Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
"CVC2" перенаправляется сюда. Чтобы узнать об аэропорте в Онтарио, Канада, см. Водный аэродром канала Вояджер .

Код безопасности карты находится на обратной стороне кредитных или дебетовых карт Mastercard , Visa , Discover , Diners Club и JCB и обычно представляет собой отдельную группу из трех цифр справа от полосы для подписи.
На картах American Express защитный код карты представляет собой напечатанную, а не тисненую группу из четырех цифр на лицевой стороне справа.

Код безопасности карты ( CSC ), данные проверки карточки ( ХОП ), Проверочный номер карты , значение проверки карты ( CVV ), код карты значение проверки , проверки карты код ( CVC ), код проверки ( V-код или V - код ), или Код панели подписи ( SPC ) [1] - это функция безопасности для транзакций с платежными картами " карта не представлена ", установленная для уменьшения числа случаевмошенничество с кредитными картами .

Код CSC добавляется к номеру банковской карты, который тиснен или напечатан на карте. CSC используется как средство безопасности в ситуациях, когда нельзя использовать личный идентификационный номер (PIN). PIN-код не печатается и не встроен в карту, а вручную вводится владельцем карты во время транзакций в точках продаж (при предъявлении карты). Бесконтактные карты и чиповые карты могут в электронном виде генерировать собственный код, например iCVV или динамический CVV.

Первоначально CSC был разработан в Великобритании как одиннадцатизначный буквенно-цифровой код сотрудником Equifax Майклом Стоуном в 1995 году. После тестирования с группой Littlewoods Home Shopping и банком NatWest концепция была принята Британской ассоциацией платежных клиринговых услуг (APACS) и преобразован в известный сегодня трехзначный код. Mastercard начала выдавать номера CVC2 в 1997 году, а Visa в США выпустила их к 2001 году. American Express начала использовать CSC в 1999 году в ответ на растущее количество транзакций в Интернете и жалобы членов карт на перерывы в расходах, когда безопасность карты была предоставлена. под вопросом.

В 2016 году была представлена ​​новая технология электронной коммерции под названием Motioncode, предназначенная для автоматического обновления кода CVV на новый каждый час или около того. [2]

Описание [ править ]

Коды имеют разные названия:

  • «CAV» или «значение аутентификации карты» - JCB
  • «CID»: «идентификатор карты», «идентификационный номер карты» или «идентификационный код карты» - Discover , American Express (четыре цифры на лицевой стороне карты) [a] [3]
  • «CSC» или «код безопасности карты» - дебетовые карты , [ какие? ] American Express (три цифры на обратной стороне карты) [3]
  • «CVC» или «код проверки карты» - Mastercard
  • "CVD" или "данные проверки карты" - обнаружение , иногда используется как общий инициализм для этого типа кода.
  • «CVE» или «Проверочный код Elo » - Elo в Бразилии.
  • "CVN" или "номер проверки карты" - China UnionPay
  • «CVV» или «проверочная стоимость карты» - Visa

Типы кодов [ править ]

Существует несколько типов кодов безопасности и PVV (все генерируются из ключа DES в банке в модулях HSM):

  • Первый код, 3 числа, называемый CVC1 или CVV1, закодирован на первой и второй дорожках магнитной полосы карты и используется для транзакций с предъявлением карты с подписью (вторая дорожка также содержит значение проверки PIN-кода, PVV, но теперь это обычно все обнуляется). Код предназначен для проверки того, что платежная карта действительно находится в руках продавца (таким образом, она должна отличаться от CVV2). Этот код автоматически извлекаются , когда магнитная полоса карты считывается (прокатывается) на пункт-продажи (карта) настоящее устройство и проверяется эмитентом. Ограничение заключается в том, что если вся карта была продублирована и магнитная полоса скопирована, то код все еще действителен, даже если вам обычно нужно подписать после этого. (См. Мошенничество с кредитными картами § снятие денег.)
  • Второй и наиболее цитируемый код - CVV2 или CVC2. Этот код часто используется продавцами для транзакций без предъявления карты, включая онлайн-покупки. В некоторых странах Западной Европы эмитенты карт требуют, чтобы продавец получил код, когда владелец карты не присутствует лично.
  • Бесконтактные и / или чиповые карты EMV предоставляют свои собственные коды, генерируемые в электронном виде, такие как iCVV или динамический CVV. Это описано в государственных стандартах EMVCo.
  • Код подтверждения держателя карты потребительского устройства ( CDCVM ; например, Apple Pay , Google Pay , Samsung Pay , различные приложения с поддержкой механизма криптографического доверия) не рекомендуется использовать для PIN и CVC, теперь вам нужно разблокировать свое смарт-устройство (смарт-часы, смартфон, и т.д., лучше с использованием биометрии: радужной оболочки глаза, отпечатка пальца или Face ID ), а операция с любой суммой выполняется без PIN-кода, если POS-терминал поддерживает CDCVM. Количество операций также отображается на вашем устройстве перед разблокировкой для покупки. Также поддерживаются онлайн-покупки. Поддерживаются откаты к CVC или PIN.

Расположение кода [ править ]

Код безопасности карты обычно представляет собой последние три или четыре цифры, напечатанные, а не тисненые, как номер карты, на полосе для подписи на обратной стороне карты. Однако на картах American Express защитный код карты представляет собой четыре цифры, напечатанные (без тиснения) на лицевой стороне справа. Код безопасности карты не закодирован на магнитной полосе, а напечатан на плоской поверхности.

  • Карты American Express имеют четырехзначный код, напечатанный на лицевой стороне карты над номером.
  • Кредитные и дебетовые карты Diners Club , Discover, JCB , Mastercard и Visa имеют трехзначный код безопасности. Код - это последняя группа цифр, напечатанная на задней панели для подписи карты.
  • Новые североамериканские карты Mastercard и Visa имеют код на отдельной панели справа от полосы для подписи. [4] Это сделано для предотвращения перезаписи номеров при подписании карты.

Преимущества безопасности [ править ]

В качестве меры безопасности продавцы, которым требуется CVV2 для транзакций «без карты », должны эмитентом карты не хранить CVV2 после авторизации отдельной транзакции. [5] Таким образом, если база данных транзакций скомпрометирована , CVV2 отсутствует, а номера украденных карт менее полезны. Виртуальные терминалы и платежные шлюзы не хранят код CVV2; поэтому сотрудники и представители службы поддержки клиентов, имеющие доступ к этим платежным веб-интерфейсам, которые в противном случае имеют доступ к полным номерам карт, срокам действия и другой информации, по-прежнему не имеют кода CVV2.

Payment Card Industry Data Security Standard (PCI DSS) также запрещает хранение CSC (и другие конфиденциальные данные авторизации) разрешения после операции. Это относится ко всем, кто хранит, обрабатывает или передает данные держателей карт. [6] Поскольку CSC не содержится на магнитной полосе карты, он обычно не включается в транзакцию, когда карта используется лицом к лицу у продавца. Однако некоторым продавцам в Северной Америке, например Sears and Staples , требуется код. Для American Expressкарты, это было неизменной практикой (для транзакций «без предъявления карты») в странах Европейского Союза (ЕС), таких как Ирландия и Великобритания, с начала 2005 года. Это обеспечивает определенный уровень защиты для банка / держателя карты, в том числе Мошеннический продавец или служащий не может просто захватить данные магнитной полосы карты и использовать их позже для покупок "без предъявления карты" по телефону, почтовому заказу или Интернету. Для этого продавцу или его сотруднику также необходимо визуально отметить CVV2 и записать его, что с большей вероятностью вызовет подозрения у держателя карты.

Предоставление кода CSC в транзакции предназначено для подтверждения того, что клиент владеет картой. Знание кода доказывает, что покупатель видел карту или видел запись, сделанную кем-то, кто видел карту.

