Betala med kort via Apple Pay
Apple Pay kan användas till att betala för inköp i butiker, i appar och på webbplatser.
Betala med kort i butiker
Om iPhone eller Apple Watch är på och upptäcker ett NFC-fält, och om Plånbok är inställd som förvald betalnings- och kontaktlös app, visar enheten det begärda kortet för användaren (om automatiskt val är aktiverat för det kortet) eller det förvalda kortet från Plånbok (som hanteras i Inställningar). Användaren kan även öppna Plånbok och välja ett kort eller göra följande när enheten är låst:
Dubbelklicka på sidoknappen på enheter med Face ID (om Plånbok är den förvalda appen).
Dubbelklicka på hemknappen på enheter med Touch ID (om Plånbok är den förvalda appen).
Använda hjälpmedelsfunktioner som gör att Apple Pay kan användas från låsskärmen.
Innan informationen skickas måste användaren först bekräfta sin avsikt att betala och autentisera sig med en av de följande metoderna:
Biometrisk autentisering
Enhetens lösenkod eller lösenord
Dubbelklick på sidoknappen på en olåst Apple Watch
Ingen betalningsinformation skickas utan användarens autentisering.
När användarens identitet har verifierats används enhetens kontonummer och en unik säkerhetskod till att bearbeta betalningen. Varken Apple eller användarens enhet delar fullständiga kortnummer med försäljare. Apple kan däremot få en del anonyma data, till exempel tid och plats för transaktionen. Den här informationen bidrar till att förbättra Apple Pay och andra Apple-tjänster.
Betala med kort i appar
Apple Pay kan även användas till att utföra betalningar i iOS-, iPadOS-, macOS-, watchOS- och visionOS-appar. När användare betalar i appar med Apple Pay tar Apple emot den krypterade transaktionsinformationen och dirigerar den till den specifika utvecklaren eller försäljaren som användaren betalar till. Innan den informationen skickas vidare till utvecklaren eller försäljaren omkrypterar Apple transaktionen med en utvecklarspecifik nyckel. Det bidrar till att säkerställa att endast en auktoriserad utvecklare som har nyckelparet kan avkryptera informationen. Apple Pay sparar anonym transaktionsinformation, t.ex. det ungefärliga beloppet. Den här informationen kan inte kopplas till användaren och talar aldrig om vad användaren köper.
Förutom betalning med Apple Pay i affärer fungerar det också inuti iOS-, iPadOS-, macOS-, watchOS- och visionOS-appar. När användare betalar inuti appar får Apple krypterade transaktionsdata. Sedan skickas dessa data till den relevanta utvecklaren eller försäljaren. Innan de skickas omkrypterar Apple data med en utvecklarspecifik nyckel. Det ser till att bara auktoriserade utvecklare kommer åt dem. Apple Pay behåller anonyma data, t.ex. inköpsbeloppet. Dessa data länkas inte till användare och avslöjar inte vad de har köpt.
När en app initierar en Apple Pay-betalning mottar Apple Pay-servrarna den krypterade transaktionen från enheten innan försäljaren tar emot den. Apple Pay-servrarna krypterar sedan om transaktionen med försäljarens specifika nyckel innan den skickas vidare till försäljaren.
När appen begär en betalning anropar den ett API för att avgöra om enheten stöder Apple Pay och om användaren har ett kredit- eller bankkort som kan utföra betalningar i det betalningsnätverk som försäljaren använder. Appen frågar efter information den behöver för att behandla och fullfölja transaktionen, till exempel fakturerings- och leveransadressen samt kontaktinformation. Appen begär sedan att iOS, iPadOS, macOS, watchOS eller visionOS visar Apple Pay. Det här bladet efterfrågar information för appen och annan nödvändig information, till exempel vilket kort som ska användas.
Appen förses nu med information om postort och postnummer för slutlig beräkning av fraktkostnaden. All den information som har begärts lämnas inte ut till appen förrän användaren auktoriserar betalningen med en av de följande metoderna:
Biometrisk autentisering
Enhetens lösenkod eller lösenord
Dubbelklick på sidoknappen på en olåst Apple Watch
När betalningen auktoriseras överförs informationen som visas på Apple Pay-bladet till försäljaren.
Betala med kort inuti appklipp
Ett appklipp är en liten del av en app som gör det möjligt för användare att snabbt utföra en uppgift (som att hyra en cykel eller betala för parkering) utan att hämta den fullständiga appen. Om appklippet stöder betalningar kan användaren använda Logga in med Apple (om det har konfigurerats av apputvecklaren) och sedan betala med Apple Pay. När en användare gör en betalning inuti ett appklipp är alla säkerhets- och integritetsåtgärder samma som när en användare betalar inuti en app.
Hur användare autentiserar och försäljare verifierar appbetalningar
Användare och försäljare säkerställer säkra appbetalningar genom att överföra information till Apple Pay-servrarna, Secure Element, enheten och appens API. Först auktoriserar användaren en appbetalning. Sedan begär appen ett kryptografiskt anti-replay-värde från Apple Pay-servrarna. Servrarna skickar det här värdet och andra transaktionsdata till Secure Element som skapar en betalningsuppgift som krypteras med en Apple-nyckel. Secure Element returnerar sedan betalningsuppgiften till Apple Pay-servrarna så att de kan avkryptera den, verifiera anti-replay-värdet mot det anti-replay-värde som Apple Pay-servrarna ursprungligen skickade och kryptera den på nytt med försäljarens nyckel. Servrarna returnerar sedan betalningen till enheten som överlämnar den till appens API så att API:t kan överföra den till försäljarens system för bearbetning. Slutligen verifierar försäljaren betalningsuppgiften för att bekräfta transaktionen.
