Print:

Apple Pay gaat verder

Lex Borger, Consultant Information Security

LinkedIn profiel

Apple Pay is nu mogelijk in de Verenigde Staten. Het werd al langer verwacht dat Apple een betalingsoplossing zou aanbieden, zeker nadat Google het product Google Wallet introduceerde in 2011. Apple komt drie jaar na Google pas met een product. Het valt niet meteen op, maar onder de motorkap is Apple Pay behoorlijk vernieuwend.

Voor de gebruiker werkt het draadloos, doordat het gebruik maakt van NFC (near-field communication) en sluit net als Google Wallet aan op de wereldwijde EMV standaard, zodat bestaande infrastructuur in principe geschikt is voor Apple Pay. EMV is ook de standaard onder het chip-en-pin c.q. tap betaalsysteem dat we in Nederland kennen. Het heeft bijna een einde gemaakt aan skimfraude, doordat de transacties via een beveiligde chip worden afgehandeld. In de VS is men nog niet overgestapt op dit systeem, daar wordt nog volop met de magneetstrip gewerkt. Dus wordt daar nog geskimd. De VS gaan volgend jaar massaal over. EMV is veilig voor gebruik in de winkel. Het is dus goed dat Google en Apple hier op aansluiten.

Waar het grote verschil zit tussen Apple en Google is dat Google Wallet een rekening bijhoudt voor je en Apple Pay niet. Je moet Google Wallet dus opladen om te kunnen gebruiken, net zoals je PayPal account of je OV-chipkaart. En Google ziet dus alles wat jij met de Wallet doet.

Apple levert ‘slechts’ een NFC-kaart emulator. De klant hoeft geen rekening te openen en Apple hoeft geen creditcards of transacties te onthouden. Bij registratie van een kaart is er even een uitwisseling tussen Apple en de uitgever van de kaart, die een Device Account Number verstrekt, dat uniek is voor de kaart en de iPhone. Dit account number wordt in het ‘Secure Element’ opgeslagen, een beveiligd deel van de NFC chip die in elke iPhone 6 en 6 Plus is ingebouwd. Het originele creditcard nummer wordt nergens opgeslagen en nooit gebruikt in een transactie. Elk nummer is uniek per iPhone, opgesloten en alleen bruikbaar met de juiste vinger of pin. Bij gewone transacties is Apple zelf helemaal niet betrokken, alleen de iPhone en de terminal bij de verkoper. Vanuit Apple gezien de beste manier om veilig te zijn.

Maar Apple Pay gaat verder dan dit. Het werkt ook via het internet. En hierin is Apple uniek. Een app kan ook betalingen doen. De gebruiker weet welke apps Apple Pay kunnen gebruiken, heeft een bekende en vertrouwde interactie met de telefoon bij een betaling. Voor de verkoper en de uitgever van de creditcard verandert er echter iets: Zij weten zeker dat er bij deze transactie een specifieke actie gedaan is om het secure element te ontsluiten. Het gaat dus niet om een (mogelijk gestolen) nummer wat in een tekstveld in de browser is ingevuld. Hiermee maakt Apple Pay het in één keer mogelijk om over het internet, bij zogenaamde card-not-present transacties, veilige betalingen te doen. En daarom kan de card-not-present toeslag vervallen en ook de risico-opslag die de verkoper in zijn prijzen berekende om fraudekosten van te betalen. Veilig en goedkoop betalen over het internet is nu mogelijk.

Lex Borger

Lex is een redacteur voor het vakblad ‘Informatiebeveiliging’, wat gepubliceerd wordt door het PvIB (‘Platform voor Informatiebeveiliging’). Daarnaast is hij ook trainer bij IIR van o.a. de praktijktraining Security Architectuur.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten