Не так давно компания Apple запустила новый сервис бесконтактных платежей Apple Pay. Давайте разберемся с обеспечением безопасности и основными особенностями этого сервиса. До начала работы рекомендуем изучить инструкцию по настройке сервиса в РФ. В данном обзоре будем рассматривать вопросы по безопасности, и желательно понимать, как организован этот механизм.
Что такое Apple Pay?
Сервис был задуман для упрощения процессов покупки товаров пользователем. Разработчик включил возможность совершать покупки с использованием продукции фирмы Apple. Список устройств, которые поддерживают оплату по данному методу, без подключения к сети интернет достаточно широк:
— iPhone 6 и 6+ (plus, плюс)
— iPhone 6S и 6S+ (plus, плюс)
— iPhone 7 и 7+ (plus, плюс)
— iPhone 8 и 8+ (plus, плюс)
— iPhone 10 (X, икс)
— iPhone SE (СЕ)
— Apple Watch (эпл воч)
Планшетные компьютеры iPad и настольные Mac на конец 2017 года поддерживают только возможность оплаты онлайн.
Оплата осуществляется, когда клиент приближает свой гаджет к терминалу системы бесконтактной оплаты (айфон — до 10 см, эйпл вотч — вплотную). Спустя небольшой промежуток времени на дисплее терминала в случае успешной авторизации появляется приглашение к проведению оплаты, и необходимо подтвердить оплату покупки. Идентификация пользователя выполняется посредством ввод пароля или по отпечатку пальца.
Эппл пэй работает успешно уже более 2,5 лет. На середину 2017 года успешно осуществляет операции свыше чем в 20 странах. В Российской Федерации успешный запуск произошел в октябре-ноябре 2016 года. На конец 2017 года более 25 банков поддерживает работу системы, в нее входят такие гиганты как «Сбербанк», «Альфа банк», «Русский стандарт» и другие.
Как же функционирует столь сложный механизм?
Базовый механизм основан на специально разработанной микросхеме Secure Element, в которой храниться информация о банковских картах в специальном зашифрованном виде. Обмен данных с терминалом основан на стандарте NFC, который обеспечивает их передачу на расстояние до 10 см. На микросхеме Secure Element реализовано вычисление в специально разработанном Java приложении.
Чип является областью отдельно выделенной памяти, никак не связанной с операционной системой. В этом чипе хранятся данные всех банковских карт пользователя, которые привязаны к телефону. Приложения и системные программы доступ к ней не имеют, а компания Apple гарантирует неразглашение этой информации. Поэтому можно быть уверенным на сто процентов, что информация о движении человека и покупках, которые он оплачивал, останется тайной.
Второй компонент системы Secure Enclave управляет процессом аутентификации и выполняет запуск платежных транзакций. Помимо этого, в память блока заложена информация об отпечатке пальца Touch ID, в тех устройствах, которые поддерживают это.
Для управления картами в приложении Wallet используется протокол и программная оболочка Apple Pay Servers. Вместе с уникальным номером устройства она так же производит перекодировку платежных сведений, на необходимый уровень.
История и партнеры
Разработана технология бесконтактной оплаты была еще в начале 2000 годов, но за прошедшие практически 20 лет не получила существенного распространения. Второй крупной компании на этом рынке является Google, которая разработала программное обеспечение Google Wallet. Однако, по оценкам пользователей приложение вышло неудобным и получило их низкую оценку.
Сервис Apple Pay поддерживает практически полный модельный ряд бесконтактных устройств American Express, ExpressDay, Visa PayWave, MasterCard PayPass. На начало второго полугодия 2017 года сотни больших и малых банков во всех уголках мира поддерживают работу с этими протоколами, и пользователь даже не вникает в процесс осуществления оплаты, просто подносит смартфон с необходимыми настройками к терминалу и забирает товар.
Немного более подробно о процессе оплаты
Для совершения оплаты вводить номер карты не требуется, достаточно просто поднести палец к считывателю. После этого программное обеспечение передаст все необходимые сведения в банк.
Выгода компании Apple составляет 0,15% от суммы транзакций пользователей. Эти деньги идут на разработку и поддержку программного обеспечения. Выплачивает эту сумму банки партнеры и платежные системы. При осуществлении огромного числа платежей сумма накапливается огромная.
Система защиты
Эппл пэй использует специально созданный протокол обмена данными между участниками платежа. Система построена по многоуровневой защите:
— уникальный идентификатор устройства.
— генерируемые коды безопасности для проведения каждого платежа.
— дополнительная защита организована с использованием биометрических сведений, к которым относится отпечаток пальца владельца устройства.
Взятые вместе эти условия защищают ваши денежные средства более надежно, чем чип и магнитная полоска на банковской карте. Когда происходит подключение устройств, создаются одноразовые уникальные токены, которые сразу после проведения платежа удаляются. Токен заменяет номер карты, который шифруется по специальной системе, расшифровать его практически невозможно.
