Aufbau und Betrieb des Mobile Ticketing Crypto Service (Motics), v. a. Realisierung einer sicheren Signatur/Authentisierung bzw. einer sicheren digitalen Identität auf Smartphones
Aufbau und Betrieb des Mobile Ticketing Crypto Service (Motics), v. a. Realisierung einer sicheren Signatur/Authentisierung bzw. einer sicheren digitalen Identität auf Smartphones zur Nutzung in Ticketing-Apps zur Gewährleistung eines Kopierschutzes.
Deadline
Die Frist für den Eingang der Angebote war 2020-01-13.
Die Ausschreibung wurde veröffentlicht am 2019-12-04.
Anbieter
Die folgenden Lieferanten werden in Vergabeentscheidungen oder anderen Beschaffungsunterlagen erwähnt:
Auftragsbekanntmachung (2019-12-04) Öffentlicher Auftraggeber Name und Adressen
Name: VDV eTicket Service GmbH & Co. KG
Postanschrift: Im Mediapark 8a
Postort: Köln
Postleitzahl: 50670
Land: Deutschland 🇩🇪
Kontaktperson: VDV eTicket Service GmbH & Co. KG
Telefon: +49 221/716174113📞
E-Mail: hoffmann@vdv.de📧
Region: Deutschland🏙️
URL: www.eTicket-Deutschland.de🌏 Kommunikation
Der Zugang zu den Auftragsunterlagen ist beschränkt
Dokumente URL: www.eticket-deutschland.de🌏
Objekt Umfang der Beschaffung
Titel:
“Aufbau und Betrieb des Mobile Ticketing Crypto Service (Motics), v. a. Realisierung einer sicheren Signatur/Authentisierung bzw. einer sicheren digitalen...”
Titel
Aufbau und Betrieb des Mobile Ticketing Crypto Service (Motics), v. a. Realisierung einer sicheren Signatur/Authentisierung bzw. einer sicheren digitalen Identität auf Smartphones
Mehr anzeigen
Produkte/Dienstleistungen: Entwicklung von Sicherheitssoftware📦
Kurze Beschreibung:
“Aufbau und Betrieb des Mobile Ticketing Crypto Service (Motics), v. a. Realisierung einer sicheren Signatur/Authentisierung bzw. einer sicheren digitalen...”
Kurze Beschreibung
Aufbau und Betrieb des Mobile Ticketing Crypto Service (Motics), v. a. Realisierung einer sicheren Signatur/Authentisierung bzw. einer sicheren digitalen Identität auf Smartphones zur Nutzung in Ticketing-Apps zur Gewährleistung eines Kopierschutzes.
1️⃣
Zusätzliche Produkte/Dienstleistungen: IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung📦
Ort der Leistung: Deutschland🏙️
Hauptstandort oder Erfüllungsort: Deutschland und europäisches Ausland
Beschreibung der Beschaffung:
“Gegenstand ist der Aufbau und anschließender Betrieb eines Systems zur Authentisierung und Identifizierung von Smartphone-Apps insbes. im Rahmen von...”
Beschreibung der Beschaffung
Gegenstand ist der Aufbau und anschließender Betrieb eines Systems zur Authentisierung und Identifizierung von Smartphone-Apps insbes. im Rahmen von elektronischen Ticketing.
Um eine schnelle, sichere und vor allem auch effiziente Prüfung solcher Tickets zu gewährleisten, hat der VDV eTicket Service den VDV-Barcode mobile+ entwickelt. Das Spezifikationsdokument dazu (KA STB-SPEC mobile plus) ist unter www.eticket-deutschland.de sowohl auf Deutsch als auch Englisch verfügbar.
