Quyết định 3680/QĐ-UBND năm 2024 quy định về quản lý và hướng dẫn áp dụng các tiêu chuẩn kỹ thuật cho hệ thống thu soát vé tự động (AFC) liên thông dùng trong giao thông công cộng trên địa bàn Thành phố Hà Nội

QUYẾT ĐỊNH

BAN HÀNH QUY ĐỊNH VỀ VIỆC QUẢN LÝ VÀ HƯỚNG DẪN ÁP DỤNG CÁC TIÊU CHUẨN KỸ THUẬT CHO HỆ THỐNG THU SOÁT VÉ TỰ ĐỘNG (AFC) LIÊN THÔNG DÙNG TRONG GIAO THÔNG CÔNG CỘNG TRÊN ĐỊA BÀN THÀNH PHỐ HÀ NỘI

ỦY BAN NHÂN DÂN THÀNH PHỐ HÀ NỘI

Căn cứ Luật Tổ chức chính quyền địa phương ngày 19/6/2015 và Luật sửa đổi một số điều của Luật Tổ chức chính quyền địa phương ngày 22/11/2019;

Căn cứ Luật Công nghệ thông tin ngày 29/6/2006;

Căn cứ Luật Xây dựng ngày 18/6/2014 và Luật sửa đổi một số điều của Luật xây dựng ngày 17/6/2020;

Căn cứ Nghị định số 101/2012/NĐ-CP ngày 22/11/2012 của Chính phủ về thanh toán không dùng tiền mặt;

Căn cứ Nghị định số 165/2018/NĐ-CP ngày 24/12/2018 của Chính phủ về giao dịch điện tử trong hoạt động tài chính;

Căn cứ Nghị định số 35/2007/NĐ-CP ngày 08/03/2007 của Chính phủ về giao dịch điện tử trong hoạt động ngân hàng;

Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước;

Căn cứ Nghị định số 73/2019/NĐ-CP ngày 05/9/2019 của Chính phủ về quản lý đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước;

Căn cứ Thông tư 39/2017/TT-BTTTT ngày 15/12/2017 của Bộ Thông tin và Truyền thông về việc ban hành danh mục tiêu chuẩn kỹ thuật về ứng dụng công nghệ thông tin trong cơ quan Nhà nước;

Căn cứ Thông tư số 09/2020/TT-NHNN ngày 21/10/2020 của Ngân hàng nhà nước Việt Nam về quy định an toàn hệ thống thông tin trong hoạt động ngân hàng;

Căn cứ Thông tư số 20/2020/TT-NHNN ngày 31/12/2020 của Ngân hàng nhà nước Việt Nam về quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng;

Xét đề nghị của Sở Giao thông vận tải Hà Nội tại Tờ trình số 363/TTr-SGTVT ngày 12/4/2024 và Văn bản số 4319/SGTVT-QLCLCTGT ngày 11/7/2024 về việc về việc đề nghị ban hành Quy định về việc quản lý và hướng dẫn áp dụng các tiêu chuẩn kỹ thuật cho hệ thống thu soát vé tự động (AFC) liên thông dùng trong giao thông công cộng trên địa bàn thành phố Hà Nội; ý kiến của Sở Thông tin và truyền thông tại văn bản số 444/STTTT-CĐS ngày 27/02/2024.

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy định về việc quản lý và hướng dẫn áp dụng các tiêu chuẩn kỹ thuật cho hệ thống thu soát vé tự động (AFC) liên thông dùng trong giao thông công cộng trên địa bàn thành phố Hà Nội.

Điều 2. Quyết định này có hiệu lực kể từ ngày ký và thay thế Quyết định số 3978/QĐ-UBND ngày 13/8/2015 của UBND thành phố Hà Nội về ban hành Quy định về quản lý và áp dụng công nghệ cho hệ thống thẻ vé điện tử của mạng lưới vận tải hành khách công cộng trên địa bàn thành phố Hà Nội.

Điều 3. Chánh Văn phòng UBND Thành phố; Giám đốc các Sở, Ban, ngành Thành phố; Chủ tịch UBND các quận, huyện, thị xã; đơn vị kinh doanh, quản lý, vận hành khai thác các hệ thống vận tải hành khách công cộng và các tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.

QUY ĐỊNH

VỀ VIỆC QUẢN LÝ VÀ HƯỚNG DẪN ÁP DỤNG CÁC TIÊU CHUẨN KỸ THUẬT CHO HỆ THỐNG THU SOÁT VÉ TỰ ĐỘNG (AFC) LIÊN THÔNG DÙNG TRONG GIAO THÔNG CÔNG CỘNG TRÊN ĐỊA BÀN THÀNH PHỐ HÀ NỘI
(Ban hành kèm theo Quyết định số 3680/QĐ-UBND ngày 16 tháng 7 năm 2024 của UBND thành phố Hà Nội)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh, đối tượng áp dụng

1. Phạm vi điều chỉnh: Quy định này quy định về việc quản lý và hướng dẫn áp dụng các tiêu chuẩn kỹ thuật hệ thống thu soát vé tự động (AFC) liên thông dùng trong giao thông công cộng trên địa bàn thành phố Hà Nội bao gồm các loại hình giao thông công cộng như: xe buýt, buýt nhanh BRT, đường sắt đô thị và các loại hình vận tải hành khách công cộng khác trên địa bàn thành phố Hà Nội (gọi tắt là hệ thống AFC liên thông trong giao thông công cộng trên địa bàn thành phố Hà Nội).

QUYẾT ĐỊNH

BAN HÀNH QUY ĐỊNH VỀ VIỆC QUẢN LÝ VÀ HƯỚNG DẪN ÁP DỤNG CÁC TIÊU CHUẨN KỸ THUẬT CHO HỆ THỐNG THU SOÁT VÉ TỰ ĐỘNG (AFC) LIÊN THÔNG DÙNG TRONG GIAO THÔNG CÔNG CỘNG TRÊN ĐỊA BÀN THÀNH PHỐ HÀ NỘI

ỦY BAN NHÂN DÂN THÀNH PHỐ HÀ NỘI

Căn cứ Luật Tổ chức chính quyền địa phương ngày 19/6/2015 và Luật sửa đổi một số điều của Luật Tổ chức chính quyền địa phương ngày 22/11/2019;

Căn cứ Luật Công nghệ thông tin ngày 29/6/2006;

Căn cứ Luật Xây dựng ngày 18/6/2014 và Luật sửa đổi một số điều của Luật xây dựng ngày 17/6/2020;

Căn cứ Nghị định số 101/2012/NĐ-CP ngày 22/11/2012 của Chính phủ về thanh toán không dùng tiền mặt;

Căn cứ Nghị định số 165/2018/NĐ-CP ngày 24/12/2018 của Chính phủ về giao dịch điện tử trong hoạt động tài chính;

Căn cứ Nghị định số 35/2007/NĐ-CP ngày 08/03/2007 của Chính phủ về giao dịch điện tử trong hoạt động ngân hàng;

Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước;

Căn cứ Nghị định số 73/2019/NĐ-CP ngày 05/9/2019 của Chính phủ về quản lý đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước;

