在蘋果 App Store 的銀聯支付中,從用戶購買某應用到款項從其銀行賬戶中扣除,後台具體的流程和原理是什麼?

中國銀聯與蘋果公司共同宣布,即日起持有國內發行銀聯卡的AppStore用戶將可使用銀聯卡支付服務購買各類應用產品。持卡人將銀聯卡與ID賬戶綁定後,即可享受一鍵支
付服務。
當用戶把自己的Apple ID綁定銀聯卡之後,在蘋果商店下載了一個價值1元的付費應用,銀行基於什麼憑據將其銀聯卡賬戶中的1元扣除並轉入蘋果公司的賬戶?是否意味著綁定後,蘋果有權不經過銀行卡持有人的許可(輸入銀行卡支付密碼)擅自把銀行卡持有人卡中的錢轉走?


謝邀。
其實從目前簽訂的銀聯支付協議來看,跟以往與VISAMASTER所簽訂的協議並無太大差別。
基本原理和流程大概是這樣的:
1.用戶在Appstore綁定銀行卡,提供驗證數據(比如信用卡的有限期,姓名,CVV2等;銀聯卡的在線支付密碼等),蘋果會通過這些數據進行一次驗證,比如扣除一美元以驗證賬戶驗證數據的有效性。(當然是會在後面退回來)。
2.綁定流程完成後,蘋果認為你已經將這張卡的支付許可權授權給了他,就可以做到傳說中的「一鍵支付」。當然只是傳說中的一鍵支付,在支付的時候還是輸入Appstore的ID密碼,表示這筆交易是被持卡人授權的。
3.在Appstore下單後,蘋果會將之前保存的持卡人驗證數據,通過卡組織(銀聯、Visa/Master)等發起在線授權(類似線下的刷卡交易)交易,在發卡行獲准(Approved)後,就可以獲准下載這個APP。後續會根據卡組織的要求,發起請款清算流程(如外卡組織)或自動完成清算流程(如銀聯)。

那麼問題來了,保存在蘋果的信用卡信息是安全的嗎?
我們參考下他們的隱私策略,信用卡信息是有保存的:Apple - Legal

我們收集哪些個人信息

  • 當你創建 Apple ID、申請商業信貸、購買產品、下載軟體更新、報名參加 Apple Store 零售店的課程、聯繫我們或參與在線調查時,我們可能會收集各種信息,包括你的姓名、郵寄地址、電話號碼、電子郵件地址、聯繫方式偏好以及信用卡信息
  • 當你使用 Apple 產品與家人和朋友分享內容、發送禮券和產品,或邀請他人使用 Apple 服務或論壇時,Apple 可能會收集你提供的與上述人士有關的信息,如姓名、郵寄地址、電子郵件地址以及電話號碼。Apple 將使用此類信息來滿足你的要求,提供相關的產品或服務,或實現反欺詐目的。
  • 在美國,出於提供商業信貸、管理預訂或履行法律義務的目的,我們可能會要求用戶提供由政府發放的身份證明,但僅限於為數不多的情形,例如設置無線帳戶和激活設備。

再參考下他們的保護策略,他們承諾是會加密並且限制訪問。

個人信息的保護

Apple 非常重視你的個人信息的安全。Apple 在線服務(如 Apple Store 在線商店和 iTunes Store)會使用傳輸層安全協議 (TLS) 等加密技術,在傳輸過程中保護你的個人信息。在 Apple 存儲你的個人數據時,我們會使用具有有限訪問許可權的電腦系統,這些系統部署在通過物理安全措施加以保護的設施之中。iCloud 數據以加密形式存儲,在我們使用第三方存儲時也是如此。

這份隱私聲明是具有法律效應的,如果因為隱私聲明中的措施沒有做到位而引起持卡人損失,持卡人是有權提起訴訟的。

按照業界對持卡人數據的保護規範來看,這些驗證數據會得到妥善保存,如果有存在潛在漏洞,都可能導致蘋果公司無法承擔的嚴重後果,這也是他們會關注持卡人數據安全的核心動力所在。
AppleID也是同樣的道理,在綁定銀行卡後,AppleID的密碼等同於支付密碼,任何支付請求都需要通過AppleID發起,並提供密碼,之後交易才會經過授權。這與通過銀行卡密碼支付原理一致。

引申一個問題,銀行卡密碼保存在銀行安全嗎?對於這點,可以明確的說,是安全的,銀行只會保存物理加密後的密碼密文,核對密碼是通過對密文的核對實現的——也就是說,沒人會知道你的銀行卡密碼,即使是銀行IT運維人員——除非持卡人自己泄露。在這裡只能做個類比推斷,AppleID的密碼存儲也是採用類似的策略。

綜述:蘋果公司的支付是安全可信的——前提是保護好自己AppleID的密碼!


