Coneix com funciona el nou sistema de pagaments mòbils Apple Pay
Amb Apple Pay programat per arribar a finals d'aquest mes, són molts els experts que tenen alguns dubtes sobre com PayPal arribarà a confiar als nois de la poma la informació de la targeta de crèdit de l'usuari. De fet, la seva arribada també pot generar grans dubtes entre els usuaris que no acaben d'entendre el funcionament del sistema.
La realitat, però, és que Apple Pay és una plataforma extremadament segura de pagament mòbil. De fet, pot ser la manera més segura de realitzar qualsevol tipus de pagament amb targeta de crèdit. Per entendre per què, a continuació teniu una descripció general de com funciona el sistema. Cal tenir en compte que aquest article té la intenció de descriure el procés de pagament a grans trets, però a causa de consideracions de seguretat, mai es pot informar de manera completa del seu procés.
Com funciona Apple Pay?
Les dades de la targeta de crèdit no són part de l'equació
Amb Apple Pay, no hi ha dades de targeta de crèdit (ni tan sols de manera encriptada) que s'hagin emmagatzemat a l'iPhone o als servidors de l'empresa. De la mateixa manera, no hi ha dades de la targeta de crèdit que es transmetin mai o s'emmagatzemin als servidors d'un venedor.
Quan un usuari s'inscriu a Apple Pay, ja sigui a través d'una targeta de crèdit d'iTunes existent o en carregar-ne una de nova a l'iPhone, la informació de la targeta queda xifrada immediatament i s'envia de forma segura a la xarxa de la targeta de crèdit adequada. Després de determinar que el compte de la targeta de crèdit és vàlid, una mostra s'envia de tornada al dispositiu amb què s'emmagatzema de forma segura dins de l'iPhone.
El testimoni s'utilitza en lloc d'un número de targeta de crèdit real i és al que Apple es refereix amb un número de compte de dispositiu únic.
Què és un testimoni?
El testimoni en si mateix, tal com s'aplica a Apple Pay, és un número generat de forma aleatòria i únic de 16 dígits que s'assembla en aparença a una targeta de crèdit vàlida, però és, de fet, fonamentalment una cosa inútil. Pensem en el testimoni com un marcador de posició o bitllet de referència per a la informació de la targeta de crèdit real. L'única cosa que un testimoni té en comú amb el número de targeta de crèdit corresponent són els últims 4 dígits de la targeta.
Els tokens per si mateixos no tenen cap valor i no es poden desxifrar. Com a capa addicional de seguretat, no es disposa de mecanismes per garantir que el propi token estigui lligat al telèfon en el qual s'emmagatzema i mai es pot utilitzar des d'un altre dispositiu diferent.
La mecànica d'una transacció d'Apple Pay
Una vegada que una transacció està en marxa, l'iPhone envia el token (que al seu torn, actua com un substitut de la informació de la targeta de crèdit real) al comerciant que, al seu torn, l'envia a la xarxa de targetes de crèdit on s'assigna de nou al corresponent compte de targeta de crèdit que la va crear. La xarxa de la targeta en última instància, entra en contacte amb el banc emissor per a l'autorització. Si s'aprova la targeta, el banc emissor envia un missatge al comerciant que indica que tots els sistemes estan llestos i la transacció pot procedir.
Aquest procés és molt més segur que els terminals de targetes de crèdit tradicionals, ja que els comerciants realitzen transaccions exclusivament en tokens i mai estan en possessió d'informació de la targeta de crèdit de l'usuari.
Amb un servei com el d'Apple Pay en ús, les grans bretxes de targetes de crèdit en empreses com Target i Home Depot es converteixen en història antiga perquè no hi ha números de targetes de crèdit per robar. L'ús d'un testimoni, però, és només una part del trencaclosques que fa el sistema de pagaments mòbils dels de Cupertino perquè tot sigui més segur.
