13:00
15/7/2014

Jeden z naszych poznańskich czytelników, Krocionog, informuje, że od niedawna w Poznaniu, aby swobodnie jeździć komunikacją miejską w normalnych cenach, niezbędne jest wyrobienie karty PEKA (Poznańska Elektroniczna Karta Aglomeracyjna). Karta ta z racji partnerstwa z bankiem BZWBK jest też kartą zbliżeniową płatniczą …i tu pojawia się w opinii naszego czytelnika kilka problemów.

karta PEKA

karta PEKA

Jak pisze Krocionog:

Jak wielu Poznaniaków – zostałem niedawno zmuszony przez Zarząd Transportu Miejskiego do wyrobienia sobie imiennej karty PEKA (Poznańska Elektroniczna Karta Aglomeracyjna) w zastępstwie poprzednio używanej tzw. KOM karty. Bez niej nie miał bym już możliwości zakupu biletu długookresowego na przejazdy komunikacją miejską.

Jedną z jej funkcjonalności jest obsługiwana przez BZ WBK – karta pre-paid z funkcją PayPass. Funkcjonalność biletu jest dostępna od ręki natomiast funkcjonalność karty pre-paid musi być “przeze mnie” wpierw aktywowana. W czym problem?

Otóż aktywacja karty prepaid jest dziecinnie prosta i można jej dokonać w bankomacie WBK używając kombinacji cyfr (2424 – wydrukowanej w tekście listu jaki otrzymuje każdy nowy posiadacz karty) – kombinacji TAKIEJ SAMEJ dla każdej karty PEKA.

Przykładowa sytuacja:
Złodziej ukradł mi moją nową kartę PEKA. Idzie uaktywnić ją do najbliższego bankomatu. Tam wprowadza podaną wyżej kombinacje (2424) po czym ustawia własny pin – czym właśnie aktywował kartę. Ponieważ karta ma funckję PayPass, złodziej wykonuje kilka transakcji tą metodą. Nie niepokojony przez nikogo — bo przecież transakcje odbywają się off-line. Bank dowiaduje się o transakcjach wieczorem lub
następnego dnia, a ja jeszcze później. Nie ma znaczenia, że NIE AKTYWOWAŁEM ani nie zasiliłem ani razu kraty pre-paid (która została – na siłę – zintegrowana z moim biletem). Tym sposobem na koncie z moim nazwiskiem widnieje debet.

Dzwoniłem dziś na infolinię BZ WBK i potwierdzono, że sytuacja może mieć miejsce. Dowiedziałem się również, że nie można permanentnie zablokować możliwości aktywacji karty pre-paid ani funkcji PayPass na mojej karcie PEKA. Jak zabezpieczyć sie przed tego typu sytuacją?

PS. Mimo iż jest to karta pre-paid zapewniono mnie na infolinii, że można na niej zrobić debet.

Ponieważ nie dowierzaliśmy, że ktoś mógł zaprojektować tak wadliwy produkt, zwróciliśmy się z następującymi pytaniami do poznańskiego ZTM-u i banku BZWBK:

1. Z jakiego powodu zadecydowano o tym, karta PEKA ma posiadać funkcję płatności zbliżeniowych?

2. Czy mieszkańcy Poznania mogą korzystać w biletów długookresowych nie posiadając karty PEKA? Jakie mają alternatywy jeśli nie chcą karty PEKA posiadać?

3. Czy ZTM otrzymał wynagrodzenie za wbudowanie w kartę PEKA funkcji płatności zbliżeniowych obsługiwanych przez bank BZWBK?

4. Czy prawdą jest, że do aktywowania funkcji płatności zbliżeniowych na kartach PEKA każdy z jej właścicieli otrzymał ten sam kod (2424)?

5. Czy jest możliwe, aby kartą PEKA wykonać transakcje rozliczane w trybie offline (czyli bez natychmiastowej weryfikacji wysokości środków na rachunku powiązanym z kartą)?

6. Czy terminal płatniczy wymuszający ten tryb rozliczenia offline pozwoli naliczyć tzw. “debet”, jak poinformowano naszego czytelnika na infolinii banku? Jeśli tak, to do jakiej wysokości?

7. Czy aktywowanie karty PEKA do płatności zbliżeniowych wiąże się z jakimikolwiek dodatkowymi kosztami? (Np. opłata naliczana za rachunek)?

8. W jakis sposób z karty PEKA mają korzystać pasażerowie ZTM obawiający się naliczenia debetu np. w sytuacji opisanej przez naszego czytelnika powyżej?