信用卡在消費時無需輸入密碼是大勢所趨,奈何中國人到現在都沒有用信用卡的習慣和了解信用卡和儲蓄卡的區別。


信用卡用於消費時,並不是說商家有權划走你卡內的資金,事實上正常情況下信用卡裡面應該一毛錢都沒有,金額是負的。消費時使用的是你的信用,你用你的信用擔保會對這一筆消費擔負償還責任。

不僅僅是蘋果,支付寶、亞馬遜、京東等都支持關聯綁定信用卡,從而在支付時無需輸入密碼。但這種服務僅限於消費用途,不能借用此項服務劃撥資金,若信用卡被盜刷,應及時與發卡行溝通,並拒付,發卡行有義務協助你追索損失。


信用卡有先天的消費限額,所以交易,請使用信用卡,而非儲蓄卡,尤其是存放你這輩子全部資產的儲蓄卡,最好連網上支付都不要開。

除非你用的是什麼黑金卡,否則一夜間幾十萬不見了的事情肯定不會發生在你身上,因為你的信用卡額度根本沒那麼高XD。


Caesar Chan已經把具體過程講述了。
補充一點就是,通過保存支付信息進行一鍵下單,就是Amazon的1-Click專利,Amazon授權給蘋果使用。流程和在亞馬遜購物是一樣的。
商戶與銀聯的對接應該和Visa/MasterCard基本一樣。


可以理解為快捷支付,是銀行對授信企業(下稱「平台」)提供的一種方便其用戶進行支付交易的一種用戶認證方式,跟你在淘寶購物跳轉到支付寶輸支付密碼是一個道理。

後台流程:
0、簽約:用戶需要預先平台綁定銀行支付帳號信息,平台根據銀行要求向用戶索取對應賬戶信息,一般為用戶的真實姓名、身份證號、銀行賬號/卡號(如果是信用卡還有有效期和CVV2)、銀行預留手機號。綁定成功後,平台有權利代用戶向銀行發起交易請求;
1、消費:用戶消費時,平台代用戶填寫網銀交易信息,並向銀行發起交易請求,(可以簡單類比瀏覽器自動填表和提交軟體),銀行根據預留的簽約信息支付給商戶,完成支付環節;

結束。
為什麼這麼短?因為是快捷支付,目的就是(比網銀)更快捷。當然現在有更快捷的諸如二維碼支付、指紋、近場、掃碼、聲波、搖一搖、手勢密碼支付等,都是快捷支付在移動環境下的一種應用。

------
題主的副問題:是否意味著綁定後,蘋果有權不經過銀行卡持有人的許可(輸入銀行卡支付密碼)擅自把銀行卡持有人卡中的錢轉走?

回答:不是。蘋果有能力不經過銀行卡持有人的許可把銀行卡持有人卡中的錢轉走,但不代表有權利


我說下安全性的問題吧:

其實蘋果的安全性還是非常高的。

第一:你的apple id的密碼一般來說不太會泄漏。

第二: 如果你的手機丟失,密碼被泄漏了,可以登錄icloud鎖定你的設備,可以刪除你所有的支付信息,當然如果騙子知道了你的郵箱密碼,還有apple id的密碼,這個apple id的密碼有可能被改。所以盡量不要把郵箱的密碼和apple id的密碼重複。

第三:據說今年apple pay要和銀聯來合作(和這個應該沒太多的關係,主要用於線下),他這個模式更加安全,所以的卡的信息都是token的方式存儲,只有發卡行才知道這個字元代表什麼意思。

總之,個人感覺,Apple確實是非常安全的!


推薦閱讀:

App Store 提交的 App 如何設置關鍵字,有什麼竅門嗎?
iOS 不越獄的理由有哪些?
你體驗過的最好的單詞軟體是什麼?
調查Xcode ghost病毒的目標域名,找到域名的註冊者,進而查出事件的罪魁禍首,這樣可行性有多大?
開發了一款 iOS 應用/遊戲後,如何才能獲得蘋果官方的推薦?

TAG:電子商務 | 蘋果公司AppleInc | iOS應用 | AppStore | 網上銀行 |