Betala med kort via Apple Pay
Apple Pay kan användas till att betala för inköp i butiker, i appar och på webbplatser.
Betala med kort i butiker
Om iPhone eller Apple Watch är på och den upptäcker ett NFC-fält visar den det begärda kortet för användaren (om automatiskt val är aktiverat för det kortet) eller det förvalda kortet som hanteras i Inställningar. Användaren kan även öppna Plånbok och välja ett kort eller göra följande när enheten är låst:
Dubbelklicka på sidoknappen på enheter med Face ID.
Dubbelklicka på hemknappen på enheter med Touch ID.
Använda hjälpmedelsfunktioner som gör att du kan använda Apple Pay från låsskärmen.
Sedan måste användaren autentisera med Face ID, Touch ID eller sin lösenkod innan informationen överförs. När Apple Watch är upplåst aktiveras det förvalda kortet för betalning när användaren dubbelklickar på sidoknappen. Ingen betalningsinformation skickas utan användarens autentisering.
När användaren har autentiserat transaktionen används enhetens unika kontonummer och en transaktionsspecifik dynamisk säkerhetskod för att behandla betalningen. Varken Apple eller användarens enhet skickar det fullständiga kredit- eller bankkortsnumret till försäljare. Apple kan ta emot anonym transaktionsinformation, som ungefärlig tid och plats för transaktionen, vilket hjälper till att förbättra Apple Pay och andra produkter och tjänster från Apple.
Betala med kort i appar
Apple Pay kan även användas till att utföra betalningar i iOS-, iPadOS-, macOS- och watchOS-appar. När användare betalar i appar med Apple Pay tar Apple emot den krypterade transaktionsinformationen och dirigerar den till utvecklaren eller försäljaren. Innan den informationen skickas vidare till utvecklaren eller försäljaren omkrypterar Apple transaktionen med en utvecklarspecifik nyckel. Apple Pay sparar anonym transaktionsinformation, t.ex. det ungefärliga beloppet. Den här informationen kan inte kopplas till användaren och talar aldrig om vad användaren köper.
När en app initierar en Apple Pay-betalning mottar Apple Pay-servrarna den krypterade transaktionen från enheten innan försäljaren tar emot den. Apple Pay-servrarna krypterar sedan om transaktionen med försäljarens specifika nyckel innan den skickas vidare till försäljaren.
När appen begär en betalning anropar den ett API för att avgöra om enheten stöder Apple Pay och om användaren har ett kredit- eller bankkort som kan utföra betalningar i det betalningsnätverk som försäljaren använder. Appen frågar efter den information den behöver för att behandla och fullfölja transaktionen, till exempel fakturerings- och leveransadressen samt kontaktinformation. Appen ber sedan iOS, iPadOS, macOS eller watchOS att visa Apple Pay-bladet som begär information åt appen och annan nödvändig information, t.ex. vilket kort som ska användas.
Appen förses nu med information om ort och postnummer för slutlig beräkning av fraktkostnaden. All den information som har begärts lämnas inte ut till appen förrän användaren godkänner betalningen med hjälp av Face ID, Touch ID eller enhetens lösenkod. När betalningen auktoriseras överförs informationen som visas på Apple Pay-bladet till försäljaren.
Betala med kort inuti appklipp
Ett appklipp är en liten del av en app som gör det möjligt för användare att snabbt utföra en uppgift (som att hyra en cykel eller betala för parkering) utan att hämta den fullständiga appen. Om ett appklipp stöder betalningar kan användaren använda Logga in med Apple och sedan betala med Apple Pay. När en användare gör en betalning inuti ett appklipp är alla säkerhets- och integritetsåtgärder samma som när en användare betalar inuti en app.
Hur användare autentiserar och försäljare verifierar appbetalningar
Användare och försäljare säkerställer säkra appbetalningar genom att överföra information till Apples servrar, Secure Element, enheten och appens API. När användaren inledningsvis auktoriserar en appbetalning erhåller appen ett kryptografiskt anti-replay-värde genom att anropa Apple Pay-servrarna. Servrarna skickar det här värdet och andra transaktionsdata till Secure Element som beräknar betalningsuppgifter som krypteras med en Apple-nyckel. Secure Element returnerar sedan betalningsuppgifterna till Apple Pay-servrarna så att de kan avkryptera dem, verifiera anti-replay-värdet mot det anti-replay-värde som Apple Pay-servrarna ursprungligen skickade och krypterar dem på nytt med den försäljarnyckel som är associerad med försäljarens ID. Apple-servrarna returnerar sedan betalningen till enheten som överlämnar den till appens API så att API:t kan överföra den till försäljarens system för bearbetning. Försäljaren avkrypterar betalningsuppgifterna för att verifiera att den är rätt mottagare till transaktionen.