Căn cứ Thông tư 39/2017/TT-BTTTT ngày 15/12/2017 của Bộ Thông tin và Truyền thông về việc ban hành danh mục tiêu chuẩn kỹ thuật về ứng dụng công nghệ thông tin trong cơ quan Nhà nước;

Căn cứ Thông tư số 09/2020/TT-NHNN ngày 21/10/2020 của Ngân hàng nhà nước Việt Nam về quy định an toàn hệ thống thông tin trong hoạt động ngân hàng;

Căn cứ Thông tư số 20/2020/TT-NHNN ngày 31/12/2020 của Ngân hàng nhà nước Việt Nam về quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng;

Xét đề nghị của Sở Giao thông vận tải Hà Nội tại Tờ trình số 363/TTr-SGTVT ngày 12/4/2024 và Văn bản số 4319/SGTVT-QLCLCTGT ngày 11/7/2024 về việc về việc đề nghị ban hành Quy định về việc quản lý và hướng dẫn áp dụng các tiêu chuẩn kỹ thuật cho hệ thống thu soát vé tự động (AFC) liên thông dùng trong giao thông công cộng trên địa bàn thành phố Hà Nội; ý kiến của Sở Thông tin và truyền thông tại văn bản số 444/STTTT-CĐS ngày 27/02/2024.

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy định về việc quản lý và hướng dẫn áp dụng các tiêu chuẩn kỹ thuật cho hệ thống thu soát vé tự động (AFC) liên thông dùng trong giao thông công cộng trên địa bàn thành phố Hà Nội.

Điều 2. Quyết định này có hiệu lực kể từ ngày ký và thay thế Quyết định số 3978/QĐ-UBND ngày 13/8/2015 của UBND thành phố Hà Nội về ban hành Quy định về quản lý và áp dụng công nghệ cho hệ thống thẻ vé điện tử của mạng lưới vận tải hành khách công cộng trên địa bàn thành phố Hà Nội.

Điều 3. Chánh Văn phòng UBND Thành phố; Giám đốc các Sở, Ban, ngành Thành phố; Chủ tịch UBND các quận, huyện, thị xã; đơn vị kinh doanh, quản lý, vận hành khai thác các hệ thống vận tải hành khách công cộng và các tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.

QUY ĐỊNH

VỀ VIỆC QUẢN LÝ VÀ HƯỚNG DẪN ÁP DỤNG CÁC TIÊU CHUẨN KỸ THUẬT CHO HỆ THỐNG THU SOÁT VÉ TỰ ĐỘNG (AFC) LIÊN THÔNG DÙNG TRONG GIAO THÔNG CÔNG CỘNG TRÊN ĐỊA BÀN THÀNH PHỐ HÀ NỘI
(Ban hành kèm theo Quyết định số 3680/QĐ-UBND ngày 16 tháng 7 năm 2024 của UBND thành phố Hà Nội)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh, đối tượng áp dụng

1. Phạm vi điều chỉnh: Quy định này quy định về việc quản lý và hướng dẫn áp dụng các tiêu chuẩn kỹ thuật hệ thống thu soát vé tự động (AFC) liên thông dùng trong giao thông công cộng trên địa bàn thành phố Hà Nội bao gồm các loại hình giao thông công cộng như: xe buýt, buýt nhanh BRT, đường sắt đô thị và các loại hình vận tải hành khách công cộng khác trên địa bàn thành phố Hà Nội (gọi tắt là hệ thống AFC liên thông trong giao thông công cộng trên địa bàn thành phố Hà Nội).

2. Đối tượng áp dụng: các tổ chức, đơn vị liên quan đến hoạt động đầu tư, phát triển, quản lý, khai thác và vận hành hệ thống thẻ vé điện tử liên thông thuộc mạng lưới vận tải hành khách công cộng trên địa bàn thành phố Hà Nội. Cho phép mở rộng sử dụng cho các loại hình dịch vụ công cộng khác.

Điều 2. Yêu cầu kỹ thuật chung đối với hệ thống AFC liên thông

1. Được quản lý bằng công nghệ tiên tiến, tạo thuận lợi tối đa cho hành khách sử dụng dịch vụ vận tải hành khách công cộng, đáp ứng được các nhu cầu về quản lý và đảm bảo lợi ích của cơ quan quản lý Nhà nước, các đơn vị vận hành, các nhà đầu tư và các đơn vị cung ứng dịch vụ vận tải hành khách công cộng.

2. Là một hệ thống liên thông, liên kết được nhiều chủ thể (Nhà nước, đơn vị vận hành, nhà cung cấp dịch vụ, người sử dụng) và được quản lý tập trung bởi Sở Giao thông vận tải Hà Nội; Cho phép trích xuất các báo cáo theo yêu cầu của cơ quan quản lý Nhà nước và các đơn vị vận hành vận tải hành khách công cộng.

3. Đưa ra các định dạng giao diện phù hợp đảm bảo tính liên thông giữa các đơn vị trong hệ thống, các quy trình trao đổi và truyền tải dữ liệu chính xác, an toàn; Đưa ra các giải pháp kỹ thuật để giảm chi phí trong công tác quản lý góp phần cải thiện chất lượng dịch vụ vận tải hành khách công cộng.

4. Có khả năng nhận dạng, ngăn ngừa các hoạt động tấn công, thâm nhập trái phép từ bên trong và bên ngoài, đảm bảo an toàn thông tin cá nhân cho hành khách.

5. Đảm bảo liên thông giữa các công nghệ khác nhau và sẵn sàng tiếp nhận, ứng dụng các công nghệ mới sắp tới trong tương lai; Cho phép áp dụng với các loại hình dịch vụ vận tải hành khách công cộng khác trong tương lai tạo thuận lợi tối đa cho người sử dụng.

6. Các dịch vụ về vé, hệ thống cần đảm bảo cho phép triển khai linh hoạt theo từng loại hình về vé, giá vé và hệ thống quản lý vé.

7. Hệ thống có tính mở sẵn sàng tích hợp với cơ sở dữ liệu thẻ căn cước công dân có gắn chip.

8. Các dạng thức thanh toán phải đảm bảo liên kết với tài khoản giao thông. Tài khoản giao thông là tài khoản được khởi tạo và duy trì cho người tham gia giao thông trong hệ thống AFC. Mỗi thẻ vé liên thông sẽ có một tài khoản được duy trì song song trong hệ thống, phản ánh giá trị tức thời của thẻ. Đồng thời, giá trị lưu giữ tại một tài khoản được nạp thông qua nhiều phương tiện thanh toán khác nhau được chấp nhận theo quy định của pháp luật.

Điều 3. Các từ viết tắt và định nghĩa sử dụng trong Quy định

Trong Quy định này, một số thuật ngữ chuyên ngành sử dụng các từ viết tắt dưới đây được hiểu như sau:

1. AAUI: Application Activation User Interface - Giao diện người dùng kích hoạt ứng dụng.

2. AFC: Automatic Fare Collection - Hệ thống thu soát vé tự động.

3. API: Application Programming Interface - Giao diện lập trình ứng dụng.

4. CCS: Central Control System - Hệ thống điều khiển trung tâm.

5. EAL: Evaluation Assurance Level - Mức đảm bảo đánh giá.

6. EMV: Europay, Mastercard, Visa.

7. FMC: Fare Management Center - Trung tâm quản trị vé.

8. HTTP: HyperText Transfer Protocol - Giao thức truyền tải siêu văn bản.

9. HTTPS: HyperText Transfer Protocol Security - Giao thức truyền tải siêu văn bản an toàn.

10. IFM: Interoperable Fare Management - Quản lý thẻ vé liên thông.

11. ISO: International Organization for Standardization - Tổ chức Tiêu chuẩn hóa Quốc tế.

12. JSON: JavaScript Object Notation - Ký hiệu đối tượng JavaScript, một tiêu chuẩn mở định dạng dữ liệu dựa trên văn bản.

