Функция безопасности платежных карт
Код безопасности карты расположен на обратной стороне
Mastercard,
Visa,
Discover,
Diners Club и
JCB кредитные или дебетовые карты и обычно представляет собой отдельную группу из трех цифр справа от полосы для подписи.
На картах
American Express защитный код карты представляет собой напечатанную, а не тисненую группу из четырех цифр на лицевой стороне вправо.
A защитный код карты (CSC ), данные проверки карты (CVD ), номер проверки карты, значение проверки карты (CVV ), код подтверждения карты, код подтверждения карты (CVC ), код подтверждения (V-код или V-код ) или код панели подписи ( SPC ) - это функция безопасности для транзакций «карта отсутствует » платежная карта, установленная для уменьшения числа случаев.
Код CSC дополняет номер банковской карты, который тиснен или напечатан на карте. CSC используется в качестве средства защиты в ситуациях, когда нельзя использовать персональный идентификационный номер (PIN). PIN-код не печатается и не встроен в карту, а вручную вводится держателем карты во время операций в точке продажи (наличие карты). Бесконтактная карта и чип-карты могут генерировать свой собственный код в электронном виде, например iCVV или динамический CVV.
CSC был первоначально разработан в Великобритании как одиннадцатизначный буквенно-цифровой код сотрудником Equifax Майклом Стоуном в 1995 году. После тестирования с группой Littlewoods Home Shopping и банка NatWest, эта концепция была принята Британской ассоциацией платежных клиринговых услуг (APACS) и преобразована в трехзначный код, известный сегодня. Mastercard начала выдавать номера CVC2 в 1997 году, а Visa в США выдала их к 2001 году. American Express начала использовать CSC в 1999 году в ответ на рост Интернет-транзакции и жалобы участников карты на перерывы в расходах, когда безопасность карты ставится под сомнение.
В 2016 году была представлена новая технология электронной коммерции под названием Motioncode, предназначенная для автоматического обновления кода CVV на новый каждый час или около того.
Содержание
- 1 Описание
- 2 типа кодов
- 3 Расположение кода
- 4 Преимущества безопасности
- 5 Ограничения
- 6 Поколение
- 7 См. также
- 8 Примечания
- 9 Цитаты
Описание
У кодов разные названия:
- «CAV» или «значение аутентификации карты» - JCB
- «CID»: «ID карты», «идентификационный номер карты» или «идентификационный код карты» - Откройте для себя, American Express (четыре цифры на лицевой стороне карты)
- «CSC» или «код безопасности карты» - дебетовые карты, American Express (три цифры на обратной стороне карты)
- «CVC» или «код проверки карты» - Mastercard
- «CVD» или «данные проверки карты» - Откройте для себя, иногда используется как общий инициализм для этого вида кода
- «CVE» или «код подтверждения Эло» - Эло в Бразилии
- «CVN» или «номер проверки карты» - Китай ООН ionPay
- «CVV» или «значение верификации карты» - Visa
Типы кодов
Существует несколько типов кодов безопасности и PVV (все генерируются из ключа DES в банке в HAM модулей):
- Первый код, 3 числа, называемые CVC1 или CVV1, кодируются на первой и второй дорожках магнитной полосы карты и используются для транзакций с предъявлением карты с подписью (вторая дорожка также содержит значение проверки пина, PVV, но теперь оно обычно обнулено). Код предназначен для проверки того, что платежная карта действительно находится в руках продавца (поэтому она должна отличаться от CVV2). Этот код автоматически извлекается, когда магнитная полоса карты считывается (считывается) на устройстве точки продажи (имеется карта) и проверяется эмитентом. Ограничение заключается в том, что если вся карта была продублирована и магнитная полоса скопирована, то код все еще действителен, даже если вам обычно нужно подписать после этого. (См.)
- Второй и наиболее цитируемый код - CVV2 или CVC2. Этот код часто используется продавцами для транзакций без предъявления карты, включая онлайн-покупки. В некоторых странах Западной Европы эмитенты карт требуют, чтобы продавец получил код, когда держатель карты не присутствует лично.
- Бесконтактные и / или чиповые карты EMV предоставляют свои собственные коды, генерируемые электронным способом., например iCVV или динамический CVV. Он описан в общедоступных стандартах EMVCo.
- Код подтверждения владельца карты устройства (; например, Apple Pay, Google Pay, Samsung Pay, различные приложения с поддержкой механизма криптографического доверия устройств) не рекомендуется использовать для PIN и CVC, теперь вам нужно разблокировать смарт-устройство (смарт-часы, смартфон и т. д., лучше с использованием биометрических данных: радужной оболочки глаза, отпечатка пальца или Face ID ) и операция с любой суммой выполняется без PIN-кода, если POS-терминал поддерживает CDCVM. Количество операций также отображается на вашем устройстве перед разблокировкой для покупки. Также поддерживаются онлайн-покупки. Поддерживаются резервные коды CVC или PIN.
Расположение кода
Код безопасности карты обычно представляет собой последние три или четыре цифры, напечатанные, а не выбитые, как номер карты, на полосе для подписи на обратной стороне карта. Однако на картах American Express защитный код карты представляет собой четыре цифры, напечатанные (без тиснения) на лицевой стороне справа. Код безопасности карты не закодирован на магнитной полосе, а напечатан на плоской поверхности.
- Карты American Express имеют четырехзначный код, напечатанный на лицевой стороне карты над номером.
- Diners Club, Discover, Mastercard и Visa кредитные и дебетовые карты имеют трехзначную защиту. код. Код - это последняя группа цифр, напечатанная на задней панели карты для подписи.
- Новые североамериканские карты Mastercard и Visa имеют код на отдельной панели справа от полосы для подписи. Это было сделано для предотвращения перезаписи номеров путем подписания карты.
Преимущества безопасности
В качестве меры безопасности продавцы, которым требуется CVV2 для транзакций типа «карта отсутствует », требует от эмитента карты не хранить CVV2 после авторизации отдельной транзакции. Таким образом, если база данных транзакций скомпрометирована, CVV2 отсутствует и номера украденных карт менее полезны. Виртуальные терминалы и платежные шлюзы не хранят код CVV2; поэтому сотрудники и представители службы поддержки клиентов, имеющие доступ к этим платежным веб-интерфейсам, которые в противном случае имеют доступ к полным номерам карт, датам истечения срока действия и другой информации, по-прежнему не имеют кода CVV2.
Стандарт безопасности данных индустрии платежных карт (PCI DSS) также запрещает хранение CSC (и других конфиденциальных данных авторизации) после авторизации транзакции. Это относится ко всем, кто хранит, обрабатывает или передает данные держателей карт. Поскольку CSC не содержится на магнитной полосе карты, он обычно не включается в транзакцию, когда карта используется лицом к лицу у продавца. Однако некоторым продавцам в Северной Америке, например Sears и Staples, требуется код. Для карт American Express это было неизменной практикой (для транзакций «без предъявления карты») в странах Европейского Союза (ЕС), таких как Ирландия и Великобритания, с начала 2005 года. Это обеспечивает уровень защита банка / держателя карты, заключающаяся в том, что продавец или служащий-мошенник не может просто захватить данные с магнитной полосы карты и использовать их позже для покупок "без предъявления карты" по телефону, почтовому заказу или Интернету. Для этого продавцу или его сотруднику также необходимо визуально отметить CVV2 и записать его, что с большей вероятностью вызовет подозрения у держателя карты.
Предоставление кода CSC в транзакции предназначено для подтверждения того, что клиент владеет картой. Знание кода доказывает, что покупатель видел карту или видел запись, сделанную кем-то, кто видел карту.
Ограничения
- Использование CSC не может защитить от фишинга мошенничества, когда держателя карты обманом заставляют ввести CSC среди других реквизитов карты через мошеннический веб-сайт. Рост фишинга снизил реальную эффективность CSC как средства защиты от мошенничества. Теперь также существует мошенничество, когда фишер уже получил номер карточного счета (возможно, взломав базу данных продавца или из плохо оформленной квитанции) и передает эту информацию жертвам (убаюкивая их ложным чувством безопасности), прежде чем запрашивать CSC (это все, что нужно фишеру и в первую очередь цель мошенничества).
- Поскольку CSC не может храниться продавцом в течение какого-либо периода времени (после исходной транзакции, в которой CSC был процитирован и затем авторизован), продавец, которому необходимо регулярно выставлять счет на карту для обычной подписки, не сможет предоставить код после первоначальной транзакции. Платежные шлюзы, однако, отреагировали, добавив функции "периодического выставления счетов" как часть процесса авторизации.
- Некоторые эмитенты карт не используют CSC. Однако транзакции без CSC, возможно, требуют более высоких затрат на обработку карты для продавцов, а мошеннические транзакции без CSC с большей вероятностью будут разрешены в пользу держателя карты.
- Для продавца не обязательно требовать код безопасности для совершения транзакции, поэтому карта по-прежнему может быть подвержена мошенничеству, даже если фишерам известен только ее номер. Например, Amazon требует только номер карты и дату истечения срока действия для завершения транзакции.
- Мошенник может угадать CSC с помощью распределенной атаки.
Поколение
CSC для каждой карты (формы 1 и 2) генерируется эмитентом карты при выпуске карты. Он рассчитывается путем шифрования номера банковской карты и даты истечения срока действия (два поля, напечатанных на карте) ключами шифрования, известными только эмитенту карты, и десятичного дробления результата.
См. Также
- ISO 8583 (элемент данных № 44 содержит ответ с кодом безопасности)
- 3-D Secure - дополнительный тип защиты кредитной карты, требующий аутентификации с помощью одноразового PIN-кода, обычно отправляемого держателю карты посредством SMS.
Примечания
Цитаты