ZTM nie odpowiedziało na powyższe pytania w pełni, ale podesłało następujące oświadczenie adresujące najważniejszy problem — możliwość “nabicia” debetu na karcie (wytłuszczenia nasze):

Użytkownicy transportu miejskiego w Poznaniu i Metropolii Poznań przez 11 korzystali z KOMkarty jako nośnika biletu okresowego. Karta PEKA jest jej następczynią, ale nowocześniejszą, lepiej zabezpieczoną i dającą większe możliwości.
Obecnie podstawową funkcją karty PEKA dla Zarządu Transportu Miejskiego jest funkcja nośnika biletu transportu publicznego oraz tPortmonetki służącej do opłacania przyjazdów jednorazowych na korzystnych zasadach (ta możliwość wejdzie w życie wraz nową taryfą biletową od 1 lipca 2014r).
Poznańska Elektroniczna Karta Aglomeracyjna może potencjalnie posiadać bardzo wiele funkcjonalności. Karta już jest identyfikatorem w siedzibie głównej Biblioteki Raczyńskich, da możliwość integracji wielu usług oferowanych przez inne miejskie instytucje, jak np. Miejski Ośrodek Pomocy Rodzinie.
Jedną z funkcjonalności karty PEKA jest klasyczna aplikacja pre-paidowa. Aby aktywować tę funkcję, najpierw trzeba wpłacić pieniądze na anonimowy rachunek techniczny powiązany z kartą, a następnie nadać osobisty numer PIN. Karta umożliwia dokonywanie drobnych płatności. Jest to funkcjonalność całkowicie dobrowolna. Tylko w przypadku aktywowania karty oraz wpłacenia na nią gotówki, można z powyższej aplikacji korzystać. Jeśli tego nie zrobimy, funkcjonalność jest nieaktywna.
APLIKACJA BANKOWA NIE JEST KARTĄ KREDYTOWĄ, więc jeśli jej nie aktywowaliśmy, to w przypadku kradzieży lub zgubienia nie ma obawy o dokonanie zakupów przez kogoś innego na nasz koszt. Nie można też stracić pieniędzy, jeśli wcześniej ich tam sami nie wpłaciliśmy. NIE MA MOŻLIWOŚCI NALICZENIA DEBETU.
Jeśli więc właściciel karty PEKA nie aktywował funkcji płatniczej, nie ma podstaw do obaw o utratę pieniędzy.
W przypadku utraty karty z aktywną aplikacją bankową jej posiadacz we własnym interesie powinien zgłosić ten fakt bankowi (który jest operatorem konta technicznego związanego z kartą PEKA). Można to zrobić telefonicznie, podając numer karty lub numer rachunku technicznego powiązanego z kartą. Po zgłoszeniu utraty karty i jej zastrzeżeniu nie ma możliwości dalszego dokonywania transakcji przy jej użyciu.

Na ten sam zestaw pytań, bank BZWBK odpowiedział jeszcze zwięźlej:

Karty PEKA są kartami pre paid, aby dokonywać nimi płatności, należy je uprzednio „doładować”. Wszystkie transakcje na obecnie wydawanych kartach PEKA są realizowane w  trybie on line, dzięki czemu nie ma możliwości ich zdebetowania. Dodatkowo ze względów bezpieczeństwa pierwsza transakcja płatnicza kartą PEKA musi być wykonana przy użyciu PIN (trans. stykowa w terminalu), dopiero kolejne mogą być transakcjami zbliżeniowymi.

Wszystko wskazuje więc na to, że debet i transakcje off-line na karcie PEKA są niemożliwe — a infolinia, z którą kontaktował się nasz czytelnik po prostu wprowadziła go w błąd.

Debet nie jest możliwy, ale…

Należy tu jednak wspomnieć o tym, że karta PEKA, nawet pomimo braku aktywnej funkcji płatności, jest kartą zbliżeniową, identyfikującą danego mieszkańca Poznania. To oznacza, że zdalnie (bezprzewodowo) można odczytać dane udostępniane przez zapisane na karcie aplikacje. Co się w nich znajduje? Tego jeszcze nie wiemy (może któryś z czytelników zrobi testy?).

Dla porównania, niektóre z polskich kart płatniczych udostępniają bezstykowo imię i nazwisko każdemu, kto podejdzie wystarczająco blisko z odpowiednim czytnikiem (por. Okradli go przez karty zbliżeniowe a banki nie chcą oddać pieniędzy)

Od jednej z mieszkanek Poznania usłyszeliśmy ostatnio opis działań marketingowych jakie prowadzi poznański ZTM w celu przekonania Poznaniaków do karty nowej karty PEKA. Na początkowym przystanku Pestki, czyli poznańskiego szybkiego tramwaju, wsiada grupa osób, pomiędzy którymi “przypadkiem” nawiązuje się rozmowa-narzekanie na nową kartę PEKA. Pomału jednak, wraz z postępem rozmowy, narzekająca w grupie osoba jest bombardowana argumentami za kartą PEKA i koniec końców dochodzi do wniosku, że to dobre rozwiązanie. Taki “szeptany” marketing być może i działa dobrze na przypadkowych pasażerów pestki — ale nie na osoby które codziennie podróżują tą trasą i miały przyjemność spotkać “szeptające” osoby już kilka razy…

PEKI jeszcze jeden problem…

Jak donoszą nasi poznańscy czytelnicy, wczoraj wieczorem miała miejsce awaria serwerów systemu PEKA — cytując wypowiedź przedstawicielki poznańskiego ZTM za serwisem epoznan.pl, nastąpił pożar i “spalił się zasilacz i płyta serwerów” (czymkolwiek ona jest). Efekt — żadnych transakcji kartami PEKA wykonywać nie można (brak możliwości sprzedaży biletów i doładowywania kart). Nie działa także strona http://www.peka.poznan.pl/. Działa jednak moduł tPortmonetki i czytniki w autobusach i tramwajach.

Strona PEKA nie działa

Strona systemu PEKA nie działa, fot. epoznan.pl


Przeczytaj także:



64 komentarzy

Dodaj komentarz
  1. To w końcu wystawca karty payPass może wymusić transakcje zawsze on-line czy nie? Bo wiele banków mówi, że się nie da wyłączyć off-line i wszystko zwala na konfigurację terminali!

    • niebawem sie bolesnie dowiemy :]

    • Mi nigdy nie zdarzyło sie żeby transakcja byłą offline – Mbank, Izzykonto

    • da się wyłączyć. mam debetówkę z mBanku z wyłączoną płatnością offline. działa, miejsca w których po płatności musiałem czekać dwa dni żeby się pojawił ślad operacji na koncie, teraz od razu się pojawiają w blokadach.

    • AFAIK:

      Dane na temat która karta jest autoryzowana w jaki sposób itd. itp. zależą od tego, czy baza danych trzymana na urządzeniu jest aktualizowana o nowe wytyczne. Jak terminal od acquirera wchodzi na rynek, to terminal ma wszystkie wytyczne (tzn. jak instytucje chcą aby ich karty były autoryzowane, offline, online, limity kwot, wypłat, fajerwerki itd.) w bazie danych. Jesli instytucja zmienia wytyczne (tzn dana karta/ typ karty ma byc autoryzowany online, to acquirer musi zaktualizować dane na terminalach. Czesto jednak tak sie z roznych przyczyn nie dzieje :-)

      Wiem jak to dziala od strony ‘technicznej’ – kiedys przy terminalach pracowałem. Jak to wyglada na poziomie dialogu miedzy bankiem a acquirerem – nie mam pojęcia :-)

    • Paywave jest często rozliczany offline, bo Visa na to pozwala, mam i Visę i MC i z tego co zaobserwowałem to offline MC jest na marginesie, Visa autoryzuje do 50 zł prawie wszystko offline i czasami nawet przez 3 dni nie miałem śladu o transakcji. http://samcik.blox.pl/2013/02/Zblizeniowa-zalamka-wszystko-o-co-boicie-sie.html

    • @Alex: Bardzo ciekawe informacje rozsiewasz, programowałem kilkanaście typów terminali i żaden nie przechowywał takich danych, a było to nie dalej jak dwa lata temu.

    • To jeden malutki terminal miałby przechowywać dane o widzi-mi-się wszystkich wystawców kart VISA i MC na całym świecie, na przykład o preferowanym sposobie ich autoryzacji?

    • @po co

      1-sze primo: [b]AFAIK[/b]
      2-gie primo: Nie każde rozwiazanie paymentowe działa tak samo. Nie pracowałem z polskimi sklepami i terminalami – w UK byly pinpady polaczone siecia z Electronic payment system, ktory na podstawie zwyklego SQL trzymal dane, m.in. tzw. BinTable. Modyfikacje w BinTable wpływały na to, ktore transakcje byly odrzucane lokalnie. Jesli walidacja lokalna przechodzila i wymagana byla walidacja online(wiekszosc przypadkow), wtedy serwer gadał z acquirerem i dostawal response code.