13. Message Queue: Hàng đợi thông điệp.

14. NFC: Near Field Communication - Giao tiếp trường gần.

15. PPSE : Proximity Payment System Environment - Môi trường hệ thống thanh toán cảm ứng.

16. Pub/Sub: Phát hành/Đăng ký.

17. QR: Quick Response (code) - (Mã) QR.

18. QRCPS: QR Code Specification for Payment Systems - Đặc tả mã QR cho hệ thống thanh toán.

19. REST API : REpresentational State Transfer API - Một tiêu chuẩn dùng trong việc thiết kế API cho các ứng dụng Web.

20. RFID: Radio Frequency Identification - Nhận dạng qua tần số vô tuyến.

21. SAM: Secure Access Module - Mô-đun Truy cập An ninh.

22. SFTP: Secure File Transfer Protocol - Giao thức truyền file an toàn.

23. SOAP: Simple Object Access Protocol - Giao thức truy cập đối tượng đơn giản.

24. TCP/IP: Transmission Control Protocol/Internet Protocol - Giao thức điều khiển truyền nhận/ Giao thức liên mạng.

25. TOM: Ticketing Office Machines - Các máy trạm Thẻ vé.

26. UTF-8: 8-bit Unicode Transformation Format - Định dạng chuyển đổi Unicode 8-bit.

27. WAN: Wide Area Network - Mạng diện rộng.

28. Web Service - Dịch vụ Web.

29. Web Socket - Gói dữ liệu Web.

30. WSDL: Web Services Description Language - Ngôn ngữ mô tả dịch vụ Web.

31. XML: Extensible Mark-up Language - Ngôn ngữ đánh dấu mở rộng.

32. API-chung: là API phục vụ trao đổi dữ liệu giữa Cấp 4 với Cấp 5 của hệ thống AFC. Chỉ có một API-chung cho toàn bộ hệ thống AFC của Thành phố.

33. API-chia sẻ: là các API để kết nối dữ liệu giữa dạng thức và thiết bị truy cập dạng thức (Cấp 1 và Cấp 2) cần phải giống nhau hoặc có khả năng liên thông.

34. API khác (còn gọi là API độc quyền hoặc chuẩn hóa): là các API phục vụ mục đích trao đổi dữ liệu giữa hai cấp liền kề (giữa Cấp 2-Cấp 3, Cấp 3-Cấp 4).

Chương II

QUY ĐỊNH VỀ ÁP DỤNG CÁC TIÊU CHUẨN KỸ THUẬT CHO HỆ THỐNG AFC LIÊN THÔNG

Điều 4. Yêu cầu kỹ thuật đối với kiến trúc hệ thống AFC liên thông

Hệ thống AFC liên thông được triển khai xây dựng theo mô hình phân cấp gồm 05 cấp:

Cấp 1: Vé và dạng thức thanh toán, gồm: Thẻ vé điện tử, thẻ ngân hàng, mã QR, nhận dạng sinh trắc học, … được khách hàng sử dụng và lưu trữ, có giá trị thanh toán dịch vụ vận tải hành khách công cộng trên địa bàn thành phố Hà Nội. Vé và dạng thức thanh toán phải đảm bảo tính liên thông, tức là đều được chấp nhận tương đương bởi các hệ thống vé riêng.

Cấp 2: Thiết bị đầu cuối của hệ thống AFC, bao gồm tất cả các thiết bị đầu cuối như máy bán vé đặt tại phòng soát vé, các máy bán vé cá nhân, các máy bán vé tự động hoặc máy bán vé nạp tiền tự động, cổng soát vé tự động, thiết bị xác thực vé trên phương tiện.

Cấp 3: Hệ thống tại Ga/Đề-pô/Trạm/Tuyến, có nhiệm vụ quản lý và thu thập dữ liệu giao dịch từ thiết bị của hệ thống AFC; thu thập dữ liệu từ các Ga/Đề- pô/Trạm; tổng hợp và chuyển tiếp dữ liệu; truyền các dữ liệu quản lý từ cấp trên (cấp 4) xuống thiết bị của hệ thống AFC và các chức năng giao tiếp khác (cấp này không thực hiện xử lý dữ liệu của hệ thống AFC).

Cấp 4: Hệ thống tại công ty vận hành, có nhiệm vụ: quản lý, giám sát hệ thống AFC trực thuộc; nhận thông tin/dữ liệu trao đổi giữa các cấp liền kề thông qua API chung để thực hiện các nghiệp vụ của hệ thống. Các chức năng của hệ thống tuân thủ tiêu chuẩn ISO/IEC 24014-1.

Cấp 5: Hệ thống tại trung tâm thanh toán bù trừ, có nhiệm vụ: quản lý tập trung toàn bộ dữ liệu của hệ thống AFC liên thông; thực hiện thanh toán bù trừ; thực hiện quản lý dạng thức; đảm bảo an toàn thông tin; quản lý bộ quy tắc chung; quản lý vận hành và bảo trì thiết bị. Các chức năng của cấp 5 trong hệ thống AFC liên thông tuân thủ với tiêu chuẩn ISO/IEC 24014-1.

Hình 1. Mô hình kiến trúc phân cấp hệ thống thẻ vé liên thông

Cơ quan quản lý Nhà nước có thẩm quyền quản lý hệ thống AFC liên thông, thu thập tất cả các dữ liệu, thông tin của dạng thức thanh toán (thẻ vé, thẻ ngân hàng, mã QR) và các dịch vụ kèm theo dạng thức thanh toán, khởi tạo ban đầu và xử lý phân bổ doanh thu giữa các đơn vị vận hành, thực hiện chức năng giao dịch với ngân hàng hoặc các tổ chức tín dụng khác. Theo đó, việc liên kết giữa các đơn vị cung cấp hệ thống AFC liên thông sẽ phải được sự kiểm soát chặt chẽ của cơ quan quản lý Nhà nước có thẩm quyền. Mọi thông tin liên kết sẽ được đăng ký và kiểm soát bảo mật thông tin theo quy định và phân cấp.

Mọi giao dịch giữa Cấp 1 với Cấp 2 (thiết bị đầu cuối của hệ thống AFC) đều phải gửi qua các cấp trên (Cấp 3 và Cấp 4) lên Cấp 5 để quản lý tập trung.

Trong hệ thống AFC liên thông, thiết bị phần cứng và phần mềm của Cấp 2, Cấp 3, Cấp 4 được xây dựng và điều hành bởi các đơn vị cung cấp dịch vụ vận tải hành khách công cộng theo các quy định và tiêu chuẩn được ban hành theo quy định này.