Basis dieser Lösung ist es, das Nutzer-Smartphone mit einer kryptographischen Signaturfunktion auszustatten, mit der digitale Signaturen über Ticketdaten sowie dynamische Daten (z. B. Challenge von einem Kontrollgerät) erstellt werden können. Auf diese Weise wird das Nutzer-Smartphone gegenüber der Kontroll-Infrastruktur authentisiert und Ticketdaten sowie ggf. andere Daten authentisch übertragen. Dazu benötigt das Nutzer-Smartphone ein Schlüsselpaar. Der öffentliche Teil erhält ein Zertifikat von der PKI des VDV eTicket Service, das verschiedene Attribute mit dem Schlüssel verbindet, insbesondere eine eindeutige Schlüssel-ID. Ein Ticket, das mit dem Nutzer-Smartphone genutzt werden soll, ist ein vom Ausgeber ebenfalls digital signierter Datensatz. Die zum Nutzer-Smartphone gehörende Schlüssel-ID wird vom Ausgeber in die Ticketdaten eingefügt. Somit kann bei einer Kontrolle oder Validierung festgestellt werden, ob das Ticket zum vorliegenden Nutzer-Smartphone gehört. Es ist also nicht möglich, Kopien von Ticketdaten auf ein anderes Geräte als vom Ausgeber des Tickets beabsichtigt zu verwenden.
Um das Schlüsselmaterial und die kryptographische Funktionen, insbesondere die Signaturfunktion, auf dem Nutzer-Smartphone vor Angriffen und Manipulationen zu schützen, beschreibt die Spezifikation eine „Secure Crypto-Environment“ (SCE), welche teilnehmenden Apps die benötigten kryptographischen Funktionen anbietet und in der Lage ist, die verwendeten kryptographischen Schlüssel zu empfangen bzw. zu generieren, zu verwenden, zu schützen und unveränderlich mit dem Nutzer-Smartphone zu verbinden. Die SCE ist resistent gegen die Extrahierung der Schlüssel und gegen das Kopieren auf ein anderes Smartphone oder Gerät. Technisch handelt es sich hierbei um eine Bibliothek, die in eine teilnehmende App integriert wird bzw. alternativ in eine Service-App integriert wird, die von teilnehmenden Apps genutzt wird. Im Rahmen des Auftrags sollen Bibliotheken für bestimmte iOS und Android Versionen entwickelt und bereitgestellt sowie gepflegt und weiterentwickelt werden.
Die SCE wird mit dem Sicherheitsmanagement von (((eTicket Deutschland über ein SCE-Managementsystem (SCE-MS) verbunden. Dabei wird die Eignung des Nutzer-Smartphones als Host für die SCE bzw. für eine App mit integrierter SCE aus sicherheitstechnischer Sicht beurteilt, d. h. es wird eine Attestierung durchgeführt. Die Entwicklung und der Betrieb dieses Systems ist ebenfalls Gegenstand des Auftrags. Ist ein Nutzer-Smartphone geeignet, so erhält die installierte SCE Schlüsselmaterial und ein entsprechendes Zertifikat, das auch eine eindeutige ID enthält. Das Zertifikat bindet den Schlüssel an die ID und belegt auch die Vertrauenswürdigkeit des Nutzer-Smartphones. Das SCE-MS ruft die benötigten Zertifikate in diesem Prozess von der existierenden PKI des Auftraggebers ab. Darüber hinaus überwacht das SCE-MS die SCE auf unbefugte Aktivitäten, die auf Versuche die SCE zu kompromittieren hinweisen können. Die Gültigkeitsdauer der über das SCE-MS gelieferten Zertifikate hängt von Risikometriken ab, die sich aus Messungen im Rahmen des Monitoring ergeben. Innerhalb dieses Zeitraums können beliebig viele Tickets ausgestellt und auf dem Smartphone genutzt werden. Bei Bedarf wird von der App eine Verlängerung des Zertifikats automatisch beantragt.
Die Nutzung des Motics wird im Wesentlichen für den Öffentlichen Personenverkehr angestrebt; sie ist aber nicht darauf beschränkt.
