Uso do Apple Pay para pagamentos com cartões
O Apple Pay pode ser usado para fazer compras em lojas, dentro de apps e em sites.
Pagamento com cartões em lojas
Se o iPhone ou Apple Watch estiver ligado e detectar um campo NFC, ele apresenta ao usuário o cartão solicitado (se a seleção automática estiver ativada para esse cartão) ou o cartão padrão, que é gerenciado nos Ajustes. O usuário também pode acessar a Carteira da Apple e escolher um cartão ou, quando o dispositivo estiver bloqueado, ele pode:
Clicar duas vezes no botão lateral em dispositivos com Face ID
Clicar duas vezes no botão Início em dispositivos com Touch ID
Usar os recursos de Acessibilidade que permitem o Apple Pay na Tela Bloqueada
A seguir, antes que as informações sejam transmitidas, o usuário precisa autenticar com o Face ID, o Touch ID ou o código. Quando o Apple Watch está desbloqueado, o cartão de pagamento padrão é ativado ao clicar duas vezes no botão lateral. Nenhuma informação de pagamento é enviada sem a autenticação do usuário.
Depois que o usuário autentica, o Número de Conta do Dispositivo e um código de segurança dinâmico específico à transação são usados ao processar o pagamento. A Apple e o dispositivo do usuário não enviam os números completos do cartão de crédito ou débito para os comerciantes. A Apple pode receber informações anônimas da transação, como a hora e o local aproximado da transação, o que ajuda a melhorar o Apple Pay e outros produtos e serviços da Apple.
Pagamento com cartões dentro de apps
O Apple Pay também pode ser usado para fazer pagamentos em apps no iOS, iPadOS, macOS e watchOS. Quando usuários pagam com o Apple Pay dentro de apps, a Apple recebe as informações da transação criptografadas para direcioná‑las ao desenvolvedor ou comerciante. Antes que essas informações sejam enviadas ao desenvolvedor ou comerciante, a Apple as criptografa novamente com uma chave específica do desenvolvedor. O Apple Pay retém informações anônimas sobre a transação, como o valor aproximado da compra. Essas informações não podem ser atreladas ao usuário e nunca incluem o que o usuário compra.
Quando um app inicia uma transação de pagamento do Apple Pay, os servidores do Apple Pay recebem a transação criptografada do dispositivo antes que o comerciante a receba. Depois, os servidores do Apple Pay criptografam novamente a transação com uma chave específica do comerciante antes de repassá-la ao comerciante.
Quando um app solicita um pagamento, ele chama uma API para determinar se o dispositivo é compatível com o Apple Pay e se o usuário tem cartões de crédito ou débito que podem fazer pagamentos em uma rede de pagamentos aceita pelo comerciante. O app solicita qualquer informação necessária para processar e executar a transação, como o endereço de cobrança e entrega e informações de contato. Em seguida, o app pede para que o iOS, iPadOS, macOS ou watchOS apresentem a folha do Apple Pay, que solicita informações para o app e outras informações necessárias, como qual cartão usar.
Nesse momento, informações sobre a cidade, estado e CEP são apresentadas ao app para o cálculo do custo de entrega final. O conjunto completo de informações solicitadas não é fornecido ao app até que o usuário autorize o pagamento com o Face ID, o Touch ID ou o código do dispositivo. Depois que o pagamento é autorizado, as informações apresentadas na folha do Apple Pay são transferidas ao comerciante.
Pagamento com cartões dentro de Clipes de Apps
Um Clipe de App é uma pequena parte de um app que permite que o usuário faça uma tarefa rapidamente (como alugar uma bicicleta ou pagar o estacionamento) sem baixar o app completo. Se um Clipe de App for compatível com pagamentos, o usuário poderá usar o recurso Iniciar sessão com a Apple e fazer um pagamento com o Apple Pay. Quando um usuário faz um pagamento dentro de um Clipe de App, todas as medidas de segurança e privacidade são iguais ao pagar em um app.
Como os usuários autorizam, e os comerciantes verificam, pagamentos por app
Usuários e comerciantes garantem pagamentos seguros por app passando informações para os servidores da Apple, o Secure Element, o dispositivo e a API do app. Primeiro, quando um usuário autoriza um pagamento em um app, o app obtém um valor antirreprodução criptográfico ao chamar os servidores do Apple Pay. Os servidores enviam esse valor e outros dados da transação para o Secure Element para calcular uma credencial de pagamento, que é criptografada com uma chave da Apple. O Secure Element retorna as credenciais de pagamento para os servidores do Apple Pay para que eles as descriptografem, verifiquem seu valor antirreprodução em relação ao valor antirreprodução enviado originalmente pelos servidores do Apple Pay e as criptografem novamente com a chave de comerciante associada do ID de Comerciante. Os servidores da Apple retornam o pagamento ao dispositivo, que o devolve à API do app, e o app o transmite ao sistema do comerciante para processamento. O comerciante descriptografa as credenciais de pagamento para verificar se o destinatário da transação está correto.
