Sikkerhet for Tap to Pay på iPhone
Med Tap to Pay på iPhone, som er tilgjengelig i iOS 15.4, kan forhandlere i USA godta Apple Pay og andre kontaktløse betalingsmåter ved hjelp av iPhone og en partneraktivert iOS-app. Med denne tjenesten kan brukere som har støttede iPhone-enheter, trygt godta kontaktløse betalinger og Apple Pay NFC-aktiverte kort. Med Tap to Pay på iPhone trenger ikke forhandlere ekstra maskinvare for å kunne motta kontaktløse betalinger.
Tap to Pay på iPhone er også designet for å ivareta personopplysningene til den som betaler. Tjenesten samler ikke inn informasjon om transaksjonen som kan knyttes til den som betaler. Informasjon om betalingskort, for eksempel kreditt-/bankkortnummer (PAN), sikres av Secure Element og er ikke tilgjengelig for forhandleren. Informasjonen om betalingskort forblir mellom forhandlerens leverandør av betalingstjenester, den som betaler, samt kortutstederen. I tillegg samler ikke Tap to Pay-tjenesten inn navn, adresse eller telefonnummer for den som betaler.
Tap to Pay på iPhone har blitt vurdert eksternt av et akkreditert sikkerhetslaboratorium, og funksjonen er godkjent av American Express, Discover, Mastercard og Visa.
Sikkerhet for komponenter ved kontaktløs betaling
Secure Element: Secure Element [lenke til delen om Apple Pay Secure Element] har betalingskjernene som leser og sikrer kortdata for den kontaktløse betalingen.
NFC-kontroller: NFC-kontrolleren håndterer Near Field Communication-protokoller og ruter kommunikasjon mellom applikasjonsprosessoren og Secure Element og mellom Secure Element og det kontaktløse betalingskortet.
Tjenere for Tap to Pay på iPhone: Tjenerne for Tap to Pay på iPhone tar seg av konfigurasjonen og klargjøringen av betalingskjernene i enheten. Tjenerne overvåker også sikkerheten til Tap to Pay på iPhone-enheter i tråd med standarden Contactless Payments on COTS (CPoC) fra Payment Card Industry Security Standards Council (PCI SSC), og de er i samsvar med PCI DSS.
Slik leser Tap to Pay kredittkort, debetkort og forhåndsbetalte kort
Oversikt over sikkerhet for klargjøring
Den første gangen Tap to Pay på iPhone brukes med en kvalifisert app, vil tjeneren for Tap to Pay på iPhone kontrollere om enheten oppfyller kriteriene, for eksempel enhetsmodell, iOS-versjon og om det er angitt en kode. Når denne kontrollen er fullført, lastes appleten for godkjenning av betaling ned fra tjeneren for Tap to Pay på iPhone og installeres på Secure Element sammen med tilknyttet betalingskjernekonfigurasjon. Denne operasjonen utføres sikkert mellom tjenerne Tap to Pay på iPhone og Secure Element. Secure Element kontrollerer dataenes integritet og autentisitet før installasjonen.
Oversikt over sikkerhet for lesing av kort
Når en app for Tap to Pay på iPhone ber om at et kort leses fra ProximityReader-rammeverket, vil et ark som kontrolleres av iOS, vises. Det ber brukeren om å trykke på et betalingskort. iOS initialiserer kortleseren for betaling og ber deretter betalingskjernene i Secure Element om å starte lesingen av kortet.
Secure Element tar kontroll over NFC-kontrolleren i lesermodus. Denne modusen fører til at det bare er kortdata som utveksles mellom betalingskortet og Secure Element via NFC-kontrolleren. Betalingskort kan bare leses i denne modusen.
Når appleten for mottak av betaling på Secure Element har lest kortet, krypterer og signerer den kortdataene. Kortdataene forblir krypterte og autentiserte til de kommer til leverandøren av betalingstjenesten. Det er bare leverandøren av betalingstjenesten som brukes av appen som ba om avlesing av kortet, som kan dekryptere kortdataene. Leverandøren av betalingstjenesten må be om dekrypteringsnøkkelen for kortdata fra tjeneren Tap to Pay på iPhone. Tjeneren for Tap to Pay på iPhone sender dekrypteringsnøkler til leverandøren av betalingstjenesten når dataenes integritet og autentisitet er bekreftet, og når det er bekreftet at kortet ble avlest innen 60 sekunder etter at kortet ble lest på enheten.
Denne modellen bidrar til å sikre at kortdataene ikke kan dekrypteres av andre enn leverandøren av betalingstjenesten, som behandler transaksjonen for forhandleren.