Web/App Open
Ausschreibungssnapshot
Interoperabler Ticket- und Tokenspeicher & SDK für Tokenisierung
VDV eTicket Service (VDV-ETS) ist für den deutschen ÖPV-Standard "(((eTicket Deutschland" verantwortlich. Dieser stellt die technische und organisatorische Plattform für den Betrieb von einem interoperablen elektronischen Ticketing im öffentlichen Personenverkehr in Deutschland dar. Neben der Erstellung und Herausgabe…
Einordnung
Was hier tatsaechlich beschafft wird
VDV eTicket Service (VDV-ETS) ist für den deutschen ÖPV-Standard "(((eTicket Deutschland" verantwortlich. Dieser stellt die technische und organisatorische Plattform für den Betrieb von einem interoperablen elektronischen Ticketing im öffentlichen Personenverkehr in Deutschland dar. Neben der Erstellung und Herausgabe des technischen Standards, der Aufstellung von organisatorischen Regeln für Teilnehmer und der Prüfung von eingesetzten Komponenten betreibt VDV-ETS auch zentrale Infrastrukturen für die an (((eTicket-Deutschland teilnehmenden Verkehrsunternehmen und -verbünde. Teile der deutschen ÖPNV-Branche haben das Ziel, den bargeldlosen Verkauf in Fahrzeugen umzusetzen. Erste Umsetzungsprojekte sind bereits in Planung, bzw. Umsetzung. Für diese ABT/ID-Based Ticketing Lösungen und die eng verzahnten ÖV-Netze insbesondere in NRW ist ein interoperabler Ticket- und Tokenspeicher erforderlich, um überregionale Tickets kontrollieren zu können. Im Interesse des Landesverkehrsministeriums NRW und im Sinne einer langfristig effizienten Umsetzung, soll ein gemeinsam genutztes System entstehen, dass in der Lage ist, mittelfristig Ticketdaten und Tickets speichern zu können. Um die deutschen Verkehrsunternehmen zu unterstützen, bank- und kreditkartenbasierte Vertriebstechnologien zu nutzen, muss sichergestellt werden, dass für die Kontrolle relevante Komponenten für alle Beteiligten zugänglich sind. In dieser Prozesskette ist der interoperable Ticket- und Tokenspeicher das Schlüsselsystem, das den hergestellten Bezug in Form eines Pseudonyms (z.B. kryptographischer Hash) zwischen Bank- bzw. Kreditkarte und Tarifprodukt speichert und den angeschlossenen Verkehrsunternehmen auf Anfrage bereitstellt. Für einen öffentlichen Personenverkehr über Stadt- oder Verbundgrenzen hinaus muss dieser Speicher interoperabel, hochverfügbar, standardisiert und diskriminierungsfrei eingerichtet sein. Für eine langfristig effiziente branchenweite Anwendung wird das System im Zielzustand sowohl bei Kauf per Bank- oder Kreditkarte entstehende als auch andere standardisierte Ticketdaten speichern und für die Kontrolle zu Verfügung stellen.
Mehrwertsignale
Einordnung
Lots
Lose und operative Teilleistungen
Der interoperable Ticket- und Tokenspeicher speichert Tickets und pseudonymisierte Token, die von Customer Contract Partners (CCP) ausgegeben werden. Die verwendeten Tokens werden bei der Anlieferung nach einem gesondert spezifizieren Verfahren erstellt. Die pseudonymisierten Tokens werde für die Identifizierung der Tickets und in einem späteren Ausbau der Nutzermedien verwendet. Die Tickets werden über eine spezifizierte Schnittstelle angeliefert and können von Service Operators (SO) abgerufen werden. Im Ticket- und Tokenspeicher werden in definierten Intervallen Reports generiert und den anliefernden CCP zur Verfügung gestellt. Der Ticket- und Tokenspeicher enthält auch eine Nutzerverwaltung für die anliefernden CCP und abrufenden SO. Die Identifizierung und Authentifizierung erfolgt über die bestehenden Sicherheitsmechanismen des eTicket-Deutschland-Schemes. Das bedeutet, dass der Ticket- und Tokenspeicher eine Schlüsselverwaltung beinhalten muss. Dem Realisierer wird eine bereits spezifizierte Schnittstellenbeschreibung zur Verfügung gestellt, die entsprechend den Vorgaben umgesetzt werden muss. Beim interoperablen Ticket- und Tokenspeicher handelt es sich um eine hochverfügbare Datenbankanwendung, die so gestaltet werden muss, dass sie im späteren Betrieb, hochperformant und hochverfügbar umgesetzt werden muss. Des Weiteren muss im Ticket- und Tokenspeicher ein Reporting-, Auditing- und Monitoring-Funktionalität umgesetzt werden. Es ist eine umfangreiche Backup- und Archivierungsfunktionalität vorzusehen. Es muss ein Frontend für die Nutzerverwaltung, das Reporting, das Monitoring, das Auditing und die Verwaltung von Schüsseln vorgesehen werden. Das Hosting muss die Hochverfügbarkeit und Hochsicherheit entsprechend der SLAs garantieren und eine einfache Redundanz sicherstellen. Das redundante System muss in einem separaten Rechenzentrum gehostet und betrieben werden, um eine krisensichere Ausfallsicherheit zu gewährleisten. Außerdem muss genügend Speicher für Backups, Logging und Archivierung der Daten vorgehalten werden. Den Betreibern muss ein ständiger digitaler Kommunikations- und Administrationszugang zur Verfügung gestellt werden. Das Hosting muss aus Datenschutzgründen in Europa erfolgen und den Anforderungen der DSVGO genügen. Hoster mit nur einem Hop entfernt vom nächsten nationalen zentralen Zugangsknoten zum Internet können bevorzugt werden.
Das Software Development Kit (SDK) für die Tokenisierung von Kreditkarteninformationen (inkl. Wallets) muss nach dem vorgegebenen Verfahren von VDV-ETS umgesetzt werden. Mittels dieses SDKs werden auf der Basis von bestimmten Kreditkarteninformationen pseudonymisierte Token erzeugt. Das SDK stellt Funktionen für die Pseudonymisierung von bestimmten Kreditkarteninformationen und die gesicherte Übertragung der verarbeiteten Informationen mit einem aufrufenden Framework oder einer anderen Anwendung bereit. Die entsprechenden Algorithmen werden von VDV-ETS vorgegeben. Außerdem muss das SDK in der Lage sein, die öffentlichen Schlüssel von Kreditkarten einzulesen und entsprechend der Vorgaben aus der Norm ISO 24851 zu pseudonymisieren. Das jeweilige Verfahren muss über einen Parameter eingestellt werden können. Das SDK muss für die Betriebssysteme Windows Server, Linux, Android und IOS bereitgestellt werden.
Historie