Защитный код карты

Код безопасности карты расположен на обратной стороне кредитных или дебетовых карт Mastercard , Visa , Discover , Diners Club и JCB и обычно представляет собой отдельную группу из трех цифр справа от полосы для подписи.

На картах American Express код безопасности карты представляет собой напечатанную, а не тисненую группу из четырех цифр спереди справа.

Код безопасности карты ( CSC ; также известный как CVC , CVV или несколько других названий ) — это серия цифр, которая помимо номера банковской карты напечатана (но не выбита ) на кредитной или дебетовой карте . CSC используется в качестве функции безопасности для транзакций без предъявления карты , когда персональный идентификационный номер (ПИН-код) не может быть введен вручную владельцем карты (как это было бы во время транзакций в точках продаж или при предъявлении карты). Он был создан для снижения случаев мошенничества с кредитными картами . В отличие от номера карты, CSC намеренно не имеет тиснения, поэтому он не считывается при использовании механического импринтера кредитных карт , который распознает только тисненые номера.

Эти коды находятся в несколько разных местах для разных эмитентов карт. CSC для кредитных карт Visa , Mastercard и Discover — это трехзначный номер, указанный на обратной стороне карты, справа от поля для подписи. CSC для American Express — это четырехзначный код, указанный на лицевой стороне карты над номером счета. Примеры см. на рисунках справа.

Первоначально CSC был разработан в Великобритании как одиннадцатизначный буквенно-цифровой код сотрудником Equifax Майклом Стоуном в 1995 году. После тестирования с группой Littlewoods Home Shopping и банком NatWest концепция была принята Британской ассоциацией клиринговых услуг (APACS) и упрощен до трехзначного кода, известного сегодня. Mastercard начала выдавать номера CVC2 в 1997 году, а Visa в США выдала их к 2001 году. American Express начала использовать CSC в 1999 году в ответ на растущие интернет-транзакции и жалобы членов карт на перебои в расходах, когда была введена безопасность карты. под вопрос.

Бесконтактные карты и карты с чипом могут генерировать собственный код в электронном виде, например iCVV или динамический CVV.

Мы

Коды имеют разные названия:

«CSC» или «код безопасности карты»: дебетовые карты , ^{[ который? ]} American Express (три цифры на обратной стороне карты, также называется 3CSC) ^{[ 1 ]}
«CVC» или «код проверки карты»: Mastercard.
«CVV» или «значение подтверждения карты»: Visa.
«CAV» или «значение аутентификации карты»: JCB
«CID»: «идентификатор карты», «идентификационный номер карты» или «идентификационный код карты»: Discover , American Express (четыре цифры на лицевой стороне карты). American Express обычно использует четырехзначный код на лицевой стороне карты, называемый идентификационным кодом карты (CID), но также имеет трехзначный код на обратной стороне карты, называемый кодом безопасности карты ( ЦСК). American Express также иногда называет «уникальный код карты». ^{[ 2 ]}
«CVD» или «данные проверки карты»: Откройте для себя
«CVE» или «код подтверждения Elo»: Elo в Бразилии.
«CVN» или «номер подтверждения карты», а также «номер подтверждения карты»: China UnionPay , Google Ads. ^{[ 3 ]}

«SPC» или «код панели подписи» ^{[ 4 ]}

Типы

Существует несколько типов кодов безопасности и PVV (все они генерируются из ключа DES в банке в модулях HSM с использованием PAN , срока действия и сервисного кода):

Первый код, состоящий из трех цифр, называемый CVC1 или CVV1, закодирован на первой и второй дорожках магнитной полосы карты и используется для транзакций предъявления карты с подписью (вторая дорожка также содержит значение проверки PIN-кода, PVV, но теперь это обычно все обнуляется и сервисный код). Цель кода — убедиться, что платежная карта действительно находится в руках продавца (поэтому он должен отличаться от CVV2). Этот код автоматически извлекается, когда магнитная полоса карты считывается (проводится) на устройстве в торговой точке (при наличии карты) и проверяется эмитентом. Ограничением является то, что если вся карта была продублирована, а магнитная полоса скопирована, то код по-прежнему действителен, даже если после этого обычно необходимо расписаться. (См. «Мошенничество с кредитными картами» § скимминг .)
Второй код, наиболее цитируемый, — CVV2 или CVC2. Этот код часто используется продавцами для транзакций без предъявления карты, включая покупки в Интернете. В некоторых странах Западной Европы эмитенты карт требуют от продавца получить код в отсутствие личного присутствия владельца карты. Использует сервисный код 000.
Бесконтактные и/или чиповые карты EMV содержат собственные коды, генерируемые в электронном виде, называемые iCVV. Использует сервисный код 999. Он описан в общедоступных стандартах EMVCo.
Метод проверки держателя карты потребительского устройства (сокращенно CDCVM) — это тип проверки личности, при котором мобильное устройство пользователя (например, смартфон) используется для проверки личности пользователя; устройства например, он может использовать функции биометрической аутентификации (например, Touch ID или Face ID ) или установленный на устройстве пароль . Поддерживается рядом платежных систем, таких как Apple Pay , ^{[ 5 ]} Google Pay ^{[ 6 ]} или Самсунг Пэй . ^{[ 7 ]}

Расположение

Код безопасности карты обычно представляет собой последние три или четыре цифры, напечатанные, а не выгравированные, как номер карты, на полосе для подписи на обратной стороне карты. Однако на картах American Express код безопасности карты представляет собой четыре цифры, напечатанные (не тисненые) на лицевой стороне справа. Код безопасности карты не закодирован на магнитной полосе, а напечатан плоско.

