Nasjonal innretting for mobil billettering HB 206 Avtaleverk Sikkerhet Utfordringer mm
Interoperabilitetstjenester AS (fra 01.01.2012) Ruter AS 33,4% NSB AS 33,4% Øvrige fylker 33,1 % IO AS Operative tjenester til: Transportoperatører Fylkeskommuner FK adm.selskaper Stat Forvaltningstjenester til: Stat Vegdirektoratet SD Transportoperatører Fylkeskommuner FK Adm.selskaper «Tilretteleggingstjenester» for Eiere Stat
Organisering og aktører Kollektivtransport er avhengig av «løyve» Sikkerhet Kvalitet Like konkurransevilkår Fylkeskommunens rolle: «Løyvemyndighet» Vanligste er at FK er direkte ansvarlig for ruteopplegg, inntjening og markedsføring av tilbudet såkalte bruttoavtaler NSB Utfører persontransport med tog ihht avtale med staten Kan inngå takstsamarbeid med tredjepart
Reisemarked vs adm. oppdeling Reisemarked ofte forskjellig fra administrativ inndeling Langvarig billettsamarbeid i Oslo og Akershus Ved innføring av e-billettering måtte dette samarbeidet videreføres Krav om interoperabilitet Teknisk; standardisering via HB206 Funksjonelt for kunden, for eksempel produkter med like egenskaper Organisatorisk; ISO 24014-1:2007, avtaler mm.
HB 206 Yrkestransportforskriften: «Løyvehaver plikter å bruke billettmaskiner, billetter, rabattkort og lignende etter et system godkjent av løyvemyndigheten. Departementet fastsetter nærmere retningslinjer for bruk av elektroniske billettsystemer» Samferdselsdepartementets Rundskriv N-1/2006 «Departementet har med heimel i forskrifta fastsett Vegdirektoratet si handbok 206 Elektronisk billettering, del 3 som standard»
HB 206 innhold og organisering Rød Generelle deler Grønn Tekniske deler Under publisering: Del 0, 1, 3, 6, 7, 18, 19 Godkjent for publisering: Del 22, 25v1 Nær ferdigstillelse: Del 5, 8, 9, 21, 24 Hovedkonsepter avklart: Del 2, 4, 17, 20, 23 Tidlig fase: Del 15, 16, 25v2
Interoperabilitet To hovednivåer: Interoperabilitet på kortnivå Krever tilslutningsavtale mot IO Interoperabilitet på produktnivå I den foreliggende versjonen av HB206 er interoperabilitet på kortnivå hovedmålet, slik at reisekortet kan brukes på tvers av regioner Betalingsløsninger (primært reisepenger) er knyttet til interoperabilitet på kortnivå Interoperabilitet på produktnivå kan avtales bilateralt/multilateralt, men ikke et krav i dagens versjon av HB206
Billettering på mobiltelefon Samferdselsdepartementet har gitt Vegdirektoratet instruks om utvidelse av dagens nasjonale standard for elektronisk billettering (Håndbok 206) til også å gjelde mobiltelefon Se pressemelding 49/2011 av 20. mai 2011 Dette oppdraget skal være ferdig første kvartal 2012 Implementering tidlig 2013 Ønske om kontantfrie busser NFC er spesielt fremhevet som ønsket teknologisk plattform
Arbeidsgruppe for oppdatering HB206 Det er opprette egen arbeidsgruppe bestående av representanter fra: Transportselskaper Bank Telekom Stat Leverandører IO NFC skal vurderes for flere formål innenfor elektronisk billettering Som salgskanal m.m. Som billettbærer Som betalingsmiddel Reisepenger (verdi som kan brukes til transport) Bank (som kontaktløst bankkort)
Publisering i to trinn NFC vil beskrives i HB206 del 25, som vil komme i to versjoner V1: Høsten 2011 Beskriver bruken av NFC som klient til Nasjonal Ordredatabase (NOD) Beskriver bruk av 2D strekkode (QR) for mobil billettering V2: Våren 2012 Skal beskrive komplett løsning for bruk av mobiltelefon i elektronisk billettering
DEL 22 - NOD
NOD Nasjonal ordredatabase Har i dag offline aksjonslister for fjernadministrasjon av kort, herunder distribusjon av produkter kjøpt via internett Kun en teller (LastServedOrder) for logging på kortet Ikke-interoperable aksjoner vil kunne sperre utførelse Stiller krav til flere parallelle lister Begrenset lagringskapasitet i utstyret Resultatet av dette er at offline aksjonslister ikke blir interoperable Arbeider nå med løsning for en felles, online ordredatabase NOD
