Resolución 1785 de 2014 COLJUEGOS

RESOLUCIÓN 1785 DE 2014

(septiembre 10)

Diario Oficial No. 49.282 de 22 de septiembre de 2014

EMPRESA INDUSTRIAL Y COMERCIAL DEL ESTADO ADMINISTRADORA DEL MONOPOLIO RENTÍSTICO DE LOS JUEGOS DE SUERTE Y AZAR

Por medio de la cual se expide el Acuerdo número 08 de 2014, reglamento del juego de suerte y azar de la modalidad de novedoso denominado Super Astro; y el documento maestro para la operación del juego denominado requerimientos técnicos del sistema para operación de Super Astro.

EL VICEPRESIDENTE DE DESARROLLO ORGANIZACIONAL,

en ejercicio de las funciones de Presidente de la Empresa Industrial y Comercial del Estado Administradora del Monopolio Rentístico de los Juegos de Suerte y Azar (Coljuegos), en uso de las facultades legales y en especial de las contempladas en la Ley 643 de 2001, el numeral 5 del artículo 11 del Decreto-ley 4142 de 2011 y demás normas concordantes con la materia, y

CONSIDERANDO:

Que el Decreto número 4142 de 2011 creó la Empresa Industrial y Comercial del Estado Administradora del Monopolio Rentístico de los Juegos de Suerte y Azar (Coljuegos) que tendrá como objeto “la explotación, administración, operación y expedición de reglamentos de los juegos que hagan parte del Monopolio Rentístico sobre los Juegos de Suerte y Azar que por disposición legal no sean atribuidos a otra entidad”;

Que el numeral 2 del artículo 10 del Decreto número 4142 de 2011, señala como una de las funciones de la Junta Directiva de Coljuegos “aprobar los reglamentos de los Juegos de Suerte y Azar de competencia de la Empresa”;

Que en el numeral 3 del artículo 5o del Decreto número 4142 de 2011, se estableció como función de Coljuegos “expedir los reglamentos de los juegos de suerte y azar de su competencia”;

Que la Junta Directiva en Sesión Extraordinaria número 47 del 4 y 5 de septiembre de 2014 estudió y aprobó mediante Acuerdo número 008 el reglamento del juego de suerte y azar en la modalidad novedoso, denominado Super Astro;

Que el Acuerdo número 008 de 2014 indica que mediante documento maestro a expedir por Coljuegos se establecerán los requerimientos técnicos para la operación del juego, los cuales consisten en: 1. Los requisitos técnicos mínimos que deben ser cumplidos por el operador para garantizar la operación del juego en sus diferentes componentes (Sistema Central del Juego, terminales de venta, red de comunicaciones, balotas y baloteras) así como para la generación, procesamiento, transmisión de la información administrativa, financiera, de control y de apuestas requerida por Coljuegos, y 2. Las especificaciones técnicas y requerimientos para el envío de información del juego;

Que en mérito de lo expuesto,

RESUELVE:

ARTÍCULO 1o. Expedir el reglamento del juego de suerte y azar en la modalidad novedoso, denominado Super Astro, aprobado por la Junta Directiva de Coljuegos mediante Acuerdo 008 de 2014, el cual hace parte integral de la presente resolución.

ARTÍCULO 2o. <Artículo derogado por el artículo 3 de la Resolución 2096 de 2014>

ARTÍCULO 3o. La presente resolución rige a partir de su publicación y deroga las demás que les sean contrarias. Los contratos para la operación exclusiva del juego de suerte y azar novedoso denominado Super Astro que hayan sido válidamente celebrados con anterioridad a la fecha de expedición de esta resolución, continuarán rigiéndose íntegramente por las normas anteriores.

Comuníquese, publíquese y cúmplase.

Dada en Bogotá, D. C., a 10 de septiembre de 2014.

El Vicepresidente de Desarrollo Organizacional en ejercicio de las funciones de Presidente de Coljuegos,

LUIS ÓMAR TORRADO MANTILLA.

REQUERIMIENTOS TÉCNICOS DEL SISTEMA PARA OPERACIÓN DE SUPER ASTRO.

COLJUEGOS

<Reglamento subrogado por el contenido en la Resolución 2096 de 2014>

CONTENIDO

GLOSARIO

1. ASPECTOS TÉCNICOS GENERALES

1.1. REQUISITOS FUNCIONALES, TECNOLÓGICOS Y LOGÍSTICOS DE FUNCIONALIDAD DEL SCJ.

1.2. REQUISITOS GENERALES DEL TDV

1.2.1 REQUISITOS DE IDENTIFICACIÓN DEL TDV

1.2.2. IMPRESORAS DE TIQUETES

1.3. REQUISITOS GENERALES DE LAS BALOTAS Y BALOTERAS

1.4. REQUISITOS GENERALES DE FUNCIONALIDAD PARA EL GNA

1.5. REQUISITOS GENERALES PARA LA COMUNICACIÓN

1.5.1. RED DE COMUNICACIONES

1.5.2. REQUISITOS PARA LOS PROTOCOLOS DE COMUNICACIÓN

1.5.3. PÉRDIDA DE COMUNICACIÓN

2. REQUISITOS TECNOLÓGICOS DEL SCJ

2.1. RELOJ DEL SISTEMA

2.2. BASE DE DATOS DEL SCJ

2.2.1. ACCESO A LA BASE DE DATOS

2.2.2. INFORMACIÓN ALMACENADA EN LA BASE DE DATOS

2.3. ESTACIONES DE TRABAJO DEL SCJ

3. REQUISITOS DE SEGURIDAD

3.1. ACCESO A LA CONFIGURACIÓN DEL JUEGO

3.2. CONTROL DE ACCESO

3.3. SEGURIDAD EN EL SISTEMA DE COMUNICACIÓN

3.4. SEGURIDAD EN EL ACCESO REMOTO

3.5. ALTERACIÓN DE DATOS

3.6. CONTROL DEL SCJ Y DE SU RÉPLICA

3.7. COPIAS DE RESPALDO Y RECUPERACIÓN

3.8. REQUISITOS PARA LA RECUPERACIÓN

3.9. REGISTRO, TRAZABILIDAD DE LAS OPERACIONES DE JUEGO Y LA BASE DE DATOS

3.10. CONTINUIDAD DE LA ACTIVIDAD DE JUEGO

4. ASPECTOS ADMINISTRATIVOS

5. CERTIFICACIÓN

6. ESPECIFICACIONES TÉCNICAS PARA ENVÍO DE INFORMACIÓN POR EL OPERADOR DE SUPER ASTRO

6.1. CONDICIONES GENERALES

6.2. ESPECIFICACIONES DE ARCHIVOS DE INFORMACIÓN

6.2.1. IDENTIFICACIÓN DEL TERMINAL DE VENTA

6.2.2. INFORMACIÓN DEL TIQUETE DE APUESTA (VENTA)

6.2.3. INFORMACIÓN DEL TIQUETE GANADOR DE APUESTA (PAGOS)

6.2.4. INFORMACIÓN DE LOS SORTEOS

6.2.5. RESULTADOS DEL JUEGO POR SORTEO

6.2.6. REPORTE DE INGRESOS BRUTOS POR TERMINAL DE VENTA

6.2.7. REPORTE DE PREMIOS POR TIQUETE

7. MODIFICACIONES

GLOSARIO.

