VEŘEJNÁ ZAKÁZKA: MODERNIZACE ODBAVOVÁNÍ CESTUJÍCÍCH V IDS JMK - ELEKTRONICKÉ ODBAVOVÁNÍ CESTUJÍCÍCH (EOC)
SEŠIT Č. 2: INTEROPERABILITA S MORAVSKOSLEZSKOU KARTOU
Obsah 1
Úvodní informace ............................................................................................................................ 3
2
Závazné požadavky Objednatele..................................................................................................... 3
3
Společná dopravní aplikace bez sjednocení číselníku zón .............................................................. 4 3.1
Klíče ......................................................................................................................................... 5
3.2
Zabezpečování SAM modulů ................................................................................................... 5
3.3
Možnosti odbavování .............................................................................................................. 6
3.4
Vstupní data- číslování zón, číslování tarifů ............................................................................ 7
3.5
Výstupní data........................................................................................................................... 7
3.6
Zúčtovací centrum................................................................................................................... 8
4
Alternativní řešení ........................................................................................................................... 8
5
Povinnosti Dodavatele..................................................................................................................... 9
6
Další informace................................................................................................................................ 9
strana 2 z 9
1
Úvodní informace
Pro potřeby Moravskoslezského kraje byla vytvořena dopravní aplikace „struktura BČK Moravskoslezské karty“. Struktura BČK Moravskoslezské karty obsahuje 4 samostatné aplikace: Personalizační aplikace, Aplikace Průkazy/Benefity, Aplikace IDS jízdenka a Aplikace elektronická peněženka. Tyto 4 samostatné aplikace mají u NXP registrované jedinečné číslo aplikace, tzv. AID. Objednatel disponuje písemnou smlouvou s držitelem licencí k projektu Moravskoslezské karty – společností Koordinátor ODIS s.r.o., která se zavázala na realizaci projektu spolupracovat a poskytnout potřebnou součinnost a potřebná licenční práva pro úspěšnou realizaci projektu. Předpokládá se společné sdílení klíčů oběma společnostmi. Dále Objednatel disponuje písemnou smlouvou s držitelem autorských práv a licencí k podkladovému materiálu struktury dopravní aplikace a včetně přehledů klíčů a podpisů a rámcové bezpečnostní politiky společností XT Card, a.s., které tvoří nedílnou součást tohoto sešitu č. 2. Pro účely přípravy návrhu technického řešení a nabídky je možné si tyto podklady vyzvednout proti podpisu dohody o ochraně důvěrných informací . 2
Závazné požadavky Objednatele
Následující články této přílohy popisují předpokládaný způsob propojení projektu EOC s Moravskoslezskou kartou a dalšími obdobnými systémy. Dodavatel musí při podání nabídky vycházet z těchto požadavků a zapracovat je do návrhu technického řešení. Návrh technického řešení musí splňovat následující požadavky Objednatele:
Oba systémy musí být schopny fungovat samostatně i bez vzájemného propojení.
Databáze transakcí, karet a dalších údajů vlastních karet ve vlastních spojích (a dalších zařízeních) si vede každý systém odděleně.
Systémy si musí předávat údaje o transakcích cizích karet ve vlastních spojích (a dalších zařízeních) a vlastních karet v cizích spojích (a dalších zařízeních).
Synchronizována musí být data o vydaných kartách, SAM modulech a dalších zařízeních, blacklisty, whitelisty a greenlisty.
Synchronizace musí probíhat minimálně 1x měsíčně.
Dodaný SW a HW musí obsahovat inteligentní kontrolní mechanismy, které zajistí kontinuitu dat mezi všemi zapojenými systémy.
