Pagos con tarjeta mediante Apple Pay
Apple Pay se puede usar para pagar las compras hechas en tiendas, dentro de apps y en sitios web.
Pagar con tarjetas en tiendas
Si el iPhone o el Apple Watch está encendido y detecta un campo NFC, mostrará al usuario la tarjeta solicitada (si la selección automática de esa tarjeta está activada) o bien la tarjeta predeterminada (que se administra desde Configuración). El usuario también puede ir a Apple Wallet y seleccionar una tarjeta; o cuando el dispositivo esté bloqueado, puede realizar lo siguiente:
Presionar dos veces el botón lateral, en los dispositivos con Face ID.
Presionar dos veces el botón de inicio, en los dispositivos con Touch ID.
Usar las funciones de accesibilidad que permiten el uso de Apple Pay desde la pantalla bloqueada.
A continuación, antes de que se transmita información, el usuario deberá autenticarse mediante Face ID, Touch ID o el código del dispositivo. Si el Apple Watch está desbloqueado, presionar dos veces el botón lateral hace que se active la tarjeta predeterminada para realizar el pago. No se envía ninguna información de pago sin la autenticación del usuario.
Una vez que el usuario se ha autenticado, se utiliza el número de cuenta del dispositivo y un código de seguridad dinámico específico para cada transacción. Ni Apple ni ningún dispositivo del usuario enviarán los números completos de la tarjeta de crédito o débito a los beneficiarios. Puede que Apple reciba información anónima relacionada con la transacción como, por ejemplo, la ubicación y la hora aproximada en la que se realizó. Esta información sirve de ayuda para mejorar Apple Pay, así como otros productos y servicios de Apple.
Pagar con tarjetas en las apps
También se puede usar Apple Pay para realizar pagos en apps de iOS, iPadOS, macOS y watchOS. Cuando los usuarios pagan dentro de apps usando Apple Pay, Apple recibe la información de la transacción encriptada para poder dirigirla al desarrollador o comercio. Antes de que se envíe información al desarrollador o al comerciante, Apple vuelve a encriptar la transacción con una clave específica del desarrollador. Apple Pay guarda información sobre la transacción de forma anónima como, por ejemplo, el importe aproximado de la compra. Esta información no permite identificar al usuario y nunca incluye lo que se compró.
Cuando una app inicia una transacción de pago de Apple Pay, los servidores de Apple Pay reciben la transacción encriptada desde el dispositivo antes de que el beneficiario la reciba. A continuación, los servidores de Apple Pay vuelven a encriptar la transacción con la clave específica del beneficiario antes de transmitirla.
Cuando una app solicita un pago, llama a una API para determinar si el dispositivo es compatible con Apple Pay y si la tarjeta de crédito o débito del usuario puede utilizarse para realizar pagos en una red de pago que acepte el beneficiario. La app solicita todos los datos que necesita para procesar y completar la transacción tal como las direcciones de envío y facturación, o la información de contacto. A continuación, la app pide a iOS, iPadOS, macOS o watchOS que presente la hoja de Apple Pay, que solicita información para la app, así como otra información necesaria (como la tarjeta que se va a utilizar).
Es entonces cuando la app muestra la información relacionada con la ciudad, el país y el código postal para calcular los gastos de envío finales. Sin embargo, no recibe toda la información solicitada hasta que el usuario autoriza el pago mediante Face ID, Touch ID o el código del dispositivo. Una vez autorizado el pago, la información que se muestra en la hoja de Apple Pay se envía al beneficiario.
Pagar con tarjetas en App Clips
Un App Clip es una porción de una app que permite que un usuario realice una tarea rápidamente (como rentar una bici o pagar el estacionamiento) sin tener que descargar una app completa. Si un App Clip admite pagos, el usuario puede usar Iniciar sesión con Apple y luego hacer un pago con Apple Pay. Cuando un usuario realiza un pago desde un App Clip, las medidas de privacidad y seguridad son las mismas que cuando paga dentro de una app.
Cómo los usuarios autorizan pagos y los comercios los verifican
Los usuarios y los comercios garantizan la seguridad de un pago mediante la transmisión de información a los servidores de Apple, el Secure Element, el dispositivo y la API de la app. En primera instancia, cuando el usuario autoriza el pago en una app, esta llama a los servidores de Apple Pay para obtener un valor de antirreproducción criptográfico. El servidor envía este valor y otros datos de la transacción al Secure Element con la finalidad de calcular una credencial de pago que se encripta mediante una clave de Apple. A continuación, el Secure Element devuelve la credencial a los servidores de Apple Pay para que se desencripte, se verifique su valor de antirreproducción (comparándolo con el valor que los servidores de Apple Pay enviaron originalmente) y se vuelva a encriptar con la clave de comercio asociada al ID del comerciante. Después, los servidores de Apple devuelven el pago al dispositivo para que se transmita a la API de la app y,de ahí, al sistema del comercio para su procesamiento. El comercio desencripta la credencial de pago para verificar que sea el destinatario correcto de la transacción.
Las API requieren una autorización en la que se indiquen los ID compatibles del beneficiario. Las apps también pueden incluir datos adicionales (como número de pedido o identidad del cliente) para enviarlos a Secure Element para su firma, a fin de asegurar que la transacción no se envíe a un cliente distinto. Esto lo lleva a cabo el desarrollador de la app, quien puede especificar applicationData en PKPaymentRequest. En los datos de pago encriptados, se incluye un hash de estos datos. A continuación, el beneficiario será responsable de verificar que su hash de applicationData coincida con el de los datos de pago.
Pagar con tarjetas en sitios web
Apple Pay se puede usar para realizar pagos en sitios web en dispositivos iPhone, iPad, Apple Watch y computadoras Mac con Touch ID. Las transacciones de Apple Pay también se pueden iniciar en una Mac y completarse en un iPhone compatible con Apple Pay, o un Apple Watch que utilice la misma cuenta de iCloud.
Apple Pay en la web requiere que todos los sitios web participantes se registren con Apple. Después del registro del dominio, la validación del nombre de dominio se realiza sólo después de que Apple emite un certificado de cliente TLS. Los sitios web que soportan Apple Pay deben publicar su contenido a través de HTTPS. Para cada transacción de pago, los sitios web necesitan obtener una sesión de comerciante única y segura con un servidor de Apple utilizando el certificado de cliente TLS emitido por Apple. Los datos de la sesión del comerciante están firmados por Apple. Una vez que se verifica la firma de una sesión de comerciante, un sitio web podría revisar si el usuario tiene un dispositivo compatible con Apple Pay y si tiene una tarjeta de crédito, débito o prepago activa en el dispositivo. No se comparte ninguna otra información. Si el usuario no desea compartir esta información, puede desactivar las consultas de Apple Pay en la configuración de privacidad de Safari en dispositivos iPhone, iPad y Mac.
Una vez que se valida una sesión de comerciante, todas las medidas de privacidad y seguridad son las mismas que cuando un usuario paga en una app.
Si el usuario transmite información relacionada con el pago desde una Mac a un iPhone o Apple Watch, Handoff de Apple Pay utiliza el protocolo del servicio de identidad (IDS) de Apple con encriptado de extremo a extremo para transmitir la información relacionada con el pago entre la Mac del usuario y el dispositivo de autorización. El cliente del IDS en la Mac utiliza las claves del dispositivo del usuario para realizar la encriptación, por lo que ningún otro dispositivo puede desencriptar esta información y las claves no están disponibles para Apple. La detección de dispositivos para la función Handoff de Apple Pay contiene el tipo e identificador único de las tarjetas de crédito del usuario junto con algunos metadatos. El número de cuenta del dispositivo definido en la tarjeta del usuario no se comparte y se conserva almacenado de forma segura en el iPhone o Apple Watch del usuario. Apple también transfiere de forma segura las direcciones de contacto, envío y facturación usadas recientemente por el usuario a través del llavero de iCloud.
Una vez que el usuario autoriza un pago con Face ID, Touch ID o el código del dispositivo, o bien presiona dos veces el botón lateral del Apple Watch, se transmite de forma segura desde el iPhone o Apple Watch del usuario a su Mac un identificador de pago, encriptado de forma única para el certificado de comerciante de cada sitio web, que luego se entrega al sitio web del comerciante.
Sólo los dispositivos cercanos pueden solicitar y completar el pago. La proximidad se determina a través de los anuncios de Bluetooth de baja energía (BLE).
Pagos automáticos y tokens de comercios
En iOS 16 o versiones posteriores, las apps y los sitios web que ofrecen Apple Pay pueden usar los tokens de comercio, que permiten ofrecer pagos seguros de forma consistente en todos los dispositivos de un usuario. La hoja de pago actualizada de Apple Pay de iOS 16 también optimiza la experiencia de uso de pagos preautorizados. Los nuevos tipos de transacciones disponibles en la API de Apple Pay permiten a los desarrolladores de apps y sitios web ajustar la experiencia de la hoja de pago ya sea para suscripciones, pagos recurrentes, pagos a plazos o recargas automáticas de tarjetas.
Los tokens de comercio no son específicos de un dispositivo, por lo que admiten continuidad en los pagos recurrentes en caso de que un usuario elimine una tarjeta de pago del dispositivo.
Pagos a varios comercios
En iOS 16 o versiones posteriores, Apple Pay incluye la posibilidad de especificar montos de compra para varios comercios en una sola hoja de pago de Apple Pay. Esto ofrece la flexibilidad necesaria para permitir que los clientes realicen compras combinadas, como por ejemplo un paquete de viaje con vuelo, renta de auto y hotel que envía los pagos a los comercios individuales.