Cómo funciona Apple Pay bajo el capó

¿Usas Apple Pay? ¿Alguna vez te has preguntado cómo se realiza una transacción de Apple Pay? En esta publicación, aprenderá cómo funciona Apple Pay de principio a fin.

Los pagos móviles se han vuelto muy populares debido a la conveniencia y la seguridad que ofrecen. No más tarjetas de plástico para llevar, y no tiene que preocuparse por perderlas (¡qué alivio!).

En este artículo, voy a discutir cómo funciona Apple Pay en general y cómo funciona cuando se usa en un terminal POS físico, específicamente. También discutiré brevemente los beneficios de seguridad.

Antes de sumergirnos, familiaricémonos con la terminología básica.

Elemento seguro

Un elemento seguro (SE) es algo que se menciona cuando se habla de Apple Pay, por lo que debemos entender qué es.

Según Global Platform:

Un elemento seguro (SE) es una plataforma a prueba de manipulaciones (normalmente un microcontrolador seguro de un chip) capaz de alojar de forma segura aplicaciones y sus datos confidenciales y criptográficos (por ejemplo, gestión de claves) de acuerdo con las reglas y requisitos de seguridad establecidos por un conjunto Autoridades de confianza bien identificadas.

Apple Pay usa SE para almacenar información secreta asociada con tarjetas tokenizadas (hablaremos de esto más adelante).

En los iPhones posteriores al iPhone 6 y en el Apple Watch, un SE está integrado en el chip de comunicación de campo cercano (NFC) del dispositivo. Se utiliza en terminales de pago para realizar transacciones a través de NFC. SE emula una tarjeta de pago durante una transacción de Apple Pay.

Tokenización

La tokenización como proceso se está adoptando cada vez más en la industria de pagos. Aquí intentaremos comprender los conceptos básicos de la tokenización.

La siguiente es una descripción concisa de Wikipedia sobre la tecnología de tokenización:

La tokenización , cuando se aplica a la seguridad de los datos, es el proceso de sustitución de un elemento de datos sensibles con un equivalente no sensible, denominado token, que no tiene un significado o valor extrínseco o explotable. El token es una referencia (es decir, un identificador) que se asigna a los datos confidenciales a través de un sistema de tokenización. El mapeo de los datos originales a un token utiliza métodos que hacen que los tokens no sean factibles de revertir en ausencia del sistema de tokenización.

En el contexto de las tarjetas de crédito y Apple Pay, la tokenización se utiliza para reemplazar el Número de cuenta principal (PAN, o el número de la tarjeta de crédito) con un token. Un token parece un número de tarjeta de crédito normal, pero no es el PAN original. La tokenización evita que se utilice el número de tarjeta original durante las transacciones.

Los tokens no tienen significado por sí mismos y no tienen valor para los criminales si se roban un token. No existe un algoritmo para derivar el Número de cuenta principal si tiene un token. Esto hace que sea imposible para los delincuentes realizar ingeniería inversa del número de cuenta principal a partir de un token.

Haga clic aquí para ver el artículo de Wikipedia sobre tokenización si desea obtener más información.

El siguiente diagrama describe el flujo de transacciones de Apple Pay. Discutiremos estos paso a paso en las próximas secciones.

Agregar una tarjeta a Apple Pay

Se puede agregar una tarjeta a Apple Pay escaneando la tarjeta o enviando la información de la tarjeta. Luego, esta información se envía a los servidores de Apple.

Apple envía la información de la tarjeta recibida a la red de tarjetas correspondiente (Visa, MasterCard, AmericanExpress, Discover, etc.). Luego, la red de tarjetas valida la información de la tarjeta con el banco emisor.

Después de la validación, la red de tarjetas que actúa como TSP (Proveedor de servicios de token) crea un token (que se denomina DAN o Número de cuenta de dispositivo en el contexto de Apple Pay) y una clave de token. Este DAN se genera mediante tokenización y no es el número de tarjeta real.

Posteriormente, esta información se envía de vuelta a los servidores de Apple. Una vez que el dispositivo recibe esta información de los servidores de Apple, se guarda en el elemento seguro (SE) del dispositivo.

Iniciar una transacción con Apple Pay

Cuando utiliza su dispositivo Apple en un terminal POS para realizar un pago, el dispositivo se comunica con el terminal para iniciar una transacción. Apple Pay utiliza la especificación sin contacto de EMVCO para comunicarse con el terminal. Si el terminal no admite EMV sin contacto, Apple Pay vuelve a utilizar el modo MSD (datos de banda magnética) sin contacto.