    • Aż poszukałem czy czegoś nie ma w googlach na ten temat. I mam:

      http://www.level2kernel.com/flow_chart.html

      Zainteresuje Cię chyba poniższy fragment:

      The terminal has a list containing the Application Identifier (AID) of every EMV application that it is configured to support, and the terminal must generate a candidate list of applications that are supported by both the terminal and card.
      (…)

      These records contain the card PAN and expiry date, plus many other tags of information that are used for transaction processing such as cardholder verification and card authentication.

    • ja płaciłem kartą MC i do 50zł zawsze szło offline, a jakiś miesiąc temu wszystkie płatności są online — widać to bo autoryzacja trwa kilka minut, a wcześniej była od razu.

      Wyjątek może stanowić tu płatność w tesco, bo poniżej 50zł nie pyta o pin w zwykłym terminalu a drukuje kwit do podpisu, co też było dla mnie zaskakujące.

    • to zalezy od tego jak bank to ustawil NA KARCIE. I w duzej czesci zalezy od tego, czy chcialo sie bankowi wydac kilka tys zlotych na konsultacje w tym zakresie ze specjalista, bo raczej ludzie w bankach samemu nie ogarniaja konsekwencji swoich ustawien w tym zakresie. No ale lepiej wydac 10 razy tyle na honorarium dla Czaka Norisa.

    • @M.M. @Alex @po co

      Wystawca wystawcą, acquirer na swoim terminalu też może wymusić autoryzację online (i robi tak, żeby nie mieć problemów z niedbale spersonalizowanymi kartami, które umożliwiają robienie “wałków”). Organizacje niektóre wiadomo, że będą optować za offline (zauważmy, że “centrala” jednej z nich na EU mieści się w UK, gdzie offline jest obowiązującą państwową religią)…

      @po co – kilkanaście typów terminali i żadnych “bin range’ów” nie uświadczyłeś ani konfiguracji EMV per AID ? Nic ? Hmm… a poza top-up’ami to coś innego robiliście ? :P

      @M.M – te malutkie terminale nie muszą przechowywać kompletnej tablicy opisującej _wszystkie_ wydane na świecie karty. Choć w sumie już niektóre by technicznie nawet dały radę ;) Robi się to dla podgrup – typu karta konkretnego schematu (Visa/VisaElectron/MasterCard/Maestro/DMC itp)… Można trochę się bawić w uszczegółowienie jeśli trzeba (typu terminal wstawiony przez jakiś bank ma karty wydawane przez ten właśnie bank jakoś inaczej traktować).

  2. Z całą sytuacją odnośnie PEKA to nie wiadomo czy płakać czy się śmiać.

  3. “Jeden z naszych poznańskich czytelników, Krocionog”. Wiedziałem, że nauczenie tego słówka (krocionóg) na lekcję j. ang. O ile dobrze pamiętam to było “milipede”. Hehe :D

  4. Anonimowy rachunek z kartą wystawioną na konkretne dane osobowe. Chyba niektórzy powinni poznać znaczenie słowa anonimowa.

  5. mało tego! kartę PEKA należy odbijać wsiadając i wysiadająć (na szczescie nie bilety sieciowe).
    Jezeli dane uzytkownika sa zapisywane w systemie to odpowiedni data mining pozwoli nam okreslic gdzie dany uzytkownik wsiada i wysiada, w jakich godzinach gdzie przebywa, KIEDY NIE MA GO W DOMU oraz z kim sie zadaje/przebywa (sprawdzenie zaleznosci miedzy odbijanymi biletami).

    BTW – podobno (nie sprawdzalem) majac pieniadze na karcie system przy odbiciu nalicza oplate za cala linie i przy odbiciu podczas wysiadania oddaje nam pieniadze. Tym samym jesli mamy na koncie idealnie 60gr (na 1 przystanek) to juz nie zaplacimy za niego bo nie mamy odpowiedniej ilosci $$ na karcie aby przejechac cala linie.
    // Z takimi opiniami sie spotkalem i nie mialem mozliwosci weryfikacji tej informacji.

