ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 1 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge TdS PER IL SOFTWARE “BACKOFFICE v. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 2 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge STATO DI REVISIONE REV. DATA MODIFICA Redaz Verifica Approv. 0 11/08/09 Prima Emissione Gardini S./ Calderoni W. Dal Pozzo T. Cabella G. 1 04/11/09 Seconda Emissione Gardini S./ Calderoni W. Dal Pozzo T. Cabella G. 2 25/01/10 Terza Emissione Gardini S./ Calderoni W. Dal Pozzo T. Cabella G. ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 3 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge Sommario TDS PER IL SOFTWARE “BACKOFFICE V. 5.0”...............................................................................................................................1 STATO DI REVISIONE ............................................................................................................................................................................2 1- ASE_INT.1 INTRODUZIONE..............................................................................................................................................4 1.1- RIFERIMENTO DEL TDS ......................................................................................................................................................4 1.2- RIFERIMENTO DELL’ODV ..................................................................................................................................................4 1.3- VISIONE DELL’ODV...........................................................................................................................................................4 1.4- DESCRIZIONE DELL’ODV...................................................................................................................................................7 2- ASE_CCL.1 DICHIARAZIONE DELLE CONFORMITÀ ...............................................................................................................11 3- ASE_OBJ.1 OBIETTIVI DELL’AMBIENTE OPERATIVO - I.........................................................................................11 4- ASE_OBJ.1 OBIETTIVI DELL’AMBIENTE OPERATIVO - II........................................................................................12 5- ASE_ECD.1 DEFINIZIONE DELLE COMPONENTI ESTESE .......................................................................................12 6- ASE_REQ.1 REQUISITI DI SICUREZZA........................................................................................................................12 6.1- REQUISITI FUNZIONALI (SFR) ........................................................................................................................................................12 6.2- REQUISITI DI GARANZIA (SAR) ......................................................................................................................................................24 6.3- RAZIONALE DEI REQUISITI DI SICUREZZA .......................................................................................................................................26 7- ASE_TSS.1 SPECIFICHE SOMMARIE............................................................................................................................26 8- ALLEGATI ..........................................................................................................................................................................27 9- DOCUMENTI UFFICIALI AAMS .....................................................................................................................................27 ALLEGATO 1...........................................................................................................................................................................................29 ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 4 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge 1- ASE_INT.1 Introduzione 1.1- Riferimento del TdS Questo Traguardo di Sicurezza (TdS) esplicita motivazioni, requisiti e prestazioni di sicurezza, pertinenti la procedura software denominata Backoffice v. 5.0, inclusa nella scheda di gioco J0E001 BLACK KILLER della società Electrosystem S.p.A. (ELSY). Identificazione del Traguardo di sicurezza Titolo: Traguardo di Sicurezza (TdS) per il software “Backoffice v. 5.0 ” incluso nella scheda di gioco ELSY J0E001 BLACK KILLER Versione: 5.0 Data: 25-1-2010 Revisione: Rev.2 1.2- Riferimento dell’ODV L’Oggetto della Valutazione (ODV) di questo TdS è la procedura software denominata Backoffice v. 5.0 integrata, come elemento chiaramente delimitato (Cfr. § 2 e sottoparagrafi dell’Allegato 1), nella scheda di gioco J0E001 BLACK KILLER, progettata e prodotta da ELSY. La ditta in questione è citata, nel seguito, come (il) Titolare (dell’ODV). Nel seguito il nome Backoffice è da intendersi come sinonimo di ODV. 1.3-Visione dell’ODV Nel seguito viene fornita una visione del contesto in cui è incluso Backoffice, con l’obiettivo di facilitare la messa a fuoco delle funzioni (applicative e di sicurezza) che l’ODV è chiamato a svolgere. Backoffice è incluso in una scheda di gioco. Esemplari di un medesimo tipo di scheda sono impiegati come componenti di controllo di apparecchi di gioco (Fig.1). Schede e apparecchi debbono essere conformi ai decreti emessi sull’argomento dall’Azienda Autonoma dei Monopoli di Stato (AAMS) (Cfr. § 9). Ogni esemplare di scheda è identico a un archetipo di partenza, salvo parametri software di configurazione impiegati per l’identificazione univoca dell’esemplare (tra le copie dell’ archetipo di partenza). ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 5 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge Ogni apparecchio di gioco:  è istallato presso locali, aperti al pubblico e di competenza di un esercente, frequentati da giocatori;  è gestito da un gestore che ne garantisce l’esercizio ordinario;  consente lo svolgimento di partite di giochi, conformi alle norme AAMS e di interesse per i giocatori;  è collegato a una rete telematica AAMS (Cfr. § 9), per il cui tramite uno specifico sistema informatico AAMS provvede a supervisionare i modi di funzionamento degli apparecchi di gioco. Ogni apparecchio offre ai giocatori la possibilità di svolgere partite di suoi giochi peculiari, implementati dalla scheda di gioco, che comunica con dispositivi (parti dell’apparecchio) di interazione giocatore – macchina. Ogni apparecchio di gioco (Fig.1) è dotato delle strumentazioni di visualizzazione e di intervento manuale pertinenti per lo svolgimento dei giochi implementati. Include anche:  un dispositivo di accettazione di monete, in cui il giocatore inserisce gli importi richiesti per le partite;  dispositivi di erogazione monete, impiegati per il pagamento al giocatore delle vincite delle partite;  un esemplare conforme di un archetipo di una scheda di gioco, che implementa le operatività funzionali dell’apparecchio;  la presa di corrente elettrica necessaria al funzionamento dell’apparecchio;  un cavo elettrico su cui hanno luogo le comunicazioni informatiche tra la scheda di gioco e la rete telematica AAMS. Dal punto di vista delle apparenze meccaniche, l’apparecchio di gioco è un telaio strutturato, inclusivo di sportelli e chiavistelli. Lo stato di apertura-chiusura dei vani è riportato sotto forma di segnalazioni informatiche sui connettori della scheda di gioco. Il tutto con l’obiettivo di disciplinare l’accesso alle parti interne dell’apparecchio, a garanzia di quanti hanno a che fare ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 6 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge con l’apparecchio e con le partite giocate sul medesimo. La custodia e l’impiego dei chiavistelli (metallici) è pertinenza delle parti coinvolte nell’impiego degli apparecchi di gioco (esercenti, gestori,…..). Differenti esemplari conformi di un medesimo tipo di scheda di gioco possono essere istallati su differenti tipologie di apparecchi di gioco, prodotti e distribuiti da soggetti industriali molteplici. Nella scheda di gioco risiedono i componenti informatici necessari al funzionamento dell’apparecchio di gioco. La scheda è costituita da unità fisiche interconnesse in cui sono oggetto di realizzazione:  le funzioni (logico-informatiche) di gioco, inclusive delle interazioni con i dispositivi di pagamento delle partite e di erogazione delle vincite,  le interfacce verso la rete telematica AAMS e verso un dispositivo di controllo AAMS,  l’alloggiamento del dispositivo di controllo AAMS di cui sopra,  il protocollo di comunicazione tra scheda di gioco e rete telematica e dispositivo di controllo AAMS. La scheda di gioco è fornita dal Titolare a produttori degli apparecchi di gioco. Ogni produttore l’installa in termini appropriati su un apparato di sua competenza, seguendo le direttive tecniche e progettuali esplicitate dal Titolare. La scheda di gioco è chiusa all’interno di un suo contenitore ermetico munito di:  sigilli ed etichette antieffrazione;  sensori e collegamenti elettrici in grado di comunicare alla scheda di gioco tentativi di manomissione e aperture del contenitore ermetico; così da fare attivare da parte della scheda un allarme acustico o luminoso in caso di apertura del contenitore medesimo;  aperture agibili per il solo collegamento alla rete telematica AAMS attraverso una interfaccia fisica seriale di tipo RS232;  aperture agibili solo per realizzare il collegamento elettrico e informatico della scheda di gioco con gli altri elementi fisici e funzionali dell’apparecchio di gioco. Non fanno parte della scheda di gioco i dispositivi inclusi nell’apparecchio di gioco su cui la scheda (inclusiva dell’alloggiamento meccanico in cui è rinchiusa) viene montata. I confini della scheda sono costituiti dai suoi connettori elettrici verso gli ulteriori dispositivi presenti nell’apparecchio di gioco e verso il dispositivo di controllo AAMS. Concorrentemente allo svolgimento degli algoritmi di elaborazione associati alle partite di gioco, la scheda implementa una mimica di interazione con il dispositivo di controllo AAMS e con la rete telematica AAMS. La mimica è articolata in flussi informatici bidirezionali tra la scheda da una parte, dispositivo di controllo AAMS e rete telematica AAMS dall’altra (Cfr. § 9). Lo scopo della rete telematica AAMS e del dispositivo di controllo AAMS è garantire ad AAMS meccanismi di supervisione e verifica sulle partite giocate sull’apparecchio di gioco, sui pagamenti effettuati dai giocatori, sull’erogazione delle vincite ai medesimi. Il tutto a salvaguardia dei diritti di legge riconosciuti ai giocatori, alle altre parti in causa, all’Erario della Repubblica Italiana. ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 7 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge Il dispositivo di controllo AAMS è fornito dall’AAMS, che risponde delle caratteristiche fisiche e funzionali del suo dispositivo, nonché dell’associata sicurezza, fisica e informatica. Simile discorso si ripete per la rete telematica AAMS, con cui la scheda di gioco comunica in tempo reale durante lo svolgimento delle partite. Con riferimento a quanto fino a qui esposto, l’ODV è costituito da una ben delimitata procedura software (Backoffice) inclusa nella scheda di gioco e dedicata al suo governo. I requisiti di sicurezza esplicitati in questo TdS sono rapportati solo a Backoffice. I confini funzionali dell’ODV nell’ambito del software della scheda di gioco sono riportati nel § 2 (e relativi sottoparagrafi) dell’Allegato 1, da considerare come parte integrante di questo TdS. Sintesi delle principali caratteristiche di sicurezza dall’ODV. Le caratteristiche di sicurezza dell’ODV sono dettagliate nel successivo paragrafo 1.4.6. In sintesi, l’ODV :  Esegue stringenti controlli sugli accessi degli addetti che intendono svolgere funzioni straordinarie (§ 1.4.6) di esercizio e manutenzione incluse nell’ODV.  Autentica gli addetti che vogliono accedere alle funzioni straordinarie dell’ODV.  Gestisce i ruoli di abilitazione dell’ODV.  Memorizza dati forniti dagli addetti, impiegati dalle funzionalità ordinarie (§ 1.4.6) e straordinarie dell’ODV. L’esecuzione delle funzionalità straordinarie è consentita a un addetto che si sia preventivamente autenticato con un’adeguata parola chiave, riscontrabile negli oggetti di sicurezza dell’ODV. Ciò mentre quelle ordinarie sono eseguibili da chiunque disponga di chiavistelli meccanici con cui accedere ai vani riservati dell’apparecchio di gioco. 1.4-Descrizione dell’ODV Nel seguito sono precisate le funzionalità dell’ODV. 1.4.1- Inquadramento di Backoffice Per utilizzare Backoffice è necessario premere uno specifico pulsante (TEST) mentre l’apparecchio è acceso e funzionante ma non in gioco. Il pulsante:  è situato all’interno dell’apparecchio, in un vano protetto da porta e chiavistelli metallici;  risulta accessibile al produttore dell’apparecchio durante la fase di assemblaggio o manutenzione;  è emulato sul banco di prova usato dal Titolare per la lavorazione delle sue schede. Backoffice consente di “navigare” tra alcune sue schermate, utilizzando i pulsanti dell’apparecchio di gioco. (Ovvero gli equivalenti elementi presenti nel banco di lavorazione del Titolare.) E’, inoltre, possibile avviare funzioni mostrate a video grazie a bottoni software presenti sulle schermate (Cfr. § 3,6,7,8 dell’Allegato 1 ). ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 8 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge 1.4.2- Categorizzazione dei privilegi di accesso Nella logica di Backoffice si fa riferimento alle seguenti categorie di responsabilizzazione, coinvolte nell’esercizio e nella manutenzione/governo degli apparecchi di gioco. Produttore E’ il soggetto industriale che appronta l’apparecchio completo. Deve:  assegnare a ogni apparecchio il relativo codice identificativo, rilasciato da AAMS;  provvedere al servizio tecnico necessario alle manutenzioni degli apparecchi;  accudire le sue parole chiave (§ 1.4.5), evitando che le medesime siano divulgate a persone non autorizzate. Gestore Gestisce l’apparecchio acquistato dal produttore o dalla relativa rete di distribuzione. Colloca l’apparecchio in un esercizio pubblico amministrato dall’esercente. Deve accudire le chiavi (metalliche) degli sportelli dei vani dell’apparecchio, onde evitarvi l’accesso a persone non autorizzate. Esercente  Amministra il locale pubblico ove è collocato l’apparecchio.  Provvede al ripristino della scorta di monete nei dispositivi di erogazione, utilizzando la chiave (metallica) di “rabbocco” e inserendo, nel contempo, le monete nella gettoniera.  Non può accedere ai vani interni dell’apparecchio; con l’eccezione di quello della cassa monete.  Non effettua alcun tipo di intervento di esercizio e manutenzione. 1.4.3 - Regole di scenario Nella messa a punto di Backoffice il Titolare ha assunto le seguenti regole:  Le attività ordinarie di esercizio hanno luogo sull’apparecchio di gioco.  Stessa cosa vale per le manutenzioni di competenza del produttore dell’apparecchio di gioco.  Le manutenzioni di competenza del Titolare (relative alla sola scheda) sono svolte nei laboratori del Titolare, usando strumentazioni di laboratorio connesse alla scheda di gioco.  Le schede, bloccate o avariate, sono rimosse dal loro apparecchio e sono inviate al Titolare, che le ripara e le restituisce al mittente. 1.4.4- Funzionalità di Backoffice Nel seguito sono puntualizzate le funzionalità presenti in Backoffice. Ciascuna è dotata di un suo nome del tipo °Xyyyyyy qui inventato e usato come elemento di riferimento formale. Con l’eccezione esplicita di °Registrazione e °Cambio_parola, le funzionalità elencate non sono funzioni di sicurezza propriamente dette; ma, piuttosto, contenuti applicativi da realizzare in termini che li rendano protetti. (°Contabilità) ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 9 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge  Visualizzazione dello stato corrente dei dati di contabilità relativi alla relazione tra gestore e esercente dell’apparecchio di gioco.  Reinizializzazione dei dati di contabilità.  Impostazione dei parametri di riferimento afferenti alla contabilità. (°Musiche)  Attivazione/disattivazione della musica di attrazione durante i periodi di inattività dell’apparecchio.  Regolazione del volume audio delle musiche e degli effetti sonori dell’apparecchio. (°Gettoniere)  Verifica dello stato di connessione dei dispositivi di erogazione e inserimento monete.  Controllo e variazione della scorta di monete nei dispositivi di erogazione dell’apparecchio.  Prelievo dai contenitori delle monete. (°Rabbocco)  Tracciamento delle azioni di riempimento dei contenitori monete (eseguite dall’esercente). (°Visure e Statistiche)  Lettura di data-ora, codice AAMS e descrittivo degli eventi occorsi nell’apparecchio di gioco.  Lettura degli interventi di manutenzione eseguiti sull’apparecchio di gioco, inclusiva di: data-ora, codice AAMS, numero di serie del dispositivo, descrizione della manutenzione.  Visualizzazione delle statistiche relative al ciclo di partite in corso.  Verifica delle funzionalità degli ingressi e delle uscite della scheda di gioco.  Visualizzazione dei contatori statuiti nelle prescrizioni AAMS.  Esecuzioni di statistiche sulle partite di gioco. (°Apparecchio_di_gioco)  Avvio/Riavvio dell’apparecchio di gioco.  Impostazione del codice identificativo assegnato da AAMS all’apparecchio di gioco.  Impostazione data-ora corrente dell’orologio/calendario.  Modifica e prova delle impostazioni dei dispositivi di inserimento ed erogazione delle monete. (°Manutenzioni_apparecchio)  Registrazione di un’operazione di manutenzione del produttore dell’apparecchio di gioco. (°Manutenzioni_scheda)  Registrazione di un’operazione di manutenzione della scheda eseguita dal Titolare. (°Registrazione)  Abilitazione di un’ulteriore parola chiave di accesso di pertinenza del produttore, da parte di un addetto del produttore che ne sta impiegando la parola chiave capostipite. (§ 1.4.5).  Rimozione da parte di un addetto del produttore autenticatosi con una parola chiave capostipite di un’altra parola chiave (non capostipite), del medesimo produttore (§ 1.4.5). (°Cambio_parola)  Modifica da parte di un addetto della parola chiave di accesso (statica) in suo possesso (§ 1.4.5). ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 10 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge 1.4.5- Parole chiave Le operatività dell’ODV (Cfr. § 5 dell’Allegato 1) si basano (anche) sull’impiego di parole chiave di accesso (statiche). Il Titolare assegna a ciascun produttore di apparecchi di gioco suo cliente una parola chiave di accesso capostipite (una differente per ciascun apparecchio), per consentirgli lo svolgimento protetto delle operazioni di esercizio e manutenzione del suo apparecchio di gioco. Una parola chiave (statica) è riservata dal Titolare a se stesso, per il governo protetto della scheda di gioco (una differente per ciascuna scheda). Un produttore di apparecchi di gioco, tramite suoi addetti che impiegano la °Registrazione introdotta nel precedente paragrafo 1.4.4, può creare e cancellare sull’ODV parole chiavi secondarie (statiche). Ogni persona fisica in possesso di una parola chiave (statica) la può cambiare tramite la °Cambio parola (§ 1.4.4). Accanto alle parole chiave statiche, per coprire condizioni di emergenza, è prevista, da parte del produttore degli apparecchi di gioco, l’emissione di parole chiavi temporanee, del tipo usa e getta, ciascuna da usare una sola volta e su una sola scheda di gioco. Le operazioni sicure su schede e apparecchi di gioco sono protette con l’impiego delle parole chiave. La struttura sintattica di ciascuna parola chiave adottata è definita nei termini pertinenti per articolare la differenziazione delle autorizzazioni concesse al suo possessore. Le persone fisiche si autenticano, ove richiesto, sull’ODV introducendovi una parola chiave tra quelle che, al momento, l’ODV riconosce perché memorizzate in suoi oggetti di sicurezza. Ogni parola chiave, statica o usa e getta, è afferente a una sola scheda di gioco . Le parole chiave sono distribuite ai loro incaricati dal Titolare e dal produttore dell’apparecchio di gioco. 1.4.6- Principali caratteristiche di sicurezza dell’ODV L’ODV, a fronte dei diversi gradi di responsabilità assegnati agli attori preposti all’esercizio e alla manutenzione dell’apparecchio e della scheda di gioco, realizza una divisione delle sue funzioni di governo (§ 1.4.4) in due categorie:  Categoria delle funzionalità ordinarie, inclusiva delle: °Contabilità °Musiche °Gettoniere °Rabbocco °Visure e Statistiche  Categoria delle funzionalità straordinarie, inclusiva delle: °Apparecchio _di_gioco °Manutenzioni_apparecchio °Manutenzioni_scheda ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 11 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge °Registrazione °Cambio_parola L’esecuzione delle funzionalità straordinarie è consentita a un addetto che si sia preventivamente autenticato con un’adeguata parola chiave, riscontrabile negli oggetti di sicurezza dell’ODV. Ciò mentre quelle ordinarie sono eseguibili da chiunque disponga di chiavistelli meccanici con cui accedere ai vani riservati dell’apparecchio di gioco. L’ODV memorizza in specifici oggetti di sicurezza i parametri di esercizio e manutenzione forniti dagli addetti. Ciò al fine di consentirne l’impiego da parte delle funzionalità straordinarie e ordinarie. I dati accuditi negli oggetti di sicurezza esplicitati in questo TdS (§ 6.1 e sottoparagrafi) sono usati come informative a riscontro dei modi di funzionamento reali dell’apparecchi di gioco. (La sicurezza dell’ODV costituisce, sull’argomento, una condizione necessaria ma non sufficiente per la verifica dei comportamenti effettivi dell’apparecchio di gioco di cui l’ODV è parte.) 2- ASE_CCL.1 Dichiarazione delle conformità Questo TdS fa riferimento ai seguenti documenti ufficiali dei Criteri Comuni:  Common Criteria for Information Technology Security Evaluation. Version 3.1 Rev.1 Part 1 (Settembre 2006).  Common Criteria for Information Technology Security Evaluation. Version 3.1 Rev. 2 Part 2 - senza alcuna estensione (Settembre 2007)  Common Criteria for Information Technology Security Evaluation. Version 3.1 Rev. 2 Part 3- senza alcuna estensione (Settembre 2007).  Common Criteria for Information Technology Security Evaluation. Version 3.1 Rev. 2 Evaluation methodology (Settembre 2007). In questo TdS non si fa riferimento ad alcun profilo di protezione. Il livello di garanzia EAL1 per l’ODV è EAL1 con l’aggiunta di ALC_DEL.1. 3- ASE_OBJ.1 Obiettivi dell’ambiente operativo - I Implementazione - La scheda di gioco di cui è parte l’ODV:  rispetta i dettagli tecnici e prestazionali statuiti dall’AAMS e costituenti, de jure, la norma di quanto distingue una macchina legale da quante tali non sono  è correttamente istallata e collegata in un apparecchio di gioco a norme; SHA-1: Al fine di poter controllare l’integrità dell’intera scheda (ODV incluso), la scheda (senza che l’ODV sia in ciò coinvolto) da luogo alla mimica interattiva che segue.  Si fa riferimento agli indirizzi della EPROM del processore, in cui è allocato il codice binario eseguibile della scheda, inclusivo dell’ODV. ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 12 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge  Arriva (alla scheda) dalla rete telematica AAMS o dal dispositivo di controllo AAMS una richiesta di calcolare l’impronta SHA-1 del codice binario incluso tra due indirizzi specificati nella richiesta in questione.  La scheda calcola l’impronta SHA-1 nei termini congrui con le normative AAMS.  La scheda restituisce l’impronta calcolata al mittente della richiesta. Rete Telematica - La scheda di gioco (esclusiva dell’ODV), controlla e filtra in termini rigorosi le richieste provenienti dalla rete telematica AAMS. Ciò garantendo che, in nessun caso, messaggi anomali in provenienza da tale sorgente o da sue emulazioni truffaldine possano perturbare gli oggetti di sicurezza dell’ODV. Inizializzazione – L’ambiente operativo garantisce che all’atto della messa in opera dell’ODV, tutte le variabili software associate agli oggetti e ai soggetti di sicurezza sono inizializzate con valori che ne attuano uno stato sicuro di avvio. 4- ASE_OBJ.1 Obiettivi dell’ambiente operativo - II (In questo paragrafo è specificato un obiettivo di natura procedurale) Responsabilizzazione- Le parole chiave sono distribuite e assegnate (dal Titolare e dal produttore dell’apparecchio di gioco) a chi di dovere in termini accorti e nel rispetto di procedure organizzative che consentono di opporre a ciascuno quanto risulta imputabile alla sua persona. Ciò senza che l’ODV fornisca informazioni sull’identità dei suoi addetti. 5- ASE_ECD.1 Definizione delle componenti estese Ai sensi della documentazione dei CC precisata nel paragrafo 2, in questo TdS non si ricorre a componenti estese (funzionali o di garanzia). 6- ASE_REQ.1 Requisiti di sicurezza Segue l’elenco dei requisiti di sicurezza, esplicitati dal Titolare come sua scelta industriale. I requisiti riportati sono riferiti al solo ODV, non al resto della scheda di gioco, né a quanto le è esterno. 6.1- Requisiti funzionali (SFR) Segue l’articolazione degli SFR. Precisazione su FMT_MSA.3 Nel seguito non si fa uso di FMT_MSA.3, in quanto le dipendenze richieste nelle iterazioni di FDP_ACF.1 sono soddisfatte dall’obiettivo per l’ambiente INIZIALIZZAZIONE. (Cfr. Allegato 1, ultimo capoverso del paragrafo 9, subito prima del paragrafo 9.1) ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 13 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge Precisazioni redazionali:  Allo scopo di esplicitare in termini puntuali soggetti, oggetti e quant’altro (Cfr. punto 732 della seconda parte dei CC), i nomi simbolici delle entità formali introdotte nell’ambito negli SFR (soggetti, oggetti, attributi di sicurezza,..) sono scritti, nel seguito, sempre in corsivo sottolineato. Omonimie con termini (più o meno) impiegati al di fuori del paragrafo 6.1 e dei relativi sottoparagrafi sono risolte tramite la convenzione grafica (sottolineatura e corsivo) adottata per i soli nomi simbolici. Le convenzioni grafiche relative ai nomi simbolici sono estese anche ai paragrafi 9 e 10 (con relativi sottoparagrafi) dell’Allegato 1.  