Код безопасности карты

Код безопасности карты ( CSC ; также известный как CVC , CVV или несколько других названий) представляет собой ряд цифр, которые, в дополнение к номеру банковской карты , печатаются (но не выдавливаются ) на кредитной или дебетовой карте . CSC используется в качестве защитного элемента для транзакций без предъявления карты , когда держатель карты не может вручную ввести персональный идентификационный номер (ПИН-код) (как это происходит во время транзакций в точке продажи или при предъявлении карты). Он был введен для снижения случаев мошенничества с кредитными картами . В отличие от номера карты, CSC намеренно не выдавливается, чтобы не считываться при использовании механического импринтера кредитных карт , который считывает только выдавленные номера.

Эти коды находятся в немного разных местах для разных эмитентов карт. CSC для кредитных карт Visa , Mastercard и Discover — это трехзначный номер на обратной стороне карты, справа от поля для подписи. CSC для American Express — это четырехзначный код на лицевой стороне карты над номером счета. Примеры см. на рисунках справа.

CSC был первоначально разработан в Великобритании как одиннадцатизначный буквенно-цифровой код сотрудником Equifax Майклом Стоуном в 1995 году. После тестирования с группой Littlewoods Home Shopping и банком NatWest концепция была принята Ассоциацией платежных клиринговых служб Великобритании (APACS) и упрощена до трехзначного кода, известного сегодня. Mastercard начала выпускать номера CVC2 в 1997 году, а Visa в Соединенных Штатах выпустила их к 2001 году. American Express начала использовать CSC в 1999 году в ответ на растущие интернет-транзакции и жалобы держателей карт на перебои в расходах, когда безопасность карты была поставлена под сомнение.

Бесконтактные карты и чип-карты могут в электронном виде генерировать собственный код, например iCVV или динамический CVV.366

Нейминг

Коды имеют разные названия:

«CSC» или «код безопасности карты»: дебетовые карты , ^{[ какие? ]} American Express (три цифры на обратной стороне карты, также называемые 3CSC) ^[1]
«CVC» или «код проверки карты»: Mastercard
«CVV» или «проверочное значение карты»: Visa
«CAV» или «значение аутентификации карты»: JCB
«CID»: «идентификатор карты», «идентификационный номер карты» или «идентификационный код карты»: Discover , American Express (четыре цифры на лицевой стороне карты). American Express обычно использует четырехзначный код на лицевой стороне карты, называемый идентификационным кодом карты (CID), но также имеет трехзначный код на обратной стороне карты, называемый кодом безопасности карты (CSC). American Express также иногда называет его «уникальным кодом карты». ^[2]
«CVD» или «данные проверки карты»: Откройте для себя
«CVE» или «код подтверждения Elo»: Elo в Бразилии
«CVN» или «номер проверки карты», также «номер проверки карты»: China UnionPay , Google Ads ^[3]

«SPC» или «код панели подписи» ^[4]

Типы

Существует несколько типов кодов безопасности и PVV (все они генерируются из ключа DES в банке в модулях HSM с использованием PAN , даты истечения срока действия и сервисного кода):

Первый код, 3 цифры, называемый CVC1 или CVV1, закодирован на первой и второй дорожках магнитной полосы карты и используется для транзакций с предъявлением карты с подписью (вторая дорожка также содержит значение проверки PIN-кода, PVV, но теперь оно обычно обнуляется и код обслуживания). Цель кода — проверить, что платежная карта действительно находится в руках продавца (поэтому он должен отличаться от CVV2). Этот код автоматически извлекается, когда магнитная полоса карты считывается (проводится) на устройстве POS-терминала (при предъявлении карты) и проверяется эмитентом. Ограничением является то, что если вся карта была дублирована и магнитная полоса скопирована, то код все еще действителен, даже если после этого вам обычно нужно расписаться. (См. мошенничество с кредитными картами § скимминг .)
Второй код, и наиболее часто цитируемый, — CVV2 или CVC2. Этот код часто используется торговцами для транзакций без присутствия карты, включая покупки в Интернете. В некоторых странах Западной Европы эмитенты карт требуют, чтобы торговец получил код, когда держатель карты не присутствует лично. Использует сервисный код 000.
Бесконтактные и/или чиповые карты EMV предоставляют собственные электронно сгенерированные коды, называемые iCVV. Использует сервисный код 999. Он описан в общедоступных стандартах EMVCo.
Метод проверки держателя карты потребительского устройства (сокращенно CDCVM) — это тип проверки личности, при котором мобильное устройство пользователя (такое как смартфон) используется для проверки личности пользователя; например, он может использовать функции биометрической аутентификации устройства (например, Touch ID или Face ID ) или установленный на устройстве пароль . Он поддерживается рядом платежных систем, таких как Apple Pay , ^[5] Google Pay ^[6] или Samsung Pay . ^[7]

