Nova portaria regulamenta requisitos técnicos de sistemas de apostas online

Foi publicada no dia 03 de maio de 2024 a Portaria SPA/MF nº 722, que estabelece os requisitos técnicos e de segurança dos sistemas de apostas, bem como de suas plataformas de apostas esportivas e de jogos online.

A Portaria 722 dispõe que os sistemas de apostas (plataformas de apostas esportivas e jogos on-line) utilizados pelos agentes operadores para explorar a modalidade lotérica das apostas de quota fixa deverão cumprir os requisitos técnicos estabelecidos na portaria.

Nesse sentido, a Portaria 722 estabelece diversos parâmetros:

• Os canais eletrônicos utilizados pelo agente operador para ofertar apostas de quota fixa em meio virtual deverão utilizar registro de domínio “bet.br”.
• A central de dados utilizada deverá possuir a certificação ISO 27001, garantindo padrões de segurança da informação.
• O uso de bases de dados e sistemas localizados fora do território nacional será permitido somente em países que possuam Acordo de Cooperação Jurídica Internacional com o Brasil, em matéria civil e penal conjuntamente, desde que observado o inciso VIII do caput do art. 33 da Lei nº 13.709, de 2018, e quatro requisitos sejam atendidos cumulativamente:
  • o titular deverá autorizar, de modo específico e prévio, a transferência internacional de seus dados pessoais, cabendo ao agente operador prestar informações claras quanto à finalidade da operação;
  • a área técnica responsável do Ministério da Fazenda deverá ter acesso seguro e irrestrito, de forma remota e presencial, aos sistemas, às plataformas e aos dados da operação;
  • o agente operador deverá replicar, no Brasil, sua base de dados e de informações, que serão atualizadas de forma contínua, garantindo que todas as instâncias do banco de dados possuam o mesmo conteúdo, e que sejam testados periodicamente;
  • (iv) o agente operador deverá apresentar um plano de continuidade de negócios de Tecnologia da Informação, no caso da ocorrência de situações críticas que possam colocar em risco a operação e os dados, contendo, no mínimo:
    • mapeamento de cenários de perdas prováveis;
    • identificação, análise e avaliação dos riscos;
    • ações de prevenção e mitigação; e
    • designação de responsáveis.

• O sistema de apostas deverá controlar comportamentos relativos a qualquer requisito definido pela Secretaria de Prêmios e Apostas do Ministério da Fazenda, por meio de uma aplicação ou software, denominado “programa de controle”. Este programa de controle deve obedecer a características específicas acerca de seu algoritmo e funções.
• Apostadores devem ser maiores de 18 anos, com identidade verificada por reconhecimento facial e CPF válido. A conta será ativada após o usuário aceitar as políticas e termos de uso, desde que não esteja em listas de exclusão. A ativação será realizada mediante sucesso na verificação de idade e identidade, aceitação de políticas de privacidade, e autorização de monitoramento de dados. Além disso, a autenticação deverá ser feita utilizando usuário e senha ou biometria, com processo de recuperação multifatorial incluindo reconhecimento facial em caso de esquecimento ou bloqueio de conta.
• O sistema de apostas deverá detectar o uso de programas que possuam a capacidade de contornar a detecção da localização do apostador, ataques man-in-the-middle (interceptar compartilhamento entre duas partes), adulteração de nível de sistema, entre outros.
• O sistema de apostas deverá manter e realizar o backup de todos os dados gravados pelo prazo mínimo de cinco anos. Além disso, deverá manter registro sobre as apostas realizadas, e de dados sobre o pagamento ao apostador, impostos, movimentações da conta gráfica do apostador, sobre o operador, eventos diversos como logins errados sucessivos, indisponibilidade de sistemas, entre outros.
• Os apostadores deverão ser informados sobre o uso de cookies na instalação do software de apostas ou no acesso por meio de navegadores de internet para realização das apostas. Quando os cookies forem necessários para as apostas, estas não podem ocorrer se a política de cookies não for aceita pelo apostador. Nenhum cookie utilizado pode conter código malicioso.
• O software de jogo instalado deverá obedecer a diversos parâmetros, como por exemplo, autenticar que todos os componentes críticos nele contidos são válidos, cada vez que o software é iniciado para uso ou sob demanda. Adicionalmente, o software não deve desabilitar automaticamente programas de antivírus ou alterar quaisquer regras de firewall configuradas pelo dispositivo. Ainda, o software deve ter sua integridade preservada e não pode armazenar informações confidenciais.
• A plataforma de jogos on-line deverá exibir diretamente na interface do usuário ou de uma página acessível ao apostador:
  • as regras e conteúdo dos jogos;
  • as informações de proteção ao apostador;
  • os termos e condições de uso; e
  • a política de privacidade.

• Diversos requisitos de segurança da informação devem ser respeitados, como por exemplo:
  • Localização dos servidores: os servidores devem ter proteção física e lógica, com vigilância e controles de acesso para prevenir danos e acessos não autorizados.
  • Controle de acesso lógico: o sistema deve usar métodos de autenticação seguros, como senhas e biometria, com procedimentos formais para gerenciar credenciais e níveis de acesso.
  • Autorização de usuários: o sistema deve incluir procedimentos para identificar contas suspeitas, restringir o uso de utilitários que possam comprometer o sistema e exigir a alteração regular de senhas.
  • Proteção de dados: o sistema deve ter métodos implementados para proteger dados contra alterações ou acessos não autorizados.
  • Restrição de acesso: o acesso a estações de trabalho deve ser limitado e deve haver uso de criptografia para segurança de arquivos.
  • Armazenamento seguro: dados devem ser armazenados em servidores criptografados e protegidos.
  • Controle de alterações: qualquer alteração nos dados deve requisitar documentação rigorosa com identificação do usuário responsável.
• Por fim, a contratação e utilização de serviços de terceiros devem incluir todos os requisitos de segurança relevantes, e devem ser monitorados e revisados anualmente. Além disso, os direitos de acesso de terceiros devem ser removidos ao final do contrato ou acordo.

Nosso time de Privacidade, Tecnologia & Cibersegurança do Demarest está à disposição para auxiliar em quaisquer dúvidas.