Betala med kort via Apple Pay
Apple Pay kan användas till att betala för inköp i butiker, i appar och på webbplatser.
Betala med kort i butiker
Om iPhone eller Apple Watch är på och den upptäcker ett NFC-fält visar den det begärda kortet för användaren (om automatiskt val är aktiverat för det kortet) eller det förvalda kortet som hanteras i Inställningar. Användaren kan även öppna Plånbok och välja ett kort eller göra följande när enheten är låst:
Dubbelklicka på sidoknappen på enheter med Face ID.
Dubbelklicka på hemknappen på enheter med Touch ID.
Använda hjälpmedelsfunktioner som gör att du kan använda Apple Pay från låsskärmen.
Sedan måste användaren autentisera med Face ID, Touch ID eller sin lösenkod innan informationen överförs. När Apple Watch är upplåst aktiveras det förvalda kortet för betalning när användaren dubbelklickar på sidoknappen. Ingen betalningsinformation skickas utan användarens autentisering.
När användaren har autentiserat transaktionen används enhetens unika kontonummer och en transaktionsspecifik dynamisk säkerhetskod för att behandla betalningen. Varken Apple eller användarens enhet skickar det fullständiga kredit- eller bankkortsnumret till försäljare. Apple kan ta emot anonym transaktionsinformation, som ungefärlig tid och plats för transaktionen, vilket hjälper till att förbättra Apple Pay och andra produkter och tjänster från Apple.
Betala med kort i appar
Apple Pay kan även användas till att utföra betalningar i iPhone-, iPad-, Mac- och Apple Watch-appar. När användare betalar i appar med Apple Pay tar Apple emot den krypterade transaktionsinformationen. Innan den informationen skickas vidare till utvecklaren eller försäljaren omkrypterar Apple transaktionen med en utvecklarspecifik nyckel. Apple Pay sparar anonym transaktionsinformation, t.ex. det ungefärliga beloppet. Den här informationen kan inte kopplas till användaren och talar aldrig om vad användaren köper.
När en app initierar en Apple Pay-betalning mottar Apple Pay-servrarna den krypterade transaktionen från enheten innan försäljaren tar emot den. Apple Pay-servrarna krypterar sedan om transaktionen med försäljarens specifika nyckel innan den skickas vidare till försäljaren.
När appen begär en betalning anropar den ett API för att avgöra om enheten stöder Apple Pay och om användaren har ett kredit- eller bankkort som kan utföra betalningar i det betalningsnätverk som försäljaren använder. Appen frågar efter den information den behöver för att behandla och fullfölja transaktionen, till exempel fakturerings- och leveransadressen samt kontaktinformation. Appen ber sedan iOS, iPadOS eller watchOS att visa Apple Pay-bladet som begär information åt appen, liksom annan nödvändig information, t.ex. vilket kort som ska användas.
Appen förses nu med information om ort och postnummer för slutlig beräkning av fraktkostnaden. All den information som har begärts lämnas inte ut till appen förrän användaren godkänner betalningen med hjälp av Face ID, Touch ID eller enhetens lösenkod. När betalningen auktoriseras överförs informationen som visas på Apple Pay-bladet till försäljaren.
Betalningsauktorisering och appar
När användaren godkänner en betalning skickas ett anrop till Apple Pay-servrarna för att erhålla ett kryptografiskt nonce-värde, vilket liknar det värde som returneras av NFC-terminalen vid transaktioner i butik. Nonce-värdet och andra transaktionsdata överförs till Secure Element som beräknar betalningsuppgifter som krypteras med en Apple-nyckel. De krypterade betalningsuppgifterna returneras till Apple Pay-servrarna som avkrypterar dem, jämför nonce-värdet i uppgifterna med nonce-värdet som ursprungligen skickades från Apple Pay-servrarna och krypterar om betalningsuppgifterna med försäljarens nyckel som är kopplad till försäljarens ID. Betalningen skickas sedan till enheten som returnerar den till appen via API:t. Appen skickar dem sedan vidare till försäljarens system för bearbetning. Försäljaren kan sedan avkryptera betalningsuppgifterna med sin privata nyckel för bearbetning. Detta, tillsammans med signaturen från Apples servrar, gör att försäljaren kan verifiera att transaktionen var avsedd för just honom/henne.
API:erna kräver en behörighet som anger försäljarens ID-uppgifter. En app kan också bifoga ytterligare data (till exempel ett ordernummer eller kundens identitet) som skickas till Secure Element för signering så att transaktionen inte kan dirigeras om till en annan kund. Det här åstadkoms av apputvecklaren som kan ange applicationData i PKPaymentRequest. En hashkod för dessa data inkluderas i den krypterade betalningsinformationen. Försäljaren är sedan ansvarig för att verifiera att hans/hennes hashkod för applicationData matchar det som ingår i betalningsinformationen.
Betala med kort på webbplatser
Apple Pay kan användas till att utföra betalningar på webbplatser på iPhone, iPad, Apple Watch och Mac-datorer med Touch ID. Apple Pay-transaktioner kan även inledas på en Mac och sedan slutföras på en Apple Pay-aktiverad iPhone eller Apple Watch som använder samma iCloud-konto.
Apple Pay på webben kräver att alla webbplatser som deltar registreras hos Apple. När domänen har registrerats utförs validering av domännamnet endast efter att Apple har utfärdat ett TLS-klientcertifikat. Webbplatser som stöder Apple Pay måste leverera sitt innehåll via HTTPS. För varje betalningstransaktion måste webbplatserna erhålla en säker och unik säljarsession via en Apple-server genom att använda det TLS-klientcertifikat som Apple har utfärdat. Säljarsessionsdata signeras av Apple. När en säljarsessionssignatur har verifierats kan webbplatsen skicka en förfrågan om användaren har en enhet förberedd för Apple Pay och om ett kredit- eller kontokort eller ett förbetalt kort är aktiverat på enheten. Inga andra detaljer delas. Om användaren inte vill dela den här informationen kan denna avaktivera Apple Pay-förfrågningar i integritetsinställningarna för Safari på iPhone-, iPad- och Mac-enheter.
När en försäljarsession har validerats är alla integritets- och säkerhetsåtgärder samma som när en användare betalar inuti en app.
Om användaren överför betalningsrelaterad information från en Mac till en iPhone eller Apple Watch använder Apple Pay det heltäckande krypterade IDS-protokollet (Apple Identity Service) till att överföra betalningsrelaterad information mellan användarens dator och den auktoriserande enheten. IDS-klienten på en Mac använder användarens enhetsnycklar till att utföra krypteringen så att inga andra enheter kan avkryptera informationen, och nycklarna är inte tillgängliga för Apple. Enhetsupptäckt för Apple Pay-överlämning innehåller typ och unik identifierare för användarens kreditkort tillsammans med vissa metadata. Det enhetsspecifika kontonumret för användarens kort delas inte, och det fortsätter att lagras säkert på användarens iPhone eller Apple Watch. Apple överför också användarens senast använda kontaktuppgifter och leverans- och faktureringsadress säkert via iCloud-nyckelring.
När användaren har auktoriserat betalningen via Face ID, Touch ID, en lösenkod eller genom att dubbelklicka på sidoknappen på Apple Watch överförs en betalningstoken som är unikt krypterad säkert till varje webbplats försäljarcertifikat från användarens iPhone eller Apple Watch till datorn och levereras sedan till försäljarens webbplats.
Endast enheter som finns i närheten av varandra kan begära och slutföra betalningar. Närheten bestäms genom Bluetooth LE-annonsering (BLE).