以卡片進行 Apple Pay 付款
Apple Pay 可用來在商店、App 內和網站上購買商品。
在商店使用卡片付款
如果 iPhone 或 Apple Watch 已開機且偵測到 NFC 感應場,便會向使用者顯示要求的卡片(若該卡已開啟自動選取功能),或顯示「設定」中管理的預設卡片。使用者也可前往「Apple 錢包」並選擇卡片,或當裝置鎖定時,可以:
在配備 Face ID 的裝置上按兩下側邊按鈕
在配備 Touch ID 的裝置上按兩下主畫面按鈕
使用允許從鎖定螢幕支付 Apple Pay 的輔助使用功能
接下來,在發送付款資訊前,使用者必須使用 Face ID、Touch ID 或其密碼來授權。當 Apple Watch 解鎖時,按兩下側邊按鈕來啟用付款的預設卡片。所有付款資訊皆需經過使用者認證始得發送。
使用者認證完成後,在處理付款時便會使用「裝置帳號號碼」和因交易而異的動態安全碼。無論是 Apple 還是使用者的裝置,皆不會將完整的信用卡或簽帳金融卡號碼傳送給商家。Apple 可能會接收到匿名的交易資訊,如交易的約略時間和地點,這可協助改進 Apple Pay 及其他的 Apple 產品和服務。
在 App 內使用卡片付款
Apple Pay 也可以用來在 iOS、iPadOS、macOS 和 watchOS App 內進行付款。當使用者在 App 內使用 Apple Pay 付款時,Apple 會收到加密的交易資訊以傳給開發者或商家。發送出該資訊給開發者或商家前,Apple 會使用開發者專用的密鑰來重新加密交易。Apple Pay 會保留匿名的交易資訊,例如約略購買金額。此資訊無法用來追蹤使用者,且絕不包含使用者購買的商品資訊。
當 App 起始 Apple Pay 付款交易時,Apple Pay 伺服器會比商家先收到來自裝置的加密資訊。Apple Pay 伺服器接著會以商家專用的密鑰重新加密,然後再傳遞給商家。
當 App 要求付款時,會呼叫 API 以判別裝置是否支援 Apple Pay,以及使用者所使用的信用卡或簽帳金融卡是否可在商家認可的付款網路上進行付款。App 會要求取得任何所需的資料,以處理及完成交易,例如帳單和送貨地址,以及聯絡資訊。App 接著會要求 iOS、iPadOS、macOS 或 watchOS 出示 Apple Pay 表單,其會要求 App 的資訊以及其他必要資訊,例如要使用的卡片。
需在此時提供城市、行政區和郵遞區號等資訊給 App 以計算最終運費。直到使用者以 Face ID、Touch ID 或裝置密碼授權付款,所要求的全部資訊才會提供給 App。付款一經授權,Apple Pay 表單內出示的資訊便會傳送給商家。
在輕巧 App 內使用卡片付款
輕巧 App 是 App 的一小部分,可讓使用者快速執行作業(如租借自行車、支付停車費等),不需要下載完整 App。在支援付款功能的輕巧 App 中,使用者可以「使用 Apple 登入」,然後使用 Apple Pay 進行付款。當使用者在輕巧 App 內進行付款,所有安全和隱私保護措施都與在一般 App 中付款相同。
使用者授權、商家驗證、App 付款的方式
使用者和商家可藉由將資訊傳遞至 Apple 伺服器、Secure Element、裝置和 App 的 API,確保 App 付款安全無虞。首先,當使用者授權 App 付款,App 會呼叫 Apple Pay 伺服器以取得加密編譯反重放值。伺服器會將此值和其他交易資料傳送到 Secure Element 以計算付款憑證,此付款憑證會以 Apple 密鑰進行加密。Secure Element 接著會將付款憑證傳回給 Apple Pay 伺服器以進行解密、根據 Apple Pay 伺服器最初傳送的反重放值驗證其反重放值,然後透過「商家 ID」關聯的商家密鑰重新加密。然後 Apple 伺服器會將付款傳回至裝置,再由裝置回傳給 App API,讓 API 傳遞至商家系統進行處理。商家會解密付款憑證以驗證其為正確的交易接收者。
