Pago con tarjetas mediante Apple Pay

Pagar con tarjetas en tiendas

Si el iPhone o el Apple Watch está encendido y detecta un campo NFC, muestra al usuario la tarjeta solicitada (si la selección automática está activada para esa tarjeta), o la tarjeta por defecto, que se gestiona en Ajustes. El usuario también puede ir a Cartera y seleccionar una tarjeta o, si el dispositivo está bloqueado, puede:

• Pulsar dos veces el botón lateral en dispositivos con Face ID.

• Pulsar dos veces el botón de inicio en dispositivos con Touch ID.

• Utilizar las funciones de accesibilidad que permiten el uso de Apple Pay desde la pantalla bloqueada.

A continuación, antes de que se transmita la información relativa al pago, el usuario deberá autenticarse mediante Face ID, Touch ID o su código. Si el Apple Watch está desbloqueado, al pulsar dos veces el botón lateral, se activa la tarjeta por defecto para realizar el pago. No se envía ninguna información relativa al pago sin la autenticación del usuario.

Al procesar el pago una vez que el usuario se ha autenticado, se utiliza el número de cuenta del dispositivo y un código de seguridad dinámico específico para cada transacción. Ni Apple ni ningún dispositivo del usuario enviarán los números completos de la tarjeta de crédito o débito a los beneficiarios. Puede que Apple reciba información anónima relacionada con la transacción como, por ejemplo, la ubicación y la hora aproximada en la que se ha realizado. Esta información sirve de ayuda para mejorar Apple Pay, así como otros productos y servicios de Apple.

Pagar con tarjetas en apps

Apple Pay también se puede usar para realizar pagos en apps de iOS, iPadOS, macOS y watchOS. Cuando los usuarios pagan de esta manera con Apple Pay, Apple recibe información encriptada de la transacción para dirigirla al desarrollador o al beneficiario. Antes de que esa información se envíe al desarrollador o al beneficiario, Apple vuelve a encriptar la transacción con una clave específica del desarrollador. Apple Pay guarda información sobre la transacción de forma anónima como, por ejemplo, el importe aproximado de la compra. Esta información no se puede relacionar con el usuario y nunca incluye qué ha comprado.

Cuando una app inicia una transacción de pago de Apple Pay, los servidores de Apple Pay reciben la transacción encriptada desde el dispositivo antes de que el beneficiario la reciba. A continuación, los servidores de Apple Pay vuelven a encriptar la transacción con la clave específica del beneficiario antes de transmitirla al beneficiario.

Cuando una app solicita un pago, llama a una API para determinar si el dispositivo es compatible con Apple Pay y si la tarjeta de crédito o débito del usuario puede utilizarse para realizar pagos en una red de pago que acepte el beneficiario. La app solicita todos los datos que necesita para procesar y completar la transacción como, por ejemplo, las direcciones de envío y facturación o los datos de contacto. A continuación, la app pide a iOS, iPadOS, macOS o watchOS que presente la hoja de Apple Pay, que solicita información para la app y otra información necesaria, como la tarjeta que se va a utilizar.

Es entonces cuando la app muestra la información relacionada con la ciudad, el país y el código postal para calcular los gastos de envío finales. Sin embargo, no recibe toda la información solicitada hasta que el usuario autoriza el pago mediante Face ID, Touch ID o el código del dispositivo. Una vez autorizado, la información que se muestra en la hoja de Apple Pay se envía al beneficiario.

Pagar con tarjetas en clips de apps

Un clip de app es una pequeña parte de una app que permite al usuario realizar una tarea concreta rápidamente (como alquilar una bicicleta o pagar por el estacionamiento) sin descargar la app completa. Si un clip de app admite pagos, el usuario puede usar “Iniciar sesión con Apple” y, a continuación, hacer pagos con Apple Pay. Cuando un usuario realiza un pago desde un clip de app, las medidas de seguridad y privacidad son las mismas que cuando un usuario paga desde una app.

Cómo autorizan los usuarios los pagos y cómo los verifican los comercios

Para proteger los pagos de las apps, los usuarios y comercios pasan la información a los servidores de Apple, al Secure Element, al dispositivo y a la API de la app. En primer lugar, cuando el usuario autoriza un pago de una app, esta llama a los servidores de Apple Pay para obtener un valor de antirreproducción criptográfico. Los servidores envían a Secure Element este valor, junto con otros datos de la transacción, para computar una credencial de pago que se encripta mediante una clave de Apple. A continuación, Secure Element devuelve las credenciales de pago a los servidores de Apple Pay para que puedan desencriptarlas, verificar el valor de antirreproducción con el valor de antirreproducción que los servidores de Apple Pay enviaron originalmente, y volver a encriptarlas con la clave de comercio asociada al ID de comercio. Los servidores de Apple devuelven después el pago al dispositivo, que lo remite a la API de la app y esta, a su vez, lo pasa al sistema del comercio para su procesamiento. El comercio desencripta las credenciales de pago para verificar que sea el destinatario correcto de la transacción.

Las API requieren una autorización en la que se indiquen los ID compatibles del beneficiario. Al poder enviar también datos adicionales (como, por ejemplo, el número de pedido o la identidad del cliente) al Secure Element para que los firme, una app garantiza que la transacción no se puede desviar a otro cliente. El desarrollador de la app se encarga de realizar esta tarea y es quien puede especificar applicationData en PKPaymentRequest. En los datos de pago encriptados, se incluye un hash de estos datos. A continuación, el beneficiario será responsable de verificar que su hash de applicationData coincide con el de los datos de pago.

Pagar con tarjetas en sitios web

Apple Pay permite realizar pagos en sitios web con el iPhone, el iPad, el Apple Watch y ordenadores Mac con Touch ID. Asimismo, pueden iniciarse transacciones de Apple Pay en un Mac y acabarse en un iPhone o Apple Watch compatible con Apple Pay utilizando la misma cuenta de iCloud.

Para pagar con Apple Pay en internet, es necesario que todos los sitios web participantes estén registrados en Apple. Una vez registrado el dominio, se realiza la validación del nombre de dominio solo después de que Apple emita un certificado de cliente TLS. Los sitios web compatibles con Apple Pay deben ofrecer su contenido mediante el protocolo HTTPS. Por cada transacción de pago, los sitios web deben obtener una sesión comercial segura y única con un servidor de Apple mediante el uso de un certificado de cliente TLS emitido por Apple. Apple también se encarga de firmar los datos de la sesión comercial. Una vez verificada la firma de la sesión comercial, el sitio web puede preguntar si el usuario dispone de un dispositivo compatible con Apple Pay y si en ese dispositivo hay activada una tarjeta de crédito, débito o prepago. No se comparte ninguna otra información. Si el usuario no quiere compartir esa información, puede desactivar las preguntas de Apple Pay en los ajustes de privacidad de Safari en los dispositivos iPhone, iPad y Mac.

Una vez validada la sesión comercial, las medidas de privacidad y seguridad son las mismas que cuando un usuario paga desde una app.

Si el usuario transmite información relacionada con el pago desde un Mac a un iPhone o Apple Watch, mediante Handoff, Apple Pay utiliza el protocolo del servicio de identidad (IDS) de Apple encriptado de punto a punto para transmitir la información relacionada con el pago entre el Mac del usuario y el dispositivo autorizador. El cliente IDS del Mac utiliza las claves del dispositivo del usuario (no disponibles para Apple) con el fin de realizar la encriptación, de manera que ningún otro dispositivo pueda desencriptar esa información. Al detectar el dispositivo que se utiliza para continuar con la operación de Apple Pay mediante Handoff, se obtiene el tipo y el identificador único de las tarjetas de crédito del usuario junto con otros metadatos. El número de cuenta del dispositivo correspondiente a la tarjeta del usuario no se comparte y sigue estando almacenado de forma segura en el iPhone o Apple Watch. Apple también transfiere de forma segura las direcciones de contacto, envío y facturación del usuario utilizadas recientemente mediante el llavero de iCloud.

Cuando el usuario autoriza un pago mediante Face ID, Touch ID o el código, o pulsa dos veces el botón lateral del Apple Watch, se transmite de forma segura un identificador de pago (encriptado exclusivamente para el certificado comercial de cada sitio web) desde el iPhone o Apple Watch del usuario hasta su Mac y, a continuación, se envía al sitio web del beneficiario.

Solo los dispositivos que se encuentran a poca distancia entre sí pueden solicitar un pago completo. La proximidad se determina mediante avisos de Bluetooth de baja energía (BLE).

Pagos automáticos e identificadores del comercio

En iOS 16 o posterior, las apps y sitios web que ofrecen Apple Pay pueden aprovechar los identificadores del comercio de Apple Pay que permiten realizar pagos seguros de forma coherente en todos los dispositivos de un usuario. La hoja de pago actualizada de Apple Pay en iOS 16 también optimiza las experiencias de pago preautorizado. Los nuevos tipos de transacciones de la API de Apple Pay permiten a los desarrolladores de apps y sitios web ajustar la experiencia de la hoja de pago para suscripciones, facturas periódicas, pagos a plazos y recargas automáticas de los saldos de la tarjeta.

Los identificadores del comercio no son específicos del dispositivo y, por tanto, permiten la continuidad de los pagos recurrentes si el usuario elimina una tarjeta de pago del dispositivo.

Pagos a varios comercios

En iOS 16 o posterior, Apple Pay incluye la posibilidad de especificar importes de compra para varios comercios dentro de una única hoja de pago de Apple Pay. Esto ofrece la flexibilidad de permitir a los clientes hacer una compra agrupada, como un paquete de viaje con vuelo, coche de alquiler y hotel, y luego enviar los pagos a los comercios individuales.