    • Dokładnie tak samo działa system elektronicznych biletów w białostockim BKM. Do końca lipca (urząd wreszcie się z tego pomysłu wycofał) bilet okresowy stawał się ważny dopiero po zarejestrowaniu karty w kasowniku. Urząd oczywiście problemu w prywatności pasażerów nie widział, wycofali się po 3-letniej fali krytyki ze strony pasażerów za niewygodę
      A zagrożenie dla prywatności faktycznie jest spore: pod groźbą kary (za niezarejestrowany bilet grozi u nas kara wyższa niż za brak biletu xD) pasażer będzie te bilety rejestrował. Na tej podstawie można odkryć w jakich godzinach jeździ do pracy, w jakiej okolicy mieszka, gdzie się przesiada, gdzie pracuje, tak jak kolega wyżej napisał: z kim podróżuje.

    • Tak, system nalicza opłatę za wszystkie przystanki do końca trasy. Jak zapomnisz “wysiąść” czyli odbić kartę przy wychodzeniu to zakłada, że jedziesz do końca. Jak odbijesz – oddaje nadpłatę. A jak nie masz do końca linii to pobiera tyle ile masz i podaje informację jak daleko możesz jechać.

    • W ten sam sposob dzialaja Rejsekort – dunskie karty takie jak PEKA, wiec nie jest to wymysl “madrych polskich glow”.

    • Aha i na Rejsekort tez trzeba miec caly czas minimum 50 DKK, bo inaczej nie zrobisz “check ind”. Standardowa podroz kosztuje powiedzmy 15-20 DKK (3-4 zony), wiec 50 DKK to calkiem sporo. Jezeli nie zrobisz “check ud” (koniec podrozy) po wyjsciu z autobusu czy metra/kolejki, z karty zostanie Ci skasowane 50 DKK (tak jakbys przejechal wiecej niz 8 zon). Tak naprawde jest to jedyny sposob aby przewoznik dostal kase, bo jakby Ci nie blokowali kasy na poczatku, to za nie zakonczenie podrozy nic by Ci nie grozilo.

    • Zielonogórski MZK ma tak samo, odlicza Ci całą kwotę do końca trasy, a przy wyjściu oddaje różnicę – jeżeli masz za mało, to nie pojedziesz… Ale ja bym się kłócił, wsiadł i powiedział, że mam i że to ich problem. Dodatkowo, NIESTETY, nie można kupić już żadnego innego biletu papierowego niż jednorazowy…

    • @Zbyszek w Białymstoku niestety ale nie zwraca części kwoty za bilet (sprawdzałem), mimo to informacja że zwraca na stronie bkm jest :/

    • @darkanzali
      zwraca, ale u nas nie jest to na podstawie przystanków, a stref i dotyczy to tylko autobusów, które wyjeżdżają poza granice administracyjne Białegostoku. Zakładając że w takim jesteś, to: system naliczy opłatę za przejazd do przystatnku końcowego (tj. bilet dwustrefowy), ale jeśli wysiądzesz w tej samej strefie co wsiadłem to zwrócona zostanie wartość biletu na strefę drugą, w sensie “inną” oczywiście ;)

      Generalnie, to bilety jednorazowe wszędzie są rozliczane podobnie. W moim komentarzu wolałem nawiązać do obowiązku rejestrowania biletów okresowych – o ile na podstawie biletów jednorazowych (jazda z musu, mała powtarzalność) średnio da się wywnioskować czyjeś nawyki, to z biletów okresowych jak najbardziej – nie po to się kupuje bilet miesięczny albo kwartalny żeby jeździć z nudów po mieście…
      Dla zarządu komunikacji miejskiej daje to możliwość dostosowania rozkładów pod faktyczne potrzeby mieszkańców (ilu, skąd, gdzie, dokąd, kiedy się przesiada). W rzeczywistości niekoniecznie tak jest, ale to nie jest strona o komunikacji miejskiej :)
      Dla paranoików są jeszcze dostępne bilety jednorazowe papierowe :)

  6. Akurat autoryzacja offline jest jedną z lepszych funkcjonalności kart płatniczych. Przyznam, że po tym jak polepszyła się szybkość transferu od terminala do centrum rozliczeniowego nie jest to tak uciążliwe jak kiedyś, ale jednak.

    Co do połączenia funkcjonalności: wierzę, że schemat jest taki — bank daje technologię, w zamian odbiera udział w rynku. Ciekawe kto komu za to zapłacił (ile)? Czy był przetarg czy poznański przedsiębiorca przewozowy dogadał się z poznańsko-wrocławskim bankiem?

    • Niestety na te pytania ani bank ani ztm nie odpowiedzial…

    • “Co do połączenia funkcjonalności: wierzę, że schemat jest taki — bank daje technologię, w zamian odbiera udział w rynku. Ciekawe kto komu za to zapłacił (ile)? Czy był przetarg czy poznański przedsiębiorca przewozowy dogadał się z poznańsko-wrocławskim bankiem?”