API 會要求一個授權,此授權用來指定支援的「商家 ID」。App 也可以包含其他資料(例如訂單編號或客戶身分)來傳送至待簽署的「安全隔離區」,確保交易無法轉移至其他客戶。此程序需由 App 開發者執行,其能指定 PKPaymentRequest 上的 applicationData。此資料的雜湊值會包含在加密的付款資料中。商家接著會負責驗證 applicationData 雜湊值是否與付款資料內包含的雜湊值相符。
在網站上使用卡片付款
你可在 iPhone、iPad、Apple Watch 以及配備 Touch ID 的 Mac 電腦上,使用 Apple Pay 來在網站中付款。Apple Pay 交易也可在 Mac 上進行,並在使用相同 iCloud 帳號且啟用 Apple Pay 的 iPhone 或 Apple Watch 上完成。
網路上的 Apple Pay 服務會要求所有參與的網站向 Apple 註冊。網域註冊後,只會在 Apple 核發 TLS 用戶端憑證後,才執行網域名稱驗證。支援 Apple Pay 的網站需要透過 HTTPS 來提供它們的內容服務。針對每次付款交易,網站需要使用 Apple 發出的 TLS 用戶端憑證來向 Apple 伺服器取得安全且唯一的商家作業階段。商家作業階段資料則會由 Apple 加以簽署。商家作業階段簽章經過驗證後,網站便可查詢使用者是否具有支援 Apple Pay 的裝置,以及這些裝置上是否已啟用信用卡、簽帳金融卡或預付卡。任何其他細節皆不會共享。如果使用者不想要共享此資訊,他們可以在 iPhone、iPad 和 Mac 裝置上的 Safari 隱私權設定中停用 Apple Pay 查詢。
商家作業階段經過驗證後,所有隱私權與安全性措施皆與使用者在 App 內付款時相同。
如果使用者將付款相關資訊從 Mac 傳輸至 iPhone 或 Apple Watch,Apple Pay「接力」會使用端對端的加密「Apple 識別服務」(IDS)通訊協定,在使用者的 Mac 與授權裝置間傳輸付款的相關資訊。Mac 上的 IDS 用戶端會利用使用者的裝置密鑰來執行加密,因此任何其他裝置皆無法解密此資訊,而這些密鑰無法供 Apple 使用。為 Apple Pay「接力」進行的裝置搜尋包含使用者信用卡的類型與唯一識別碼,以及部分後設資料。使用者卡片的「裝置帳號號碼」不會共享,且會安全地繼續保留在使用者的 iPhone 或 Apple Watch 上。Apple 也會透過「iCloud 鑰匙圈」安全地傳送使用者最近使用過的聯絡人、送貨及帳單地址。
使用者使用 Face ID、Touch ID 或密碼,或在 Apple Watch 上按兩下側邊按鈕來授權付款後,針對每個網站商家憑證進行專屬加密的付款代號就會安全地從使用者的 iPhone 或 Apple Watch 傳輸到他們的 Mac,然後傳遞到商家的網站。
只有鄰近的裝置可要求和完成付款。鄰近位置是透過低功耗藍牙(BLE)廣播來加以判定。
自動付款與商家代號
在 iOS 16 或以上版本中,提供 Apple Pay 功能的 App 和網站可使用 Apple Pay 商家代號,確保在使用者的所有裝置上都能安全付款。iOS 16 的更新版 Apple Pay 付款表單也將預先授權付款體驗最佳化。Apple Pay API 的新交易類型讓 App 和網站開發者能設定訂閱項目、定期帳單、分期付款和自動重新載入卡片餘額等項目,藉此微調付款表單體驗。
商家代號不會綁定裝置,因此如果使用者從裝置移除特定付款卡,還是可進行持續性定期付款。
付款給多個商家
在 iOS 16 或以上版本中,Apple Pay 提供新功能,可在單一 Apple Pay 付款表單中指定多個商家的購買金額。這為客戶帶來彈性,可一次購買搭售商品,例如包含航班、租車和旅館的旅遊套裝行程,然後再分別付款給不同商家。