Содержание

CVV и CVC на банковской карте

Сегодня, когда невероятно востребован формат онлайн-покупок, важно обеспечить безопасность транзакций, используя существующие факторы защиты банковской карты. Расскажем о таинственном коде безопасности CVV/CVC — что это, где находится и какова его функция.

Уровни защиты банковской карты

Держатели пластиковых карт, чтобы подтвердить доступ к денежным средствам, находящимся на карточном счете, пользуются различными степенями защиты:

  1. PIN-кодом — паролем, позволяющим:
    1. идентифицировать личность держателя при обслуживании в банкомате;
    2. подтвердить платежную операцию, осуществляемую в режиме офлайн.
  2. Эмбоссированными реквизитами — фамилией и именем, размещенным на лицевой стороне карты методом тиснения, предполагающими право продавца при покупке требовать паспорт.
  3. Двухфакторной аутентификацией — генерацией одноразового смс-кода, поступающего на мобильный телефон, номер которого привязан к банковской карте.
  4. CVV/CVC-кодом, подтверждающим подлинность карты и то, что платежную операцию совершает держатель карты.

Очень часто CVC (Card Verification Value) путают с PIN (Personal Identification Number) или уникальным номером платежной карты. Но:

  1. Номер банковской карты, как правило, состоит из 16 цифр, разделенных на 4 блока по 4 цифры, и является номером доступа к счету держателя карты. По номеру можно определить:
    1. банк, выпустивший карту;
    2. платежную систему;
    3. тип банковского продукта.
  2. PIN предназначен исключительно для введения на автоматизированных устройствах: банкоматах и платежных терминалах.
  3. CVC-код же необходим при переводах и платежных операциях, производимых через интернет в режиме онлайн.

Важно знать, что наличие CVC-кода не является обязательным условием для совершения онлайн-платежа. Продавец может потребовать код, а может и не потребовать.

Что такое CVC и CVV на банковской карте

При оплате в стационарных торговых точках и сервисах держатель карты может предъявить пластиковый носитель, а при дистанционных операциях, такой возможности нет. Именно для идентификации личности в интернет-пространстве нужны секретные цифровые проверочные коды, включенные в учетную запись:

Дебетовая #Кэшбэк карта

  • CVC – Card Verificatiobn Code, в переводе “код верификации карты”;
  • CVV — Card Verification Value, в переводе “значение верификации карты”.

Разница в терминологии и аббревиатурах не отражается на технических характеристиках кодов.

Если не пользоваться специальной терминологией, то CVC/CVV — специальные комбинации, состоящие из трех, реже их четырех цифр, обеспечивающие дополнительную безопасность при покупках и платежах в интернете. Суть защиты заключается в том, что предполагается, что неавторизованное лицо, не обладающее информацией о коде, не может воспользоваться денежными средствами, хранящимися на карточном счете.

Чтобы правильно пользоваться пластиковой картой, обязательно нужно представлять, что такое CVC-код\CVV-код на банковской карте.

Где находится CVV и CVC на банковской карте

У неопытных пользователей, недавно открывших для себя возможности дистанционного шопинга, могут возникнуть резонные вопросы: “Где расположен на карте CVC-код?” или “Где на карте находится CVV-код?”.  
 

Нет никакой сложности в поиске кода проверки подлинности карты. Нужно только перевернуть карточку с лицевой стороны на обратную, чтобы увидеть цифры под черной магнитной полоской с правой стороны от графы, предназначенной для личной подписи. На карте, выпущенной Сбербанком — в центре между графой, предназначенной для личной подписи и значком “Спасибо”.

Исключение составляют карты, выпускаемые и обслуживаемые платежной системой American Express. На картах американской финансовой компании код, выполненный мелким шрифтом, находится на фронтальной стороне.

Как выглядят коды CVV и CVC

Коды проверки подлинности карты выглядят как комбинация:

  • трех арабских цифр на продуктах, выпущенных платежными системами Mastercard и Visa;
  • четырех арабских цифр на продуктах, выпущенных платежной системой American Express.

Обратите внимание, что на банковских картах МИР, в месте, где должен находится трехзначный код, можно обнаружить два блока, состоящих из семи цифр:

  • первый блок — четыре последние цифры номера карты;
  • второй блок — три цифры кода безопасности.

В чем разница между кодами?

Когда мы говорим о кодах, числовое значение которых нанесено способом индент-печати на пластиковой карте, мы имеем в виду коды CVC2 и CVV2. Совершая платежи или покупки в интернете, держатели карточных продуктов вводят коды, визуально видимые на карте.

Обратите внимание, что вводимые при онлайн-шопинге кодовые комбинации не сохраняются в базе данных онлайн-ритейлеров. После того, как платежная транзакция удачно проведена, сведения автоматически удаляются.

