关于Apple Pay——–我们知道多少?

  9月9号,苹果发布了Apple Pay移动支付方案。在这篇文章中,我们将讨论所了解的Apple Pay的技术和管理背景,同时讨论一些有待解决的问题。作为独立专家团,我们的目标是提供UL的观点和收集到的信息,让所有的利益相关者受益。

  技术性
  Apple Pay是基于NFC技术实现近距离支付的一种移动支付方式,并且在iPhone和Apple Watch上嵌入安全元件保证其在支付过程中的安全。Apple Pay使用EMV基于NFC(以及MSD,兼容美国市场的磁条卡)的非接触式协议。这使得它与今天广泛部署的非接触式支付终端兼容。
  Apple Pay符合EMVCo tokenization framework,交易过程中使用一个tokenized PAN (Device Account Number,设备账号) 和 Cryptogram (transaction specific dynamic security code,交易特定动态安全代码)。目前,苹果仅使用了Visa Token Service,MasterCard Digital Enablement Services以及American Express Tokenization Service。

  安全性
  iPhone 6和Apple Watch使用嵌入式SE安全元件存储用户的支付信息。在iPhone手机上,SE中存储了用于TouchID认证的指纹信息。现在还不清楚iPhone 5S中的Secure Enclave是否在iPhone 6仍然可用,我们猜想指纹信息应是存储在的SE中。
  苹果并不在手机上存储持卡人信息和账号(PAN)。每一张借记卡或信用卡都被分配了一个设备账号(Device Account Number,即tokenized PAN),代替真实的PAN,加密后存储在SE中。这些Device Account Number仅仅存储在iPhone的SE和token service中,并不存储在苹果的服务器中。
消费者进行消费时,Device Account Number以及一个交易特定动态安全码将被用来处理交易过程。因此真实的借记卡或信用卡卡号不会被商家得到,信息也不会被泄露。苹果关注的正是交易的安全性。
  
  隐私
  苹果注重保护用户的隐私。因为iPhone(以及Apple Watch)没有包含真实的借记卡和信用卡信息,商户只会收到一个tokenized PAN。作为交易过程的一部分,SE会收到支付确认信息,这些信息用来在Passbook存储消费记录。
  没有迹象表明Device Account Number(tokenized PAN)被用来在每次交易时生成动态PAN。如果在每次交易时iPhone发送Device Account Number,由于使用相同的tokenized PAN,这个设备将可以被识别,同时商户也可以将一个设备关联到多个交易。

  Apple Watch
  苹果公司在9月9号同时发布了Apple Watch,预计2015年初上市。Apple Watch的相关规范受到限制,但是苹果声称Apple Watch也可以使用Apple Pay。Apple Watch将支持NFC,并且使用嵌入式SE安全元件存储支付信息。目前得到的消息是,用Apple Watch进行支付时需要输入PIN码进行授权,只要你一直带着手表(手表上有皮肤检测传感器)就可以进行支付。一旦取下手表,则需要重新输入PIN码。
  Apple Watch可以让Apple Pay在iPhone 5系列(iPhone 5,5C和5S)上实现远程支付。由于iPhone 5系列没有SE安全元件,Apple Watch的SE通过蓝牙连接实现远程支付。

  注册
  持卡用户可以用 iTunes 帐户里关联的一张卡或者是用 iPhone摄像头拍摄卡的照片向Apple Pay(Passbook)添加支付卡。卡片信息将通过苹果和银行卡发行方进行验证。验证通过后,Token Service将向苹果的钱包服务器发送一个Device Account Number(tokenized PAN),钱包服务器将把这个tokenized PAN存储到iPhone上的SE中。
1

