Apple Pay: Details zu Schutzmaßnahmen und Datensammlung
In einem aktualisierten Sicherheitsdokument hat der iPhone-Hersteller dargelegt, wie Apple Pay die Kartendaten des Nutzers schützt und welche Informationen der Bezahldienst an den Konzern übermittelt.
- Leo Becker
Apple hat sein White Paper (PDF) zur iOS-Sicherheit um Details über Apple Pay ergänzt sowie ein neues Support-Dokument zum Thema veröffentlicht. Die für den Bezahldienst hinterlegten Kartendaten des Nutzers werden weder auf dem Gerät noch auf Apples Servern gespeichert, betont der Konzern – der Chip "Secure Element" erstellt stattdessen eine "Device Account Number" und speichert diese in verschlüsselter Form. Die Nummer sei isoliert von iOS und werde auch nicht als Teil des iCloud-Backups gesichert. Apple selbst könne die verschlüsselte Zahl zudem nicht auslesen.
Die Device Account Number kommt beim Autorisieren der Zahlung zum Einsatz – der Nutzer muss damit seine tatsächliche Kartennummer nicht mehr herausgeben, weder an Apple noch an den Händler oder Verkäufer. Bei dem Secure Element handelt es sich um einen standardisierten Chip, der die Java-Card-Plattform einsetzt, erklärt Apple. Um die Zahlung durchzuführen ist der Fingerabdruck per Touch ID oder die Eingabe des Geräte-Kennwortes erforderlich.
(Bild: Apple)
Beim Eintragen einer neuen Kreditkarte in Passbook leitet Apple die Daten an die entsprechende Bank weiter und fügt Geräteinformationen hinzu, darunter die letzten vier Ziffern der Mobilnummer, den Gerätenamen sowie den groben Standort – dies soll Missbrauch beim Hinterlegen der Kartendaten vermeiden.
Beim Bezahlen mit Apple Pay an einem NFC-fähigen Terminal wird der Standort an Apple übermittelt (wenn die Ortungsdienste nicht generell deaktiviert wurden) sowie Datum und Uhrzeit – in anonymer Form, betont der Konzern. Diese Daten sollen der Verbesserung von Apple Pay dienen und Geschäftsnamen in der Transaktionshistorie genauer anzeigen.
Verwendet man Apple Pay innerhalb von Apps erhält der Dienst Angaben zu dem bezahlten Betrag. Diese Angabe könne allerdings nie einem bestimmten Nutzer zugeschrieben werden, verspricht Apple. Außerdem werde nicht übermittelt, welche Ware der Käufer erworben hat. Apple Pay ist übrigens auch für die direkte Bezahlung im Kontext eines iAd-Werbebanners gedacht.
Nutzer können ihre hinterlegten Kartendaten jederzeit löschen, auch aus der Ferne mit "Mein iPhone suchen" oder über die iCloud-Einstellungen. Beim Fernlöschen des iOS-Gerätes werden alle Kartendaten automatisch für ungültig erklärt. In dem Fall, dass ein Gerät offline aus dem Recovery-Modus heraus frisch aufgesetzt wird, macht iOS die Kartendaten automatisch unbrauchbar, schreibt Apple – dies passiert auch, wenn die Code-Sperre abgeschaltet wird oder der Nutzer sich aus seinem iCloud-Account ausloggt.
Apple Pay soll im Oktober in den USA starten, voraussichtlich im Verbund mit der Veröffentlichung von iOS 8.1. Voraussetzung ist ein iPhone 6 oder iPhone 6 Plus – nur diese Modelle haben bislang den erforderlichen "Secure Element"-Chip und einen NFC-Controller. Im kommenden Jahr soll die mobile Zahlung auch mit der Apple Watch möglich sein. (lbe)