Дебетовая карта «ВостОк»

Существуют еще две группы кодовых комбинаций:

  1. CVC/CVV — не отображенные на карте, а “вшитые” в магнитную полосу. Необходимы при использовании средств карты в стационарных торговых точках и сервисах. Узнать код невозможно.
  2. CVC3/CVV3 — не отображенные ка карте, а внедренные в чип. Необходимы для проведения бесконтактных платежей. Узнать код невозможно.

Вне зависимости от того, к какой группе относится код, назначение его — обеспечение безопасности пользования банковскими картами.

Применение кодов

CVC/CVV-коды нужны при:

  • совершении покупок в интернете;
  • переводе денег в электронные кошельки;
  • денежных переводах, совершаемых в режиме онлайн;
  • операциях, проводимых через call-центр.

Чтобы не стать объектом мошенников, не вводите персональные данные, в том числе коды безопасности, на непроверенных сайтах. После того, как денежные средства будут переведены непосредственно держателем карты, опротестовать транзакцию практически невозможно.

Что такое CVV или CVC код и где его найти?

Платежные карты используются для оплаты товаров и коммунальных услуг через онлайн-сервисы. Для совершения таких транзакций недостаточно знать номер и пин-код пластика. Банковские карточки имеют специальный код, без которого невозможно совершить платеж в интернете.

Расположение цифр CVV2 и CVC2.

Виды кодов

В зависимости от типа может быть нанесен код CVV2 или CVC2 на карту Сбербанка. Код CVV – это трехзначный (иногда четырехзначный) номер, защищающий VISA при проведении интернет-платежей. Он располагается на тыльной стороне пластика рядом с местом для подписи владельца. Обычно цифры, обозначающие CVV2 код, нанесены на небольшом расстоянии от общего числового значения.

CVV является аббревиатурой от Card Verification Value. Карты, выпущенные системой MasterCard, имеют код Card Validation Code. Такой код на карте Сбербанка сокращенно называется CVC2. Обычно он расположен там же, где и CVV2 на пластике VISA. В редких случаях карточка не имеет нанесенного кода и чтобы его получить, необходимо обратиться в банк.

Назначение дополнительных кодов

Не всем клиентам понятно, что такое CVV код и зачем он нужен. Это числовое значение является своеобразной защитой счета от мошенничества. Если бы не было защитного кода, то любую операцию по оплате счета в интернете можно было бы выполнить, зная только сам номер кредитки, получить который можно без особых проблем.

При оплате товара в интернет-магазине кроме 16 цифр номера необходимо вводить срок действия пластика, фамилию владельца и CVV. Последние три цифры, являющиеся кодом карты Сбербанка, не всегда являются обязательными.

Код необходимо вводить при оплате счета онлайн.

Как обезопасить карту

С каждым годом количество мошеннических операций по картам увеличивается. Чтобы не стать жертвой мошенника, необходимо предпринять простые меры безопасности, позволяющие защитить счет от несанкционированных операций.

Пин-код необходимо тщательно скрывать от посторонних лиц. Лучше всего, если он будет записан в блокноте и спрятан дома в надежном месте. Нельзя сообщать пин-код даже родственникам и сотрудникам банка. Самая распространенная ошибка держателей карт – запись пин-кода на обратной стороне пластика. В этом случае при потере или краже кредитки мошенники смогут без особого труда снять деньги. Этот способ можно использовать, чтобы запутать преступников. Для этого на карте следует написать код, не соответствующий настоящему. Тогда при хищении карты мошенники не смогут воспользоваться деньгами, а у владельца карты будет время, чтобы заблокировать счет и заказать перевыпуск пластика.

Чтобы совершить оплату со счета в интернете, необходимо знать срок действия карты и ее секретный код, расположенный на обратной стороне. Поэтому, рассчитываясь с помощью пластика в магазине, необходимо закрывать секретные данные.

Риск несанкционированных транзакций намного снижается, если держатель карты устанавливает суточный лимит использования средств. Лимит можно установить как на снятие денег в банкомате, так и на движение средств при безналичном расчете. В этом случае при краже карты можно обезопасить себя от потери большой суммы. Сразу же после обнаружения хищения денег необходимо позвонить в контактный центр и заблокировать счет.

Быстро обнаружить снятие средств поможет СМС-информирование. С помощью СМС сообщений можно мгновенно узнать о снятии денег в банкомате или проведенной платежной операции в магазине.

Если учесть, что большинство интернет магазинов проводят оплату с помощью кодов CVV и CVC, то защитить счет от мошенничества можно, убрав этот код из видимости для других людей. Важные цифры можно переписать или запомнить, после чего закрасить или заклеить их на пластике.

Безопасно ли платить онлайн и зачем вводить код карты?

Мы работаем на рынке отделочных материалов уже более 20 лет и давно зарекомендовали себя как надежного продавца плитки и керамического гранита.