Mehr anzeigen Vergabekriterien
Der Preis ist nicht das einzige Zuschlagskriterium, und alle Kriterien werden nur in den Auftragsunterlagen genannt
Laufzeit des Vertrags, der Rahmenvereinbarung oder des dynamischen Beschaffungssystems
Der nachstehende Zeitrahmen ist in Monaten ausgedrückt.
Beschreibung
Dauer: 48
Laufzeit des Vertrags, der Rahmenvereinbarung oder des dynamischen Beschaffungssystems
Dieser Vertrag ist verlängerbar ✅ Beschreibung
Beschreibung der Verlängerungen: Nähere Informationen sind den Vergabeunterlagen zu entnehmen
Informationen über die Begrenzung der Zahl der einzuladenden Bewerber
Vorgesehene Mindestanzahl: 3
Maximale Anzahl: 8
Rechtliche, wirtschaftliche, finanzielle und technische Informationen Bedingungen für die Teilnahme
Liste und kurze Beschreibung der Bedingungen:
“Um als Bieter zugelassen zu werden, hat der Bewerber mit seinem Teilnahmeantrag die nachfolgenden Eigenerklärungen abzugeben und mit seiner...”
Liste und kurze Beschreibung der Bedingungen
Um als Bieter zugelassen zu werden, hat der Bewerber mit seinem Teilnahmeantrag die nachfolgenden Eigenerklärungen abzugeben und mit seiner rechtsverbindlichen Unterschrift die Richtigkeit der Angaben zu versichern:
1) Über das Vermögen des Bewerbers ist kein Insolvenzverfahren oder vergleichbares gesetzliches Verfahren eröffnet oder die Eröffnung beantragt oder dieser Antrag mangels Masse abgelehnt worden. Ein ausländischer Bewerber befindet sich nicht in Verhältnissen, die nach den Rechtsvorschriften seines Landes mit den im vorgehenden Satz genannten Verfahren vergleichbar sind;
2) Das Unternehmen befindet sich nicht in Liquidation;
3) Der Bewerber hat keine sonstige schwere Verfehlung begangen, die seine Zuverlässigkeit als Bieter in Frage stellt;
4) Der Bewerber erfüllt seine Verpflichtung zur Zahlung von Steuern und Abgaben sowie der Beiträge zur gesetzlichen Sozialversicherung ordnungsgemäß;
5) Der Bewerber versichert, dass in seinem Unternehmen keine Schwarzarbeit stattfindet und weder das Unternehmen noch Angehörige des Unternehmens im Zusammenhang mit der Tätigkeit für das Unternehmen nach dem Gesetz zur Bekämpfung der Schwarzarbeit wegen illegaler Beschäftigung von Arbeitskräften verurteilt worden sind;
6) Erklärung über die uneingeschränkte schriftliche und mündliche Kommunikationsfähigkeit der für die Leistungserbringung vorgesehener Personen in deutscher oder englischer Sprache;
7) Erklärung, etwaig geltende Tariftreuegesetze sowie das Mindestlohngesetz anzuwenden und zu beachten;
8) Erklärung, dass der Bewerber im Falle der Aufforderung zur Angebotsabgabe die ihm zur Erstellung des Angebots überlassenen Verdingungsunterlagen und zusätzliche Informationen vertraulich behandelt und Dritten nicht zugänglich macht, sowie die Verpflichtung, seine Mitarbeiter und Unterauftragnehmer zur vertraulichen Behandlung ebenfalls zu verpflichten.
Darüber hinaus sind folgende Nachweise zu erbringen:
1) Nachweis einer Haftpflichtversicherung oder Erklärung der Bereitschaft zum Abschluss einer Projektbezogenen Haftpflichtversicherung im Auftragsfall;
2) Aktueller vollständiger Auszug aus dem einschlägigen Berufs- und Handelsregister (nicht vor dem 1.5.2019 erstellt).
Einsendeschluss für den Teilnahmeantrag ist der 13.1.2020, 12:00 Uhr.