Карты American Express имеют четырехзначный код, напечатанный на лицевой стороне карты над номером.
Кредитные и дебетовые карты Diners Club , Discover, JCB , Mastercard и Visa имеют трехзначный код безопасности карты. Код — это последняя группа цифр, напечатанная на обратной стороне карты для подписи.
На новых североамериканских картах Mastercard и Visa код отображается на отдельной панели справа от полосы для подписи. ^{[ 8 ]} Это сделано для предотвращения перезаписи номеров при подписании карты.

Поколение

CSC для каждой карты (формы 1 и 2) формируется эмитентом карты при ее выпуске. Он рассчитывается путем шифрования номера банковской карты и срока действия (два поля, напечатанных на карте) с помощью ключей шифрования, известных только эмитенту карты, и десятичной дроби результата (аналогично хеш-функции ). ^{[ 9 ]}^{[ 10 ]}^{[ 11 ]}

Преимущества и ограничения

В качестве меры безопасности эмитент карты требует от продавцов, которым требуется CVV2 для транзакций без предъявления карты , не хранить CVV2 после авторизации отдельной транзакции. ^{[ 12 ]} Таким образом, если база данных транзакций скомпрометирована , CVV2 отсутствует, и украденные номера карт становятся менее полезными. Виртуальные терминалы и платежные шлюзы не хранят код CVV2; поэтому сотрудники и представители службы поддержки клиентов, имеющие доступ к этим веб-интерфейсам платежей, которые в противном случае имеют доступ к полным номерам карт, срокам действия и другой информации, по-прежнему не имеют кода CVV2.

Стандарт безопасности данных индустрии платежных карт (PCI DSS) также запрещает хранение CSC (и других конфиденциальных данных авторизации) после авторизации транзакции. Это применимо во всем мире ко всем, кто хранит, обрабатывает или передает данные держателей карт. ^{[ 13 ]} Поскольку CSC не содержится на магнитной полосе карты, он обычно не включается в транзакцию, когда карта используется лично у продавца. Однако некоторым продавцам в Северной Америке, например Sears и Staples , требуется код. Для карт American Express это является неизменной практикой (для транзакций без предъявления карты) в странах Европейского Союза (ЕС), таких как Ирландия и Великобритания, с начала 2005 года. Это обеспечивает уровень защиты банка/держателя карты. , поскольку мошеннический продавец или сотрудник не может просто захватить данные магнитной полосы карты и использовать их позже для покупок «без карты» по телефону, по почте или через Интернет. Для этого продавцу или его сотруднику также придется визуально отметить и записать CVV2, что с большей вероятностью вызовет подозрения у держателя карты.

Предоставление кода CSC в транзакции предназначено для проверки наличия карты у клиента. Знание кода доказывает, что клиент видел карту или видел запись, сделанную кем-то, кто видел карту.

Ограничения включают в себя:

Использование CSC не может защитить от фишинга , когда держателя карты обманом заставляют ввести CSC вместе с другими данными карты через мошеннический веб-сайт. Рост числа фишинговых атак снизил реальную эффективность CSC как средства борьбы с мошенничеством. В настоящее время существует также мошенничество, когда фишер уже получил номер карточного счета (возможно, путем взлома базы данных продавца или из плохо оформленной квитанции) и передает эту информацию жертвам (убаюкивая их ложным чувством безопасности), прежде чем попросить CSC (это все, что нужно фишеру и в первую очередь цель мошенничества). ^{[ 14 ]}
Поскольку CSC не может храниться продавцом в течение какого-либо периода времени. ^{[ 12 ]} (после исходной транзакции, в которой CSC был указан и затем авторизован), продавец, которому необходимо регулярно выставлять счета по карте для обычной подписки, не сможет предоставить код после первоначальной транзакции. Однако платежные шлюзы отреагировали добавлением функции «периодического счета» в рамках процесса авторизации.
Некоторые эмитенты карт не используют CSC. Однако транзакции без CSC могут привести к более высоким затратам на обработку карт для продавцов. ^{[ нужна ссылка ]} а мошеннические транзакции без CSC с большей вероятностью будут решены в пользу держателя карты. ^{[ нужна ссылка ]}
Продавцу не обязательно запрашивать код безопасности для совершения транзакции, поэтому карта все равно может быть подвержена мошенничеству, даже если фишерам известен только ее номер. Например, Amazon для завершения транзакции требует только номер карты и срок ее действия.
Мошенник может угадать CSC, используя распределенную атаку. ^{[ 15 ]}