Для нас важна наша репутация и доверие нашего клиента. Поэтому в этой статье мы хотим рассказать про безопасность Вашего онлайн-платежа в нашем магазине, т.к. данный вопрос достаточно часто возникает у наших клиентов, при оплате покупки через интернет-магазин.


Какие данные нужно вводить при оплате картой в нашем интернет-магазине?

Банки и платежные системы требуют вводить при оплате картой имя и фамилию владельца, номер карты, код проверки подлинности карты (трехзначный код на оборотной стороне) и срок ее действия. Код проверки подлинности — CVC или CVV2 — служит дополнительной защитой от мошенничества: если кто-то украдет у Вас 16-значный номер и другую информацию с лицевой стороны карты, воспользоваться деньгами без трехзначного кода не получится. 

Зачем нужно вводить все эти данные?

Парадокс в том, что данные, которые люди так боятся вводить при оплате, нужны как раз для того, чтобы оградить их от мошенничества. У платежных систем Visa и MasterCard (мы рассказываем только о них, потому что они контролируют почти весь российский рынок) есть системы безопасности — 3D Secure и SecureCode. Эти системы позволяют банку подтвердить, что оплату совершает именно владелец, а не тот, кто незаконно завладел картой или данными с карты. Платежная система просит ввести одноразовый пароль — банк может выслать его в сообщении на номер телефона, который Вы указали при регистрации счета. Мошенник может похитить Вашу карту и попытаться купить от Вашего лица что-нибудь в интернете, но если он не получит одноразового пароля, у него ничего не получится. При оплате магазины перенаправляют покупателей на страницу банка, чтобы те могли ввести пароль. 

Также, хотим обратить ваше внимание на то, что в нашей системе данные о вашей карте не сохраняются. 

Как уменьшить риск, что с вашей карты что-то купят преступники? 

  • НИКОМУ не сообщайте Ваш ПИН-код.  Нельзя сообщать ПИН-код третьим лицам: родственникам, знакомым, сотрудникам банка, кассирам и другим людям, оказывающим помощь при пользовании банковской картой. ПИН-код нужно запомнить либо держать его отдельно от банковской карты. Лучше, если он будет представляться в неявном виде и храниться в месте, недоступном для третьих лиц.

  • CVC или CVV2 также как и ПИН-код нельзя передавать  третьим лицам: родственникам, знакомым, сотрудникам банка, кассирам и другим людям, оказывающим помощь при пользовании банковской картой. CVC или CVV2- код это потверждение того, что именно Вы оплачиваете онлайн-покупку и Ваша карта находится именно у Вас в руках, в момент оплаты покупки.

  • При оплате в интернет-магазинах следует пользоваться сайтами только известных и проверенных организаций, занимающихся торговлей и предоставлением услуг.

  • Лучше не хранить мобильный телефон или гаджет для генерации паролей в одной сумке с кошельком. Не стоит хранить в кошельке платежную карту совместно с паролем.

  • Если Вы боитесь публиковать в интернете данные Вашей основной банковской карты, можно завести специальную виртуальную карту для покупок в сети. Такую карту выпускают и Visa, и MasterCard. Это карта не привязана к Вашему основному счету. Перед каждой покупкой на нее нужно переводить необходимую сумму. Виртуальная карточка очень дешевая в обслуживании, но в обычных магазинах ей расплатиться невозможно. 

  • Если с Вашего счета кто-то совершил покупку без Вашего ведома, срочно обратитесь в свой банк. Лучше это сделать в течении 24 часов, с момента списания средств с Вашей карты.

Если у Вас остались вопросы по поводу безопасности вашего платежа в нашем интернет-магазине, вы можете позвонить нам по номеру телефона (3952) 500-804 или обратиться в любой из наших розничных магазинов, и мы, с радостью, поможем вам.

Блог|bePaid

На различных тематических информационных ресурсах, посвящённых электронной коммерции и платежным картам, производители и обозреватели рассказывают об инновациях, призванных делать наши покупки в интернете еще безопаснее.

В последнее время в интернете появилось множество статей о последней новинке компании Gemalto – пластиковой карте с автоматически изменяющимся кодом проверки подлинности  — Dynamic Code Verification или сокращенно DCV. Особо подчеркивается высокий уровень защиты владельцев карт от мошеннических онлайн-платежей.

 

Как команда, имеющая непосредственное отношение к процессингу карточных платежей через интернет и радеющая за безопасность электронной коммерции, мы не могли пройти мимо предлагаемой инновации и не сравнить ее с технологией 3-D Secure, которая фактически является стандартом интернет-эквайринга в сфере защиты от мошеннических платежей.

