Что такое Apple Pay и как он работает на самом деле
Разбираемся с особенностями и безопасностью бесконтактной системы оплаты от Apple, которая сегодня запустилась в России.
Для начала обязательно прочитайте инструкцию по настройке Apple Pay в России. Здесь разберём общие вопросы работы и безопасности, чтобы вы знали, чем пользуетесь и как это работает.
Что такое Apple Pay?
Сервис Apple Pay создан для упрощения процесса купли/продажи. Вместо использования пластиковой карты или наличных, любую покупку можно совершить с помощью iPhone.
Оплата происходит, когда пользователь подносит свой iPhone или Apple Watch к бесконтактному терминалу. После нескольких секунд на экране появляется сообщение о возможности проведения оплаты, далее пользователь подносит палец к сенсору Touch ID, подтверждая транзакцию.
Apple Pay существует уже более полутора лет. По состоянию на 2016-й год, она работает в 9 странах: Англия, Австралия, Гонконг, Канада, Китай, Сингапур, США, Швейцария и Франция. Сегодня система появилась в России.
Как это работает?
Основа: механизм системы основан на технологии близкой передачи данных NFC (на расстоянии до 20 см) в связке с чипом Secure Element, который хранит данные о банковской карте в зашифрованном виде. Secure Element представляет индустриальный стандарт в области финансовых операций. На этом чипе выполняется специальное Java-приложение.
Secure Element: это область выделенной памяти, отделенную от системной. В этой области хранятся данные банковских карт пользователя. Ни одна программа не имеет к ней доступ, данные никуда не передаются и даже Apple не может повлиять на эту стратегию. Так что никто не узнает о твоих покупках и движении денежных средств.
Secure Enclave: это компонент, который управляет процессом аутентификации и запускает платежные транзакции. Вместе с тем, он хранит отпечаток пальца для Touch ID. Apple Pay Servers. Эта серверная часть управляет состоянием кредитных и дебетовых карт в приложении Wallet, вместе с номером устройства, хранящимся в Secure Element.
Apple Pay Servers: это серверная часть, управляющая состоянием кредитных и дебетовых карт в приложении Wallet, вместе с номером устройства, хранящимся в Secure Element. Apple Pay Servers также отвечают за перекодирование платежных сведений внутри приложений.
Воспользоваться Apple Pay могут владельцы подавляющего большинства современных устройств от Apple: iPhone 6/6s/6 Plus/6s Plus, SE и «умных» часов Apple Watch.
История и партнёры
Технология бесконтактной оплаты применяется достаточно давно — с середины первого десятилетия 21-го века. Но за всё время своего существования она не снискала популярности. Даже концепция Apple Pay не нова. Google уже пытался занять место в этой нише со своим неудобным сервисом Google Wallet.
Система Apple Pay совместима со многими уже существующими бесконтактными считывателями: Visa PayWave, MaterCard PayPass, American Express и ExpressDay.
Кроме того, что сервис от Apple поддерживают сотни банков, расплатиться с помощью смартфона можно на любых терминалах с поддержкой бесконтактных методов оплаты.
Где можно расплатиться Apple Pay
Оплата проводится без ввода номера банковской карты и других сведений о банке. Достаточно просто поднести палец к Touch ID.
В процессе покупки Apple Pay может передавать дополнительную информацию, хранящуюся в телефоне покупателя, такую как: адрес доставки и номер телефона.
В чём «профит» Apple от своего сервиса Apple Pay? Всё просто: корпорация с каждой транзакции получает по 0,15% — это плата за обслуживание сервиса платежей и создание прикладных инструментов. Эти деньги ей выплачивают банки: Citi, плюс существующие платежные системы, MasterCard и Visa.
Что насчёт безопасности?
Apple Pay обладает многоуровневой системой защиты: уникальный идентификатор устройства, динамически генерируемые коды безопасности для каждой платежной транзакции, биометрические сведения — отпечаток пальца.
В совокупности эти средства обеспечивают более надёжную безопасность, чем магнитная полоса и даже чип в банковской карте.