Zakázka musí být realizována tak, aby bylo možné pro projekt EOC využít stávající SAM sloty a SAMy využité u Českých drah pro Moravskoslezskou kartu. Vznik potřeby dalších SAM slotů je nepřípustné.
strana 3 z 9
3
Struktura karty v projektu EOC musí být shodná se strukturou karty definovanou Objednatelem a předanou Dodavateli v rámci zadávacího řízení. Současně tato struktura musí být plně kompatibilní s Moravskoslezskou kartou. Pod pojmem plně kompatibilní se rozumí takové řešení, které umožní plnou funkčnost Moravskoslezské karty v IDS JMK (tzn. Moravskoslezská karta lze využít pro všechny předpokládané funkce BČK v EOC a současně karta EOC vydaná v IDS JMK musí umožnit všechny funkce povolené pro Moravskoslezskou kartu v Moravskoslezském kraji.
Součástí realizace je vyřešení správy klíčů k aplikacím a kartám.
Dodavatel je povinen zajistit potřebné legislativní posudky a navrhnout textaci potřebných smluv. Za jejich uzavření zodpovídá Objednatel.
Dílo musí být realizováno tak, aby v případě, že bude z nějakého důvodu znemožněno propojení systémů během realizace zakázky, mohlo být možné systémy propojit následně pouze formou přenastavení parametrů systému bez nutnosti dodávek dalšího SW nebo HW.
Dílo musí být realizováno tak, aby bylo možné bez dodávek dalšího HW nebo SW na straně Objednatele přidat do systému další subjekty fungující na obdobných principech jako dodaný systém.
Propojení mezi Moravskoslezskou kartou a kartou EOC musí být realizováno na 2 úrovních– společná elektronická peněženka a jednotná dopravní aplikace.
Společná dopravní aplikace bez sjednocení číselníku zón
Struktura BČK Moravskoslezské karty obsahuje 4 samostatné aplikace: Personalizační aplikace, Aplikace Průkazy/Benefity, Aplikace IDS jízdenka a Aplikace elektronická peněženka. Tyto 4 samostatné aplikace mají u NXP registrované jedinečné číslo aplikace, tzv. AID. Dodavatel je povinen zakázku realizovat tak, aby se všechny tyto aplikace se všemi jejich částmi staly společně provozovanou dopravní aplikací. Tj. sloužily by k zaplacení jízdních dokladů minimálně na linkách zahrnutých do ODIS a IDS JMK, ale i jako nosič jízdních dokladů integrovaných dopravních systémů ODIS a IDS JMK. Karty v ODIS budou osazeny čipem Mifare DESFire EV1. Karty v IDS JMK budou osazeny čipem Mifare DESFire EV1 nebo čipem plně kompatibilním. Na karty se bude nahrávat společná dopravní aplikace zaklíčovaná společnými klíči. Karty tedy musí být z technického pohledu zcela totožné (lišit se budou podobou a dále pak údaji o držiteli karty zapsanými v čipu karty). Se Společnou dopravní aplikací budou odbavovací zařízení schopna pracovat při znalosti jedinečného AID, pod kterým jsou jednotlivé součástí dopravní aplikace u NXP registrovány, a v případě osazení odbavovacího zařízení SAM modulem s ostrými klíči, kterými je Společná dopravní aplikace zaklíčována (obě tyto podmínky musí být splněny současně). strana 4 z 9
3.1
Klíče
Ke Společné dopravní aplikaci musí existovat jedny společné klíče, které budou ve vlastnictví obou organizátorů - tedy KORDIS i KODIS. K dnešnímu dni již klíče k dopravní aplikaci vytvořené pro MSK existují (klíče jsou uloženy jak na SAM modulech, tak je jimi zabezpečována i dopravní aplikace na již vydávaných kartách v Moravskoslezském kraji). Vzhledem k tomu, že klíče ke Společné dopravní aplikaci musí držet oba organizátoři, je Dodavatel povinen realizovat zakázku tak, aby bylo možné následující řešení a je povinen zajistit potřebné technické kroky k tomu, aby bylo možné toto řešení realizovat: 1) KODIS požádá Dodavatele HSM o rozdělení klíčů k dopravní aplikaci, které v elektronické podobě vlastní, na dvě části. 2) Před zapojením KORDIS do projektu společné dopravní aplikace předá KODIS KORDISu jednu část klíčů. K tomuto okamžiku KODIS nesmí v žádné podobě vlastnit celý klíč (celý klíč bude existovat pouze: na kartách, v SAM modulech, v HSM modulu). 3) KORDIS po převzetí části klíče uloží tuto část na bezpečné místo a to v souladu s bezpečnostní politikou Moravskoslezského kraje, která se stane společnou bezpečnostní politikou. 4) Po rozdělení klíčů bude k celému klíči uloženému v HSM modulu možno přistoupit pouze po zadání hesla, jehož jednu polovinu bude znát pověřená osoba/osoby KODISu a druhou polovinu pověřená osoba/osoby KORDISu. Teprve po „odemknutí“ HSM modulu oběma části hesla bude možné s ostrými klíči ke Společné dopravní aplikaci pracovat (např. zabezpečovat SAM moduly, aj.). 3.2
Zabezpečování SAM modulů
K aplikaci „Společná dopravní aplikace“ budou existovat jedny klíče, kterými je tato aplikace, po jejím nahrání na bezkontaktní čipovou kartu, zabezpečena. Pro zajištění komunikace mezi kartou a odbavovacím zařízením, musí být tytéž klíče uloženy i v odbavovacím zařízení. Z důvodu bezpečného uložení jsou klíče v zařízení umístěny na tzv. SAM modulu (Secure Access Module). SAM modul (hardware) po skončení realizace zakázky dopravce na základě dokumentace dodané KODISem a KORDISem zajistí sám, nebo si ho zakoupí/zapůjčí od jednoho z koordinátorů (KORDIS, KODIS). SAM modul se v dalším kroku musí zabezpečit ostrými klíči. Teprve v této podobě zajistí komunikaci mezi Společnou dopravní aplikací a odbavovacím zařízením. V případě projektu EOC je Dodavatel povinen dodat všechny potřebné SAM moduly včetně zajištění nahrání ostrých klíčů.
strana 5 z 9
Dodavatel je povinen zakázku realizovat tak, aby zabezpečení SAM modulu ostrými klíči mohlo být vždy plně v rukou KODISu a KORDISu. Zabezpečení SAM modulů spočívá: - v nahrání appletu a v zapsání klíčů. Po zapsání ostrých klíčů je SAM modul připraven k ostrému provozu. - případně zapsání transportních klíčů, v trom případě je SAM modul neaktivní a není schopen zajistit komunikaci mezi Společnou dopravní aplikací na BČK a odbavovacím zařízením. Nahrazením transportních klíčů klíči ostrými je SAM modul „oživen“. O výrobě SAM modulů bude proveden zápis. Vyrobené SAM moduly budou připsány na společný whitelist SAMů. Zároveň bude zaevidováno, jaká čísla SAM modulů má který dopravce. V rámci projeku EOC tyto činnosti zajistí pro dopravce v IDS JMK Dodavatel.