Mehr anzeigen Wirtschaftliche und finanzielle Leistungsfähigkeit
Liste und kurze Beschreibung der Auswahlkriterien:
“Angaben und Formalitäten, die erforderlich sind, um die Einhaltung der Auflagen zu überprüfen:
1) Umsatz der letzten 3 Geschäftsjahre, incl. einer Angabe,...”
Liste und kurze Beschreibung der Auswahlkriterien
Angaben und Formalitäten, die erforderlich sind, um die Einhaltung der Auflagen zu überprüfen:
1) Umsatz der letzten 3 Geschäftsjahre, incl. einer Angabe, welcher prozentuale Anteil davon auf mit dem Auftragsgegenstand vergleichbare Projekte zurückzuführen ist;
2) Bilanz und GuV-Rechnung des letzten abgeschlossenen Geschäftsjahres.
Mehr anzeigen Technische und berufliche Fähigkeiten
Liste und kurze Beschreibung der Auswahlkriterien:
“Angaben und Formalitäten, die erforderlich sind, um die Einhaltung der Auflagen zu überprüfen:
1) Leistungsspektrum und -schwerpunkt des Unternehmens;
2)...”
Liste und kurze Beschreibung der Auswahlkriterien
Angaben und Formalitäten, die erforderlich sind, um die Einhaltung der Auflagen zu überprüfen:
1) Leistungsspektrum und -schwerpunkt des Unternehmens;
2) Angaben über die Anzahl der fest angestellten Mitarbeiter/Mitarbeiterinnen des Unternehmens sowie der Führungskräfte bezogen auf die letzten 3 Jahre (d. h. Anzahl der Mitarbeiter in 2016, 2017, 2018);
3) Nachweise über die technische Ausrüstung/Leistungsfähigkeit des Unternehmens;
4) Liste der wesentlichen in den letzten 2-5 Jahren erbrachten Leistungen (Referenzprojekte), mit Angabe des Rechnungswertes, der Leistungszeit, sowie der Auftraggeber mit Ansprechpartner (mit Telefonnummer und/oder E-Mail-Adresse), bezogen auf mit dem Auftragsgegenstand vergleichbare Projekte.
Die Referenzen sollten sich auf vergleichbare Projekte mit folgenden Schwerpunkten beziehen:
a) Realisierung (Aufbau) und/oder Betriebsführung für Smartphone-Applikationen;
b) ungefähre Anzahl der beteiligten Smartphones;
c) ungefähre Anzahl der Updates, Installierungen, Transaktionen etc. (z. B. pro Tag oder Monat);
d) Beschreibung nach welchen Standards/Methoden der Bewerber Software entwickelt, testet und deren Qualität sichert (ggf. mit Zertifizierungen);
e) Beschreibung nach welchen Standards/Methoden der Bewerber Software betreibt (ggf. mit Zertifizierungen);
f) Beschreibung wie der Bewerber die Betriebskontinuität des Systems garantieren wird, insbesondere im Hinblick auf die Kritikalität der zu betreibenden Software.
Mehr anzeigen Bedingungen für die Teilnahme
Bedingungen für die Teilnahme (technische und berufliche Fähigkeiten):
“Wesentliches Kriterium zur Auswahl eines Bewerbers ist, dass in den Referenzen nachgewiesen werden kann, dass der Bewerber bereits Projekte mit...”
Bedingungen für die Teilnahme (technische und berufliche Fähigkeiten)
Wesentliches Kriterium zur Auswahl eines Bewerbers ist, dass in den Referenzen nachgewiesen werden kann, dass der Bewerber bereits Projekte mit vergleichbarem Inhalt und Umfang über einen längeren Zeitraum und ohne nennenswerte technische Beanstandungen durchgeführt hat.
Mehr anzeigen Bedingungen für den Vertrag
Bedingungen für die Vertragserfüllung:
“Darlegung der besonderen Bedingungen: Im Rahmen der Auftragsausführung genutzte Rechenzentren sowie deren Netzwerkinfrastruktur müssen im Geltungsbereich...”
Bedingungen für die Vertragserfüllung
Darlegung der besonderen Bedingungen: Im Rahmen der Auftragsausführung genutzte Rechenzentren sowie deren Netzwerkinfrastruktur müssen im Geltungsbereich des Rechts eines EU-Mitgliedsstaates betrieben werden. Betrieb der Anwendung in einem Rechenzentrum mit Zertifizierung nach ISO 9001 und ISO 27001 oder äquivalent.
Mehr anzeigen Informationen über das für die Ausführung des Auftrags zuständige Personal
Verpflichtung zur Angabe der Namen und beruflichen Qualifikationen der mit der Ausführung des Auftrags betrauten Mitarbeiter
Verfahren Art des Verfahrens
Wettbewerbliches Verfahren mit Verhandlung
Administrative Informationen
Frist für den Eingang von Angeboten oder Teilnahmeanträgen: 2020-01-13
12:00 📅
Voraussichtliches Datum der Versendung der Aufforderungen zur Angebotsabgabe oder zur Teilnahme an die ausgewählten Bewerber: 2020-01-14 📅
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch 🗣️
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Englisch 🗣️
Das Angebot muss gültig sein bis: 2020-06-30 📅
Ergänzende Informationen Körper überprüfen
Name: Vergabekammer bei der Bezirksregierung Köln
Postanschrift: Zeughausstraße 2-10
Postort: Köln
Postleitzahl: 50667
Land: Deutschland 🇩🇪
Quelle: OJS 2019/S 237-581475 (2019-12-04)
Bekanntmachung über vergebene Aufträge (2020-04-14) Objekt Umfang der Beschaffung
Gesamtwert der Beschaffung (ohne MwSt.): EUR 500 000 💰
Beschreibung
Beschreibung der Beschaffung:
“Gegenstand ist der Aufbau und anschließender Betrieb eines Systems zur Authentisierung und Identifizierung von Smartphone-Apps insbes. im Rahmen von...”
Beschreibung der Beschaffung
Gegenstand ist der Aufbau und anschließender Betrieb eines Systems zur Authentisierung und Identifizierung von Smartphone-Apps insbes. im Rahmen von elektronischen Ticketing.
Um eine schnelle, sichere und vor allem auch effiziente Prüfung solcher Tickets zu gewährleisten, hat der VDV eTicket Service den VDV-Barcode mobile+ entwickelt. Das Spezifikationsdokument dazu (KA STB-SPEC mobile plus) ist unter www.eticket-deutschland.de sowohl auf Deutsch als auch Englisch verfügbar.
Basis dieser Lösung ist es, das Nutzer-Smartphone mit einer kryptographischen Signaturfunktion auszustatten, mit der digitale Signaturen über Ticketdaten sowie dynamische Daten (z.B. Challenge von einem Kontrollgerät) erstellt werden können. Auf diese Weise wird das Nutzer-Smartphone gegenüber der Kontroll-Infrastruktur authentisiert und Ticketdaten sowie ggf. andere Daten authentisch übertragen. Dazu benötigt das Nutzer-Smartphone ein Schlüsselpaar. Der öffentliche Teil erhält ein Zertifikat von der PKI des VDV eTicket Service, das verschiedene Attribute mit dem Schlüssel verbindet, insbesondere eine eindeutige Schlüssel-ID. Ein Ticket, das mit dem Nutzer-Smartphone genutzt werden soll, ist ein vom Ausgeber ebenfalls digital signierter Datensatz. Die zum Nutzer-Smartphone gehörende Schlüssel-ID wird vom Ausgeber in die Ticketdaten eingefügt. Somit kann bei einer Kontrolle oder Validierung festgestellt werden, ob das Ticket zum vorliegenden Nutzer-Smartphone gehört. Es ist also nicht möglich, Kopien von Ticketdaten auf ein anderes Geräte als vom Ausgeber des Tickets beabsichtigt zu verwenden.
