Univerzitní Elektronická Peněženka ČZU

Systém Univerzitní Elektronické Peněženky (dále také „UEP“) v rámci České zemědělské univerzity v Praze (dále také „ČZU“) analyzovala a zrealizovala společnost XT-Card a.s. (dále také „XTC“), ve spolupráci s rektorátem ČZU, Provozně Ekonomickou Fakultou (dále také „PEF“) a Odborem Informačních a Komunikačních Technologií (dále také „OIKT“). XTC v současné době, na základě smlouvy s ČZU, poskytuje ČZU pozáruční servis na dodané technologie a samozřejmě maintenance na dodané softwarové produkty. ČZU pak zajišťuje vlastní provoz systému UEP, dohled nad systémem UEP a služby Help-Desku pro systém UEP.

Karta UEP z hlediska uživatelů

Původní kartové systémy ČZU byly roztříštěné, studenti, zaměstnanci i hosté museli používat více různých karet pro různé účely, měli více svých „účtů“ a nebylo možné platit za všechny služby, zboží a poplatky v rámci celé ČZU.

Uživatelé karty UEP mají nyní konečně v držení univerzální kartu, která jim umožňuje využívat například následující služby:

  • Karta UEP je současně kartou ISIC (ITIC) se všemi dostupnými výhodami.
  • Studenti, zaměstnanci i hosté ČZU mohou s jednou kartou přistupovat do jednotlivých budov, fakult, chodeb, kolejí, učeben, kanceláří, ale i vyhrazených pracovišť (kuchyní, zázemí, rozvoden, atd.).
  • Přístupové systémy s vysokým zabezpečením slouží k omezení přístupu do zvlášť střežených prostor (například do pokladny, serverovny, atd.) a znemožňují emulaci UID čipu karty k neoprávněným vstupům do chráněných prostor hackerským přístupem.
  • Bankovní aplikace (karta UEP umožňuje využívat všech bankomatů a lze s ní platit u obchodníků prostřednictvím kontaktního čipu).
  • Karty UEP je možné používat například k platbám za následující služby a zboží:
    • Stravování v menzách,
    • nákupu občerstvení v bufetech a kavárnách,
    • stravování v restauracích,
    • nákupu skript a odborné literatury,
    • platbám za denní tisk,
    • úhradám cen za potraviny a zboží běžné spotřeby v obchodech,
    • platbám za ubytování (kolejné, hotel),
    • úhradám poplatků spojených s ubytováním (elektrické energie, internetu, zapůjčení spotřebičů, atd.),
    • platbám za půjčovné a penále v knihovnách,
    • zaplacení studijních a dalších poplatků na studijních odděleních,
    • využití tiskových a kopírovacích služeb,
    • platbám za dopravu a za dopravní aplikace,
    • úhradě poplatků za pronájem sportovišť, sauny, bazénu a posilovny,
    • platbám za pronájem sportovního vybavení,
    • platbám za fotografování a další služby.


Dále jsou pro uživatele karet UEP vyvíjeny další nové aplikace:

  • Kupóny na městskou dopravu Dopravního podniku hlavního města Prahy (aplikace DOS OpenCard na kartách UEP ČZU),
  • vstupenky na společenské, kulturní, sportovní, výstavní a další akce na kartách UEP,
  • věrnostní systém (sbírání bodů držitelem karty UEP za použití karet UEP a následné využívání věrnostních výhod),
  • úschova věcí ve skříňkách se zamykáním a odemykáním pomocí karet UEP,
  • docházkový systém pro studenty na kartách UEP,
  • komerční pojištění, zejména zdravotní a cestovní připojištění prostřednictvím karet UEP,
  • nová generace Elektronických Zabezpečovacích Systémů EZS (neaktivují se kódem zadaným na klávesnici, ale přiložením karty UEP ke čtečce EZS),
  • elektronický index na kartách UEP.


Samoobslužné kiosky (automaty) UEP
Samoobslužné kiosky (automaty) UEP poskytují služby zaměstnancům, studentům i hostům ČZU mimo běžnou pracovní dobu, v noci, o víkendech, prostě kdykoliv.
Kiosky UEP například umožňují:

  • Nabíjení karet UEP hotovostí,
  • nabíjení karet UEP převodem z bankovního účtu,
  • nabíjení karet UEP stržením částek ze mzdy zaměstnancům,
  • poskytování informací o historiích plateb prostřednictvím karet UEP,
  • zobrazování historií nabíjení UEP,
  • prezentace informací o uživatelsky nastavitelných parametrech karet UEP.
  • Platby poplatků prostřednictvím karty UEP na automatech:
    • platby kolejného a služeb spojených s kolejným, například platby za elektrickou energii, výpůjčky spotřebičů, připojení na internet a podobně,
    • úhrady studijních poplatků,
    • platby za samoobslužný tisk a kopírování,
    • platby za pojištění,
    • další platby.
      Ve vývoji jsou v současné době další aplikace pro samoobslužné kiosky (automaty) UEP:
    • Výběr a nákup vstupenek na kulturní, společenské, sportovní, kulturní a další akce na karty UEP
    • objednání a platba TAXI služby pomocí karet UEP.


