Apple Pay kullanarak kartla ödeme yapma
Mağazalarda, uygulama içinde ve web sitelerindeki satın alma işlemlerinde ödeme yapmak için Apple Pay kullanılabilir.
Mağazalarda kartla ödeme yapma
iPhone veya Apple Watch açıksa ve bir NFC alanı algılarsa kullanıcıya istenen kredi kartını (bu kart için otomatik seçme açıksa) ya da Ayarlar’da yönetilen saptanmış kartı sunar. Kullanıcı Apple Cüzdan’a gidip bir kart da seçebilir ya da aygıt kilitliyken:
Face ID’ye sahip aygıtlarda yan düğmeyi çift tıklayabilir
Touch ID’ye sahip aygıtlarda Ana Ekran düğmesini çift tıklayabilir
Kilitli Ekran’dan Apple Pay’e izin veren Erişilebilirlik özelliklerini kullanabilir
Ardından, bilgiler iletilmeden önce kullanıcının Face ID’yi, Touch ID’yi veya parolasını kullanarak kimliğini doğrulaması gerekir. Apple Watch’un kilidi açıldığında, yan düğmenin çift tıklanması ödeme için saptanmış kartı etkinleştirir. Kullanıcı kimlik doğrulaması olmadan hiçbir ödeme bilgisi gönderilmez.
Kullanıcı kimliğini doğruladıktan sonra, ödeme işlenirken Aygıt Hesap Numarası ve işleme özel dinamik güvenlik kodu kullanılır. Apple veya kullanıcının aygıtı, satıcılara gerçek kredi ya da banka kartı numaralarını göndermez. Apple, işlemin yaklaşık zamanı ve konumu gibi işlem bilgilerini anonim olarak alabilir ve bu bilgiler Apple Pay ve diğer Apple ürünleriyle servislerinin iyileştirilmesine yardımcı olur.
Uygulama içinde kartla ödeme yapma
Apple Pay; iPhone, iPad, Mac ve Apple Watch uygulamalarında ödeme yapmak için de kullanılabilir. Kullanıcılar Apple Pay kullanarak uygulamaların içinden ödeme yaptığında, Apple şifreli işlem bilgilerini alır. Bu bilgiler geliştiriciye veya satıcıya gönderilmeden önce Apple, geliştiriciye özel bir anahtarla onları yeniden şifreler. Apple Pay, yaklaşık satın alma tutarı gibi işlem bilgilerini anonim olarak tutar. Bu bilgiler kullanıcıyla ilişkilendirilemez ve kullanıcının neyi satın aldığını asla içermez.
Bir uygulama Apple Pay ödeme işlemi başlattığında, şifreli işlem, aygıt tarafından satıcıdan önce Apple Pay sunucularına gönderilir. Daha sonra Apple Pay sunucuları, işlemi satıcıya yöneltmeden önce onu satıcıya özel bir anahtarla yeniden şifreler.
Bir uygulama ödeme istediğinde, aygıtın Apple Pay’i destekleyip desteklemediğini ve kullanıcının satıcı tarafından kabul edilen bir ödeme ağında ödeme yapabilecek bir kredi veya banka kartına sahip olup olmadığını belirlemek için bir API çağırır. Uygulama, faturalandırma ve teslimat adresi ile kişi bilgileri gibi işlemi yürütmek ve tamamlamak için gerekli bilgi parçalarını ister. Uygulama daha sonra iOS’ten, iPadOS’ten veya watchOS’ten kullanılacak kart gibi diğer gerekli bilgilerin yanı sıra uygulama için bilgi isteyen Apple Pay sayfasını göstermesini ister.
Bu sırada uygulamaya son gönderim maliyetini hesaplaması için şehir, ülke ve posta kodu bilgileri verilir. İstenen bilgilerin tamamı, ancak kullanıcı ödemeyi Face ID, Touch ID veya aygıt parolasıyla yetkilendirdikten sonra uygulamaya verilir. Ödeme yetkilendirildikten sonra, Apple Pay sayfasında sunulan bilgiler satıcıya aktarılır.
Uygulama ödemesi yetkilendirmesi
Kullanıcı ödemeyi yetkilendirdiğinde, mağaza içi işlemlerde kullanılan NFC terminali tarafından döndürülen değere benzer şifreli bir nonce almak için Apple Pay sunucularına çağrı yapılır. Diğer işlem verileriyle birlikte nonce da Apple anahtarıyla şifrelenen bir ödeme kimlik bilgisi hesaplamak üzere Secure Element’e iletilir. Şifreli ödeme kimlik bilgisi Apple Pay sunucularına döndürülür. Sunucular da kimlik bilgisinin şifresini çözer, kimlik bilgisindeki nonce’ı başlangıçta Apple Pay sunucuları tarafından gönderilen nonce ile karşılaştırarak doğrular ve satıcı kimliği ile ilişkili satıcı anahtarını kullanarak ödeme kimlik bilgisini yeniden şifreler. Ardından ödeme aygıta döndürülür, aygıt da onu API üzerinden tekrar uygulamaya iletir. Uygulama da işlenmek üzere onu satıcı sistemine iletir. Satıcı daha sonra işleme devam etmek için kendi gizli anahtarıyla ödeme kimlik bilgisinin şifresini çözebilir. Apple sunucularından gelen imzayla birlikte bu, satıcının işlemin bu belirli satıcıya yönelik olduğunu doğrulamasını sağlar.
