D-Ticket ile veri koruma ve güvenliği
Almanya'daki yolcular 1 Mayıs 2023'ten bu yana Deutschland-Ticket'i kullanabiliyor. Almanya genelinde geçerli olan bilet, aylık abonelik şeklinde çipli kart ya da cep telefonu bileti olarak temin edilebiliyor. Almanya genelinde geçerli bir abonelik bileti, örneğin her bir muayene kanıtı için bir ihraç işlemi olup olmadığını kontrol eden ulusal güvenlik izlemesini de gerektirir. Başka bir deyişle, az önce yeraltında kontrol edilen bilet gerçekten satıldı mı yoksa bir kopya ya da sahte mi?
Bunu kontrol edebilmek için tüm ulusal biletlerin denetime dayanıklı bir sistemde bulunması gerekir. Biz böyle bir sistem işletiyoruz: Deutschland-Ticket için Merkezi PV Sistemi (ZPVS).
Bu ZPVS sadece sistem güvenliği için önemli değil, aynı zamanda gelir paylaşımı için tüm D-biletlerinin tam sayısı hakkında önemli bilgiler sağlayabilir. Bu sistemin çalışabilmesi için Almanya'daki tüm taşımacılık şirketlerinin ve birliklerinin satış ve kontrol sistemlerinin kendi düzenleme ve kontrol kayıtlarını bu sisteme göndermesi gerekmektedir. (((eTicket-Deutschland katılımcıları bu sisteme ne kadar hızlı bağlanırsa o kadar iyi ve geçiş maliyetleri de o kadar düşük olacaktır.
Merkezi PV sistemindeki takma isimli veri kayıtları
ZPVS'ye gönderilen tüm veri kayıtları takma isimlendirilir ve özel olarak güvenli bir ağ üzerinden şifreli olarak gönderilir.
Teknik ve organizasyonel önlemler, müşteri verilerinin ve kontrol işlem verilerinin birleştirilemeyecek şekilde farklı yerlerde saklanmasını ve böylece bir hareket profili oluşturulamamasını sağlar. Veriler yalnızca faturalandırma veya şikayet işleme amacıyla birleştirilebilir.
Düzenleme belgesi ve kontrol belgesi verileri merkezi PV sisteminde ve satış şirketinde saklanır.
Bileti düzenleyen nakliye şirketi tarafından işlenen veriler ile kontrol ve sistem güvenliği amacıyla bilette ve kontrol belgesinde saklanan sistemik verileri birbirinden ayırmak önemlidir.
ZPV sistemimizde sadece anonimleştirilmiş veriler saklanır. Satıcı şirketin konumu, düzenleme işlemi için konum olarak girilir.
Bilet Berlin'de satın alınmışsa, konum bu nedenle yolcunun ikamet ettiği yer değil, Berlin'dir. Denetim sırasında, "Almanya çapında durak kimliği" (DHID) denetim kanıtına girilir.
Deutschland-Ticket'i düzenleyen nakliye şirketleri, yolcunun adı, adresi ve banka bilgileri gibi satın alma ve faturalama ile ilgili verileri saklar. Bunlar genellikle ayrı abonelik veya müşteri ilişkileri yönetimi sistemlerinde saklanır.
D-bilet kişiseldir ve devredilemez. Yolcunun soyadı, adı, doğum tarihi ve isteğe bağlı olarak cinsiyeti gibi doğrulama ile ilgili verilerini içerir (ancak genellikle artık işlenmez).
Kopya koruması amacıyla dijital kullanıcı ortamının statik bir kimliği olan SCE ID, yalnızca Motics (dinamik barkodlu akıllı telefon biletleri) kullanılırken kullanıcı ortamında saklanır. Bunun yasal dayanağı, ilgili veri sahibi haklarının garanti altına alındığı Genel Veri Koruma Yönetmeliği'nin (GDPR) 6(1)(f) maddesidir.
