Sikkerhet for Tap to Pay på iPhone
Med Tap to Pay på iPhone forhandlere godta Apple Pay og andre kontaktløse betalingsmåter ved hjelp av iPhone og en partneraktivert iPhone-app. Med denne tjenesten kan brukere som har støttede iPhone-enheter, trygt godta kontaktløse betalinger og Apple Pay NFC-aktiverte kort. Med Tap to Pay på iPhone trenger ikke forhandlere ekstra maskinvare for å kunne motta kontaktløse betalinger.
Tap to Pay på iPhone er også designet for å ivareta personopplysningene til den som betaler. Tjenesten samler ikke inn informasjon om transaksjonen som kan knyttes til den som betaler. Informasjon om betalingskort, for eksempel kreditt-/bankkortnummer (PAN), sikres av Secure Element og er ikke synlig for forhandlerens enhet. Informasjonen om betalingskort forblir mellom forhandlerens leverandør av betalingstjenester, den som betaler, samt kortutstederen. I tillegg samler ikke Tap to Pay-tjenesten inn navn, adresse eller telefonnummer for den som betaler.
Tap to Pay on iPhone har blitt vurdert eksternt av et akkreditert sikkerhetslaboratorium og er godkjent for bruk av alle godkjente betalingsnettverk i landene der funksjonen er tilgjengelig.
Sikkerhet for komponenter ved kontaktløs betaling
Secure Element: Secure Element har betalingskjernene som leser og sikrer kortdata for den kontaktløse betalingen.
NFC-kontroller: NFC-kontrolleren håndterer Near Field Communication-protokoller og ruter kommunikasjon mellom applikasjonsprosessoren og Secure Element og mellom Secure Element og det kontaktløse betalingskortet.
Tjenere for Tap to Pay på iPhone: Tjenerne for Tap to Pay på iPhone tar seg av konfigurasjonen og klargjøringen av betalingskjernene i enheten. Tjenerne overvåker også sikkerheten til Tap to Pay on iPhone-enheter i tråd med standarden Contactless Payments on COTS (CPoC) fra Payment Card Industry Security Standards Council (PCI SSC), og de er i samsvar med PCI DSS.
Slik leser Tap to Pay kredittkort, debetkort og forhåndsbetalte kort
Slik ivaretar Tap to Pay sikkerheten
Den første gangen Tap to Pay på iPhone brukes med en kvalifisert app, vil tjeneren for Tap to Pay på iPhone kontrollere om enheten oppfyller kriteriene, for eksempel enhetsmodell, iOS-versjon og om det er angitt en kode. Når denne kontrollen er fullført, lastes appleten for godkjenning av betaling ned fra tjeneren for Tap to Pay på iPhone og installeres på Secure Element sammen med tilknyttet betalingskjernekonfigurasjon. Denne operasjonen utføres sikkert mellom tjenerne Tap to Pay på iPhone og Secure Element. Secure Element kontrollerer dataenes integritet og autentisitet før installasjonen.
Slik leser Tap to Pay kort på en sikker måte
Når en Tap to Pay on iPhone-app ber om at kort leses av ProximityReader-rammeverket, vises et vindu, som kontrolleres av iOS, der brukeren blir bedt om å trykke på et betalingskort. Ingen apper kan lese noen sensorer som kan dele noen av de sensitive kortdataene mens skjermen er aktiv. iOS initialiserer kortleseren for betaling og ber deretter betalingskjernene i Secure Element om å starte lesingen av kortet.
Secure Element tar kontroll over NFC-kontrolleren i lesermodus. Denne modusen fører til at det bare er kortdata som utveksles mellom betalingskortet og Secure Element via NFC-kontrolleren. Betalingskort kan bare leses i denne modusen.
Når appleten for mottak av betaling på Secure Element har lest betalingskortet, krypterer og signerer den kortdataene. Betalingskortdataene forblir krypterte og autentiserte til de kommer til leverandøren av betalingstjenesten. Det er bare leverandøren av betalingstjenesten som brukes av appen som ba om avlesing av kortet, som kan dekryptere betalingskortdataene. Leverandøren av betalingstjenesten må be om dekrypteringsnøkkelen for betalingskortdata fra tjeneren Tap to Pay på iPhone. Tap to Pay on iPhone-tjeneren utsteder dekrypteringsnøkler til leverandøren av betalingstjenesten når dataenes integritet og autentisitet er bekreftet, og når det er bekreftet at kortet ble avlest innen 60 sekunder etter forespørselen om dekrypteringsnøkkelen for betalingskortdataene.
Denne modellen bidrar til å sikre at betalingskortdataene ikke kan dekrypteres av andre enn PSP-en, som behandler transaksjonen for forhandleren.
Bruke PIN-kode til å autorisere transaksjoner
PIN-kode lar betaleren angi PIN-koden sin på forhandlerens enhet for å autorisere transaksjonen. Skjermen for PIN-kode kan vises umiddelbart etter berøringen, basert på informasjonen som utveksles med betalingskortet. Alternativt kan leverandøren av betalingstjenester vise skjermen for PIN-kode ved å levere et signert kjennetegn som bare er gyldig for én bestemt transaksjon.
Mekanismen for å oppgi PIN-kode har blitt vurdert eksternt av et akkreditert sikkerhetslaboratorium og er godkjent for bruk av alle godkjente betalingsnettverk i landene der funksjonen er tilgjengelig. Tap to Pay på iPhone er utviklet for å forhindre at alle funksjoner for skjermbilder og skjermopptak kan registrere informasjon om PIN-koden.
Tallene som angis i PIN-koden, registreres på en sikker måte av Secure Element. Secure Element bruker tallene i PIN-koden til å lage en kryptert PIN-blokk i tråd med standarden for betalingsbransjen. Apple leverer den krypterte PIN-koden til PSP-en på en sikker måte fra et system som er i samsvar med PCI PIN, for videre behandling.
PIN-verdien:
er aldri tilgjengelig for forhandleren på forhandlerens enhet
blir aldri dekryptert av Apple
blir aldri lagret av Apple
Sikre forhandlerenheten når PIN-koden oppgis
Når PIN-koden oppgis, er enheten vendt mot betaleren, og den kan holdes borte fra forhandleren. For å bidra til å beskytte forhandlerenheten og dataene kan forhandleren aktivere Skjermlås for Tap to Pay på iPhone-innstillingen. Dette valget ligger i innstillingene for hver app som støtter Tap to Pay på iPhone. Hvis dette valget aktiveres, låses forhandlerens enhet når skjermen for å oppgi PIN-kode vises. Når betaleren har oppgitt PIN-koden for kortet, må forhandleren låse opp enheten ved hjelp av Face ID, Touch ID eller koden for å fortsette å bruke enheten, noe som sørger for at betaleren ikke har tilgang til forhandlerens enhet.