Membayar dengan kartu menggunakan Apple Pay
Apple Pay dapat digunakan untuk membayar pembelian di toko, dalam app, dan di situs web.
Membayar dengan kartu di toko
Jika iPhone atau Apple Watch menyala dan mendeteksi area NFC, perangkat akan memberi pengguna kartu yang diminta (jika pilihan otomatis dinyalakan untuk kartu tersebut) atau kartu default, yang dikelola di Pengaturan. Pengguna juga dapat membuka Dompet Apple dan memilih kartu, atau saat perangkat dikunci, dapat:
Mengeklik dua kali tombol samping di perangkat dengan Face ID
Mengeklik dua kali tombol Utama di perangkat dengan Touch ID
Menggunakan fitur Aksesibilitas yang memungkinkan Apple Pay dari Layar Terkunci
Selanjutnya, sebelum informasi pembayaran dikirimkan, pengguna harus mengesahkan menggunakan Face ID, Touch ID, atau kode sandi mereka. Setelah Apple Watch dibuka, kartu default untuk pembayaran akan diaktifkan jika tombol samping diklik dua kali. Tidak ada informasi pembayaran yang dikirimkan tanpa pengesahan pengguna.
Setelah pengguna mengesahkan, Nomor Akun Perangkat dan kode keamanan dinamis khusus transaksi akan digunakan saat memproses pembayaran. Apple atau perangkat pengguna tidak akan mengirim nomor lengkap kartu kredit atau debit ke penjual. Apple dapat menerima informasi transaksi anonim seperti perkiraan waktu dan lokasi transaksi, yang membantu Apple Pay dan produk serta layanan Apple lainnya.
Membayar dengan kartu dalam app
Apple Pay juga dapat digunakan untuk melakukan pembayaran di app iPhone, iPad, dan Apple Watch. Saat pengguna membayar dalam app menggunakan Apple Pay, Apple menerima informasi transaksi terenkripsi. Sebelum informasi tersebut dikirimkan ke pengembang atau penjual, Apple mengenkripsi ulang transaksi dengan kunci khusus pengembang. Apple Pay akan menyimpan informasi transaksi anonim, seperti perkiraan jumlah pembelian. Informasi ini tidak dapat dikaitkan ke pengguna dan tidak akan menyertakan apa yang dibeli pengguna.
Saat app memulai transaksi pembayaran Apple Pay, server Apple Pay akan menerima transaksi terenkripsi dari perangkat sebelum penjual menerimanya. Server Apple Pay kemudian akan mengenkripsinya kembali dengan kunci khusus penjual sebelum mengirimkannya ke penjual.
Ketika app meminta pembayaran, app memanggil API untuk menentukan apakah perangkat mendukung Apple Pay dan apakah pengguna memiliki kartu kredit atau debit yang dapat digunakan untuk membayar di jaringan pembayaran yang diterima oleh penjual. App meminta informasi yang diperlukan untuk memproses dan melengkapi transaksi, seperti alamat penagihan dan pengiriman, dan informasi kontak. App kemudian akan meminta iOS, iPadOS, atau watchOS untuk mengeluarkan lembar Apple Pay, yang akan meminta informasi untuk app, serta informasi lainnya yang diperlukan, seperti kartu yang akan digunakan.
Pada tahap ini, app akan diberi informasi kota, negara bagian, dan kode pos untuk menghitung total biaya pengiriman. Informasi lengkap tidak akan diberikan kepada app hingga pengguna mengesahkan pembayaran dengan Face ID, Touch ID, atau kode sandi perangkat. Setelah pembayaran disahkan, informasi yang diberikan di lembar Apple Pay akan ditransfer ke penjual.
Pengesahan pembayaran app
Ketika pengguna mengesahkan pembayaran, panggilan akan dilakukan ke server Apple Pay untuk mendapatkan nonce kriptografis, yang mirip dengan nilai yang dikembalikan oleh terminal NFC yang digunakan untuk transaksi dalam toko. Nonce, bersama dengan data transaksi lainnya, diteruskan ke Elemen Aman untuk mengomputasi info pengesahan pembayaran yang dienkripsi dengan kunci Apple. Info pengesahan pembayaran terenkripsi dikembalikan ke server Apple Pay, yang mendekripsi info pengesahan, memverifikasi nonce di info pengesahan berdasarkan nonce yang pada awalnya dikirimkan oleh server Apple Pay, dan mengenkripsi ulang info pengesahan pembayaran dengan kunci penjual yang dikaitkan dengan ID Penjual. Lalu, pembayaran akan dikembalikan ke perangkat, yang akan menyerahkannya kembali ke app melalui API. App kemudian akan meneruskannya ke sistem penjual untuk diproses. Penjual dapat mendekripsi info pengesahan pembayaran dengan kunci pribadinya untuk diproses. Ini, bersama dengan tanda tangan dari server Apple, memungkinkan penjual untuk memverifikasi transaksi yang ditujukan untuk penjual ini.
