以卡片進行 Apple Pay 付款
Apple Pay 可用來在商店、App 內和網站上購買商品。
在商店使用卡片付款
如果 iPhone 或 Apple Watch 已開機且偵測到 NFC 感應場,並且「Apple 錢包」被設定為預設「付款和感應式」App,裝置便會向使用者顯示要求的卡片(若該卡已開啟自動選取功能),或「Apple 錢包」的預設卡片(於「設定」中管理)。使用者也可前往「Apple 錢包」並選擇卡片,或當裝置鎖定時,可以:
按兩下具有 Face ID 的裝置上的側邊按鈕(如果「Apple 錢包」是預設 App)
按兩下具有 Touch ID 的裝置上的主畫面按鈕(如果「Apple 錢包」是預設 App)
使用允許從鎖定螢幕支付 Apple Pay 的輔助使用功能
接著,在傳輸資訊之前,使用者必須確認其付款意圖並使用以下方法之一進行身分認證:
生物特徵辨識認證
裝置密碼
按兩下已解鎖 Apple Watch 的側邊按鈕
所有付款資訊皆需經過使用者認證始得發送。
使用者的身分驗證完成後,便會使用「裝置帳號號碼」和唯一的安全碼來處理付款。無論是 Apple 還是使用者的裝置,皆不會向商家分享完整的卡號。不過,Apple 可能會取得匿名資料,例如交易時間和地點。此資訊有助於改善 Apple Pay 和其他 Apple 服務。
在 App 內使用卡片付款
Apple Pay 也可以用來在 iOS、iPadOS、macOS、watchOS 和 visionOS App 內進行付款。當使用者在 App 內使用 Apple Pay 付款時,Apple 會收到加密的交易資訊以傳給使用者對其付款的特定開發者或商家。發送出該資訊給開發者或商家前,Apple 會使用開發者專用的密鑰來重新加密交易。這是為了協助確保只有擁有密鑰組的授權開發者才能解密資訊。Apple Pay 會保留匿名的交易資訊,例如約略購買金額。此資訊無法用來追蹤使用者,且絕不包含使用者購買的商品資訊。
除了在商店中使用 Apple Pay 之外,它還可以在 iOS、iPadOS、macOS、watchOS 和 visionOS App 中使用。當使用者在 App 中付款時,Apple 會取得加密的交易資料。然後,它將這些資料傳送給正確的開發者或商家。在此之前,Apple 會使用開發者特定的密鑰重新加密資料。這確保只有授權的開發者才能進行存取。Apple Pay 會保留匿名資料,例如購買金額。然而,這些資料不會與使用者連結,也不會透露他們購買了什麼。
當 App 起始 Apple Pay 付款交易時,Apple Pay 伺服器會比商家先收到來自裝置的加密資訊。Apple Pay 伺服器接著會以商家專用的密鑰重新加密,然後再傳遞給商家。
當 App 要求付款時,會呼叫 API 以判別裝置是否支援 Apple Pay,以及使用者所使用的信用卡或簽帳金融卡是否可在商家認可的付款網路上進行付款。App 會要求取得所需的資料,以處理及完成交易,例如帳單和送貨地址,以及聯絡資訊。然後,App 會要求 iOS、iPadOS、macOS、watchOS 或 visionOS 提供 Apple Pay。接著,此表單會要求 App 的資訊和其他必要的資訊,例如要使用的卡片。
需在此時提供城市、行政區和郵遞區號等資訊給 App 以計算最終運費。直到使用者使用以下方式之一授權付款,所要求的全部資訊才會提供給 App:
生物特徵辨識認證
裝置密碼
按兩下已解鎖 Apple Watch 的側邊按鈕
付款一經授權,Apple Pay 表單內出示的資訊便會傳送給商家。
在輕巧 App 內使用卡片付款
輕巧 App 是 App 的一小部分,可讓使用者快速執行作業(如租借自行車、支付停車費等),不需要下載完整 App。在支援付款功能的輕巧 App 中,使用者可以「使用 Apple 登入」(如果 App 開發者有設定),然後使用 Apple Pay 進行付款。當使用者在輕巧 App 內進行付款,所有安全和隱私保護措施都與在一般 App 中付款相同。
使用者授權、商家驗證、App 付款的方式
使用者和商家可藉由將資訊傳遞至 Apple Pay 伺服器、Secure Element、裝置和 App 的 API,確保 App 付款安全無虞。首先,使用者授權 App 付款。然後,App 會向 Apple Pay 伺服器要求加密的反重放值。伺服器會將此值和其他交易資料傳送到 Secure Element,其會建立一個使用 Apple 密鑰加密的付款憑證。Secure Element 接著會將付款憑證傳回給 Apple Pay 伺服器以進行解密、根據 Apple Pay 伺服器最初傳送的反重放值驗證其反重放值,然後透過商家密鑰重新加密。然後,伺服器會將付款傳回至裝置,再由裝置回傳給 App API,讓 API 傳遞至商家系統進行處理。最後,商家驗證付款憑證以確認交易。
