Tap to Pay on iPhone 보안
iOS 15.4에서 사용 가능한 Tap to Pay on iPhone은 미국 거래처가 iPhone 및 파트너사가 활성화한 iOS앱을 사용하여 Apple Pay 및 기타 비접촉식 결제를 승인할 수 있게 허용합니다. 이 서비스를 사용하면 지원되는 iPhone 기기 사용자는 비접촉식 결제 및 Apple Pay NFC가 활성화된 패스를 안전하게 승인할 수 있습니다. Tap to Pay on iPhone이 있으면 거래처는 비접촉식 결제를 승인하기 위해서 별도의 하드웨어가 필요하지 않습니다.
Tap to Pay on iPhone은 결제자의 개인정보를 보호할 수 있도록 설계되었습니다. 이 서비스는 결제자와 관련이 있을 수 있는 거래 내역 정보를 수집하지 않습니다. 신용/체크 카드 번호(PAN)와 같은 결제 카드 정보는 Secure Element에 의해 보호되며 거래처에게 제공되지 않습니다. 결제 카드 정보는 거래처의 결제 서비스 제공자, 결제자 및 카드 발급처 간에만 공유됩니다. 또한, Tap to Pay 서비스는 결제자의 이름, 주소 또는 전화번호를 수집하지 않습니다.
Tap to Pay on iPhone은 공인받은 보안 연구소에서 외부 평가를 받고 American Express, Discover, Mastercard 및 Visa에 의해 승인받았습니다.
비접촉식 결제 요소 보안
Secure Element: Secure Element[Apple Pay Secure Element 섹션 링크]는 비접촉식 결제 카드 데이터를 읽고 보호하는 결제 커널을 호스트합니다.
NFC 컨트롤러: NFC 컨트롤러는 근거리 무선 통신(NFC) 프로토콜을 처리하며 응용 프로그램 프로세서와 Secure Element 간의 통신 및 Secure Element와 비접촉식 결제 카드 간의 통신을 전달합니다.
Tap to Pay on iPhone 서버: Tap to Pay on iPhone 서버는 기기의 결제 커널 설치 및 권한 설정을 관리합니다. 서버는 Tap to Pay on iPhone 기기의 보안도 결제 카드 산업 보안 표준 위원회(PCI SSC)의 CPoC(Contactless Payments on COTS) 표준과 호환되고 PCI DSS를 준수하는 방식으로 결제를 모니터링합니다.
Tap to Pay가 신용 카드, 체크 카드 및 선불 카드를 읽는 방법
권한 설정 보안 개요
충분히 권한이 있는 앱을 사용해서 처음으로 Tap to Pay on iPhone을 사용하면 Tap to Pay on iPhone 서버는 기기가 기기 모델 및 iOS 버전과 같은 자격 기준을 만족하는지 및 암호를 설정했는지 확인합니다. 인증이 완료된 후 결제 승인 애플릿은 Tap to Pay on iPhone 서버에서 다운로드되고 관련된 결제 커널 구성과 함께 Secure Element에 설치됩니다. 이 작업은 Tap to Pay on iPhone 서버와 Secure Element 간에 안전하게 수행됩니다. Secure Element는 설치 전에 데이터의 무결성 및 신뢰성을 확인합니다.
카드 읽기 보안 개요
Tap to Pay on iPhone 앱이 ProximityReader 프레임워크로부터 카드 읽기를 요청하면 iOS가 관리하는 시트가 표시되고 결제 카드를 탭하도록 사용자에게 요청합니다. iOS는 결제 카드 리더기를 초기화한 다음 Secure Element의 결제 커널에 카드 읽기 시작을 요청합니다.
이 시점에서 Secure Element는 읽기 모드의 NFC 컨트롤러를 제어합니다. 이 모드에는 카드 데이터만 NFC 컨트롤러를 통해서 결제 카드와 Secure Element 간에 교환이 허용됩니다. 이 모드에서는 결제 카드 읽기만 가능합니다.
Secure Element에서 결제 승인 애플릿은 카드 읽기를 완료한 뒤 카드 데이터를 암호화하고 서명합니다. 카드 데이터는 결제 서비스 제공자에게 도달하기 전까지는 암호화되고 인증된 상태를 유지합니다. 앱에 의해 카드 읽기를 요청받은 결제 서비스 제공자만이 카드 데이터의 암호화를 해제할 수 있습니다. 결제 서비스 제공자는 카드 데이터 암호화 해제 키를 Tap to Pay on iPhone 서버로부터 요청해야 합니다. 데이터의 무결성 및 신뢰성을 확인하고 기기에서 카드를 읽은 지 60초 이내에 카드 읽기가 이뤄졌는지 확인한 다음, Tap to Pay on iPhone 서버는 암호화 해제 키를 결제 서비스 제공자에게 발신합니다.
이 모델은 거래처를 위한 거래 내역을 처리하는 결제 서비스 제공자를 제외한 누군가가 카드 데이터를 암호화 해제할 수 없도록 돕습니다.