a) Apuesta: selección de una combinación de 4 números y un signo zodiacal;

b) Baloteras: máquinas transparentes que funcionan con un sistema de extracción neumática las cuales permiten extraer balotas de manera aleatoria a través de un flujo turbulento de aire;

c) Balotas: bolillas identificadas con un número de 0 a 9 o un signo zodiacal, las cuales son utilizadas en el sorteo;

d) Base de Datos (BD): colección de información organizada, que para el presente documento, es la información de control, contadores y registros de auditoría que residen en el Sistema Central del Juego (SCJ);

e) Canal dedicado: conexión física que permite estar conectado permanentemente para cursar tráfico de información únicamente entre dos sitios, como lo es entre el Operador y Coljuegos;

f) Contadores: totalizadores o acumuladores de la cantidad de jugadas y valores que genera el Terminal de Venta (TDV) de un juego;

g) En línea: expresión que se utiliza para denotar que un elemento se encuentra conectado o hace parte en forma permanente de un sistema de información. La operación en línea implica, además, que los programas se ejecutan de tal forma que los datos se actualizan de inmediato en los archivos del sistema;

h) Factor de pago: número de veces que paga el juego por cada peso apostado según los aciertos que obtenga el jugador en cada apuesta;

i) Generador de Número Aleatorio (GNA): sistema de hardware o software que produce secuencias de números estadísticamente independientes e impredecibles;

j) Información de control: sucesos generados en los terminales de venta que se utilizan para realizar control a la operación. Ejemplos: apuesta anulada, y reseteo del terminal de venta;

k) Interfaz de comunicaciones: dispositivo electrónico o componente de software que permite la comunicación entre los Terminales de Venta y el Sistema Central del Juego;

l) Operador del juego: única persona jurídica responsable de operar el juego a nivel nacional, dando cumplimiento a las obligaciones fijadas por la ley, el reglamento del juego, los presentes requerimientos técnicos para la operación del juego, la oferta presentada en el proceso de licitación, y el contrato de concesión;

m) Presorteo: proceso de selección de cinco balotas, de las cuales cuatro corresponden a un número entero entre 0 y 9, y un signo zodiacal, que son extraídas por las baloteras para determinar el correcto funcionamiento del sistema y el cumplimiento de las condiciones de seguridad que deben cumplir las balotas y baloteras, previo al sorteo oficial;

n) Protocolo de comunicaciones: conjunto de reglas normalizadas que permiten el intercambio de información entre equipos informáticos, así como posibles métodos de recuperación de errores;

o) Proveedor de servicios de comunicaciones: persona jurídica responsable de la operación de redes y/o de la provisión de servicios de telecomunicaciones a terceros;

p) Punto de venta: local donde se realizan las apuestas a través del terminal de venta fijo, se pueden consultar los resultados de los sorteos, y se pueden cobrar los premios acorde con los montos determinados en el presente reglamento;

q) Red de comunicaciones: elementos que garantizan la comunicación confiable y oportuna entre los diferentes componentes que conforman la plataforma tecnológica del juego, y por los terminales de venta para asegurar la adecuada operación y continuidad del juego;

r) Servidor central: equipo de cómputo del Sistema Central del Juego que aloja las aplicaciones y las base de datos;

s) Signos zodiacales: conjunto de 12 posibilidades para seleccionar en la apuesta de Super astro, correspondientes a los signos del zodiaco de la astrología occidental: aries, géminis, leo, escorpión, capricornio, piscis, tauro, cáncer, virgo, libra, sagitario y acuario;

t) Sistema Central del Juego: plataforma tecnológica que soporta el juego la cual está compuesta por los elementos de hardware requeridos y el conjunto de programas (software) que garantizan la adecuada operación del juego: Software Central de Validación de Apuestas, Software y Hardware de Almacenamiento, y Software de Gestión:

-- Software Central de Validación de Apuestas: software donde se reciben, validan, procesan y almacenan las apuestas que se realizan en los diferentes terminales de venta. Garantiza el correcto funcionamiento de las apuestas.

-- Software y Hardware de Almacenamiento: conjunto de elementos necesarios para garantizar el correcto almacenamiento de la información tales como servidores, bases de datos, y sistemas de respaldo, entre otros.

-- Software de Gestión: Software que a partir de los resultados del sorteo, genera los reportes de gestión del juego y permite enviar en línea y tiempo real la información de las transacciones así como el resultado de las apuestas a Coljuegos;

u) Sorteo o sorteo oficial: selección en vivo de cinco balotas, de las cuales cuatro corresponden a un número entero entre 0 y 9, y a un signo zodiacal, que son extraídas por las baloteras para determinar la combinación ganadora del juego Super astro;

v) Subsistema de Coljuegos: plataforma tecnológica donde Coljuegos recibe y almacena información para efectos de control, seguimiento y auditoría de Super astro;

w) Terminal de venta: dispositivo fijo o móvil que permite al operador registrar las apuestas realizadas por el jugador, expedir y validar el tiquete del juego, el cual se encuentra conectado en línea y en tiempo real con el Sistema Central del Juego;

x) Tiempo real: expresión que se utiliza en los sistemas informáticos para indicar que estos tienen capacidad de sincronizar en intervalos de tiempo bien definidos, el funcionamiento del sistema en simultánea con las acciones que se presentan en el mundo físico;

y) Tier III: por su sigla en inglés “Telecomunications Infraestructure Standard for Data Centers” corresponde al nivel de fiabilidad que debe tener un centro de cómputo de acuerdo con las características del negocio. Existen cuatro niveles de Tier donde a mayor número, mayor disponibilidad tendrá el centro de cómputo. Tier III opera con una disponibilidad del 99.982%, lo que significa que la infraestructura garantiza que el sistema no fallará más de 1.6 horas al año y que no habrá interrupciones por mantenimientos planificados;

z) Tiquete: recibo impreso emitido en línea y en tiempo real por el operador, que acredita la realización de una o varias apuestas en un terminal de venta. Es un documento al portador con medidas de seguridad determinadas por el operador para su validación, y es el único documento válido para cobrar el premio en caso que una apuesta resulte ganadora;

aa) Valor de la apuesta: cantidad de dinero que paga un jugador por cada apuesta que otorga el derecho a participar en un sorteo determinado;

bb) VPN: tecnología de comunicaciones que permite la conexión entre dos sitios para el intercambio de información. Se conoce como VPN por las siglas en inglés de “Virtual Private Network”.

1. ASPECTOS TÉCNICOS GENERALES.

El sistema técnico de juego y en general el conjunto de sistemas e instrumentos técnicos o telemáticos, que posibiliten la organización, comercialización y celebración de juegos por estos medios, debe disponer de los mecanismos de autenticación suficientes para garantizar, entre otros, la confidencialidad e integridad en las comunicaciones, validación, autenticidad y cómputo de las apuestas, el control de su correcto funcionamiento y el acceso a los componentes del sistema informático exclusivamente del personal autorizado de Coljuegos en las condiciones que este pudiera establecer.

El operador que lleve a cabo la organización, explotación y desarrollo de Super Astro, debe disponer del material de software, equipos, sistemas, terminales e instrumentos en general, necesarios para el desarrollo de las actividades de juego; debidamente certificados, correspondiendo al Operador la certificación de los sistemas técnicos de juego y el local de las especificaciones necesarias para su funcionamiento.

Los sistemas técnicos de juego empleados por el Operador habilitado para la organización, explotación y desarrollo de las actividades de juego por medios electrónicos, informáticos, telemáticos e interactivos deben reunir las condiciones que mediante disposición establezca Coljuegos, y deben permitir el cumplimiento de las obligaciones establecidas en la ley.

El sistema de los juegos de Super Astro, se encuentra compuesto por el Sistema Central del Juego –en adelante SCJ, la red de comunicaciones, los Terminales de Venta– en adelante TDV, el sistema de balotas y baloteras, y un Generador de Números Aleatorios– en adelante GNA. Este SCJ debe disponer de los mecanismos de autenticación suficientes para garantizar, entre otros, la identificación y autenticación digital de los TDV, la confidencialidad e integridad en las comunicaciones, y el seguro almacenamiento de la información del juego.

El siguiente diagrama muestra en forma genérica su arquitectura:

El Subsistema de Coljuegos es el encargado de recibir toda la información que el Operador debe reportar a la Entidad para efectos de control, seguimiento y auditoría del juego. Lo compone una plataforma tecnológica (hardware, software, comunicaciones, bases de datos, etc.) que debe ser provista, instalada y puesta en operación por el Operador, la cual requiere cumplir como mínimo con lo siguiente:

a) Infraestructura para alojar el aplicativo local, ubicado en Coljuegos o donde se designe, con una base de datos que será una réplica de todas y cada una de las transacciones del sistema, el cual debe tener como mínimo las siguientes características:

-- Frontend en ambiente web.

-- Módulo de administración de usuarios.

-- Módulo de reportes financieros, de ventas, de novedades, de premios, estadísticos, escrutinio de premios;

b) Base de Datos en motor SQL Server 2012 actualizable a 2014, con capacidad suficiente de almacenamiento para los datos históricos de la operación durante la vigencia del contrato. Esta debe incluir:

-- Diccionario de datos de todas las tablas que componen la estructura de la base de datos.

-- Diagrama entidad-relación.