Nei punti in cui viene introdotta in termini espliciti ciascuna entità formale, il termine definito è immediatamente preceduto dal simbolo [#X] conformemente alla casistica seguente: o [#S]: soggetto o [#O]: oggetto o [#A]: attributo di sicurezza o [#F] : operazione A parte il caso del soggetto di sicurezza operatore e degli attributi di sicurezza, ogni termine di uso ripetuto è definito in termini compiuti una sola volta. Con la corrispondente definizione compiuta che rimane identica (a parità di nome simbolico) in tutte le componenti funzionali di sicurezza riportate nei sottoparagrafi di questo paragrafo 6.1. Accanto alle definizioni esplicite di cui ai capoversi precedenti, rapportate a soggetti, oggetti, attributi di sicurezza, operazioni, negli SFR si ricorre anche a definizioni contestuali. Ciò accade per entità quali argomenti, attributi (non di sicurezza) valori, etc. Ogni cornice formale degli SFR è etichettata, ove necessario, con la ripetizione degli ultimi caratteri del paragrafo in cui appare, per facilitare i riferimenti incrociati di cui al successivo paragrafo 7, relativi alle iterazioni delle componenti funzionali di sicurezza. I caratteri in questione sono racchiusi tra i segni < e >. 6.1.1- Ruoli e addetti FMT_SMR.1 Security roles FMT_SMR.1.1 The TSF shall maintain the roles: [assignment: ELSY, produttore]. FMT_SMR.1.2 The TSF shall be able to associate users with roles. FMT_SMF.1 Specification of Management Functions FMT_SMF.1.1 The TSF shall be capable of performing the following management functions: [assignment:  Registrazione delle parole di accesso secondarie del produttore implementate dalle operazioni attivazione e disattivazione di cui al paragrafo 6.1.8 di questo TdS.  Automodifica delle parole di accesso statiche implementata dalla operazione esecuzione automodifica di cui al paragrafo 6.1.9 di questo TdS.  Le funzioni di gestione degli attributi di sicurezza menzionati in questo TdS. ] ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 14 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge 6.1.2- Manutenzione delle schede di gioco <1.2>FDP_ACC.1 Subset access control FDP_ACC.1.1 The TSF shall enforce the: [assignment: manutenzione scheda] on [assignment:  [#O]stato interno: Oggetto configurabile nei termini pertinenti per consentire l’esplicitazione delle condizioni operative della scheda e dell’apparecchio di gioco.  [#O]storico della scheda: Oggetto (file) impiegato per l’ archiviazione degli eventi significativi della scheda e dell’apparecchio di gioco.  [#S]operatore: Soggetto associato alla persona che richiede l’esecuzione delle operazioni incluse nella SFP di controllo accessi qui in oggetto.  [#F]registrazione manutenzione scheda: Forzamento (su richiesta di un operatore) su stato interno del valore simbolico pre- avviata. Conseguente registrazione (priva di incongruenze) in storico della scheda di codice del tipo di manutenzione e di parametri complementari. registrazione manutenzione scheda opera sulla base delle seguenti informazioni: o codice del tipo di manutenzione: Stringa di caratteri impiegata da operatore per esplicitare uno dei possibili tipi di manutenzione effettuabili su una scheda o su un apparecchio di gioco. o parametri complementari: Stringa di caratteri impiegata da operatore per completare l’informativa codificata tramite codice del tipo di manutenzione. ] <1.2>FMT_MSA.1 Management of security attributes FMT_MSA.1.1 The TSF shall enforce the [assignment: manutenzione_scheda ] to restrict the ability to [selection: query , modify] the security attributes [assignment: operatività corrente] to [assignment: ELSY] <1.2>FDP_ACF.1 Security attribute based access control FDP_ACF.1.1 The TSF shall enforce the: [assignment: manutenzione_scheda] to objects based on the following: [assignment:  [#A]operatività corrente: attributo della sicurezza associato con stato interno. Esplicita i modi di funzionamento al momento della scheda e dell’apparecchio di gioco. E’ usato dalle TSF per discriminare l’eseguibilità delle operazioni di sicurezza.  [#A]ruolo assegnato: attributo della sicurezza associato con operatore. Esplicita il ruolo che è stato assegnato all’operatore a valle della sua identificazione - autenticazione. E’ usato dalle TSF per controllare l’eseguibilità delle operazioni di sicurezza. ] FDP_ACF.1.2 The TSF shall enforce the following rules to determine if an operation among controlled subjects and controlled objects is allowed: [assignment: L’operazione registrazione manutenzione scheda può essere avviata solo da un operatore che sia stato preventivamente identificato e ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 15 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge autenticato e cui sia stato assegnato uno dei ruoli elencati in <1.2>FMT_MSA.1. L’operazione registrazione manutenzione scheda è avviata solo se, al momento, operatività corrente esplicita che la scheda è stata appena ricaricata con il suo software eseguibile. ] FDP_ACF.1.3 The TSF shall explicitly authorise access of subjects to objects based on the following additional rules: [assignment: nessuna.] FDP_ACF.1.4 The TSF shall explicitly deny access of subjects to objects based on the [assignment: nessuna] 6.1.3- Manutenzione degli apparecchi di gioco <1.3>FDP_ACC.1 Subset access control FDP_ACC.1.1 The TSF shall enforce the: [assignment: manutenzione apparecchio] on [assignment:  [#O]storico della scheda  [#0]stato interno  [#S]operatore: Soggetto associato alla persona che richiede l’esecuzione delle operazioni incluse nella SFP di controllo accessi qui in oggetto.  [#F]registrazione manutenzione apparecchio: Registrazione (priva di incongruenze) in storico della scheda (su richiesta di operatore) di codice del tipo di manutenzione e di parametri complementari. registrazione manutenzione apparecchio opera sulla base delle seguenti informazioni: o codice del tipo di manutenzione: Stringa di caratteri impiegata da operatore per esplicitare uno dei possibili tipi di manutenzione effettuabili su una scheda o su un apparecchio di gioco. o parametri complementari: Stringa di caratteri impiegata da operatore per completare l’informativa codificata tramite codice del tipo di manutenzione. ] <1.3>FMT_MSA.1 Management of security attributes FMT_MSA.1.1 The TSF shall enforce the [assignment: manutenzione_apparecchio] to restrict the ability to [selection: query, modify] the security attributes [assignment: operatività corrente] to [assignment: ELSY, Produttore] <1.3>FDP_ACF.1 Security attribute based access control FDP_ACF.1.1 The TSF shall enforce the: [assignment: manutenzione_apparecchio] to objects based on the following: [assignment:  [#A]operatività corrente: attributo della sicurezza associato con stato interno. Esplicita i modi di funzionamento al momento della ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 16 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge scheda e dell’apparecchio di gioco. E’ usato dalle TSF per discriminare l’eseguibilità delle operazioni di sicurezza.  [#A]ruolo assegnato: attributo della sicurezza associato con operatore. Esplicita il ruolo che è stato assegnato all’operatore a valle della sua identificazione - autenticazione. E’ usato dalle TSF per controllare l’eseguibilità delle operazioni di sicurezza. ] FDP_ACF.1.2 The TSF shall enforce the following rules to determine if an operation among controlled subjects and controlled objects is allowed: [assignment: L’operazione registrazione manutenzione apparecchio può essere avviata solo da un operatore che sia stato preventivamente identificato e autenticato e cui sia stato assegnato uno dei ruoli elencati in <1.3>FMT_MSA.1. L’operazione registrazione manutenzione apparecchio può essere avviata solo se operatività corrente indica che l’apparecchio di gioco è in corso di manutenzione. ] FDP_ACF.1.3 The TSF shall explicitly authorise access of subjects to objects based on the following additional rules: [assignment: nessuna] FDP_ACF.1.4 The TSF shall explicitly deny access of subjects to objects based on the [assignment: nessuna] 6.1.4- Etichettamento degli apparecchi di gioco <1.4>FDP_ACC.1 Subset access control FDP_ACC.1.1 The TSF shall enforce the: [assignment: etichettamento apparecchio] on [assignment:  [#O]stato interno  [#O]etichetta apparecchio: Oggetto in cui viene accudito il nome assegnato all’apparecchio.  [#S]operatore: Soggetto associato alla persona che richiede l’esecuzione delle operazioni incluse nella SFP di controllo accessi qui in oggetto.  [#F]esecuzione etichettamento apparecchio: Registrazione (priva di incongruenze) in etichetta apparecchio (su richiesta di operatore) di nome apparecchio. Esecuzione etichettamento apparecchio opera sulla base delle seguenti informazioni: o nome apparecchio: Stringa di caratteri fornita da operatore come identificatore dell’apparecchio. ] <1.4>FMT_MSA.1 Management of security attributes FMT_MSA.1.1 The TSF shall enforce the [assignment: etichettamento_apparecchio ] to restrict the ability to [selection: query, modify ] the security attributes [assignment: operatività corrente] to [assignment: ELSY, Produttore] ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 17 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge <1.4>FDP_ACF.1 Security attribute based access control FDP_ACF.1.1 The TSF shall enforce the: [assignment: etichettamento_apparecchio] to objects based on the following: [assignment:  [#A]operatività corrente: attributo della sicurezza associato con stato interno. Esplicita i modi di funzionamento al momento della scheda e dell’apparecchio di gioco. E’ usato dalle TSF per discriminare l’eseguibilità delle operazioni di sicurezza.  [#A]ruolo assegnato: attributo della sicurezza associato con operatore. Esplicita il ruolo che è stato assegnato all’operatore a valle della sua identificazione - autenticazione. E’ usato dalle TSF per controllare l’eseguibilità delle operazioni di sicurezza. ] FDP_ACF.1.2 The TSF shall enforce the following rules to determine if an operation among controlled subjects and controlled objects is allowed: [assignment: L’operazione esecuzione etichettamento apparecchio è avviata solo da un operatore che sia stato preventivamente identificato e autenticato e cui sia stato assegnato uno dei ruoli elencati in <1.4>FMT_MSA.1. L’operazione esecuzione etichettamento apparecchio è avviata solo quando operatività corrente indica che l’apparecchio di gioco è in fase di configurazione. ] FDP_ACF.1.3 The TSF shall explicitly authorise access of subjects to objects based on the following additional rules: [assignment: nessuna] FDP_ACF.1.4 The TSF shall explicitly deny access of subjects to objects based on the [assignment: nessuna]. 6.1.5- Chiusura del collaudo degli apparecchi di gioco <1.5>FDP_ACC.1 Subset access control FDP_ACC.1.1 The TSF shall enforce the: [assignment: collaudo apparecchio] on [assignment:  [#O]stato interno  [#S]operatore: Persona che richiede l’esecuzione delle operazioni incluse nella SFP di controllo accessi qui in oggetto.  [#F]attivazione blocchi: Forzamento, su stato interno (su richiesta di operatore) di una configurazione (di stato interno) che attiva i blocchi automatici di funzionamento dell’apparecchio in caso di disfunzioni. Il forzamento comporta la corrispondente modifica di operatività corrente. ] <1.5> FMT_MSA.1 Management of security attributes FMT_MSA.1.1 The TSF shall enforce the [assignment: collaudo_apparecchio ] to restrict the ability to [selection: query, modify] the security attributes [assignment: operatività corrente] to [assignment: ELSY, Produttore] <1.5>FDP_ACF.1 Security attribute based access control ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 18 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge FDP_ACF.1.1 The TSF shall enforce the: [assignment: collaudo_apparecchio] to objects based on the following: [assignment:  [#A]operatività corrente: attributo della sicurezza associato con stato interno. Esplicita i modi di funzionamento al momento della scheda e dell’apparecchio di gioco. E’ usato dalle TSF per discriminare l’eseguibilità delle operazioni di sicurezza.  [#A]ruolo assegnato: attributo della sicurezza associato con operatore. Esplicita il ruolo che è stato assegnato all’operatore a valle della sua identificazione - autenticazione. E’ usato dalle TSF per controllare l’eseguibilità delle operazioni di sicurezza. ] FDP_ACF.1.2 The TSF shall enforce the following rules to determine if an operation among controlled subjects and controlled objects is allowed: [assignment:  L’operazione attivazione blocchi può essere avviata solo da un operatore che sia stato preventivamente identificato e autenticato e cui sia stato assegnato uno dei ruoli elencati in <1.5>FMT_MSA.1.  