Pagos con tarjeta mediante Apple Pay
Apple Pay se puede usar para pagar las compras hechas en tiendas, dentro de apps y en sitios web.
Pagar con tarjetas en tiendas
Si el iPhone o el Apple Watch está encendido y detecta un campo NFC, mostrará al usuario la tarjeta solicitada (si la selección automática de esa tarjeta está activada) o bien la tarjeta predeterminada (que se administra desde Configuración). El usuario también puede ir a Apple Wallet y seleccionar una tarjeta; o cuando el dispositivo esté bloqueado, puede realizar lo siguiente:
Presionar dos veces el botón lateral, en los dispositivos con Face ID.
Presionar dos veces el botón de inicio, en los dispositivos con Touch ID.
Usar las funciones de accesibilidad que permiten el uso de Apple Pay desde la pantalla bloqueada.
A continuación, antes de que se transmita información, el usuario deberá autenticarse mediante Face ID, Touch ID o el código del dispositivo. Si el Apple Watch está desbloqueado, presionar dos veces el botón lateral hace que se active la tarjeta predeterminada para realizar el pago. No se envía ninguna información de pago sin la autenticación del usuario.
Una vez que el usuario se ha autenticado, se utiliza el número de cuenta del dispositivo y un código de seguridad dinámico específico para cada transacción. Ni Apple ni ningún dispositivo del usuario enviarán los números completos de la tarjeta de crédito o débito a los beneficiarios. Puede que Apple reciba información anónima relacionada con la transacción como, por ejemplo, la ubicación y la hora aproximada en la que se realizó. Esta información sirve de ayuda para mejorar Apple Pay, así como otros productos y servicios de Apple.
Pagar con tarjetas en las apps
También se puede usar Apple Pay para realizar pagos dentro de las apps en iPhone, iPad, Mac y Apple Watch. Cuando los usuarios pagan dentro de apps usando Apple Pay, Apple recibe la información de la transacción encriptada. Antes de que se envíe información al desarrollador o al comerciante, Apple vuelve a encriptar la transacción con una clave específica del desarrollador. Apple Pay guarda información sobre la transacción de forma anónima como, por ejemplo, el importe aproximado de la compra. Esta información no permite identificar al usuario y nunca incluye lo que se compró.
Cuando una app inicia una transacción de pago de Apple Pay, los servidores de Apple Pay reciben la transacción encriptada desde el dispositivo antes de que el beneficiario la reciba. A continuación, los servidores de Apple Pay vuelven a encriptar la transacción con la clave específica del beneficiario antes de transmitirla.
Cuando una app solicita un pago, llama a una API para determinar si el dispositivo es compatible con Apple Pay y si la tarjeta de crédito o débito del usuario puede utilizarse para realizar pagos en una red de pago que acepte el beneficiario. La app solicita todos los datos que necesita para procesar y completar la transacción tal como las direcciones de envío y facturación, o la información de contacto. A continuación, la app pide a iOS, iPadOS o watchOS que presente la hoja de Apple Pay, que solicita información para la app, así como otra información necesaria, como la tarjeta que se va a utilizar.
Es entonces cuando la app muestra la información relacionada con la ciudad, el país y el código postal para calcular los gastos de envío finales. Sin embargo, no recibe toda la información solicitada hasta que el usuario autoriza el pago mediante Face ID, Touch ID o el código del dispositivo. Una vez autorizado el pago, la información que se muestra en la hoja de Apple Pay se envía al beneficiario.
Autorización de pagos en apps
Cuando el usuario autoriza el pago, se envía un aviso a los servidores de Apple Pay para obtener un valor único criptográfico, que se parece al valor que devuelve la terminal NFC y que se utiliza para realizar transacciones en las tiendas. El valor único, junto con otros datos de la transacción, se transfieren al Secure Element para calcular una credencial de pago que se encripta mediante una clave de Apple. La credencial de pago encriptada se devuelve a los servidores de Apple Pay, que la desencriptan, cotejan su valor único enviado inicialmente por los servidores de Apple Pay y la encriptan de nuevo con la clave del beneficiario asociada a su ID. Después, el pago se regresa al dispositivo, que se encarga de devolverlo a la app mediante la API. A continuación, la app se la facilita al sistema del beneficiario para que la procese. En ese momento, el beneficiario podrá desencriptar la credencial de pago con la ayuda de su clave privada para procesarla. Esto, en combinación con la firma de los servidores de Apple, permite que el beneficiario verifique que él es el destinatario de la transacción.
