Защитный код карты - Card security code

"CVC2" перенаправляется сюда. Для аэропорта в Онтарио, Канада, см. Водный аэродром Канал Вояджер.
Код безопасности карты находится на обратной стороне Mastercard, Visa, Обнаружить, Diners Club, и JCB кредитные или дебетовые карты и обычно представляет собой отдельную группу из трех цифр справа от полосы для подписи.
На American Express карты, код безопасности карты - это напечатанная, а не тисненая группа из четырех цифр на лицевой стороне вправо.

А Защитный код карты (CSC), данные проверки карты (ССЗ), идентификационный номер карты, Card Verification Value (CVV), код подтверждения карты, Код подтверждения карты (CVC), Код подтверждения (V-код или же Код V), или же код панели подписи (SPC)[1] это функция безопасности для "карты нет " платежная карта сделки, учрежденные для уменьшения числа случаев мошенничество с кредитными картами.

CSC является дополнением к номер банковской карты который тиснен или напечатан на карте. CSC используется в качестве средства безопасности в ситуациях, когда персональный идентификационный номер (PIN-код) использовать нельзя. PIN-код не печатается и не встроен в карту, а вручную вводится владельцем карты во время торговая точка (предъявление карты) транзакции. Бесконтактный карта и чип-карты могут в электронном виде генерировать собственный код, например iCVV или динамичный CVV.

CSC был первоначально разработан в Великобритании как 11-значный буквенно-цифровой код Equifax сотрудник Майкл Стоун в 1995 году. После тестирования с Littlewoods Домашняя торговая группа и NatWest банк, концепция была принята в Великобритании Ассоциация платежных клиринговых услуг (APACS) и преобразован в известный сегодня трехзначный код. Mastercard начал выдавать номера CVC2 в 1997 году и Visa в США их выпустили к 2001 году. American Express начали использовать CSC в 1999 году в ответ на рост Интернет-транзакции и жалобы членов карты на перерывы в расходах, когда безопасность карты ставится под сомнение.

В 2016 году была представлена ​​новая технология электронной коммерции под названием Motioncode, предназначенная для автоматического обновления кода CVV до нового каждый час или около того.[2]

Описание

Коды имеют разные названия:

  • «CAV» или «значение аутентификации карты» - JCB
  • «CID»: «ID карты», «идентификационный номер карты» или «идентификационный код карты» - Обнаружить, American Express (четыре цифры на лицевой стороне карты)[а][3]
  • «CSC» или «код безопасности карты» - дебетовые карты,[который? ] American Express (три цифры на обратной стороне карты)[3]
  • «CVC» или «код проверки карты» - Mastercard
  • «CVD» или «данные проверки карты» - Обнаружить, иногда используется как общий инициализм для такого кода
  • «CVE» или «Проверочный код Elo» - Эло в Бразилия
  • «CVN» или «номер проверки карты» - China UnionPay
  • "CVV" или "проверочная стоимость карты" - Visa

Типы кодов

Существует несколько типов кодов безопасности и PVV (все генерируются из ключа DES в банке в модулях HAM):

  • Первый код, 3 числа, называемый CVC1 или CVV1, закодирован на первой и второй дорожке магнитная полоса карты и используется для транзакций с предъявлением карты с подписью (вторая дорожка также содержит значение проверки PIN-кода, PVV, но теперь оно обычно обнулено). Код предназначен для проверки того, что платежная карта действительно находится в руках продавца (поэтому она должна отличаться от CVV2). Этот код автоматически извлекается, когда магнитная полоса карты считывается (проводится) на торговая точка (карта присутствует) устройство и проверено эмитентом. Ограничение заключается в том, что если вся карта была продублирована и магнитная полоса скопирована, то код все еще действителен, даже если вам обычно нужно подписать после этого. (Видеть мошенничество с кредитными картами § снятие денег.)
  • Второй и наиболее цитируемый код - CVV2 или CVC2. Этот код часто используется продавцами для карта не представлена ​​транзакции в том числе онлайн-покупки. В некоторых странах Западной Европы эмитенты карт требуют, чтобы продавец получил код, когда владелец карты не присутствует лично.
  • Бесконтактный и / или чип EMV карты предоставляют свои собственные коды, генерируемые в электронном виде, такие как iCVV или динамичный CVV. Это описано в государственных стандартах EMVCo.
  • Код подтверждения владельца карты устройства (CDCVM; Например Apple Pay, Google Pay, Samsung Pay, различные приложения с поддержкой механизма криптографического доверия для устройств) не рекомендуется использовать для PIN и CVC, теперь вам нужно разблокировать смарт-устройство (смарт-часы, смартфон и т. д., лучше с использованием биометрии: радужной оболочки глаза, отпечатка пальца или Face ID ), а операция с любой суммой - без ПИН-кода, если POS-терминал поддерживает CDCVM. Количество операций также отображается на вашем устройстве перед разблокировкой для покупки. Также поддерживаются онлайн-покупки. Поддерживаются откаты к CVC или PIN.

