Из Википедии, бесплатной энциклопедии
  (Перенаправлено с кода подтверждения карты )
Перейти к навигации Перейти к поиску
"CVC2" перенаправляется сюда. Чтобы узнать об аэропорте в Онтарио, Канада, см. Водный аэродром канала Вояджер .

Код безопасности карты находится на обратной стороне кредитных или дебетовых карт Mastercard , Visa , Discover , Diners Club и JCB и обычно представляет собой отдельную группу из трех цифр справа от полосы для подписи.
На картах American Express защитный код карты представляет собой напечатанную, а не тисненую группу из четырех цифр на лицевой стороне вправо.

Код безопасности карты ( CSC , также известен под несколькими другими названиями) представляет собой ряд чисел , в дополнение к номеру банковской карты , которая рельефной или напечатанной на карте. CSC используется в качестве средства безопасности для транзакций без предъявления карты , когда личный идентификационный номер (PIN) не может быть вручную введен держателем карты (как это было бы во время транзакций в точках продаж или при транзакциях с предъявлением карты). Он был учрежден для сокращения случаев мошенничества с кредитными картами .

Первоначально CSC был разработан в Великобритании как одиннадцатизначный буквенно-цифровой код сотрудником Equifax Майклом Стоуном в 1995 году. После тестирования с группой Littlewoods Home Shopping и банком NatWest концепция была принята Британской ассоциацией платежных клиринговых услуг (APACS) и преобразован в известный сегодня трехзначный код. Mastercard начала выдавать номера CVC2 в 1997 году, а Visa в США выпустила их к 2001 году. American Express начала использовать CSC в 1999 году в ответ на растущее количество транзакций в Интернете и жалобы членов карт на перерывы в расходах, когда безопасность карты была предоставлена под вопросом.

Бесконтактные карты и чиповые карты могут в электронном виде генерировать собственный код, например iCVV или динамический CVV.

Именование [ править ]

Коды имеют разные названия:

  • «CAV» или «значение аутентификации карты» - JCB
  • «CID»: «идентификатор карты», «идентификационный номер карты» или «идентификационный код карты» - Discover , American Express (четыре цифры на лицевой стороне карты) [a] [1]
  • «CSC» или «код безопасности карты» - дебетовые карты , [ какие? ] American Express (три цифры на обратной стороне карты, также обозначаемые как 3CSC) [2]
  • «CVC» или «код проверки карты» - Mastercard
  • "CVD" или "данные проверки карты" - обнаружение , иногда используется как общий инициализм для этого типа кода.
  • «CVE» или «Проверочный код Elo » - Elo в Бразилии.
  • "CVN" или "номер проверки карты" - China UnionPay
  • «CVV» или «проверочная стоимость карты» - Visa
  • «SPC» или «код панели подписи» [3]

Типы [ править ]

Существует несколько типов кодов безопасности и PVV (все генерируются из ключа DES в банке в модулях HSM):

  • Первый код, 3 числа, называемый CVC1 или CVV1, закодирован на первой и второй дорожках магнитной полосы карты и используется для транзакций с предъявлением карты с подписью (вторая дорожка также содержит значение проверки PIN-кода, PVV, но теперь это обычно все обнуляется). Код предназначен для проверки того, что платежная карта действительно находится в руках продавца (таким образом, она должна отличаться от CVV2). Этот код автоматически извлекаются , когда магнитная полоса карты считывается (прокатывается) на пункт-продажи (карта) настоящее устройство и проверяется эмитентом. Ограничение заключается в том, что если вся карта была продублирована и магнитная полоса скопирована, то код все еще действителен, даже если вам обычно нужно подписать после этого. (См. Мошенничество с кредитными картами § снятие денег.)
  • Второй и наиболее цитируемый код - CVV2 или CVC2. Этот код часто используется продавцами для транзакций без предъявления карты, включая онлайн-покупки. В некоторых странах Западной Европы эмитенты карт требуют, чтобы продавец получил код, когда владелец карты не присутствует лично.
  • Бесконтактные и / или чиповые карты EMV предоставляют свои собственные коды, генерируемые в электронном виде, такие как iCVV или динамический CVV. Это описано в государственных стандартах EMVCo.
  • Код подтверждения держателя карты потребительского устройства ( CDCVM ; например, Apple Pay , Google Pay , Samsung Pay , различные приложения с поддержкой механизма криптографического доверия) не рекомендуется использовать для PIN и CVC, теперь требуется смарт-устройство (смарт-часы, смартфон и т. Д.) разблокируется, а операция с любой суммой выполняется без ПИН-кода, если POS-терминал поддерживает CDCVM. Количество операций также отображается на вашем устройстве перед разблокировкой для покупки. Также поддерживаются онлайн-покупки. Поддерживаются откаты к CVC или PIN.