Um das Schlüsselmaterial und die kryptographische Funktionen, insbesondere die Signaturfunktion, auf dem Nutzer-Smartphone vor Angriffen und Manipulationen zu schützen, beschreibt die Spezifikation eine „Secure Crypto-Environment“ (SCE), welche teilnehmenden Apps die benötigten kryptographischen Funktionen anbietet und in der Lage ist, die verwendeten kryptographischen Schlüssel zu empfangen bzw. zu generieren, zu verwenden, zu schützen und unveränderlich mit dem Nutzer-Smartphone zu verbinden. Die SCE ist resistent gegen die Extrahierung der Schlüssel und gegen das Kopieren auf ein anderes Smartphone oder Gerät. Technisch handelt es sich hierbei um eine Bibliothek, die in eine teilnehmende App integriert wird bzw. alternativ in eine Service-App integriert wird, die von teilnehmenden Apps genutzt wird. Im Rahmen des Auftrags sollen Bibliotheken für bestimmte iOS und Android Versionen entwickelt und bereitgestellt sowie gepflegt und weiterentwickelt werden.
Die SCE wird mit dem Sicherheitsmanagement von ((eTicket Deutschland über ein SCE-Managementsystem (SCE-MS) verbunden. Dabei wird die Eignung des Nutzer-Smartphones als Host für die SCE bzw. für eine App mit integrierter SCE aus sicherheitstechnischer Sicht beurteilt, d.h. es wird eine Attestierung durchgeführt. Die Entwicklung und der Betrieb dieses Systems ist ebenfalls Gegenstand des Auftrags. Ist ein Nutzer-Smartphone geeignet, so erhält die installierte SCE Schlüsselmaterial und ein entsprechendes Zertifikat, das auch eine eindeutige ID enthält. Das Zertifikat bindet den Schlüssel an die ID und belegt auch die Vertrauenswürdigkeit des Nutzer-Smartphones. Das SCE-MS ruft die benötigten Zertifikate in diesem Prozess von der existierenden PKI des Auftraggebers ab. Darüber hinaus überwacht das SCE-MS die SCE auf unbefugte Aktivitäten, die auf Versuche die SCE zu kompromittieren hinweisen können. Die Gültigkeitsdauer der über das SCE-MS gelieferten Zertifikate hängt von Risikometriken ab, die sich aus Messungen im Rahmen des Monitoring ergeben. Innerhalb dieses Zeitraums können beliebig viele Tickets ausgestellt und auf dem Smartphone genutzt werden. Bei Bedarf wird von der App eine Verlängerung des Zertifikats automatisch beantragt.
Die Nutzung des Motics wird im Wesentlichen für den Öffentlichen Personenverkehr angestrebt; sie ist aber nicht darauf beschränkt.
Verfahren Administrative Informationen
Frühere Veröffentlichungen zu diesem Verfahren: 2019/S 237-581475
Auftragsvergabe
1️⃣
Titel:
“Aufbau und Betrieb des Mobile Ticketing Crypto Service (Motics), v. a. Realisierung einer sicheren Signatur/Authentisierung bzw. einer sicheren digitalen...”
Titel
Aufbau und Betrieb des Mobile Ticketing Crypto Service (Motics), v. a. Realisierung einer sicheren Signatur/Authentisierung bzw. einer sicheren digitalen Identität auf Smartphones
Mehr anzeigen
Datum des Vertragsabschlusses: 2020-04-07 📅
Informationen über Ausschreibungen
Anzahl der eingegangenen Angebote: 5
Name und Anschrift des Auftragnehmers
Name: Incloud Engineering GmbH
Postanschrift: Dolivostraße 17
Postort: Darmstadt
Postleitzahl: 64293
Land: Deutschland 🇩🇪
Region: Deutschland🏙️
Der Auftragnehmer ist ein KMU ✅ Angaben zum Wert des Auftrags/der Partie (ohne MwSt.)
Gesamtwert des Auftrags/Loses: EUR 500 000 💰
Quelle: OJS 2020/S 075-178488 (2020-04-14)