Primární cíle projektu UEP

Základním cílem bylo a je rozšiřování možností využívání jedné karty UEP pro veškeré dostupné aplikace. Zejména pak využití karty UEP pro úhrady veškerých služeb a poplatků, samozřejmě včetně sjednocení všech druhů plateb pod jeden účet držitele karty UEP.

Pro splnění primárního cíle musely být do projektu zapojeny třetí strany, bylo nutné vytvořit nezávislý clearing plateb mezi subjekty, nezávislost všech stran na centrálním serveru UEP, možnosti zpracování dat nutných pro zajištění nezbytných kontrol a napojení UEP na stávající systémy zúčastněných právnických a fyzických osob včetně jejich pokladních systémů a registračních pokladen.

Sekundárními cíly bylo zajištění co nejvyšší dosažitelné bezpečnosti systému UEP, spolehlivosti systému UEP a úspor nákladů na provoz systému UEP.

Rovněž bylo nutné zrealizovat Fraud Control systém kontrolující a odhalující případné pokusy o zneužití systému UEP.

Bezpečnost systému UEP

Zajištění maximální bezpečnosti UEP je důležité zejména na vysokoškolské půdě. Původně používaná řešení v ČZU současným nárokům na bezpečnost rozhodně nevyhovovala, neboť byla založena na pouhé identifikaci prostřednictvím UID čipu karty. Vzhledem k relativně snadné emulaci UID čipu karty bylo bezpodmínečně nutné využít progresivní řešení založené na kryptografických funkcích karet, jejichž součástí musely být systémy HSMs (Hardware Security Modules) a SAMs (Security Access Modules).

Nahrávání aplikací UEP na karty probíhá na speciálních čtečkách s ochranou proti odposlechu, samozřejmě opět s využitím SAMs modulů.

Zabezpečení UEP je na maximální dostupné úrovni. Do případných rizik zneužití UEP se totiž nezapočítává pouze suma, kterou by podvodníci případně stihli zpronevěřit, ale také další náklady spojené s nápravou škod, financováním nových zabezpečení, ale i rychlost, se kterou by se ČZU s těmito problémy vypořádala, neboť odstávka systému UEP, na kterém jsou denně závislé tisíce uživatelů, má vždy nedozírné následky.

Univerzitní prostředí je velmi náchylné k hledání „úspornějších podvodných alternativ“ a veškeré poznatky se šíří rychleji než u jiných skupin obyvatelstva, což by vedlo, v případě nalezení bezpečnostní mezery v systému, k masivnímu rozšíření zneužívání UEP.

Spolehlivost systému UEP

U konkurenčních on-line systémů není možné v případě jejich výpadku provádět žádné platby. Například v menzách taková havárie přináší obtížně napravitelné škody. Základ bezpečného systému UEP nespočívá v odbavení všech transakcí on-line pod dohledem centrálního systému, systém UEP spoléhá na důkladné šifrování a ochranu přístupových klíčů v off-line provozu, což mimo jiné umožňuje rovněž úsporu nákladů oproti 100% dostupnému on-line spojení.

Systém UEP podporující off-line platby UEP je chráněn na několika úrovních šifrováním veškerých dat na kartách UEP, kryptografií přenášených dat a samozřejmě i dat v centrálním systému UEP. Off-line systém UEP využívá veškerých dalších možností ochrany dat, jako jsou například výše uvedené HSMs (Hardware Security Modules) a SAMs
(Security Access Modules).

Karty, SAMs moduly a akceptační zařízení je možné při jejich ztrátě vložit na Black-listy, čímž se zablokuje jejich další použití v systému UEP.

Úspory lidských zdrojů v rámci provozu a správy UEP

Na základě spolupráce ČZU s Komerční bankou došlo také k úspoře nákladů na výrobu karet UEP. Kromě zaměstnanců a hostů ČZU vyrábí hybridní karty s integrovaným bankovním čipem s kontaktním rozhraním Komerční banka, včetně potisku karet, čímž dochází ke značným úsporám na straně ČZU, přičemž bezkontaktní část karty je plně ve správě ČZU.

Platby elektronickou peněženkou UEP jsou rychlejší než platby hotovostí nebo klasickou bankovní platební kartou (VISA, MESTERCARD) a tudíž umožňují obsloužení více zákazníků ve stejném čase.

Dohledová centra clearingu a terminal managementu jsou řešena prostřednictvím webových aplikací s jednoduchou obsluhou, díky nimž je možné například sledovat technický stav aplikací a zařízení včetně samoobslužných (zbývající papír v tiskárnách, počty bankovek v trezorech akceptorů, výše hotovostí, data výběrů hotovostí i s výčetkami a podobně), samozřejmě opět s dostatečnou ochranou přístupu k těmto datům. Na problémy a závady je obsluha systému UEP upozorňována také e-maily a prostřednictvím SMS zpráv.

Nemalou měrou přispívají k úspoře nákladů na obsluhu a údržbu systému UEP samoobslužné kiosky.