 

 

Традиционный СVV/CVC – трехзначный код на банковской карте 

Любому владельцу банковской платежной карты, который хоть раз оплачивал что-либо через интернет, хорошо известно, что для совершения платежа наряду со всеми реквизитами карты нужно ввести и трехзначный код, напечатанный на ее обратной стороне. В русскоязычном сегменте интернета эти три цифры обычно так и называют «трехзначный код». В англоязычном мире он известен как CVV (Card Verification Value) или CVC (Card Verification Code).

Изначально CVV/CVC был призван защитить электронную коммерцию от платежей, с использованием похищенных реквизитов банковских платёжных карт. В недавнем прошлом,  как минимум лет 20 назад, основным источником хищения карточных реквизитов для интернет-мошенников являлся мир «оффлайна». Номер карты, имя владельца и срок ее действия можно было или подсмотреть и запомнить, когда владелец расплачивался в торговой точке, или скопировать со слип-чеков. А поскольку CVV/CVC просто печатался на обратной стороне карты, увидеть его и похитить было значительно сложнее, чем остальные карточные реквизиты.

Слип-чек – это чек, на который переносились карточные данные, эмбоссированные (или, проще говоря, выдавленные) на карте, путем ее прокатки в слип-машинке. Был такой способ приема карточных платежей, когда электронные каналы связи не были так хорошо развиты как сейчас, и торговые предприятия были оборудованы не электронными POS-терминалами, а такими вот механическими устройствами.

Однако с развитием электронной торговли защитная функция CVV/CVC постепенно утратила свою эффективность, так как мошенники начали активно использовать фишинговые методы добычи карточных данных, при которых, введенные в заблуждение, владельцы карт самостоятельно сообщали им не только выдавленные на карте реквизиты, но и тот самый CVV/CVC.

 

 

Эволюция CVV/CVC —  динамический трехзначный код

Динамический код, DCV – это эволюционное развитие устаревших CVV/CVC. В отличие от них, на протяжении всего действия срока карты DCV регулярно меняется через равные промежутки времени (по умолчанию каждые 20 минут) по определенному алгоритму, известному только банку-эмитенту. Для отображения DCV в платежную карту встроен миниатюрный дисплей.

По замыслу разработчика технологии, DCV делает невозможным использование похищенных карточных реквизитов. Даже если мошенникам удалось получить полный набор данных, как максимум, через 20 минут код изменится, и попытка интернет-платежа с использованием устаревшего трехзначного кода будет отклонена банком-эмитентом.

 

 

Динамический верификационный код или 3-D Secure? Вопросы безопасности, удобства, стоимости.

Идея DCV понятна, логична и, действительно, обеспечивает более высокую защиту интернет-платежей по сравнению с использованием статичных CVV/CVC.

Но не опоздала ли технология DCV с выходом на рынок? Сможет ли она составить конкуренцию уже устоявшемуся и общепринятому стандарту в платежной индустрии — верификации владельца карты при совершении интернет-платежа c 3-D Secure? И, наконец, насколько карты с DCV могут быть удобны для эмитентов и конечных пользователей?

Вероятно, DCV могла бы стать революционно прорывной технологией обеспечения безопасности интернет-платежей, если бы в этой области уже не существовало  3-D Secure.  Дело в том, что при всей своей инновационности и технологичности DCV все же уступает 3-D Secure в уровне обеспечения безопасности платежей.

Да, DCV меняется каждые 20 минут.  Но при использовании современных реализаций 3-D Secure, код подтверждения платежа генерируется и сообщается владельцу карты непосредственно в процессе обработки транзакции (платежа). И поэтому, если в случае с DCV у злоумышленника теоретически есть, пусть и очень небольшой, но шанс использовать похищенные карточные данные до очередной смены DCV, то в случае 3-D Secure у мошенника такого шанса в принципе нет.

А если пластиковая карта физически украдена? DCV, в этом случае, никак не сможет защитить владельца от траты  его денег мошенниками в интернет-магазинах. Конечно, банковские инструкции требуют от владельца карты незамедлительно сообщить в банк о ее утрате для немедленной блокировки. Но между хищением и обнаружением пропажи может пройти не один час, а в некоторых случаях и не один день. Этого времени более чем достаточно, чтобы мошенник выкачал с карты все деньги через интернет.

В случае, если интернет-платежи защищены 3-D Secure, преступник не сможет воспользоваться украденной картой. Но, даже если каким-то образом и сможет (например, интернет-торговец отключил опцию проверки по 3-D Secure для всех своих покупателей), правила платежных систем будут на стороне владельца карты и банка–эмитента.  Если транзакция по карте, защищенной 3-D Secure, прошла без проверки плательщика (т.е. у владельца карты в процессе покупки не был запрошен код), то ответственность за такую транзакцию лежит на продавце и банке-эквайере, и в случае мошенничества деньги будут возвращены покупателю.

