库拉索博彩局重磅出击:网络安全新规全面升级
库拉索博彩局(CGA)近日发布了首份正式的《信息安全控制要求》文件,并启动了公众咨询程序。这份长达62页的框架文件,为所有获得CGA许可的运营商,无论是B2C还是B2B,设定了全面的网络安全基线,未来将成为牌照强制性条件。该文件于2026年4月根据《博彩法》(LOK)和《库拉索赌场法》(LCC)发布,标志着CGA在现代化监管标准方面迈出了重要一步。行业利益相关者可在2026年6月18日前向onlinegaming@cga.cw提交反馈意见。
强制基线与分级目标:CGA的野心不止于此
该框架采纳了互联网安全中心(CIS)控制实施组1(IG1)作为其可执行基线。IG1是一套针对技术资源有限组织的基本网络卫生实践。但CGA明确指出,IG1只是最低要求,而非上限。文件概述了三级渐进式目标:
- IG1:强制性基础。
- IG2:建议在24至36个月内达到的目标。
- IG3:针对拥有成熟安全运营的大型企业的战略目标。
CGA明确表示,考虑到行业面临敏感玩家数据、金融系统和高威胁向量的风险,IG2被视为该行业大多数运营商的适当网络安全目标。
合规期限与审查机制
所有持牌运营商将有12个月的时间(自牌照颁发或指南发布之日起)来证明其符合IG1标准。合规性将通过以下方式进行验证:
- 年度自我评估。
- 在线运营商强制性的第三方审计。
- CGA持续的监控。
核心控制要求:滴水不漏的监管细节
这些控制措施涵盖了20个领域,覆盖了博彩业务的整个运营生命周期。主要义务包括:
- 至少每年两次审查硬件和软件资产清单。
- 在所有系统上应用安全配置并禁用默认账户。
- 对所有面向互联网的应用程序、远程访问和管理功能强制实施多因素认证。
- 至少每月运行漏洞扫描。
针对博彩行业的审计日志要求尤其详细,运营商必须捕获游戏和投注交易、大奖事件、现金和信用流转,以及所有管理系统更改,并将其存储在防篡改、集中管理的存储库中。
紧急事件响应:24小时内必须上报
框架还强制要求建立结构化的事件响应机制,包括对影响游戏完整性、玩家资金、个人数据或系统可用性的事件,必须在24小时内通知CGA。未能通知将被视为违反牌照条件。
B2B供应商责任明确:供应链无死角监管
该框架一个更具影响力的方面是,它明确适用于B2B游戏技术提供商,将其视为主要持牌方,而不仅仅是B2C运营商合规文件中提及的实体。CGA明确指出,供应链的两端都承担直接的监管责任。文件引入了一个涵盖游戏和RNG认证、平台安全、玩家数据保护和事件通知的共享责任矩阵。
- B2B提供商必须持有并维护认证,并主动通知合作伙伴和CGA任何失效或范围变更。
- B2C运营商必须在入驻时和至少每年验证认证状态,在供应商合同中包含审计权利条款,并在B2B提供商认证被撤销时暂停受影响的游戏内容。
内容聚合商和体育数据源提供商也受到特别关注,要求提供经过认证和加密的数据通道、加密完整性验证、异常监控以及在无法确保数据源完整性时采取记录在案的暂停程序。
对标国际标准:ISO 27001深度整合
该框架在整个过程中都与ISO/IEC 27001:2022进行了映射,每个CIS要求都引用了附件A的控制参考。CGA表示,此举旨在允许运营商将这些控制措施直接整合到信息安全管理系统(ISMS)中,并根据需要争取ISO认证。没有直接ISO对应项的控制措施,例如每周未经授权资产检测和DNS过滤,则因其对小型或混合环境的实际风险降低价值而被保留。
违规后果严峻:CGA绝不手软
后果部分明确无误。不合规可能引发正式书面警告、合规命令、根据违规严重程度调整的行政罚款,以及临时或永久的牌照暂停。CGA还保留进行突击评估、部署远程扫描工具、自动化合规验证和现场检查的权利——特别是针对实体运营或发现高风险指标的情况。
行业洗牌在即:各方务必积极反馈
咨询期将持续到2026年6月18日。鉴于该框架将直接影响CGA生态系统中运营商的合规成本和供应商合同结构,预计B2C运营商和B2B平台提供商都将进行实质性参与。反馈意见可提交至onlinegaming@cga.cw。完整的咨询文件可在CGA官方网站上查阅。
