W związku z wprowadzeniem nowego rodzaju płatności za bilety czyli umożliwienie kupowania biletów z wykorzystaniem karty bankowej przygotowaliśmy garść przydatnych informacji.
Bilety w ten sposób można kupować w jednym kasowniku na każdy autobus. W pojazdach 10 i 12 metrowych jest to kasownik przy środkowych drzwiach natomiast w mikrobusach jest to kasownik przy tylnych drzwiach.
Ponieważ modernizacja kasowników wiązała się z wymianą detektora (czytnika) kart zbliżeniowych na taki który potrafi obsłużyć zarówno bilety elektroniczne MPK Inowrocław jak i karty bankowe kasownik działa w inny sposób. W starszych typach kasowników KRG-6 i KRG-8 zamontowany był specjalizowany czytnik obsługujący wyłącznie karty zbliżeniowe typu Mifare. W nowych kasownikach KRG-12 jest to wielofunkcyjny czytnik mający obsłużyć zarówno karty Mifare jak i karty bankowe. Wiąże się to niestety ze zmianą sposobu działania. Z punktu widzenia pasażera w "starych" kasownikach karty były odczytywane w odległości około 5-6 cm. od obudowy urządzenia i skasowanie biletu elektronicznego przebiegało błyskawicznie. W nowych kasownikach ze względu na inną konstrukcję detektora kart odległość od której bilety elektroniczne są odczytywane to minimum 3-4 cm. od obudowy i sam proces kasowania wymaga przytrzymania w zasięgu detektora karty przez około 2-3 sekundy.
Z uwagi na pytania dotyczące nowego rodzaju transakcji w tym bezpieczeństwa i sposobu kontroli zakupionych biletów poniżej zamieszamy materiały opracowane przez Bee-Tech Sp z o.o. Sp.k producenta sprawdzarek i urządzeń zamontowanych w kasownikach.
Bezpieczeństwo procesu kontroli
Urządzeniem służącym do sprawdzania biletów zakupiony przy użyciu kart bankowych i kart miejskich jest tzw. sprawdzarka (czytnik kontrolerski), która jest w postaci terminala płatniczego wyposażonego w dedykowaną aplikację (oprogramowanie) zintegrowaną z całym systemem kasownikowym. W momencie kontroli należy zbliżyć do sprawdzarki kartę płatniczą (lub smartfon), za pomocą której był kupiony bilet. Sprawdzarka wyświetli informację o poprawności zakupu biletu lub jego braku. Do weryfikacji zakupu biletów wykorzystywane są tzw. tokeny będące jednoznacznym identyfikatorem numeru karty. Podczas zakupu biletu generowany jest token, który zapisuje się w systemie kasownikowym. Podczas kontroli biletów sprawdzarka ma dostęp do aktualnej listy tokenów (czyli de facto informacji o ważnych biletach) i porównuje z tokenem generowanym podczas kontroli. Jeśli token z karty pokrywa się z tokenem w sprawdzarce, tzn., że bilet jest ważny i został zakupiony. Brak zgodności tokenów oznacza brak biletu.
Bezpieczeństwo systemu biletowego jest na poziomie bezpieczeństwa bankowych systemów płatniczych. Każdy element, zaczynając od samej karty płatniczej, poprzez oprogramowanie oraz systemy centralne spełnia restrykcyjne wymogi branżowe określone wspólnie przez organizacje płatnicze VISA i MasterCard. Celem zapewnienia pełnego bezpieczeństwa w infrastrukturze pojazdowej, której nie projektowano pod kątem cyber-bezpieczeństwa, wykorzystuje się wspomniane tokeny pozwalające bezpiecznie identyfikować użyte karty płatnicze bez narażania numeru karty płatniczej (będącego daną wrażliwą, czyli taką, która powinna być poufna) na ew. nieuzasadnioną ekspozycję. Sprawdzarka nigdzie nie zapisuje ani nie przesyła odczytanego numeru karty płatniczej.
Pytania i odpowiedzi
Karta jako bilet - system poboru opłat przy użyciu kart płatniczych oraz smartfonów w transporcie publicznym w modelu SaaS
(ang. Software as a Service)
Pytanie 1. Gdzie jest mój bilet?
Odpowiedź: W systemie nie ma biletu w tradycyjnej postaci rozumianej jako bilet papierowy lub dedykowana karta. Bilet – a właściwie uprawnienie do przejazdu – ma postać zapisu elektronicznego i przechowywany jest w systemie w postaci cyfrowej odpowiednio zabezpieczonej. Do wygenerowania tego cyfrowego biletu używana jest bankowa karta płatnicza (lub smartfon z funkcją NFC oraz zainstalowaną aplikacją płatniczą). Ten cyfrowy bilet nie jest też zapisywany na karcie płatniczej, karta służy „jednie” do wygenerowania tego biletu.
Pytanie 2. Jak rozpoznać, czy mogę swoją kartą płatniczą zapłacić za bilet?
Odpowiedź: W systemie można korzystać jedynie z kart z funkcją zbliżeniową. Takie karty są oznaczone na swym awersie poprzez charakterystyczny symbol:
Dodatkowo, karty te powinny należeć do standardu VISA lub MasterCard. Informacja o wspieranych kartach zbliżeniowych zawarta jest na naklejkach przy kasowniku.
Pytanie 3. Jak wygląda kontrola biletów?
