Seguridad de “Tap to Pay on iPhone”
“Tap to Pay on iPhone”, disponible en iOS 15.4, permite que los comercios estadounidenses acepten Apple Pay y otros métodos de pago sin contacto usando el iPhone y una app iOS habilitada por el asociado. Con este servicio, los usuarios con dispositivos iPhone compatibles pueden aceptar de forma segura los pagos sin contacto y los pases compatibles con NFC de Apple Pay. Con “Tap to Pay on iPhone”, los beneficiarios no necesitan hardware adicional para aceptar los pagos sin contacto.
“Tap to Pay on iPhone” se ha diseñado para proteger la información personal de la persona que paga. Este servicio no recopila información de las transacciones que se pueda vincular a la persona que paga. La información de la tarjeta de pago, como el número de la tarjeta de crédito/débito (PAN), está protegida por Secure Element y no está disponible para el comercio. La información de la tarjeta de pago se mantiene entre el proveedor de servicios de pago del beneficiario, la persona que paga y la entidad emisora de la tarjeta. Además, el servicio Tap to Pay no recopila el nombre, la dirección ni el número de teléfono de la persona que paga.
“Tap to Pay on iPhone” ha sido evaluado externamente por un laboratorio de seguridad acreditado y aprobado por American Express, Discover, Mastercard y Visa.
Seguridad del componente de pago sin contacto
Secure Element: Secure Element [enlace a la sección Secure Element de Apple Pay] aloja los kernels de pago que leen y protegen los datos de las tarjetas de pago sin contacto.
Controlador NFC: El controlador de comunicación de campo cercano (NFC) gestiona los protocolos NFC y dirige la comunicación entre el procesador de aplicaciones y Secure Element, y entre Secure Element y la tarjeta de pago sin contacto.
Servidores de “Tap to Pay on iPhone”: Los servidores de “Tap to Pay on iPhone” gestionan la configuración y el envío de datos de los kernels de pago en el dispositivo. Los servidores también monitorizan la seguridad de los dispositivos “Tap to Pay on iPhone” de una manera compatible con la norma Contactless Payments on COTS (CPoC) del Payment Card Industry Security Standards Council (PCI SSC) y cumplen con el PCI DSS.
Cómo Tap to Pay lee las tarjetas de crédito, débito y prepago
Descripción general de la seguridad del envío de datos
Al usar por primera vez “Tap to Pay on iPhone” utilizando una app con suficiente derecho, el servidor de “Tap to Pay on iPhone” determina si el dispositivo cumple los criterios de idoneidad, como el modelo de dispositivo, la versión de iOS y si se ha establecido un código. Una vez completada esta verificación, el applet de aceptación del pago se descarga desde el servidor de “Tap to Pay on iPhone” y se instala en Secure Element, junto con la configuración del kernel de pago asociado. Esta operación se realiza de forma segura entre los servidores de “Tap to Pay on iPhone” y Secure Element. Secure Element valida la integridad y autenticidad de estos datos antes de la instalación.
Descripción general de la seguridad de la lectura de tarjetas
Cuando una app de “Tap to Pay on iPhone” solicita la lectura de una tarjeta desde la estructura ProximityReader, se muestra una hoja (controlada por iOS) que pide al usuario que toque una tarjeta de pago. iOS inicializa el lector de tarjetas de pago y, a continuación, solicita a los kernels de pago de Secure Element que inicien la lectura de la tarjeta.
En este momento, Secure Element asume el control del controlador NFC en modo lectura. Este modo solo permite el intercambio de datos de la tarjeta entre la tarjeta de pago y Secure Element a través del controlador NFC. Las tarjetas de pago solo se pueden leer mientras este modo esté activo.
Después de que el applet de aceptación de pagos en Secure Element haya completado la lectura de la tarjeta, encripta y firma los datos de la tarjeta. Los datos de la tarjeta permanecen encriptados y autenticados hasta que llegan al proveedor de servicios de pago. Solo el proveedor de servicios de pago usado por la app para solicitar la lectura de la tarjeta puede desencriptar los datos de la tarjeta. El proveedor de servicios de pago debe solicitar la clave de desencriptación de los datos de la tarjeta al servidor de “Tap to Pay on iPhone”. El servidor de “Tap to Pay on iPhone” emite las claves de desencriptado al proveedor de servicios de pago después de validar la integridad y autenticidad de los datos, y después de verificar que la lectura de la tarjeta se produjo en menos de 60 segundos desde la lectura de la tarjeta en el dispositivo.
Este modelo ayuda a garantizar que los datos de la tarjeta no puedan ser desencriptados por nadie más que el proveedor de servicios de pago, que procesa esta transacción para el beneficiario.