API’ler, desteklenen satıcı kimliklerini belirten bir yetki anahtarı gerektirir. Uygulama, işlemin farklı bir müşteriye yönlendirilememesini sağlamak amacıyla, imzalanmak üzere Secure Element’e gönderilecek başka veriler de (sipariş numarası veya müşteri kimliği gibi) ekleyebilir. Bu, PKPaymentRequest’te applicationData belirtebilen uygulama geliştirici tarafından gerçekleştirilir. Bu verilerin bir özeti şifreli ödeme verilerine dahil edilir. Daha sonra satıcı, applicationData özetinin ödeme bilgilerine dahil edilenlerle eşleştiğini doğrulamaktan sorumludur.
Web sitelerinde kartla ödeme yapma
Apple Pay; iPhone’daki, iPad’deki, Apple Watch’taki ve Touch ID özellikli Mac bilgisayarlarındaki web sitelerinde ödeme yapmak için kullanılabilir. Apple Pay işlemleri, bir Mac’te başlatılıp aynı iCloud hesabını kullanan Apple Pay özellikli bir iPhone’da veya Apple Watch’ta da tamamlanabilir.
Web üzerinde Apple Pay, tüm katılımcı web sitelerinin Apple’da kayıtlı olmasını gerektirir. Alanın kaydedilmesinin ardından ancak Apple bir TLS istemci sertifikası verdikten sonra alan adı doğrulaması gerçekleştirilir. Apple Pay’i destekleyen web sitelerinin, içeriklerini HTTPS üzerinden sunması gerekir. Web sitelerinin her ödeme işlemi için, Apple tarafından verilen TLS istemci sertifikasını kullanarak bir Apple sunucusuyla güvenli ve benzersiz bir satıcı oturumu kurması gerekir. Satıcı oturumu verileri Apple tarafından imzalanır. Satıcı oturumu imzası doğrulandıktan sonra, web sitesi kullanıcının Apple Pay özellikli bir aygıtının olup olmadığını ve aygıtta etkinleştirilmiş bir kredi veya banka kartının ya da ön ödemeli kartın olup olmadığını sorgulayabilir. Başka bir ayrıntı paylaşılmaz. Kullanıcı bu bilgileri paylaşmak istemiyorsa iPhone, iPad ve Mac aygıtlarındaki Safari gizlilik ayarlarında Apple Pay sorgularını etkisizleştirebilir.
Satıcı oturumu doğrulandıktan sonra, tüm gizlilik ve güvenlik önlemleri kullanıcının uygulamanın içinden ödeme yaptığı durumla aynıdır.
Kullanıcı ödemeyle ilgili bilgileri bir Mac’ten iPhone’a veya Apple Watch’a aktarıyorsa Apple Pay Handoff ödemeyle ilgili bilgileri kullanıcının Mac’i ile yetkilendiren aygıt arasında aktarmak için uçtan uca şifreli Apple Kimlik Servisi (IDS) protokolünü kullanır. Mac’teki IDS istemcisi şifrelemeyi gerçekleştirmek için kullanıcının aygıt anahtarlarını kullanır, bu yüzden başka hiçbir aygıt bu bilgilerin şifresini çözemez ve anahtarlar Apple’a sağlanmaz. Apple Pay’in Handoff ile geçişi için aygıt bulma işlemi, bazı üst verilerle kullanıcının kredi kartlarının türünü ve benzersiz tanıtıcı bilgilerini içerir. Kullanıcı kartının aygıta özel hesap numarası paylaşılmaz ve kullanıcının iPhone’unda veya Apple Watch’unda güvenli bir şekilde saklanmaya devam eder. Apple, kullanıcının son kullanılan iletişim, teslimat ve fatura adreslerini de iCloud Anahtar Zinciri üzerinden güvenli bir şekilde aktarır.
Kullanıcı Face ID’yi, Touch ID’yi, parolayı kullanarak ya da Apple Watch’ta yan düğmeye iki kez basarak ödemeyi yetkilendirdikten sonra her web sitesinin satıcı sertifikası için benzersiz olarak şifrelenen bir ödeme jetonu, kullanıcının iPhone’undan veya Apple Watch’undan Mac’ine ve daha sonra satıcının web sitesine güvenli bir şekilde aktarılır.
Yalnızca birbirine yakın aygıtlar ödeme işlemi isteyebilir ve ödemeyi tamamlayabilir. Yakınlık, Bluetooth Düşük Enerji (BLE) duyurularıyla belirlenir.