-- Toda la documentación relacionada con los objetos de la base de datos;

c) Servidores que permitan un mejor aprovechamiento del espacio dentro de un rack (máximo 10 unidades de rack), consumo eficiente de energía, y mayor versatilidad. Además debe tener fuente redundante, discos de estado sólido en redundancia, mínimo SO Windows 2012 R2 y su correspondiente software antivirus;

d) Manuales del sistema, de instalación, y de usuario;

e) En caso de fallas en los medios de comunicación o en alguno de los extremos, se debe contar con los servicios de sincronización que se requieran para garantizar que toda la data repose en los contenedores de bases datos locales de Coljuegos;

f) Un canal principal de comunicaciones dedicado de mínimo 2 Mbps, características de cifrado IPSEC (mínimo 3DES), cuya última milla debe ser en fibra óptica o superior, y contar con una disponibilidad garantizada del 99.5%;

g) Un canal secundario de comunicaciones dedicado (pasivo) con mínimo 2 Mbps, provisto por un proveedor diferente al proveedor del canal principal, con características de cifrado IPSEC (mínimo 3DES) cuya última milla debe ser en fibra óptica o superior y contar con una disponibilidad garantizada del 99.5%;

h) Instalar directamente o a través de un tercero, en el centro de cómputo que Coljuegos así lo indique, el respaldo eléctrico (UPS) necesario para la correcta operación de la infraestructura que le será entregada a Coljuegos. Antes de realizar cualquier instalación, el Operador debe contar con una aprobación por parte de Coljuegos a los trabajos a realizar (modificaciones a la red eléctrica, etc.) definidos mediante un levantamiento previo de las condiciones al centro de cómputo indicado.

La administración, correcto funcionamiento, cumplimiento de normas, estándares y reglamentaciones técnicas de la plataforma tecnológica y de los sistemas de información del Super Astro, será responsabilidad del Operador autorizado por Coljuegos, quien dispondrá directa o indirectamente, pero siempre bajo su responsabilidad, por el software, equipos, sistemas, terminales de venta e instrumentos en general necesarios para garantizar el funcionamiento del sistema.

El Operador debe enviar en línea y tiempo real la réplica de cada una de las transacciones generadas en los TDV al servidor que ubicará en Coljuegos, donde residirá el Subsistema de Coljuegos. Además, a partir de la información detallada de las apuestas generadas en los TDV, los resultados de los sorteos, y los pagos de premios almacenados, el SCJ genera la información administrativa, de control y de apuestas solicitadas por Coljuegos y/o el interventor delegado por la Entidad.

El envío de la información a Coljuegos se debe realizar a través de la red proporcionada por el Operador, mediante su Proveedor de Servicios de Comunicaciones, que cumpla las condiciones indicadas en este documento.

Las especificaciones técnicas para el envío de la información a Coljuegos están definidas en el numeral 6 ESPECIFICACIONES TÉCNICAS PARA ENVÍO DE INFORMACIÓN.

1.1. Requisitos funcionales, tecnológicos y logísticos de funcionalidad del SCJ

El SCJ debe tener una infraestructura tecnológica estable que garantice la disponibilidad de la información almacenada en una de las bases de datos: información de control, resultados de los sorteos e información de las apuestas generadas en los TDV. Además, debe tener como mínimo: un servidor o arreglo de servidores redundantes, un sistema de red de comunicación de datos, y una base de datos relacional. El servidor o servidores debe(n) cumplir con los requerimientos de conectividad y seguridad (utilizar de guía los estándares IEEE 802 y 27001).

El SCJ debe permitir:

-- Registrar todas las transacciones y operaciones de juego realizadas desde los TDV conectados al SCJ: apuestas por sorteo, pago de premios, datos de control, así como eventos de funcionamiento del juego.

-- Toda transacción debe ser replicada al sistema redundante de respaldo. Se debe de garantizar que el 100% de las transacciones se encuentran replicadas al momento de requerirse la entrada en operación del sistema de respaldo.

-- Controlar el correcto funcionamiento de los diferentes componentes tecnológicos que garantizan la operación del juego.

-- Generar reportes administrativos de la operación del juego, incluyendo operación y premios.

-- El Operador debe facilitar el acceso y total colaboración a los inspectores de Coljuegos a las instalaciones del SCJ para posible inspección, con independencia del lugar de su ubicación y del personal que preste servicios en las instalaciones del Operador, sea propio, sea de las entidades que le faciliten o provean algún tipo de servicio. El Operador será responsable de la falta de colaboración del citado personal, con independencia de la relación jurídica o laboral que le vincule.

El Operador debe presentar, ante solicitud de Coljuegos, la documentación y herramientas de hardware/software que permiten realizar pruebas en los módulos del SCJ.

El SCJ debe cumplir los siguientes aspectos técnicos mínimos, cuya validación será realizada por un tercero:

-- Contar con un programa aplicativo que permita, desde una estación de trabajo, realizar una búsqueda exhaustiva en línea de un registro de sucesos significativos ocurridos en el día o con anterioridad a este, de la información registrada en la base de datos.

-- Capacidad para interconectar múltiples TDV.

-- Capacidad para parametrizar las reglas de negocio básicas para la operación general del sistema, tales como: perfiles, usuarios, sorteos y apuestas.

-- Capacidad de registrar las transacciones financieras que se generan durante la operación para el cálculo de las ventas y pago de premios diarios durante un rango de tiempo.

-- Generación de la información de las apuestas, con corte en el cierre de operación para el reporte automático de resultados por punto de venta, TDV y ubicación geográfica (municipio).

-- Capacidad de registrar todos los premios en línea, mediante conexión de los TDV.

-- Asegurar la existencia de información diaria y mensual para control contable de los TDV.

-- Posibilidad de verificar en línea y tiempo real el detalle de la información de control y de las apuestas de cada una de los TDV.

-- Mantener un log de las transacciones realizadas y eventos ocurridos en las bases de datos.

-- Protección contra software malicioso y virus informáticos.

-- Gestión interna de soporte y recuperación del sistema de datos.

-- Posibilidad de verificar el pago de premios por TDV y ubicación geográfica (municipio).

-- Implementar procedimientos que permitan realizar un control de versiones de los programas, archivos, tablas, repositorios, configuraciones, etc. El procedimiento y metodología a utilizar debe ser presentado a Coljuegos para su aprobación.

Falla en el funcionamiento: La aceptación de apuestas quedará suspendida en los TDV que presenten fallos en el funcionamiento.

Detección de corrupción: El software debe poder detectar casos de corrupción y generar un mensaje de error como consecuencia de la falla.

1.2. Requisitos generales del TDV

La operación de los terminales de venta se realizará bajo los lineamientos definidos por el Operador que garanticen la seguridad de las transacciones. Estos dispositivos deben tener la funcionalidad necesaria para generar la siguiente información a transmitir al SCJ:

-- Toda la información correspondiente a la apuesta y pago de premios.

-- El número aleatorio que utilizará el Operador para generar la combinación de los cuatro números y el signo zodiacal de la jugada cuando se seleccione la apuesta automática.

-- La información de control o eventos significativos.

-- La ubicación geográfica donde se realiza la transacción.

Los proveedores del servicio de conectividad ya sea del Operador o un tercero, deben permitir la realización de pruebas de conexión entre los TDV y el SCJ, para lo cual deben disponer de todas las herramientas de hardware y software, los entornos y el personal necesario para la correcta realización de dichas pruebas.

El software de administración y configuración de la red de comunicaciones no debe permitir acceso a usuarios no registrados por el Sistema Central del Juego.

El Sistema Central del Juego debe tener la capacidad para suspender la realización de ventas y pagos de premios remotamente a cualquier TDV en caso de detectarse el uso no autorizado de la misma, sin afectar otras terminales.

Los TDV ubicados en los puntos de venta deben cumplir mínimo con las siguientes condiciones:

-- Estar en sitios seguros de acceso controlado por parte del operador.

-- El TDV debe tener su propia y única ID en el SCJ.

-- El acceso a la operación del terminal debe estar restringido por contraseñas de seguridad o cualquier otro mecanismo de protección de acceso no deseado.

-- Los cables que suministran la energía y los cables de datos que entran y salen de la terminal no deben ser accesibles al público en general y no podrán ser fácilmente removidos.

-- Los puertos de comunicaciones de las terminales deben estar etiquetados, identificados y certificados adecuadamente de acuerdo a su función y deben estar dentro de un área segura para impedir acceso sin autorización al mismo o a sus cables de conexión.

-- La interfaz de comunicaciones para la conexión al SCJ debe estar localizada en un sitio seguro, al cual solamente permita el acceso a personal autorizado asignado por el Operador.

Los TDV móviles utilizados deben cumplir mínimo con las siguientes condiciones:

-- Asociar un código DANE del municipio a cada transacción.