Возникают опасения и в отношении удобства повседневного долговременного использования карты с DCV. Далеко не все люди бережно и осторожно обращаются с куском пластика.  Карта может изрядно потереться, как минимум. Она может согнуться. От нее может отколоться уголок. И, тем не менее, при всех повреждениях такую карту можно использовать при оплате через интернет. Очевидно, что с картой, оснащенной DCV, придется обращаться аккуратно, чтобы не дай бог не повредить миниатюрный дисплей. Иначе DCV продолжит меняться, но владелец карты ничего не увидит.

И также очевидно, что стоимость изготовления карты с DCV должна быть выше, чем карты с обычными CVV/CVC.

Все эти размышления дают основания полагать, что DCV пока не может на равных конкурировать с уже существующей и проверенной технологией 3-D Secure. А потому вряд ли эта технология получит широкое распространение в банках-эмитентах тех платежных систем, где 3-D Secure уже используется.

А вот в тех платежных системах, где 3-D Secure по каким-то причинам до сих пор не внедрена (например, БЕЛКАРТ или российской «Мир»), DCV может стать неплохой альтернативой.

Время покажет. К слову интернет-магазины, принимающие платежи по банковским картам через процессинговую платформу bePaid, надежно защищены от мошенничества технологией 3-D Secure и другими инновационными инструментами безопасности.

С уважением,

Команда bePaid

 

За что не любят CVV и 3D Secure. И почему разработчик не виноват. Разбор

Случай с белорусским приложением О!плати, которое позволило нам провести платежи c неправильным CVV и без 3D Secure, породил много вопросов — как о работе конкретного сервиса, так и вообще о том, как устроена защита интернет-платежей. Комментарий относительно О!плати готовит сейчас банк-эквайер Белинвестбанк. С теоретическими вопросами dev.by обратился к основателю и директору по развитию бизнеса ООО «ИКомЧардж» Александру Михайловскому. Его компания известна в Беларуси как сервис приёма онлайн-платежей bePaid.

О неправильном CVV: а был ли код?

Александр, давайте начнём с азов: что такое CVV и зачем нужна его валидация?

CVV (card verification value) — название кода у Visa, СVC (card verification code) — название аналогичного кода у Mastercard, это дополнительная мера безопасности при приеме CNP-транзакций (card not present). Платёж в интернете — это пример CNP-транзакции. 

Как и в случае с PIN-кодом, предполагается, что CVV/CVC известен только держателю карты. 

Это своего рода пароль, подтверждающий эмитенту, что запрос на списание денег с карты его клиента действительно пришёл от клиента. Со временем, когда стало очевидно, что этот код уже не является достаточно надёжной гарантией аутентичности держателя карты, была придумана технология 3D Secure.

Валидация CVV/CVC обязательна?

Нет. Наличие этого кода не является обязательным условием для проведения CNP-транзакции.

Как вообще происходит валидация CVV/CVC? От чего она зависит — от разработчика, от банка-эквайера, от платежной системы?

От разработчика необходимость валидировать CVV/CVC вообще никак не зависит: разработчик делает то, что ему говорит заказчик. Валидация CVV/CVC зависит от конкретной ситуации, в которой формируется транзакционный запрос от эквайера к эмитенту.

Международные платёжные системы (МПС), заинтересованные в снижении мошеннических транзакций, настоятельно рекомендуют мерчантам запрашивать CVV/CVC у своих клиентов. И как правило, эквайеры требуют от мерчантов эти рекомендации выполнять.

Вместе с тем бывают ситуации, когда CVV/CVC не запрашивается и не передается — например, при рекуррентных (повторяющихся) платежах. И вообще говоря, если эквайер решит не передавать CVV/CVC в запросе эмитенту, ничто не помешает ему это сделать. Если же CVV/CVC был запрошен и передан, эмитент в своём ответе сообщает эквайеру, совпал ли переданный CVV/CVC с оригинальным кодом или нет. И это исключительное право эмитента решать, одобрять ли платёж, если CVV/CVC не совпадает. 

Почему некоторые сервисы не проверяют CVV? Может, это дорого или сложно в разработке?

Передача CVV/CVC — это стандартная процедура. Добавление ещё одного поля в запросе и обработка ответа для этого поля — это недорого и несложно. Правильнее говорить не о сервисах, а о ситуациях или типах транзакций, когда CVV/CVC не требуется или можно обойтись без него. По стандартам безопасности, принятым в платежной индустрии, введённый держателем карты CVV/CVC нельзя хранить ни на стороне процессора платежей, ни на стороне эквайера. Отсюда возникают ситуации, когда CVV/CVC можно не передавать (рекуррентные платежи) или когда он не нужен.

Если эмитент имеет возможность другими способами убедиться в том, что транзакция инициирована держателем карты, то ни CVV/CVC, ни 3D Secure ему не нужны.