Расположение кода

Код безопасности карты обычно представляет собой последние три или четыре цифры, напечатанные, а не тисненые, как номер карты, на полосе для подписи на обратной стороне карты. Однако на картах American Express защитный код карты представляет собой четыре цифры, напечатанные (без тиснения) на лицевой стороне справа. Код безопасности карты не закодирован на магнитной полосе, а напечатан на плоской поверхности.

  • Карты American Express имеют четырехзначный код, напечатанный на лицевой стороне карты над номером.
  • Diners Club, Обнаружить, JCB, Кредитные и дебетовые карты Mastercard и Visa имеют трехзначный код безопасности. Код - это последняя группа цифр, напечатанная на задней панели для подписи карты.
  • Для новых североамериканских карт Mastercard и Visa код указан на отдельной панели справа от полосы для подписи.[4] Это сделано для предотвращения перезаписи номеров при подписании карты.

Преимущества безопасности

В качестве меры безопасности продавцы, которым требуется CVV2 для "карты нет "эмитент карты требует, чтобы транзакции не хранили CVV2 после авторизации отдельной транзакции.[5] Таким образом, если база данных транзакций скомпрометированный, CVV2 отсутствует, и номера украденных карт менее полезны. Виртуальные терминалы и платежные шлюзы не храните код CVV2; поэтому сотрудники и представители службы поддержки клиентов, имеющие доступ к этим платежным веб-интерфейсам, которые в противном случае имеют доступ к полным номерам карт, срокам действия и другой информации, по-прежнему не имеют кода CVV2.

В Стандарт безопасности данных индустрии платежных карт (PCI DSS) также запрещает хранение CSC (и других конфиденциальных данных авторизации) после авторизации транзакции. Это относится ко всем, кто хранит, обрабатывает или передает данные держателей карт.[6]Поскольку CSC не содержится на магнитной полосе карты, он обычно не включается в транзакцию, когда карта используется лицом к лицу у продавца. Однако некоторые продавцы в Северной Америке, такие как Sears и Скобы, требуется код. За American Express карты, это было неизменной практикой (для транзакций «без предъявления карты») в странах Европейского Союза (ЕС), таких как Ирландия и Великобритания, с начала 2005 года. Это обеспечивает определенный уровень защиты для банка / держателя карты в том смысле, что Мошеннический продавец или служащий не может просто захватить данные магнитной полосы карты и использовать их позже для покупок «без предъявления карты» по телефону, почтовому заказу или Интернету. Для этого продавцу или его сотруднику также необходимо визуально отметить CVV2 и записать его, что с большей вероятностью вызовет подозрения у держателя карты.

Предоставление кода CSC в транзакции предназначено для проверки того, что клиент владеет картой. Знание кода доказывает, что покупатель видел карту или видел запись, сделанную кем-то, кто видел карту.

Ограничения

  • Использование CSC не может защитить от фишинг мошенничество, при котором держателя карты обманом заставляют ввести CSC среди других реквизитов карты через мошеннический веб-сайт. Рост фишинга снизил реальную эффективность CSC как средства защиты от мошенничества. Теперь также существует мошенничество, когда фишер уже получил номер карточного счета (возможно, взломав базу данных продавца или из плохо оформленной квитанции) и предоставляет эту информацию. к жертв (убаюкивая их ложным чувством безопасности) перед тем, как запросить CSC (это все, что нужно фишеру и в первую очередь цель мошенничества).[7]
  • Поскольку CSC не может храниться у продавца в течение длительного времени[5] (после исходной транзакции, в которой CSC был процитирован и затем авторизован), продавец, которому необходимо регулярно выставлять счет на карту для обычной подписки, не сможет предоставить код после первоначальной транзакции. Платежные шлюзы, однако, отреагировали, добавив функции «периодического выставления счетов» как часть процесса авторизации.
  • Некоторые эмитенты карт не используют CSC. Однако транзакции без CSC могут повлечь за собой более высокую стоимость обработки карты для продавцов,[нужна цитата ] а мошеннические транзакции без CSC с большей вероятностью будут разрешены в пользу держателя карты.[нужна цитата ]
  • Для продавца не обязательно запрашивать код безопасности для совершения транзакции, поэтому карта все равно может быть подвержена мошенничеству, даже если фишерам известен только ее номер. Например, Amazon требуется только номер карты и срок действия для завершения транзакции.
  • Мошенник может угадать CSC с помощью распределенной атаки.[8]

Поколение

CSC для каждой карты (формы 1 и 2) генерируется эмитентом карты при выпуске карты. Он рассчитывается путем шифрования номера банковской карты и даты истечения срока действия (два поля, напечатанных на карте) ключами шифрования, известными только эмитенту карты, и десятичного дробления результата.[9][10][мертвая ссылка ]

Смотрите также

  • Мошенничество с кредитными картами
  • ISO 8583 (элемент данных # 44 содержит ответ кода безопасности)
  • 3-D Secure - дополнительный тип защиты кредитной карты, требующий аутентификации с помощью одноразового PIN-кода, обычно отправляемого держателю карты посредством SMS.

Примечания

  1. ^ American Express обычно использует четырехзначный код на лицевой стороне карты, называемый идентификационным кодом карты (CID), но также имеет трехзначный код на обратной стороне карты, называемый кодом безопасности карты ( CSC). American Express также иногда называют «уникальным кодом карты».

Цитаты

  1. ^ «CIBC MasterCard - MasterCard SecureCode». Архивировано из оригинал 24 апреля 2014 г.. Получено 2012-07-12.
  2. ^ «Эту карту выпускают французские банки, чтобы устранить мошенничество». thememo.com. 27 сентября 2016 г. Архивировано с оригинал 3 октября 2016 г.. Получено 10 апреля 2018.
  3. ^ а б Нужно ли мне что-то делать перед использованием подарочной карты или бизнес-карты?, «четырехзначный идентификационный код карты (CID), расположенный на лицевой стороне карты, трехзначный код безопасности карты (CSC) на обратной стороне карты»
  4. ^ «Функции безопасности карты» (PDF). Visa. Архивировано из оригинал (PDF) 16 февраля 2012 г.
  5. ^ а б «Правила для продавцов Visa». п. 1. Архивировано из оригинал (док) 24 февраля 2014 г.. Получено 26 февраля 2013.
  6. ^ «Официальный источник документов по стандартам безопасности данных PCI DSS и рекомендаций по соблюдению требований платежных карт». Pcisecuritystandards.org. Получено 25 декабря 2011.
  7. ^ "Справочные страницы Urban Legends: мошенничество с расследованием мошенничества с картой Visa". Snopes.com. Получено 25 декабря 2011.
  8. ^ Даклин, Пол (5 декабря 2016 г.). «Как угадать коды безопасности кредитной карты». голая безопасность от SOPHOS. Получено 8 декабря 2016.
  9. ^ "Руководство программиста по применению интегрированной службы криптографии z / OS". IBM. Март 2002. с. 209.
  10. ^ "Руководство программиста по применению интегрированной службы криптографии z / OS". IBM. Март 2002. с. 258.