Equívocos sobre como o Apple Pay funciona

 (birchtree.me)
1 pontos por GN⁺ 2024-03-29 | 1 comentários | Compartilhar no WhatsApp

Carteiras digitais e o mito de que "só o Apple Pay faz isso"

  • O Apple Pay é excelente, mas parece haver equívocos sobre como ele funciona.
  • Pagamentos via Apple Pay ocultam o número real do cartão de crédito, evitando que varejistas rastreiem clientes.
  • Explica a diferença entre DPAN e FPAN. FPAN é o número impresso no cartão físico, e DPAN é um número exclusivo atribuído ao dispositivo.
  • O DPAN é parecido com um registro DNS, e um DPAN diferente é gerado sempre que você usa o Apple Pay.
  • O DPAN não é um recurso exclusivo do Apple Pay, mas um recurso padrão de todas as carteiras digitais. Google Pay e Samsung Pay também oferecem a mesma função.
  • Os botões Amazon Pay e Shop Pay também ocultam o FPAN real dos varejistas.
  • Bancos também usam DPAN por meio de suas próprias carteiras digitais para proteger o número real da conta.

O problema do rastreamento de clientes

  • A afirmação de que o DPAN muda a cada transação não é verdadeira. Em transações consecutivas no mesmo varejista, o DPAN permanece o mesmo.
  • O DPAN dificulta combinar dados de transações entre vários varejistas para identificar tendências de compra, mas não impede que um único varejista rastreie o histórico de transações de um cliente.
  • Em caso de vazamento de dados, o DPAN é mais seguro para o cliente. Como ele só funciona quando enviado como parte de um pacote criptografado exclusivo para cada transação, hackers não conseguem usá-lo.

A privacidade do Apple Pay

  • A ideia de que o Apple Pay oculta informações pessoais não é verdadeira.
  • Foram testadas transações reais com Apple Pay para verificar relatórios no nível do comerciante. Durante a transação, endereço de cobrança e residencial, nome completo e endereço de e-mail são transmitidos ao comerciante.
  • O SDK do Apple Pay permite que comerciantes escolham quais informações pessoais desejam obter do cliente.
  • Quando o cartão de pagamento do Apple Pay é exibido, todas as informações presentes nesse cartão são enviadas ao comerciante.

Conclusão

  • O Apple Pay é uma ótima forma de pagamento e teve um papel importante na popularização das carteiras digitais.
  • Os recursos oferecidos pelo Apple Pay não são únicos no setor. O DPAN dificulta o rastreamento de compras entre vários varejistas e protege o cliente em caso de vazamento de dados.
  • É irrealista esperar que todos saibam como funcionam todas as carteiras digitais. Compartilhar esse tipo de informação é útil.

Opinião do GN⁺

  • Este artigo ajuda a desfazer equívocos comuns relacionados a carteiras digitais. Em especial, corrige a percepção equivocada de que o Apple Pay teria recursos oferecidos apenas por ele no setor.
  • O artigo contribui para educar usuários a usar carteiras digitais de forma mais segura ao explicar como tecnologias como o DPAN ajudam na proteção da privacidade do cliente.
  • Sob uma perspectiva crítica, o artigo destaca que carteiras digitais não são uma solução perfeita de privacidade. Por exemplo, aponta que elas não impedem que um único varejista rastreie o histórico de transações do cliente.
  • Há várias carteiras digitais no setor que oferecem recursos semelhantes aos do Apple Pay. Por exemplo, Google Pay e Samsung Pay oferecem funções parecidas para proteger as informações de cartão de crédito do usuário.
  • Entre os pontos a considerar ao adotar essa tecnologia, é importante entender o nível de privacidade do usuário e o nível de segurança que a tecnologia realmente oferece. Um benefício do uso de DPAN é evitar que as informações do cartão de crédito do cliente sejam expostas diretamente em caso de vazamento de dados.

Leituras relacionadas

1 comentários

 
GN⁺ 2024-03-29
Opinião do Hacker News
  • Há um pedido para explicar em ELI5 (como se fosse para uma criança de 5 anos) como Apple Pay e Google Pay funcionam. O usuário achava que esses serviços transmitiam as informações do cartão de crédito ao lojista ou ao gateway de pagamento, mas ficou com a impressão de que Apple/Google atuam como gateway de pagamento ou método de pagamento. Também se pergunta se elas coletam todos os dados das transações e se parece necessário suporte especial no terminal de pagamento para oferecer Apple/Google Pay. Porém, outros comentários afirmam que o Apple Pay é profundamente enraizado nos padrões. Pergunta-se quais elementos são proprietários da Apple e do Google, por que é difícil substituir esses apps por alternativas open source e se isso se deve ao acesso exclusivo da Apple/Google ao chip NFC.
    • Quando o Apple Pay começou a se popularizar, um usuário o investigou de perto com base em sua experiência com processamento de pagamentos no varejo. Na época, ficou impressionado com o quanto o Apple Pay já estava profundamente enraizado nos padrões do setor. Não havia absolutamente nada de específico da Apple nem mesmo na tecnologia de comunicação sem fio, e isso continua assim até hoje. Houve casos em que alguns lojistas precisaram alterar seus sistemas intencionalmente para não aceitar Apple Pay (CVS é um caso particularmente lembrado). Isso aconteceu porque os lojistas queriam diferenciar sistemas de pagamento concorrentes. O autor avalia positivamente o fato de isso ter sido revisitado recentemente.*
    • Falta na discussão o ponto de que transações de carteiras digitais como o Apple Pay são tão rastreáveis quanto transações que usam o número tradicional do cartão. A recomendação é não esperar que pagamentos por carteira digital ofereçam mais privacidade do que pagamentos com cartão tradicional ou com o número do cartão.*
    • O post de Matt Birchler corrige a informação equivocada de que o DPAN (número de conta de pagamento por dispositivo) seria diferente para cada lojista. Segundo a documentação oficial da Apple, o DPAN é único apenas por dispositivo e não muda, a menos que o cartão seja removido e adicionado novamente. Portanto, embora não seja possível rastrear o uso do mesmo cartão em dois dispositivos diferentes (por exemplo, iPhone e Apple Watch), transações com diferentes lojistas no mesmo dispositivo podem ser rastreadas por corretores de dados.*
    • Levanta-se a dúvida de por que SSO (login único) e pagamentos móveis não são interfaces padronizadas, e por que não existe algo como "entrar com meu provedor SSO padrão configurado" em vez de "Entrar com Google" ou "Entrar com Apple". Também se observa que muitos vendors ou sites suportam apenas alguns desses provedores, o que faz com que o SSO não seja realmente SSO. Todos os vendors deveriam seguir uma especificação comum e, caso contrário, espera-se que no futuro esses padrões sejam definidos por lei.*
    • O lojista decide quanta informação pessoal o Apple Pay coletará no pagamento, e o Apple Pay não impede solicitações de informação no checkout. Levanta-se a dúvida sobre se isso também acontece ao comprar em lojas físicas e se Apple/Google pedem consentimento para compartilhar informações que claramente não são necessárias.*
    • Quando o Apple Pay foi lançado na Austrália, os grandes bancos locais já vinham havia anos incentivando o uso de pagamentos por aproximação. Quando a Apple entrou exigindo taxas no estilo americano, toda a infraestrutura já havia sido construída pelos bancos. Os grandes bancos locais acabaram decidindo oferecer suporte ao Apple Pay porque a pressão dos clientes ficou forte demais. Os bancos ainda reclamam disso e interromperiam imediatamente o suporte ao Apple Pay se o regulador os obrigasse a abrir o chip NFC.*
    • Levanta-se a dúvida de por que o Apple Pay não mostra na tela o valor a ser pago antes da aprovação da transação. A hipótese é que isso não seja um problema de UX, mas sim porque o dispositivo da Apple não sabe qual é o valor da compra.*
    • Há uma pergunta sobre em que parte Gruber disse que "só o Apple Pay faz isso". O autor observa que Gruber cometeu alguns erros ou não entendeu corretamente certos detalhes.*
    • Menciona-se que a Apple fez um excelente trabalho ao popularizar carteiras digitais como essa e que, quando o Apple Pay foi lançado, ele era bastante único, mas hoje já não é algo único no setor. Também se lembra que alguns sistemas anteriores de pagamento por telefone transmitiam diretamente o número do cartão para a máquina.*