А как ещё эмитент может убедиться, если не с помощью CVV/CVC и 3D Secure?

Бывают ситуации, когда эквайер и эмитент — это один и тот же банк, который к тому же проводит идентификацию клиента. Например, в О!плати при регистрации кошелька пользователь проходит идентификацию, следовательно, Белинвестбанк знает, что Иван Иванов, зарегистрировавшийся в приложении — это действительно Иван Иванов. Далее, если Иван Иванов пытается пополнить свой счет в О!плати картой Белинвестбанка, последний и без CVV/CVC и 3D Secure может проверить, действительно ли именно эта карта была выдана им Ивану Иванову.

Да, в такой ситуации отсутствие проверки понятно. Но в случае с О!плати платежи проходили без проверки CVV c карт других банков. Как такое может быть? Белорусские банки-эмитенты не запрашивают CVV/CVC?

Сложно сказать, этот вопрос надо адресовать банкам-эмитентам. Я могу сказать только одно: CVV/CVC известен лишь эмитенту, ни эквайер, ни разработчик ничего о нём не знает. Задача разработчика — принять код от клиента и отправить его на шлюз эквайера. Задача эквайера — сформировать запрос по протоколам Visa и Mastercard и передать в сети МПС. А уже эмитент, знающий, какой CVV/CVC на самом деле, даёт ответ: совпали цифры или нет. Почему проходят платежи с неправильными CVV/CVC? У меня две версии. Либо эмитент разрешил транзакции с неправильными CVV/CVC, и тогда это на совести эмитента. Либо эквайер CVV/CVC не отправляет.

(Вторая догадка Александра оказалась правильной. Наш сотрудник обратился в банк-эмитент карты, участвовавшей в тестировании, с вопросом о некорректном CVV. Пришёл такой ответ: «Банк, обслуживающий данную платформу, не передал нам поле, содержащее значение CVV-кода, введёного вами, соответственно проверки CVV-кода на нашей стороне не было. Согласно правилам международной платёжной системы, авторизовать операцию, мы как эмитент можем и без CVV-кода. По этой причине операция прошла успешно»). 


А какая выгода эквайеру не передавать CVV?

Это может быть забота об удобстве плательщиков. Приём платежей в электронной коммерции — это вечный поиск баланса между защитой информации и удобством для клиентов. Например, во многих приложениях карточку можно ввести путём фотографирования — данные распознаются автоматом, но CVV/CVC в этих случаях не считается, так как он указан на обратной стороне карты. Такая практика не так уж и редка. Например, магазин Amazon тоже не запрашивает CVV/CVC — у них просто нет такого поля.

Но тут-то поле есть. И я всё равно ввожу код!

Можно предположить, что в целях упрощения платежей эквайер отказался от CVV/CVC, но разработчики не успели убрать это поле: оно есть, но данные никуда не передаются. Но это всего лишь моё предположение. Точный ответ знает только Белинвестбанк.

А почему эмитенты не отклоняют транзакции без CVV?

Трудно сказать. Для эмитентов тоже важно найти баланс между защитой своих клиентов от мошенничества и удобством карточных платежей для них же. CVV/CVC — это один из способов верификации держателя карты. Но если этот код не передан, верифицировать нечего. Однако отсутствие кода не обязательно означает, что транзакция — мошенническая.

Вот если бы код был передан и не совпал, это был бы сильный аргумент в пользу отклонения платежа. А если кода просто нет…

Принимая решение о том, одобрить или нет платёжную транзакцию, эмитент смотрит не только на наличие-отсутствие CVV/CVC, но и на другие параметры транзакции.

Может, это всё-таки стоит дополнительных денег?

Нет. По крайней мере, здесь нет расходов, которые бы делали экономически целесообразным отказ от CVV/CVC. Это стандартные протоколы, формированием запросов и обработкой ответов занимается специализированное ПО, которое само по себе дорогое, но CVV/CVC входит в его базовый функционал. Для разработчиков добавление поля тоже не представляет никакой сложности.

Давайте резюмируем эту часть: отсутствие валидации CVV/CVC — это нормально?

Это отличается от общепринятых подходов проверки пользователя, которые практикуют другие системы электронных кошельков. Обычно сперва к кошельку привязывается карта с валидацией CVV/CVC и проверкой по 3D Secure, а потом все последующие платежи идут как рекурренты, без каких-либо дополнительных проверок.

Как отсутствие валидации CVV влияет на безопасность платежей? А на риск мошеннических действий с картами?

Конечно же, отсутствие CVV/CVC при CNP-транзакции обычно увеличивает риск того, что кто-то заплатит не своей картой. Номер карты и срок её действия легко подсмотреть, запомнить, украсть. Увидеть CVV/CVC, которые расположены на обратной стороне карты — сложнее. Именно поэтому эмитенты, как правило, отклоняют транзакции, в которых CVV/CVC не совпадает с оригинальным.

