Key highlights:
In the iGaming and online sports betting industry, where cybersecurity breaches can result in unauthorised access, identity theft, account takeovers, operational disruptions and reputational damage, MFA is an essential security measure. It’s also mandated for the regulated Brazilian iGaming market, where operators must submit proof of compliance.
In this blog, Luana Monje, Brazil-based Sales Executive at Continent 8 Technologies, explores the significance of MFA in Brazil’s exciting market, highlighting its role as both a regulatory cybersecurity requirement, outlining key considerations when selecting an effective authentication platform, and showcasing Continent 8’s passwordless MFA solution designed to deliver the most seamless single-step PIN experience.
According to the Secretariat of Prizes and Bets (SPA) and the Ministry of Finance’s (MF) technical and cybersecurity guidelines for Brazil’s betting systems (Ordinance No. 722, available in Portuguese), MFA is defined as:
A type of authentication that uses two or more of the following elements to verify a user’s identity: information known only to the user, such as a password, a pattern, or answers to challenge questions; an item owned by a user, such as an electronic token, a physical token, or an identification card; a user’s biometric data, such as fingerprints, facial or voice recognition.
First and foremost, Brazilian regulations require the implementation of MFA across several technical and cybersecurity requirements outlined in Ordinance No. 722. These requirements include:
Ordinance 722, Annex I, sections 12, 13 and 16 – Access to the betting system:
a) at least once every 7 (seven) days; or
b) on the first access after a period of inactivity of more than 7 (seven) days.
Ordinance 722, Annex IV, section 25f – Technical Controls, DNS requirements:
25 – The following requirements apply to servers used to resolve Domain Name System (DNS) queries in association with the betting system:
f) multi-factor authentication must be in place
MFA provides a layer of cybersecurity that significantly mitigates the risk of unauthorised access, thereby safeguarding sensitive data and personal information.
With MFA being a regulatory requirement in Brazil, iGaming and online sports betting operators need to evaluate which MFA options are most suitable for their operations. Here are some key considerations when assessing an MFA platform, and how Continent 8 can support your MFA journey.
| Key Consideration | The Continent 8 MFA Advantage |
|---|---|
| User experience | Same passwordless, 2-second, single-step login – on all devices and browsers
99.9% of users log in within 2 seconds. Supports biometric auth in apps. Our MFA solution ensures consistent user experiences across both app and browser platforms, while also offering the option of local biometric authentication for apps. |
| Compatibility / Operability | 100% of devices, 100% of browsersOur MFA solution ensures complete independence from hardware or operating systems, enabling compatibility across all devices and platforms.
By providing our solution through the same browser interface as the operator’s service, or by embedding the technology directly into the operator’s native app, we support:
|
| Login success rate | 99.93% login success or higherOur MFA platform streamlines the login process to a passwordless, single user step. The system is capable of operating with either a PIN or biometric authentication, providing users with flexibility and a reliable fallback across any device or browser.
Each additional step increases the potential for user error, and every dependency (such as downloads, installations, mobile phones, cellular networks, or username entry) introduces a potential point of failure for both users and the system. Our platform achieves a 99.93% login success rate in consumer-facing applications, using either a 4-digit PIN or device-based biometric authentication where available. Our platform also attains a 99.997% success rate in action (transaction) authentication. There is no difference in success rates between mobile and tablet/laptop devices, as the system does not rely on the presence of a mobile device. |
| Registration success rate | +18% in player registrations, 20% boost in profitsOur MFA solution’s enrolment process simply requires users to select a 4-digit PIN. This procedure does not require any permissions, downloads, plug-ins, imported keys or configurations, thereby eliminating registration failures. The enrolment can be completely invisible and take place during customer registration.