Điều 5. Yêu cầu kỹ thuật đối với các dạng thức thanh toán

1. Yêu cầu kỹ thuật đối với dạng thức thanh toán là thẻ vé

Thẻ vé được đưa vào sử dụng trong hệ thống thẻ vé liên thông vận tải hành khách công cộng thành phố Hà Nội đều phải đáp ứng các tiêu chuẩn kỹ thuật như sau:

a) Về các đặc tính kỹ thuật phải đáp ứng một trong hai tiêu chuẩn như sau:

- TCVN 11689-1:2016 (ISO/IEC 14443-1)

- TCVN 11165:2015 (ISO/IEC 7810)

b) Về giao tiếp dữ liệu phải đáp ứng một trong hai tiêu chuẩn như sau:

- TCVN 11689-2,3,4:2016 (ISO/IEC 14443 Part 2/3/4)

- ISO/IEC 18092

c) Tốc độ truyền dữ liệu tuân thủ TCVN 11689-4:2016.

d) Tiêu chuẩn về bảo mật: thẻ vé đầy đủ chức năng phải đạt mức đánh giá từ EAL4+.

- Giao thức xác thực lẫn nhau 03 lần (theo chuẩn ISO/IEC DIS 9798 hoặc tương đương).

- Phương thức xác thực giữa đầu đọc và thẻ: FIPS 197 (AES 128 bits) hoặc NIST Special Publication 800-67 (TDEA).

- Mã hóa trên đường truyền dữ liệu để đảm bảo thông tin và tài khoản được an toàn.

- Tiêu chuẩn ISO/IEC 15408: Tiêu chí đánh giá bảo mật đối với công nghệ thông tin.

đ) Thẻ có chức năng lưu trữ các thông tin cần thiết về hệ thống và các ứng dụng, đảm bảo thẻ và hệ thống có thể truy cập thông tin và hoạt động một cách hiệu quả.

e) Cấu trúc mỗi tệp tin được quy định ở thời điểm khởi tạo, bảo đảm thẻ có thể phục vụ linh hoạt cho khách hàng.

g) Cấu trúc vùng dữ liệu trên thẻ được tổ chức cho mục đích liên thông quy định như sau:

- Cấu trúc dữ liệu phải được thiết kế đầy đủ để mô hình hóa các đối tượng vật lý cũng như các đối tượng lô-gíc có trong các nghiệp vụ của hệ thống nhằm đáp ứng yêu cầu của hệ thống AFC liên thông.

- Cấu trúc vùng dữ liệu trên thẻ phải được tổ chức để sử dụng chung cho nhiều loại hình giao thông khác nhau.

- Ngoài vùng dữ liệu chứa thông tin quản lý của Bên phát hành, thẻ vé phải được định dạng có vùng dữ liệu chung và vùng dữ liệu dành riêng. Vùng dữ liệu chung dành cho các nghiệp vụ hệ thống AFC liên thông (tất cả các công ty vận hành sử dụng cùng một định dạng), vùng dữ liệu dành riêng dùng cho các dịch vụ của công ty vận hành (tùy thuộc chính sách tương ứng).

- Trên thẻ phải có vùng dự trữ để sử dụng trong trường hợp mở rộng, điều chỉnh dịch vụ hoặc phát triển các ứng dụng ngoài giao thông.

h) Có cơ chế chống gián đoạn tự động đối với tất cả các loại tệp tin, đảm bảo toàn vẹn dữ liệu trong khi giao dịch.

i) Thời gian giao dịch thẻ không vượt quá 300ms.

2. Yêu cầu kỹ thuật đối với dạng thức thanh toán bằng thẻ ngân hàng

a) Hệ thống chấp nhận thẻ thanh toán nội địa, khuyến khích chấp nhận thẻ chuẩn EMV.

b) Dạng thức thanh toán bằng thẻ ngân hàng phải tuân thủ các quy định của Ngân hàng Nhà nước Việt Nam.

3. Yêu cầu kỹ thuật đối với dạng thức thanh toán là thanh toán bằng thiết bị di động

a) Việc thanh toán di động sẽ tuân thủ các quy chuẩn, tiêu chuẩn kỹ thuật của Việt Nam có liên quan (QCVN, TCVN, TCCS) và các quy định khác của Ngân hàng Nhà nước Việt Nam.

b) Giao diện người dùng kích hoạt ứng dụng (AAUI) phải tuân thủ theo chỉ dẫn trong Hướng dẫn sử dụng và Yêu cầu PPSE, 2010.

c) Môi trường dịch vụ thanh toán cảm ứng phải tuân thủ theo chỉ dẫn trong PPSE và Quản lý ứng dụng để đảm bảo Đặc điểm yếu tố an toàn, 2017.

4. Yêu cầu kỹ thuật đối với dạng thức thanh toán bằng mã QR

a) Các loại hình của mã QR phải tuân thủ TCVN 7322 (ISO/IEC18004) .

b) Chế độ hiển thị từ phía đơn vị chấp nhận thanh toán phải tuân thủ TCCS 03:2018/NHNNVN.

c) Chế độ hiển thị từ phía người tiêu dùng phải tuân thủ EMV QRCPS.

5. Các dạng thức khác

Hệ thống cho phép mở rộng để chấp nhận các dạng thức thanh toán khác như: sử dụng căn cước công dân, nhận dạng khuôn mặt, sinh trắc vân tay.

Điều 6. Yêu cầu kỹ thuật đối với thiết bị đầu cuối

1. Yêu cầu kỹ thuật đối với thiết bị đầu cuối là đầu đọc thẻ vé

a) Công nghệ truyền thông giữa dạng thức và đầu đọc là RFID vận hành ở tần số danh nghĩa 13,56MHz và/hoặc NFC.

b) Đầu đọc thẻ phải hỗ trợ đồng thời ít nhất cả 2 tiêu chuẩn ISO 14443A/B và ISO 18092 (NFC),

c) Đầu đọc thẻ có ít nhất 4 ổ cắm giao tiếp SAM ISO 7816.

d) Mức độ đảm bảo đánh giá (EAL) tối thiểu đạt EAL5+, khuyến khích EAL6+.

đ) Có khả năng kết nối mở rộng tính năng với các hình thức xác thực sinh trắc (vân tay, khuôn mặt).

2. Yêu cầu kỹ thuật đối với thiết bị đầu cuối là đầu đọc thẻ ngân hàng và đầu đọc mã QR

a) Đầu đọc thẻ ngân hàng phải tuân thủ quy định của Ngân hàng Nhà nước, TCVN 11198:2015, TCCS 02/2018/NHNNVN.

b) Đầu đọc và POI dùng trong thanh toán bằng mã QR phải tuân thủ các quy định liên quan trong ISO/IEC18004 (TCVN 7322); tuân thủ chế độ hiển thị từ phía đơn vị chấp nhận thanh toán được quy định trong TCCS 03:2018/ NHNNVN; tuân thủ chế độ hiển thị từ phía người tiêu dùng được quy định trong EMV QRCPS.

