Nedávno tomu bylo 10 let, co jsme začali v České republice platit mobilem. Start byl tehdy divoký a řešení rozhodně nešlo označit za uživatelsky přívětivé. Ten pravý rozmach zažily mobilní platby v letech 2017 a 2019, kdy u nás bylo spuštěno Google Pay (v té době s názvem Android Pay) a Apple Pay, které svou integrací do systému a hlavně jednoduchostí přesvědčily uživatele k tomu začít mobilní platby využívat a dnes už tento způsob vyzkoušel minimálně každý třetí Čech.
Proces je pro uživatele jednoduchý. Stačí vzít telefon nebo chytré hodinky, přiložit k terminálu, „pípnout” a máte zaplaceno. Málokdo se ale někdy zamyslel nad tím, co se vlastně v tuto chvíli odehrává na pozadí, a jak se vlastně tyto dvě největší platební služby Apple Pay a Google Pay liší.
Vše začíná u přidání karty
Když přidáváte novou platební kartu do Apple Pay, je nutné získat vaše platební údaje z karty, včetně čísla, platnosti, jména i CVC kódu. Ty zařízení odešle ke kontrole na servery Applu, takže je nutné, aby vaše banka Apple Pay podporovala a Apple tím pádem mohl kartu ověřit. Díky tomu si pak od banky může vyžádat platební token (Payment Token). Banka žádost musí schválit a tento token si zažádá od poskytovatele platebních tokenů (Token Service Provider - TSP), kteří tuto funkci zajišťují i pro běžné karetní platby a spolupracují tedy i s karetními společnostmi. Tuto službu typicky obstarává například organizace EMVCO.
Přidání platební karty je jediný moment, kdy se serverům Applu předávají údaje o kartě. (obr.: Codeburst)
Pokud žádost tato entita ověří zašle vaší bance digitálně podepsaný token včetně platebního klíče, které jsou pak nadále předány zpět vaší bance a poté i serverům Applu. Ty, jakmile tyto údaje ověří, provedou zápis do tzv. Secure elementu, což je zabezpečený čip uvnitř každého iPhonu, který je samozřejmě šifrovaný a pro přístupu k jeho datům je vyžadováno ověření. Ať už kódem, otiskem prstů či skenem obličeje.
Nejoblíbenější Apple iPhony
Další oblíbené Apple iPhony
Vygeneruje se zde a hlavně uloží tzv. číslo DAN (Device Account Number). Zjednodušeně jde o číslo vytvořené virtuální karty, které je digitálně reprezentováno vaším fyzickým zařízením a nejde nijak přenést, protože ani jako uživatel k němu nemáte přístup. Zobrazit si můžete maximálně jeho poslední 4 číslice.
Apple Pay
Ve chvíli, kdy přiložíte telefon k terminálu a ověříte platbu, je v telefonu díky pomocí zabezpečenému elementu vygenerován dynamický kryptogram a dynamické číslo CVV, které se předají terminálu po přiložení telefonu. Terminál pak díky nim pošle žádost platební síti provozované karetními společnostmi.
Tato síť hned pozná, že data neobsahují skutečné číslo karty a tak předá data entitě zajišťující vydávání platebních tokenů. Ta je schopna data rozšifrovat a zjistit s jakým reálným číslem karty je dynamický kryptogram spojený a toto číslo vrátí zpět platební síti karetní společnosti. V tuto chvíli až dochází ke zpětnému potvrzení bance vašeho vydavatele karty, který platbu může autorizovat a platba proběhne.
Při samotné platbě už se k platbě používá pouze číslo DAN a klíč vygenerovaný přímo telefonem, které pak obchodník ověřuje u banky a vydavatele platebního tokenu. (obr.: Codeburst)
Tento systém má jednu velkou výhodou, kterou je to, že kromě prvotního přidání karty do Apple Wallet neopouští informace o vaší kartě vaše zařízení. Takže se nepředávají ani serverům Applu, ani obchodníkovi. Vše je bezpečně uloženo v telefonu a data opouští jen různé klíče, podle kterých je možné vaše zařízení kryptograficky ověřit a přijmout platbu v terminálu obchodníka.
Nevýhodou tohoto řešení je na druhou stranu jen lokálnost informací o platbách. Historii transakcí vidíte pouze na daném zařízení a nedá se nikam přenést. A to ani v případě více zařízení s Apple Pay nelze tato data nijak centrálně zpracovávat, abyste viděli například podrobné statistiky ze všech karet, apod.
Google Pay
U Google Pay také vše začíná přidáním karty, které probíhá na začátku podobně. Také zde je nutné nahrát do telefonu údaje o kartě, které se nejdříve odešlou na servery Googlu, a z nich pak služba pošle žádost k vaší bance. Banka si pak zažádá o platební token od vydavatele (Token Service Provider), kterým jsou ovšem v tomto případě přímo samy karetní společnosti. V terminologii Googlu se jedné o tzv. VAN (Virtual Account Number).
V případě Googlu je přidání karty podobné jako u Applu, ovšem servery Googlu se pak zapojují při každé platbě, kvůli ověření karty u banky a vydavatele karty. (obr.: ByteByteGo)
Jakmile služba obdrží VAN, jedná se vlastně o tokenizovanou platební kartu, která je uložena v paměti telefonu, ovšem včetně šifrovacího klíče, který je pak nutný pro každou platbu. Kdykoliv pak uživatel zkusí telefonem zaplatit u terminálu, použije se tokenizovaná karta uložená v telefonu včetně šifrovacího klíče, díky kterému se v Google Pay, podobně jako u Applu, vygeneruje kryptogram, který slouží k ověření toho, že použitá tokenizovaná karta odpovídá skutečně vydané platební kartě.
Vše se zpracovává na Google serveru, který při každé platbě posílá šifrovanou podobu vaší karty k ověření do banky a následně k vydavateli karty, načež pak musí získat potvrzení, aby proběhla.
Hlavní rozdíl Google Pay vůči Apple Pay je ten, že zatímco Apple použije vaše údaje pouze poprvé a poté už se vše řeší lokálně na telefonu a k ověřování plateb se používá jen DAN (Device Accoung Number) odpovídající čistě vašemu telefonu namísto samotné karty, v případě Googlu jde platba vždy přes servery Googlu, který v šifrované podobě ověřuje platnost karty u banky a vydavatele.
Jak zaplatit pomocí Google Pay:
Zdroj: ByteByteGo, Codeburst