Capes addicionals de seguretat: Touch ID i criptogrames
Completar una transacció basada en tokens des d'un dispositiu mòbil requereix una forma d'autenticació personal, que és on la simplicitat del Touch ID apareix. En lloc d'haver d'introduir una contrasenya d'un sol ús (dades d'autenticació estàtiques, com un PIN), el procés de pagament es finalitza quan l'usuari l'autoritzi amb el Touch ID.
Per proporcionar una capa addicional de seguretat, un iPhone equipat amb Apple Pay en el moment de cada transacció també envia un CVV generat dinàmicament de la cadena juntament amb un criptograma. El CVV és la cadena de tres dígits que es troba al revers de la targeta de crèdit i, en el cas d'Apple Pay, és una cadena dinàmica generada algorítmicament que està directament relacionada amb el token.
El que és important tenir en compte, però, és que el criptograma és un ús de la signatura digital que verifica que el testimoni en trànsit que es va originar a partir de la utilització del dispositiu. A més, el criptograma inclou dades de les transaccions pertinents, com ara la identitat del comerciant. Hi ha dues coses importants que cal esmentar:
- Les fitxes no es poden utilitzar sense un criptograma d'acompanyament.
- El criptograma s'assegura que un comptador només es pot utilitzar des del dispositiu en què es va carregar inicialment.
Destacant la seguretat millorada que Apple Pay ofereix, Tom Noyes, digué el següent a l'anunci del sistema:
"Apple és la primera aplicació de la nova especificació de tokenització EMVCo. En la meva opinió, això és un pas de gegant més enllà del xip EMV i PIN, i és ara el sistema de pagaments més segur del planeta."
Mott es va mostrar igualment entusiasmat amb la perspectiva d'Apple Pay i va assenyalar que, si bé queda per veure com de bé funciona el servei, l'empresa de Cupertino "ha pujat el llistó fent transaccions sense una fitxa".
La declaració de Noyes ens porta a un punt interessant, al pensar que els aspectes fonamentals de Pay no es van inventar a Cupertino. Per contra, el sistema va ser dissenyat d'acord amb les normes de pagaments mòbils emergent basada en tokens, que té com a objectiu augmentar la seguretat i reduir el perill de frau. Per a això, Apple s'està ficant en l'espai de pagaments mòbils en el moment just. Així, mentre que els de Tim Cook no estan necessàriament inventant alguna cosa nou, Pay representa la primera aplicació real a escala massiva de l'especificació tokenització.
Què significa això per a tots els consumidors?
Si bé queda per veure si Pay crida l'atenció dels consumidors, no hi ha d'haver cap dubte que és una forma molt segura per fer un pagament amb targeta de crèdit. De fet, el més probable és que sigui molt més segur que la forma en què la majoria dels usuaris estan actualment fent els pagaments amb targeta de crèdit.
Cal recordar que els comerciants en una transacció d'Apple Pay mai tenen accés a informació de la targeta de crèdit de l'usuari i els usuaris no han de preocupar-se que la seva informació es vegi compromesa en una bretxa de seguretat.
I com una mesura de seguretat addicional, els propietaris d'iPhone tindran la possibilitat de desvincular o suspendre temporalment un testimoni connectat a un dispositiu robat, fent així d'Apple Pay alguna cosa que pot operar fins que s'hagi recuperat el dispositiu.
Tal com apunten des de Tuaw, mentre que l'experiència d'usuari de Pay ha estat creada per ser impressionantment simple, hi ha una gran varietat de mesures de seguretat complexes en el treball darrere de les escenes per ajudar a garantir que les dades sensibles de l'usuari es mantenen lliures de les mirades indiscretes.
Haurem d'esperar per veure com s'ho prenen els usuaris l'arribada d'aquest nou sistema de pagaments i comprovar quina és l'acceptació. Sens dubte, tal com hem pogut veure, la seguretat no hauria de ser un problema per confiar en un sistema de pagaments com aquest. I tu, ¿confiaries a utilitzar el sistema Apple Pay per fer els teus pagaments?