Điều 7. Yêu cầu kỹ thuật về trao đổi dữ liệu đối với hệ thống AFC

1. Yêu cầu chung về dữ liệu trao đổi

a) Mô hình dữ liệu định nghĩa phần tử dữ liệu mô tả các thực thể cần thiết phục vụ nghiệp vụ quản lý Nhà nước và cần trao đổi giữa các phân hệ trong hệ thống AFC.

b) Dữ liệu trao đổi (dữ liệu giao dịch, dữ liệu mã hóa) tuân thủ yêu cầu của Bảng mã chung đảm bảo liên thông.

c) Việc trao đổi thông tin giữa các thành phần trong hệ thống phải được quy định chặt chẽ về mã trao đổi thông tin, cấu trúc dữ liệu, quy tắc truyền dữ liệu (như phân tách trình tự dữ liệu, định tuyến dữ liệu, định dạng dữ liệu, kiểm soát lưu lượng, kiểm soát lỗi, an toàn dữ liệu truyền).

d) Các kết nối dữ liệu với bên ngoài cần đảm bảo không ảnh hưởng đến tính an toàn thông tin và tính toàn vẹn của toàn bộ hệ thống. Ngoại trừ trường hợp cảnh báo liên quan đến sự cố xảy ra ở các cấp khác trong hệ thống, các kết nối bên ngoài chỉ được cho phép thực hiện ở Cấp 4 và/hoặc Cấp 5.

2. Yêu cầu về định dạng dữ liệu trao đổi

a) Ngôn ngữ để mô tả dữ liệu trong tệp dữ liệu, thông điệp dữ liệu trao đổi là ngôn ngữ XML. Dữ liệu được mô tả bằng ngôn ngữ XML sử dụng bộ trình diễn ký tự UTF8, định dạng JSON.

b) Nội dung dữ liệu chặt chẽ, đúng cú pháp ; tuân thủ và tham chiếu đến lược đồ dữ liệu XML qua không gian tên.

c) Các thông tin, dữ liệu thuộc phạm vi chuyên ngành đặc thù sử dụng các ngôn ngữ mô tả mở rộng từ ngôn ngữ XML phù hợp.

3. Các tiêu chuẩn kỹ thuật về giao thức trao đổi dữ liệu

a) Sử dụng bộ giao thức mạng TCP/IP để trao đổi dữ liệu trong môi trường mạng.

b) Sử dụng giao thức HTTP hoặc HTTPS (yêu cầu trong trường hợp bảo mật dữ liệu) để truy cập dịch vụ cung cấp dữ liệu.

c) Sử dụng dịch vụ Web được xây dựng và phát triển theo chuẩn REST API làm phương thức để kết nối giữa Cấp 4 với Cấp 5.

d) Sử dụng ngôn ngữ WSDL trong dịch vụ mô tả dịch vụ Web.

đ) Sử dụng giao thức SOAP để đóng gói yêu cầu và dữ liệu phục vụ trao đổi giữa các hệ thống thông tin.

Điều 8. Yêu cầu kỹ thuật Luồng dữ liệu trong hệ thống AFC

1. Luồng dữ liệu giao dịch phát sinh khi hành khách tham gia giao thông như thông tin định danh thẻ, đơn vị phát hành, thông tin thanh toán,… được luân chuyển từ cấp dưới lên cấp trên (Cấp 1 tới Cấp 5) thông qua giao diện lập trình ứng dụng của các cấp.

2. Luồng dữ liệu về quản lý, vận hành hệ thống liên thông (như cơ sở dữ liệu về thẻ, danh sách đen, đồng bộ ngày giờ) được luân chuyển từ cấp trên xuống cấp dưới (Cấp 5 tới Cấp 2) thông qua giao diện lập trình ứng dụng của các cấp.

3. Luồng dữ liệu luân chuyển giữa các cấp được thực hiện gián tiếp thông qua các cấp trung gian hoặc trực tiếp để giảm thời gian cho hoạt động truyền dữ liệu. Tuy nhiên, việc luân chuyển dữ liệu trực tiếp phải đảm bảo tiêu chuẩn về an ninh, an toàn thông tin cho hệ thống.

4. Các luồng dữ liệu đòi hỏi được luân chuyển tức thời phải được thực hiện bằng các giải pháp hướng thông điệp như: cơ chế hàng đợi thông điệp, cơ chế phát hành/đăng ký, gói dữ liệu Web.

5. Các luồng sao lưu, đồng bộ dữ liệu phải được thực hiện định kỳ.

Điều 9. Yêu cầu kỹ thuật về bảng mã chung

1. Bảng mã chung phải được triển khai trên tất cả các cấp trong hệ thống nhằm đảm bảo khả năng liên thông. Mã chung dùng để phân biệt một cách duy nhất từng thành phần trong hệ thống AFC, là cơ sở để xử lý dữ liệu trong hệ thống AFC liên thông.

2. Mã quốc gia và mã địa phương trong quốc gia tuân thủ ISO 3166 (phần về Việt Nam và thành phố Hà Nội). Mã các phần tử dữ liệu của hoạt động vận tải được mã hóa thống nhất để đảm bảo tính nhất quán giữa các cấu phần của hệ thống tuân thủ EN 1545-1 và 1545-2.

3. Bảng mã chung bao gồm nhưng không giới hạn các nội dung sau: mã chung cho các phần tử dữ liệu; dữ liệu giao dịch chung; mã chung cho các ga/trạm/điểm dừng/điểm trung chuyển, mã tổ chức, ID thẻ, mã phân loại thiết bị, mã phân loại nghiệp vụ của hệ thống AFC, mã thiết bị của hệ thống AFC, mã vị trí thiết bị, mã phương thức thanh toán, mã đơn vị phát hành vé, số hiệu phương tiện, mã dịch vụ, mã Ký tự (Unicode UTF-8), mã ngữ cảnh.

4. Dữ liệu giao dịch chung được tạo ra bởi thiết bị đầu cuối ở Cấp 2, được truyền qua các cấp trung gian (Cấp 3 và Cấp 4) đến hệ thống trung tâm ở Cấp 5 để thực hiện quản lý sử dụng và thanh toán bù trừ. Dữ liệu giao dịch chung phải thống nhất về định dạng dữ liệu và mã hóa dữ liệu.

Điều 10. Yêu cầu kỹ thuật về thu thập và lưu trữ dữ liệu trong hệ thống AFC

1. Thu thập dữ liệu được thực hiện ở các cấp: Cấp 3 (Ga/Đề pô/Trạm/Tuyến) thu thập dữ liệu từ thiết bị của hệ thống AFC, Cấp 4 (công ty vận hành) thu thập dữ liệu giao dịch từ các tuyến, Cấp 5 (trung tâm thanh toán bù trừ) thu thập dữ liệu giao dịch từ các công ty vận hành. Việc thu thập dữ liệu giao dịch thực hiện theo chu kỳ, đảm bảo dữ liệu giao dịch phải được chuyển tiếp và lưu trữ đầy đủ tại Cấp 5 và có khả năng truy vết thời gian, địa điểm dữ liệu giao dịch được phát sinh. Các hướng dẫn về quản lý rủi ro an toàn thông tin tuân thủ tiêu chuẩn ISO/IEC 27005:2018.

2. Dữ liệu phải được phân loại để lưu trữ theo thứ tự ưu tiên về mức độ quan trọng, sao lưu theo thời gian, loại thông tin, nơi lưu trữ. Đối với các dữ liệu quan trọng phải được lưu trữ tối thiểu tại hai địa điểm cách biệt nhau.

