Pagos con tarjeta mediante Apple Pay
Apple Pay se puede usar para pagar las compras hechas en tiendas, dentro de apps y en sitios web.
Pagar con tarjetas en tiendas
Si el iPhone o el Apple Watch está encendido y detecta un campo NFC, y si se configuró Apple Wallet como la app de pagos y sin contacto predeterminada, el dispositivo presenta al usuario la tarjeta solicitada (si la selección automática de esa tarjeta está activada) o bien la tarjeta predeterminada de Apple Wallet (lo cual se administra desde Configuración). El usuario también puede ir a Apple Wallet y seleccionar una tarjeta; o cuando el dispositivo esté bloqueado, puede realizar lo siguiente:
Presionar dos veces el botón lateral, en los dispositivos con Face ID (si Apple Wallet es la app predeterminada).
Presionar dos veces el botón Inicio, en los dispositivos con Touch ID (si Apple Wallet es la app predeterminada).
Usar las funciones de accesibilidad que permiten el uso de Apple Pay desde la pantalla bloqueada.
A continuación, antes de transmitir la información, el usuario debe confirmar su intención de pagar y autenticarse mediante uno de los siguientes métodos:
Autenticación biométrica
Contraseña o código del dispositivo
Hacer doble clic en el botón lateral de un Apple Watch desbloqueado
No se envía ninguna información de pago sin la autenticación del usuario.
Una vez que se ha verificado la identidad del usuario, se usan el número de cuenta del dispositivo y un código de seguridad único para procesar el pago. Ni Apple ni el dispositivo del usuario comparten números de tarjeta completos con los beneficiarios. Sin embargo, Apple puede recopilar datos anónimos, como la hora y el lugar de la transacción. Esta información ayuda a mejorar Apple Pay y otros servicios de Apple.
Pagar con tarjetas en las apps
También se puede usar Apple Pay para realizar pagos en apps de iOS, iPadOS, macOS, watchOS y visionOS. Cuando los usuarios pagan dentro de apps usando Apple Pay, Apple recibe la información de la transacción encriptada para poder dirigirla al desarrollador o comercio específicos para el cual el usuario hace el pago. Antes de que se envíe información al desarrollador o al comerciante, Apple vuelve a encriptar la transacción con una clave específica del desarrollador. Esto ayuda a garantizar que sólo un desarrollador autorizado que disponga del par de claves pueda desencriptar la información. Apple Pay guarda información sobre la transacción de forma anónima como, por ejemplo, el importe aproximado de la compra. Esta información no permite identificar al usuario y nunca incluye lo que se compró.
Además de poder usar Apple Pay en tiendas, también se admite en apps de iOS, iPadOS, macOS, watchOS y visionOS. Cuando los usuarios pagan en las apps, Apple obtiene los datos encriptados de la transacción, los vuelve a encriptar con una clave específica del desarrollador, y los envía al desarrollador o comerciante adecuado; esto garantiza que sólo los desarrolladores autorizados puedan acceder a ellos. Apple Pay conserva los datos anónimos, como el monto de la compra, los cuales no están vinculados con el usuario ni revelan lo que este compró.
Cuando una app inicia una transacción de pago de Apple Pay, los servidores de Apple Pay reciben la transacción encriptada desde el dispositivo antes de que el beneficiario la reciba. A continuación, los servidores de Apple Pay vuelven a encriptar la transacción con la clave específica del beneficiario antes de transmitirla.
Cuando una app solicita un pago, llama a una API para determinar si el dispositivo es compatible con Apple Pay y si la tarjeta de crédito o débito del usuario puede utilizarse para realizar pagos en una red de pago que acepte el beneficiario. La app solicita los datos que necesita para procesar y completar la transacción, como las direcciones de envío y de facturación, o la información de contacto. Enseguida, la app pide a iOS, iPadOS, macOS, watchOS, o visionOS que presente la hoja de Apple Pay, la cual solicita información para la app, así como otra información necesaria, como la tarjeta que se va a usar.
Es entonces cuando la app muestra la información relacionada con la ciudad, el país y el código postal para calcular los gastos de envío finales. Sin embargo, no recibe toda la información solicitada hasta que el usuario autoriza el pago mediante uno de los siguientes métodos:
Autenticación biométrica
Contraseña o código del dispositivo
Hacer doble clic en el botón lateral de un Apple Watch desbloqueado
Una vez autorizado el pago, la información que se muestra en la hoja de Apple Pay se envía al beneficiario.
Pagar con tarjetas en App Clips
Un App Clip es una porción de una app que permite que un usuario realice una tarea rápidamente (como rentar una bici o pagar el estacionamiento) sin tener que descargar una app completa. Si un App Clip admite pagos, el usuario puede usar Iniciar sesión con Apple (si el desarrollador de la app lo configuró) y luego hacer un pago con Apple Pay. Cuando un usuario realiza un pago desde un App Clip, las medidas de privacidad y seguridad son las mismas que cuando paga dentro de una app.
Cómo los usuarios autorizan pagos y los comercios los verifican
Los usuarios y los comercios garantizan la seguridad de un pago mediante la transmisión de información a los servidores de Apple Pay, el Secure Element, el dispositivo y la API de la app. Primero, el usuario autoriza un pago en una app. Enseguida, la app solicita un valor antirreproducción criptográfico de los servidores de Apple Pay. El servidor envía este valor y otros datos de la transacción al Secure Element, el cual crea una credencial de pago que se encripta mediante una clave de Apple. A continuación, el Secure Element devuelve la credencial a los servidores de Apple Pay para que se desencripte, se verifique su valor de antirreproducción (comparándolo con el valor que los servidores de Apple Pay enviaron originalmente) y se vuelva a encriptar con la clave del comerciante. Después, los servidores devuelven el pago al dispositivo para que se transmita a la API de la app y, de ahí, al sistema del comercio para su procesamiento. Finalmente, el comerciante verifica la credencial de pago para confirmar la transacción.
Las API requieren una autorización de ID de comerciante en la que se indiquen los ID compatibles del comerciante. Las apps también pueden incluir datos adicionales (como número de pedido o identidad del cliente) para enviarlos a Secure Element para su firma, a fin de asegurar que la transacción no se envíe a un cliente distinto. Esto lo lleva a cabo el desarrollador de la app, quien puede especificar datos específicos de la aplicación (applicationData) en la solicitud de pago. En los datos de pago encriptados, se incluye un hash de estos datos. A continuación, el beneficiario será responsable de verificar que su hash de applicationData coincida con el de los datos de pago.
Pagar con tarjetas en sitios web
Apple Pay se puede usar para hace pagos en sitios web con:
Dispositivos que usan autenticación biométrica
Apple Watch
Computadoras Mac con Apple Chip que usan el Magic Keyboard con Touch ID
Las transacciones de Apple Pay también se pueden iniciar en una Mac y completarse en un iPhone compatible con Apple Pay, o un Apple Watch que utilice la misma cuenta de iCloud. Si el usuario transmite información relacionada con el pago de esta manera, Handoff de Apple Pay utiliza el protocolo del servicio de identidad (IDS) de Apple con encriptado de extremo a extremo para transmitir la información relacionada con el pago entre la Mac del usuario y el dispositivo de autorización. El cliente del IDS en la Mac utiliza las claves del dispositivo del usuario para realizar la encriptación, por lo que ningún otro dispositivo puede desencriptar esta información. Apple no puede acceder a estas claves.
La detección de dispositivos para la función Handoff de Apple Pay contiene el tipo e identificador único de las tarjetas de crédito del usuario junto con algunos metadatos. El número de cuenta del dispositivo definido en la tarjeta del usuario no se comparte y se conserva almacenado de forma segura en el iPhone o Apple Watch del usuario. Apple también transfiere de forma segura las direcciones de contacto, envío y facturación usadas recientemente por el usuario a través del llavero de iCloud.
Una vez que el usuario autoriza un pago, se transmite de forma segura desde el iPhone o Apple Watch del usuario a su Mac un identificador de pago, encriptado de forma única para el certificado de comerciante de cada sitio web, que luego se entrega al sitio web del comerciante.
Nota: Sólo los dispositivos cercanos pueden solicitar y completar el pago. La proximidad se determina a través de los anuncios de Bluetooth® de baja energía (BLE).
Apple Pay en la web también requiere que todos los sitios web participantes se registren con Apple. Después del registro del dominio, la validación del nombre de dominio se realiza sólo después de que Apple emite un certificado de cliente TLS. Los sitios web que admiten Apple Pay deben:
Proporcionar su contenido mediante el protocolo HTTPS.
Obtener una sesión comercial segura y única (para cada transacción de pago) con un servidor de Apple utilizando el certificado de cliente TLS emitido por Apple.
Los datos de la sesión del comerciante están firmados por Apple. Una vez que se verifica la firma de una sesión de comerciante, un sitio web podría revisar si el usuario tiene un dispositivo compatible con Apple Pay y si tiene una tarjeta de crédito, débito o prepago activa en el dispositivo. No se comparte ninguna otra información. Si el usuario no desea compartir esta información, puede desactivar las consultas de Apple Pay en la configuración de privacidad de Safari en dispositivos iPhone, iPad y Mac.
Si el sitio web usa la versión más reciente del SDK JS de Apple Pay, las transacciones de Apple Pay también pueden iniciarse usando cualquier navegador web de terceros en cualquier sistema operativo, y completarse en un iPhone o iPad (con iOS 18 o iPadOS 18 o posterior, respectivamente) que tenga Apple Pay activado. Para que esto ocurra, se debe escanear un código utilizando la cámara del dispositivo para establecer una conexión con el sitio web. Cuando el sitio web presenta este código, se establece una conexión WebSocket segura entre el sitio web y los servidores de Apple. Al escanear este código, se establece una conexión WebSocket segura adicional entre el dispositivo habilitado para Apple Pay y los servidores de Apple. Esto completa la conexión bidireccional necesaria entre el sitio web y el dispositivo habilitado para Apple Pay, utilizando los servidores de Apple como relé. Cualquier comunicación realizada entre estas dos partes sigue el proceso habitual de las transacciones web de Apple Pay.
Una vez que se valida una sesión de comerciante, todas las medidas de privacidad y seguridad son las mismas que cuando un usuario paga en una app.
Pagos automáticos e identificadores de comerciante
Los usuarios con dispositivos con iOS 16, iPadOS 16, macOS 13, o una versión posterior, pueden usar identificadores de comerciante de Apple Pay para realizar pagos seguros entre sus dispositivos. La hoja de pago actualizada de Apple Pay optimiza los pagos preautorizados. La API de Apple Pay también es compatible con nuevos tipos de transacciones, lo que permite a los desarrolladores personalizar la hoja de pagos para usos específicos, como suscripciones, facturas periódicas, pagos a plazos y recarga automática de saldos de tarjetas.
Los identificadores de comerciante no son específicos de un dispositivo, por lo que admiten continuidad en los pagos recurrentes en caso de que un usuario elimine una tarjeta de pago del dispositivo.
Pagos a varios comercios
En iOS 16 o versiones posteriores, Apple Pay incluye la posibilidad de especificar montos de compra para varios comercios en una sola hoja de pago de Apple Pay. Esto ofrece la flexibilidad necesaria para permitir que los clientes realicen compras combinadas, como por ejemplo un paquete de viaje con vuelo, renta de auto y hotel que envía los pagos a los comercios individuales.