L’operazione attivazione blocchi può essere avviata solo se operatività corrente indica che, sulla scheda, non è attivato il blocco automatico delle partite a fronte di anomalie. ] FDP_ACF.1.3 The TSF shall explicitly authorise access of subjects to objects based on the following additional rules: [assignment: nessuna] FDP_ACF.1.4 The TSF shall explicitly deny access of subjects to objects based on the [assignment: nessuna.] 6.1.6- Configurazione delle gettoniere <1.6>FDP_ACC.1 Subset access control FDP_ACC.1.1 The TSF shall enforce the: [assignment: configurazione gettoniere] on [assignment:  [#O]parametri CCTALK: Oggetto in cui vengono accuditi i parametri di configurazione delle gettoniere.  [#O]stato interno  [#S]operatore: Soggetto associato alla persona che richiede l’esecuzione delle operazioni incluse nella SFP di controllo accessi qui in oggetto.  [#F]esecuzione configurazione gettoniere: Registrazione (priva di incongruenze) in parametri CCTALK (su richiesta di operatore) di codifica gettoniere. esecuzione configurazione gettoniere opera a partire dalle seguenti informazioni: o codifica gettoniere: Configurazione possibile delle gettoniere connettibili all’apparecchio di gioco. La configurazione è fornita da operatore. ] ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 19 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge <1.6>FMT_MSA.1 Management of security attributes FMT_MSA.1.1 The TSF shall enforce the [assignment: configurazione gettoniere ] to restrict the ability to [selection: query, modify] the security attributes [assignment: operatività corrente] to [assignment: ELSY, Produttore] <1.6>FDP_ACF.1 Security attribute based access control FDP_ACF.1.1 The TSF shall enforce the: [assignment: configurazione gettoniere] to objects based on the following: [assignment:  [#A]operatività corrente: attributo della sicurezza associato con stato interno. Esplicita i modi di funzionamento al momento della scheda e dell’apparecchio di gioco. E’ usato dalle TSF per discriminare l’eseguibilità delle operazioni di sicurezza.  [#A]ruolo assegnato: attributo della sicurezza associato con operatore. Esplicita il ruolo che è stato assegnato all’operatore a valle della sua identificazione - autenticazione. E’ usato dalle TSF per controllare l’eseguibilità delle operazioni di sicurezza. ] FDP_ACF.1.2 The TSF shall enforce the following rules to determine if an operation among controlled subjects and controlled objects is allowed: [assignment:  L’operazione esecuzione configurazione gettoniere può essere avviata solo da un operatore che sia stato preventivamente identificato e autenticato e cui sia stato assegnato uno dei ruoli elencati in <1.6>FMT_MSA.1.  L’operazione esecuzione configurazione gettoniere è eseguita solo se operatività corrente significa che l’apparecchio di gioco è in fase di configurazione. ] FDP_ACF.1.3 The TSF shall explicitly authorise access of subjects to objects based on the following additional rules: [assignment: nessuna] FDP_ACF.1.4 The TSF shall explicitly deny access of subjects to objects based on the [assignment: nessuna] 6.1.7- Impostazione del datario degli apparecchi di gioco <1.7>FDP_ACC.1 Subset access control FDP_ACC.1.1 The TSF shall enforce the: [assignment: data ora] on [assignment:  [#O]calendario orologio: Oggetto in cui viene accudita la data ora corrente.  [#O]stato interno  [#S]operatore: Soggetto associato alla persona che richiede l’esecuzione delle operazioni incluse nella SFR di controllo accessi qui in oggetto.  [#F]sincronizzazione tempo: Aggiornamento congruente, di calendario orologio (su informative fornite da operatore)con codifica data ora. sincronizzazione tempo elabora a partire dalle seguenti informazioni: ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 20 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge o codifica data ora: Data e ora corrente fornita da operatore. ] <1.7>FMT_MSA.1 Management of security attributes FMT_MSA.1.1 The TSF shall enforce the [assignment: data ora ] to restrict the ability to [selection: query, modify] the security attributes [assignment: operatività corrente] to [assignment: ELSY, Produttore] <1.7>FDP_ACF.1 Security attribute based access control FDP_ACF.1.1 The TSF shall enforce the: [assignment: data ora] to objects based on the following: [assignment:  [#A]operatività corrente: attributo della sicurezza associato con stato interno. Esplicita i modi di funzionamento al momento della scheda e dell’apparecchio di gioco. E’ usato dalle TSF per discriminare l’eseguibilità delle operazioni di sicurezza.  [#A]ruolo assegnato: attributo della sicurezza associato con operatore. Esplicita il ruolo che è stato assegnato all’operatore a valle della sua identificazione - autenticazione. E’ usato dalle TSF per controllare l’eseguibilità delle operazioni di sicurezza. ] FDP_ACF.1.2 The TSF shall enforce the following rules to determine if an operation among controlled subjects and controlled objects is allowed: [assignment:  L’operazione sincronizzazione tempo può essere avviata solo da un operatore che sia stato preventivamente identificato e autenticato; e cui sia stato assegnato uno dei ruoli elencati in <1.7>FMT_MSA.1.  L’operazione sincronizzazione tempo è eseguita solo se operatività corrente significa che l’apparecchio di gioco è in fase di configurazione. ] FDP_ACF.1.3 The TSF shall explicitly authorise access of subjects to objects based on the following additional rules: [assignment: nessuna] FDP_ACF.1.4 The TSF shall explicitly deny access of subjects to objects based on the [assignment: nessuna.] 6.1.8- Registrazione delle parole di accesso non capostipite <1.8>FDP_ACC.1 Subset access control FDP_ACC.1.1 The TSF shall enforce the: [assignment: registrazioni] on [assignment:  [#O]parola produttore-n: Componente nma (-1FMT_MSA.1 Management of security attributes FMT_MSA.1.1 The TSF shall enforce the [assignment: registrazioni ] to restrict the ability to [selection: query, modify] the security attributes [riempimento-n (0FDP_ACF.1 Security attribute based access control FDP_ACF.1.1 The TSF shall enforce the: [assignment: registrazioni] to objects based on the following: [assignment:  [#A]riempimento-n (0FMT_MSA.1. ] FDP_ACF.1.3 The TSF shall explicitly authorise access of subjects to objects based on the following additional rules: [assignment: nessuna] FDP_ACF.1.4 The TSF shall explicitly deny access of subjects to objects based on the [assignment: L’esecuzione di attivazione e disattivazione è interdetta quando operatore si è autenticato con una parola chiave che non inizia né con il carattere E né con la cifra decimale 0] 6.1.9- Automodifica della parola chiave <1.9>FDP_ACC.1 Subset access control FDP_ACC.1.1 The TSF shall enforce the: [assignment: automodifica] on [assignment:  [#O]parola ELSY: Oggetto in cui è memorizzata la stringa di 8 caratteri che abilita, al momento, l’accesso alle operazioni demandate al ruolo ELSY. La stringa in questione è articolata nel segreto (7 caratteri) che deve essere fornito da un addetto per identificarsi/autenticarsi, preceduto da un prologo che è sempre pari a E.  [#O]parola produttore-n  [#S]operatore: Soggetto associato alla persona che richiede l’esecuzione delle operazioni incluse nella SFP di controllo accessi qui in oggetto.  [#F]esecuzione automodifica: Operazione che sostituisce nuovo corpo in una componente di parola produttore-n (con n compreso tra 0 e 9, estremi inclusi) o in parola ELSY. La sostituzione lascia inalterato il primo carattere del contenuto precedente dell’oggetto modificato. I sette caratteri di nuovo corpo sono concatenati a destra di tale carattere. L’oggetto su cui questa operazione esegue la modifica è quello che conteneva parola chiave fornita da operatore nella procedura di autenticazione che precede l’avvio dell’operazione qui in oggetto. La stringa di 7 caratteri consecutivi nuovo_corpo è fornita alla operazione da operatore. ] <1.9>FDP_ACF.1 Security attribute based access control FDP_ACF.1.1 The TSF shall enforce the: [assignment: automodifica] to objects based on the following: [assignment:  [#A]riempimento-n (0FDP_ACC.1 <1.2>FMT_MSA.1 <1.2>FDP_ACF.1 9.1 6.1.3 <1.3>FDP_ACC.1 <1.3>FMT_MSA.1 <1.3>FDP_ACF.1 9.2 6.1.4 <1.4>FDP_ACC.1 <1.4>FMT_MSA.1 <1.4>FDP_ACF.1 9.3 6.1.5 <1.5>FDP_ACC.1 <1.5>FMT_MSA.1 <1.5>FDP_ACF.1 9.4 6.1.6 <1.6>FDP_ACC.1 <1.6>FMT_MSA.1 <1.6>FDP_ACF.1 9.5 6.1.7 <1.7>FDP_ACC.1 <1.7>FMT_MSA.1 <1.7>FDP_ACF.1 9.6 6.1.8 <1.8>FDP_ACC.1 <1.8>FMT_MSA.1 <1.8>FDP_ACF.1 9.7 6.1.9 <1.9>FDP_ACC.1 <1.9>FDP_ACF.1 9.8 La specifica sommaria relativa a ciascun elemento della colonna di sinistra della precedente tabella è riportata nel paragrafo dell’Allegato 1 menzionato (in tabella) alla destra (estrema) del medesimo elemento. Nella fattispecie, le TSFI, in ragione della loro pregnanza, sono state assunte anche come specifica sommaria. (Ciò anche per evitare parafrasi foriere di ambiguità.) In più rispetto a quanto esplicitato nella precedente tabella, la specifica sommaria relativa ai requisiti funzionali di sicurezza ritenuti nel paragrafo 6.1.10 di questo TdS è riportata nel § 10.10 della Specifica Funzionale di Base (ADV_FSP.1) esibita come parte di questo TdS (§ Allegato 1). 8- Allegati All. 1: Specifica funzionale base 9- Documenti ufficiali AAMS Segue la documentazione ufficiale AAMS relativa alle schede e agli apparecchi di gioco ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 28 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge  R.D. 18 giugno 1931, n. 773 - Artt. 86, 88 e 110 Approvazione del testo unico delle leggi di pubblica sicurezza. (T.U.L.P.S.)  D. M. 12 marzo 2004 recante regolamento concernente disposizioni per la gestione telematica degli apparecchi da divertimento e intrattenimento, ai sensi dell'articolo 14-bis, comma 4, del decreto del Presidente della Repubblica 26 ottobre 1972, n. 640, e successive modificazioni ed integrazioni.  Decreto Interdirettoriale 19 settembre 2006 concernente integrazioni e modifiche alle regole tecniche degli apparecchi di gioco di cui all'art.110, comma 6, lettera a, del T.U.L.P.S.  D. Interdirett. 4 dicembre 2003 concernente le regole di produzione e di verifica tecnica degli apparecchi e congegni da divertimento ed intrattenimento di cui all'articolo 110, comma 6, lettera a) del T.U.L.P.S.  Circolare n. 2/Giochi/ADI/2007 del 27/03/2007 - Decreto interdirettoriale 22 marzo 2007 – Procedure amministrative connesse alla verifica tecnica di conformità per gli apparecchi di cui all’art.110,comma 6, lett.a) del T.U.L.P.S.  Circolare n. 1/Giochi/ADI/2008 del 25/02/2008 - Procedure amministrative relative alla “distribuzione e messa in esercizio” degli apparecchi di cui all’art. 110, comma 6, lett. a) del T.U.L.P.S.”. ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 29 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge Allegato 1 Specifica funzionale base della procedura Backoffice v. 5.0 presente nella scheda di gioco ELSY JOE001 Black Killer ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 30 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge 1. Premesse Questo Allegato fornisce la specifica funzionale di base richiesta per una certificazione EAL1 dei Criteri Comuni. Ciò per il TdS di cui costituisce l’Allegato 1. Il TdS referenziato e il corrispondente ODV sono sistematicamente dati per noti nel seguito. Nel seguito, per ragioni di immediatezza espositiva, sono riportate anche speciosità funzionali e architetturali della scheda di gioco. Nel fare ciò, per dettagli minuti, si rinvia, ove pertinente, a norme AAMS riscontrabili sulla documentazione posta a riferimento nel paragrafo 9 del TdS. In ogni caso, i riferimenti alla scheda di gioco non implicano in alcun modo debordi dei confini di Backoffice. Le considerazioni qui esposte fino al paragrafo 8 incluso sono di carattere descrittivo e sono organizzate secondo modi mirati a facilitarne la comprensione. Quelle riportate nei paragrafi 9 e 10 sono modulate sulle normative dei Criteri Comuni. Per contenervi le ripetizioni espositive, nei paragrafi 9 e 10 si ricorre a rimandi puntuali ad altri punti di questo Allegato. Le analisi delle TSFI richieste nella metodologia dei valutazione dei CC sono riportate nel paragrafo 9 di questo Allegato, a valle delle informative necessarie per una loro più agevole comprensione. I riscontri delle coperture degli SFR del TdS da parte delle funzionalità presenti in Backoffice sono dettagliati nel paragrafo 10 di questo Allegato. 2. Confini funzionali dell’ODV L’ODV (Backoffice) è una procedura di elaborazione che viene eseguita con l’apparecchio e la scheda di gioco funzionanti ma interdetti allo svolgimento delle partite di gioco. L’interdizione è attuata premendo uno specifico pulsante (TEST), ubicato in un vano protetto dell’apparecchio di gioco. Per come è implementato, l’ODV opera come se fosse dotato di una sua partizione riservata, attivata e disattivata premendo specifici pulsanti dell’apparecchio. Mentre sta operando, l’ODV è protetto in termini sicuri dai flussi di comunicazione che hanno luogo tra la scheda di gioco e le sue periferiche (rete AAMS, dispositivo di controllo AAMS, dispositivi di caricamento e distribuzione monete). La protezione in questione deriva dagli accorgimenti funzionali puntualizzati nel seguito:  Interazione con la rete telematica AAMS: Si rinvia al § 4.4 di questo Allegato.  