API:erna kräver en behörighet som anger försäljarens ID-uppgifter. En app kan också bifoga ytterligare data (till exempel ett ordernummer eller kundens identitet) som skickas till Secure Element för signering så att transaktionen inte kan dirigeras om till en annan kund. Det här åstadkoms av apputvecklaren som kan ange applicationData i PKPaymentRequest. En hashkod för dessa data inkluderas i den krypterade betalningsinformationen. Försäljaren är sedan ansvarig för att verifiera att användarens hashkod för applicationData matchar det som ingår i betalningsinformationen.
Betala med kort på webbplatser
Apple Pay kan användas till att utföra betalningar på webbplatser på iPhone, iPad, Apple Watch och Mac-datorer med Touch ID. Apple Pay-transaktioner kan även inledas på en Mac och sedan slutföras på en Apple Pay-aktiverad iPhone eller Apple Watch som använder samma iCloud-konto.
Apple Pay på webben kräver att alla webbplatser som deltar registreras hos Apple. När domänen har registrerats utförs validering av domännamnet endast efter att Apple har utfärdat ett TLS-klientcertifikat. Webbplatser som stöder Apple Pay måste leverera sitt innehåll via HTTPS. För varje betalningstransaktion måste webbplatserna erhålla en säker och unik säljarsession via en Apple-server genom att använda det TLS-klientcertifikat som Apple har utfärdat. Säljarsessionsdata signeras av Apple. När en säljarsessionssignatur har verifierats kan webbplatsen skicka en förfrågan om användaren har en enhet förberedd för Apple Pay och om ett kredit- eller kontokort eller ett förbetalt kort är aktiverat på enheten. Inga andra detaljer delas. Om användaren inte vill dela den här informationen kan denna avaktivera Apple Pay-förfrågningar i integritetsinställningarna för Safari på iPhone-, iPad- och Mac-enheter.
När en försäljarsession har validerats är alla integritets- och säkerhetsåtgärder samma som när en användare betalar inuti en app.
Om användaren överför betalningsrelaterad information från en Mac till en iPhone eller Apple Watch använder Apple Pay det heltäckande krypterade IDS-protokollet (Apple Identity Service) till att överföra betalningsrelaterad information mellan användarens dator och den auktoriserande enheten. IDS-klienten på en Mac använder användarens enhetsnycklar till att utföra krypteringen så att inga andra enheter kan avkryptera informationen, och nycklarna är inte tillgängliga för Apple. Enhetsupptäckt för Apple Pay-överlämning innehåller typ och unik identifierare för användarens kreditkort tillsammans med vissa metadata. Enhetskontonumret för användarens kort delas inte, och det fortsätter att lagras säkert på användarens iPhone eller Apple Watch. Apple överför också användarens senast använda kontaktuppgifter och leverans- och faktureringsadress säkert via iCloud-nyckelring.
När användaren har auktoriserat en betalning via Face ID, Touch ID, en lösenkod eller genom att dubbelklicka på sidoknappen på Apple Watch överförs en betalningstoken som är unikt krypterad säkert till varje webbplats försäljarcertifikat från användarens iPhone eller Apple Watch till datorn och levereras sedan till försäljarens webbplats.
Endast enheter som finns i närheten av varandra kan begära och slutföra betalningar. Närheten bestäms genom Bluetooth LE-annonsering (BLE).
Automatiska betalningar och försäljartokens
I iOS 16 eller senare kan appar och webbplatser som erbjuder Apple Pay dra nytta av Apple Pay-försäljartokens som möjliggör säkra betalningar på ett enhetligt sätt på en användares olika enheter. Det uppdaterade Apple Pay-betalningsbladet i iOS 16 optimerar också förauktoriserade betalningsupplevelser. Nya transaktionstyper i Apple Pay-API:t gör det möjligt för app- och webbplatsutvecklare att finjustera upplevelsen i betalningsbladet för abonnemang, återkommande fakturor, avbetalningar och automatisk påfyllning av kortsaldon.
Försäljartokens är inte enhetsspecifika, så återkommande betalningar avbryts inte om användaren tar bort ett kontokort från enheten.
Betalningar till flera försäljare
I iOS 16 eller senare innehåller Apple Pay möjligheten att ange inköpsbelopp för flera försäljare inuti ett enda Apple Pay-betalningsblad. Det ökar flexibiliteten för kunder som kan göra ett paketköp, till exempel en resa med flyg, hyrbil och hotell, och sedan skicka betalningar till enskilda försäljare.