User process – on any device or browser:
The result: +18% increase in user registrations which can boost profits by up to 20%. |
| Support costs | 90% savings in support costs
Our MFA solution minimises support-related expenses and resources with a self-sufficient service. For example, this platform eliminates the need for password reset assistance – accounting for up to 60% of support desk inquiries, costing an estimated $15-70 per call – and customer validation. |
| MSSP services | 360-degree support
As an MSSP, we offer comprehensive end-to-end support for seamless evaluation, deployment, and ongoing assistance by:
|
| Technology | Minimal attack surface, no single point of failure
Our MFA solution employs advanced zero-knowledge proof of identity, ensuring a minimal trust surface and eliminating any single point of failure. Provides robust two-factor authentication, with the option of a software-only solution. |
| Data privacy | Zero information required
Our MFA solution does not require any Personally Identifiable Information (PII) from the end user. Instead, we only need a unique identifier, which may be a hash of a mobile number, email address, or username, thereby ensuring the solution’s adaptability to various identity schemes. |
The iGaming and online betting industry is constantly evolving, with new technologies and threats emerging regularly. Multi-factor authentication is an essential component of future-proofing betting and gaming platforms against these evolving risks. By integrating advanced authentication methods, iGaming and online sports betting operators can stay ahead of cyber threats and continuously protect their systems and players’ data.
Continent 8 is committed to supporting businesses in the iGaming and online sports betting industry with their cybersecurity needs. Our team of experts works closely with you to design and implement tailored MFA solutions that align with your regulatory requirements and business objectives.
To learn more about Continent 8’s MFA solution, contact Luana at luana.monje@continent8.com.
On May 2, 2024, the Secretariat of Prizes and Bets (SPA) and the Ministry of Finance (MF) issued Ordinance No. 722 (link here in Portuguese). This set of regulations outlines the essential technical and cybersecurity criteria that iGaming and online sports betting operators must adhere to within six months of obtaining their gaming licenses.
In her blog series, Luana Monje, Sales Executive at Continent 8 Technologies, examines the latest infrastructure, cloud, cybersecurity and regulatory developments for the newly regulated Brazilian iGaming and online sports betting market. In her first blog, Luana explored the Ordinance 722’s penetration testing requirement, and in this blog, she investigates the recovery and backup system, business continuity and disaster recovery plan and firewall protection requirements in full detail.
Ordinance 722, Annex IV, section 15 – Recovery: In the event of a catastrophic failure where the betting system, or any component or platform, cannot be reset in any other way, it must be possible to restore the system from the last backup point and fully recover it.
Ordinance 722, Annex IV, section 17 – Business continuity and disaster recovery plan: A business continuity policy and disaster recovery plan must be adopted to recover betting operations if the production environment of the betting system or any of its platforms becomes inoperable.
In the regulations outlined for iGaming and online sports betting in Brazil, robust recovery and business continuity mechanisms must be in place to ensure that, should a catastrophic failure occur, the operator or supplier can restore the betting system and fully recover from the last backup point.
Ordinance 722’s recovery section explains that such backups must encompass not only the recorded information but also extend to include location-specific details such as security configurations and user accounts. Furthermore, current system encryption keys and a comprehensive record of system parameters – whether modifications, reconfigurations, additions, merges, deletions, adjustments or changes to parameters – need to be meticulously maintained.
Meanwhile, Ordinance 722’s business continuity and disaster recovery section recommends that the plan comprise data storage methodologies to minimise losses, document the recovery procedures and provide a comprehensive recovery guide. Moreover, it should propose the process for resuming administrative operations post-recovery, tailored to the system’s operational context.
The Continent 8 solution: Our multi-pronged services approach offers operators and suppliers the optimal path to backup and business continuity in the event of an incident or disaster.
Ordinance 722, Annex IV, section 31 – Firewall: All communications, including remote access, must pass through at least one approved application-level firewall.
An effective firewall serves as the guardian of the network, meticulously scrutinising all incoming and outgoing communications to thwart unauthorised access and potential threats. Ordinance 722’s firewall communication suggests that the firewall be placed at the juncture of different security domains, ensuring that no alternative network path exists that could circumvent the firewall. Only essential applications related to the firewall’s operation are permitted to reside on the device, and access is restricted to a limited number of user accounts, primarily network or system administrators. These firewalls should analyse all incoming and outgoing communications, ensuring that only traffic from trusted network sources is permitted. Furthermore, stringent access controls, backed by the latest encryption protocols, safeguard remote interactions with the gaming platform.
The Continent 8 solution: Our Firewall service includes customisable IDS/IPS capabilities. When combined with our managed Security Operations Centre (SOC) service, IDS/IPS events are enriched with specific threat intelligence and ingested into our Security Incident and Event Management (SIEM) platform. Our SOC analysts can then deliver powerful insights into a customer’s current threat state and perimeter activities, providing detection, prevention and responses to known and emerging threats.
Recovery and business continuity plans, along with firewall protection, provide an excellent starting point for iGaming and online sports betting operators and suppliers launching operations in Brazil’s regulated gaming market. For end-to-end protection, we recommend operators and suppliers adopt a holistic risk mitigation approach. A complete, 360-degree defense strategy includes:
By referencing the SPA and MF’s Ordinance 722 policies and partnering with an experienced and trusted solutions provider like Continent 8, operators and suppliers can deploy multi-defense, multi-layer cybersecurity protection strategies for their iGaming and online sports betting platform. This approach enables them to comply with Brazil’s latest technical and cybersecurity regulations while demonstrating their commitment to providing secure and trustworthy gaming environments and experiences.
Continent 8 Technologies, the trusted managed hosting, connectivity, cloud and cybersecurity partner to the global iGaming and online sports betting industry for over 25 years, is live in every major regulated Latin American (LATAM) jurisdiction, including Brazil.
Operating out of the LATAM region since 2020, we offer operators and suppliers access to state-of-the-art data centres, connectivity to a global private network featuring 100+ locations across four continents and best-in-class managed and professional services to support the most demanding iGaming and online sports betting requirements.
Discover why Continent 8 is the go-to infrastructure and cybersecurity provider for leading LATAM operators and suppliers such as Betcris, Boldt, Bplay and Vibra Gaming, and learn how we ensure the seamless implementation of compliant and secure infrastructures so that your Brazilian gaming operations are live from day one.
For more information on how Continent 8 can support your organisation’s regulatory and cybersecurity requirements, visit www.continent8.com/br or contact Luana at luana.monje@continent8.com.
A 2 de maio de 2024, a Secretaria de Prémios e Apostas (SPA) e o Ministério das Finanças (MF) emitiram a Portaria n.º 722 (link aqui). Este conjunto de regulamentos define os critérios técnicos e de cibersegurança essenciais que os operadores de iGaming e de apostas esportivas online devem cumprir no prazo de seis meses após a obtenção das suas licenças de jogo.
Em sua série de blogs, Luana Monje, Executiva de Vendas da Continent 8 Technologies, examina os mais recentes desenvolvimentos de infraestrutura, nuvem, cibersegurança e regulamentação para o recém-regulamentado mercado brasileiro de iGaming e apostas esportivas online. Em seu primeiro blog, Luana explorou o requisito de teste de penetração da Portaria 722, e neste blog, ela investiga o sistema de recuperação e backup, continuidade de negócios e plano de recuperação de desastres e requisitos de proteção de firewall em detalhes completos.
Portaria 722, Anexo IV, secção 15 – Recuperação: Na eventualidade de uma falha catastrófica em que o sistema de apostas, ou qualquer componente ou plataforma, não possa ser reposto de outra forma, deve ser possível restaurar o sistema a partir do último ponto de cópia de segurança e recuperá-lo totalmente.
Portaria 722, Anexo IV, secção 17 – Plano de continuidade das actividades e de recuperação de desastres: Uma política de continuidade de negócios e um plano de recuperação de desastres devem ser adotados para recuperar as operações de apostas se o ambiente de produção do sistema de apostas ou qualquer uma de suas plataformas se tornar inoperante.
Nos regulamentos delineados para o iGaming e as apostas esportivas no Brasil, devem existir mecanismos robustos de recuperação e continuidade do negócio para garantir que, em caso de falha catastrófica, o operador ou fornecedor possa restaurar o sistema de apostas e recuperar totalmente a partir do último ponto de backup.