Interazione con il dispositivo di controllo AAMS: Si rinvia al § 2.5 di questo Allegato.  Interazione con le gettoniere: Si rinvia al § 2.6 di questo Allegato. Quando la scheda è montata sul banco di prova ELSY (anziché nell’apparecchio di gioco) i modi di funzionamento dell’ODV non mutano. Con i pulsanti dell’apparecchio di gioco che sono puntualmente emulati nel banco. ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 31 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge Le funzioni previste nell’ODV sono eseguite come risultato di direttive che un addetto imposta sulle pulsantiere dell’apparecchio di gioco (ovvero della loro emulazione sul banco di prova ELSY). Gli esiti delle medesime funzioni sono restituiti sullo schermo televisivo dell’apparecchio di gioco (ovvero della sua emulazione sul banco di prova ELSY). La logica funzionale di Backoffice è implementata in un codice sorgente scritto in linguaggio c. L’intero software della scheda di gioco è scritto come un programma autocompreso, inclusivo di un suo scaglionatore (scheduler) e non basato su sistemi operativi commerciali. La logica di scaglionamento è di tipo multi thread ed è parte specifica del software della scheda. Le interfacce funzionali di Backoffice verso il mondo che gli è esterno (cioè, che non ne fa parte) sono articolate nelle seguenti componenti, approfondite nei sottoparagrafi seguenti: 1. Segnalatori di ingresso 2. Visualizzazioni sullo schermo 3. Canale di input da schermo 4. Caricamento nello storico della scheda 5. Canale verso il dispositivo di controllo AAMS (Cfr. § 1.3 del TdS) 6. Canale con i dispositivi monete 7. Controllo delle variabili di stato 2.1- Segnalatori di ingresso Ciascun pulsante dell’apparecchio di gioco, quando è premuto, genera verso l’ODV un segnale di interruzione associato all’identificativo del pulsante medesimo. A fronte dell’interruzione, l’ODV prende atto di quale pulsante è stato premuto. 2.2 - Visualizzazioni sullo schermo Le visualizzazioni sullo schermo sono implementate tramite apposite routine incluse in Backoffice. 2.3 - Canale di input da schermo Le direttive impostate sulle finestre e sui pulsanti software dello schermo sono ricostruite dall’ODV sulla base dei segnalatori di ingresso e tramite emulazioni (interne a Backoffice) delle pagine mostrate sullo schermo. Tutto software pilotato da Backoffice, mentre il software di gioco è fermo e inattivo. 2.4 – Caricamento nello storico della scheda Per caricare eventi riscontrati nello storico eventi, l’ODV impiega una coda di comunicazione unidirezionale verso lo storico in questione. L’accesso alla coda è eseguito (da Backoffice) tramite routine specialistica dell’ODV. 2.5 - Canale verso il dispositivo di controllo AAMS ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 32 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge Comunicazioni tra ODV e dispositivo di controllo AAMS (Cfr. § 1.3 del TdS) sono previste solamente per l’inoltro (da ODV a dispositivo di controllo) di segnalazioni di eventi riscontrati dall’ODV. All’uopo, Backoffice impiega una coda di comunicazione unidirezionale verso il dispositivo di controllo. L’accesso alla coda è eseguito (da Backoffice) tramite routine specialistica dell’ODV. 2.6 - Canale con i dispositivi monete Per interagire con le gettoniere, l’ODV impiega una coda di comunicazione protocollare con la linea CCTALK (Linea a bus su cui sono connesse le gettoniere). Quando è in funzione Backoffice, la linea in questione è usata solo dall’ODV. 2.7 – Controllo delle variabili di stato Backoffice controlla variabili di stato della scheda. Lo fa con sue routine mentre non sono in corso partite di gioco. 3. Mimiche di interazione tra addetto e ODV Le mimiche di interazione tra addetto e ODV sono articolate in successioni di schermate in cui sono presenti bottoni software con cui si naviga da una schermata all’altra. Lo schema di navigazione è riassunto in Fig. 1, al netto di dettagli mirati a velocizzare operazioni (altrimenti) ripetitive. (I nomi inclusi nelle cornici della Fig. 1 di questo Allegato sono solo pseudonimi delle schermate. Non vanno, pertanto, associati ai nomi di tipo °Xcccc di cui al paragrafo 1.4.4 del TdS cui qui ci si riferisce.) A fine navigazione, premendo apposito pulsante dell’ apparato di gioco, l’addetto chiude la sessione di esercizio e manutenzione. Chiusure automatiche sono attuate anche a seguito di manovre dell’addetto che implicano la cosa; ovvero a errori di manovra. Nel seguito viene fornita un’analisi di una prima parte delle navigazioni riassunte in Fig.1. Nel seguito i nomi adottati per le schermate (racchiusi tra parentesi quadre), non coincidono sempre, per ragioni di chiarezza espositiva, con quelli prodotti dal software dell’ODV.) ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 33 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge  Premendo uno specifico pulsante dell’apparecchio (TEST), appare una prima schermata [Prova terminazioni], nel cui ambito si può provvedere al collaudo elettrico delle terminazioni di ingresso e di uscita della scheda di gioco. Trattasi di funzioni dell’ODV non interferenti con gli SFR presenti nel TdS.  Da [Prova terminazioni], cliccando su specifico bottone software, si passa alla successiva schermata [Contabilità periodica], dedicata all’esecuzione di sintesi contabili (sulle partite svolte fino a quel momento) di interesse delle parti coinvolte nella gestione dell’apparecchio di gioco. Le elaborazioni in questione non perturbano i dati storici elaborati e non interferiscono con gli SFR del TdS.  Nella schermata precedente [Contabilità periodica] è presente un bottone software che, cliccato, fa ne apparire un’altra [Contatori AAMS], dedicata alla lettura del valore corrente di una serie di contatori (relativi alle partite di gioco e ai modi di funzionamento dell’apparecchio di gioco) normati da AAMS. Su [Contatori AAMS] sono presenti gli strumenti interattivi che consentono all’addetto di leggere i contatori di suo gradimento. Le elaborazioni in questione non perturbano i dati storici elaborati e non interferiscono con gli SFR presenti nel TdS.  Nella [Contatori AAMS], è presente un bottone software che, cliccato, fa apparire una successiva schermata [Eventi/Manutenzioni] dedicata alla lettura di eventi storici e di interventi di esercizio e manutenzione (relativi alle partite di gioco e ai modi di funzionamento dell’apparecchio di gioco) normati da AAMS. Sulla schermata sono presenti strumenti interattivi che consentono all’addetto di selezionare le informative di ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 34 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge suo gradimento. Le elaborazioni in questione non perturbano i dati storici elaborati. In ogni caso, trattasi di funzioni dell’ODV non interferenti con gli SFR presenti nel TdS.  Nella [Eventi/Manutenzioni] è presente un bottone software che, cliccato, fa apparire una successiva schermata [Opzioni generali] ibrida. Su [Opzioni generali] sono presenti, tra gli altri, quattro classi di bottoni, che consentono all’addetto di eseguire le seguenti funzioni. 1. Configurazione delle musiche di intrattenimento agibili sull’apparecchio di gioco. 2. Regolazione del livello sonoro di musica e segnali acustici generati dall’apparecchio di gioco. 3. Statistiche sulle partite di gioco. 4. Accesso alle funzioni protette dell’ODV, per cui l’addetto deve farsi autorizzare dall’ODV, fornendo acconcia parola chiave di accesso. Cliccando sui bottoni delle prime due classi, l’addetto comanda l’esecuzioni di funzioni ancillari dell’ODV non interferenti con gli SFR del TdS. Il bottone della terza classe procura la transizione su una altra schermata [Statistiche], che fornisce all’addetto gli strumenti pertinenti con cui lanciare il calcolo e l’esposizione di statistiche non perturbanti sui dati storici dell’apparecchio di gioco (relativi a partite e a comportamenti dell’apparecchio). Le statistiche in questione non interferiscono con gli SFR del TdS. Per quanto fin qui sottolineato, tutte le eventuali TSFI (Interfacce delle funzioni di sicurezza) dell’ODV coinvolte fino a questo punto, comunque si voglia definirle, sono non interferenti con gli SFR del TdS. Cliccando il bottone della quarta classe, si passa all’esecuzione di funzioni dell’ODV coperte dagli SFR del TdS (Cfr § 6 e § 7 di questo Allegato). 4. Dettagli funzionali delle schede di gioco Prima di passare alle TSFI interferenti, nei seguenti sottoparagrafi di questo paragrafo sono anticipate alcune (ulteriori) speciosità funzionali dell’ODV e della scheda di gioco, per esporre in termini non ambigui alcune funzioni dell’ODV interferenti con gli SFR. 4.1 Blocchi della scheda Come logica generale di funzionamento, il software presente in una scheda di gioco tiene sotto osservazione una serie di parametri circostanziali mirati a evidenziare l’insorgere di potenziali minacce al corretto svolgimento delle partite di gioco. Ogni volta che impatta in situazioni anomale, il software della scheda (non l’ODV) genera una situazione di blocco e interrompe lo svolgimento delle partite. I blocchi e gli eventi che li hanno determinati sono registrati (non dall’ODV) in un file della scheda di gioco accessibile anche all’ODV (§ 3 schermata [Eventi/Manutenzioni]). A valle di una situazione di blocco, occorre procedere con interventi di manutenzione che, in funzione degli eventi a monte, possono essere di competenza ELSY (§ 6) o del produttore dell’apparecchio di gioco (§ 7). Un intervento di manutenzione è, di regola, rapportato a un blocco memorizzato nella scheda. L’operazione di registrazione della manutenzione (§ 6) e (§ ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 35 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge 7), eseguita a valle di un qualsiasi intervento di manutenzione, determina, tra le altre cose, la rimozione del blocco. Solo quando tutti i blocchi presenti sulla scheda (quelli afferenti la scheda medesima e gli altri, relativi all’apparecchio di gioco) sono stati rimossi, la scheda rientra in una condizione di totale agibilità che consente lo svolgimento delle partite di gioco. 4.2 Identificatori dei soggetti abilitati AAMS Tra le normative AAMS è previsto che ogni soggetto, industriale o commerciale, autorizzato alla fornitura di schede e di apparecchi di gioco deve essere dotato di un suo identificativo univoco, fornitogli da AAMS. Si tratta di una stringa alfanumerica di 11 caratteri menzionata nelle norme AAMS come IDSOGG (Trattasi di sigla menzionata sistematicamente nella documentazione AAMS). I produttori di schede hanno ciascuno il proprio IDSOGG. Del pari lo ha ciascun produttore/commercializzatore di apparecchi. Il software di una scheda fa uso sistematico degli IDSOGG. Nell’ambito del’ODV e del TdS, gli IDSOGG ricoprono un ruolo marginale. Nel seguito, sono menzionati nelle funzioni e nelle TSFI interferenti con gli SFR, ove se ne fa uso. 4.3 Identificazione dei dispositivi circuitali Tra le normative AAMS, è previsto che gli apparecchi di gioco, le schede di gioco, i dispositivi circuitali significativi presenti negli uni e nelle altre siano dotati, a cura di chi li realizza (ELSY per le schede, i produttori degli apparecchi fuori delle schede), di un codice identificativo univoco che li distingua in termini puntuali. Ogni soggetto abilitato (ELSY e i produttori degli apparecchi) ha l’onere di gestirsi i codici della sua produzione. I codici di schede e apparecchi sono comunicati ad AAMS. Per comodità di riferimento, nel seguito, i codici in questione sono menzionati con l’acronimo CODISP (Trattasi di sigla di comodo usata solo in questo Allegato). Come regola AAMS, un CODISP è una stringa alfanumerica di 16 caratteri. Nell’ambito dell’ODV i CODISP sono impiegati in alcune TSFI interferenti con gli SFR. 4.4 Interazioni della scheda con la rete telematica AAMS Tra le normative AAMS, è previsto che gli apparecchi di gioco operino sotto la supervisione di una rete telematica AAMS cui ogni apparecchio deve essere collegato. Nel software della scheda di gioco (esternamente all’ODV) sono previste le funzionalità di interazione protocollare con la rete in questione. Il software di interazione analizza i messaggi in arrivo dalla rete, controllandone la correttezza e la congruenza. Non sono previsti comandi da rete telematica che richiedano modifiche sugli oggetti di sicurezza dell’ODV da eseguire mentre Backoffice è in funzione. Tutti i messaggi anomali, non esplicitamente previsti nella normativa AAMS, sono scartati (Non dall’ODV ma dal resto del software della scheda). 5. Autenticazioni e Parole chiave In provenienza dalla schermata [Opzioni generali], l’addetto, cliccando sul bottone software relativo all’accesso alle funzioni protette, finisce sulla [Autenticazioni]. ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 36 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge La schermata [Autenticazioni] costituisce il punto di transito obbligato che separa le operazioni di esercizio e manutenzione (libere) che chiunque può eseguire sull’apparecchio da quelle (protette) la cui esecuzione richiede l’introduzione previa di una parola chiave di natura informatica. Sulla schermata [Autenticazioni] l’addetto trova le strumentazioni con cui digitare la parola chiave in suo possesso. Seguono le peculiarità delle parole chiave ritenute nell’ODV.  Le parole chiave sono costituite da 8 caratteri alfanumerici.  Il primo carattere è pari al carattere E per i codici ELSY, è un intero compreso tra 0 e 9 (estremi inclusi) nel caso delle parole stabili assegnate ai produttori degli apparecchi di gioco. Assume un qualsiasi altro valore differente da E e dalle 10 cifre decimali per le parole chiave di accesso usa e getta.  Una parola stabile è mantenuta in vita da una sessione all’altra delle attività condotte sulla scheda e sull’apparecchio di gioco. Una temporanea (o: usa e getta) viene sostituita dall’ODV, in maniera automatica, a valle del suo unico impiego in una sessione di esercizio e manutenzione.  Ogni parola chiave, stabile o usa e getta, è specifica di una sola scheda di gioco (quella in cui è registrata), senza commistioni tra parole di schede differenti.  La parola chiave che inizia per 0 costituisce la parola capostipite del ruolo produttore dell’apparecchio di gioco in cui è inserita la scheda.  Le parole chiave che iniziano con una cifra decimale non nulla sono parole di accesso secondarie (del produttore). Ogni scheda nasce con:  la sua parola ELSY, associata all’IDSOGG assegnato a ELSY,  con la sua capostipite (del produttore), associata all’IDSOGG di un produttore di apparati di gioco (quello dell’apparato in cui la scheda deve essere istallata),  con la sua parola temporanea usa e getta. Le parole secondarie le sono aggiunte e rimosse con interventi di esercizio eseguiti sull’ODV, da parte di addetti a conoscenza della parola chiave ELSY o di quella capostipite del produttore. Le parole chiave secondarie possono essere associate ad IDSOGG di produttori di apparati di gioco differenti da quello della parola capostipite. Ciò al fine di consentire azioni di rivendita di apparecchi di gioco tra soggetti abilitati da AAMS (tutti dotati di IDSOGG univoco). L’ODV include al suo interno un vettore di 12 componenti, una per parola chiave. Le componenti sono numerabili da -1 a 10, estremi inclusi. Il loro impiego è il seguente:  Parola -1: Parola di accesso dedicata a ELSY  Parola 0: Parola di accesso capostipite del produttore di apparecchi di gioco  Parole da 1 a 9: Parole di accesso secondarie del produttore di apparecchi di gioco  Parola 10: Parola usa e getta corrente della scheda Backoffice riconosce come valide le sole parole chiave correntemente memorizzate nel vettore di cui sopra. I contenuti del medesimo possono essere letti e modificati solo da routine software interne a Backoffice, senza alcuna interferenza (in lettura o scrittura) dal resto del software della scheda. ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 37 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge Se l’addetto digita la parola chiave ELSY correntemente ammessa nella scheda su cui sta lavorando, gli appare la schermata [ELSY], su cui può eseguire gli interventi manutentivi riservati a ELSY. Se l’addetto introduce una parola chiave correntemente abilitata sulla scheda, riservata al produttore dell’apparecchio su cui si sta lavorando, all’addetto appare la schermata [Produttore] con cui sono eseguite le azioni di esercizio previste per gli apparecchi di gioco. Nel caso in cui l’addetto introduce una parola chiave non ammessa, l’accesso alle funzioni riservate è rifiutato. In caso di 3 tentativi ripetuti non andati a buon fine, l’ODV comunica l’evento verso il dispositivo di controllo AAMS collegato alla scheda di gioco sotto esame. 6. Funzioni di competenza ELSY Quando è pervenuto alla schermata [ELSY], l’addetto ha assunto le competenze ELSY. Cliccando sul bottone software afferente al caso, passa a una delle seguenti due alternative: 1. Si sovrappone alle competenze assegnate al produttore dell’apparecchio di gioco su cui sta operando. Nel caso, appare la schermata [Produttore] dedicata all’esercizio degli apparecchi e alle funzioni di competenza dei produttori apparecchi. Questo caso è analizzato in un successivo paragrafo (§ 7). 2. Esegue una registrazione di manutenzione della scheda. Su questo punto ci si dilunga nel resto di questo paragrafo. Ogni volta che perviene a ELSY in manutenzione, una scheda è oggetto di verifica e riparazione. Nei limiti del possibile, si punta a preservare i dati interni della scheda, significativi della sua cronistoria. A valle della riparazione si hanno due alternative: 1. I dati di cronistoria sono stati preservati. 2. I dati di cronistoria sono andati persi o avariati. Nel secondo caso, la scheda è data per distrutta, con il suo CODISP che è catalogato tra quelli delle schede definitivamente andate fuori servizio. L’hardware della scheda può essere recuperato per generare una nuova scheda, dotata del suo CODISP. Nella prima alternativa, la scheda di riparazione viene connessa a un dispositivo di caricamento software delle schede identificato in ELSY come il “Programmatore schede”. (Si tratta di un dispositivo di produzione industriale, strumentale per l’approntamento delle schede.) Il programmatore schede è un dispositivo informatico in cui possono essere resi disponibili i preconfigurati eseguibili (software) delle schede esemplari degli archetipi omologati. Opportunamente pilotato dagli addetti ELSY, il programmatore schede è impiegato per ricaricare il software nella scheda appena riparata. Tutto inizia con la lettura (manuale) nel programmatore schede del CODISP della scheda riparata. Il programmatore accede in lettura alla scheda riparata e legge i suoi dati di cronistoria, che integra con il preconfigurato eseguibile della scheda in questione. A integrazione eseguita, il binario eseguibile completo della scheda riparata viene (dal programmatore schede) caricato sulla scheda medesima. A valle di tale operazione, il programmatore schede pone la scheda in uno stato di blocco (§ 4.1) rimovibile tramite una registrazione della manutenzione. ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 38 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge La registrazione in questione deve essere eseguita, direttamente sulla scheda, ricorrendo all’ODV. L’operazione è consentita solo a un addetto a conoscenza della parola di accesso corrente ELSY della scheda riparata. La parola in questione è registrata in uno specifico oggetto di sicurezza della scheda. Navigando su una specifica sequenza di ODV tracciata nei precedenti paragrafi, l’addetto:  Si autentica, con successo, come possessore della parola chiave ELSY memorizzata nei pertinenti oggetti di sicurezza dell’ODV.  Registra sulla scheda la tipologia dell’intervento di manutenzione, conformemente a una specifica mimica protocollare decretata da AAMS (Si tratta di una delle informazioni che vanno ad accodarsi alla cronistoria della scheda)  Esce dalla sessione di esercizio e manutenzione sull’ODV. La schermata [ELSY] include un bottone software per la funzione registrazione manutenzione scheda. Il bottone rinvia a una successione di schermate per il cui tramite l’addetto:  Sceglie la funzione di manutenzione svolta sulla base di un elenco propostogli dalla prima schermata.  Fornisce gli ulteriori parametri di registrazione conseguenti al tipo di manutenzione scheda eseguito (§ 9.1). L’esito della funzione è la registrazione della manutenzione, che ha luogo nello storico delle manutenzioni previsto nelle normative AAMS. A seguito della registrazione, la scheda è pronta per essere:  racchiusa nel suo contenitore;  inviata al pertinente produttore di apparati di gioco. La funzione di registrazione della manutenzione scheda può avere luogo solo su una scheda in cui le variabili software che esprimono l’attributo di sicurezza operatività corrente presentano il valore associato alla condizione di una scheda appena ricaricata, a valle di un’operazione di manutenzione. Il valore in questione è caricato sulla scheda, come parte del software eseguibile, dal programmatore schede ELSY. 7. Governo degli apparecchi di gioco Segue l’elenco delle funzioni ODV dedicate allo svolgimento delle operazioni di competenza del produttore di apparecchi di gioco, abilitate sulla schermata [Produttore]. Le funzioni in questione possono essere assunte anche da un addetto in possesso della parola chiave di accesso ELSY.  registrazione della manutenzione di apparecchio,  inserimento del CODISP dell’apparecchio,  chiusura del collaudo (previo) dell’apparecchio,  gestione delle parole chiave secondarie,  attivazione dei dispositivi di acquisizione ed erogazione monete,  sincronizzazione (preliminare) della data ora corrente dell’apparecchio,  automodifica della parola chiave di accesso. ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 39 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge Nel caso di interventi da parte di addetti dotati della parola chiave di accesso ELSY, se l’intervento ha luogo sul banco di lavoro ELSY (e non su un apparecchio di gioco), le funzioni sopra elencate possono essere limitate in funzione di cosa è collegato alla scheda sul banco di prova. Nei sottoparagrafi seguenti si provvede a descrivere i dettagli delle operazioni sopra elencate. In ogni caso, l’impostazione della funzione è svolta tramite una sequenza di qualche schermata, per il cui tramite l’addetto provvede ad introdurre il tipo di funzione e i suoi parametri associati. I parametri associati sono richiesti solo nelle circostanze in cui l’ODV non se li trova già disponibili nei pertinenti oggetti di sicurezza. Le operazioni cui si fa nel seguito riferimento sono il cuore applicativo dell’ODV. Si tratta, in ultima analisi, di routine software lanciate a fronte di una circostanziata richiesta impostata da un addetto. L’impostazione delle richieste ha luogo impiegando la mimica a schermate riportata in Fig.1. In ogni caso, passando da una schermata alla successiva, con le sue scelte navigazionali, l’addetto, di fatto, specifica, in termini più o meno virtuali, ciò che desidera sia fatto. (Codice virtuale della TSFI che corrisponde alla richiesta, assieme ai parametri complementari). Nell’esposizione che segue, i parametri complementari sono esplicitati per esteso; anche se, ovunque pertinente, come scelta implementativa, l’ODV non richiede all’addetto (sulle schermate) l’introduzione di parametri che, in quel caso specifico, già conosce. Le non richieste di parametri non necessari in un caso ma richiesti in altre situazioni è fatta inibendo, ove pertinente, bottoni software che, nel caso più generale, risultano, invece, attivi. Nelle considerazioni che seguono, per ragioni di semplicità espositiva, schermate e navigazioni sono precisate sorvolando su dettagli marginali, comunque appurabili accedendo a un apparecchio e operandovi su un poco. 7.1 Manutenzione degli apparecchi di gioco Analogamente al caso delle schede, anche gli apparecchi di gioco prevedono interventi manutentivi che debbono, a completamento avvenuto, essere registrati nello storico eventi della scheda. La registrazione deve essere eseguita, sull’apparecchio dotato della sua scheda, ricorrendo all’ODV. L’operazione è consentita solo a un addetto a conoscenza della parola di accesso corrente ELSY della scheda presente nell’apparecchio. Ovvero, di una delle parole di accesso del produttore dell’apparecchio. Le parole in questione sono registrate in specifici oggetti di sicurezza della scheda. Navigando su una specifica sequenza di schermate (Fig.1), l’addetto:  Si autentica, con successo, come possessore di una delle parole chiave memorizzate nei pertinenti oggetti di sicurezza dell’ODV.  Registra la tipologia dell’intervento di manutenzione, conformemente a una specifica mimica protocollare decretata da AAMS. (Si tratta di una delle informazioni che vanno ad accodarsi alla cronistoria della scheda). La schermata [Produttore] prevede un bottone di selezione per la funzione registrazione manutenzione apparecchio. Il bottone rinvia a una successione di schermate per il cui tramite l’addetto: ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 40 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge  Sceglie la funzione di manutenzione svolta sulla base di un elenco standard propostogli dalla prima schermata.  Fornisce gli ulteriori parametri di registrazione conseguenti al tipo di manutenzione scelto (§ 9.2). L’esito della funzione è la registrazione, che ha luogo nello storico delle manutenzioni previsto nelle normative AAMS. La scelta della funzione di manutenzione apparecchio sulla schermata [Produttore] è differenziata su più bottoni software, che consentono all’addetto di procedere in libertà; ovvero di dare luogo agli interventi di manutenzione correlati al primo blocco pendente sull’apparecchio (§ 4.1). 