Modo EMV sin contacto

Cuando se utiliza el modo EMV sin contacto, el dispositivo Apple se comunica con el terminal de acuerdo con la especificación EMV sin contacto. El elemento seguro en el dispositivo genera un criptograma dinámico para cada transacción utilizando el token, la clave del token, el monto y otra información relacionada con la transacción. Este criptograma dinámico se envía luego al procesador de pagos junto con el token (DAN), el monto de la transacción y otra información requerida para procesar la transacción.

Modo MSD sin contacto

El MSD sin contacto existe para admitir terminales que aún no pueden procesar utilizando el modo sin contacto EMV. La mayoría de los terminales siguen funcionando con el modo MSD sin contacto. Echemos un vistazo más profundo a cómo se realiza una transacción utilizando el modo MSD sin contacto.

MSD, o Magnetic Stripe Data, es la forma en que las tarjetas antiguas almacenan los detalles de la tarjeta. Los datos se almacenan como pistas en tarjetas de banda magnética. Las tarjetas de banda magnética pueden tener hasta 3 pistas, y cada pista (pista1, pista2, pista3) tiene un formato diferente. Haga clic aquí para obtener información adicional sobre los datos de la pista.

En el modo MSD sin contacto de Apple Pay, el formato de datos track2 se utiliza para transferir los datos de la tarjeta al procesador de pagos que luego se comunica con la red de la tarjeta.

Echemos un vistazo a algunos datos de seguimiento de ejemplo enviados desde un terminal al procesador para una transacción de Apple Pay.

370295292756481 = 220672716078290600047

Arriba se muestra un ejemplo de datos de seguimiento recibidos desde un terminal que se capturaron en una pasarela de pago.

Entendamos estos datos segmento por segmento,

  • Resaltado en amarillo: este es el número de cuenta del dispositivo o el DAN (el ejemplo de DAN aquí es de una tarjeta AmericanExpress. Puede validar el número de identificación bancaria (BIN), o los 6 dígitos iniciales del número de la tarjeta de crédito, aquí).
  • Resaltado en azul: este es el año y mes de vencimiento de la tarjeta de crédito (aa / mm)
  • Resaltado en rosa: este es el código de servicio. Haga clic aquí para comprender más sobre esto.
  • Resaltado en violeta: esta parte de los datos es discrecional para la red de la tarjeta. En el caso de Apple Pay, se utiliza como valor de verificación de tarjeta dinámica (CVV).

Aprendimos que en el modo EMV se genera un criptograma dinámico . Aquí el CVV dinámico juega el papel del criptograma. Esto se genera utilizando la clave del token y otros datos relacionados con la transacción (similar a la generación de un criptograma dinámico ).

Los datos de seguimiento que se muestran arriba se envían al adquirente junto con el monto de la transacción. El adquirente reenvía esta información a la red de tarjetas correspondiente (Visa, MasterCard, etc.) según el BIN.

Finalización de una transacción de Apple Pay

Cuando la red de tarjetas recibe la solicitud de transacción, identifica si es un número de tarjeta real o un número de tarjeta tokenizado. Si está tokenizado (que es el caso de las transacciones de Apple Pay), la red de la tarjeta valida el criptograma (o CVV dinámico) usando su copia de la clave del token (la red de la tarjeta actúa como un TSP aquí).

Después de algunas otras validaciones adicionales, la red de tarjetas elimina el token del DAN y obtiene el PAN original (número de cuenta principal).

Esta solicitud de transacción se envía al emisor (el banco o la institución financiera que emitió la tarjeta de crédito) junto con el PAN original. El emisor autoriza la transacción y devuelve la respuesta que finalmente llega al TPV.

¡Hurra! ¡Transacción completada!

Reproducción de solicitudes de transacción

Uno de los mayores problemas con las transacciones tradicionales con tarjeta es la capacidad de reproducir solicitudes de transacciones pasadas (ataque de repetición). Si reenvía la misma solicitud de transacción, se realizará otra transacción con los mismos datos.

Con Apple Pay, esto no sucede (también cuando se utilizan tarjetas EMV directamente en el terminal). Cada solicitud de transacción solo se puede utilizar una vez. El criptograma dinámico (CVV dinámico en modo MSD) lo garantiza. Para cada transacción, se genera un nuevo criptograma que solo se puede usar una vez (y solo es válido por un período de tiempo determinado).

Conclusión

En este artículo, hemos revisado una descripción general del flujo de transacciones de Apple Pay. Hablaré de Google Pay en un próximo artículo.

Referencias

  • //www.gmarwaha.com/blog/2015/01/03/apple-pay-an-attempt-to-demystify-take-2/
  • //www.emvco.com/emv-technologies/contactless/
  • //msrtron.com/blog-headlines/blog-card-data
  • //www.slideshare.net/bellidcom/what-is-a-token-service-provider-52887269

¡Antes de que te vayas!

Si te ha gustado este artículo, ¡los aplausos son bienvenidos!