A secção de recuperação do Decreto 722 explica que essas cópias de segurança devem incluir não só as informações registadas, mas também pormenores específicos do local, como as configurações de segurança e as contas de utilizador. Além disso, as chaves de encriptação actuais do sistema e um registo exaustivo dos parâmetros do sistema – quer se trate de modificações, reconfigurações, adições, fusões, eliminações, ajustamentos ou alterações de parâmetros – devem ser meticulosamente mantidos.
Entretanto, a secção relativa à continuidade das actividades e à recuperação de desastres da Portaria 722 recomenda que o plano inclua metodologias de armazenamento de dados para minimizar as perdas, documente os procedimentos de recuperação e forneça um guia de recuperação abrangente. Além disso, deve propor o processo de retoma das operações administrativas após a recuperação, adaptado ao contexto operacional do sistema.
A solução Continent8: A nossa abordagem de serviços multifacetados oferece aos operadores e fornecedores o caminho ideal para a recuperação e continuidade do negócio no caso de um incidente ou desastre.
(O webinar está disponível em inglês e espanhol)
Portaria 722, Anexo IV, secção 31 – Firewall: Todas as comunicações, incluindo o acesso remoto, devem passar pelo menos por uma firewall aprovada a nível da aplicação.
Uma firewall eficaz actua como guardiã da rede, analisando meticulosamente todas as comunicações de entrada e saída para impedir o acesso não autorizado e potenciais ameaças. A comunicação da firewall do Decreto 722 sugere que a firewall seja colocada na junção de diferentes domínios de segurança, garantindo que não exista nenhum caminho de rede alternativo que possa contornar a firewall. Apenas as aplicações essenciais relacionadas com o funcionamento da firewall são autorizadas a residir no dispositivo e o acesso é restringido a um número limitado de contas de utilizador, principalmente administradores de rede ou de sistemas. Estas firewalls devem analisar todas as comunicações de entrada e saída, garantindo que só é permitido o tráfego proveniente de fontes de rede fiáveis. Além disso, controlos de acesso rigorosos, apoiados pelos mais recentes protocolos de encriptação, protegem as interações remotas com a plataforma de jogo.
A solução Continent8: O nosso serviço de Firewall inclui capacidades IDS/IPS personalizáveis. Quando combinados com o nosso serviço gerido do Centro de Operações de Segurança (SOC), os eventos IDS/IPS são enriquecidos com informações específicas sobre ameaças e ingeridos na nossa plataforma de gestão de incidentes e eventos de segurança (SIEM). Os nossos analistas do SOC podem então fornecer informações poderosas sobre o estado atual das ameaças e as actividades de perímetro de um cliente, fornecendo deteção, prevenção e respostas a ameaças conhecidas e emergentes.
Os planos de recuperação e continuidade do negócio, juntamente com a proteção da firewall, constituem um excelente ponto de partida para os operadores e fornecedores de iGaming e de apostas esportivas online que iniciam operações no mercado de jogo regulamentado do Brasil. Para uma proteção de ponta a ponta, recomendamos que os operadores e fornecedores adoptem uma abordagem holística de mitigação de riscos. Uma estratégia de defesa completa e de 360 graus inclui (ligações de produtos em inglês):
Ao fazer referência às políticas da SPA e da Portaria 722 do MF e fazer parceria com um provedor de soluções experiente e confiável como a Continent8, operadores e fornecedores podem implantar estratégias de proteção de segurança cibernética multi-defesa e multi-camadas para sua plataforma de apostas esportivas iGaming e online. Essa abordagem permite que eles cumpram as mais recentes regulamentações técnicas e de segurança cibernética do Brasil, ao mesmo tempo em que demonstram seu compromisso em fornecer ambientes e experiências de jogos seguros e confiáveis.
A Continent 8 Technologies, parceira confiável de hospedagem gerenciada, conetividade, nuvem e cibersegurança para a indústria global de iGaming e apostas esportivas online há mais de 25 anos, está ao vivo em todas as principais jurisdições regulamentadas da América Latina (LATAM), incluindo o Brasil.
Operando fora da região da LATAM desde 2020, oferecemos aos operadores e fornecedores acesso a data centers de última geração, conetividade a uma rede privada global com mais de 100 locais em quatro continentes e os melhores serviços gerenciados e profissionais da categoria para suportar os requisitos mais exigentes de iGaming e apostas esportivas online.
Descubra por que a Continent8 é o provedor de infraestrutura e segurança cibernética para os principais operadores e fornecedores da LATAM, como Betcris, Boldt, Bplay e Vibra Gaming, e saiba como garantimos a implementação perfeita de infraestruturas compatíveis e seguras para que suas operações de jogos brasileiros estejam ao vivo desde o primeiro dia.
Para obter mais informações sobre como a Continent8 pode apoiar os requisitos regulatórios e de segurança cibernética da sua organização, visite www.continent8.com/br ou contactar Luana em luana.monje@continent8.com.
On May 2, 2024, the Secretariat of Prizes and Bets (SPA) and the Ministry of Finance (MF) issued Ordinance No. 722 (link here in Portuguese). This set of regulations outlines the essential technical and security criteria that iGaming and online sports betting operators must adhere to within six months of obtaining their gaming licenses.
In a series of blogs over the coming months, Luana Monje, Sales Executive at Continent 8 Technologies, will examine the various requirements for regulated iGaming in Brazil. First up, she examines the penetration testing requirement, along with other cybersecurity considerations, in more detail.
Ordinance 722, Annex IV, section 41 – Penetration testing: The purpose of penetration testing is to exploit any weaknesses discovered during the vulnerability assessment in any publicly exposed applications or systems that host applications that process, transmit and/or store sensitive information.
Executing thorough penetration testing is a testament to an organisation’s dedication to safeguarding user data. Ordinance 722 defines penetration testing as systematically challenging the strength of network and application layers so that operators and suppliers can identify and rectify vulnerabilities.
Our Vulnerability Assessment and Penetration Testing (VAPT) services provide comprehensive security assessments for a customer’s infrastructure and applications. The VAPT solution enables organisations to achieve regulatory compliance and understand their attack surface area, providing a strong foundation for strengthening security posture.
Key benefits include:
VAPT use case: Read how Continent 8 Technologies supports ODDSworks with cybersecurity audit and vulnerability assessment penetration test services. |
Ordinance 722 offers a set of ground rules from which iGaming and online sports betting operators and suppliers should start. Beyond the suggested checklist, operators and suppliers should also consider a holistic approach that ensures end-to-end protection against any security and cyber threat. A 360-degree defense strategy includes:
By referencing the SPA and MF’s Ordinance 722 policies and partnering with an experienced and trusted solutions provider like Continent 8, operators and suppliers can deploy multi-defense, multi-layer security protection strategies for their iGaming and online sports betting platform. This approach enables them to comply with Brazil’s latest technical and security regulations while demonstrating their commitment to providing secure and trustworthy gaming environments and experiences.
Continent 8 Technologies, the trusted managed hosting, connectivity, cloud and cybersecurity partner to the global iGaming and online sports betting industry for over 25 years, is live in every major regulated Latin American (LATAM) jurisdiction, including Brazil.
Operating out of the LATAM region since 2020, we offer operators and suppliers access to state-of-the-art data centers, connectivity to a global private network featuring 100+ locations across four continents and best-in-class managed and professional services to support the most demanding iGaming and online sports betting requirements.
Discover why Continent 8 is the go-to infrastructure and cybersecurity provider for leading LATAM operators and suppliers such as Betcris, Boldt, Bplay and Vibra Gaming, and learn how we ensure the seamless implementation of compliant and secure infrastructures so that your Brazilian gaming operations are live from day one.
For more information on how Continent 8 can support your organisation’s regulatory and cybersecurity requirements, contact Luana at luana.monje@continent8.com.
Em 2 de maio de 2024, a Secretaria de Prêmios e Apostas (SPA) e o Ministério da Fazenda (MF) emitiram a Portaria nº 722. Este conjunto de regulamentos define os critérios técnicos e de segurança essenciais que os operadores de iGaming e de apostas desportivas online devem cumprir no prazo de seis meses após a obtenção das suas licenças de jogo.
Em uma série de blogs nos próximos meses, Luana Monje, Executiva de Vendas da Continent 8 Technologies, examinará os vários requisitos para o iGaming regulamentado no Brasil. Em primeiro lugar, ela examina o requisito de teste de penetração, juntamente com outras considerações de segurança cibernética, em mais detalhes.
Portaria 722, Anexo IV, secção 41 – Testes de penetração: O objetivo dos testes de penetração é explorar quaisquer pontos fracos descobertos durante a avaliação de vulnerabilidades em quaisquer aplicações ou sistemas expostos publicamente que alojem aplicações que processem, transmitam e/ou armazenem informações sensíveis.
A realização de testes de penetração completos é uma prova da dedicação de uma organização à proteção dos dados dos utilizadores. A Portaria 722 define os testes de penetração como um desafio sistemático à força das camadas de rede e de aplicação para que os operadores e fornecedores possam identificar e retificar vulnerabilidades.
Os nossos serviços de Avaliação de Vulnerabilidades e Testes de Penetração (VAPT) fornecem avaliações de segurança abrangentes para as infra-estruturas e aplicações de um cliente. A solução VAPT permite que as organizações atinjam a conformidade regulamentar e compreendam a sua área de superfície de ataque, fornecendo uma base sólida para reforçar a postura de segurança.
As principais vantagens incluem:
Caso de utilização VAPT (em inglês): Leia como a Continent 8 Technologies apoia a ODDSworks com serviços de auditoria de cibersegurança e teste de penetração de avaliação de vulnerabilidades.. |
A portaria 722 oferece um conjunto de regras básicas a partir das quais os operadores e fornecedores de iGaming e de apostas desportivas em linha devem começar. Para além da lista de verificação sugerida, os operadores e fornecedores devem também considerar uma abordagem holística que garanta uma proteção completa contra qualquer ameaça à segurança e à cibersegurança. Uma estratégia de defesa de 360 graus inclui (ligações de produtos em inglês):
Ao fazer referência às políticas da SPA e da Portaria 722 do MF e fazer parceria com um provedor de soluções experiente e confiável como o Continente 8, operadores e fornecedores podem implantar estratégias de proteção de segurança multi-defesa e multi-camadas para sua plataforma de apostas esportivas iGaming e online. Essa abordagem permite que eles cumpram as mais recentes regulamentações técnicas e de segurança do Brasil, ao mesmo tempo em que demonstram seu compromisso em fornecer ambientes e experiências de jogos seguros e confiáveis.
A Continent 8 Technologies, parceira confiável de hospedagem gerenciada, conetividade, nuvem e segurança cibernética para a indústria global de iGaming e apostas esportivas online há mais de 25 anos, está ao vivo em todas as principais jurisdições regulamentadas da América Latina (LATAM), incluindo o Brasil.
Operando a partir da região LATAM desde 2020, oferecemos aos operadores e fornecedores acesso a centros de dados de última geração, conetividade a uma rede privada global com mais de 100 locais em quatro continentes e os melhores serviços gerenciados e profissionais da categoria para apoiar os requisitos mais exigentes de iGaming e apostas desportivas online.
Descubra por que o Continente 8 é o provedor de infraestrutura e segurança cibernética para os principais operadores e fornecedores da LATAM, como Betcris, Boldt, Bplay e Vibra Gaming, e saiba como garantimos a implementação perfeita de infraestruturas compatíveis e seguras para que suas operações de jogos brasileiras estejam ao vivo desde o primeiro dia.
Para obter mais informações sobre como o Continente 8 pode apoiar os requisitos regulatórios e de segurança cibernética da sua organização, visite Continent8.com ou contactar Luana em luana.monje@continent8.com.