-- El acceso a la operación del terminal debe estar restringido por contraseñas de seguridad o cualquier otro mecanismo de protección de acceso no deseado.

-- El TDV debe tener su propia y única ID en el SCJ.

-- La información debe ser transmitida (enviar /recibir) cifrada y aplicársele algoritmos de validación.

-- Contar con seguridades de registro y transacciones con el SCJ. El proponente debe presentar las características del modelo de seguridad para la evaluación respectiva.

1.2.1. Requisitos de identificación del TDV

Los TDV deben tener una ID identificación lógica que permita identificarla dentro del SCJ. Esta identificación debe permitir determinar: si es un TDV fijo o móvil, el código del punto de venta asociado dentro del SCJ para el TDV fijo o móvil si aplica, y el código DANE del municipio donde opera.

12.2. Impresoras de tiquetes

Los TDV deben permitir imprimir el tiquete objeto del sorteo de Super Astro con la información indicada en el Reglamento del Juego, ya sea directamente o a través de una conexión a una impresora. La información del comprobante debe conservarse en el SCJ el mismo tiempo de la validez del tiquete.

1.3. Requisitos generales de las balotas y baloteras

1.3.1. Requisitos generales de las balotas

Las balotas utilizadas en el juego deben estar certificadas por el Instituto Colombiano de Normas Técnicas (Icontec) o por un organismo certificador acreditado por la Superintendencia de Industria y Comercio (SIC), o el Organismo Nacional de Acreditación (ONAC).

Los juegos de balotas deben ser sustituidos de acuerdo con el número de partidas de vida útil que garantice el fabricante de las mismas, o antes de ese límite cuando se descubra que alguna de las balotas no está en perfectas condiciones. En el caso de haberse sustituido las balotas, las mismas deben quedar en una caja que será sellada por el delegado de Coljuegos, o quien haga sus veces, y debe permanecer a disposición de las autoridades competentes por un período de seis (6) meses en un lugar protegido por el Operador que garantice su sello. Una vez pasado el período indicado, el Operador debe destruir dichas balotas con el procedimiento que considere más adecuado.

El movimiento de balotas requiere de todas las garantías de seguridad y vigilancia en el transporte de la urna que contenga los elementos y sistemas de juego, para evitar pérdidas o que se altera el sistema.

1.3.2. Requisitos generales de las baloteras

Las baloteras electro-neumáticas deben estar certificadas por un laboratorio avalado por Coljuegos de acuerdo al Referente Técnico 01. Este se encuentra publicado en la página web del Coljuegos – Sección Normatividad/Referente Técnico con el fin de garantizar la transparencia y aleatoriedad de los resultados.

Mientras no sean utilizadas, las baloteras deben estar almacenadas en un recinto que ofrezca condiciones de seguridad que garanticen su funcionamiento.

1.4. Requisitos generales de funcionalidad para el GNA

El GNA corresponde al sistema de hardware y/o software que genera el número aleatorio que utilizará el Operador para generar la combinación de los cuatro números y el signo zodiacal de la jugada cuando se seleccione la apuesta automática, puede estar intrínseco dentro de la TDV; determinar el número que identifica el juego de balotas con el cual realizar el sorteo oficial; y determinar el número de presorteos a realizar previos al sorteo oficial. Debe(n) estar certificado por un laboratorio certificador autorizado por Coljuegos, que garantice que sea estadísticamente independiente, impredecible y haya pasado por varias pruebas estadísticas que avalen la aleatoriedad de sus resultados.

Será responsabilidad del operador la consecución de los GNA necesarios para la operación del juego, y de garantizar que las TDV que lo utilicen de forma intrínseca sean avaladas por el laboratorio certificador. Será responsabilidad del Operador garantizar que dichos equipos se encuentran disponibles para la emisión del tiquete y la realización del sorteo oficial.

Cuando Coljuegos así lo solicite, el Operador debe presentar una renovación de la certificación de cumplimiento de los requisitos de aleatoriedad de estos dispositivos por un laboratorio autorizado por Coljuegos.

1.5. Requisitos generales para la comunicación

Este capítulo se refiere a las comunicaciones entre el SCJ y todos los dispositivos de juego utilizados por la plataforma tecnológica de Super astro, para los cuales se puede utilizar cualquier sistema de comunicación existente o que surja en el país, siempre y cuando se garantice la integridad de las comunicaciones entre el SCJ y demás sistemas técnicos.

Coljuegos podrá establecer el detalle y las condiciones adicionales que considere necesarias para garantizar la seguridad e integridad de las comunicaciones entre los diferentes componentes de los sistemas técnicos.

1.5.1. Red de comunicaciones

La red de comunicación debe ser segura para la transmisión de datos en línea y de cualquier otra actividad viable, en todo caso debe ser aprobada por Coljuegos. La red debe estar conectada al SCJ, a todos los TDV, y a cualquier centro de respaldo que se contemple. Debe suministrarse a Coljuegos para su aprobación el diagrama de la red, explicarse la topología, capacidades y estructura de la red. El equipo de comunicaciones debe tener la capacidad para expandirse según las necesidades, y cualquier cambio significativo sobre la red requiere informarse a Coljuegos.

La red debe ser diseñada para que pueda operar con diferentes tipos de tecnología de comunicación de acuerdo con las necesidades. Además, debe ser diseñada y construida de tal manera que tenga rutas alternas en casos de problemas o interrupciones en la comunicación, tanto para los TDV como para el centro de datos con los servidores de replicación y respaldo.

La red debe tener la capacidad de transmitir transacciones al SCJ simultáneamente desde múltiples puntos de venta y viceversa en línea y tiempo real, y generar la réplica de la información a Coljuegos, sin que esto afecte o degrade los tiempos de respuesta de las transacciones. Desde el momento en que el Operador transmite la transacción hasta el momento en que inicia la impresión del tiquete.

El equipo de comunicaciones debe tener sistemas de autodiagnóstico y sistemas de alarmas para determinar y aislar problemas de comunicaciones rápida y efectivamente. El SCJ debe incluir la red que supervise la capacidad, permitiendo el rápido diagnóstico y respuesta del personal técnico en servicio debido a cualquier irregularidad en la operación de la red. El equipo de diagnóstico debe tener la capacidad de evaluar los problemas de comunicaciones a nivel del equipo central de la red, las oficinas de transmisión y los TDV.

1.5.2. Requisitos para los protocolos de comunicación

Cada componente de la plataforma tecnológica de Super Astro debe funcionar como indica el protocolo de comunicación implementado por el Operador. El protocolo seleccionado debe utilizar técnicas de comunicación que cuenten con una apropiada detección de errores y/o mecanismos de recuperación, diseñados para prevenir intentos no autorizados de acceso o modificación. Se debe contar con mecanismos que impidan accesos no autorizados y la interceptación o alternación de los datos intercambiados.

La interfaz de comunicaciones debe soportar protocolos de comunicación para la conexión de los TDV, los cuales deben garantizar la conectividad y seguridad (utilizar de guía los estándares IEEE 802 y 27001). Además, el Operador debe asegurar como mínimo lo siguiente:

-- Todas las comunicaciones críticas de datos deben fundamentarse en un protocolo, e incorporar un plan de detección de error y corrección para asegurar una precisión del 100% sobre los mensajes recibidos.

-- Todas las comunicaciones críticas de datos deben emplear un sistema de cifrado para preservar la seguridad de las comunicaciones.

-- La comunicación realizada dentro del sistema debe funcionar de acuerdo a lo indicado por el protocolo de comunicación implementado.

1.5.3. Pérdida de comunicación

Para el SCJ un TDV debe ser considerado como no disponible si las comunicaciones del servidor o parte del sistema del dispositivo de juego se han interrumpido. Por lo tanto, no se debe aceptar ninguna apuesta que no permita ser validada en línea con el SCJ mediante conexión directa al momento de realizarla. Además, todo registro realizado a posteriori debe ser inválido.

2. REQUISITOS TECNOLÓGICOS DEL SCJ.

2.1. Reloj del sistema

El reloj del sistema debe reflejar la hora actual en formato local de fecha y hora, el SCJ debe ser compatible con el reloj del sistema operativo y se debe sincronizar los relojes de los servidores y los TDV. Como referencia de la hora oficial, se tendrá en cuenta la suministrada por la Superintendencia de Industria y Comercio.

