Missverständnisse über die Funktionsweise von Apple Pay

 (birchtree.me)
1 Punkte von GN⁺ 2024-03-29 | 1 Kommentare | Auf WhatsApp teilen

Digitale Wallets und der Mythos „Nur Apple Pay kann das“

  • Apple Pay ist großartig, aber es scheint einige Missverständnisse darüber zu geben, wie es funktioniert.
  • Zahlungen über Apple Pay verbergen die echte Kreditkartennummer und verhindern so, dass Händler Kunden darüber verfolgen.
  • Es wird der Unterschied zwischen DPAN und FPAN erklärt. FPAN ist die tatsächliche Nummer, die auf der physischen Karte aufgedruckt ist, und DPAN ist eine dem Gerät zugewiesene eindeutige Nummer.
  • DPAN ist vergleichbar mit einem DNS-Record, und jedes Mal, wenn man Apple Pay verwendet, wird ein anderer DPAN erzeugt.
  • DPAN ist keine Funktion, die nur Apple Pay bietet, sondern eine Standardfunktion aller digitalen Wallets. Google Pay und Samsung Pay bieten dieselbe Funktion.
  • Auch die Buttons von Amazon Pay und Shop Pay verbergen die tatsächliche FPAN vor dem Händler.
  • Banken nutzen ebenfalls DPAN über ihre eigenen digitalen Wallets, um die echten Kontonummern zu schützen.

Das Problem der Kundenverfolgung

  • Die Behauptung, dass sich der DPAN bei jeder Transaktion ändert, stimmt nicht. Bei aufeinanderfolgenden Transaktionen mit demselben Händler bleibt der DPAN gleich.
  • DPAN erschwert es zwar, Transaktionsdaten über mehrere Händler hinweg zusammenzuführen, um Einkaufsgewohnheiten zu erkennen, verhindert aber nicht, dass ein einzelner Händler die Transaktionshistorie eines Kunden verfolgt.
  • Im Fall eines Datenlecks ist DPAN für Kunden sicherer. DPAN funktioniert nur, wenn es als Teil eines für jede Transaktion einzigartigen verschlüsselten Bündels übermittelt wird, und kann daher von Hackern nicht verwendet werden.

Die Privatsphäre bei Apple Pay

  • Die Vorstellung, dass Apple Pay persönliche Informationen verbirgt, stimmt nicht.
  • Durch Tests einer echten Apple-Pay-Transaktion und Prüfung der Berichte auf Händlerebene wurde bestätigt, dass bei einer Transaktion Rechnungs- und Wohnadresse, vollständiger Name und E-Mail-Adresse an den Händler übermittelt werden.
  • Das Apple-Pay-SDK erlaubt Händlern auszuwählen, welche persönlichen Informationen sie vom Kunden erhalten möchten.
  • Wenn die Apple-Pay-Zahlungskarte angezeigt wird, werden alle auf dieser Karte enthaltenen Informationen an den Händler übertragen.

Fazit

  • Apple Pay ist eine großartige Zahlungsmethode und hat maßgeblich dazu beigetragen, digitale Wallets populär zu machen.
  • Die von Apple Pay gebotenen Funktionen sind in der Branche nicht einzigartig. DPAN erschwert die Verfolgung von Käufen über mehrere Händler hinweg und schützt Kunden bei Datenlecks.
  • Es ist unrealistisch zu erwarten, dass alle verstehen, wie alle digitalen Wallets funktionieren. Es ist hilfreich, diese Informationen zu teilen.

