Apple Pay: повний і вичерпний опис

Apple представила свій новий платіжний сервіс Apple Pay, який уособлює собою перший крок компанії до мети замінити ваш папірець «легким, безпечним і конфіденційним» засобом оплати. Apple Pay володіє кількома способами захисту, які надають користувачеві вищий рівень безпеки, ніж традиційна кредитна карта. Серед них - унікальний номер облікового запису пристрою, який являє собою заміну номера кредитної картки, динамічні коди безпеки для кожної транзакції і біометричне підтвердження платежу за допомогою сенсора Touch ID. Напередодні запуску сервісу Apple Pay в США експерт сайту TUAW Йоні Хейслер пильно розглянув особливості системи безпеки платіжного сервісу Apple і описав алгоритми захисту клієнтської інформації.

Оскільки сервіс Apple Pay побудований на основі існуючої технології NFC, Хейслер передбачає, що це перша реалізація EMVC-специфікації для токенів - нещодавно представленої концепції безпеки, призначеної для нових способів платежів. Як каже колишній фахівець у галузі кредитних карток Том Нойс, ця специфікація - «найбезпечніша схема платежів на планеті».

Як сказано вище, Apple Pay використовує «токени», які співвідносяться з унікальним номером облікового запису пристрою, щоб замінити існуючий номер кредитної картки на iPhone. Випадковий 16-значний номер - унікальний номер облікового запису пристрою, який гарантує, що продавець не зможе отримати доступ до номера кредитної картки користувача, захищаючи його від загроз безпеці. Оскільки токени є випадково згенерованими номерами, то з них не може бути дешифрований номер банківської картки. Унікальний номер облікового запису пристрою і токен об'єднуються з динамічно створюваним унікальним одноразовим кодом, який замінює CVV кредитної картки для кожної транзакції.

Надаючи додатковий рівень безпеки, iPhone з сервісом Apple Pay під час кожної транзакції відправляє динамічно створюваний CVV разом із зашифрованим повідомленням. CVV - це тризначне число, яке знаходиться на оборотній стороні вашої кредитної картки, а у випадку з Apple Pay - це алгоритмічно згенероване динамічне число, яке прив'язується безпосередньо до токену. Зашифроване повідомлення «унікально ідентифікує пристрій», яке створило токен і, відповідно до специфікації системи платежів EMV, схоже на зашифроване повідомлення, що складається з токена, даних про пристрій і даних про транзакції. Однак слід зазначити, що точні складові зашифрованого повідомлення, яке відсилає система Apple Pay, не розголошуються.

Як зазначає Хейслер, унікальний номер облікового запису пристрою не може бути використаний для проведення транзакції без унікального одноразового зашифрованого повідомлення, яке підтверджує, що «відправлений токен створений використовуваним пристроєм». Зашифроване повідомлення також містить інформацію про продавця і про суму грошей, що стягуються з рахунку.

Транзакція з використанням унікального номера облікового запису пристрою і зашифрованого повідомлення на наступному етапі повинна бути підтверджена за допомогою сенсора Touch ID, який повністю замінює небезпечні методи підтвердження платежу, такі як пароль або ПІН-код.

Як говорить фахівець в області кредитних карт, з яким консультувалися TUAW, платежі з використанням токенів, які використовує Apple - «це новий і набагато вищий стандарт безпеки в області електронних платежів». Увага до безпеки, з якою проводиться створення токенів і супровід транзакцій, - це новий стандарт, який, на думку експертів, безумовно стане перешкодою для все більш широко поширюється схем шахрайства.

Сервіс Apple Pay імовірно повинен стати доступний у жовтні, коли оновиться iOS 8. Згадки про Apple Pay вже були знайдені в iOS 8.1 beta, яка стала доступна розробникам у понеділок. Нові елементи інтерфейсу Apple Pay з'явилися у другій беті, яку розробники отримали минулої ночі.