2.2. Base de datos del SCJ

Los servidores del SCJ deben contener una base de datos de producción del core del negocio, en donde debe quedar almacenada, en línea y en tiempo real, la información detallada de control, los resultados de los sorteos y las transacciones generadas por los TDV. El sistema de gestión de bases de datos debe cumplir con las funcionalidades necesarias para que sus transacciones tengan las características ACID (Atomicidad, Consistencia, Aislamiento, Durabilidad) o ACID Complaint. Para el repositorio de los datos, se debe contar con un sistema manejador de base de datos, capaz de realizar automáticamente planes de mantenimiento y backups, logs de las transacciones, así como el control de acceso a las tablas y niveles de privilegios. La base de datos debe tener los respaldos necesarios para garantizar su correcto funcionamiento. La información y sus datos históricos deben estar disponibles a solicitud de Coljuegos.

En caso que el SCJ opere con un sistema de archivos no estructurados, debe generarse una base de datos donde quede almacenada en línea y en tiempo real el detalle de toda la información de control, los resultados de los sorteos y las transacciones generadas por los TDV. El Operador debe certificar que toda transacción registrada en los archivos no estructurados quede copiada en línea a la base de datos; así como disponer de un herramienta software que permita extraer información del servidor de archivos no estructurados de origen y validarla contra los archivos en la base de datos y contra la información enviada al Subsistema de Coljuegos, esta base de datos debe funcionar como un repositorio de los datos, y por lo tanto debe contar con un sistema manejador de base de datos, capaz de realizar automáticamente planes de mantenimiento y backups, logs de las transacciones, control de acceso a las tablas y niveles de privilegios. La información y sus datos históricos deben estar disponibles a solicitud de Coljuegos y/o el interventor designado.

2.2.1. acceso a la base de datos

El SCJ contará con mecanismos de verificación y control, que permitan la auditoría continua del sistema, evitando la modificación directa o indirecta de la base de datos. Todo el personal autorizado (usuarios) a operar el SCJ, mantendrá un control permanente de acceso seguro al sistema.

Coljuegos debe tener acceso local con el propósito de permitirle acceder a la información de control correspondiente a las apuestas y registros de auditoría, como mínimo debe permitirle extraer datos de muestra del servidor de bases de datos con el objetivo de poder realizar auditoría sobre los enviados y registrados en Coljuegos. El acceso a los datos almacenados en el SCJ debe ser seguro, sin poner en riesgo el sistema y por consiguiente las ventas del juego.

2.2.2. Información almacenada en la base de datos

El SCJ en el servidor o servidores deben almacenar una base de datos que como mínimo debe contener:

Información Administrativa. Se refiere a la información correspondiente al Operador del SCJ y a la información de identificación del TDV. Esta información debe estar almacenada en una o más bases de datos del Operador de donde se extraerá cuando sea solicitada por Coljuegos.

Además, debe incluir como mínimo:

a) Información del Operador:

-- NIT del Operador.

-- Número de contrato otorgado por Coljuegos.

-- Fecha de inicio del contrato.

-- Fecha final del contrato.

b) Información del punto de venta:

-- Código del punto de venta.

-- Identificación única del TDV.

-- Nombre fabricante o marca.

-- Serial.

-- Modelo.

-- Fecha de fabricación.

-- Nombre.

-- Dirección.

-- Municipio (Código DANE).

c) Información de TDV móvil:

-- Identificación única del TDV móvil.

-- Nombre fabricante o marca.

-- Serial.

-- Modelo.

-- Fecha de fabricación.

Información de Control. Se refiere a los eventos significativos que se generan desde un TDV y se envían al SCJ. Cada evento debe ser almacenado en una o más bases de datos del Operador de donde se extraerá cuando sea solicitado por Coljuegos. Además, debe incluir como mínimo la siguiente información:

-- La fecha y hora en que ocurrió la incidencia.

-- La identificación del TDV que generó la incidencia.

-- Un número/código exclusivo que defina la incidencia.

-- Un texto breve que describa la incidencia.

-- Cualquier otra información que se acuerde con Coljuegos.

Información de Transacciones. Se refiere a las apuestas realizadas y pagadas desde un TDV y se envían al SCJ. Cada evento debe ser almacenado en una o más bases de datos del Operador de donde se extraerá cuando sea solicitado por Coljuegos. La información de las apuestas en el SCJ debe permitir identificarlas. La siguiente es la información de las transacciones que debe ser transmitidas en línea y tiempo real por el TDV al SCJ en pesos colombianos:

-- Información de cada apuesta realizada (entradas), acumulación del valor total de todas las apuestas realizadas por ubicación geográfica (municipio). El SCJ mantendrá la información proporcionada por los TDV, de las apuestas realizadas, de las tablas de pago y el porcentaje de retorno de cada sorteo.

-- Apuestas ganadoras (salidas), acumulación del valor total de todos los montos pagados por apuestas ganadoras para cada sorteo, y por ubicación geográfica (municipio).

-- Sorteos realizados: El SCJ debe tener contadores que acumulen el número de sorteos realizados.

Información de auditoría. Se refiere a los registros de los eventos de auditoría propios del SCJ, que al momento de haber ocurrido el juego, debe tener almacenados en una o más bases de datos con información referente a las apuestas, resultados de los sorteos y pagos de premios. Además, deben incluir como mínimo los siguientes datos:

-- Registros en una tabla de la base de datos de la fecha, hora y tramas transmitidas diariamente hacia Coljuegos.

-- Registros de cualquier intento de modificación o alteración de la información en la base de datos.

-- Registros de las operaciones realizadas en las bases de datos, para lo cual se requerirá de un motor de bases de datos que permita realizar dicha operación automáticamente.

2.3. Estaciones de trabajo del SCJ

El SCJ contará con un terminal o estación de trabajo que facilite a las personas autorizadas (usuarios) el acceso al sistema en el cual se deben encontrar definidos diferentes niveles de acceso para cada usuario.

El SCJ contará a su vez con una estación de trabajo que permita el acceso al aplicativo desde el cual se realizan las labores de auditoría y seguridad en la información registrada en la base de datos. El software de administración y configuración del SCJ no debe permitir acceso a usuarios no registrados (utilizar como guía los estándares ISO 17799 y 27001).

3. REQUISITOS DE SEGURIDAD.

El Operador debe garantizar las condiciones de seguridad física y lógica de toda la plataforma tecnológica que soporta el SCJ, de forma que se asegure la integridad del juego y de la información almacenada. Como mínimo el centro de cómputo donde esté ubicado el SCJ debe ser nivel TIER III (disponibilidad garantizada de 99.982%), y estar situado en territorio colombiano.

La plataforma tecnológica que soporta el sistema debe cumplir mínimo con los siguientes requisitos de seguridad (utilizar como guía el estándar de ISO 27001):

-- La transmisión de la información se debe realizar utilizando un sistema que garantice la privacidad de los datos que son transportados dentro de la red.

-- Debe contener un módulo de auditoría.

-- Se debe garantizar la efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la información que fluye entre el SCJ y las TDV.

-- La información de los eventos: de control, de resultados y de apuestas almacenada en el SCJ debe conservarse en las bases de datos o en respaldos históricos durante la vigencia del contrato más dos (2) años.

-- Cumplir como mínimo con el estándar de seguridad “C2” del NCSC (National Computer Security Center), el cual contiene las políticas de seguridad de acceso para los sistemas operacionales.

-- El SCJ no permitirá modificar la información que se obtenga desde el TDV, y debe notificar al administrador del sistema y bloquear al usuario tras un número fijo de intentos de ingreso frustrados.

-- El SCJ debe ser diseñado para proteger la integridad de los datos importantes en la eventualidad de una falla.

-- Los registros de auditoría, base de datos del sistema, y cualquier otro dato importante deben ser almacenados utilizando métodos de protección razonables.

-- Cumplir con condiciones de seguridad tanto física como lógica que impidan accesos no autorizados al software y a las bases de datos.

-- Proteger las claves de acceso a los sistemas de información, bases de datos y sistemas operativos. En desarrollo de esta obligación, el Operador debe evitar el uso de claves compartidas, genéricas o para grupos. La identificación y autenticación en los dispositivos y sistemas de cómputo de los establecimientos autorizados debe ser única y personalizada.

-- Si se utilizan discos duros como medio de almacenamiento, se debe asegurar la integridad de los datos en el evento de una falla del disco. Los métodos aceptables incluirán, pero no estarán limitados a, múltiples discos duros en una configuración aceptable RAID, o réplica/duplicado de datos entre dos o más discos duros, el método utilizado debe proporcionar también un soporte abierto para copias de seguridad y restablecimiento.