7.2 Etichettamento degli apparecchi di gioco In alcune circostanze, un apparecchio di gioco deve essere etichettato con un CODISP. L’etichettamento ha luogo a valle dell’istallazione della scheda nell’apparecchio e deve essere eseguito sull’ODV. L’operazione è consentita solo a un addetto a conoscenza della parola di accesso corrente ELSY della scheda presente nell’apparecchio. Ovvero, di una delle parole di accesso del produttore dell’apparecchio. Le parole in questione sono registrate in specifici oggetti di sicurezza della scheda. Navigando su una specifica sequenza di schermate ODV, l’addetto:  Si autentica, con successo, come possessore di una delle parole chiave memorizzate nei pertinenti oggetti di sicurezza dell’ODV.  Introduce il CODISP. La schermata [Produttore] prevede un bottone di selezione per la funzione inserimento del CODISP dell’apparecchio. Il bottone rinvia a una schermata per il cui tramite l’addetto sceglie e carica il CODISP (§ 9.3). L’esito della funzione ha luogo in uno specifico oggetto dell’ODV. Il CODISP caricato con questa funzione è provvisorio, nel senso che viene sovrascritto (al di fuori dell’ODV) sulla base dei dati contenuti nel messaggio di attivazione in rete che la scheda riceve dalla rete telematica AAMS. 7.3 Chiusura del collaudo degli apparecchi di gioco Il software di gioco (esterno all’ODV) include una serie di controlli che tutto stia operando per il meglio. In caso di anomalie, i controlli danno luogo a un blocco software dell’apparecchio, la cui rimozione richiede un intervento di manutenzione A valle di un intervento di manutenzione (che, tra l’altro, rimuove la condizione di blocco), l’apparecchio viene collaudato con i controlli disabilitati. Quando i collaudi sono terminati, occorre riattivare i controlli di congruenza. L’operazione è eseguita sull’apparecchio dotato della sua scheda, ricorrendo all’ODV. L’operazione è consentita solo a un addetto a conoscenza della parola di accesso corrente ELSY della scheda presente nell’apparecchio. Ovvero, di una delle parole di accesso del produttore dell’apparecchio. Le parole in questione sono registrate in specifici oggetti di sicurezza della scheda. Navigando su una specifica sequenza di schermate (Fig.1), l’addetto: ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 41 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge  Si autentica, con successo, come possessore di una delle parole chiave memorizzate nei pertinenti oggetti di sicurezza dell’ODV.  Comanda l’attivazione dei controlli. La schermata [Produttore] prevede un bottone di selezione per la funzione di riattivazione dei controlli di blocco. L’esito della funzione ha luogo su specifici oggetti di sicurezza dell’ODV. 7.4 Configurazione dei dispositivi di accettazione ed erogazione monete I dispositivi di manipolazione delle monete presenti nell’apparecchio di gioco debbono essere correttamente rappresentati nel software della scheda. Le operazioni in questione sono eseguite sull’apparecchio dotato della sua scheda, ricorrendo all’ODV. Le operazioni sono consentite solo a un addetto a conoscenza della parola di accesso corrente ELSY della scheda presente nell’apparecchio. Ovvero, di una delle parole di accesso del produttore dell’apparecchio. Le parole in questione sono registrate in specifici oggetti di sicurezza della scheda. Navigando su una specifica sequenza di schermate, l’addetto:  Si autentica, con successo, come possessore di una delle parole chiave memorizzate nei pertinenti oggetti di sicurezza dell’ODV.  Precisa la tipologia dei dispositivi di trattamento moneta connessi alla scheda. La schermata [Produttore] prevede un bottone di selezione per la funzione qui in questione. Il bottone rinvia ad una successione di schermate per il cui tramite l’addetto:  Sceglie l’intervento.  Fornisce gli ulteriori parametri funzionali conseguenti al tipo di intervento richiesto (§ 9.4). L’esito della funzione ha luogo su specifici oggetti dell’ODV. Accanto alla funzione di configurazione dei dispositivi di trattamento delle monete, l’ODV include anche funzioni di collaudo dei medesimi, eseguite con procedure speciali e con la macchina di gioco fuori linea. A tali funzioni, anche se parte dell’ODV, non corrisponde nessun SFR. Tutto ciò, anche se le procedure di controllo sono eseguite solamente a valle di un processo di autenticazione identico a quello delle configurazioni dei dispositivi trattamento monete. Si tratta di procedure macchinose in cui gli addetti debbono introdurre e prelevare monete, verificando che i riscontri forniti da Backoffice siano congrui con le movimentazioni effettuate. Le procedure dipendono dal tipo di gettoniere usate. 7.5 Impostazione del datario Per il corretto funzionamento dell’apparecchio, in alcune circostanze, occorre sincronizzare con il tempo corrente la data ora (anno, mese, ora, minuti) della scheda. La sincronizzazione è eseguita sull’apparecchio dotato della sua scheda, ricorrendo all’ODV. L’operazione è consentita solo a un addetto a conoscenza della parola di accesso (corrente) ELSY della scheda presente nell’apparecchio. Ovvero, di una delle parole di accesso del produttore dell’apparecchio. Le parole in questione sono registrate in specifici oggetti di sicurezza della scheda. ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 42 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge Navigando su una specifica sequenza di schermate, l’addetto:  Si autentica, con successo, come possessore di una delle parole chiave memorizzate nei pertinenti oggetti di sicurezza dell’ODV.  Registra l’intervento specificando i valori di sincronizzazione per anno, mese, ora, minuti. La schermata [Produttore] prevede un bottone di selezione per la funzione datario, associato ai campi in cui sono specificati i valori richiesti di data ora (§ 9.6). L’esito della funzione ha luogo in oggetti di sicurezza previsti allo scopo nell’ODV. La data e ora caricata con questa funzione sono provvisori, nel senso che sono sovrascritti (al di fuori dell’ODV) sulla base dei dati contenuti nel messaggio di attivazione in rete che la scheda riceve dalla rete telematica AAMS. 8. Movimentazione delle parole informatiche di accesso Nel seguito sono dettagliate le funzioni di governo delle parole di accesso previste nell’ODV, assieme ai processi di autenticazione consentite dalle parole medesime. 8.1 Registrazione (delle parole statiche) Accanto alle due parole chiave principali, costituite dalla parola ELSY e da quella capostipite del ruolo produttore, è possibile a attivare e disattivare su una scheda fino a nove parole chiave secondarie del ruolo produttore, tutte statiche. L’operazione è eseguita sull’apparecchio dotato della sua scheda, ricorrendo all’ODV. L’operazione è consentita solo a un addetto a conoscenza della parola di accesso corrente ELSY della scheda presente nell’apparecchio; ovvero, della parola di accesso capostipite del produttore dell’apparecchio. Le parole in questione sono registrate in specifici oggetti di sicurezza della scheda. Navigando su una specifica sequenza schermate (Fig.1), l’addetto:  Si autentica, con successo, fornendo all’ODV una delle due parole chiave, ammesse, memorizzate nei pertinenti oggetti di sicurezza dell’ODV.  Specifica e attiva/disattiva una parola secondaria, specificandone il primo carattere (compreso tra 1 e 9 , estremi inclusi).  Fornisce, per il caso delle attivazioni, i rimanenti 7 caratteri della parola, a sua scelta.  Inserisce l’IDSOGG dell’organizzazione cui è assegnata la (nuova) parola chiave secondaria. La schermata [Produttore] prevede un bottone di selezione per le funzioni di registrazione, sia in abilitazione che in disabilitazione. Per l’abilitazione, una successiva schermata consente l’introduzione dei parametri associati alla nuova parola chiave (§ 9.7). L’esito della funzione ha luogo in oggetti di sicurezza previsti nell’ODV. 8.2 Automodifica della parola informatica di accesso ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 43 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge Un addetto che disponga di una parola chiave abilitata non temporanea può cambiarvi, a suo piacimento, tutti i caratteri eccetto il primo. L’automodifica è eseguita sull’apparecchio dotato della sua scheda, ricorrendo all’ODV. Le parole chiave correntemente abilitate sono registrate in specifici oggetti di sicurezza della scheda. Navigando sulla pertinente sequenza schermate (Fig.1), l’addetto:  Si autentica, con successo, come possessore di una delle parole chiave memorizzate nei pertinenti oggetti di sicurezza dell’ODV.  Modifica a suo piacimento i caratteri successivi al primo della parola con cui si è autorizzato. La schermata [Produttore] prevede un bottone di selezione per la funzione automodifica. Il bottone comporta l’introduzione in campi della schermata [Produttore] della nuova parola chiave (§ 9.8). L’esito della funzione ha luogo in oggetti di sicurezza previsti nell’ODV. 8.3 Parole informatiche di accesso a uso singolo Per il ruolo produttore, accanto alle parole chiave di accesso stabili (capostipite e secondarie) è previsto il ricorso a parole chiave di accesso (temporanee) del tipo usa e getta, da usare per gli interventi racchiudibili in una sola sessione di esercizio e manutenzione dell’ODV. La parola temporanea attiva in una scheda è memorizzata in apposito oggetto dell’ODV e viene automaticamente sostituita dall’ODV, subito dopo che un addetto che ne è impossesso ne ha fatto uso, per autenticarsi, una sola volta. Le caratteristiche sintattiche delle parole chiave usa e getta sono identiche a quelle delle altre, salvo il primo carattere che, come segno distintivo, non può essere pari né a una cifra decimale, né al carattere E. A parte la sostituzione subito a valle del suo impiego, una parola chiave usa e getta ha significati di impiego identici a quelle delle parole chiave secondarie del ruolo produttore. Però il suo contenuto non può essere oggetto di automodifica. Per acquisire una parola chiave usa e getta, l’addetto deve leggere un’apposita radice, fornita dall’ODV sulla schermata [Autenticazioni]. Tale radice deve essere comunicata (a voce) a un responsabile del produttore dell’apparecchio su cui si sta operando, assieme al CODISP dell’apparecchio. Il responsabile del produttore, impiegando una specifica applicazione informatica esterna alla scheda di gioco e all’ODV (Si tratta di una applicazione pubblica, distribuita dal Titolare via Internet), sulla base delle informazioni ricevute a viva voce, procede al calcolo della parola chiave usa e getta, che comunica al richiedente. A valle della ricezione sulla schermata [Autenticazione] della parola chiave usa e getta, l’ODV:  Provvede a calcolare la radice della successiva parola temporanea e renderla visibile in termini stabili sulla schermata [Autenticazione].  Aggiorna di conseguenza l’oggetto ODV in cui è memorizzata la parola chiave usa e getta conseguente alla radice appena calcolata. 9. Interfacce funzionali di sicurezza dell’ODV (TSFI) ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 44 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge Nei paragrafi precedenti, l’enfasi è posta sulle funzioni applicative cui l’ODV da luogo a fronte delle informazioni fornitegli in ingresso da un addetto. A ciascuna funzione può essere associata una TSFI inclusiva di un suo codice (virtuale), di parametri sussidiari, di modi di impiego. Codici, parametri e modi sono puntualizzati dall’addetto nell’ambito delle procedure di navigazione descritte nei precedenti paragrafi. A ogni funzione corrisponde una TSFI. Il codice di ciascuna TSFI è virtuale, nel senso che deriva (in termini univoci) dalla sequenza di azioni svolte dall’addetto. Tutte le funzioni e le TSFI completate a monte dei processi di autenticazione (Cfr. § 5) non sono vincolate da alcun SFR; né presentano relazioni con alcun SFR. (Sono pertanto, non interferenti.) Ciò in quanto gli SFR disciplinano solo TSFI che seguono i processi di autenticazione riportati nel paragrafo 5 di questo Allegato. Nel seguito sono esplicitate le TSFI interferenti con gli SFR. Tutte seguono il processo di autenticazione di cui al paragrafo 5 di questo Allegato. Nell’esposizione delle TSFI, nel seguito, sono richiamati, come pertinente, i nomi simbolici riportati nella descrizione degli SFR (Cfr. TdS ai sottoparagrafi del paragrafo 6.1). Per evitare possibili omonimie, tutti sono scritti in corsivo sottolineato. Tutte le TSFI interferenti, accanto ai parametri indicati nel seguito, fanno riferimento anche alla parola chiave fornita dall’operatore per poterle invocare. Un addetto non riesce ad accedere alle TSFI interferenti che, in quel momento, sono inibite (dall’ODV), per ragioni di incompatibilità con l’attributo di sicurezza operatività corrente dell’apparecchio di gioco. L’attributo di sicurezza operatività corrente è espressione dei contenuti di variabili software dell’ODV menzionate nei SFR del TdS tramite il nome simbolico stato interno. Nella configurazione di avvio del software eseguibile dell’ODV, le variabili software associate agli oggetti di sicurezza delle TSF sono caricate con i valori iniziali attesi dalle operazioni di sicurezza delle TSF. In tale maniera, nell’ambito delle TSF, risultano fissati i valori iniziali degli attributi di sicurezza. 9.1 Registrazione manutenzione scheda I modi di funzionamento della TSFI qui in oggetto sono esplicitati nel paragrafo 6 di questo Allegato. L’accesso agli oggetti citati in <1.2>FMT_MSA.1 è svolto nella TSFI qui riferita da operatore autenticato per il ruolo ELSY. Alla fine di questo sottoparagrafo è riportata la casistica delle operazioni di manutenzione che un addetto può eseguire su una scheda. Ciascuna operazione include, come suo parametro integrativo, un codice identificativo (CODISP) di 16 caratteri alfanumerici con cui ELSY identifica univocamente i tipi di dispositivi e componenti circuitali presenti sulla scheda oggetto di manutenzione. Per alcuni tipi di manutenzione, il software della scheda è già a conoscenza ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 45 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge dell’CODISP pertinente. In tale caso la mimica di interazione dell’ODV esonera l’addetto dall’introduzione del CODISP. Basta la sola selezione della funzione di manutenzione eseguita. Con riferimento ai nomi simbolici impiegati nel paragrafo 6.1. 2 codice del tipo di manutenzione è il numero di due cifre iniziante per 9 riportato nella seconda colonna della tabella seguente. Viceversa, parametri complementari, coincide con CODISP. Codice AAMS 90 Manutenzione ordinaria della scheda di gioco Non viene richiesto CODISP Codice AAMS 91 Sostituzione della scheda di gioco Non viene richiesto CODISP Codice AAMS 92 Riparazione sensore di apertura della scheda di gioco Viene richiesto CODISP del sensore Codice AAMS 94 Sostituzione sensore di apertura della scheda di gioco Viene richiesto CODISP del sensore Codice AAMS 9A Sostituzione batteria Viene richiesto CODISP della batteria Codice AAMS 9B Riparazione del lettore del dispositivo di contr. di AAMS Viene richiesto CODISP del sensore Codice AAMS 9C Sostituzione del lettore del dispositivo di contr. di AAMS Viene richiesto CODISP del sensore Codice AAMS 9D Riparazione di altro dispositivo Viene richiesto CODISP Codice AAMS 9E Sostituzione di altro dispositivo Viene richiesto CODISP 9.2 Registrazione manutenzione apparecchio I modi di funzionamento della TSFI qui in oggetto sono esplicitati nel paragrafo 7.1 di questo Allegato. L’accesso agli oggetti citati in <1.3>FMT_MSA.1 è svolto nella TSFI qui riferita da operatore autenticato per i ruoli ELSY e produttore. Alla fine di questo sottoparagrafo è riportata la casistica delle operazioni di manutenzione che un addetto può eseguire su un apparecchio di gioco. Ciascuna operazione include, come suo parametro integrativo, un codice identificativo (CODISP). Per alcuni tipi di manutenzione, il software della scheda è già a conoscenza dell’CODISP pertinente. In tale caso la mimica, di interazione dell’ODV esonera l’addetto dall’introduzione di CODISP. Basta la sola selezione della funzione di manutenzione eseguita. Codice AAMS 93 Riparazione sensore della copertura del cont. della scheda di gioco Viene richiesto CODISP Codice AAMS 95 Sostituzione sensore della copertura del cont. della scheda di gioco Viene richiesto CODISP Codice AAMS 96 Riparazione del dispositivo di inserimento delle monete Non viene richiesto CODISP Codice AAMS 97 Sostituzione del dispositivo di inserimento delle monete Non viene richiesto CODISP Codice AAMS 98 Riparazione del dispositivo di erogazione delle monete Non viene richiesto CODISP Codice AAMS 99 Sostituzione del dispositivo di erogazione delle monete Non viene richiesto CODISP Codice AAMS 9D Riparazione di altro dispositivo Viene richiesto CODISP Codice AAMS 9E Sostituzione di altro dispositivo Viene richiesto CODISP Con riferimento ai nomi simbolici impiegati nel paragrafo 6.1. 3 codice del tipo di manutenzione è il numero di due cifre iniziante per 9 riportato nella seconda colonna della tabella precedente. Viceversa, parametri complementari, coincide con CODISP. 9.3 Etichettamento degli apparecchi di gioco I modi di funzionamento della TSFI qui in oggetto sono esplicitati nel paragrafo 7.2 di questo Allegato. ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 46 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge L’accesso oggetti citati in <1.4>FMT_MSA.1 è svolto nella TSFI qui riferita da operatore autenticato per i ruoli ELSY e produttore. La TSFI qui in oggetto, accanto al suo codice identificativo (virtuale), prevede, come nome apparecchio, il CODISP dell’apparecchio di gioco. 9.4 Completamento collaudo di un apparecchio di gioco La TSFI relativa al completamento del collaudo dell’apparecchio (§ 7.3) è priva di parametri ulteriori, a valle della parola chiave di autenticazione dell’addetto. L’accesso agli oggetti citati in <1.5>FMT_MSA.1 è svolto nella TSFI qui riferita da operatore autenticato per i ruoli ELSY e produttore. 9.5 Configurazione delle gettoniere I modi di funzionamento della TSFI qui in oggetto sono esplicitati nel paragrafo 7.4 di questo Allegato. L’accesso agli oggetti citati in <1.6>FMT_MSA.1 è svolto nella TSFI qui riferita da operatore autenticato per i ruoli ELSY e produttore. I parametri complementari della TSFI qui in oggetto (codifica gettoniere) forniti dall’addetto sono speciosi del tipo di apparecchio e dei dispositivi di trattamento delle monete che possono esservi istallati. I medesimi possono essere rilevati eseguendo un’operazione di esercizio su un apparecchio di gioco con a bordo la scheda cui si rapporta l’ODV. Bcasta accedere alla schermata dedicata allo scopo, situata a valle della [Produttore] di Fig.1. 9.6 Impostazione del datario I modi di funzionamento della TSFI qui in oggetto sono esplicitati nel paragrafo 7.5 di questo allegato. L’accesso agli oggetti citati in <1.7>FMT_MSA.1 è svolto nella TSFI qui riferita da operatore autenticato per i ruoli ELSY e produttore. La TSFI qui in oggetto, accanto al suo codice identificativo (virtuale), prevede, come argomenti complementari, cinque interi con cui sono fissati giorno, mese, anno, ora minuti da caricare per sincronizzare la scheda sul tempo corrente. I cinque interi si mappano sul nome simbolico codice data ora. 9.7 Registrazione (delle parole di accesso non temporanee) ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 47 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge I modi di funzionamento della TSFI qui in oggetto sono esplicitati nel paragrafo 8.1 di questo Allegato. L’accesso agli oggetti citati in <1.8>FMT_MSA.1 è svolto nella TSFI qui riferita da operatore autenticato per i ruoli ELSY e produttore. Seguono gli ulteriori parametri previsti per i comandi di registrazione delle parole di accesso non temporanee. 1. Il primo carattere della parola di accesso cui si fa riferimento (indice parola), 2. gli ulteriori caratteri della parola di accesso in fase di registrazione (corpo parola), 3. l’IDSOGG dell’organizzazione cui è afferente la parola chiave. Nel caso di richieste di rimozioni di registrazioni, è richiesto solo il primo (indice parola) dei tre argomenti sopra elencati. 9.8 Automodifica delle parole chiave di accesso I modi di funzionamento della TSFI qui in oggetto sono esplicitati nel paragrafo 8.2 di questo Allegato. Seguono gli ulteriori parametri previsti per il comando di automodifica. 1. I caratteri della nuova parola di accesso (da sostituire alla precedente) (nuovo corpo), 2. IDSOGG dell’organizzazione cui è afferente la parola chiave. 10. Copertura degli SFR del TdS Segue la casistica della copertura (da parte modi di funzionamento previsti per Backoffice) di quanto specificato negli SFR del TdS. 10.1 Ruoli e Addetti La copertura del SFR FMT_SMR.1 di cui al § 6.1.1 del TdS, è soddisfatta in ragione dei seguenti dati di fatto. Definizione dei ruoli I ruoli ELSY e produttore sono implementati tramite i corrispondenti tipi di parole chiave (§ 5 di questo Allegato). Fruizione dei ruoli di sicurezza I ruoli possono essere fruiti solamente da addetti che operano sull’apparecchio di gioco, facendo uso delle capacità interattive offerte dal medesimo (§ 2 di questo Allegato). Come eccezione a questa regola, le operazioni di competenza esclusiva del Titolare possono essere svolte con la scheda di gioco istallata in un banco di laboratorio che emula i comportamenti dell’apparecchio di gioco (§ 2 di questo Allegato.). Autenticazioni ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 48 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge Le mimiche di interazione protetta sono basate su un processo di autenticazione che richiede le parole chiave assegnate ai ruoli ELSY e produttore (Cfr. § 5 di questo Allegato.). La copertura del SFR FMT_SMF.1 di cui al § 6.1.1 del TdS è garantita dalle due TSFI esplicitate nei paragrafi 9.7 e 9.8 di questo Allegato 1. 10.2 Manutenzione delle schede di gioco I modi secondo cui si da luogo a quanto statuito negli SFR pertinenti al caso (§ 6.1.2 del TdS) sono esplicitati nella TSFI di cui al paragrafo 9.1 di questo Allegato. 10.3 Manutenzione degli apparecchi di gioco I modi secondo cui si da luogo a quanto statuito negli SFR pertinenti al caso (§ 6.1.3 del TdS) sono esplicitati nella TSFI di cui al paragrafo 9.2 di questo Allegato. 10.4 Etichettamento degli apparecchi di gioco I modi secondo cui si da luogo a quanto statuito negli SFR pertinenti al caso (§ 6.1.4 del TdS) sono esplicitati nella TSFI di cui al paragrafo 9.3 di questo Allegato. 10.5 Chiusura del collaudo degli apparecchi di gioco I modi secondo cui si da luogo a quanto statuito negli SFR pertinenti al caso (§ 6.1.5 del TdS) sono esplicitati nella TSFI di cui al paragrafo 9.4 di questo Allegato. 10.6 Configurazione delle gettoniere I modi secondo cui si da luogo a quanto statuito negli SFR pertinenti al caso (§ 6.1.6 del TdS) sono esplicitati nella TSFI di cui al paragrafo 9.5 di questo Allegato. 10.7 Impostazione del datario degli apparecchi di gioco I modi secondo cui si da luogo a quanto statuito negli SFR pertinenti al caso (§ 6.1.7 del TdS) sono esplicitati nella TSFI di cui al paragrafo 9.6 di questo Allegato. 10.8 Registrazione delle parole di accesso non capostipite I modi secondo cui si da luogo a quanto statuito negli SFR pertinenti al caso (§ 6.1.8 del TdS) sono esplicitati nella TSFI di cui al paragrafo 9.7 di questo Allegato. 10.9 Automodifica della parola chiave I modi secondo cui si da luogo a quanto statuito negli SFR pertinenti al caso (§ 6.1.9 del TdS) sono esplicitati nella TSFI di cui al paragrafo 9.8 di questo Allegato. 10.10 Sessioni concorrenti ElectroSystem s.p.a. TDS PER IL SOFTWARE “BACKOFFICE V. 5.0” INCLUSO NELLA SCHEDA DI GIOCO ELSY J0E001 BLACK KILLER Rev. 2 Pag. 49 di 49 ELECTROSYSTEM S.p.a. Proprietà riservata. La riproduzione e la diffusione sono vietate a termini di legge Dalle considerazioni esposte nei precedenti paragrafi, emerge la seguente casistica di copertura degli SFR riportati al paragrafo 6.1.10 del TdS:  FTA_MCS.2: Su ogni apparecchio di gioco può essere operativa al più una sessione di esercizio e manutenzione. Ciò mentre non è in corso una partita di gioco (§ 3 di questo Allegato).  FTA_TSE.1: Le partite di gioco non possono essere avviate mentre è attiva una sessione di esercizio e manutenzione (§ 3 di questo Allegato).  FTA_TSE.1: Occorre premere il pulsante TEST dell’apparecchio per avviare una sessione di esercizio/manutenzione (§ 3 di questo Allegato).  FTA_SSL.4: Nella sequenza di schermate navigate dall’addetto sono presenti bottoni software con cui il medesimo chiude la sessione di esercizio e manutenzione dell’apparecchio (Cfr. inizio del § 3 di questo Allegato).  FIA_SOS.1: Il segreto fornito per un accesso alle funzioni di competenza del ruolo ELSY è di 7 caratteri alfanumerici, sempre preceduti da un prologo di 1 carattere (§ 5 di questo Allegato).  FIA_UID.1 FIA_UAU.1: Nell’ODV, identificazione e autenticazione vanno di pari passo. Un addetto è autenticato e identificato in ragione del fatto che dispone di un’acconcia parola chiave di 8 caratteri (Il primo identifica il ruolo e altre speciosità. I restanti 7 rappresentano il segreto), assegnata e nota a lui solo. Su questo punto risulta fondamentale quanto esplicitato al paragrafo 4 del TdS. Prima che un utente sia autenticato/identificato, le TSF consentono lo svolgimento delle azioni per cui non è specificatamente richiesta l’autenticazione dell’addetto (§ 5 di questo Allegato.).  FIA_UAU.4: Parole chiave temporanee, afferenti al ruolo produttore, sono assegnate per interventi da eseguire nell’ambito di una sola sessione (§ 8.3 di questo Allegato).  FIA_AFL.1: Le TSF contano le ricorrenze delle autenticazioni fino a quando non si verifichino 3 autenticazioni mancate consecutive nell’ambito della medesima sessione. Quando il numero massimo di tentativi mancati viene raggiunto o superato, le TSF inviano acconcio messaggio verso il dispositivo di controllo AAMS (Cfr. fine del § 5 di questo Allegato).