  现在还不清楚银行卡发行方在这个过程中扮演什么样的角色。是否需要一个激活码?是不是免费?是否需要CVC2验证?另外,苹果将来可能会使用3D SecureCode来辅助注册流程。

  iPhone近场支付
  使用NFC支付时,用户拿iPhone轻触终端,通过指纹(TouchID)为支付授权。SE中的支付应用被触发,向商户(终端)发送Device Account Number(tokenized PAN)和一个生成的交易特定动态安全码(cryptogram)。
  tokenized PAN和cryptogram被发送到获取方网络中进行处理。Token Service将tokenized PAN转换为原始的PAN。cryptogram将被验证,带着原始PAN的交易信息将被发送给银行卡发行方进行认证。
2
  其它还没有解决的问题包括:
  •Apple Pay是否支持离线交易?离线交易柜台的部署情况如何?
  •Apple Pay在小额支付和大额支付上的处理上有什么不同?
  •支付应用是否预置在SE中?

  iPhone远程支付
  Apple Pay也支持远程支付。商户可以开发相应的app,使用Apple Pay来进行在线交易。这些app必须用Apple Pay API进行开发。
  购物时,消费者可以在手机app上选择需要购买的商品。当消费者确定付款时,可以通过Apple Pay进行支付。用户用TouchID授权支付操作,随后Device Account Number和动态安全码将被发送到token获取方/支付网关。token获取方/支付网关将token转发给Token Service进行去token操作,并验证cryptogram.。去token操作后的PAN和cryptogram将被发送到银行卡发行方那里进行支付认证。发行方认证后,支付结束。
3 
  从目前的信息来看,Apple Pay使用有卡交易来进行远程支付,而不是传统的无卡交易。这样做降低了商户的风险,同时也降低商户的交易手续费。

  生态系统
  Apple Pay的生态系统建立在四个支付产业中的龙头企业之上。苹果方面已与American Express、MasterCard和Visa达成合作(iOS 8的源代码中还显示了与中国银联的关联)。经过与合作方的谈判,苹果公司成功地将苹果商店和iTunes商店的支付率从40个基点降低到25个基点,节省了大约2700万美元的费用。苹果公司已和很多大型银行达成合作协议,包括花旗银行、美国银行、Capitol One、富国银行、大通银行(目前只在美国),还有更多的银行准备加入。在此协议下,苹果公司可以从Apple Pay的每次交易中获得0.15%的收益。由于只有Passbook才可以访问SE,因此银行将无法使用自己的钱包应用。在苹果公司与银行的合作协议中,苹果要求银行允许使用TouchID指纹认证技术。
  Apple Pay要求必须使用TouchID指纹认证进行交易。TouchID替代了卡片的PIN码进行CVM验证。银行卡发行方会收到设备上CVM验证的确认信息。在  Apple Pay中,CVM验证使用的是TouchID,而不是其它移动支付方式的mPin。
  在店进行Apple Pay交易时,商户必须配备NFC支付终端。美国的许多商店已经安装了NFC支付终端支持Apple Pay的近场支付。在使用iPhone进行支付方面,苹果提供了一致性的用户体验,而移动运营商和银行还没有做好这样的准备,他们还想彼此展开竞争。
  移动运营商起到什么作用呢?Apple Pay没有依赖运营商,运营商在Apple Pay整个操作系统中似乎起到很小的作用。
  苹果的商业模式是销售硬件,更具体点是销售iOS设备。Apple Pay可以让苹果销售更多的iPhone和Apple Watch。然而,新的收入来源也不能被忽视。预计在十月,苹果将会发布一款可以使用TouchID的iPad设备,让用户可以通过iPad使用Apple Pay完成在线支付。iOS设备销量的增加同时还会刺激iTunes商店中音乐、电影和应用的销量增加(苹果可以从每笔iTunes的交易中赚到30%)。

  结论
  现在看来,Apple Pay在移动支付领域很有前途。苹果将自己定位于一个值得信任的合作伙伴。他们关注的是移动支付的安全性和个人隐私。在推进移动和远程支付的过程中,其他公司可以从数据的采集和处理上获益,而苹果对此并不感兴趣。苹果选择了NFC,明确了NFC技术是手机和支付终端之间的一种标准通信技术。

                                         文章来源:www.ul-ts.com