-- La implementación del esquema de copia de seguridad debe ocurrir al menos una vez todos los días.

-- Manejo y seguridad de los medios de almacenamiento.

-- Requisitos para la Recuperación. En el evento de una falla catastrófica, cuando el SCJ no pueda ser reiniciado de ninguna otra forma, debe ser posible volver a cargar la base de datos desde el último punto de copia de seguridad viable, y recuperar totalmente los contenidos de esa copia de seguridad; se recomienda que consista de al menos la siguiente información:

-- Eventos significantes

-- Información de auditoría

-- Información del sitio específico como la configuración del juego, cuentas de seguridad, etc.

-- Contar con un sistema de certificación de origen de datos que garantice que el emisor de la información solicitada por Coljuegos es válido y autorizado para enviar información.

3.1. Acceso a la configuración del juego

El software de administración y configuración del SCJ no debe permitir acceso a usuarios no registrados (se utiliza como guía los estándares ISO 17799 y 27001).

Protección Contra Intrusiones. Todos los servidores tendrán la suficiente protección física/lógica contra accesos no autorizados. Idealmente, el sistema requerirá proveer el acceso en conjunto pero no separados de Coljuegos y el fabricante.

Requisitos del Acceso a la Configuración. El menú de configuración/instalación del SCJ no debe estar disponible por personal no autorizado y debe utilizar un método de acceso.

Programación del Servidor. No debe haber medios disponibles para que un Operador lleve a cabo una programación en el servidor que permita modificar la base de datos de resultados de los eventos y las transacciones generadas en los TDV.

Protección contra Virus. Todos los servidores, TDV y dispositivos del SCJ deben contar con una protección contra virus adecuada donde se aplique.

Protección contra Copias. Se puede disponer de una protección contra copias, para prevenir la proliferación no autorizada o modificación del software, para servidores o TDV. Su implementación debe incluir:

-- Documentación total del método

-- Posibilidad de verificación individual de cualquier dispositivo envuelto en hacer cumplir la protección contra copias.

3.2. Control de acceso

El SCJ debe contar o con una estructura jerárquica de personificación por la cual el nombre del usuario y la contraseña definen el acceso a los programas y a las opciones, en particular de menús, o bien admitirá el acceso a programas y dispositivos de forma segura, basándose estrictamente en el nombre del usuario y contraseña. Se puede fortalecer la seguridad del acceso remoto, por medio de un elemento de soporte físico (hardware) y una firma digital que autentique y garantice el acceso autorizado. El SCJ no debe permitir ninguna alteración del registro de información significativa que haya sido comunicada desde el TDV. Además, debe existir la funcionalidad para notificar al administrador o generar el registro de auditoría correspondiente, cuando ocurra un número determinado de intentos de entradas de acceso fracasadas y bloqueo de usuario.

Asimismo, debe cumplir mínimo con las siguientes condiciones:

-- El Operador debe establecer un protocolo de acceso físico y lógico a sus sistemas técnicos de juego en el que se recojan los procedimientos para su control, la relación de las personas que dispongan de autorización para el acceso, así como las operaciones que pueden realizar en los sistemas.

-- El registro de acceso al SCJ y su réplica debe ser conservado por el Operador durante, al menos, dos (2) años.

-- El SCJ y su réplica deben ser accesibles únicamente por las personas expresamente designadas por el Operador a estos efectos, y en el marco de una inspección, por el personal de Coljuegos.

-- El Operador debe establecer las medidas de seguridad físicas y lógicas que aseguren el control del acceso a los sistemas técnicos, que impidan el acceso y permitan la detección de cualquier persona no autorizada.

-- El Operador debe realizar, mínimo una vez al año, pruebas de vulnerabilidad a los diferentes sistemas y plataformas de información utilizada para la operación del juego.

-- Inclusión del concepto de seguridad en la definición de roles y perfiles del personal.

-- Gestión, control y seguimiento del acceso a usuarios del sistema.

-- Control y seguimiento de acceso a redes, sistema operativo y aplicaciones.

-- Seguridad en el desarrollo y mantenimiento de los sistemas.

3.3. Seguridad en el sistema de comunicación

Todas las comunicaciones al SCJ, incluido el acceso remoto, deben pasar a través de por lo menos un cortafuego (firewall) a nivel aplicación (application-level) aprobado y no tendrá la facilidad de permitir una ruta de red alterna. Si existe una ruta de red alterna para propósitos de redundancia, esta también debe pasar a través de por lo menos un cortafuego (firewall) a nivel aplicación (application-level).

Esta aplicación de cortafuegos (firewall) debe mantener un registro de auditoría de la siguiente información, y debe desactivar todas las comunicaciones y generar un evento de error si el registro de auditoría se llena en su totalidad:

-- Todos los cambios de configuración del cortafuego (firewall).

-- Todos los intentos de conexión exitosos o fallidos hechos a través del cortafuego (firewall).

-- Direcciones IP de la fuente y destino, y número de puerto.

3.4. Seguridad en el acceso remoto

El acceso remoto es definido como cualquier acceso al SCJ desde afuera del sistema de red confiable. El acceso al SCJ en forma remota debe cumplir con las mínimas condiciones de seguridad exigidas, como lo son el uso de firewall lógicos o físicos, VPN, usuario y contraseña (utilizar como guía el estándar ISO 27001). Para el caso de acceso remoto seguro por internet, este debe ser seguro, fiable y apropiado a sus aplicaciones, utilizando para ello la encriptación SSL estándar y la tecnología de navegación web para solucionar los problemas de acceso sin tener requisitos de entorno del usuario. De los accesos al SCJ se debe registrar la información que permita posteriormente realizar un seguimiento de un evento ocurrido. El acceso remoto debe cumplir con siguientes requisitos:

-- Generar el registro de la actividad de los usuarios por acceso remoto, que describa el nombre del usuario, la fecha y hora, duración y la actividad desarrollada durante el acceso.

-- No se deben permitir funcionalidades administrativas por usuarios remotos sin autorización (por ejemplo, agregando usuarios, cambiando permisos, etc.).

-- No se debe permitir el acceso a la base de datos sin autorización.

-- No se deben permitir el acceso al sistema operativo sin autorización.

-- Si la base de datos del acceso remoto es constante, se debe instalar un filtro de red (firewall) o un sistema diseñado para prevenir el acceso de usuarios no autorizados y proteger la información de ataques externos.

Auditoría de Acceso Remoto. El sistema central debe mantener un registro de actividad ya sea automáticamente, o permitiendo el ingreso manual de dicho registro, describiendo toda información de acceso remoto que incluya:

-- Nombre de acceso.

-- Tiempo y fecha de cuando la conexión fue realizada.

-- Duración de la conexión.

-- Actividad mientras está registrado, incluyendo el acceso a áreas específicas y cambios que fueron realizados.

NOTA: Se reconoce que el fabricante del SCJ podrá acceder de forma remota al sistema y a sus componentes asociados con el propósito de soportar la solución. Sin embargo, este acceso debe ser autorizado y por un medio seguro.

3.5. Alteración de datos

El SCJ no permitirá la alteración de la información de control, ni de transacciones transmitidos desde los TDV. Si por alguna razón se modifica esta información, se debe generar un registro automático de auditoría con la siguiente información:

-- Dato alterado.

-- Valor del dato previo a la alteración.

-- Valor del dato después de la alteración.

-- Hora y fecha de la alteración.

-- Usuario que realizó la alteración (usuario activo en el SCJ).

3.6. Control del sistema central del juego y de su réplica

Los siguientes componentes del SCJ, y su sistema de respaldo en un centro de cómputo alterno, deben estar ubicados en territorio colombiano:

-- Software central de validación de apuestas.

-- Software y hardware de almacenamiento.

-- Software de Gestión.

El Sistema Central del Juego en sus diferentes componentes, así como su réplica, incorporarán conexiones informáticas seguras, que permitan realizar un control y seguimiento, en tiempo real si así se requiriera, de la actividad de juego llevada a cabo, de la venta de tiquetes y premios otorgados, todo ello sin perjuicio de la posibilidad de realizar inspecciones presenciales.

Corresponde al Operador el mantenimiento de una línea segura que permita el acceso de Coljuegos al SCJ y a su réplica. Coljuegos determinará los requisitos técnicos que hayan de reunir las líneas de acceso.