      Powołując się na prawo dostępu do informacji publicznej zadać pytanie dotyczące tej kwestii + poinformować, że w przypadku braku odpowiedzi do WSA poleci skarga.*

      *Robota dla prawnika, tego od Poniedziałków z Prawnikiem;)?

    • Mnie ciekawi to, na którym etapie nasze genialne instytucje publiczne dzielą się danymi mieszkańców Poznania z agenturą MasterCard. To chyba musi się odbywać już przy wyrobieniu karty?

  7. Może spaliło się “w p*tę serwerów” tylko przedstawicielka przekręciła? ;)

  8. Niezależnie od on/off-line, debet na karcie może powstać także przy płatnościach w walucie obcej. Kwota zablokowana w dniu płatności może się różnić od finalnej kwoty jaka zostanie ściągnięta z konta, ze względu na zmiany kursów walut. Może się też zdarzyć, że transakcja nie zostanie rozliczona w terminie (przeważnie 7 lub 14 dni) a blokada założona pod transakcję zostanie automatycznie zdjęta. Nie jest to częste ale się zdarza. Gdy rozliczenie przyjdzie później a nie będzie pieniędzy na koncie, zrobi się debet. Dlatego uważam, że default PIN to wyjątkowo zły pomysł!

  9. Musiał to być przetarg publiczny. Powinien być jawny i dokumentacja dostępna dla każdego obywatela.

  10. “2. Czy mieszkańcy Poznania mogą korzystać w biletów długookresowych nie posiadając karty PEKA? Jakie mają alternatywy jeśli nie chcą karty PEKA posiadać?”

    Niezbyt wiele osób o tym wie, lecz można zakupić tzw. bilet “Bus-Tramwaj-Kolej”
    http://www.przewozyregionalne.pl/wspolny-bilet-na-pociag-tramwaj-i-autobus-juz-od-grudnia

    Miesięcznie wychodzi niewiele drożej od PEKA, a nie trzeba szastać swoimi danymi…
    Bilet ten jest papierowym kwitkiem, na którym po zakupie wpisujemy ręcznie swoje imię i nazwisko oraz numer dokumentu ze zdjęciem.

    Przykładowo, zakup na strefę A uprawnia do przejazdów MPK w strefie A, a także do przejazdów kolejowych w strefie A: Poznań Starołęka, Poznań Garbary, itd.

  11. Nie rozumiem tylko Krocionoga w jednym punkcie: po co zmieniać domyślny pin z 2424 na coś innego. Pokażcie mi złodzieja, który uwierzy, że jakiś właściciel jest taki głupi.
    A propos PayPass-a, to system ten był wykorzystywany w szkołach średnich, zwykle o profilach ekonomicznych, gdyż BZ WBK sponsorował zakup bramek. Uczniowie i nauczyciele jakoś sobie radzili i nie narzekali.
    Wg mojego skromnego i dyletanckiego zdania system ten jest “potencjalnie niebezpieczny”. Gdybym był paranoikiem ze spiskowych teorii, to bym powiedział, że na razie jest zanęta, a potem dopiero przyjdzie czas na możliwości szpiegowania. Czyli w skrócie – “aktualnie system wydaje się być bezpieczny”

  12. Dawniej były żelazka i przeważnie były off-line bo nie każdemu sprzedawcy chciało się dzwonić do centrum rozliczeniowego a numery zastrzeżonych kart były w papierowej książeczce. Potem wynaleźli karty VISA Electron, które były ZAWSZE on-line. W międzyczasie telekomunikacja poszła bardzo do przodu, szerokopasmowy internet mobilny, itp. Przyszedł roczek 2014. I co mamy? Powrót do transakcji off-line i to niekiedy ze szkodą dla bezpieczeństwa klientów!

  13. A jeżeli karta płatnicza zostanie zastrzeżona to bilet dalej działa (w sensie możliwość doładowania kolejnego kontraktu)?
    Bo jeśli tak to wystarczy zastrzec i po problemie.
    Co do odbijania karty przy wsiadaniu i wysiadaniu to działa tak londyńska Oyster i nalicza kwotę dokładnie za przejazd do określonego limitu, po osiągnięciu którego jeździmy za darmo.

    • ale nie są to karty z Twoim imieniem i nazwiskiem

  14. Przgladam sobie post na androidzie. Bez wylaczonego js ;) po czym ktos z niebezpiecznika sprawdza moje konto na linkedin. Przypadek? Niesondze. ;)

  15. w Łodzi tez można miec taka migawkę, ale można miec też bez paypass http://www.migawka.lodz.pl/article/rodzaje-kart-imiennych

    • Ale w Lodzi jej sie ie podbija przy wchodzeniu i wychodzeniu.

