Apple Pay: полное и исчерпывающее описание

Apple представила свой новый платежный сервис Apple Pay, который олицетворяет собой первый шаг компании к цели заменить ваш бумажник «легким, безопасным и конфиденциальным» средством оплаты. Apple Pay обладает несколькими способами защиты, которые предоставляют пользователю более высокий уровень безопасности, чем традиционная кредитная карта. Среди них – уникальный номер учетной записи устройства, который представляет собой замену номера кредитной карты, динамические коды безопасности для каждой транзакции и биометрическое подтверждение платежа при помощи сенсора Touch ID. В преддверии запуска сервиса Apple Pay в США эксперт сайта TUAW Йони Хейслер пристально рассмотрел особенности системы безопасности платежного сервиса Apple и описал алгоритмы защиты клиентской информации.

Apple Pay

Поскольку сервис Apple Pay построен на основе существующей технологии NFC, Хейслер предполагает, что это первая реализация EMVC-спецификации для токенов — недавно представленной концепции безопасности, предназначенной для новых способов платежей. Как говорит бывший специалист в области кредитных карт Том Нойс, эта спецификация — «самая безопасная схема платежей на планете».

Как сказано выше, Apple Pay использует «токены», которые соотносятся с уникальным номером учетной записи устройства, чтобы заменить существующий номер кредитной карты на iPhone. Случайный 16-значный номер – уникальный номер учетной записи устройства, который гарантирует, что продавец не сможет получить доступ к номеру кредитной карты пользователя, защищая его от угроз безопасности. Поскольку токены являются случайно сгенерированными номерами, то из них не может быть дешифрован номер банковской карты. Уникальный номер учетной записи устройства и токен объединяются с динамически создаваемым уникальным одноразовым кодом, который заменяет CVV кредитной карты для каждой транзакции.

Предоставляя дополнительный уровень безопасности, iPhone с сервисом Apple Pay во время каждой транзакции отправляет динамически создаваемый CVV вместе с зашифрованным сообщением. CVV – это трехзначное число, которое находится на оборотной стороне вашей кредитной карты, а в случае с Apple Pay — это алгоритмически сгенерированное динамическое число, которое привязывается напрямую к токену. Зашифрованное сообщение «уникально идентифицирует устройство», которое создало токен и, в соответствии со спецификацией системы платежей EMV, похоже на зашифрованное сообщение, состоящее из токена, данных об устройстве и данных о транзакции. Однако следует отметить, что точные составляющие зашифрованного сообщения, которое отсылает система Apple Pay, не разглашаются.

Как отмечает Хейслер, уникальный номер учетной записи устройства не может быть использован для проведения транзакции без уникального одноразового зашифрованного сообщения, которое подтверждает, что «отправленный токен создан используемым устройством». Зашифрованное сообщение также содержит информацию о продавце и о сумме денег, взимаемых со счета.

Транзакция с использованием уникального номера учетной записи устройства и зашифрованного сообщения на следующем этапе должна быть подтверждена с помощью сенсора Touch ID, который полностью заменяет небезопасные методы подтверждения платежа, такие как пароль или ПИН-код.

Как говорит специалист в области кредитных карт, с которым консультировались TUAW, платежи с использованием токенов, которые использует Apple – «это новый и гораздо более высокий стандарт безопасности в области электронных платежей». Внимание к безопасности, с которым производится создание токенов и сопровождение транзакций, — это новый стандарт, который, по мнению экспертов, определенно станет преградой для все более широко распространяющихся схем мошенничества.

Сервис Apple Pay предположительно должен стать доступен в октябре, когда обновится iOS 8. Упоминания об Apple Pay уже были найдены в iOS 8.1 beta, которая стала доступна разработчикам в понедельник. Новые элементы интерфейса Apple Pay появились во второй бете, которую разработчики получили минувшей ночью.

Apple PayTouch ID