wymagany przez prawo (zwykle do 5 lat w kontekście rozliczeń i AML), dokumenty KYC są przechowywane zgodnie z polityką retencji i przepisami finansowymi. Użytkownicy mają prawa dostępu, sprostowania, usunięcia, ograniczenia przetwarzania i przenoszenia danych; procedury realizacji żądań obejmują weryfikację tożsamości i terminy zgodne z RODO.
Zabezpieczenia techniczne
Operator stosuje szyfrowanie transmisji oparte na protokołach SSL/TLS z aktualnymi konfiguracjami kryptograficznymi, co chroni dane w ruchu. Szyfrowanie danych w spoczynku obejmuje bazy danych i nośniki z kopiami zapasowymi przy użyciu algorytmów zgodnych z najlepszymi praktykami branżowymi. Architektura bezpieczeństwa zawiera segmentację sieci, ograniczenie ruchu między strefami produkcyjnymi i środowiskami testowymi oraz separację środowisk przetwarzających dane wrażliwe. Systemy wykrywania i zapobiegania włamaniom (IDS/IPS) monitorują anomalie ruchu oraz próby eksploitacji, a logi bezpieczeństwa zbierane są centralnie i analizowane w czasie rzeczywistym. Polityka backupów obejmuje codzienne kopie, regularne testy odtwarzania oraz plany ciągłości działania z priorytetyzacją usług krytycznych.
Zabezpieczenia operacyjne
Kontrola dostępu i zarządzanie uprawnieniami realizowane są według zasady najmniejszych uprawnień, centralnego zarządzania tożsamością i regularnych przeglądów ról. Autoryzacja wieloskładnikowa jest stosowana dla kont administracyjnych oraz dla użytkowników przy wrażliwych operacjach finansowych. Polityki haseł wymuszają minimalną długość, złożoność i okres ważności, a zarządzanie hasłami odbywa się przy użyciu bezpiecznych systemów przechowywania poświadczeń. Bezpieczeństwo pracowników obejmuje szkolenia okresowe z zakresu ochrony danych, rozpoznawania phishingu i procedur postępowania przy incydentach.
KYC, AML i weryfikacja tożsamości
Procesy weryfikacji tożsamości opierają się na dokumentach tożsamości wydanych przez państwo, weryfikacji adresu oraz kontroli zgodności z listami sankcyjnymi. Dane i dokumenty KYC przechowywane są w bezpiecznych repozytoriach z ograniczonym dostępem i szyfrowaniem. Monitoring transakcji wykorzystuje mechanizmy wykrywania wzorców typowych dla prania pieniędzy, thresholdów i alertów wymagających manualnej analizy. Zgłoszenia o podejrzanych transakcjach kierowane są do odpowiednich organów zgodnie z lokalnymi przepisami.
Zarządzanie dostawcami zewnętrznymi
Ocena dostawców obejmuje due diligence, analizę ryzyka operacyjnego i bezpieczeństwa informacji oraz audyty zgodności. Umowy powierzenia przetwarzania danych zawierają klauzule dotyczące bezpieczeństwa, auditów i obowiązków w przypadku naruszeń. Integracja z zewnętrznymi systemami wymaga testów bezpieczeństwa, segmentacji i ograniczenia uprawnień interfejsów, aby minimalizować ryzyko eskalacji awarii.
Monitorowanie, audyty i certyfikaty
Zewnętrzne audyty bezpieczeństwa i testy penetracyjne wykonywane są okresowo przez niezależne firmy. Publiczne i wewnętrzne kontrole obejmują sprawdzanie losowości generatorów liczb oraz zgodność systemów płatności z branżowymi standardami. Poniżej przegląd typowych standardów i praktyk w branży stosowanych wobec operatorów podobnych do Mr Green:
| Standard / kontrola | Organ wydający | Zakres | Częstotliwość audytu | Publiczność raportu |
|---|---|---|---|---|
| PCI DSS | PCI Security Standards Council | Bezpieczeństwo przetwarzania kart płatniczych | Corocznie z kwartalnymi skanami | Częściowo (potwierdzenia) |
| Testy RNG i uczciwości gier | Niezależne laboratoria (np. eCOGRA) | Sprawdzanie losowości i zwrotu dla gracza | Co roku lub przy zmianach | Zwykle raporty skrócone |
| Penetracyjne testy | Firmy zewnętrzne | Ocena luk aplikacji i infrastruktury | Minimum raz w roku | Wyniki dostępne dla regulatora |
| Audyty zgodności AML/RODO | Zewnętrzni audytorzy | Procesy AML i ochrona danych | Co roku lub przy zmianach prawnych | Z reguły niepubliczne |
Zarządzanie incydentami i reakcja na naruszenia
Procedury obejmują wykrywanie poprzez systemy monitorujące, analizę, izolację zasobów i ograniczenie szkód. Plany reagowania zawierają scentralizowany zespół reakcji, role i odpowiedzialności oraz komunikację wewnętrzną i zewnętrzną. Po naruszeniu użytkownicy otrzymują jasne informacje o zakresie zdarzenia, krokach jakie podjęto i zalecenia dotyczące zabezpieczenia kont. Zgłaszanie naruszeń do organów nadzorczych musi nastąpić w terminie 72 godzin, z późniejszymi aktualizacjami.
Prywatność, transfery i narzędzia dla graczy
Mr Green stosuje pseudonimizację i minimalizację danych tam, gdzie to możliwe, aby ograniczyć identyfikowalność. Transfery poza UE są realizowane na podstawie mechanizmów prawnych, takich jak standardowe klauzule umowne lub decyzje adekwatności. Gracze mają dostęp do narzędzi kontroli konta, ustawień prywatności oraz procedur składania żądań dotyczących danych. Kilka praktycznych kroków po ewentualnym naruszeniu to zmiana hasła, włączenie 2FA oraz kontakt z obsługą w celu zablokowania płatności i monitoringu konta.