  16. Największy problem z tego typu kartami polega na tym, że przejazdy są rejestrowane (w każdym razie płacone jednorazowo, nie wiem jak jest to w przypadku biletów miesięcznych) – ZTK jest w stanie stwierdzić gdzie podróżowaliśmy.

  17. Również mam mKartę i prawie zawsze transakcje realizuje offline. Oczywiście <50.

  18. Brak backupow oraz jakiekolwiek ha… Genialna kadra kierownicza w pionie it ktora tym zarzadza…. zenada ale spoko przeciez nikt nie beknie za to bo cos tam sie popsulo…..

  19. Z tej karty PEKA wyjdzie niebawem niezła “BEKA” :D

  20. Nie ma jak Mobilet (Kraków) i skanowanie QR kodów oczami przez kontrolerów ;-)

  21. Androidowe NFC jest w stanie wyciągnąć z PEKI co najmniej nr karty i jej datę ważności [com.samj.CardTest].

    • takie informacje można wyciągnąć z *każdej* karty płatniczej z NFC.
      Nie widzę w tym wielkiego zagrożenia.

  22. Co do nadal funkcjonującego papierowego biletu łączonego z koleją, o którymś ktoś wspomniał – pewnie niedługo się to w Poznaniu skończy. W Łodzi przez pewien czas dostępna była podobna oferta, ale zastąpiono ją już nową, gdzie bilet łączony z koleją jest kodowany na karcie miejskiej, tak jak każdy inny bilet okresowy. Przez pierwsze dni konduktorzy w pociągach mieli “czytniki w oczach”, choć mówili że mają dostać terminale.

    Z tym, że tak jak ktoś już wspomniał, w Łodzi bez problemu dostępna jest karta miejska bez funkcji płatności zbliżeniowej. Te z płatnością zbliżeniową (dostępne są dwie, we współpracy z WBK i z Citibankiem) to tylko dodatek do oferty.

  23. Chyba pora rozejrzeć się za portfelem z siatką Faradaya…

    • klatką, nie siatką :)

  24. Czytając o tych biletach i kartach zbliżeniowych coraz częściej mam wrażenie, że ludzie, którzy wprowadzają tę technologię nie mają już konatku z rzeczywistością. Wypowiedź pracownika Mennicy Polskiej: “Rozwiązania bez-PIN-owe zostały wprowadzone po to, aby ktoś nie mógł podpatrzeć PIN przy zakupie biletów w zatłoczonym autobusie, ukraść karty, i następnie wyczyścić klientowi konta. Takie rozwiązania stosuje się na całym świecie w komunikacji miejskiej”.
    Genialne. Zróbmy drzwi bez zamków, żeby ludziom nie pokradli kluczy. Tylko limit na przeniesienie do 100 kilogramów przez te drzwi jednorazowo.

    • Platnosc gotowka tez jest oderwana od rzeczywistosci? A noszenie telefonu w kieszeni? Albo, o zgrozo, zlotej obraczki na palcu?

      Przy utracie portfela bardziej bym sie martwil, ze bede musial tracic czas na ponowne wyrabianie dokumentow, niz utrata kilku zl.

    • Ty tak na serio? Karty wymyślono właśnie po to, żeby nam NIE ukradli pieniędzy. Karta bez pinu, z autoryzacją offline jest równie wrażliwa co gotówka, jak nie gorzej.
      I utrata nie kilku złotych, tylko wszystkiego, co masz na koncie.

    • @Patryk
      A nawet więcej niż masz na koncie! :)

  25. Trzeba zadzwonić do WBK i poprosić o wyłączenie funkcji płatności zbliżeniowych! tel.; +4861 81 19999, potwierdzone działa.

  26. Kiedy wreszcie nasze (p)osły wprowadzą ustawowy zakaz sprzedaży kart radiowych na obecnych warunkach? pewnie nigdy. takie to nasze (p)osły.

    • W PEcE moduł radiowy jest wymagany, ze względu na sposób działania samej karty. To tylko dodatkowa aplikacja do samej karty płatniczej.

      Może utnij sobie antenę, a potem płacz, że Ci nie nabija przejazdów.

  27. aha. wyłączenie płatności zbliżeniowych działa tylko w polsce. jak złodziej ma kumpla na zachodzie, to przez NFC zczyta kartę, i zacznie wypłacać na zachodzie. tam blokada nie działa.