API 會要求一個商家 ID 授權,此授權用來指定支援的「商家 ID」。App 也可以包含其他資料(例如訂單編號或客戶身分)來傳送至待簽署的「安全隔離區」,確保交易無法轉移至其他客戶。此程序需由 App 開發者執行,他們可以在付款要求上指定應用程式特定的資料(applicationData)。此資料的雜湊值會包含在加密的付款資料中。商家接著會負責驗證 applicationData 雜湊值是否與付款資料內包含的雜湊值相符。
在網站上使用卡片付款
以下裝置可以使用 Apple Pay 在網站上付款:
使用生物特徵辨識認證的裝置
Apple Watch
採用 Apple 晶片且使用配備 Touch ID 的巧控鍵盤的 Mac 電腦
Apple Pay 交易也可在 Mac 上進行,並在使用相同 iCloud 帳號且啟用 Apple Pay 的 iPhone 或 Apple Watch 上完成。如果使用者以此方式傳輸付款相關資訊,Apple Pay「接力」會使用端對端的加密「Apple 識別服務」(IDS)通訊協定,在使用者的 Mac 與授權裝置間傳輸付款的相關資訊。Mac 上的 IDS 用戶端會利用使用者的裝置密鑰來執行加密,因此任何其他裝置皆無法解密此資訊。而這些密鑰無法供 Apple 使用。
為 Apple Pay「接力」進行的裝置搜尋包含使用者信用卡的類型與唯一識別碼,以及部分後設資料。使用者卡片的「裝置帳號號碼」不會共享,且會安全地繼續保留在使用者的 iPhone 或 Apple Watch 上。Apple 也會透過「iCloud 鑰匙圈」安全地傳送使用者最近使用過的聯絡人、送貨及帳單地址。
使用者授權付款後,針對每個網站商家憑證進行專屬加密的付款代號就會安全地從使用者的 iPhone 或 Apple Watch 傳輸到他們的 Mac,然後傳遞到商家的網站。
【注意】只有鄰近的裝置可要求和完成付款。鄰近位置是透過低功耗藍牙®(BLE)廣播來加以判定。
網路上的 Apple Pay 服務也會要求所有參與的網站向 Apple 註冊。網域註冊後,只會在 Apple 核發 TLS 用戶端憑證後,才執行網域名稱驗證。支援 Apple Pay 的網站需要:
透過 HTTPS 提供內容
使用 Apple 簽發的 TLS 用戶端憑證與 Apple 伺服器取得安全且唯一的商家作業階段(針對每筆付款交易)
商家作業階段資料則會由 Apple 加以簽署。商家作業階段簽章經過驗證後,網站便可查詢使用者是否具有支援 Apple Pay 的裝置,以及這些裝置上是否已啟用信用卡、簽帳金融卡或預付卡。任何其他細節皆不會共享。如果使用者不想要共享此資訊,他們可以在 iPhone、iPad 和 Mac 裝置上的 Safari 隱私權設定中停用 Apple Pay 查詢。
如果網站使用最新版本的 Apple Pay JS SDK,則 Apple Pay 交易也可以在任何作業系統上使用任何第三方網頁瀏覽器啟動,並在使用 iOS 18、iPadOS 18 或以上版本且支援 Apple Pay 的 iPhone 或 iPad 上完成。為了完成此操作,必須使用裝置的攝影機掃描一組代碼以與網站建立連線。當網站提供此代碼時,網站和 Apple 伺服器之間就會建立安全的 WebSocket 連線。掃描此代碼後,支援 Apple Pay 的裝置和 Apple 伺服器之間會建立一個額外的獨立安全性 WebSocket 連線。這樣就完成了網站和支援 Apple Pay 的裝置之間所需的雙向連線,使用 Apple 的伺服器作為轉送服務。這兩方之間進行的任何通訊均遵循 Apple Pay 網路交易的一般流程進行。
商家作業階段經過驗證後,所有隱私權與安全性措施皆與使用者在 App 內付款時相同。
自動付款與商家代號
搭載 iOS 16、iPadOS 16、macOS 13 或以上版本的裝置可以使用 Apple Pay 商家代號,以確保使用者裝置間的付款安全性。更新的 Apple Pay 付款表單最佳化了預先授權付款的流程。Apple Pay API 也支援新的交易類型,讓開發者能夠針對特定用途自訂付款表單,例如訂閱項目、定期帳單、分期付款,以及自動儲值卡片餘額。
商家代號不會綁定裝置,因此如果使用者從裝置移除特定付款卡,還是可進行持續性定期付款。
付款給多個商家
在 iOS 16 或以上版本中,Apple Pay 提供新功能,可在單一 Apple Pay 付款表單中指定多個商家的購買金額。這為客戶帶來彈性,可一次購買搭售商品,例如包含航班、租車和旅館的旅遊套裝行程,然後再分別付款給不同商家。