Сегодня Apple официально запустила свою новую платёжную систему. Давайте посмотрим, какие преимущества она предоставляет пользователям с точки зрения безопасности и конфиденциальности.

Как платёжные системы работают сейчас

Когда потребитель с помощью кредитной карточки покупает кружку бодрящего кофе или новые кроссовки, её данные проходят через несколько рук, прежде чем транзакция будет подтверждена. Для начала продавец — скажем, местная кофейня — запомнит номер карты, CVV, срок её действия, платёжный адрес, пин-код и другие метаданные карты прямо в терминале. Эта информация в дальнейшем передаётся в банк или платёжную систему торговца.

Следующая организация направляет запрос на авторизацию в банк покупателя, называемый «эмитентом», через отдельную процессинговую сеть. Эмитент может либо одобрить, либо отклонить транзакцию, посылая соответствующие коды состояния продавцу в обратном направлении.

Бо́льшая часть этой цепочки является чрезвычайно защищённой, но недавние кражи данных у Target и Home Depot показали, что так бывает не всегда.

Небольшие фирмы вряд ли имеют доступ к данным карточек, но более крупные розничные сети часто собирают их для своих нужд, например, анализа продаж. Подобные базы представляют основную цель для злоумышленников, но есть ещё одна и потенциально более серьёзная проблема: конфиденциальность пользователей.

Крупные розничные сети зачастую используют эту информацию для создания профилей клиентов в рекламных целях. Но чем больше потребители задумываются о сохранности своей личной информации, тем более насущным становится этот вопрос.

В чём отличие  Pay?

При создании  Pay компания из Купертино использовала токенизацию. Эта концепция не нова, но эппловская реализация гораздо безопасней и переносит её в реальный мир. Раньше токены использовались исключительно для работы с онлайновыми сервисами, а их хранилище — база данных, в которой токены сопоставляли с номерами кредитных карт — обслуживал платежный шлюз.

Apple же решила работать напрямую с эмитентами кредитных карт, такими как Visa или American Express, переложив токенизацию на их плечи. В случае с  Pay, вместо того, чтобы сохранять и передавать номер карты, CVV и прочие метаданные, продавец получит от устройства лишь токен — случайную и уникальную последовательность из 16 цифр, специфичную для каждого девайса, — и динамический код безопасности, который можно использовать только один раз.

Как только пользователь распознает карту и добавит её в Passbook для оплаты через  Pay, ей присваивается уникальный номер счёта (токен), который хранится в iPhone вместо номера физической кредитки.

В процессоре каждого iPhone, начиная с 5s, присутствует отдельная защищённая область, где хранятся все платёжные данные пользователя и информация для работы Touch ID. Они размещаются исключительно на устройстве и никогда не передаются на серверы Apple.

Во время совершения транзакции токен отправляется через NFC вместе с одноразовым динамическим кодом безопасности, уникальным для каждой операции. Эти элементы позволяют системе удостовериться, что платёж совершён успешно. Также динамический код заменяет CVV и указывает на то, что транзакция совершена с устройства, содержащего нужный токен.

Наконец, не существует возможности получить номер настоящей кредитной карточки из токена. Поэтому даже если он попадёт в руки к злоумышленникам, они не смогут им воспользоваться.

Это означает, что только банк потребителя и платёжная сеть располагает информацией о его личности и сможет завершить сделку. Именно поэтому компания из Купертино во всех своих маркетинговых материалах и даже на отдельной странице в базе знаний говорит о безопасности и конфиденциальности  Pay:

 Pay разработана таким образом, что когда вы платите в магазинах Apple не собирает информацию о транзакциях, которые могут быть привязаны к вам.

Подобный акцент на конфиденциальности и безопасности выгодно отличает  Pay не только от текущей системы физических кредитных карт, но и от конкурирующих мобильных платёжных систем.

Существующие мобильные платежные системы

Главный конкурент  Pay — Google Wallet — не может предоставить пользователям подобные преимущества. Вместо этого, Google хранит данные кредитных карточек пользователей на своих серверах и выступает в качестве посредника при обработке транзакций. Когда потребители покупают товар с помощью Google Walle, они не платят за него напрямую продавцу. Фактически этой делает поисковый гигант, который после снимает деньги с пользовательских карточек.

В результате Google располагает полным доступом ко всей истории покупок своих клиентов, и это довольно большая проблема для тех, кто заботится о неприкосновенности личной жизни. Неизвестно, планирует ли компания изменить подход в будущем, но сейчас подобный сдвиг выглядит маловероятным, учитывая рекламную ориентированность бизнес-модели поискового гиганта.

Другой конкурент — SoftCard — хранит информацию о кредитных картах потребителей в защищённой области на SIM-карте. Во время транзакций номер и другие метаданные передается через NFC, как будто вы провели карточкой через терминал, а остальная часть процесса оплаты остаётся неизменной. И столь же уязвимой.

Пускай подход Apple и не является абсолютной инновацией, но обеспечивает гораздо более высокий уровень безопасности по сравнению с разработками конкурентов или традиционными платёжными системами. Он также даёт потребителям больший контроль над распространением своей личной информации.

Touch ID,  Watch и Find My Phone

Помимо токенов и динамических кодов безопасности Apple также может подтверждать каждую транзакцию с помощью Touch ID. Тут нет ничего необычного — если пользователь хочет что-либо приобрести подобным образом, он должен каждый раз прикладывать палец к сканеру отпечатков для подтверждения личности.

Аналогично должна работать аутентификация и с помощью  Watch, правда, вместо Touch ID они задействуют немного другую технологию: после того, как «умные часы» будут надеты на запястье, их владелец сможет ввести код доступа и совершать покупки до тех пор, пока гаджет контактирует с кожей. Пропадает контакт — исчезает возможность совершать покупки без подтверждения.

Наконец, даже если мобильный гаджет будет утерян, пользователь сможет в несколько кликов отключить платежи на нём с помощью Find My iPhone, и ему не потребуется звонить в кучу банков и блокировать кредитки.

Реакция банков

Незадолго до запуска  Pay редакция издания The Daly Dot пообщалась с представителями нескольких банков и финансовых организаций, которые сотрудничают с компанией из Купертино, чтобы узнать их мнение о яблочной платёжной системе. Среди них были Navy Federal Credit Union, USAA, Chase и PNC.

В частности, вице-президент Navy Federal Credit Union Рэнди Хоппер (Randy Hopper) сказал, что он «очень рад» видеть разработку Apple, поскольку система является «удобной и безопасной». По его словам, использование токенов «устраняет все слабые места в платёжных системах».

Тем временем помощник вице-президента USAA Викрам Парекх (Vikram Parekh) заявляет, что банки настолько уверены в надёжности  Pay, что согласны взять на себя полную ответственность за несанкционированные и мошеннические транзакции как при оплате в розничных магазинах, так и через интернет. С аналогичными заявлениями выступили Chase и PNC.

Наконец, бывший топ-менеджер компании-эмитента кредитных карт Том Нойес (Tom Noyes) заявил, что реализация  Pay делает её «наиболее безопасной платёжной схемой на планете».

* * *

Запуск  Pay состоялся сегодня вместе с релизом iOS 8.1. На старте платёжную систему компании из Купертино будет поддерживать более 220 000 розничных точек, но в скором времени их количество должно значительно увеличиться. В последнем интервью The Wall Street Journal Эдди Кью сказал следующее: «нам предстоит выполнить ещё много работы, но результат должен получиться отменный». И мне почему-то кажется, что он прав.


Читайте также: