其实从目前签订的银联支付协议来看，跟以往与 Visa / Master 所签订的协议并无太大差别。

基本原理和流程大概是这样的：

1. 用户在 App Store 绑定银行卡，提供验证数据（比如信用卡的有限期，姓名，CVV2 等；银联卡的在线支付密码等），苹果会通过这些数据进行一次验证，比如扣除一美元以验证账户验证数据的有效性。（当然是会在后面退回来）。

2. 绑定流程完成后，苹果认为你已经将这张卡的支付权限授权给了他，就可以做到传说中的“一键支付”。当然只是传说中的一键支付，在支付的时候还是输入 App Store 的 ID 密码，表示这笔交易是被持卡人授权的。

3. 在 App Store 下单后，苹果会将之前保存的持卡人验证数据，通过卡组织（银联、Visa / Master）等发起在线授权（类似线下的刷卡交易）交易，在发卡行获准（Approved）后，就可以获准下载这个 App。后续会根据卡组织的要求，发起请款清算流程（如外卡组织）或自动完成清算流程（如银联）。

那么问题来了，保存在苹果的信用卡信息是安全的吗？

我们参考下他们的隐私策略，信用卡信息是有保存的：Apple - Legal

我们收集哪些个人信息

• 当你创建 Apple ID、申请商业信贷、购买产品、下载软件更新、报名参加 Apple Store 零售店的课程、联系我们或参与在线调查时，我们可能会收集各种信息，包括你的姓名、邮寄地址、电话号码、电子邮件地址、联系方式偏好以及信用卡信息。
  
  

• 当你使用 Apple 产品与家人和朋友分享内容、发送礼券和产品，或邀请他人使用 Apple 服务或论坛时，Apple 可能会收集你提供的与上述人士有关的信息，如姓名、邮寄地址、电子邮件地址以及电话号码。Apple 将使用此类信息来满足你的要求，提供相关的产品或服务，或实现反欺诈目的。
  
  

• 在美国，出于提供商业信贷、管理预订或履行法律义务的目的，我们可能会要求用户提供由政府发放的身份证明，但仅限于为数不多的情形，例如设置无线帐户和激活设备。

再参考下他们的保护策略，他们承诺是会加密并且限制访问。

个人信息的保护 Apple 非常重视你的个人信息的安全。Apple 在线服务（如 Apple Store 在线商店和 iTunes Store）会使用传输层安全协议 (TLS) 等加密技术，在传输过程中保护你的个人信息。在 Apple 存储你的个人数据时，我们会使用具有有限访问权限的电脑系统，这些系统部署在通过物理安全措施加以保护的设施之中。iCloud 数据以加密形式存储，在我们使用第三方存储时也是如此。

这份隐私声明是具有法律效应的，如果因为隐私声明中的措施没有做到位而引起持卡人损失，持卡人是有权提起诉讼的。

按照业界对持卡人数据的保护规范来看，这些验证数据会得到妥善保存，如果有存在潜在漏洞，都可能导致苹果公司无法承担的严重后果，这也是他们会关注持卡人数据安全的核心动力所在。

AppleID 也是同样的道理，在绑定银行卡后，AppleID 的密码等同于支付密码，任何支付请求都需要通过 AppleID 发起，并提供密码，之后交易才会经过授权。这与通过银行卡密码支付原理一致。

引申一个问题，银行卡密码保存在银行安全吗？对于这点，可以明确的说，是安全的，银行只会保存物理加密后的密码密文，核对密码是通过对密文的核对实现的——也就是说，没人会知道你的银行卡密码，即使是银行 IT 运维人员——除非持卡人自己泄露。在这里只能做个类比推断，AppleID 的密码存储也是采用类似的策略。

综述：苹果公司的支付是安全可信的——前提是保护好自己 AppleID 的密码！