Цифровые кошельки и миф «только Apple Pay делает это»

У Джона Грубера есть некоторые выбор слов для Меррика Гарланда и его команды, но этот абзац показался мне исключительно интересным:

Apple Pay через Wallet скрывает действительные номера ваших кредитных карт, которые ритейлеры позорно используют для отслеживания клиентов. Это гораздо более конфиденциально, чем использование вашей кредитной карты. Я очень сомневаюсь, что какие-либо банки или эмитенты кредитных карт сделали бы это сами, если бы им предоставили доступ к NFC-платежи.

Платежи, говорите? Моя специальность!

Во-первых, эта путаница относится к DPAN, который отличается от FPAN.

Кхм, извините за жаргон, но важно понимать, что происходит, поэтому позвольте мне объяснить.

FPAN — это «номер основного счета финансирования», состоящий из 15–18 цифр, напечатанный на вашей физической карте. DPAN — это ваш «основной номер учетной записи устройства».

Думайте о DPAN как о чем-то вроде записей DNS. Когда вы вводите «birchtree.me» в свой браузер, ваш браузер может определить, к какому IP-адресу относится этот домен, и направит вас туда. Я могу физически хранить свой веб-сайт в том же месте и на том же IP-адресе, но я могу изменить домен на birchtree.com или wigglewobble.org, и браузеры будут знать, что делать, и пользователю не нужно будет знать, какой IP-адрес задействован.

Возможно, это самый занудный способ объяснить DPAN, но я знаю свою аудиторию, поэтому думаю, что это могло помочь хотя бы некоторым из вас. Та же карта, которая использовалась в Apple Pay на твой iPhone и iPad будут отображать разные DPAN, поскольку каждое устройство имеет свой собственный номер.

Примечательно, что он называется DPAN, а не «номер Apple Pay» — это общий термин, потому что это стандартная функция цифровых кошельков повсюду, а не только Apple Pay. Google Pay и Samsung Pay — крупнейшие цифровые кошельки в США, и оба они делают одно и то же. Хотя технически DPAN не используется, поскольку платежи проходят через разные компании, кнопки Amazon Pay и Shop Pay также скрывают от продавцов фактический FPAN (полный номер карты).

Я чувствую, что это часто случается, но я не могу не подчеркнуть, насколько мало продавцов хотят когда-либо когда-либо иметь дело с реальным номером вашей кредитной карты. Это увеличивает риск с их стороны, а современные инструменты приема платежей упрощают сбор платежных реквизитов таким образом, чтобы как можно меньше людей имели доступ к реальной информации о карте.

Грубер упоминает, что банки совершенно не хотят сами использовать DPAN, но нам на самом деле не нужно об этом спекулировать, у нас уже есть эта информация. Многие банки, от Walls Fargo до Chase и Bank of America, имеют (или имели) цифровые кошельки, все из которых использовали DPAN для защиты вашего номера счета в виде простого текста. Осторожно это то, что сегодня используют несколько крупных банков США, и они, конечно, также используют DPAN. Фактически, основная причина, по которой вам следует использовать Paze, заключается в следующем: «Paze не сообщает продавцу фактический номер вашей карты».

Об отслеживании клиентов

Кроме того, существует проблема изменения DPAN при каждой транзакции, о которой Грубер не упомянул, но я вижу, что вокруг ходят люди. Однако это не совсем так.

В предыдущей версии этого поста предлагалось изменить DPAN между торговцами, но это было ошибкой. По праву я написал этот пост слишком быстро. Серьезно, моя вина.

DPAN всегда один и тот же для последующих транзакций у одного и того же продавца. Так что да, хотя это может помешать брокерам данных легко покупать данные о транзакциях у множества разных продавцов и определять тенденции покупок среди этих продавцов, это не мешает одному продавцу видеть историю ваших транзакций, используя только DPAN, предоставленный Apple Pay. . Если эта история Target из давних времен о том, что Target знала, что подросток беременна, на основе истории покупок Target, Apple Pay не мешает кому-то вроде Target иметь возможность отслеживать это. И да, то же самое и с другими цифровыми кошельками.

И последнее, что следует отметить в отношении DPAN: они намного выгоднее для вас как клиента в случае утечки данных. В 2024 году ни один торговец не должен обрабатывать номер вашей кредитной карты напрямую, но предположим, что платежный шлюз взломан и раскрывает DPAN и дату истечения срока действия транзакции, которую вы совершили в магазине. В этом случае злоумышленник не сможет ничего сделать с вашим приобретенным DPAN, поскольку DPAN работают только тогда, когда они отправлены как часть зашифрованного пакета, уникального для каждой транзакции. Существует способ запускать повторяющиеся транзакции по карте, полученной через Apple Pay, но это не должно быть возможным для хакера, и сейчас мы немного в тупике, поэтому давайте просто скажем, что ваш FPAN может привести к утечке данных. хуже, чем ваш DPAN, который собираются всеми цифровыми кошельками.

Личная информация в Apple Pay

Иногда я вижу идею (опять же, не в связанном посте Грубера, но я все равно хочу ее прояснить), что Apple Pay скрывает вашу личную информацию. Это просто неправда.

Поскольку я очень преданный блоггер, я действительно провел реальную транзакцию Apple Pay на одном из моих тестовых торговых счетов (но там выполняются очень реальные транзакции) и посмотрел отчеты на уровне продавца. Вот что я вижу как продавец для этой транзакции Apple Pay:

Я многое размыл, потому что это мой настоящий платежный и домашний адрес, а также мое полное имя и адрес электронной почты.

И если подумать, эта информация, конечно же, будет там! В этом примере моя страница оформления заказа предназначалась для физического товара, поэтому мне нужна была информация о доставке клиента. SDK Apple Pay позволяет мне выбирать, какую личную информацию я хочу получить от клиента, и это именно для такой ситуации.

Да, и информацию о продукте можно передать в Apple Pay, чтобы показать вам, что вы покупаете, и эта информация также отправляется продавцу. Снова, конечно это потому, что продавцу нужно знать, что вы купили.

По сути, когда карта Apple Pay появляется при оформлении заказа, ожидайте, что все на этой карте будет отправлено продавцу. В этом смысле это похоже на все другие формы оплаты; Продавец выбирает, сколько личной информации он хочет или должен собрать, и Apple Pay не запрещает ему спрашивать вас об этом при оформлении заказа.

И да, именно так работают другие цифровые кошельки.

Еда на вынос

Я надеюсь, что из этого поста вы поняли, что, хотя Apple Pay — отличный способ оплаты вещей и что Apple проделала отличную работу по популяризации таких цифровых кошельков, то, что они делают, не является уникальным в отрасли. DPAN отлично подходят для того, чтобы усложнить отслеживание покупок одного человека в нескольких продавцах, а также снижают риск для клиентов в случае утечки данных платежной карты.

Никто из нас не может знать все обо всем, и я не думаю, что разумно ожидать, что все будут знать все детали того, как работают цифровые кошельки. Вот почему я считаю подобные возможности настолько полезными; Я могу поделиться большей информацией, чем большинство людей в этой нише Apple, и надеюсь, что она будет информативной.