Sécurité de « Paiement rapide sur iPhone »
« Paiement rapide sur iPhone », disponible avec iOS 15.4 ou une version ultérieure, permet aux commerçants américains d’accepter Apple Pay et d’autres paiements sans contact en utilisant l’iPhone et une app iOS compatible avec un partenaire. Grâce à ce service, les utilisateurs d’appareils iPhone compatibles peuvent accepter en toute sécurité les paiements sans contact et les cartes Apple Pay compatibles avec la technologie CCP. Avec la fonction « Paiement rapide sur iPhone », les commerçants n’ont pas besoin de matériel supplémentaire pour accepter les paiements sans contact.
« Paiement rapide sur iPhone » est aussi conçu pour protéger les renseignements personnels de l’utilisateur. Ce service ne conserve aucune donnée de transaction qui pourrait permettre d’identifier le payeur. Les informations relatives aux cartes de paiement telles que le numéro de carte de crédit ou de débit (PAN) sont sécurisées par le Secure Element et ne sont pas visibles sur l’appareil du commerçant. Les informations relatives à la carte de paiement restent entre le fournisseur de services de paiement du commerçant, ainsi qu’entre le payeur et l’émetteur de la carte. En outre, le service « Paiement rapide » ne collecte pas les noms, adresses ou numéros de téléphone des payeurs.
La fonctionnalité « Paiement rapide sur iPhone » a fait l’objet d’une évaluation externe par un laboratoire de sécurité accrédité et son utilisation a été approuvée par tous les réseaux de paiement acceptés dans les territoires où elle est disponible.
Sécurité du composant de paiement sans contact
Secure Element : Le Secure Element héberge les noyaux de paiement qui lisent et sécurisent les données de la carte de paiement sans contact.
Contrôleur CCP : Le contrôleur CCP gère les protocoles de communication en champ proche et achemine la communication entre le processeur d’application et le Secure Element, et entre le Secure Element et la carte de paiement sans contact.
Serveurs « Paiement rapide sur iPhone » : Les serveurs « Paiement rapide sur iPhone » gèrent la configuration et le transfert des noyaux de paiement dans l’appareil. Les serveurs contrôlent également la sécurité des appareils dotés de « Paiement rapide sur iPhone » d’une manière compatible avec la norme Contactless Payments on COTS (CPoC) du Payment Card Industry Security Standards Council (PCI SSC) et sont conformes à la norme PCI DSS.
Lecture des cartes de paiement par « Paiement rapide »
Disposition de sécurité de « Paiement rapide »
Lors de la première utilisation de « Paiement rapide sur iPhone » à l’aide d’une app suffisamment autorisée, le serveur « Paiement rapide sur iPhone » détermine si l’appareil répond aux critères d’admissibilité tels que le modèle d’appareil, la version d’iOS et si un code a été défini. Une fois cette vérification terminée, l’applet d’acceptation du paiement est téléchargé à partir du serveur « Paiement rapide sur iPhone » et installé sur l’élément sécurisé, de même que la configuration du noyau de paiement associé. Cette opération est effectuée de manière sécurisée entre les serveurs de « Paiement rapide sur iPhone » et le Secure Element. Le Secure Element valide l’intégrité et l’authenticité de ces données avant l’installation.
Lecture des cartes par « Paiement rapide » en toute sécurité
Lorsqu’une app « Paiement rapide sur iPhone » demande une lecture de carte au cadre d’application ProximityReader, un formulaire contrôlé par iOS s’affiche et invite l’utilisateur à toucher une carte de paiement. Aucune app ne peut lire les capteurs susceptibles de révéler une partie des données de carte sensibles pendant que l’écran de saisie est actif. iOS ouvre le lecteur de carte de paiement, puis demande aux noyaux de paiement du Secure Element de lancer la lecture de la carte.
À ce stade, le Secure Element prend le contrôle du contrôleur CCP et passe en mode lecteur. Ce mode permet d’échanger des données de carte seulement entre la carte de paiement et le Secure Element via le contrôleur CCP. Les cartes de paiement peuvent être lues uniquement dans ce mode.
Une fois que l’applet d’acceptation du paiement sur le Secure Element a terminé la lecture de la carte de paiement, il chiffre et signe les données de la carte. Les données de la carte de paiement restent chiffrées et authentifiées jusqu’à ce qu’elles atteignent le fournisseur de services de paiement. Seul le fournisseur de services de paiement utilisé par l’app pour demander la lecture de la carte est en mesure de déchiffrer les données de la carte de paiement. Le fournisseur de services de paiement doit demander la clé de déchiffrement des données de carte de paiement au serveur « Paiement rapide sur iPhone ». Le serveur « Paiement rapide sur iPhone » émet des clés de déchiffrement au fournisseur de services de paiement après avoir validé l’intégrité et l’authenticité des données, et après avoir vérifié que la carte a été lue dans les 60 secondes suivant la demande de la clé de déchiffrement des données de la carte de paiement.
Ce modèle permet de garantir que les données de la carte de paiement ne peuvent pas être déchiffrées par nul autre que le fournisseur de services de paiement qui traite cette transaction pour le marchand.
Utilisation de la saisie du NIP pour autoriser les transactions
La saisie du NIP, disponible sous iOS 16 ou version ultérieure, permet au payeur de saisir son NIP sur l’appareil du commerçant pour autoriser la transaction. L’écran de saisie du NIP peut être déclenché immédiatement après avoir touché l’appareil, en fonction des informations échangées avec la carte de paiement. Le fournisseur de services de paiement peut également déclencher l’écran de saisie du NIP en fournissant un jeton signé qui n’est valide que pour une seule transaction.
Le mécanisme de saisie du NIP a fait l’objet d’une évaluation externe par un laboratoire de sécurité accrédité et son utilisation a été approuvée par tous les réseaux de paiement acceptés dans les territoires où elle est disponible. L’écran de saisie du NIP est protégé contre les captures d’écran et la copie d’écran, et aucune app ne peut lire les capteurs susceptibles de révéler une partie de la valeur du NIP pendant que l’écran de saisie du NIP est actif.
Les chiffres du NIP saisis sont capturés en toute sécurité par le Secure Element. À l’aide de ces chiffres, le Secure Element crée un bloc NIP chiffré conforme aux normes de l’industrie du paiement. Apple fournit en toute sécurité le bloc NIP chiffré à partir de son serveur, conformément à la norme PCI du NIP, au fournisseur de services de paiement pour un traitement ultérieur.
La valeur du NIP n’est jamais :
disponible pour le commerçant sur son appareil;
déchiffrée par Apple à aucun moment;
stockée par Apple.