3. Dữ liệu phải được kiểm soát và đối chiếu sau khi sao lưu. Đối với các dữ liệu quan trọng thực hiện sao lưu dữ liệu tối thiểu một tuần một lần.

4. Cơ quan quản lý, vận hành có trách nhiệm xây dựng và triển khai thực hiện Quy trình sao lưu dữ liệu dự phòng cho dữ liệu cho Hệ thống máy chủ của trung tâm thanh toán bù trừ (Cấp 5).

5. Cấu trúc dữ liệu lưu trữ bao gồm các thông tin để đáp ứng mục tiêu xây dựng các chức năng phân tích dữ liệu như: phân cụm hành khách, phân tích lưu lượng hành khách, phân tích hành vi của hành khách.

6. Cơ sở dữ liệu về tài khoản/thẻ được lưu trữ tập trung ở cấp 5 và/hoặc lưu trữ phân tán ở các Cấp 2, 3, 4 để giảm thời gian xác thực tài khoản và đảm bảo hệ thống vẫn hoạt động cục bộ được khi có sự cố bất khả kháng làm mất kết nối tới trung tâm dữ liệu ở Cấp 5.

Điều 11. Yêu cầu kỹ thuật về giao diện lập trình ứng dụng trong hệ thống AFC liên thông

1. Hệ thống phần mềm gồm nhiều cấu phần được phát triển độc lập nhưng phải có giao diện lập trình ứng dụng cho phép các cấu phần trao đổi thông tin với nhau và có khả năng tích hợp với các hệ thống khác.

2. API để giao tiếp với phần mềm tại Cấp 5 phải là API-chung duy nhất; API để giao tiếp giữa Cấp 1 và Cấp 2 phải là API-chia sẻ; API phục vụ mục đích trao đổi dữ liệu giữa hai cấp bất kỳ là API độc quyền hoặc chuẩn hóa.

3. API-chung để trao đổi dữ liệu giữa các phân hệ trong hệ thống theo phương thức truyền file an toàn SFTP hoặc tương đương, tuân thủ các tiêu chuẩn: ISO/IEC 14443 và/hoặc ISO/IEC 18092, ISO/IEC 7816-4, ISO 3166, XML, JSON. Chỉ dẫn kỹ thuật cho API-chung để trao đổi dữ liệu giữa các phân hệ trong hệ thống đảm bảo APTA IT-UTFS-S-003-07 - Tiêu chuẩn hệ thống dạng thức vé không tiếp xúc, Phần III - Giao diện hệ thống trung tâm cho từng vùng.

Điều 12. Yêu cầu kỹ thuật về đảm bảo an toàn thông tin trong hệ thống AFC

1. Yêu cầu chung

a) Hệ thống phải tuân thủ các quy định về bảo vệ hệ thống thông tin theo quy định của Luật An toàn thông tin mạng và áp dụng thuật toán mã hóa, đảm bảo tính bảo mật của thẻ, thiết bị đầu cuối, giao dịch, thanh toán cũng như tính bảo mật tổng thể.

b) Duy trì, cập nhật thường xuyên đối với hệ thống bảo mật (tường lửa, phòng chống mã độc, phát hiện và ngăn chặn xâm nhập) để bảo đảm an toàn, bảo mật cho hệ thống AFC.

c) Hệ thống AFC tối thiểu phải đáp ứng đầy đủ các yêu cầu về đảm bảo an toàn cho hệ thống thống thông tin cấp độ 3 theo Tiêu chuẩn quốc gia TCVN 11930:2017 về Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ, tuân thủ các kỹ thuật an toàn, quy tắc thực hành quản lý an toàn thông tin được quy định trong TCVN ISO/IEC 27002:2020 và phải đảm bảo khả năng vận hành 24/7, không chấp nhận ngừng vận hành mà không có kế hoạch trước.

2. Đảm bảo an toàn các thiết bị vật lý

a) Tổ chức, bảo mật và các lệnh trao đổi dữ liệu thẻ RFID trong hệ thống AFC phải tuân thủ các quy định trong ISO/IEC 14443 và ISO/IEC 7816-4. Đối với thẻ NFC phải tuân thủ các quy định trong ISO/IEC 18092.

b) Các thiết bị vật lý phải tuân thủ các yêu cầu an toàn trong tiêu chuẩn TCVN ISO/IEC 27002:2020, tối thiểu phải đáp ứng các yêu cầu an toàn vật lý đối với hệ thống thông tin cấp độ 3 quy định trong TCVN 11930:2017.

c) Thiết bị đầu cuối phải có chức năng chống xâm nhập, đảm bảo trong điều kiện làm việc bình thường không bị rò rỉ các dữ liệu đối với các cổng vào/ra hoặc làm thay đổi dữ liệu đang xử lý hoặc lưu trữ trong thiết bị.

d) Quyền truy cập lên các dữ liệu nội bộ trong thiết bị phải được hạn chế (như các dữ liệu mã hoá, tham số nghiệp vụ, dữ liệu cá nhân) đồng thời phải có các biện pháp kiểm soát an ninh nhằm ngăn chặn việc truy cập trái phép và đánh cắp dữ liệu.

3. Mật mã

Các thiết bị phần cứng hoặc các mô-đun phần mềm trong hệ thống AFC có nhu cầu sử dụng các mật mã thì việc cấp phát, sử dụng và quản lý các mật mã được thực hiện theo TCVN ISO/IEC 27002:2020.

4. Kiểm soát truy cập

Hệ thống AFC dùng trong giao thông công cộng đáp ứng các chức năng cho các lớp người dùng khác nhau với các quyền truy nhập khác nhau đối với các tài nguyên trong hệ thống. Quá trình kiểm soát truy nhập và phân quyền cho các lớp người dùng tuân theo tiêu chuẩn TCVN ISO/IEC 27002:2020.

5. An toàn vận hành hệ thống

a) Hệ thống vận hành phải có đầy đủ các chức năng: sao lưu phục hồi, ghi nhật ký giám sát, bảo vệ hệ thống khỏi các phần mềm độc hại, quản lý các lỗ hổng bảo mật, soát xét và đánh giá hệ thống.

b) Các chức năng này tuân theo tiêu chuẩn TCVN ISO/IEC 27002:2020.

6. An toàn truyền thông

a) Kiến trúc, tổ chức và năng lực của hệ thống mạng phải đáp ứng nhu cầu trong giờ cao điểm; phải dự phòng về phần cứng và đường truyền thông để đảm bảo tính sẵn sàng của hệ thống. Hệ thống phải sử dụng công nghệ mã hoá, giải mã, xác thực để đảm bảo tính an toàn và tính toàn vẹn của dữ liệu trong quá trình truyền thông.

b) Đảm bảo môi trường điện toán an toàn (nhận dạng, xác thực, kiểm soát truy cập, toàn vẹn dữ liệu).

c) Trong hoạt động phối hợp giữa các phân hệ trong hệ thống AFC, vấn đề an toàn mạng máy tính và an toàn truyền thông giữa các phân hệ tuân theo tiêu chuẩn TCVN ISO/IEC 27002:2020.