As APIs requerem um direito que especifique os IDs de Comerciante compatíveis. Um app também pode incluir dados adicionais (como um número de pedido ou identidade do cliente) para enviar ao Secure Element para assinatura, o que impede que a transação seja desviada para outro cliente. Isso é realizado pelo desenvolvedor do app, que pode especificar applicationData em PKPaymentRequest. Um hash desses dados é incluído nos dados de pagamento criptografados. O comerciante fica então responsável por verificar se o hash do applicationData corresponde àquele incluído nos dados de pagamento.
Pagamento com cartões em sites
O Apple Pay pode ser usado para fazer pagamentos em sites no iPhone, iPad, Apple Watch e computadores Mac com Touch ID. As transações do Apple Pay também podem ser iniciadas no Mac e concluídas em um iPhone ou Apple Watch compatível com o Apple Pay que esteja usando a mesma conta do iCloud.
O uso do Apple Pay na web requer que todos os sites participantes registrem-se na Apple. Após o registro do domínio, a validação do nome do domínio é realizada apenas depois que a Apple emite um certificado de cliente TLS. Os sites compatíveis com o Apple Pay são obrigados a fornecer seu conteúdo por HTTPS. Em cada transação de pagamento, os sites precisam usar o certificado de cliente TLS emitido pela Apple para obter uma sessão de comerciante segura e exclusiva. Os dados da sessão do comerciante são assinados pela Apple. Depois da verificação da assinatura da sessão do comerciante, um site pode consultar se o usuário possui um dispositivo compatível com o Apple Pay e se ele tem um cartão de crédito, débito ou pré-pago ativado no dispositivo. Nenhum outro detalhe é compartilhado. Se o usuário não desejar compartilhar essas informações, ele pode desativar as consultas do Apple Pay nos ajustes de privacidade do Safari em dispositivos iPhone, iPad e Mac.
Depois da validação da sessão do comerciante, todas as medidas de privacidade e segurança são idênticas àquelas tomadas ao fazer pagamentos dentro de um app.
Se o usuário estiver transmitindo informações relacionadas a pagamento de um Mac para um iPhone ou Apple Watch, o Handoff do Apple Pay usa o protocolo de Serviço de Identidade da Apple (IDS) com criptografia de ponta a ponta para transmitir as informações relacionadas a pagamento entre o Mac do usuário e o dispositivo autorizador. O cliente do IDS no Mac usa as chaves do dispositivo do usuário para realizar a criptografia, de modo que nenhum outro dispositivo possa descriptografar essas informações. Além disso, as chaves não são disponibilizadas à Apple. A descoberta de dispositivos para o Handoff do Apple Pay contém o tipo e o identificador exclusivo dos cartões de crédito do usuário, além de alguns metadados. O Número de Conta do Dispositivo do cartão do usuário não é compartilhado e continua armazenado com segurança no iPhone ou Apple Watch do usuário. A Apple também transfere com segurança os endereços de contato, entrega e cobrança usados recentemente pelo usuário através das Chaves do iCloud.
Depois que o usuário autoriza um pagamento com o Face ID, Touch ID, código ou clica duas vezes no botão lateral do Apple Watch, um token de pagamento (criptografado exclusivamente para o certificado de comerciante de cada site) é transmitido com segurança do iPhone ou Apple Watch do usuário para o Mac, sendo então entregue ao site do comerciante.
Apenas dispositivos próximos uns dos outros podem solicitar e concluir pagamentos. A proximidade é determinada através de anúncios de Bluetooth Low Energy (BLE).
Pagamentos automáticos e Tokens de Comerciante
No iOS 16 ou posterior, apps e sites que oferecem Apple Pay podem tirar proveito de tokens de comerciante do Apple Pay que permitem pagamentos seguros com consistência entre os dispositivos de um usuário. A folha de pagamento atualizada do Apple Pay no iOS 16 também otimiza as experiências de pagamento pré‑autorizado. Novos tipos de transações na API do Apple Pay permitem que equipes de desenvolvimento de apps e sites ajustem precisamente a experiência da folha de pagamento para assinaturas, contas recorrentes, pagamentos parcelados e recargas automáticas do saldo de cartões.
Os tokens de comerciante não são específicos do dispositivo e, portanto, permitem a continuidade de pagamentos recorrentes caso o usuário remova um cartão de pagamento do dispositivo.
Pagamentos para vários comerciantes
No iOS 16 ou posterior, o Apple Pay inclui a capacidade de especificar valores de compras para vários comerciantes em uma única folha de pagamento do Apple Pay. Isso dá flexibilidade para que clientes façam compras casadas (como um pacote de viagem com voo, aluguel de carro e hotel) e enviem os pagamentos para comerciantes individuais.