在蘋果 App Store 的銀聯支付中,從用戶購買某應用到款項從其銀行賬戶中扣除,後台具體的流程和原理是什麼? | 知乎問答精選

 

A-A+

在蘋果 App Store 的銀聯支付中,從用戶購買某應用到款項從其銀行賬戶中扣除,後台具體的流程和原理是什麼?

2018年02月10日 知乎問答精選 暫無評論 閱讀 4 ℃ 次

【CaesarChan的回答(34票)】:

謝邀。

其實從目前簽訂的銀聯支付協議來看,跟以往與VISAMASTER所簽訂的協議並無太大差別。

基本原理和流程大概是這樣的:

1.用戶在Appstore綁定銀行卡,提供驗證數據(比如信用卡的有限期,姓名,CVV2等;銀聯卡的在線支付密碼等),蘋果會通過這些數據進行一次驗證,比如扣除一美元以驗證賬戶驗證數據的有效性。(當然是會在後面退回來)。

2.綁定流程完成後,蘋果認為你已經將這張卡的支付權限授權給了他,就可以做到傳說中的「一鍵支付」。當然只是傳說中的一鍵支付,在支付的時候還是輸入Appstore的ID密碼,表示這筆交易是被持卡人授權的。

3.在Appstore下單後,蘋果會將之前保存的持卡人驗證數據,通過卡組織(銀聯、Visa/Master)等發起在線授權(類似線下的刷卡交易)交易,在發卡行獲准(Approved)後,就可以獲准下載這個APP。後續會根據卡組織的要求,發起請款清算流程(如外卡組織)或自動完成清算流程(如銀聯)。

那麼問題來了,保存在蘋果的信用卡信息是安全的嗎?

我們參考下他們的隱私策略,信用卡信息是有保存的:Apple - Legal

我們收集哪些個人信息
  • 當你創建 Apple ID、申請商業信貸、購買產品、下載軟件更新、報名參加 Apple Store 零售店的課程、聯繫我們或參與在線調查時,我們可能會收集各種信息,包括你的姓名、郵寄地址、電話號碼、電子郵件地址、聯繫方式偏好以及信用卡信息
  • 當你使用 Apple 產品與家人和朋友分享內容、發送禮券和產品,或邀請他人使用 Apple 服務或論壇時,Apple 可能會收集你提供的與上述人士有關的信息,如姓名、郵寄地址、電子郵件地址以及電話號碼。Apple 將使用此類信息來滿足你的要求,提供相關的產品或服務,或實現反欺詐目的。
  • 在美國,出於提供商業信貸、管理預訂或履行法律義務的目的,我們可能會要求用戶提供由政府發放的身份證明,但僅限於為數不多的情形,例如設置無線帳戶和激活設備。

再參考下他們的保護策略,他們承諾是會加密並且限制訪問。

個人信息的保護

Apple 非常重視你的個人信息的安全。Apple 在線服務(如 Apple Store 在線商店和 iTunes Store)會使用傳輸層安全協議 (TLS) 等加密技術,在傳輸過程中保護你的個人信息。在 Apple 存儲你的個人數據時,我們會使用具有有限訪問權限的電腦系統,這些系統部署在通過物理安全措施加以保護的設施之中。iCloud 數據以加密形式存儲,在我們使用第三方存儲時也是如此。

這份隱私聲明是具有法律效應的,如果因為隱私聲明中的措施沒有做到位而引起持卡人損失,持卡人是有權提起訴訟的。

按照業界對持卡人數據的保護規範來看,這些驗證數據會得到妥善保存,如果有存在潛在漏洞,都可能導致蘋果公司無法承擔的嚴重後果,這也是他們會關注持卡人數據安全的核心動力所在。

AppleID也是同樣的道理,在綁定銀行卡後,AppleID的密碼等同於支付密碼,任何支付請求都需要通過AppleID發起,並提供密碼,之後交易才會經過授權。這與通過銀行卡密碼支付原理一致。

引申一個問題,銀行卡密碼保存在銀行安全嗎?對於這點,可以明確的說,是安全的,銀行只會保存物理加密後的密碼密文,核對密碼是通過對密文的核對實現的——也就是說,沒人會知道你的銀行卡密碼,即使是銀行IT運維人員——除非持卡人自己洩露。在這裡只能做個類比推斷,AppleID的密碼存儲也是採用類似的策略。

綜述:蘋果公司的支付是安全可信的——前提是保護好自己AppleID的密碼!

【趙勳的回答(0票)】:

可以理解為快捷支付,是銀行對授信企業(下稱「平台」)提供的一種方便其用戶進行支付交易的一種用戶認證方式,跟你在淘寶購物跳轉到支付寶輸支付密碼是一個道理。

後台流程:

0、簽約:用戶需要預先平台綁定銀行支付帳號信息,平台根據銀行要求向用戶索取對應賬戶信息,一般為用戶的真實姓名、身份證號、銀行賬號/卡號(如果是信用卡還有有效期和CVV2)、銀行預留手機號。綁定成功後,平台有權利代用戶向銀行發起交易請求;

1、消費:用戶消費時,平台代用戶填寫網銀交易信息,並向銀行發起交易請求,(可以簡單類比瀏覽器自動填表和提交軟件),銀行根據預留的簽約信息支付給商戶,完成支付環節;

結束。

為什麼這麼短?因為是快捷支付,目的就是(比網銀)更快捷。當然現在有更快捷的諸如二維碼支付、指紋、近場、掃碼、聲波、搖一搖、手勢密碼支付等,都是快捷支付在移動環境下的一種應用。

------

題主的副問題:是否意味著綁定後,蘋果有權不經過銀行卡持有人的許可(輸入銀行卡支付密碼)擅自把銀行卡持有人卡中的錢轉走?

回答:不是。蘋果有能力不經過銀行卡持有人的許可把銀行卡持有人卡中的錢轉走,但不代表有權利

【LiuYang的回答(0票)】:

Caesar Chan已經把具體過程講述了。

補充一點就是,通過保存支付信息進行一鍵下單,就是Amazon的1-Click專利,Amazon授權給蘋果使用。流程和在亞馬遜購物是一樣的。

商戶與銀聯的對接應該和Visa/MasterCard基本一樣。

【bodysome的回答(0票)】:

是,綁定之後就可以取走你的錢。

每次付費的時候你要填寫只有自己知道的密碼。這是古典認證,密碼是只有你自己知道的知識,知道這個知識的就是你。

你按下密碼的時候,一個契約就產生,你必須為契約而負責。

標籤:-電子商務 -iOS應用 -蘋果公司(AppleInc.) -網上銀行 -AppStore


相關資源:




給我留言