Odpowiedź: Urządzeniem służącym do sprawdzania biletów (tych cyfrowych) jest tzw. sprawdzarka, która jest w postaci terminala płatniczego wyposażonego w dedykowaną aplikację (oprogramowanie) zintegrowane z całym systemem „Karta jako bilet”. W momencie kontroli należy zbliżyć do sprawdzarki kartę płatniczą, za pomocą której był kupiony bilet. Sprawdzarka wyświetli informację o poprawności zakupu biletu lub jego braku. Ten proces trwa milisekundy. Do weryfikacji zakupu biletów wykorzystywane są tzw. tokeny (patrz Pytanie 6 poniżej) będące jednoznacznym identyfikatorem numeru karty. Podczas zakupu biletu generowany jest token, który zapisuje się w systemie kasownikowym. Podczas kontroli biletów sprawdzarka posiada aktualną listę tokenów (czyli de facto aktualną informację o ważnych biletach) i porównuje z tokenem generowanym podczas kontroli. Jeśli token z karty pokrywa się z tokenem w sprawdzarce, tzn., że bilet jest ważny i został zakupiony. Brak zgodności tokenów oznacza brak biletu.
Pytanie 4. Czy na jedną kartę mogę kupić kilka biletów?
Odpowiedź: Tak, na jedną kartę można kupić kilka biletów. Ograniczenie stanowi kwota 50 pln, która wg ustaleń branży płatniczej jest maksymalną kwotą transakcji niewymagającą podawania numeru PIN.
Pytanie 5. Czy to jest bezpieczne?
Odpowiedź: Tak, bezpieczeństwo systemu biletowego „Karta jako bilet” jest na poziomie bezpieczeństwa bankowych systemów płatniczych. Każdy element, zaczynając od samej karty płatniczej, poprzez oprogramowanie oraz systemy centralne spełnia restrykcyjne wymogi branżowe określone wspólnie przez organizacje płatnicze VISA i MasterCard. Celem zapewnienia pełnego bezpieczeństwa w infrastrukturze pojazdowej, której nie projektowano pod kątem cyber-bezpieczeństwa, wykorzystuje się tokeny (Patrz Pytanie 6. poniżej) pozwalające bezpiecznie identyfikować użyte karty płatnicze bez narażania numeru karty płatniczej (będącego daną wrażliwą, czyli taką, która powinna być poufna) na ew. nieuzasadnioną ekspozycję.
Pytanie 6. Co to jest token?
Odpowiedź: Token jest jednoznacznym identyfikatorem numeru karty płatniczej. Dla danego numeru karty istnieje jeden konkretny token (w ramach danego systemu). Jednocześnie, mając token nie można „odtworzyć” z niego numeru karty z nim powiązanego. Wynika to z algorytmów do generowania tokenów, które mają cechę tzw. „jednokierunkowości”. Token sam w sobie nie jest daną wrażliwą, stąd można go zapisywać, przechowywać i przetwarzać w systemach, które nie spełniają restrykcyjnych wymagań bezpieczeństwa, czyli np. w infrastrukturze pojazdów bez negatywnego wpływu na całościowe bezpieczeństwo systemu biletowego.
Pytanie 7. Co zrobić, gdy nie mogę na daną kartę kupić biletu?
Odpowiedź: Należy użyć innej karty zbliżeniowej wspieranej przez system (patrz Pytanie 2).
Pytanie 8. Czy mogę zapłacić za bilet przy użyciu mojego smartfonu?
Odpowiedź: Tak, taka możliwość jest w przypadku telefonów wyposażonych w interfejs NFC (ang. Near Field Communication) służący do komunikacji z czytnikami kart zbliżeniowych, także tymi zintegrowanymi z kasownikami. Dodatkowo, na smartfonie powinna być zainstalowana aplikacja, która w sposób cyfrowy ma zapisaną kartę płatniczą, w ramach tzw. portfela (ang. wallet). W trakcie transakcji używany jest zatem smartfon (a nie fizyczna karta płatnicza), który poprzez interfejs NFC komunikuje zapisaną cyfrowo kartę z systemem biletowym.
Pytanie 9. Czy akceptowane są wszystkie karty płatnicze/bankowe?
Odpowiedź: Patrz odpowiedź na Pytanie 2.
Pytanie 10. Czy mogę kupować bilety ze zniżką?
Odpowiedź: Tak, w momencie zakupu biletu na ekranie kasownika wybiera się rodzaj i typ biletu, np. bilet ze zniżką. W trakcie kontroli biletów kontroler informowany jest poprzez urządzenie sprawdzające, że został zakupiony bilet ze zniżką. Do pasażera należy wykazanie uprawnienia do zniżki, np. poprzez okazanie ważnej legitymacji studenckiej.
Pytanie 12. Z kim powinienem się skontaktować w przypadku reklamacji?
Odpowiedź: W przypadku reklamowania transakcji (rozumianej także, jako zakup biletu) przy użyciu karty płatniczej należy kontaktować się z bankiem, w którym była wydana karta użyta do zakupu biletu. Bank ma dostęp do wszystkich danych potrzebnych do zweryfikowania transakcji, bank współpracuje w takich sytuacjach z agentem rozliczeniowym odpowiedzialnym za przeprowadzanie transakcji kartowej oraz operatorem systemu.
Pytanie 13. Co się stanie, jeśli zbliżę „na raz” kilka kart do kasownika?
Odpowiedź: W takiej sytuacji kasownik wykryje tzw. konflikt, czyli rozpozna, że kilka kart chce w tym samym momencie przeprowadzić transakcję. Ponieważ transakcja musi przebiegać w sposób jednoznaczny, to do jej realizacji należy rozwiązać konflikt poprzez wybranie i zbliżenie jednej karty.