API memerlukan hak yang menetapkan ID Penjual yang didukung. App juga dapat menyertakan data tambahan (seperti nomor pesanan atau identitas konsumen) untuk dikirimkan ke Elemen Aman untuk ditandatangani, sehingga memastikan bahwa transaksi tidak dapat dialihkan ke konsumen lain. Hal ini dapat dilakukan oleh pengembang app, yang dapat menetapkan applicationData di PKPaymentRequest. Hash dari data ini disertakan di data pembayaran terenkripsi. Penjual kemudian bertanggung jawab untuk memverifikasi bahwa hash applicationData cocok dengan apa yang disertakan di data pembayaran.
Membayar dengan kartu di situs web
Apple Pay dapat digunakan untuk melakukan pembayaran di situs web di iPhone, iPad, Apple Watch, dan komputer Mac dengan Touch ID. Transaksi Apple Pay juga dapat dimulai di Mac dan diselesaikan di iPhone atau Apple Watch dengan Apple Pay yang diaktifkan menggunakan akun iCloud yang sama.
Apple Pay di web mengharuskan semua situs web yang berpartisipasi untuk mendaftar ke Apple. Setelah domain terdaftar, validasi nama domain dilakukan hanya setelah Apple menerbitkan sertifikat klien TLS. Situs web yang mendukung Apple Pay diharuskan untuk menyajikan konten mereka melalui HTTPS. Untuk setiap transaksi pembayaran, situs web harus mendapatkan sesi penjual yang aman dan unik dengan server Apple menggunakan sertifikat klien TLS yang diterbitkan Apple. Data sesi penjual ditandatangani oleh Apple. Setelah tanda tangan sesi penjual diverifikasi, situs web dapat bertanya apakah pengguna memiliki perangkat yang mendukung Apple Pay dan apakah terdapat kartu prabayar, debit, atau kredit yang diaktifkan di perangkat tersebut. Tidak ada detail lainnya yang dibagikan. Jika pengguna tidak ingin membagikan informasi ini, mereka dapat menonaktifkan permintaan Apple Pay di pengaturan privasi Safari di perangkat iPhone, iPad, dan Mac.
Setelah sesi penjual divalidasi, semua langkah privasi dan keamanan berlangsung sama seperti ketika pengguna membayar di dalam app.
Jika pengguna mengirimkan informasi terkait pembayaran dari Mac ke iPhone atau Apple Watch, Handoff Apple Pay menggunakan protokol Layanan Identitas (IDS) Apple terenkripsi ujung ke ujung untuk mengirimkan informasi terkait pembayaran antara Mac pengguna dan perangkat memberi pengesahan. Klien IDS di Mac menggunakan kunci perangkat pengguna untuk menjalankan enkripsi sehingga tidak ada perangkat lainnya dapat mendekripsi informasi ini, dan kunci tersebut tidak tersedia bagi Apple. Penemuan perangkat untuk Handoff Apple Pay melibatkan informasi mengenai jenis dan pengenal unik dari kartu kredit pengguna serta beberapa metadata. Nomor akun khusus perangkat dari kartu pengguna tidak dibagikan dan terus disimpan dengan aman di iPhone atau Apple Watch pengguna. Apple juga dengan aman mentransfer alamat kontak, pengiriman, dan penagihan pengguna yang baru digunakan melalui Rantai Kunci iCloud.
Setelah pengguna mengesahkan pembayaran menggunakan Face ID, Touch ID, kode sandi, atau mengeklik tombol samping dua kali di Apple Watch, token pembayaran yang dienkripsi secara unik ke sertifikat penjual milik setiap situs web dikirimkan secara aman dari iPhone atau Apple Watch pengguna ke Mac mereka dan kemudian dikirimkan ke situs web penjual.
Hanya perangkat yang saling berdekatan yang dapat meminta dan menyelesaikan pembayaran. Jarak ditetapkan melalui penerapan Bluetooth Rendah Energi (BLE).