Разбираемся с особенностями и безопасностью бесконтактного сервиса Apple, который сегодня запустился в России.
Для начала обязательно прочитайте инструкцию по настройке Apple Pay в России. Здесь разберём общие вопросы работы и безопасности, чтобы вы знали, чем пользуетесь и как это работает.
Что такое Apple Pay?
Сервис Apple Pay создан для упрощения процесса купли/продажи. Вместо использования пластиковой карты или наличных, любую покупку можно совершить с помощью гаджета Apple.
Совместимые устройства для оплаты в оффлайне:
- iPhone 6 и 6 Plus
- iPhone 6S и 6S Plus
- iPhone 7 / 7 Plus
- Apple Watch
- iPhone SE
Через iPad и Mac можно расплачиваться только в интернете.
Оплата происходит, когда пользователь подносит свой iPhone или Apple Watch к бесконтактному терминалу. После нескольких секунд на экране появляется сообщение о возможности проведения оплаты и предложением подтвердить транзакцию через сканер отпечатка или пароль
Apple Pay существует уже более полутора лет. По состоянию на 2016-й год, он работает в 9 странах: Англия, Австралия, Гонконг, Канада, Китай, Сингапур, США, Швейцария и Франция. Сегодня система появилась в России.
Как это работает?
Основа: механизм системы основан на технологии близкой передачи данных NFC (на расстоянии до 20 см) в связке с чипом Secure Element, который хранит данные о банковской карте в зашифрованном виде. Secure Element представляет индустриальный стандарт в области финансовых операций. На этом чипе выполняется специальное Java-приложение.
Secure Element: это область выделенной памяти, отделенной от системной. В этой области хранятся данные банковских карт пользователя. Ни одна программа не имеет к ней доступ, данные никуда не передаются и даже Apple не может повлиять на эту стратегию. Так что никто не узнает о твоих покупках и движении денежных средств.
Secure Enclave: это компонент, который управляет процессом аутентификации и запускает платежные транзакции. Вместе с тем, он хранит отпечаток пальца для Touch ID.
Apple Pay Servers: это серверная часть, управляющая состоянием кредитных и дебетовых карт в приложении Wallet, вместе с номером устройства, хранящимся в Secure Element. Apple Pay Servers также отвечают за перекодирование платежных сведений внутри приложений.
История и партнёры
Технология бесконтактной оплаты применяется достаточно давно – с середины первого десятилетия 21-го века. Но за всё время своего существования она не снискала популярности. Даже концепция Apple Pay не нова. Google уже пытался занять место в этой нише со своим неудобным сервисом Google Wallet.
Сервис Apple Pay совместим со многими уже существующими бесконтактными считывателями: Visa PayWave, MasterCard PayPass, American Express и ExpressDay.
Кроме того, что сервис от Apple поддерживают сотни банков, расплатиться с помощью смартфона можно на любых терминалах с поддержкой бесконтактных методов оплаты.
Где можно расплатиться Apple Pay
Оплата проводится без ввода номера банковской карты и других сведений о банке. Достаточно просто поднести палец к Touch ID.
В процессе покупки Apple Pay может передавать дополнительную информацию, хранящуюся в телефоне покупателя, такую как: адрес доставки и номер телефона.
В чём «профит» Apple от сервиса Apple Pay? Всё просто: корпорация с каждой транзакции получает по 0,15% – это плата за обслуживание сервиса платежей и создание прикладных инструментов. Эти деньги ей выплачивают банки: Citi, плюс существующие платежные системы, MasterCard и Visa.
Что насчёт безопасности?
Apple Pay обладает многоуровневой системой защиты: уникальный идентификатор устройства, динамически генерируемые коды безопасности для каждой платежной транзакции, биометрические сведения – отпечаток пальца.
В совокупности эти средства обеспечивают более надёжную безопасность, чем магнитная полоса и даже чип в банковской карте.
Во время создания подключения устройства обмениваются одноразовыми токенами, которые удаляются при окончании связи. Токен призван заменить номер карты, чтобы последний никто не узнал. Токен представляет сгенерированный случайным образом номер, поэтому номер банковской карты, скрываемым за ним, нельзя расшифровать.
Все это объединяется и заменяет собой CVV банковской карты для платежной транзакции. После установки связи и обмена токенами для передачи данных, они шифруются. Эти зашифрованные сообщения отражают свою принадлежность определенному устройству, создавшему используемый токен.
Даже если токен будет перехвачен, это не даст злоумышленнику ценной информации, так как после разрыва соединения токен удаляется.
Хотя сообщение содержит информацию о покупателе, продавце, сумме денег, участвующей в транзакции и банке, предоставившем карту, все данные надежно зашифрованы. Apple не раскрывает информацию об алгоритме шифрования, отчего вызывает бурю негодования у некоторых специалистов по информационной безопасности.
Apple мотивирует своих партнеров перейти на более современные терминалы оплаты по спецификации EMV, то есть замены магнитной полосы пластиковых карт на чип – Secure Element, взломать который с помощью перехвата данных практически невозможно.
Теория взлома
В этой бочке меда нашлась ложка дегтя. Как бы ни старались разработчики, в сервисе Apple Pay есть проблемные места. И это во многом зависит не от Apple. В процессе движения средств задействованы многие другие структуры, в том числе банки с их огромными пробелами в безопасности.
Сканер отпечатков пальцев не всегда работает корректно. Предоставляя современное и, казалось бы, надежное средство удостоверения личности, оно одновременно является огромной дырой в безопасности. Если Touch ID выйдет из строя, можно воспользоваться пин-кодом. Это сводит на нет всю продвинутую безопасность.
Пин-код можно подглядеть, спутать, нажать не те клавиши, короче, человеческий фактор в действии. При оплате с помощью часов Apple Watch отпечаток не требуется, в этом случае вопрос о безопасности встаёт острее.
В связи с этим появились дополнительные инструменты проверки: секретный код, одноразовый пароль, звонок в службу поддержки клиентов или предоставление информации о предыдущих покупках.
Некоторые банки в других странах требуют от пользователя авторизации в мобильном интернет-банкинге. Эти действия уменьшают удобство использования Apple Pay из-за появления дополнительных уровней проверки.
На данный момент в России работает самый простой формат оплаты без дополнительных авторизаций в процессе.
Между тем, Apple Pay по-прежнему не взломана.
Конкуренты Apple Pay
В 2011-м году на рынок бесконтактной оплаты вышел Google Wallet, но он не стал популярен во многом из-за того, что на рынке NFC платежей был сильный конкурент – Softcard, поддерживаемый крупнейшими сотовыми операторами США. Но сейчас он сдулся. И Google купила его за $100 млн.
Используя наработки в области бесконтактных платежей Softcard, Google запустила платёжный сервис Android Pay, который работает по принципам близким к Apple Pay.
На рынке также работает сервис Samsung Pay. Для реализации Samsung купила компанию LoopPay за $250 млн. Последняя предлагает дополнительные устройства для бесконтактной оплаты. Главное преимущество LoopPay, а теперь Samsung Pay – это совместимость со старыми аппаратами.
Еще есть PayPal с сервисом, проводящим платежи через QR-коды. Он разработана компанией Paydiant, которая была куплена PayPal. Для сканирования QR-кодов используется смартфон с операционной системой iOS или Android и установленной программой CurrentC, работающей по технологии Paydiant.
Минус налицо: временная задержка – надо аккуратно удерживать смартфон над QR-кодом для осуществления снимка.
Будущее Apple Pay
В ближайшем будущем, когда большее количество точек розничной торговли перейдут на Apple Pay, с помощью этой системы можно выдавать скидки и продавать таргетированную рекламу в соответствии с потребностями потребителя. Ведь смартфон знает о вас почти все.
Но есть в этом и другая сторона. Оплата упростилась, время ее осуществления уменьшилось, направленной рекламы стало больше. Соответственно, пользователи будут охотнее тратить свои деньги.
Со временем и распространением бесконтактных терминалов, Apple Pay может стать заменой для пластиковых карт Visa или MasterCard.
Ну а пока об этом говорить рано.
Только Мастеркард на данном этапе в России напрягает. Не хочу доп карту открывать, а попробовать хочется.
Неизвестно когда Визу добавят?
Нескоро. Я бы советовал не ждать и завести вторую карту в своём банке просто для Apple Pay.
@Никита Горяинов, так ведь только сбер поддерживается.
И какие планы по виртуальным банкам: рокет, тач?
@iPablo, большинство банков поддерживаются.
@Артур Малосиев, какое большинство? Списочек можно?
@AlexisF, сегодня должны открыть.
@Артур Малосиев, Ждем список :)))
@Артур Малосиев, лолшто? В ближайшую неделю как минимум – только сбер.
@stylish_me, я знаю 5 банков, у которых работает Apple Pay для тестировщиков.
@Артур Малосиев,
1. Пять – это не “большинство”
2. Для тестировщиков – это не “работает”
@stylish_me, если первая пятерка то это большинство
@stylish_me, банков в России и так 5-6, не больше, так что пять – большинство.
@Артур Малосиев, карта Тинькова не добавляется
@KarAl, и не должна. Пока только сбер
@Артур Малосиев, если банк Раунд будет поддерживаться- открою карту в Мегафоне.
@Astravod, не будет.
@Никита Горяинов, пруфы будут? Вы сотрудник этих платежных систем или вендоров?
@Red_Angel, виза это система США, а в их вселенной наша экономика разорвана в клочья. Скорее на Украине визу сделают. Только эпл видимо думает иначе судя по списку стран, поддерживающих эпл пэй наряду с Россией