Sicherheitsarchitektur und Compliance für thesphere.ch

thesphere.ch betreibt Sicherheitsmechanismen, die auf den Schutz personenbezogener Daten, Spielintegrität und finanzielle Transaktionen ausgerichtet sind. Kernprinzipien sind minimale Rechte, starke Authentifizierung, Ende‑zu‑Ende-Verschlüsselung und permanente Überwachung. Für Schweizer und EU‑Spieler werden regulatorische Anforderungen wie das Schweizer Geldwäschereigesetz und die DSGVO berücksichtigt, ergänzt durch branchenspezifische Prüfstandards für Zufallszahlengeneratoren und Zahlungsverarbeitung.

Kernmechanismen, Zugriff und Datenverschlüsselung

Kernmechanismen, Zugriff und Datenverschlüsselung

Zugriffsrechte werden nach dem Least‑Privilege‑Prinzip implementiert. Rollenbasierte Zugriffskontrolle ermöglicht explizite Trennung von Entwicklungs-, Test‑ und Produktionsumgebungen. Authentifizierung erfolgt mittels mehrstufiger Verfahren: Passwortregeln mit Komplexitätsanforderungen, mehrfaktorige Authentifizierung (MFA) auf Basis von FIDO2‑Schlüsseln oder zeitbasierten Einmalcodes und adaptive Authentifizierung bei risikobehafteten Transaktionen. Sitzungsmanagement schließt strikte Timeouts, Token‑Rotation und serverseitige Session‑Invalidierung bei Änderungen der Nutzerkontextdaten ein.

Datenübertragung nutzt TLS 1.3 mit modernen Cipher Suites und Forward Secrecy. Daten-at‑rest sind standardmäßig mit AES‑256 verschlüsselt. Kritische Schlüssel werden in Hardware Security Modules (HSM) verwaltet. Protokollierung sensibler Operationen erfolgt verschlüsselt und mit Integritätsprüfungen, um Manipulationen zu verhindern. Für EU‑Nutzer besteht zusätzliches Augenmerk auf DSGVO‑Rechten, Löschfristen und Datenminimierung.

Netzwerk, Infrastruktur und Serverabsicherung

Netzwerk, Infrastruktur und Serverabsicherung

Infrastruktur wird in zonierten Umgebungen betrieben, getrennt nach Perimeter, Anwendungs‑ und Datenbankebenen. Cloud‑ und lokale Rechenzentren erfüllen ISO 27001‑Standards und Schweizer Datenschutzanforderungen. Edge‑Dienste reduzieren Latenz und schützen gegen volumetrische Angriffe. Schwachstellenmanagement umfasst regelmäßige Patchingzyklen und automatisierte Scans.

Serverhärtung baut auf CIS‑Benchmarks und automatisierten Images auf. Konfigurationsmanagement erfolgt mit Infrastructure as Code, Prüfungen gegen Drift sind automatisiert. Für Datenbanken gelten strikte Verbindungsregeln, Rollenbasiertes Zugriffsmanagement und verschlüsselte Replikation.

Betrugsprävention, KYC und regulatorische Prüfungen

Betrugsprävention, KYC und regulatorische Prüfungen

Zahlungsabwicklung orientiert sich an PCI‑DSS Level 1. Karten‑ und Wallet‑Transaktionen werden tokenisiert, 3D Secure 2.x implementiert und Transaktionen auf Betrugsmuster in Echtzeit geprüft. Fraud‑Detection kombiniert regelbasierte Engine mit Machine‑Learning‑Modellen zur Erkennung von Zahlungsfingerprints, Account‑Takeover und Bonusmissbrauch. Verdächtige Vorgänge werden automatisch an die Wirtschaftsintegritätsprüfer weitergeleitet.

KYC‑Prozesse beruhen auf digitalen Identitätsprüfungen durch Anbieter wie IDnow oder Veriff kombiniert mit manueller Fallprüfung für Hochauszahlungsfälle. Altersverifikation und Namensabgleich entsprechen der schweizerischen Rechtslage; Meldungen nach Geldwäschereigesetz erfolgen an MROS. Für hohe Beträge wird eine erweiterte Due‑Diligence durchgeführt.

Regulatorische Compliance umfasst Lizenzanforderungen nach schweizerischem Glücksspielrecht und Prüfungen durch die Eidgenössische Spielbankenkommission. Externe Zertifizierungen wie ISO/IEC 27001 werden angestrebt und regelmäßig auditiert. RNG‑Integrität wird durch unabhängige Prüfstellen wie GLI, iTech Labs oder BMM verifiziert; Ergebnisse und Prüfnormen werden veröffentlicht.

Tests, Reaktion, Monitoring und Betriebssicherheit

Tests, Reaktion, Monitoring und Betriebssicherheit

Regelmäßige Penetrationstests durch akkreditierte Anbieter werden halbjährlich durchgeführt, ergänzt durch kontinuierliche Schwachstellen‑Scans und ein offenes Belohnungsprogramm für verantwortungsvolle Meldungen. Ein Security Operations Center analysiert Logs mittels SIEM (z. B. Elastic Stack oder Splunk) und betreibt Playbooks für Incident Response. Backups sind geografisch getrennt und Wiederherstellungsübungen finden quartalsweise statt.

Mitarbeiter müssen verpflichtende Sicherheits‑ und Datenschutzschulungen absolvieren. Zugangskontrollen für Admin‑Systeme sind strikt, mit Multi‑Personen‑Genehmigungen für kritische Aktionen. Lieferanten werden durch Vendor Risk Assessments geprüft, API‑Integrationen erfolgen über OAuth2 mit Mutually Authenticated TLS und restriktiven Ratenlimits.

Mobile‑Apps und API‑Schnittstellen folgen Secure‑Coding‑Richtlinien und OWASP‑Empfehlungen. App‑Store‑Veröffentlichungen unterliegen zusätzlichen Prüfkriterien. Maßnahmen zum Schutz verantwortungsvollen Spielens umfassen Einzahlungslimits, Zeitlimits, Selbstsperre, Identitätsprüfungen bei Verdacht auf Spielsucht und Kooperationen mit regionalen Hilfsorganisationen.

Insgesamt basiert die Sicherheitsarchitektur auf mehrschichtigen Kontrollen, geprüften Kryptostandards, gesetzlichen Vorgaben in der Schweiz und der EU sowie unabhängigen Prüfungen zur Sicherstellung von Spielintegrität und Datenschutz. Das System ist darauf ausgelegt, Risiken früh zu erkennen, Ereignisse schnell zu behandeln und die Verfügbarkeit sowie Vertraulichkeit spielrelevanter Daten konstant zu gewährleisten.