Cep telefonunu POS’a yaklaştırıp bir iki saniyede ödeme yapmak kolay görünüyor; ama o tek dokunuşun arkasında NFC, tokenizasyon, kriptografi ve anlık doğrulama içeren iyi tasarlanmış bir zincir var.
Apple Pay, kartınızı nasıl “cihaza özel” hale getiriyor?
Önce kartınızı Wallet’a ekliyorsunuz. Bu sırada banka veya yetkili ağ sağlayıcısı, gerçek kart numaranız yerine kullanılacak “Device Account Number” (DPAN) oluşturuyor. Bu numara şifrelenip cihazınızdaki Secure Element’e yazılıyor; iCloud’a yedeklenmiyor ve Apple’ın sunucularında tutulmuyor. Aynı kartı iPhone’unuza ve Apple Watch’unuza eklerseniz, her cihaz için ayrı bir numara veriliyor. Mağazalar bu numarayı görse de gerçek kart numaranızı asla paylaşmıyorsunuz.
Kasada neler oluyor?
- Adım 1 – Kimlik doğrulama: iPhone’da Face ID, Touch ID ya da parola ile; Apple Watch’ta yan tuşa çift tıklayarak onay veriyorsunuz. Bu onay tüketici cihazı tabanlı doğrulama (CDCVM) olarak geçiyor.
- Adım 2 – Tek seferlik kod: Onaydan sonra Secure Element, EMV standartlarına uygun tek kullanımlık bir kriptogram üretiyor. Terminale DPAN ile birlikte bu kriptogram gönderiliyor; iletişim temassız EMV üzerinden NFC ile yapılıyor.
- Adım 3 – Eşleştirme ve yetkilendirme: Ödeme ağı/banka tarafındaki token hizmeti, DPAN’i arka planda gerçek PAN ile eşleştiriyor ve işlem gerçek zamanlı olarak onaylanıyor.
Bu akış sayesinde satıcı, kartınızın gerçek numarasını öğrenmiyor; her işlemde farklı bir güvenlik kodu kullanıldığı için veriler ele geçirilse bile tekrar kullanılamıyor.
Apple Pay’in güvenliği donanımdan başlıyor. Ödeme kimlik bilgileri, işletim sisteminden izole bir çip olan Secure Element’in içinde saklanıyor ve EMVCo’nun belirlediği tokenizasyon çerçevesine göre çalışıyor. Apple, kart verilerine erişmiyor; DPAN Secure Element’te duvarlarla çevrili bir alanda kalıyor. Kısacası “gerçek kart numarası paylaşılmıyor + her işlemde dinamik kod” yaklaşımı, temassız kartın ötesinde ek katmanlar sunuyor.
Uygulama içi ve web ödemelerinde de mantık benzer. Site veya uygulama, Apple Pay’den bir ödeme token’ı alıyor; bunun içinde EMV verileri ve doğrulama bilgileri yer alıyor. İşlem yine tokenizasyon ve dinamik kriptogramla korunuyor.
Temassız kartlarda bazı ülkelerde limitler olabilir. Apple Pay’de CDCVM kullanıldığı için, terminal yazılımı güncelse bu üst limitlerin üzerinde de ödeme kabul edilebiliyor.
Cihazı kaybederseniz ya da çaldırırsanız, Bul uygulaması üzerinden kartları uzaktan durdurabilir veya silebilirsiniz. Kartı cihazdan kaldırmak kartınızı iptal etmez; DPAN devre dışı kalır. Aynı kartı tekrar eklerseniz, cihazınız için yeniden tanımlanmış bir ödeme numarası kullanırsınız.
Son olarak, kimlik avı mesajlarına dikkat edin. Apple Pay adıyla gelen “şüpheli işlem engellendi, şu numarayı arayın” gibi SMS/e-postalara itibar etmeyin; işlemlerinizi sadece Wallet veya bankanızın resmi uygulamasından yönetin.
Kaynak: www.techspot.com