Het innovatieprogramma OV-betalen en Arriva starten woensdag 21 oktober 2021 in Lelystad een proef met nieuwe inspectieapparatuur. Reizigers in die stad kunnen sinds maart dit jaar ook in- en uitchecken met een contactloze betaalplas of creditcard. De nieuwe apparatuur kan bij OV-chipkaarten én contactloze bankpassen of creditcards lezen of is in- of uitgecheckt.
Betalen in het OV gaat de komende jaren veranderen. De OV-chipkaart krijgt een opvolger en er komen betaalvormen bij, voor meer reis- en betaalgemak. Zoals in- en uitchecken met een contactloze betaalpas of creditcard. Dat betekent ook een overstap van een systeem waarbij alle informatie op de OV-chipkaart staat, naar een systeem waarbij de verwerking en verrekening van de reis online plaatsvindt,
Het duurt volgens planning tot eind 2025 voor de huidige OV-chipkaart verdwijnt. Nieuwe betaalvormen zijn tussentijds dan al geïntroduceerd. Om te voorkomen dat controleurs met verschillende inspectieapparatuur moeten werken, hebben Translink, Scheidt & Bachmann, Technolution, Ximedes, Solvinity en Mypinpad samen met de vervoerders een nieuwe oplossing uitgewerkt. Daardoor kunnen zowel OV-chipkaarten als de nieuwe betaalvormen veilig worden geïnspecteerd.
Veilige contactloze transacties
Voor dergelijke inspectieapparatuur gelden strenge beveiligingsregels. Daarom is de apparatuur voorzien van twee aparte security access modules (SAM’s). Eén voor de OV-chipkaart, en één voor de nieuwe betaalvormen. Een SAM is een soort kluis voor het veilig versleutelen van data. Voor de nieuwe contactloze betaalmiddelen is toegang tot die kluis mogelijk met behulp van een wereldwijde beveiligingsstandaard: CPoC. Gevoelige data kunnen beveiligd worden uitgewisseld tussen de backoffice, waar reisgegevens in de cloud staan, en een speciale app op een Android toestel waarmee de inspectie wordt uitgevoerd.
De app herkent automatisch of een betaalpas of OV-chipkaart wordt gecontroleerd. Bij een OV-chipkaart worden de gegevens gelezen die op de kaart staan. Bij een betaalpas worden de gegevens uit de cloud gehaald. De enige voorwaarde is een internetverbinding.
Bij de inspectie van een betaalpas leest het inspectieapparaat het kaartnummer en van de betaalpas en zet een beveiligde CPoC verbinding op. Het kaartnummer wordt samen met voertuig- lijn- en ritdata versleuteld verstuurd naar een SAM in de cloud. Hier wordt de juiste sleutel opgehaald voor toegang tot de backoffice. De benodigde data worden daarna veilig teruggestuurd. De app toont het resultaat van de inspectie. Is de reiziger correct ingecheckt, dan meldt het display van het toestel ‘geldig’. Zo niet, dan staat er ‘ongeldig’.
CPoC werkt op toestellen met Android 8.1 of hoger, die gewoon in de winkel verkrijgbaar zijn.