API:erna kräver en försäljar-ID-behörighet som anger de försäljar-ID:n som stöds. En app kan också bifoga ytterligare data (till exempel ett ordernummer eller kundens identitet) som skickas till Secure Element för signering så att transaktionen inte kan dirigeras om till en annan kund. Det här åstadkoms av apputvecklaren som kan ange appspecifika data (applicationData) i förfrågan om betalning. En hashkod för dessa data inkluderas i den krypterade betalningsinformationen. Försäljaren är sedan ansvarig för att verifiera att hashkoden för applicationData matchar det som ingår i betalningsinformationen.
Betala med kort på webbplatser
Apple Pay kan användas till att betala på webbplatser med följande:
Enheter som använder biometrisk autentisering
Apple Watch
Mac-datorer med Apple Silicon som använder Magic Keyboard med Touch ID
Apple Pay-transaktioner kan även inledas på en Mac och sedan slutföras på en Apple Pay-aktiverad iPhone eller Apple Watch som använder samma iCloud-konto. Om användaren överför betalningsrelaterad information på det här sättet använder Apple Pay med Handoff det heltäckande krypterade Apple Identity Service (IDS)-protokollet till att överföra betalningsrelaterad information mellan användarens dator och den auktoriserande enheten. IDS-klienten på en Mac använder användarens enhetsnycklar till att utföra krypteringen så att inga andra enheter kan avkryptera informationen. De här nycklarna är inte tillgängliga för Apple.
Enhetsupptäckt för Apple Pay-överlämning innehåller typ och unik identifierare för användarens kreditkort tillsammans med vissa metadata. Enhetskontonumret för användarens kort delas inte, och det fortsätter att lagras säkert på användarens iPhone eller Apple Watch. Apple överför också användarens senast använda kontaktuppgifter och leverans- och faktureringsadress säkert via iCloud-nyckelring.
När användaren har auktoriserat en betalning överförs en betalningstoken som är unikt krypterad till varje webbplats försäljarcertifikat på ett säkert sätt från användarens iPhone eller Apple Watch till datorn och levereras sedan till försäljarens webbplats.
Obs! Endast enheter som finns i närheten av varandra kan begära och slutföra betalningar. Närheten bestäms genom Bluetooth Low Energy (BLE)-annonsering.
Apple Pay på webben kräver också att alla webbplatser som deltar registreras hos Apple. När domänen har registrerats utförs validering av domännamnet endast efter att Apple har utfärdat ett TLS-klientcertifikat. Webbplatser som stöder Apple Pay måste:
Leverera sitt innehåll via HTTPS.
Upprätta en säker och unik försäljarsession (för varje betalningstransaktion) till en Apple-server med det Apple-utfärdade TLS-klientcertifikatet.
Försäljarsessionsdata signeras av Apple. När en försäljarsessionssignatur har verifierats kan webbplatsen skicka en förfrågan om användaren har en enhet förberedd för Apple Pay och om ett kredit- eller kontokort eller ett förbetalt kort är aktiverat på enheten. Inga andra detaljer delas. Om användaren inte vill dela den här informationen kan denna avaktivera Apple Pay-förfrågningar i integritetsinställningarna för Safari på iPhone-, iPad- och Mac-enheter.
Om webbplatsen använder den senaste versionen av Apple Pay JS SDK kan Apple Pay-transaktioner även påbörjas med valfri webbläsare från tredje part i valfritt operativsystem och kan slutföras på en Apple Pay-aktiverad iPhone eller iPad med iOS 18, iPadOS 18 eller senare. För att göra detta måste en kod skannas med enhetens kamera för att upprätta en anslutning till webbplatsen. När webbplatsen visar den här koden upprättas en säker WebSocket-anslutning mellan webbplatsen och Apples servrar. Vid skanning av koden skapas en till separat säker WebSocket-anslutning mellan den Apple Pay-aktiverade enheten och Apples servrar. Det här slutför den dubbelriktade anslutning som krävs mellan webbplatsen och den Apple Pay-aktiverade enheten med Apples servrar som relä. All efterföljande kommunikation mellan de båda parterna följer sedan den vanliga processen för webbtransaktioner med Apple Pay.
När en försäljarsession har validerats är alla integritets- och säkerhetsåtgärder samma som när en användare betalar inuti en app.
Automatiska betalningar och försäljartokens
Enheter med iOS 16, iPadOS 16, macOS 13 eller senare kan använda Apple Pay-försäljartokens som garanterar säkra betalningar mellan en användares enheter. Det uppdaterade Apple Pay-betalningsbladet optimerar förauktoriserade betalningar. Apple Pay-API:t har även stöd för nya transaktionstyper, vilket gör det möjligt för utvecklare att anpassa betalningsbladet för särskilda användningar, till exempel abonnemang, återkommande räkningar, avbetalningar och automatisk påfyllning av kortsaldon.
Försäljartokens är inte enhetsspecifika, så återkommande betalningar avbryts inte om användaren tar bort ett kontokort från enheten.
Betalningar till flera försäljare
I iOS 16 eller senare innehåller Apple Pay möjligheten att ange inköpsbelopp för flera försäljare inuti ett enda Apple Pay-betalningsblad. Det ökar flexibiliteten för kunder som kan göra ett paketköp, till exempel en resa med flyg, hyrbil och hotell, och sedan skicka betalningar till enskilda försäljare.