Расположение

Код безопасности карты обычно представляет собой последние три или четыре цифры, напечатанные, а не выдавленные, как номер карты, на полосе подписи на обратной стороне карты. Однако на картах American Express код безопасности карты представляет собой четыре цифры, напечатанные (не выдавленные) на лицевой стороне справа. Код безопасности карты не кодируется на магнитной полосе, а печатается плоско.

Карты American Express имеют четырехзначный код, напечатанный на лицевой стороне карты над номером.
Кредитные и дебетовые карты Diners Club , Discover, JCB , Mastercard и Visa имеют трехзначный код безопасности карты. Код представляет собой последнюю группу цифр, напечатанных на задней панели подписи карты.
На новых североамериканских картах Mastercard и Visa код указан на отдельной панели справа от полосы для подписи. ^[8] Это сделано для того, чтобы предотвратить перезапись цифр при подписи карты.

Поколение

CSC для каждой карты (форма 1 и 2) генерируется эмитентом карты при ее выпуске. Он рассчитывается путем шифрования номера банковской карты и даты истечения срока действия (два поля, напечатанные на карте) с помощью ключей шифрования, известных только эмитенту карты, и десятеричного представления результата (аналогично хэш-функции ). ^[9]^[10]^[11]

Преимущества и ограничения

В качестве меры безопасности торговцы, которым требуется CVV2 для транзакций « без предъявления карты », обязаны эмитентом карты не хранить CVV2 после авторизации отдельной транзакции. ^[12] Таким образом, если база данных транзакций скомпрометирована , CVV2 отсутствует, а украденные номера карт менее полезны. Виртуальные терминалы и платежные шлюзы не хранят код CVV2; поэтому сотрудники и представители службы поддержки клиентов, имеющие доступ к этим веб-интерфейсам оплаты, которые в противном случае имеют доступ к полным номерам карт, датам истечения срока действия и другой информации, по-прежнему не имеют кода CVV2.

Стандарт безопасности данных индустрии платежных карт (PCI DSS) также запрещает хранение CSC (и других конфиденциальных данных авторизации) после авторизации транзакции. Это применяется во всем мире ко всем, кто хранит, обрабатывает или передает данные держателя карты. ^[13] Поскольку CSC не содержится на магнитной полосе карты, он обычно не включается в транзакцию, когда карта используется лицом к лицу у продавца. Однако некоторые продавцы в Северной Америке, такие как Sears и Staples , требуют код. Для карт American Express это было неизменной практикой (для транзакций «карта не представлена») в странах Европейского союза (ЕС), таких как Ирландия и Великобритания, с начала 2005 года. Это обеспечивает уровень защиты банка/держателя карты, поскольку мошеннический продавец или сотрудник не может просто перехватить данные магнитной полосы карты и использовать их позже для покупок «карта не представлена» по телефону, по почте или через Интернет. Для этого торговцу или его сотруднику также придется визуально заметить CVV2 и записать его, что с большей вероятностью вызовет подозрения у держателя карты.

Предоставление кода CSC в транзакции предназначено для проверки того, что клиент имеет карту в своем распоряжении. Знание кода доказывает, что клиент видел карту или видел запись, сделанную кем-то, кто видел карту.

Ограничения включают в себя:

Использование CSC не может защитить от фишинговых мошенничеств, когда держателя карты обманом заставляют ввести CSC среди других данных карты через мошеннический веб-сайт. Рост фишинга снизил реальную эффективность CSC как средства борьбы с мошенничеством. Теперь также существует мошенничество, когда фишер уже получил номер счета карты (возможно, взломав базу данных продавца или из плохо оформленного чека) и передает эту информацию жертвам (внушая им ложное чувство безопасности), прежде чем попросить CSC (а это все, что нужно фишеру, и цель мошенничества в первую очередь). ^[14]
Поскольку CSC не может храниться продавцом в течение какого-либо периода времени ^[12] (после первоначальной транзакции, в которой CSC был указан и затем авторизован), продавец, которому необходимо регулярно выставлять счета на карту за регулярную подписку, не сможет предоставить код после первоначальной транзакции. Платежные шлюзы, однако, отреагировали, добавив функции «периодического счета» в качестве части процесса авторизации.
Некоторые эмитенты карт не используют CSC. Однако транзакции без CSC могут быть связаны с более высокой стоимостью обработки карты для торговцев, ^{[ необходима цитата ]} и мошеннические транзакции без CSC с большей вероятностью будут разрешены в пользу держателя карты. ^{[ необходима цитата ]}
Торговцу не обязательно запрашивать код безопасности для совершения транзакции, поэтому карта все равно может быть подвержена мошенничеству, даже если фишерам известен только ее номер. Например, Amazon требует только номер карты и дату истечения срока действия для совершения транзакции.
Мошенник может угадать CSC, используя распределенную атаку. ^[15]

Смотрите также

Ссылки

^ «SafeKey Frequently Asked Questions | American Express Canada». www.americanexpress.com . Получено 4 мая 2021 г. .
^ "American Express® Card security features" (PDF) . www.americanexpress.com . Архивировано (PDF) из оригинала 27 ноября 2020 г. . Получено 4 мая 2021 г. .
^ "Проверочный номер карты (CVN)" . Получено 2 июля 2023 г. .
^ "CIBC MasterCard - MasterCard SecureCode". Архивировано из оригинала 24 апреля 2014 года . Получено 12 июля 2012 года .
^ «Лимит Apple Pay в 20 фунтов стерлингов в Великобритании будет «со временем меняться». Wired UK . 24 июня 2015 г. Получено 24 июня 2022 г.
^ «Прорыв в области мобильных платежей? Google Pay запущен в Германии». Avira . 17 июля 2018 г. Получено 24 июня 2022 г.
^ «Samsung Pay теперь позволяет австралийским пользователям совершать дорогостоящие покупки без PIN-кода». SamMobile . 22 сентября 2020 г. Получено 24 июня 2022 г.
^ "Card Security Features" (PDF) . Visa. Архивировано из оригинала (PDF) 16 февраля 2012 г.
^ "Алгоритмы PIN VISA". www.ibm.com . 18 сентября 2012 г. . Получено 18 июня 2021 г. .
^ "z/OS Integrated Cryptographic Service Facility Application Programmer's Guide". IBM. Март 2002. С. 209.^{[ мертвая ссылка ]}
^ "z/OS Integrated Cryptographic Service Facility Application Programmer's Guide". IBM. Март 2002. С. 258. ^{[ мертвая ссылка ]}
^ ab "Правила для продавцов Visa". стр. 1. Архивировано из оригинала (doc) 24 февраля 2014 г. Получено 26 февраля 2013 г.
^ "Официальный источник документов стандартов безопасности данных PCI DSS и руководств по соблюдению требований платежных карт". Pcisecuritystandards.org . Получено 25 декабря 2011 г. .
^ "Справочные страницы Urban Legends: расследование мошенничества с визами". Snopes.com. 23 декабря 2003 г. Получено 25 декабря 2011 г.
^ Даклин, Пол (5 декабря 2016 г.). «Как угадать коды безопасности кредитных карт». naked security от SOPHOS . Получено 8 декабря 2016 г.