V případě, že dopravce v rámci obou krajů přestane fungovat, tj. nebude již dál součástí projektu Společné dopravní aplikace, musí být možné klíče na zařízení určeném k zabezpečování SAMů smazány (respektive přepsány klíči transportními). SAM moduly musí být následně odstraněny z whitelistu SAM modulů. V případě nevrácení SAM modulů musí být tyto SAM moduly zapsány na blacklist. Práce s blacklisty SAM modulů samozřejmě musí být zajištěna minimálně v backoffice, 3.3
Možnosti odbavování
Aplikace elektronická peněženka Protože všechny části společné dopravní aplikace budou provozovány KODISem i KORDISem společně, musí být možné elektronickou peněženku použít u všech dopravců zapojených v IDS JMK a ODIS pro nákup jízdních dokladů dle tarifů těchto IDS. U autobusových dopravců zapojených v ODIS a IDS JMK bude navíc možné elektronickou peněženku použít i pro nákup papírových jízdních dokladů pro relace za hranice IDS. Aplikace IDS jízdenky Společně provozovaná aplikace IDS jízdenky musí sloužit jako místo pro uložení až 5 elektronických jízdních dokladů (do tohoto počtu se započítávají časové předplatní kupony i jednotlivé jízdenky). Každý takový elektronický jízdní doklad uložený na kartě bude mít ve svých vlastnostech kromě časové a zónové platnosti poznamenáno i číslo IDS, ve kterém platí. Právě na základě tohoto jedinečného čísla IDS (viz číselník Network ID a Provider ID) od sebe budou elektronické jízdní doklady pro jednotlivé IDS rozlišeny a to bez nutnosti vytvoření společného číselníku zón, který by strana 6 z 9
garantoval, že každá zóna má přidělené jedinečné číslo. V rámci společné aplikace IDS jízdenky budou stanovena a Dodavatelem aplikována společná pravidla zapisování elektronických jízdních dokladů na kartu (vedle zapisování dokladů do prázdných polí i přepisování polí obsazených již neplatnými doklady). Dodavatel je tedy povinen zajistit, aby si držitel Jihomoravské i Moravskoslezské karty mohl na svou kartu nahrát elektronické jízdní doklady dle tarifu ODIS i dle tarifu IDS JMK a to bez nutnosti pořizovat si dvě karty. Aplikace v odbavovacích zařízeních však musí být upravena tak, aby se jízdní doklady platné pro jednotlivá IDS daly koupit pouze na předprodejních místech daného IDS (tj. jízdní doklady platné v IDS JMK bude možné zakoupit pouze na předprodejích společnosti KORDIS a na prodejních místech dopravců, kteří budou mít od společnosti KORDIS oprávnění tyto jízdní doklady prodávat). 3.4
Vstupní data- číslování zón, číslování tarifů
Pro fungování projektu společné dopravní aplikace pro Moravskoslezský a Jihomoravský kraj budou zajištěny minimálně následující číselníky, ve kterých má každá položka jedinečné číslo: a) Číselník dopravců b) Číselník IDS c) Číselník linek/spojů d) Číselník zařízení e) Číselník SAM modulů f) Číselník bezkontaktních čipových karet včetně čísel aplikací, které jsou na karty nahrány – pro potřebu blacklistů/whitelistů karet a blacklistů/whitelistů aplikací. Uvedené číselníky vzniknou v průběhu realizace zakázky, zodpovědný za jejich naplnění je Objednatel. 3.5
Výstupní data
Výstupní věta ze zařízení musí obsahovat minimálně následující údaje: číslo zařízení, číslo dopravce, číslo karty a případně i aplikace, se kterou byla transakce uskutečněna, datum a čas transakce, částku, která byla vybita/dobita do elektronické peněženky, informace o jízdním dokladu, který se na kartu nahrál. Výstupní data budou dopravci zasílat do zúčtovacího centra v požadovaném formátu. Vzhledem k tomu, že se formát výstupní věty v Moravskoslezském i Jihomoravském kraji liší, musí být možné jeden formát dat převádět do formátu druhého, jedině tak musí být obě zúčtovací centra schopná
strana 7 z 9
provozovat účet karty a dát držiteli karty informace o transakcích provedených s jeho elektronickou peněženkou, a přehled jízdních dokladů nahraných na BČK v aplikaci Společná dopravní aplikace. Za implementaci těchto opatření odpovídá Dodavatel. 3.6
Zúčtovací centrum
V projektu Společné dopravní aplikace budou fungovat dvě nezávislá zúčtovací centra, z nichž jedno bude provozováno společností KORDIS a druhé společností KODIS. Dopravci zapojení v projektu Společné dopravní aplikace budou povinni do zúčtovacího centra zasílat výstupní data z odbavovacích zařízení dle požadovaného formátu. Dopravce bude data z odbavovacích zařízení zasílat zúčtovacímu centru toho kraje, se kterým má uzavřenou smlouvu o zapojení do IDS a to vždy za zařízení na linkách a spojích, jichž se tato smlouva týká. Data, která obdrží zúčtovací centrum od svých dopravců, stačí k tomu, aby bylo možné spočítat tržby na linky a spoje u dopravců v rámci IDS. Tato data ale nestačí k tomu, aby zúčtovací centrum bylo schopné vytvořit a garantovat tzv. účet karty (účet karty = soubor všech transakcí provedených na elektronických peněženkách karet v rámci jejich vydavatele). Pro vytvoření účtu karty zúčtovací centrum potřebuje mít k dispozici všechny transakce provedené s kartou a se společnou elektronickou peněženkou, a to nejen na zařízeních zahrnutých do odpovídající IDS, ale na všech zařízeních zapojených do projektu Společné dopravní aplikace. Součástí dodávky je proto dodání a zprovoznění interface pro vzájemné předávání dat o operacích s kartami mezi zúčtovacím centrem KODIS a v rámci zakázky nově vytvořeným zúčtovacím centrem KORDIS a dále dodání potřebných aplikací pro kontroly integrity dat o využití jednotlivých karet v obou systémech včetně možnosti vyhledání problémů a jejich řešení - např. chybějící transakce o dobití EP, chybějící transakce o vybití EP, chybějící transakce o dobití časového kuponu, špatný zůstatek v EP, transakce provedená s blacklistovanou kartou, transakce provedená s kartou, která není na whitelistu (chybí tedy záznam o jejím zapojení do systému), aj. 4
Alternativní řešení
Objednatel připouští možnost alternativního řešení interoperability karty EOC s Moravskoslezskou kartou, které bude odlišné od výše uvedených předpokladů. Pokud Dodavatel takové řešení zvolí, je povinen zabezpečit minimálně následující požadavky: a) karta vydaná KORDIS musí mít v systému EOC stejné vlastnosti jako Moravskoslezská karta v systému ODIS a musí umožňovat stejné funkce; b) musí existovat společná výměna dat o operacích na kartách, kontrola integrity dat, možnost vyhledání problémů;
strana 8 z 9
c) musí existovat možnost jednotné blokace karet a jízdenek v obou systémech, společné blacklisty a whitelisty karet a zařízení; d) v zařízeních ČD nesmí být zapotřebí další slot pro SAM modul; e) Dodavatel musí prokázat, že rychlost odbavení tímto způsobem je stejná nebo kratší než při předpokládaném řešení; f)
Dílo musí být realizováno tak, aby bylo možné bez dodávek dalšího HW nebo SW na straně Objednatele přidat do systému další subjekty fungující na obdobných principech jako dodaný systém;
g) musí být možné oba systémy provozovat i samostatně bez vzájemného propojení (např. formou zákazu akceptace karet vydaných pro jiné IDS, musí být možné provoz systémů oddělit. 5
Povinnosti Dodavatele
Dodavatel je povinen v rámci zakázky zabezpečovat odbornou technickou pomoc pro Objednatele i KODIS. Je povinen koordinovat práce na obou stranách a v dostatečném předstihu signalizovat a definovat obsah potřebných vstupů a informací od KORDIS a KODIS. Dále je povinen zabezpečit na straně KORDIS veškeré potřebné úpravy, které umožní splnění výše uvedených požadavků na interoperabilitu. Povinností Dodavatele je rovněž navrhnout a zpracovat potřebné smlouvy a dohody, které zabezpečí interoperabilitu po právní stránce.
6
Další informace
Objednatel disponuje písemnou smlouvou s držitelem autorských práv a licencí k podkladovému materiálu struktury dopravní aplikace včetně přehledů klíčů a podpisů a rámcové bezpečnostní politiky společností XT Card, a.s., které tvoří nedílnou součást tohoto sešitu č. 2. Pro účely přípravy návrhu technického řešení a nabídky je možné si tyto podklady vyzvednout proti podpisu dohody o ochraně důvěrných informací (viz odst. 10.3 zadávací dokumentace).
strana 9 z 9