7. Quản lý sự cố an toàn thông tin

a) Hệ thống AFC phải có các chức năng hoặc hỗ trợ các giao diện lập trình ứng dụng cho các công cụ khác thực hiện các nghiệp vụ quản lý sự cố an toàn thông tin theo tiêu chuẩn TCVN ISO/IEC 27002:2020 ISO/IEC.

b) Sao lưu và phục hồi dữ liệu: Hệ thống phải cung cấp các chức năng sao lưu và phục hồi những dữ liệu quan trọng, dự phòng nóng các hệ thống xử lý dữ liệu quan trọng để đảm bảo tính sẵn sàng cao của hệ thống.

8. Yêu cầu bổ sung

a) Thiết kế hệ thống có phương án quản lý tài khoản đặc quyền.

b) Lưu trữ dự phòng dữ liệu nhật ký hệ thống trên hệ thống lưu trữ riêng biệt, có mã hóa với những dữ liệu nhật ký quan trọng.

c) Phân quyền truy cập, quản trị, sử dụng tài nguyên khác nhau trên máy chủ với người sử dụng/ nhóm người sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau.

d) Sử dụng cơ chế xác thực đa nhân tố để xác thực người sử dụng khi truy cập, quản trị vào các máy chủ quan trọng trong hệ thống.

đ) Xác thực vô hiệu hóa tài khoản nếu đăng nhập sai nhiều lần vượt số lần quy định.

e) Giới hạn số lượng các kết nối đồng thời (kết nối khởi tạo và đã thiết lập) đối với các ứng dụng, dịch vụ máy chủ cung cấp.

g) Phương án sao lưu dự phòng có tính sẵn sàng cao, cho phép khôi phục dữ liệu nóng khi một thành phần trong hệ thống xảy ra sự cố.

Điều 13. Yêu cầu kỹ thuật đối với trung tâm thanh toán bù trừ FMC

1. Yêu cầu về chức năng nghiệp vụ của FMC

a) Thực hiện quản lý công tác phát hành các dạng thức thanh toán gồm: mua sắm thẻ hoặc các dạng thức khác, phát hành, quản lý lưu trữ thông tin và giá trị trên thẻ hoặc tài khoản hành khách.

b) Thực hiện quản lý dữ liệu: thu thập, quản lý và sử dụng dữ liệu liên quan đến quá trình phát hành, thông tin khách hàng, các giao dịch phát sinh và lỗi trên hệ thống.

c) Thực hiện quản lý thanh toán bù trừ: gồm thu thập tổng hợp, phân tích và thanh toán bù trừ giữa các đơn vị cung cấp dịch vụ và cơ quan quản lý Nhà nước.

d) Thực hiện quản lý bảo mật thông tin khách hàng, an toàn dữ liệu hệ thống AFC và tạo mã khoá cho toàn hệ thống.

đ) Thực hiện quản lý các quy định, các chính sách về hệ thống AFC trên địa bàn thành phố Hà Nội, thực hiện thay đổi chính sách khi có yêu cầu của cơ quan quản lý Nhà nước có thẩm quyền.

e) Thực hiện vận hành hệ thống và bảo trì hệ thống.

2. Yêu cầu về hệ thống phần cứng FMC

a) Phải được thiết kế dự phòng dạng mô-đun kép, dễ dàng thay thế các hệ thống con chính mà không cần tắt hệ thống, cho phép thay thế nóng trong trường hợp sự cố.

b) Có khả năng vận hành liên tục, khi có lỗi xảy ra trên một mô-đun hệ thống vẫn tiếp tục hoạt động trên mô-đun còn lại và tự động đồng bộ dữ liệu sau khi khắc phục sự cố.

3. Yêu cầu về hệ thống phần mềm FMC

a) Hệ thống phần mềm có chức năng quản lý, thu thập, xử lý và lưu trữ toàn bộ các dữ liệu giao dịch và nghiệp vụ liên quan.

b) Hệ thống phần mềm phải đáp ứng các yêu cầu quy định trong TCVN 12849:2020 (ISO/IEC/IEEE 29119:2013) về Kỹ thuật hệ thống và phần mềm - Kiểm thử phần mềm.

4. Yêu cầu về bảo mật hệ thống FMC

a) Hệ thống phải được xác lập bảo mật về phần cứng và phần mềm nhằm bảo vệ hệ thống khỏi các xâm nhập không được phép từ bên ngoài. Có các chính sách bảo mật để kiểm soát truy cập vào vùng máy chủ và các truy cập từ mạng WAN vào hệ thống.

b) Các kỹ thuật an toàn, quy tắc thực hành quản lý an toàn thông tin tuân thủ các quy định trong TCVN ISO/IEC 27002:2020.

c) Yêu cầu kỹ thuật về đảm bảo an toàn mạng, bảo đảm an toàn máy chủ, đảm bảo an toàn ứng dụng, đảm bảo an toàn dữ liệu phải đảm bảo các yêu cầu đối với hệ thống thông tin cấp độ 3 quy định trong TCVN 11930:2017, Các hướng dẫn về quản lý rủi ro an toàn thông tin tuân thủ tiêu chuẩn ISO/IEC 27005:2018.

Chương III

QUY ĐỊNH VỀ QUẢN LÝ HỆ THỐNG AFC

Điều 14. Các chủ thể trong hệ thống AFC liên thông

Các chủ thể chính của hệ thống thẻ vé điện tử áp dụng cho vận tải công cộng thành phố Hà Nội bao gồm: đơn vị quản trị hệ thống, các đơn vị vận hành (buýt, BRT, các tuyến đường sắt đô thị và các loại hình vận tải hành khách công cộng khác), đơn vị cung ứng dịch vụ (dịch vụ liên quan đến hệ thống thẻ vé) và hành khách.

Điều 15. Đơn vị quản trị hệ thống AFC liên thông

Hệ thống AFC liên thông được quản lý và vận hành bởi một cơ quan quản lý Nhà nước có thẩm quyền. Đơn vị quản trị hệ thống AFC liên thông phải thiết lập và quản lý một số hệ thống chức năng sau:

1. Hệ thống quản trị bảo mật: để thực thi triển khai các quy định, chính sách bảo mật áp dụng cho hệ thống thẻ vé điện tử với các nội dung chính gồm:

- Xác nhận các tổ chức, đơn vị, các ứng dụng, sản phẩm được đưa vào hệ thống.

- Kiểm tra các tổ chức, đơn vị, các ứng dụng, sản phẩm đang tham gia vào hệ thống.

- Giám sát toàn bộ hệ thống về phương diện bảo mật.

- Thực hiện các nghiệp vụ cụ thể đối với toàn hệ thống thẻ vé điện tử bao gồm cả quản lý các mã khóa của hệ thống thẻ vé điện tử.

2. Hệ thống đăng ký thiết bị, sản phẩm, dịch vụ thuộc hệ thống: theo chức năng hệ thống này sẽ phát hành một mã đăng ký duy nhất cấp cho các tổ chức, đơn vị, các ứng dụng, sản phẩm tham gia vào hệ thống tuân thủ các quy định về quản lý và khởi tạo mã đăng ký được áp dụng cho hệ thống.