Las API requieren una autorización en la que se indiquen los ID compatibles del beneficiario. Las apps también pueden incluir datos adicionales (como número de pedido o identidad del cliente) para enviarlos a Secure Element para su firma, a fin de asegurar que la transacción no se envíe a un cliente distinto. Esto lo lleva a cabo el desarrollador de la app, quien puede especificar applicationData en PKPaymentRequest. En los datos de pago encriptados, se incluye un hash de estos datos. A continuación, el beneficiario será responsable de verificar que su hash de applicationData coincida con el de los datos de pago.
Pagar con tarjetas en sitios web
Apple Pay se puede usar para realizar pagos en sitios web en dispositivos iPhone, iPad, Apple Watch y computadoras Mac con Touch ID. Las transacciones de Apple Pay también se pueden iniciar en una Mac y completarse en un iPhone compatible con Apple Pay, o un Apple Watch que utilice la misma cuenta de iCloud.
Apple Pay en la web requiere que todos los sitios web participantes se registren con Apple. Después del registro del dominio, la validación del nombre de dominio se realiza sólo después de que Apple emite un certificado de cliente TLS. Los sitios web que soportan Apple Pay deben publicar su contenido a través de HTTPS. Para cada transacción de pago, los sitios web necesitan obtener una sesión de comerciante única y segura con un servidor de Apple utilizando el certificado de cliente TLS emitido por Apple. Los datos de la sesión del comerciante están firmados por Apple. Una vez que se verifica la firma de una sesión de comerciante, un sitio web podría revisar si el usuario tiene un dispositivo compatible con Apple Pay y si tiene una tarjeta de crédito, débito o prepago activa en el dispositivo. No se comparte ninguna otra información. Si el usuario no desea compartir esta información, puede desactivar las consultas de Apple Pay en la configuración de privacidad de Safari en dispositivos iPhone, iPad y Mac.
Una vez que se valida una sesión de comerciante, todas las medidas de privacidad y seguridad son las mismas que cuando un usuario paga en una app.
Si el usuario transmite información relacionada con el pago desde una Mac a un iPhone o Apple Watch, Handoff de Apple Pay utiliza el protocolo del servicio de identidad (IDS) de Apple con encriptado de extremo a extremo para transmitir la información relacionada con el pago entre la Mac del usuario y el dispositivo de autorización. El cliente del IDS en la Mac utiliza las claves de dispositivo del usuario para realizar el encriptado, por lo que ningún otro dispositivo puede desencriptar esta información y las claves no están disponibles para Apple. La detección de dispositivos para la función Handoff de Apple Pay contiene el tipo e identificador único de las tarjetas de crédito del usuario junto con algunos metadatos. El número de cuenta específico del dispositivo de la tarjeta del usuario no se comparte y se conserva almacenado de forma segura en el iPhone o Apple Watch del usuario. Apple también transfiere de forma segura las direcciones de contacto, envío y facturación usadas recientemente por el usuario a través del llavero de iCloud.
Una vez que el usuario autoriza el pago con Face ID, Touch ID o el código del dispositivo, o presiona dos veces el botón lateral del Apple Watch, se envía de forma segura un identificador de pago encriptado único al certificado de comerciante de cada sitio web desde el iPhone o Apple Watch del usuario a la Mac y luego se envía al sitio web del comerciante.
Sólo los dispositivos cercanos pueden solicitar y completar el pago. La proximidad se determina a través de los anuncios de Bluetooth de baja energía (BLE).