См. также

Ссылки

^ «Часто задаваемые вопросы по SafeKey | American Express Canada» . www.americanexpress.com . Проверено 4 мая 2021 г.
^ «Функции безопасности карты American Express®» (PDF) . www.americanexpress.com . Архивировано (PDF) из оригинала 27 ноября 2020 г. Проверено 4 мая 2021 г.
^ «Проверочный номер карты (CVN)» . Проверено 2 июля 2023 г.
^ «CIBC MasterCard – MasterCard SecureCode» . Архивировано из оригинала 24 апреля 2014 года . Проверено 12 июля 2012 г.
^ «Лимит Apple Pay в размере 20 фунтов стерлингов в Великобритании со временем изменится » . Проводная Великобритания . 24 июня 2015 г. Проверено 24 июня 2022 г.
^ «Прорыв в области мобильных платежей? Google Pay запущен в Германии» . Авира . 17 июля 2018 года . Проверено 24 июня 2022 г.
^ «Samsung Pay теперь позволяет австралийским пользователям совершать дорогостоящие покупки без PIN-кода» . СамМобайл . 22 сентября 2020 г. Проверено 24 июня 2022 г.
^ «Функции безопасности карты» (PDF) . Виза. Архивировано из оригинала (PDF) 16 февраля 2012 года.
^ «Алгоритмы PIN-кода VISA» . www.ibm.com . 18 сентября 2012 года . Проверено 18 июня 2021 г.
^ «Руководство программиста приложения интегрированного криптографического сервиса z/OS» . ИБМ. Март 2002. с. 209. ^{[ мертвая ссылка ]}
^ «Руководство программиста приложения интегрированного криптографического сервиса z/OS» . ИБМ. Март 2002. с. 258. ^{[ мертвая ссылка ]}
^ Перейти обратно: ^а ^б «Правила для торговцев Visa» . п. 1. Архивировано из оригинала (doc) 24 февраля 2014 года . Проверено 26 февраля 2013 г.
^ «Официальный источник документов по стандартам безопасности данных PCI DSS и руководств по соблюдению требований к платежным картам» . Pcisecuritystandards.org . Проверено 25 декабря 2011 г.
^ «Справочные страницы городских легенд: мошенничество с расследованием мошенничества с визами» . Snopes.com. 23 декабря 2003 года . Проверено 25 декабря 2011 г.
^ Даклин, Пол (5 декабря 2016 г.). «Как угадать коды безопасности кредитной карты» . голая безопасность от SOPHOS . Проверено 8 декабря 2016 г.

[1] «Часто задаваемые вопросы по SafeKey | American Express Canada» . www.americanexpress.com . Проверено 4 мая 2021 г.

[2] «Функции безопасности карты American Express®» (PDF) . www.americanexpress.com . Архивировано (PDF) из оригинала 27 ноября 2020 г. Проверено 4 мая 2021 г.

[3] «Проверочный номер карты (CVN)» . Проверено 2 июля 2023 г.

[4] «CIBC MasterCard – MasterCard SecureCode» . Архивировано из оригинала 24 апреля 2014 года . Проверено 12 июля 2012 г.

[5] «Лимит Apple Pay в размере 20 фунтов стерлингов в Великобритании со временем изменится » . Проводная Великобритания . 24 июня 2015 г. Проверено 24 июня 2022 г.

[6] «Прорыв в области мобильных платежей? Google Pay запущен в Германии» . Авира . 17 июля 2018 года . Проверено 24 июня 2022 г.

[7] «Samsung Pay теперь позволяет австралийским пользователям совершать дорогостоящие покупки без PIN-кода» . СамМобайл . 22 сентября 2020 г. Проверено 24 июня 2022 г.

[8] «Функции безопасности карты» (PDF) . Виза. Архивировано из оригинала (PDF) 16 февраля 2012 года.

[9] «Алгоритмы PIN-кода VISA» . www.ibm.com . 18 сентября 2012 года . Проверено 18 июня 2021 г.

[10] «Руководство программиста приложения интегрированного криптографического сервиса z/OS» . ИБМ. Март 2002. с. 209. ^{[ мертвая ссылка ]}

[11] «Руководство программиста приложения интегрированного криптографического сервиса z/OS» . ИБМ. Март 2002. с. 258. ^{[ мертвая ссылка ]}

[visa-12] Перейти обратно: ^а ^б «Правила для торговцев Visa» . п. 1. Архивировано из оригинала (doc) 24 февраля 2014 года . Проверено 26 февраля 2013 г.

[13] «Официальный источник документов по стандартам безопасности данных PCI DSS и руководств по соблюдению требований к платежным картам» . Pcisecuritystandards.org . Проверено 25 декабря 2011 г.

[snopes-14] «Справочные страницы городских легенд: мошенничество с расследованием мошенничества с визами» . Snopes.com. 23 декабря 2003 года . Проверено 25 декабря 2011 г.

[15] Даклин, Пол (5 декабря 2016 г.). «Как угадать коды безопасности кредитной карты» . голая безопасность от SOPHOS . Проверено 8 декабря 2016 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]