Местоположение [ править ]

Код безопасности карты обычно представляет собой последние три или четыре цифры, напечатанные, а не тисненые, как номер карты, на полосе для подписи на обратной стороне карты. Однако на картах American Express защитный код карты представляет собой четыре цифры, напечатанные (без тиснения) на лицевой стороне справа. Код безопасности карты не закодирован на магнитной полосе, а напечатан на плоской поверхности.

  • Карты American Express имеют четырехзначный код, напечатанный на лицевой стороне карты над номером.
  • Кредитные и дебетовые карты Diners Club , Discover, JCB , Mastercard и Visa имеют трехзначный код безопасности. Код - это последняя группа цифр, напечатанная на задней панели для подписи карты.
  • Новые североамериканские карты Mastercard и Visa имеют код на отдельной панели справа от полосы для подписи. [4] Это сделано для предотвращения перезаписи номеров при подписании карты.

Поколение [ править ]

CSC для каждой карты (формы 1 и 2) генерируется эмитентом карты при выпуске карты. Он рассчитывается путем шифрования номера банковской карты и даты истечения срока действия (два поля, напечатанных на карте) ключами шифрования, известными только эмитенту карты, и десятичного дробления результата. [5] [6]

Преимущества и ограничения [ править ]

В качестве меры безопасности продавцы, которым требуется CVV2 для транзакций «без карты », должны эмитентом карты не хранить CVV2 после авторизации отдельной транзакции. [7] Таким образом, если база данных транзакций скомпрометирована , CVV2 отсутствует, а номера украденных карт менее полезны. Виртуальные терминалы и платежные шлюзы не хранят код CVV2; поэтому сотрудники и представители службы поддержки клиентов, имеющие доступ к этим платежным веб-интерфейсам, которые в противном случае имеют доступ к полным номерам карт, срокам действия и другой информации, по-прежнему не имеют кода CVV2.

Payment Card Industry Data Security Standard (PCI DSS) также запрещает хранение CSC (и другие конфиденциальные данные авторизации) разрешения после операции. Это относится ко всем, кто хранит, обрабатывает или передает данные держателей карт. [8] Поскольку CSC не содержится на магнитной полосе карты, он обычно не включается в транзакцию, когда карта используется лицом к лицу у продавца. Однако некоторым продавцам в Северной Америке, например Sears and Staples , требуется код. Для American Expressкарты, это было неизменной практикой (для транзакций «без предъявления карты») в странах Европейского Союза (ЕС), таких как Ирландия и Великобритания, с начала 2005 года. Это обеспечивает определенный уровень защиты для банка / держателя карты в том смысле, что Мошеннический продавец или служащий не может просто захватить данные магнитной полосы карты и использовать их позже для покупок "без предъявления карты" по телефону, почтовому заказу или Интернету. Для этого продавцу или его сотруднику также необходимо визуально отметить CVV2 и записать его, что с большей вероятностью вызовет подозрения у держателя карты.