3.7. Copias de respaldo y recuperación

El operador debe garantizar la existencia de copias redundantes de cada archivo de registro o base de datos del sistema o ambos en el SCJ con soporte abierto para las copias de seguridad y recuperación (se refiere al estándar ISO 27001).

3.8. Requisitos para la recuperación

En caso de un fallo del SCJ, el sistema debe tener la capacidad de recargarse desde las copias de seguridad, recuperando plenamente los contenidos en un plazo no mayor a veinte cuatro (24) horas. Se recomienda que se incluya como mínimo la siguiente información:

-- Información de auditoría.

-- Información administrativa.

-- Información de control.

-- Información financiera (ventas y pagos).

El SCJ no debe permitir la modificación o alteración de ninguna información de control o contadores que haya sido comunicado desde el TDV, conservando la trazabilidad de cualquier intento de modificación o alteración en los registros del SCJ (utilizar como guía el estándar ISO 27001).

3.9. Registro, trazabilidad de las operaciones de juego y la base de datos

-- El SCJ debe garantizar la trazabilidad y el registro de la totalidad de las operaciones de juego y de las transacciones económicas que se realicen, permitiendo la reconstrucción fiel de los sorteos y las transacciones realizadas: apuestas realizadas, ganadoras, pagadas, no pagadas y anuladas.

-- El SCJ realizará la captura, registro y conservación de las transacciones.

-- Todos los elementos del SCJ deben estar protegidos física y lógicamente e impedir cualquier acceso no autorizado.

-- El Operador también debe incluir en la base de datos segura:

-Los datos de control mínimos establecidos por Coljuegos.

-Un registro de incidencias que incluya al menos las interrupciones del servicio o inhabilitación de juegos.

-Cualesquiera otros datos requeridos por Coljuegos de forma general o individual en un procedimiento de control.

-- La base de datos segura y los registros del Operador deben conservarse por un período mínimo de la vigencia del contrato más dos (2) años adicionales, debiéndose establecer los sistemas de protección y respaldo que aseguren su integridad y seguridad durante ese plazo, así como su recuperación íntegra ante eventualidades.

3.10. Continuidad de la actividad de juego

El Operador debe diseñar e implementar un DRP (Disaster Recovery Plan) cuyos protocolos deben ser seguidos en caso de falla de la plataforma tecnológica y por lo tanto del SCJ con el objetivo de recuperar el sistema mediante los planes de contingencia establecidos en un plazo no mayor de 24 horas. Este DRP debe incluir un centro de cómputo alterno de respaldo del sistema primario que permita garantizar la continuidad de la operación del juego. La recuperación de la data debe estar garantizada. El operador debe presentar a Coljuegos para su aprobación tanto el DRP como los resultados de las pruebas regulares realizadas sobre este el mismo.

Adicionalmente, el Operador debe disponer de un plan de contingencia tecnológica que cumpla con lo siguiente:

-- Contemplar las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad del servicio. El Operador debe informar adecuadamente sobre sus políticas en relación con las interrupciones del servicio y la forma en que los clientes pueden verse afectados. El Operador debe adoptar las medidas necesarias para garantizar que sus clientes reciban un trato justo en caso de interrupción del juego o la realización de apuestas.

-- Garantizar que, en ningún caso, se pierdan datos o transacciones que afecten o puedan llegar a afectar al desarrollo de los juegos, a los derechos de los participantes, o al interés público.

-- Coljuegos evaluará el plan de contingencia tecnológica y, en su caso, requerirá al Operador la adopción de las medidas adicionales que considere precisas para asegurar la continuidad de las actividades de juego.

-- El Operador debe realizar por lo menos un simulacro al año de este plan de contingencia tecnológica para lo cual debe invitar a Coljuegos y/o al interventor.

4. ASPECTOS ADMINISTRATIVOS.

Asegurar la puesta en funcionamiento de la totalidad del Sistema de Juego Super Astro, para lo cual es necesario que se tengan implementados por lo menos los siguientes procesos, los cuales corresponden a las mejores prácticas de administración de sistemas (se utiliza como guía el estándar ISO 9001):

-- Administración de niveles y continuidad del servicio

-- Administración de los servicios de terceros

-- Administración del desempeño y capacidad

-- Administración de la seguridad de los sistemas

-- Educación y entrenamiento a los usuarios

-- Administración de la configuración

-- Administración de los problemas

-- Administración de los datos

-- Administración del ambiente físico

-- Administración de las operaciones

-- Procedimientos a seguir cuando se evidencia alteración o manipulación de las máquinas o información.

5. CERTIFICACIÓN.

El Operador seleccionado debe someter su SCJ ante un laboratorio certificador avalado por Coljuegos para que este realice las pruebas necesarias, y le otorgue una certificación en idioma español del cumplimiento de los Requerimientos Técnicos indicados en el presente documento. Dicha certificación debe ser enviada por parte del laboratorio a Coljuegos.

Dicho laboratorio debe realizar ensayos de seguridad, cumplimiento y funcionalidad, basados en los requisitos indicados en el presente documento y cualesquiera otros requisitos técnicos desarrollados de acuerdo con las funcionalidades y especificaciones del producto del operador autorizado, con la finalidad de garantizar la integridad y transparencia de la operación de los equipos y software que son parte de la solución tecnológica.

Los ensayos al SCJ de Super Astro pueden ser efectuados en las instalaciones del laboratorio o en las instalaciones del proveedor del sistema. El laboratorio debe realizar las pruebas al sistema en conjunto con los TDV con el equipo ensamblado, y también en campo donde la instalación y comunicación será probada antes de su implementación.

El Operador también será objeto de inspecciones anuales de campo y cualquier otro tipo de procedimientos de auditoría y fiscalización que Coljuegos requiera realizar para garantizar la transparencia e integridad en la operación del juego.

Cualquier adición de juegos, modificación o actualización de los ya existentes que implique algún cambio en el sistema original, deberá ser sometida a un proceso de control de calidad y validación por parte del ente certificador previo a su puesta en producción. En todo caso, los costos asociados a la certificación estarán a cargo del Operador.

6. ESPECIFICACIONES TÉCNICAS PARA ENVÍO DE INFORMACIÓN A COLJUEGOS.

A continuación se describe la información que debe enviar el Operador a Coljuegos, en cumplimiento de las obligaciones establecidas en el contrato de concesión para operar este juego novedoso. Las especificaciones de este documento serán modificadas por Coljuegos en caso que la Entidad considere necesario, e informadas oportunamente al Operador para que este garantice su aplicación.

6.1. Condiciones generales

-- El Operador debe enviar en tiempo real la información de cada una de las transacciones generadas durante la operación del juego, la cual será recibida por el sistema de Coljuegos destinado al escrutinio de Super Astro.

-- Toda transacción, generada sobre las diferentes tablas de la base de datos del Sistema Central del Juego, debe ser replicada en línea sobre la base de datos ubicada en el sistema de Coljuegos con el objetivo de garantizar la integridad de la misma y permitir el control para la Entidad.

-- El Operador debe entregar en medio físico y magnético a Coljuegos, los siguientes documentos al inicio del proyecto, y cada vez que sean modificados:

-- Diccionario de datos de todas las tablas que componen la estructura de la base de datos.

-- Diagrama entidad-relación.

-- Toda la documentación relacionada con los objetos de la base de datos.

6.2. Especificaciones de archivos de información

A continuación se describe la información mínima que el Operador debe replicar a Coljuegos y que debe incluir en la base de datos del SCJ. Le corresponde al Operador especificar la estructura de las tablas para la réplica de información a Coljuegos, conforme a las condiciones generales indicadas en el numeral anterior.