  28. No to my w Warszawie mamy pod tym wzgledem dobrze – karta jest spersonalizowana ale bez zadnych pierdul w stylu dorzuconego gratis PayPassa czy innego gowna. I trzeba sie nia odbijac tylko aby otworzyc bramke do metra, w autobusach i tramwajach nie jest to konieczne – masz miec aktywna karte miejska w razie kontroli i tyle. Jak czytam ten artykul to cenie to co mamy, jakbym musial takie gowniane karty nosic to chyba bym sie przesiadl na rower…

  29. Bliźniaczo podobna sytuacja jest we Wrocławiu, z kartami Urbancard. Mnie zastanawia jeszcze jeden, elementarny wręcz problem, z tymi systemami miejskimi. Mianowicie okazuje się że żeby przejechać się autobusem na bilecie okresowym trzeba teraz podać Imię i Nazwisko, Pesel, adres email oraz swoje zdjęcie. Paranoja jakaś. W wielu miastach w innych krajach, takie karty kupuje się podobnie jak zestawy startowe do komórek, w kioskach, sklepach, automatach… wystarczy je doładować i jeździć. Jedynie kwestią czasu jest kiedy te bazy ktoś zdobędzie. We Wrocławiu nie trzeba było na to długo czekać. Przed poprzednimi wyborami samorządowymi użytkownicy urbancardów mieli okazje dostać spam wyborczy od kandydującego na ponowną kadencję Prezydenta miasta. Winę zwalono na jednego z niższych urzędników miejskich, który został zwolniony, potem skazany za to prawomocnym wyrokiem sądowym. Niedługo potem wrócił do pracy w urzędzie miejskim bo “to znakomity fachowiec”. Gdy parę lat temu społeczności internautów głośno protestowały przeciwko regulacjom ACTA, a serwisy państwowe i samorządowe były masowo atakowane, uzyskano nieuatoryzowany dostęp do tej bazy, bowiem jej on-linowy panel administracyjny był podatny na SQLInjection. Baza zapewne wyciekła.

  30. Ale wspolczuje tej wiarze co musi sie z tym syfem bawic. PEKA jest jak komorka w kieszeni…

    To juz nawet wlasciciele pojazdow maja wiecej opcji aby bronic swoja anonimowosc…

  31. LOL! Jak czytam http://www.peka.poznan.pl to normalnie BEKA, a nie PEKA :D
    Raporty z każdego dnia, po czym tajemnicza awaria, a najnowszy wpis “Coraz więcej osób chce mieć kartę PEKA” :D
    Powinni się zapoznać z tym:
    “The aim of marketing is to know and understand the customer so well the product or service fits him and sells itself.” – Peter Drucker

  32. Mieszkam w Poznaniu i karta PEKA to istny koszmar. Nie dosyć, że bilety w Poznaniu i tak są strasznie drogie to wprowadzono system, w którym chyba każdy ma się pogubić. Dla przykładu posiadam tPortmanetke, czyli mam tam wpłacone przez siebie pieniądze za pośrednictwem szybkiego przelewu bankowego i pięniądze są zarejstrowane w banku mam potwierdzenie przelewu, ale pieniędzy na karcie jak nie ma tak nie ma. (tak po kliknięciu transfer e-biletu itp.itd). Udałam się więc do punktu pomocy z kartą Peka to Pani w okienku zamiast pomóc od razu stwierdziła, że muszę pisać reklamacje. Czy to są jakieś żarty? Ile straconego czasu… Nie mówiąc, że cały system do teraz jest dopracowywany i nie znam znajomego, który nie miał by z kartą problemów. Co to jest za pomysł w takim razie, skoro tyle ludzi ma problemy ze swoją SUPER EXTRA kartą? Pozdrawiam wszystkich pomysłodawców tej sprawy. Poznanianka.

  33. Spałiła się płyta główna serwera i zasilacz? O czym mowa? O “systemie” ZX Spectrum z pamięcią kasetową?

    Ja naiwny myślałem że system rozliczania transakcji finansowych powinien być bezpieczny, redundantny i odporny na “pożar zasilacza”, a certyfikowana płyta główna tudzież integrowane moduły serwerowe nie palą się od “przeciążenia transakcjami” lub złego spojrzenia sprzątaczki.

    To wszystko jakieś potworne bzdury albo bełkot niedouczonych parainformatyków, którzy nie odróżniają dedykowanego serwera od komputera do gier.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: