השוואה: Apple Pay מול Google Wallet – מי בטוח יותר?

ה-iPhone6 החדש של אפל (Apple), המכיל שבב NFC (ר"ת Near Field Communication) ומוקף במערכת התשלומיםApple Pay , הצטרף באחרונה למכשירי האנדרואיד (Android) ולמכשירים נוספים המכילים שבב NFC כבר מספר שנים. ההכרזה של שירות התשלומים של אפל פתחה דיון רחב, אשר משווה אותו ל-Google Wallet , אותו מציעה כבר זמן רב גוגל (Google) המתחרה. עיקר הדיון עוסק בסוגיית אבטחת התשלומים המבוצעים באמצעות שתי מערכות תשלומים אלו.

קיים שוני מהותי בין שתי שיטות התשלומים: בעוד שאפל הכניסה למכשיריה שבב חומרה (NFC) המחובר ל-SE (ר"ת Secure Element) ומשתמש בנוסף בזיהוי טביעת האצבע של מבצע הטרנזאקציה, הפתרון של גוגל לא כולל SE ומבוסס על טכנולוגיית ענן בשם HCE (ר"ת Host Card Emulation).

SE – האלמנט המאובטח

שנים של מאמץ הושקעו בפיתוח פתרון תשלום סלולרי אמין הנשען על אלמנט מאובטח. ה-SE הוא כרטיס חכם ומוצפן המותקן באזור מבודד של המכשיר הסלולרי. הסטנדרט הנהוג כיום הינו התקנת ה-SE על גבי כרטיס EMV חכם המכיל שבב סיליקון ומשמש גם כ-SIM של המכשיר. חשוב לציין, שה-SE קשים מאוד לפיצוח. הם נבדקים מול סט דרישות שהוגדרו על ידי רשתות התשלומים השונות ורק מי שעומד בדרישותיהן מאושר לאחסן את אישורי התשלום. ל-SE יתרון נוסף, והוא הקשר בינו לבין המכשיר הסלולרי בו הוא מותקן, כך שרק כמות קטנה של נתונים מאוחסנת עליו (אישורי לקוח בודד ומידע הנדרש לצורך הצפנת ההתקן הספציפי).

HCE – אמולציית הכרטיס

ה-HCE מניח, כי כל הנתונים המאוחסנים במכשיר פגיעים, ולכן אחסון הנתונים הרגישים נמצא בענן. נתונים אלו כוללים את ריכוז פרטי התשלומים והאישורים, דבר ההופך את בסיס הנתונים בענן ליעד אטרקטיבי מאוד לתקיפה. ההגנה על בסיס נתונים זה מתבצעת בשיטות שונות, ביניהן שימוש בטוקנים המחליפים את המידע הסודי העובר במערכות התשלומים, שימוש בטביעות אצבע של מכשירים סלולריים כדי לאמת את המכשיר ממנו מתבצעת הטרנזאקציה והפעלת מנגנוני בקרות בזמן אמת לצורך ניתוח סיכוני עסקה וזיהוי פעילות חריגה.

Apply Pay משלב אלמנט מאובטח, יחד עם טכנולוגיה מבוססת ענן באמצעות מזהה ביומטרי – טביעת האצבע של מבצע הטרנזאקציה. על ידי שימוש בטוב שבשני העולמות, אפל בנתה מערכת טובה מאוד במבחן הביטחון.

אז איזו טכנולוגיה עדיפה?

השאלה איזו טכנולוגיה עדיפה אינה השאלה הנכונה, משום שהמכשיר הסלולרי של המשתמש תומך רק באחת משתי הטכנולוגיות (או באף אחת משתיהן). השאלה החשובה יותר הינה, האם שתי הטכנולוגיות מספקות את רמת הביטחון הדרושה כדי להגן על ביצוע תשלומים – והתשובה לכך הינה חיובית.

השורה התחתונה

השורה התחתונה היא, שאם המכשיר הסלולרי איתו מבוצעת הטרנזאקציה הכספית מצויד ב-SE, אזי מומלץ להשתמש בו, ובייחוד אם הטרנזאקציה כוללת גם אישור ביומטרי על ידי שימוש בטביעת אצבע. אולם, אם אין במכשיר הסלולרי אלמנט מאובטח, הפתרון היחידי הוא שימוש ב-HCE, אשר צפוי להיתמך על ידי הרוב הגדול של הטלפונים החכמים.

בנקים וסוחרים יכולים לספק כבר היום תשלומים מאובטחים ניידים לצרכנים, באמצעות טכנולוגיית HCE המשתמשת בטוקנים, טביעת אצבע של המכשיר הסלולרי, בחינת סיכון העסקה בזמן אמת ותוכנה חזקה במכשיר. מתן שירותי ארנק סלולרי באמצעות אפליקציות ממותגות, מכיל בתוכו יתרון נוסף של שמירת הקשר הישיר עם הצרכן. הבנקים והסוחרים חייבים להסתגל לסביבה שבה אלמנטים מאובטחים ו-HCE מבוסס ענן יהיו קיימים בו זמנית. עליהם להבין את היתרונות וחסרונות של כל אחת מהטכנולוגיות ולספק פתרונות תשלומים התומכים בשתיהם, משום שזו הדרך היחידה להגיע לקהל צרכנים רחב.