Ограничения [ править ]

  • Использование CSC не может защитить от фишинга , когда держателя карты обманом заставляют ввести CSC среди других реквизитов карты через мошеннический веб-сайт. Рост фишинга снизил реальную эффективность CSC как средства защиты от мошенничества. Существует в настоящее время также афера , где фишер уже получил номер карточного счета (возможно , путем взлома торговца базы данных или из плохо разработанной квитанции) и дает эту информацию к жертвам (убаюкивающим их в ложное чувство безопасности) , прежде чем просить CSC (это все, что нужно фишеру и в первую очередь цель мошенничества). [7]
  • Поскольку CSC не может храниться у продавца в течение какого-либо периода времени [5] (после первоначальной транзакции, в которой CSC был процитирован и затем авторизован), продавец, которому необходимо регулярно выставлять счет по карте для обычной подписки, не будет возможность предоставить код после первоначальной транзакции. Платежные шлюзы, однако, отреагировали, добавив функции «периодического выставления счетов» как часть процесса авторизации.
  • Некоторые эмитенты карт не используют CSC. Однако транзакции без CSC, возможно, требуют более высоких затрат на обработку карты для продавцов, [ необходима цитата ], и мошеннические транзакции без CSC с большей вероятностью будут разрешены в пользу держателя карты. [ необходима цитата ]
  • Для продавца не обязательно запрашивать защитный код для совершения транзакции, поэтому карта все равно может быть подвержена мошенничеству, даже если фишерам известен только ее номер. Например, Amazon требует только номер карты и дату истечения срока действия для завершения транзакции.
  • Мошенник может угадать CSC с помощью распределенной атаки. [8]

Поколение [ править ]

CSC для каждой карты (формы 1 и 2) генерируется эмитентом карты при выпуске карты. Он рассчитывается путем шифрования номера банковской карты и даты истечения срока действия (два поля, напечатанных на карте) ключами шифрования, известными только эмитенту карты, и десятичного дробления результата. [9] [10]

См. Также [ править ]

  • Мошенничество с кредитными картами
  • ISO 8583 (элемент данных # 44 несет ответ кода безопасности)
  • 3-D Secure - дополнительный тип защиты кредитной карты, требующий аутентификации с помощью одноразового PIN-кода, обычно отправляемого держателю карты посредством SMS.

Заметки [ править ]

  1. ^ American Express обычно использует четырехзначный код на лицевой стороне карты, называемый идентификационным кодом карты (CID), но также имеет трехзначный код на обратной стороне карты, называемый кодом безопасности карты. (CSC). American Express также иногда называют «уникальным кодом карты».

Цитаты [ править ]

  1. ^ «CIBC MasterCard - MasterCard SecureCode» . Архивировано из оригинального 24 апреля 2014 года . Проверено 12 июля 2012 года .
  2. ^ «Эта карта выпускается французскими банками для устранения мошенничества» . thememo.com . 27 сентября 2016 года Архивировано из оригинала 3 октября 2016 года . Проверено 10 апреля 2018 года .
  3. ^ a b Нужно ли мне что-то делать перед использованием подарочной карты или бизнес-карты? , «четырехзначный идентификационный код карты (CID), расположенный на лицевой стороне карты, трехзначный код безопасности карты (CSC) на обратной стороне карты»
  4. ^ «Функции безопасности карты» (PDF) . Виза. Архивировано из оригинального (PDF) 16 февраля 2012 года.
  5. ^ a b «Правила для продавцов Visa» . п. 1. Архивировано из оригинала (док) 24 февраля 2014 года . Проверено 26 февраля 2013 года .
  6. ^ «Официальный источник документов по стандартам безопасности данных PCI DSS и рекомендаций по соблюдению требований к платежным картам» . Pcisecuritystandards.org . Проверено 25 декабря 2011 года .
  7. ^ "Справочные страницы городских легенд: мошенничество с расследованием мошенничества с картой Visa" . Snopes.com . Проверено 25 декабря 2011 года .
  8. ^ Даклин, Пол (5 декабря 2016). «Как угадать коды безопасности кредитной карты» . голая безопасность от SOPHOS . Проверено 8 декабря +2016 .
  9. ^ "Руководство программиста интегрированного средства криптографической службы z / OS" . IBM. Март 2002. с. 209.
  10. ^ "Руководство программиста интегрированного средства криптографической службы z / OS" . IBM. Март 2002. с. 258.[ мертвая ссылка ]