Logisk arkitektur NOD Authentication & Security Server (HSM) PTIS Hub Queue Management HB206 Plugin Oslo Plugin Fara Plugin NOD Server Ferry Plugin Other plugins Transactions Collect & Forward PTI Hub Level 4 AddOrders Update OrderGroup GetOrder Groups NOD Client REST Interface RegisterPUD GetPUDs Get BlockingStatus PTO Sales System (or other level 3 system) Sales Level 3 PTO Website Customer s PC NOD Client Card Level 1
Grensesnitt HB206 spesifiserer følgende grensesnitt mot NOD Webservice-basert grensesnitt for PTO-er for bestilling og administrasjon av ordrer REST-basert grensesnitt mellom NOD og plugins REST-basert grensesnitt mellom klient og NOD server Øvrige grensesnitt anses som interne for systemet og er følgelig ikke en del av HB206 HB206 stiller likevel krav til disse
Ordretyper Fase 1: Utstedelse av kontrakt (billett) Påfylling av reisepenger Administrasjon av automatisk fornyelse og påfylling Fjerning av kontrakt (ren sletting) Avblokkering Fase 2: Fjerning av kontrakt (refusjon, feiling, garbage coll. mm) Rekonstruksjon Utstedelse av kort Personalisering Validering Fase 3: APDU pass-through
DEL 25 - MOBILTELEFON
E-billettering på mobiltelefon Aktuelle teknologier for e-billettering på mobiltelefoner SMS (inkluderes ikke i HB206) Smarttelefoner med apps og 2D strekkode NFC Primært tenkt benyttet for enkeltbilletter Av sikkerhetsmessige årsaker ikke vurdert for andre produkter Bruk av telefon med NFC for lesing/skriving til kort Bruk av telefonen som billettbærer Ligger i mandatet til arbeidsgruppe
Smartelefoner med 2D strekkode NSB-prosjekt i samarbeid med Ruter I første omgang ios og Android Windows Phone etter hvert Spilt inn som forslag til HB206 Enkeltbilletter Kan selge periodebilletter for reisekort (krever NOD el aksjonsliste) Kunde må være forhåndsregistrert, med betalingsavtale Billetten lagres knyttet til app Vil av sikkerhetsmessige grunner også inneholde animasjon for manuell kontroll Hindre skjermdumper
NFC + NOD i v1
Samordning av takstsystemene I dag er de fleste takstsystemene i Norge bygget opp rundt forhåndsolgte «papirbilletter», med forhåndsdefinert reisestrekning og gyldighetstid Periodebilletter, enkeltbilletter, klippekort Prisberegnet pr område, sone-til-sone eller stasjon-til-stasjon For kunder med et mer dynamisk reisemønster oppleves det som tungvint å reise utenfor den faste strekningen Det blir enklere å ta bilen på slike reiser enn å reise kollektivt Ved bruk av reisekort forverres dette ytterligere Det er igangsatt en arbeidsgruppe under HB206 som skal se på mulighetene for samordning av takstsystemene og etablering av felles interoperable produkter Mobiltelefonarbeidet vil koordineres med denne gruppen
ARBEID MED AVTALER
Parter Avtaleverket omfatter mange parter og tjenester: Avtale mellom kortutsteder og kunde (obligatorisk) Avtale mellom IO og de kollektivselskapene som skal tilknyttes (obligatorisk) Avtale mellom kollektivselskaper (valgfri)
Kortholderavtale Kortholderavtalen gir Kunden brukeren av de tjenester som dekkes av et E-kort - tilgang til å bruke E-kortet som bærer av reisebevis og betalingsmiddel. Denne avtalen inngås mellom en kunde og en kortutsteder og inkluderer utlevering av et klargjort kort til kunden. Det er alltid en juridisk enhet som er ansvarlig for kortet gjennom dets livsløp og det sikkerhetssystemet som er knyttet til kortet Et E-kort er i utgangspunktet ikke knyttet til noen spesiell person, og det er ikke nødvendig å inngå noen eksplisitt skriftlig avtale for å ta i bruk et anonymt E-kort. De relevante delene av Kundeavtalen (transportvilkårene) trer i kraft når kunden kjøper og tar i bruk E-kortet. Et E-kort kan imidlertid knyttes til en bestemt person gjennom registrering og/eller personifisering. I disse tilfellene aktiveres ytterligere forhold i kortholderavtalen. Slike forhold vil som en hovedregel være regulert gjennom undertegning av en eksplisitt avtale.