3. Hệ thống quản lý các ứng dụng trên thẻ: hệ thống này có nhiệm vụ quản lý các mã đăng ký đã cấp cho các ứng dụng trên thẻ. Mỗi ứng dụng đã được cấp một mã đăng ký duy nhất cho phép áp dụng các hình thức đi lại (thẻ cho xe buýt, thẻ cho metro, thẻ liên tuyến, thẻ ưu tiên …) và cho phép áp dụng các mức giá khác nhau phù hợp với chính sách giá vé của Thành phố.

4. Hệ thống thanh toán giao dịch: thực hiện chức năng quản lý và phân bổ doanh thu cho toàn hệ thống vận tải công cộng đa phương thức đảm bảo tổng hợp được doanh thu của toàn hệ thống và phân tích bù trừ doanh thu để phân bổ chính xác cho từng tuyến, từng đơn vị vận hành.

Đơn vị quản trị hệ thống thẻ vé điện tử có trách nhiệm xây dựng, ban hành các quy định cụ thể cho các chủ thể khác trong hệ thống thẻ vé điện tử.

Điều 16. Phát hành dạng thức thanh toán

Cơ quan quản lý Nhà nước có thẩm quyền thực hiện quản lý việc cung cấp, phát hành dạng thức thanh toán cho hệ thống AFC liên thông dùng chung của mạng lưới vận tải hành khách công cộng thành phố Hà Nội. Các đơn vị phát hành thẻ phải tuân thủ theo quy định này và phải chịu sự quản lý Nhà nước của cơ quan có thẩm quyền.

Điều 17. Thu thập thông tin và xử lý thông tin

Hệ thống AFC liên thông có chức năng thu thập thông tin và xử lý thông tin tạo điều kiện cho sự trao đổi dữ liệu trong hệ thống vé liên thông. Các chức năng chính của thu thập và xử lý thông tin bao gồm:

1. Nhận các thông tin dịch vụ ứng dụng thanh toán từ các đơn vị cung ứng dịch vụ.

2. Nhận dữ liệu từ đơn vị vận hành khai thác hệ thống AFC.

3. Nhận dữ liệu từ đơn vị cung cấp dạng thức thanh toán.

4. Nhận dữ liệu từ đơn vị cung cấp các dịch vụ về dạng thức thanh toán.

5. Nhận dữ liệu danh mục bảo mật từ quản trị bảo mật.

6. Nhận báo cáo thanh toán từ đơn vị quản lý hệ thống.

7. Kiểm tra tính nhất quán và đầy đủ của dữ liệu thu thập được từ các phân tầng kỹ thuật của hệ thống.

8. Nhận đăng ký của khách hàng tới hệ thống AFC.

Điều 18. Quản trị bảo mật và an toàn thông tin hành khách

Hệ thống AFC liên thông thiết lập thành phần quản trị bảo mật các thông tin về hành khách và thiết lập các thông tin như sau:

1. Xác nhận thông tin về các đơn vị, tổ chức, các đơn vị cung ứng dịch vụ thanh toán và mẫu dạng thức thanh toán là giao dịch giả hay giao dịch thật trên hệ thống AFC liên thông.

2. Xác nhận các thông tin về hành khách, đảm bảo an toàn bảo mật thông tin cá nhân và các thông tin liên quan trong hệ thống.

3. Xác nhận an toàn thông tin hành khách: kích hoạt tài khoản và quản lý tài khoản của hành khách.

4. Xác nhận các thông tin bảo đảm an toàn thông tin sau khi khách hàng đăng ký sử dụng các dịch vụ trên hệ thống AFC.

5. Bảo mật trong thanh toán điện tử, an toàn thông tin trong các dịch vụ về tài khoản ngân hàng và trung tâm thanh toán giao dịch.

Chương IV

TỔ CHỨC THỰC HIỆN

Điều 19. Trách nhiệm của các đơn vị có liên quan

1. Sở Giao thông vận tải: Chịu trách nhiệm quản lý nhà nước toàn bộ hệ thống AFC liên thông dùng chung cho mạng lưới vận tải hành khách công cộng trên địa bàn Thành phố; Trung tâm quản lý và điều hành giao thông thành phố Hà Nội tổ chức vận hành Trung tâm (phòng) thanh toán bù trừ, thực hiện thanh toán tập trung với các đơn vị vận hành các hệ thống AFC dịch vụ vận tải công cộng trên địa bàn Thành phố, chủ trì triển khai các hướng dẫn, chỉ dẫn kỹ thuật làm cơ sở để các tổ chức, đơn vị, cá nhân có liên quan triển khai thực hiện các dự án về hệ thống AFC liên thông;

Chịu trách nhiệm đảm bảo kết nối đồng bộ, thống nhất, đảm bảo tính liên thông về kỹ thuật, cơ sở dữ liệu, đảm bảo an toàn dữ liệu giữa hệ thống thu soát vé tự động (AFC) lĩnh vực giao thông công cộng với đề án “Giao thông thông minh trên địa bàn Thành phố Hà Nội” đáp ứng yêu cầu chuyển đổi số, phát triển đô thị thông minh, thành phố thông minh và nhu cầu mở rộng trong tương lai.

2. Sở Thông tin và Truyền thông: Thẩm định thiết kế dự án ứng dụng công nghệ thông tin; phương án, giải pháp, kỹ thuật công nghệ hạng mục ứng dụng công nghệ thông tin trong triển khai hệ thống AFC liên thông theo quy định hiện hành.

3. Sở Khoa học và công nghệ: Thẩm định thiết kế phương án, giải pháp, kỹ thuật công nghệ trong triển khai hệ thống AFC liên thông theo quy định hiện hành.

4. Sở Nội vụ: Thẩm định, trình UBND Thành phố quyết định theo thẩm quyền các nội dung có liên quan tới tổ chức bộ máy, chức năng nhiệm vụ đơn vị quản lý hệ thống AFC liên thông trên cơ sở đề án do Sở Giao thông vận tải xây dựng.

5. Các đơn vị cung cấp, đơn vị thi công, quản lý, vận hành các loại hình vận tải hành khách công cộng: Triển khai thực hiện theo các nội dung của quy định đối với các hạng mục liên quan đến hệ thống AFC liên thông.

6. Các chủ đầu tư thực hiện các dự án liên quan đến thu soát vé tự động: Tuân thủ các yêu cầu, các quy định của Nhà nước, của thành phố Hà Nội khi triển khai các hạng mục liên quan đến các dự án đầu tư, phát triển, xây dựng hệ thống AFC liên thông trên địa bàn thành phố Hà Nội. Các dự án đầu tư phát triển hệ thống AFC liên thông sau kế thừa công nghệ hoặc phải đảm bảo kết nối liên thông với các dự án hệ thống AFC liên thông đã được xây dựng trước đó.

Điều 20. Tổ chức thực hiện

1. Trường hợp các tiêu chuẩn, quy chuẩn của thiết bị và công nghệ được viện dẫn trong chỉ dẫn kỹ thuật hệ thống AFC liên thông tại quy định này có sự thay đổi, bổ sung hoặc thay thế thì áp dụng theo các văn bản mới.

2. Trong quá trình triển khai thực hiện nếu có vướng mắc, các tổ chức, cá nhân phản ánh kịp thời về Uỷ ban nhân dân thành phố Hà Nội để xem xét, điều chỉnh, bổ sung cho phù hợp.