Buna ek olarak, geçerlilik süresi (şu anda söz konusu ay) ve coğrafi geçerlilik (bu durumda Almanya) saklanır.
Geçerlilik süresi ve alanının yanı sıra yolcunun adı da denetimin bir parçası olarak kontrol edilir ve bu aşamada mümkünse bilet kopyalarını tanımak için barkodlu bilet durumunda adın fotoğraflı bir kimlikle karşılaştırılması gerekir.
Muayene kanıtının tüm kontrolleri yapıldığında ve sonuç olumlu olduğunda (anormallik olmadığında), bir muayene kanıtının verileri ZPVS'de silinir. Muayene kanıtının sadece bazı temel verileri kullanıcı ortamında (çipli kart) saklanmaya devam eder. Bu kontrol işlemlerinin çip kartta saklanması tüketicinin korunması açısından gereklidir, böylece bir yolcu çip kartıyla yapılan son işlemleri görüntüleyebilir.
Bu veri işleme, veri koruma denetim makamları tarafından uygulanan biçimde kabul edilir. Çipli karttaki uygulama kayıt defterindeki kayıtlar, müşterinin talebi üzerine herhangi bir zamanda silinebilir. Sadece on işlem kaydı otomatik olarak kaydedilebilir ve bunlar birbirinin üzerine yazılabilir (halka bellek).
ZPVS'nin tam olarak nasıl çalıştığını ve taşımacılık birliklerinin ve taşımacılık şirketlerinin sistemlerini ZPVS'ye nasıl bağlayabileceklerini veya kriptogramları nasıl yükleyebileceklerini buradan veya işbirliği platformumuz (((efi üzerinden öğrenebilirsiniz.
İndirin: D-Ticket için Kriptogramlar (((efi: ZPVS'nin İşlevleriVDV-KA sistemindeki her elektronik bilet için benzersiz bir numaraya sahip bir düzenleme işlemi oluşturulur. Bu işlem eksiksiz ve artan sırada olmalıdır. Her denetim bir denetim belgesi oluşturur ve bu belgeye de bir numara verilir. Bunlar da eksiksiz ve artan sırada olmalıdır. ZPVS, ulusal biletleme sisteminin ayrılmaz bir parçasıdır ve ulusal ücret ürünleri için tüm düzenleme kanıtlarını ve ilgili denetim kanıtlarını alır. Bu, Almanya biletini denetime dayanıklı hale getirir. İzleme, biletlerin düzenlenmesi için sahte, kopya ve tehlikeye atılmış anahtarları tanır ve gelir dağıtımı için düzenleme ve kullanım verileri sağlayabilir.
25 Nisan 2023 tarihinde ZPVS, (((eTicket Deutschland) merkezi arka plan sistemlerinin en son bileşeni olarak faaliyete geçmiştir.
Deutschland-Ticket'in resmi lansmanına kadar, sektör henüz anahtarı ve sistemi sağlayacak ulusal bir ürün sahibi (PV) atamamıştı. VDV İcra Komitesi 23 Mart 2023 tarihinde yaptığı özel bir toplantıda Deutschland-Ticket için asgari güvenlik seviyesine uyulmasını talep eden ve onaylayan bir karar aldı. Bu nedenle VDV eBilet Hizmeti, normal ulusal ürün sahibi henüz tanımlanmamış olsa da, D-Bilet için eksiksiz teknik güvenlik mimarisini sağlamaktadır. Dolandırıcılık ve kötüye kullanım için büyük potansiyel göz önüne alındığında, geçiş aşamasında işleyen bir güvenlik izleme sistemi de mevcut olmalıdır.
OrgID 3000'in yeni PV anahtarı (KID 40), çıkış ve kontrol işlemlerinin bağlantısı ve doğru gönderimi için kullanılır. Yeni ulusal PV anahtarı ve ilgili test anahtarı (seviye 2) ASM aracında mevcuttur.