Meinung von GN⁺

  • Dieser Artikel hilft dabei, gängige Missverständnisse rund um digitale Wallets auszuräumen. Insbesondere korrigiert er die falsche Wahrnehmung, Apple Pay verfüge über Funktionen, die nur dort angeboten werden.
  • Der Artikel trägt dazu bei, Nutzer darüber aufzuklären, wie Technologien wie DPAN zum Schutz der Privatsphäre beitragen und digitale Wallets sicherer nutzbar machen.
  • Aus einer kritischen Perspektive betont der Artikel, dass digitale Wallets keine perfekte Datenschutzlösung sind. So wird etwa darauf hingewiesen, dass sie nicht verhindern, dass ein einzelner Händler die Transaktionshistorie eines Kunden verfolgt.
  • In der Branche existieren verschiedene digitale Wallets mit ähnlichen Funktionen wie Apple Pay. So bieten etwa Google Pay und Samsung Pay vergleichbare Mechanismen zum Schutz der Kreditkarteninformationen der Nutzer.
  • Bei der Einführung solcher Technologien ist es wichtig zu verstehen, welches Maß an Privatsphäre für Nutzer erreicht wird und welches Sicherheitsniveau die Technologie tatsächlich bietet. Ein Vorteil von DPAN besteht darin, dass bei einem Datenleck die Kreditkarteninformationen des Kunden nicht direkt offengelegt werden.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-03-29
Hacker-News-Kommentar
  • Es gibt die Bitte um eine ELI5-Erklärung (als würde man es einem fünfjährigen Kind erklären), wie Apple Pay und Google Pay funktionieren. Der Nutzer dachte, diese Dienste würden Kreditkarteninformationen an den Händler oder das Payment Gateway weitergeben, bekam aber den Eindruck, dass Apple/Google selbst wie ein Payment Gateway oder eine Zahlungsmethode fungieren. Es wirkt außerdem so, als würden sie alle Transaktionsdaten sammeln und als bräuchte ein Zahlungsterminal spezielle Unterstützung, um Apple/Google Pay zu unterstützen. Andere Kommentare behaupten jedoch, Apple Pay sei tief in Standards verwurzelt. Gefragt wird, welche Teile bei Apple und Google proprietär sind und warum es schwer ist, diese Apps durch Open-Source-Alternativen zu ersetzen — ob das an ihrem exklusiven Zugriff auf den NFC-Chip liegt.
    • Als Apple Pay begann, sich zu verbreiten, hat ein Nutzer es aufgrund seiner Erfahrung mit Retail-Payment-Processing genau untersucht. Er war damals beeindruckt, wie tief Apple Pay in Industriestandards verankert war. Selbst bei der Funktechnik gab es nichts Apple-Spezifisches, und das gilt bis heute. Es gab Fälle, in denen einige Händler ihre Systeme absichtlich ändern mussten, um Apple Pay nicht zu akzeptieren (CVS ist besonders in Erinnerung geblieben). Das geschah mit der Absicht, ein konkurrierendes Zahlungssystem zu bevorzugen. Der Autor bewertet die erneute Überprüfung der aktuellen Lage positiv.
    • In der Diskussion fehlt der Punkt, dass Transaktionen mit digitalen Wallets wie Apple Pay genauso nachverfolgbar sind wie Transaktionen mit bestehenden Kartennummern. Es wird geraten, nicht zu erwarten, dass Zahlungen per digitaler Wallet datenschutzfreundlicher sind als Zahlungen mit herkömmlichen Karten oder Kartennummern.
    • Der Beitrag von Matt Birchler korrigiert die falsche Information, dass die DPAN (Device Primary Account Number) je Händler unterschiedlich sei. Laut Apples offizieller Dokumentation ist die DPAN nur pro Gerät eindeutig und ändert sich nicht, solange die Karte nicht entfernt und erneut hinzugefügt wird. Daher kann dieselbe Karte auf zwei verschiedenen Geräten (z. B. iPhone und Apple Watch) nicht miteinander verknüpft werden, Transaktionen bei verschiedenen Händlern auf demselben Gerät können jedoch von Datenbrokern nachverfolgt werden.
    • Es wird infrage gestellt, warum SSO (Single Sign-On) und Mobile Payment keine standardisierten Schnittstellen sind und warum es statt „Mit Google anmelden“ oder „Mit Apple anmelden“ nicht „Mit meinem festgelegten Standard-SSO-Anbieter anmelden“ gibt. Außerdem unterstützen viele Anbieter oder Websites nur einige dieser Anbieter, wodurch SSO in der Praxis gar kein echtes SSO ist. Es wird erwartet, dass sich irgendwann alle Anbieter an gemeinsame Spezifikationen halten müssen — andernfalls werde die Politik solche Standards künftig gesetzlich festlegen.
    • Der Händler entscheidet, wie viele personenbezogene Daten Apple Pay bei einer Zahlung sammelt, und Apple Pay verhindert nicht, dass beim Checkout nach Informationen gefragt wird. Es wird gefragt, ob das auch beim Einkaufen in physischen Geschäften geschieht und ob Apple/Google um Zustimmung bitten, wenn Informationen geteilt werden sollen, die offensichtlich nicht nötig sind.
    • Als Apple Pay in Australien eingeführt wurde, hatten die großen lokalen Banken bereits jahrelang daran gearbeitet, kontaktloses Bezahlen zu verbreiten. Als Apple dann dazukam und US-übliche Gebühren verlangte, war die gesamte Infrastruktur bereits von den Banken aufgebaut worden. Die großen lokalen Banken unterstützten Apple Pay schließlich wegen des starken Kundendrucks. Die Banken sind darüber bis heute unzufrieden und würden Apple Pay sofort einstellen, falls Regulierungsbehörden den NFC-Chip zwangsweise öffnen würden.
    • Es wird gefragt, warum Apple Pay vor der Zahlungsfreigabe nicht den zu zahlenden Betrag auf dem Bildschirm anzeigt. Vermutet wird, dass das kein UX-Problem ist, sondern daran liegt, dass das Apple-Gerät den Zahlungsbetrag gar nicht kennt.
    • Es gibt die Frage, an welcher Stelle Gruber gesagt habe: „Nur Apple Pay macht das.“ Der Verfasser weist darauf hin, dass Gruber einige Fehler gemacht oder Details nicht ganz korrekt erfasst habe.
    • Es wird erwähnt, dass Apple großartige Arbeit dabei geleistet hat, solche digitalen Wallets populär zu machen, und dass Apple Pay bei seiner Einführung zwar ziemlich einzigartig war, heute in der Branche aber nichts Einzigartiges mehr ist. Es wird daran erinnert, dass frühe andere Bezahlmethoden auf Telefonen Kartennummern direkt an das Terminal übermittelten.