Apple Pay - αξιολόγηση υπηρεσίας και αποτίμηση ασφάλειας
Master Thesis
Συγγραφέας
Παπαδόπουλος, Μωϋσής
Ημερομηνία
2015-07Επιβλέπων
Λαμπρινουδάκης, ΚωνσταντίνοςΠροβολή/ Άνοιγμα
Θεματική επικεφαλίδα
Ηλεκτρονικές συναλλαγέςΛέξεις κλειδιά
e-Πωλήσεις ; Ηλεκτρονικές πληρωμές ; Ασφάλεια ; Ιδιωτικότητα ; NFC ; ΚαινοτομίαΠερίληψη
Η ραγδαία ανάπτυξη που παρουσίασε τα τελευταία χρόνια η αγορά των έξυπνών συσκευών σε συνδυασμό με τον ολοένα αυξανόμενο όγκο των συναλλαγών που πραγματοποιούνται ηλεκτρονικά, οδήγησε πολλές από τις εταιρίες που δραστηριοποιούνται στον χώρο της τεχνολογίας να θελήσουν να αποκτήσουν μερίδιο της αγοράς. Την αρχή έκαναν οι κατασκευαστές των έξυπνων συσκευών, οι οποίοι ενσωμάτωσαν την τεχνολογία NFC στις συσκευές τους, μαζί με τους παρόχους κινητής τηλεφωνίας όπου ενσωμάτωσαν το απαραίτητο Secure Element στις SIM κάρτες τους και φυσικά των τραπεζών. Το μοντέλο αυτό δεν υπήρξε πολύ πετυχημένο λόγω της προσπάθειας που έκανε το κάθε μέρος προκειμένου να αποκτήσει ισχυρότερη θέση.
Σύντομα έγινε αντιληπτό ότι το μοντέλο πρέπει να αλλάξει με τη συμμετοχή όσο το δυνατόν λιγότερων εμπλεκόμενων μερών. Η αρχή έγινε από την Google, η οποία παρουσίασε το Google Wallet, όπου τα στοιχεία των καρτών αποθηκεύοντας είτε στο Secure Element του NFC chip είτε στο cloud. Την μεγάλη όμως διαφορά την έκανε η Apple με την παρουσίαση της υπηρεσίας Apple Pay υιοθετώντας τη τεχνολογία του NFC, από την οποία κρατούσε αποστάσεις μέχρι εκείνη τη στιγμή, και εφαρμόζοντας παράλληλα το framework του tokenisation που μόλις μερικούς μήνες πριν είχε διαθέσει το EMVCo.
Το νέο στοιχείο του Apple Pay είναι ότι δεν αποθηκεύει σε κανένα σημείο τον πραγματικό αριθμός της κάρτας αλλά αντιθέτως παράγεται και αποθηκεύεται αποκλειστικά και μόνο στο Secure Element της συσκευής το λεγόμενο Device Account Number σύμφωνα με την Apple, ή το payment token κατά την ορολογία του EMVCo. Το Device Account Number αντικαθιστά τον πραγματικό αριθμό της κάρτας αλλά είναι παράλληλα απόλυτα συσχετισμένο με αυτό.
Η ασφάλεια που προσφέρει η συγκεκριμένη υλοποίηση είναι αρκετά σημαντική αφού πλέον δεν χρησιμοποιείται ο πραγματικός αριθμός της κάρτας και έτσι δεν μπορεί να υποκλαπεί. Ακόμα βέβαια και στην περίπτωση που τελικά υποκλαπεί το Device Account Number, αυτό από μόνο του δεν μπορεί να χρησιμοποιηθεί σε άλλα κανάλια.