Во время создания подключения устройства обмениваются одноразовыми токенами, которые удаляются при окончании связи. Токен призван заменить номер карты, чтобы последний никто не узнал. Токен представляет сгенерированный случайным образом номер, поэтому номер банковской карты, скрываемым за ним, нельзя расшифровать.
Все это объединяется и заменяет собой CVV банковской карты для платежной транзакции. После установки связи и обмена токенами для передачи данных, они шифруются. Эти зашифрованные сообщения отражают свою принадлежность определенному устройству, создавшее используемый токен.
Даже если токен будет перехвачен, это не даст злоумышленнику ценной информации, так как после разрыва соединения токен удаляется.
Хотя сообщение содержит информацию о покупателе, продавце, сумме денег, участвующей в транзакции и банке, предоставившем карту, все данные надежно зашифрованы. Apple не раскрывает информацию об алгоритме шифрования, отчего вызывает бурю негодования у некоторых специалистов по информационной безопасности.
Apple мотивирует своих партнеров перейти на более современные терминалы оплаты по спецификации EMV, то есть замены магнитной полосы пластиковых карт на чип — Secure Element, взломать который с помощью перехвата данных практически невозможно.
Теория взлома
В этой бочке меда нашлась ложка дегтя. Как бы ни старались разработчики, в системе Apple Pay есть проблемные места. И это во многом зависит не от Apple. В процессе движения средств задействованы многие другие структуры, в том числе банки с их огромными пробелами в безопасности.
Сканер отпечатков пальцев не всегда работает корректно. Предоставляя современное и, казалось бы, надежное средство удостоверения личности, оно одновременно является огромной дырой в безопасности. Если Touch ID выйдет из строя, можно воспользоваться пин-кодом. Это сводит на нет всю продвинутую безопасность.
Пин-код можно подглядеть, спутать, нажать не те клавиши, короче, человеческий фактор в действии. При оплате с помощью часов Apple Watch отпечаток не требуется, в этом случае вопрос о безопасности встаёт острее.
В связи с этим появились дополнительные инструменты проверки: секретный код, одноразовый пароль, звонок в службу поддержки клиентов или предоставление информации о предыдущих покупках.
Некоторые банки в других странах требуют от пользователя авторизации в мобильном интернет-банкинге. Эти действия уменьшают удобство использования Apple Pay из-за появления дополнительных уровней проверки.
На данный момент в России работает самый простой формат оплаты без дополнительных авторизаций в процессе.
Между тем, Apple Pay по-прежнему не взломана.
Конкуренты Apple Pay
В 2011-м году на рынок бесконтактной оплаты вышел Google Wallet, но он не стал популярен во многом из-за того, что на рынке NFC платежей был сильный конкурент — Softcard, поддерживаемый крупнейшими сотовыми операторами США. Но сейчас он сдулся. И Google купила его за $100 млн.
Используя наработки в области бесконтактных платежей Softcard, Google запустила платежную систему Android Pay, которая работает по принципам близким к Apple Pay.
На рынке также работает система Samsung Pay. Для реализации этого сервиса Samsung купила компанию LoopPay за $250 млн. Последняя предлагает дополнительные устройства для бесконтактной оплаты. Главное преимущество LoopPay, а теперь Samsung Pay — это совместимость со старыми аппаратами.
Еще есть PayPal с системой, проводящей платежи через QR-коды. Она разработана компанией Paydiant, которая была куплена PayPal. Для сканирования QR-кодов используется сматрфон с операционной системой iOS или Android и установленной программой CurrentC, работающей по технологии Paydiant.
Минус этой системы на лицо: временная задержка — надо аккуратно удерживать смартфон над QR-кодом для осуществления снимка.
Будущее Apple Pay
В ближайшем будущем, когда большее количество точек розничной торговли перейдут на Apple Pay, с помощью этой системы можно выдавать скидки и продавать таргетированную рекламу в соответствии с потребностями потребителя. Ведь смартфон знает о вас почти все.
Но есть в этом и другая сторона. Оплата упростилась, время ее осуществления уменьшилось, направленной рекламы стало больше. Соответственно, пользователи будут охотнее тратить свои деньги.
Со временем и распространением бесконтактных терминалов, Apple Pay может стать заменой для пластиковых карт Visa или MasterCard.
Ну, а пока об этом говорить рано.