Это заменяет всем нам хорошо известный код безопасности с оборотной стороны магнитной карты, и имеющий название CVV кода. Токен привязывается к устройству, которое его зашифровало, и ни к какому другому доступа не имеет. Если будет производиться попытка перехвата зашифрованной информации, токен будет автоматически удален с устройства.
Токен сообщение содержит информацию о сумме, продавце и покупателе, банках участниках платежа. Все эти данные закодированы по специальной технологии от компании Apple. Алгоритм шифрования содержится в тайне и не разглашается даже работникам банков, отчего спецы негативно отзываются о нем.
Компания подталкивают партнеров переходить постепенно на более надежные терминалы оплаты стандарта EMV, взломать которые по статистике не представляется возможным. Замену чипа карты осуществляет микросхема Secure Element.
Реально или нет взломать протокол?
Эппл пэй, каким бы не был совершенным этот протокол, проблемные места все-таки имеет. Большинство проблемных мест даже никак не связаны с компанией Эпл, так как обмен информацией происходит с банковскими структурами, которые имеют проблемы с безопасностью.
Корректная работа сканера считывания данных об отпечатке пальцев не всегда получается. Это современное и надежное средство удостоверения личности не может гарантировать безопасность. В случае невозможности выполнить сканирование пальца приложение поддерживает альтернативный вариант с введением пин-кода, и тогда продвинутая система безопасности не работает. Человеческий фактор всегда является слабым звеном системы. Все мы знаем, что пин-код можно подсмотреть, спутать, забыть.
При использовании оплаты с современным гаджетом Apple Watch идентификация производится только через пин-код, безопасность в этом случае должна быть обеспечена более остро. Для этого разработаны дополнительные инструменты и протоколы проверки, такие как секретный код, одноразовый пароль, который приходит на телефон, звонок из службы поддержки с уточнением некоторых моментов.
В некоторых банковских системах требуется предварительная авторизация в приложениях банка. Выполнение этих действий значительно подрывают комфортность эксплуатирования системы оплаты при необходимости прохождения дополнительных этапов проверок. В России самый простой и востребованный способ оплаты — без необходимости дополнительных проверок. И на текущий момент информации о взломе системы нет.
Конкуренты Apple Pay
Как уже писалось выше, компания Google со своим приложением Google Wallet в далеком уже 2011 году выходила на рынок, но не завоевала популярности, так как на рынке бесконтактных платежей прочно стояла компания Softcard, поддержка которой производилась самыми крупными операторами мобильной связи Соединенных Штатов Америки (USA). Компания Гугл впоследствии приобрела его, заплатив порядка 100 миллионов долларов.
Опираясь на разработки компании Softcard, Google доработала их и выпустила платежный сервис Android Pay, принципы работы которого построены на базовых основах приближенных к Apple Pay.
Большое место на рынке занимает сервис бесконтактных платежей корпорации Samsung — Samsung Pay, для доработки и запуска которого компания Самсунг приобрела компанию LoopPay за сумму порядка 250 млн. долларов. Главным упором и стратегией компании Самсунг стало совместимость со старыми аппаратами, что оценили по достоинству пользователи системы.
Электронная система платежей и кошельков работающая по всему миру в Интернете PayPal использует аутентификацию через использование QR-кодов. Изначально была разработана компанией Paydiant, которую тоже ожидала нелегкая судьба при слиянии купившей ее компанией PayPal. Сканирование QR-кодов возможно со смартфонов под управлением системы Андроид или Айфонов с любой версией iOS. Для этого требуется установленное приложение CurrentC, функционирующие на технологиях Paydiant. Отрицательная сторона этой системы в процессе сканирования QR-кода для осуществления оплаты.
Будущее Apple Pay
Компания Apple является в привлечении большего числа новых торговых точек на использовании системы бесконтактных систем оплаты. Дополнительные возможности системы позволяют делать клиентам различные скидки и осуществлять процесс таргетированой рекламы настроенной на удовлетворение потребностей пользователя. Информация о запросах и интересующих Вас данных содержится в смартфоне, значит, видеть вы будите то, что уже искали и использовали.
Минусом системы является большое количество рекламы, что не всегда нравиться конечному пользователю. Однако положительные стороны по сокращению времени проведения транзакции позволяют перекрыть мелкие недовольства, и пользователи готовы более охотно тратить свои деньги. Распространение телефонов Айфон тоже способствует развитию данной системы оплаты. На данный момент в России Айфон используют молодые люди по соотношению 1 к 3. Специалисты компании считают, что в обозримом будущем может стать альтернативной заменой пластиковым картам.
Но пока не будем делать такие оптимистические настрои, время и только время расставит все на свои места.