Исключение в плане рисков — если банк является и эмитентом, и эквайером для собственных карт, плюс к этому он заранее идентифицировал пользователя как своего клиента — в этом случае проверка CVV/CVC уже не играет роли.

О валидации имени кардхолдера: не нужна?

Отсутствие валидации имени держателя карты — это нормально?

Да, это нормально.

Имя вообще никто и никогда не проверяет?

Я могу ошибаться, но, по-моему, имя держателя обычно не проверяется. Опять же, если кто-то и может его верифицировать, то только эмитент.

А зачем тогда это поле?

С точки зрения процессинговой компании, я бы сказал, что это поле является своего рода источником статистических данных. Если наша система фрод-мониторинга засекает две транзакции с одним номером карты, но разным именем держателя карты, для нас это сигнал о том, что одна из этих транзакций, возможно, мошенническая. Или обе. Обычно настоящие держатели карт пишут свои настоящие имена. Если эмитент решит проверять присылаемые имена и по результатам проверки будет принимать решение одобрять или отклонять транзакцию, это его право.

Опять же, как и в случае с CVV/CVC, если эмитент имеет какой-то иной способ убедиться, что транзакция действительно была инициирована его клиентом, то ему всё равно, что написано в поле «имя держателя карты».

О 3D Secure: почему им пренебрегают

О чём свидетельствует отсутствие СМС с динамическим паролем? О том, что карта или сервис не подключены к 3D Secure?

СМС с OTP (one time password), по идее, должен приходить клиенту от эмитента всякий раз, когда тот проходит проверку по 3D Secure. Отсутствие такой СМС не обязательно означает неучастие карты в программе 3D Secure. У эмитента может банально сбоить сервис проверки. Или может глючить оператор мобильной связи.

Проверка карты на участие в 3D Secure происходит в момент совершения платежа путём обращения к специальному серверу платежной системы, под брендом которой выпущена карта. МПС отвечает, участвует карта в программе 3D Secure или нет. Если участвует, в ответе указывается URL ACS (access control server) сервера эмитента, куда плательщик перенаправляется для ввода OTP. Если карта не участвует в программе 3D Secure или ACS-сервер недоступен, запрос на авторизацию передаётся эмитенту. 

Если ACS-сервер доступен, но СМС не приходит из-за проблем с сотовой связи, то через 15 минут сессия закрывается и транзакция автоматически считается неуспешной.

А если карта участвует в 3D Secure, но СМС не приходит и платёж при этом успешен, значит, платёжный сервис не участвует в программе?

Да, бывает и такое. Это значит, что эквайер сервиса позволил мерчанту принимать платежи без проверки транзакций по 3D Secure. Почему он разрешил? Потому что мерчант каким-то образом гарантировал ему возмещение убытков по фрод-транзакциям. Вторая возможная причина — ACS-сервер в момент прохождения платежа был недоступен. В этом случае платёж тоже пропустят.

Почему некоторые сервисы не подключены к 3D Secure? Это сложно, дорого? Как и между кем происходят расчёты за эту услугу?

Трудно сказать почему, в каждом конкретном случае есть своя причина. Использование 3D Secure уже стало стандартом в платёжной индустрии. Международные платёжные системы создали такие условия, когда эмитенты стремятся включить все свои карты в программу 3D Secure. Дело в том, что если карта не участвует в этой программе, то ответственность за мошеннический платеж по такой карте, согласно правилам МПС, возлагается на эмитента. А кому хочется терять деньги?

Однако, если эквайер соглашается отправить эмитенту запрос на авторизацию по карте, участвующей в 3D Secure, без проверки транзакции по этому протоколу, ответственность за мошенническую транзакцию по такой карте переносится на эквайера. Если эквайер по каким-либо причинам готов принять на себя такую ответственность, он будет принимать и проводить платежи без 3D Secure.

Эквайер как-нибудь экономит, согласившись на отказ от 3D Secure? Кто платит за СМС с подтверждающим кодом?

За СМС платит эмитент, но мне кажется, что расходы там не такие уж большие. Эквайер за счёт отказа от 3D Secure никак не экономит — более того, он рискует.

Это просто, ничего не стоит, убирает риски — в чём тогда смысл отказа от защиты?

В том, чтобы клиентам мерчанта было удобнее и приятнее делать платежи, чтобы они не зависели от СМС. Как правило, отказ разрешается крупным мерчантам — мелким мерчантам такое не позволяется. 

