Apple introduceerde onlangs Apple Pay. Het werd al langer verwacht dat Apple een betalingsoplossing zou aanbieden, zeker nadat Google het product Google Wallet introduceerde in 2011. Apple komt drie jaar later pas met een product. Het valt niet meteen op, maar onder de motorkap is Apple Pay behoorlijk vernieuwend.
Voor de gebruiker werkt het draadloos, doordat het gebruikmaakt van NFC (near-field communication) en sluit net als Google Wallet aan op de wereldwijde EMV standaard, zodat bestaande infrastructuur in principe geschikt is voor Apple Pay. EMV is ook de standaard voor het chip-en-pin betaalsysteem dat we in Nederland kennen. Het heeft bijna een einde gemaakt aan skimfraude, doordat de transacties via een beveiligde chip worden afgehandeld. In de VS is men nog niet overgestapt op dit systeem, daar wordt nog volop met de magneetstrip gewerkt. Dus wordt daar nog geskimd. De VS gaan volgend jaar massaal over. EMV is veilig voor gebruik in de winkel. Het is dus goed dat Google en Apple hier op aansluiten.
Het grote verschil tussen Apple en Google is dat Google Wallet een rekening bijhoudt voor je en Apple Pay niet. Je moet Google Wallet dus opladen om te kunnen gebruiken, net zoals je PayPal account of je OV-chipkaart. En Google ziet dus alles wat jij met de Wallet doet. Apple levert ‘slechts’ een NFC-kaart emulator. De klant hoeft geen rekening te openen en Apple hoeft geen creditcards of transacties te onthouden. Bij registratie van een kaart is er even een uitwisseling tussen Apple en de uitgever van de kaart, die een Device Account Number verstrekt, dat uniek is voor de kaart en de iPhone. Dit account number wordt in het ‘Secure Element’ opgeslagen, een beveiligd deel van de NFC chip die in elke iPhone 6 en 6 Plus is ingebouwd. Het originele creditcardnummer wordt nergens opgeslagen en nooit gebruikt in een transactie. Elk nummer is uniek per iPhone, opgesloten en alleen bruikbaar met de juiste vinger of pin. Bij gewone transacties is Apple zelf helemaal niet betrokken, alleen de iPhone en de terminal bij de verkoper. Vanuit Apple gezien de beste manier om veilig te zijn.
Maar – hierin is Apple Pay uniek – het werkt ook via het internet. Een app kan ook betalingen doen. De gebruiker weet welke apps Apple Pay kunnen gebruiken, heeft een bekende en vertrouwde interactie met de telefoon bij een betaling. Voor de verkoper en de uitgever van de creditcard verandert er echter iets. Zij weten zeker dat er bij deze transactie een specifieke actie gedaan is om het secure element te ontsluiten. Het gaat dus niet om een (mogelijk gestolen) nummer wat in een tekstveld in de browser is ingevuld. Hiermee maakt Apple Pay het in één keer mogelijk om over het internet, bij zogenaamde card-not-present transacties, veilige betalingen te doen. En daarom kan de card-not-present toeslag vervallen en ook de risico-opslag die de verkoper in zijn prijzen berekende om fraudekosten van te betalen. Veilig én goedkoop betalen over het internet is mogelijk.
Mijn complimenten aan Apple. Hopelijk komt Apple Pay snel naar Europa, ik sta klaar om het te gebruiken.
Lex Borger is Consultant Information Security bij i-to-i
