Interoperabler Ticket- und Tokenspeicher sowie SDK für Tokenisierung im ÖPNV
Was wird ausgeschrieben
Die VDV eTicket Service GmbH & Co. KG vergibt die Entwicklung und Bereitstellung eines interoperablen Ticket- und Tokenspeichers sowie eines Software Development Kits (SDK) für die Tokenisierung von Kreditkarteninformationen im deutschen ÖPNV. Das Projekt ist in zwei Lose aufgeteilt: Los 1 umfasst den Ticket- und Tokenspeicher, Los 2 das Tokenisierungs-SDK. Die Vertragslaufzeit beträgt jeweils 1095 Tage (3 Jahre). Das System dient der Verknüpfung von Bank- und Kreditkartenzahlungen mit Tarifprodukten im öffentlichen Personenverkehr.
Vollständige Beschreibung anzeigen
VDV eTicket Service (VDV-ETS) ist für den deutschen ÖPV-Standard "(((eTicket Deutschland" verantwortlich. Dieser stellt die technische und organisatorische Plattform für den Betrieb von einem interoperablen elektronischen Ticketing im öffentlichen Personenverkehr in Deutschland dar. Neben der Erstellung und Herausgabe des technischen Standards, der Aufstellung von organisatorischen Regeln für Teilnehmer und der Prüfung von eingesetzten Komponenten betreibt VDV-ETS auch zentrale Infrastrukturen für die an (((eTicket-Deutschland teilnehmenden Verkehrsunternehmen und -verbünde. Teile der deutschen ÖPNV-Branche haben das Ziel, den bargeldlosen Verkauf in Fahrzeugen umzusetzen. Erste Umsetzungsprojekte sind bereits in Planung, bzw. Umsetzung. Für diese ABT/ID-Based Ticketing Lösungen und die eng verzahnten ÖV-Netze insbesondere in NRW ist ein interoperabler Ticket- und Tokenspeicher erforderlich, um überregionale Tickets kontrollieren zu können. Im Interesse des Landesverkehrsministeriums NRW und im Sinne einer langfristig effizienten Umsetzung, soll ein gemeinsam genutztes System entstehen, dass in der Lage ist, mittelfristig Ticketdaten und Tickets speichern zu können. Um die deutschen Verkehrsunternehmen zu unterstützen, bank- und kreditkartenbasierte Vertriebstechnologien zu nutzen, muss sichergestellt werden, dass für die Kontrolle relevante Komponenten für alle Beteiligten zugänglich sind. In dieser Prozesskette ist der interoperable Ticket- und Tokenspeicher das Schlüsselsystem, das den hergestellten Bezug in Form eines Pseudonyms (z.B. kryptographischer Hash) zwischen Bank- bzw. Kreditkarte und Tarifprodukt speichert und den angeschlossenen Verkehrsunternehmen auf Anfrage bereitstellt. Für einen öffentlichen Personenverkehr über Stadt- oder Verbundgrenzen hinaus muss dieser Speicher interoperabel, hochverfügbar, standardisiert und diskriminierungsfrei eingerichtet sein. Für eine langfristig effiziente branchenweite Anwendung wird das System im Zielzustand sowohl bei Kauf per Bank- oder Kreditkarte entstehende als auch andere standardisierte Ticketdaten speichern und für die Kontrolle zu Verfügung stellen.
VDV eTicket Service (der Betreiber des deutschen eTicket-Deutschland-Standards) vergibt die Entwicklung eines interoperablen Ticket- und Tokenspeichers sowie eines SDK für die Tokenisierung von Kreditkartendaten im öffentlichen Nahverkehr. Das System soll den bargeldlosen Verkauf in Fahrzeugen ermöglichen und den Bezug zwischen Zahlungsmittel und Fahrschein als pseudonymisierten Hash speichern, sodass Verkehrsunternehmen Tickets über Stadt- und Verbundgrenzen hinweg kontrollieren können. Das Projekt läuft über 3 Jahre und ist besonders für NRW relevant, wo erste Umsetzungen geplant sind. Bieter müssen Erfahrung mit sicheren Zahlungssystemen, Tokenisierung und hochverfügbaren IT-Infrastrukturen nachweisen.
Zentrale Anforderungen
6 Punkte- Erfahrung mit sicheren Zahlungssystemen und Tokenisierung
- Kompetenz in der Entwicklung von SDKs und Software-Schnittstellen
- Nachweis hochverfügbarer IT-Infrastrukturen
- Kenntnisse im Bereich ÖPNV-Ticketing (eTicket Deutschland)
- Fähigkeit zur Umsetzung kryptographischer Pseudonymisierung
- Erfahrung mit interoperablen Systemen im Personenverkehr
KI-zusammengefasst aus den offiziellen Eignungsanforderungen. Verbindlich ist der Originaltext unten.
Eignungskriterien (Volltext)
Nachforderungen gem. § 56 VgV
Aufteilung in Lose
2 LoteDer interoperable Ticket- und Tokenspeicher speichert Tickets und pseudonymisierte Token, die von Customer Contract Partners (CCP) ausgegeben werden. Die verwendeten Tokens werden bei der Anlieferung nach einem gesondert spezifizieren Verfahren erstellt. Die pseudonymisierten Tokens werde für die Identifizierung der Tickets und in einem späteren Ausbau der Nutzermedien verwendet. Die Tickets werden über eine spezifizierte Schnittstelle angeliefert and können von Service Operators (SO) abgerufen werden. Im Ticket- und Tokenspeicher werden in definierten Intervallen Reports generiert und den anliefernden CCP zur Verfügung gestellt. Der Ticket- und Tokenspeicher enthält auch eine Nutzerverwaltung für die anliefernden CCP und abrufenden SO. Die Identifizierung und Authentifizierung erfolgt über die bestehenden Sicherheitsmechanismen des eTicket-Deutschland-Schemes. Das bedeutet, dass der Ticket- und Tokenspeicher eine Schlüsselverwaltung beinhalten muss. Dem Realisierer wird eine bereits spezifizierte Schnittstellenbeschreibung zur Verfügung gestellt, die entsprechend den Vorgaben umgesetzt werden muss. Beim interoperablen Ticket- und Tokenspeicher handelt es sich um eine hochverfügbare Datenbankanwendung, die so gestaltet werden muss, dass sie im späteren Betrieb, hochperformant und hochverfügbar umgesetzt werden muss. Des Weiteren muss im Ticket- und Tokenspeicher ein Reporting-, Auditing- und Monitoring-Funktionalität umgesetzt werden. Es ist eine umfangreiche Backup- und Archivierungsfunktionalität vorzusehen. Es muss ein Frontend für die Nutzerverwaltung, das Reporting, das Monitoring, das Auditing und die Verwaltung von Schüsseln vorgesehen werden. Das Hosting muss die Hochverfügbarkeit und Hochsicherheit entsprechend der SLAs garantieren und eine einfache Redundanz sicherstellen. Das redundante System muss in einem separaten Rechenzentrum gehostet und betrieben werden, um eine krisensichere Ausfallsicherheit zu gewährleisten. Außerdem muss genügend Speicher für Backups, Logging und Archivierung der Daten vorgehalten werden. Den Betreibern muss ein ständiger digitaler Kommunikations- und Administrationszugang zur Verfügung gestellt werden. Das Hosting muss aus Datenschutzgründen in Europa erfolgen und den Anforderungen der DSVGO genügen. Hoster mit nur einem Hop entfernt vom nächsten nationalen zentralen Zugangsknoten zum Internet können bevorzugt werden.
Das Software Development Kit (SDK) für die Tokenisierung von Kreditkarteninformationen (inkl. Wallets) muss nach dem vorgegebenen Verfahren von VDV-ETS umgesetzt werden. Mittels dieses SDKs werden auf der Basis von bestimmten Kreditkarteninformationen pseudonymisierte Token erzeugt. Das SDK stellt Funktionen für die Pseudonymisierung von bestimmten Kreditkarteninformationen und die gesicherte Übertragung der verarbeiteten Informationen mit einem aufrufenden Framework oder einer anderen Anwendung bereit. Die entsprechenden Algorithmen werden von VDV-ETS vorgegeben. Außerdem muss das SDK in der Lage sein, die öffentlichen Schlüssel von Kreditkarten einzulesen und entsprechend der Vorgaben aus der Norm ISO 24851 zu pseudonymisieren. Das jeweilige Verfahren muss über einen Parameter eingestellt werden können. Das SDK muss für die Betriebssysteme Windows Server, Linux, Android und IOS bereitgestellt werden.
Zuschlagskriterien
2 Kriterien- price1%
Wirtschaftlich günstigstes Angebot über einen bestimmten Zeitraum
- price1%
Wirtschaftlich günstigstes Angebot über einen bestimmten Zeitraum
Zeitplan
- 29. Apr. 2026Bekanntmachung veröffentlichtAuf TED publiziert
- 6. Mai 2026EinreichungsfristElektronische Einreichung