6.2.1. Identificación del terminal de venta

IDENTIFICACIÓN TERMINAL DE VENTA

Dato	Lista de Valores
Tipo Terminal de Venta	Lista de tipos de terminal de venta: – Fijo – Móvil
Identificación Única Terminal de Venta	Identificación del terminal en el sistema cuando sea fijo o móvil
Latitud Terminal de Venta (N)	Georreferenciación latitud. Si es tipo móvil se registra ubicación del operario.
Longitud Terminal de Venta (W)	Georreferenciación longitud. Si es tipo móvil se registra ubicación del operario.
Cod DANE Terminal de Venta	A nivel de departamento y municipio
Operario Terminal de Venta - Código vendedor	Identificación de persona que maniobra el terminal de venta.
Código Punto de Venta	Código del punto de venta donde se encuentra el terminal de venta. Si es móvil se registra el punto de venta al cual está asociado.
Nombre Punto de Venta	Nombre comercial del punto de venta al cual está asociado el terminal de venta.
Nit Proveedor o Concesionario	Incluye dígito de verificación quien incluye la venta.
Dirección Punto de Venta
Barrio o Localidad Punto de Venta

6.2.2. Información del tiquete de apuesta (venta)

INFORMACIÓN TIQUETE DE APUESTA

Dato	Lista de Valores
Número Tiquete	Número consecutivo por tiquete expedido
Identificación Única Terminal de Venta	Identificación del terminal de venta en el Sistema Central de Juegos
Cod DANE Terminal de Venta	A nivel de departamento y municipio
Número Sorteo	Número consecutivo por sorteo realizado
Tipo Sorteo	Lista de tipos de sorteo: Sorteo 1 – primer sorteo del día Sorteo 2 – segundo sorteo del día Sorteo 3 – tercer sorteo del día El Operador debe informar previamente a Coljuegos los horarios en que realizará los tres (3) sorteos diarios de lunes a sábado, y los domingos y festivos un único sorteo.
Fecha y Hora Cierre Apuestas	Fecha y hora cuando el Sistema Central del Juego deja de registrar apuestas. Debe ser 15 minutos antes de la hora definida por el Operador para la realización del sorteo.
Fecha Venta Tiquete
Hora Venta Tiquete
Valor Total Apuesta (con IVA)	Mínimo $500 y máximo $10.000 IVA incluido.
Valor IVA Total Apuesta
Valor Apuesta Individual	Mínimo $500 IVA incluido.
Pronóstico Apuesta Individual 1	Combinación de cuatro números enteros, entre el 0000 y el 9999, y un signo zodiacal.
Pronóstico Apuesta Individual n	Combinación de cuatro números enteros, entre el 0000 y el 9999, y un signo zodiacal.
Estado Tiquete	Lista de Estado de Tiquete: – V: Válido – A: Anulado

6.2.3. Información del tiquete ganador de apuesta (pagos)

INFORMACIÓN TIQUETE GANADOR DE APUESTA (PAGOS)

Dato	Lista de Valores
Número Tiquete	Número consecutivo por tiquete expedido
Identificación Única Terminal de Venta	Identificación del terminal de venta en el Sistema Central de Juegos donde se pagó el tiquete
Cod DANE Terminal de Venta	A nivel de departamento y municipio
Número Sorteo	Número consecutivo por sorteo realizado
Tipo Sorteo	Lista de tipos de sorteo: Sorteo 1 – primer sorteo del día Sorteo 2 – segundo sorteo del día Sorteo 3 – tercer sorteo del día El Operador debe informar previamente a Coljuegos los horarios en que realizará los tres (3) sorteos diarios de lunes a sábado, y los domingos y festivos un único sorteo.
Fecha Pago del Tiquete
Hora Pago del Tiquete
Valor Total Apuesta (con IVA)	Mínimo $500 y máximo $10.000 IVA incluido.
Valor IVA Total Apuesta
Valor Apuesta Individual	Mínimo $500 IVA incluido.

6.2.4. Información de los sorteos

INFORMACIÓN SORTEO

Dato	Lista de Valores
Número Sorteo	Número consecutivo por sorteo realizado
Tipo Sorteo	Lista de tipos de sorteo: Sorteo 1 – primer sorteo del día Sorteo 2 – segundo sorteo del día Sorteo 3 – tercer sorteo del día El Operador debe informar previamente a Coljuegos los horarios en que realizará los tres (3) sorteos diarios de lunes a sábado, y los domingos y festivos un único sorteo.
Fecha y Hora Cierre Apuestas	Fecha y hora cuando el Sistema Central del Juego deja de registrar apuestas. Debe ser 15 minutos antes de la hora definida por el Operador para la realización del sorteo.
Fecha y Hora del Sorteo
Combinación Ganadora	Combinación de cuatro números enteros, entre el 0000 y el 9999, y un signo zodiacal.

6.2.5. Resultados del juego por sorteo

El operador de Super Astro debe garantizar que se encuentre la información necesaria en la Base de Datos para generar, con periodicidad diaria y mensual, el siguiente reporte:

RESULTADOS TOTALES POR SORTEO

Dato	Lista de Valores
Número Sorteo	Número consecutivo por sorteo realizado
Tipo Sorteo	Lista de tipos de sorteo: Sorteo 1 – primer sorteo del día Sorteo 2 – segundo sorteo del día Sorteo 3 – tercer sorteo del día El Operador debe informar previamente a Coljuegos los horarios en que realizará los tres (3) sorteos diarios de lunes a sábado, y los domingos y festivos un único sorteo.
Número Tiquetes Válidos
Número Tiquetes Anulados
Cantidad Ganadores Premio Mayor
Cantidad Ganadores Premio Medio
Cantidad Ganadores Premio Menor
Total Premio Ganadores Premio Mayor	Valor bruto del premio, sin retenciones
Total Premio Ganadores Premio Medio	Valor bruto del premio, sin retenciones
Total Premio Ganadores Premio Menor	Valor bruto del premio, sin retenciones

6.2.6. Reporte de ingresos brutos por terminal de venta

El operador de Super Astro debe garantizar que se encuentre la información necesaria en la Base de Datos para generar, con periodicidad diaria y mensual, el siguiente reporte:

INGRESOS TERMINAL DE VENTA

Dato	Lista de Valores
Identificación Única Terminal de Venta	Identificación del terminal en el Sistema Central del Juego
Código Punto de Venta
Ventas Totales sin IVA Sorteo 1	Valor bruto de apuestas recaudadas en primer sorteo del día
Valor Total Premios Pagados Sorteo 1	Valor bruto de premios pagados sin retenciones primer sorteo del día
Cantidad Premios Pagados Sorteo 1	Total número de premios pagados en primer sorteo del día
Ventas Totales sin IVA Sorteo 2	Valor bruto de apuestas recaudadas en segundo sorteo del día
Valor Total Premios Pagados Sorteo 2	Valor bruto de premios pagados sin retenciones segundo sorteo del día
Cantidad Premios Pagados Sorteo 2	Total número de premios pagados segundo sorteo del día
Ventas Totales sin IVA Sorteo 3	Valor bruto de apuestas recaudadas en tercer sorteo del día
Valor Total Premios Pagados Sorteo 3	Valor bruto de premios pagados sin retenciones tercer sorteo del día
Cantidad Premios Pagados Sorteo 3	Total número de premios pagados tercer sorteo del día

6.2.7. Reporte de premios por tiquete

El operador de Super Astro debe garantizar que se encuentre la información necesaria en la Base de Datos para generar, con periodicidad diaria y mensual, el siguiente reporte:

REPORTE PREMIOS POR TIQUETE

Dato	Lista de Valores
Número Sorteo	Número consecutivo por sorteo realizado
Tipo Sorteo	Lista de tipos de sorteo: 01 – primer sorteo del día 02 – segundo sorteo del día 03 – tercer sorteo del día El Operador debe informar previamente a Coljuegos los horarios en que realizará los tres (3) sorteos diarios de lunes a sábado, y los domingos y festivos un único sorteo.
Número Tiquete	Número consecutivo por tiquete expedido

Fecha Venta de Tiquete

Categoría Ganadora	Lista de valores categoría ganadora: – Premio mayor – Premio medio – Premio menor
Valor Premio Bruto	Valor del premio
Estado Premio	Lista de valores estado de premio: – Pagado – Por pagar

Fecha Pago Premio

7. MODIFICACIONES.

La determinación de los requisitos y condiciones, por su característica fundamentalmente tecnológica, pueden estar sujetas a cambios como consecuencia del desarrollo de la tecnología. Para la elaboración de este documento, se tuvo en cuenta la información en materia de normas, estándares y reglamentaciones técnicas internacionales, por tanto, en caso que alguna de estas normas quedara en desuso, el Operador debe utilizar cualquier otra que la reemplace.

Los nuevos desarrollos en la tecnología implementada y los requerimientos adicionales que el Operador solicite a los fabricantes deben ser compatibles con los requisitos mínimos contemplados en este documento.

El operador podrá proponer, para aprobación de Coljuegos e información a la Junta Directiva de la Entidad, mejoras a los requerimientos técnicos para la operación del juego, con observancia de los siguientes aspectos:

1. Se conserven las características del juego descritas en el reglamento del juego.

2. Se garantice que se mantienen las condiciones mínimas establecidas en el presente documento, sin poner en riesgo la seguridad técnica y operativa del juego.