Tinjauan keamanan penyediaan kartu
Saat pengguna menambahkan kartu prabayar, debit, atau kredit (termasuk kartu toko) ke Dompet Apple, Apple akan mengirimkan informasi kartu dengan aman, bersama dengan informasi lainnya mengenai akun dan perangkat pengguna, ke penerbit kartu atau penyedia layanan resmi dari penerbit kartu (biasanya jaringan pembayaran). Penerbit kartu (atau penyedia layanannya) akan menentukan apakah mereka akan menyetujui penambahan kartu ke Dompet Apple atau tidak dengan menggunakan informasi tersebut. Sebagai bagian dari proses penyediaan kartu, Apple Pay menggunakan tiga panggilan di server untuk mengirimkan dan menerima komunikasi dengan penerbit kartu atau jaringan pembayaran:
Bidang yang Diperlukan
Periksa Kartu
Penautan dan Penyediaan
Penerbit kartu atau jaringan pembayaran menggunakan tiga panggilan ini untuk mengaktifkan penerbit kartu agar dapat memverifikasi, menyetujui, dan menambahkan kartu ke Dompet Apple. Sesi klien-server ini menggunakan TLS 1.2 untuk mentransfer data.
Nomor lengkap kartu tidak disimpan di perangkat atau di server Apple Pay. Sebagai gantinya, Nomor Akun Perangkat unik dibuat, dienkripsi, dan kemudian disimpan di Elemen Aman. Nomor Akun Perangkat unik ini dienkripsi dengan cara yang tidak memungkinkan Apple untuk mengaksesnya. Nomor Akun Perangkat bersifat unik dan berbeda dari sebagian besar nomor kartu kredit atau debit; jaringan penerbit kartu atau pembayaran dapat mencegah penggunaannya pada kartu garis magnetis, melalui telepon, atau di situs web. Nomor Akun Perangkat di Elemen Aman tidak pernah disimpan di server Apple Pay atau dicadangkan ke iCloud, dan diisolasi dari iOS, iPadOS, dan watchOS serta dari komputer Mac dengan Touch ID dan komputer Mac dengan Apple silicon yang menggunakan Magic Keyboard dengan Touch ID.
Kartu yang diperuntukkan bagi Apple Watch disediakan kepada Apple Pay menggunakan app Apple Watch di iPhone, atau di dalam app iPhone penerbit kartu. Untuk menambahkan kartu ke Apple Watch, jam harus berada di jangkauan komunikasi Bluetooth. Kartu didaftarkan secara khusus untuk digunakan dengan Apple Watch dan memiliki Nomor Akun Perangkat-nya sendiri, yang disimpan di dalam Elemen Aman di Apple Watch.
Jika kartu kredit, debit, atau prabayar (termasuk kartu toko) ditambahkan, kartu tersebut akan muncul di daftar kartu selama Asisten Pengaturan di perangkat yang masuk ke akun iCloud yang sama. Kartu ini tetap berada di daftar ini selama berstatus aktif setidaknya di satu perangkat. Kartu dihapus dari daftar ini setelah dihapus dari semua perangkat selama 7 hari. Fitur ini mengharuskan autentikasi dua faktor untuk diaktifkan di akun iCloud masing-masing.