Tilslutningsavtale Tilslutningsavtalen regulerer vilkårene for de partene som ønsker å tilslutte seg IO Kommersielle forhold mellom IO og tilsluttet selskap Prisbestemmelser Tjenesteinnhold og nivå Krav om samsvar med tekniske krav ihht HB206 Krav om samsvar med øvrig eksisterende lovverk og forskrifter Regulerer mekanismer for endringshåndtering
Samarbeidsavtale Samarbeidsavtaler inngås mellom parter som ønsker å samarbeide bilateralt for å utvikle interoperable reiseprodukter, utvikle grenseoverskridende produkter og samarbeide om kundeservice mm. Samarbeidsavtaler er ikke obligatoriske Samarbeid mellom Ruter og NSB innebærer bla: NSB støtter Ruters produkter i Oslo/Akershus (Pris, gyldighet i tid og utstrekning, mm) Utøser forpliktelser om rapportering av bruk til produkteier ( i tillegg til obligatorisk rapportering om bruk av kort til kortutsteder)
Øvrig relevant lovverk Personopplysningsloven Ved behandling av personopplysninger stilles krav om hjemmel for behandling og samtykke fra den som registreres Krav om relevans i forhold til formålet Krav om internkontroll Behandlingsansvarlig og databehandleravtale Bransjenorm Bransjenormen er et resultat av samarbeid mellom kollektivbransjen og Datatilsynet. Under høring, trer i kraft 01.06.2012 Viktige områder: begrensninger på lagringstid før sletting/anonymisering av POL krav om mulighet for å kunne velge å reise anonymt uten at det utløser vesentlige ulemper for den som velger slik
Øvrig relevant lovverk forts. E-pengedirektivet Fra Høringsnotatet til lovforslaget for gjennomføring av EF direktiv 110/2009 som erstatter det tidligere direktivet nr 46 fra 2000: «Finanstilsynet har mottatt en rekke henvendelser i forhold til kollektivtransport og bompengeselskaper som opererer med elektroniske kort eller brikker, hvor forholdet til någjeldende e- pengelovs virkeområde blir utfordret. Etter någjeldende e- pengelov har ikke løsningen vært helt klar i de tilfeller der for eksempel flere trafikk- eller bompengeselskaper inngår i en ordning med felles kort eller brikke. Finanstilsynet legger til grunn at denne typen begrensede tjenester som tilbys som forhåndsbetalte abonnementsordninger ikke er ment å være omfattet av konsesjonskrav i forhold til nytt e-pengedirektiv»
Utfordringer sett fra «kollektivnæringen» Mobil billettering medfører økt kompleksitet i tekniske løsninger Kostnader ifm investering og drift Behov for å kunne kapitalisere på allerede gjennomført investeringer Overgang fra kortsentriske løsninger til synkrone/online løsninger innebærer muligheter for nye og attraktive «value proposals» til kundene, men samtidig økt fallhøyde og sårbarhet som må adresseres tilstrekkelig Økt antall aktører som skal samhandle Mangel på utprøvde forretningsmodeller Økt kompleksitet i avtaleverket Hvem tar det første skrittet? Sikkerhet «Mangel på mobile løsninger skyldes mangel på håndsett som igjen skyldes mangel på brukersteder som igjen skyldes mangel på kritisk brukermasse» osv Økt eksponering av personopplysninger Utbredelse av NFC teknologi medfører også tilgang på utstyr og verktøy som kan benyttes for angrep Tap av kontroll