Предоставление кода CSC в транзакции предназначено для подтверждения того, что клиент владеет картой. Знание кода доказывает, что покупатель видел карту или видел запись, сделанную кем-то, кто видел карту.

Ограничения включают:

  • Использование CSC не может защитить от фишинга , когда держателя карты обманом заставляют ввести CSC среди других реквизитов карты через мошеннический веб-сайт. Рост фишинга снизил реальную эффективность CSC как средства защиты от мошенничества. Существует в настоящее время также афера , где фишер уже получил номер карточного счета (возможно , путем взлома торговца базы данных или из плохо разработанной квитанции) и дает эту информацию к жертвам (убаюкивающим их в ложное чувство безопасности) , прежде чем просить CSC (это все, что нужно фишеру и в первую очередь цель мошенничества). [9]
  • Поскольку CSC не может храниться у продавца в течение какого-либо периода времени [7] (после исходной транзакции, в которой CSC был процитирован и затем авторизован), продавец, которому необходимо регулярно выставлять счет по карте для обычной подписки, не будет возможность предоставить код после первоначальной транзакции. Платежные шлюзы, однако, отреагировали, добавив функции «периодического выставления счетов» как часть процесса авторизации.
  • Некоторые эмитенты карт не используют CSC. Однако транзакции без CSC, возможно, требуют более высоких затрат на обработку карты для продавцов, [ цитата необходима ], и мошеннические транзакции без CSC с большей вероятностью будут разрешены в пользу держателя карты. [ необходима цитата ]
  • Для продавца не обязательно запрашивать защитный код для совершения транзакции, поэтому карта все равно может быть подвержена мошенничеству, даже если фишерам известен только ее номер. Например, Amazon требует только номер карты и дату истечения срока действия для завершения транзакции.
  • Мошенник может угадать CSC с помощью распределенной атаки. [10]

См. Также [ править ]

  • 3-D Secure
  • Мошенничество с кредитными картами
  • ISO 8583

Заметки [ править ]

  1. ^ American Express обычно использует четырехзначный код на лицевой стороне карты, называемый идентификационным кодом карты (CID), но также имеет трехзначный код на обратной стороне карты, называемый кодом безопасности карты. (CSC). American Express также иногда называют «уникальным кодом карты».

Ссылки [ править ]

  1. ^ «Функции безопасности карты American Express®» (PDF) . www.americanexpress.com . Дата обращения 4 мая 2021 .
  2. ^ «Часто задаваемые вопросы по SafeKey | American Express Canada» . www.americanexpress.com . Дата обращения 4 мая 2021 .
  3. ^ «CIBC MasterCard - MasterCard SecureCode» . Архивировано из оригинального 24 апреля 2014 года . Проверено 12 июля 2012 года .
  4. ^ «Функции безопасности карты» (PDF) . Виза. Архивировано из оригинального (PDF) 16 февраля 2012 года.
  5. ^ "Руководство программиста интегрированного средства криптографической службы z / OS" . IBM. Март 2002. с. 209.
  6. ^ "Руководство программиста интегрированного средства криптографической службы z / OS" . IBM. Март 2002. с. 258.[ мертвая ссылка ]
  7. ^ a b «Правила для продавцов Visa» . п. 1. Архивировано из оригинала (док) 24 февраля 2014 года . Проверено 26 февраля 2013 года .
  8. ^ «Официальный источник документов по стандартам безопасности данных PCI DSS и рекомендаций по соблюдению требований к платежным картам» . Pcisecuritystandards.org . Проверено 25 декабря 2011 года .
  9. ^ "Справочные страницы городских легенд: мошенничество с расследованием мошенничества с картой Visa" . Snopes.com . Проверено 25 декабря 2011 года .
  10. ^ Даклин, Пол (5 декабря 2016). «Как угадать коды безопасности кредитной карты» . голая безопасность от SOPHOS . Проверено 8 декабря +2016 .