Для эквайера смысл в том, чтобы угодить крупному клиенту. Допустим, есть сервис, который обслуживает крупных мерчантов. Если крупный мерчант убеждается, что без 3D Secure объём платежей увеличивается на 5-10%, то он, конечно, захочет отказаться от защиты. Он подписывает допсоглашение с эквайером о том, что гарантирует покрытие всех убытков банка, связанных с мошенничеством. Если банк-эквайер ему откажет, есть вероятность, что мерчант пойдёт к другим банкам-эквайерам и весь оборот перейдёт к конкуренту.  

Так как Белинвестбанк в описанном случае является и мерчантом, и эквайером (и эмитентом для некоторых транзакций), то понятно желание банка сделать пользование кошельком простым и приятным.

Но отсутствие проверки CVV и 3D Secure это, конечно, недосмотр. Он увеличивает риск того, что какой-нибудь жулик воспользуется приложением, соберёт ворованные карты и начнёт ездить в маршрутках налево и направо.

Это обычная история, мошенники в Беларуси склонны к странным поступкам: они воруют карты, платят ими в кафе и ресторанах, потом попадаются и идут в тюрьму.

В комментарии под материалом dev.by вы выразили мнение, что отсутствие проверки  — зона ответственности банков, а не разработчика. Ответственности разработчика вообще нет?

Мы — сами разработчики и имеем опыт интеграций с сотней разных банков-эквайеров по всему миру. Разработчик делает то, что сказано в API, который он получает от эквайера. Сказано в API передавать значение CVV/CVC — разработчик будет запрашивать его у плательщика и передавать эквайеру. Но валидировать это значение может только эмитент, и никто другой. Соответственно разработчик за валидацию CVV/CVC отвечать никак не может. Решение о том, одобрять ли транзакцию с некорректным CVV/CVC, принимает эмитент. А решение о том, проводить ли такую транзакцию, принимает эквайер на основе ответа по валидации от эмитента. Так же, как и решение о том, передавать ли вообще  CVV/CVC эмитенту. Как видите, разработчик здесь ни на что не влияет.

cvv — Russian translation – Linguee

















CVV2 is an additional code […]

used in e-commerce.

ameriabank.am

 CVV2 – это специальный дополнительный […]

код, используемый в электронной торговле.

ameriabank.am

Commonly CVV2 is required while [. ..]

registering a card or making payments online.

ameriabank.am

 Как правило, код CVV2 используется […]

в интернете при регистрации карты или осуществлении электронных платежей.

ameriabank.am

CVC2 (or CVV2) helps further identify the customer as a cardholder.

sokolniki.com

 CVC2 (или CVV2) позволяет дополнительно идентифицировать клиента как владельца карты.

sokolniki.com

Secure payment applications, when implemented in a PCI DSS-compliant environment, will minimize the potential for security breaches leading to compromises of full magnetic

[…]

stripe data, card validation codes and

[…]
values (CAV2, CID, CVC2, CVV2), PINs and PIN blocks, […]

and the damaging fraud resulting from these breaches.

hrs.ru

Обеспечивающие безопасность данных платежные приложения, работающие в условиях, где соблюдается стандарт PCI-DSS, будут минимизировать риск появления слабых мест в защите, ведущих к компрометации полных

[…]

данных магнитной полосы, валидационных

[…]
кодов и значений карт (CAV2, CID, CVC2, CVV2), ПИН-кодов […]

и ПИН-блоков, и наносящих ущерб,

[…]

являющийся следствием этих слабых мест.

hrs.ru

Peculiarities of using the card: the card is issued in a special

[…]

paper form specifying the details (card

[…]
number, its validity, CVV2code — three-digit […]

code to check payment card validity which

[…]

is usually specified  on the signature panel on the back of the card) of individuals’ card accounts opened in UAH within the scope of the following tariff packages

erstebank. ua

Особенности использования карточки: карта выпускается в формате специального

[…]

бумажного бланка с указанными на нем

[…]
реквизитами (номер карты, срок действия, CVV2-код — […]

трехзначный код проверки подлинности

[…]

платежной карты, который на обычных картах содержится на панели для подписи с обратной стороны карты) к карточным счетов физических лиц, открытых в гривне в рамках следующих тарифных пакетов

erstebank.ua

CVC2 or CVV2 is a special code that is situated  on the back of the credit card.

sokolniki.com

 CVC2 или CVV2 — это специальный код, который находится на обратной стороне кредитной карты.

sokolniki.com

After operation is confirmed with the disposable digital password, you will see the

[…]

details on your new card in your winbank: card number

[…]
(16 digits), expiration date, owner’s name and the CVV2 (CVV2 for security purpose appears only once in the card details when you open it, sending CVV2 in the SMS-message is optional).

piraeusbank.ua

После подтверждения операции одноразовым цифровым паролем, Вы увидите реквизиты

[…]

своей новой карты в своем winbank:

[…]
номер карты (16 цифр), срок действия, имя владельца и CVV2 целях безопасности CVV2 отображается только один раз в деталях карты при ее открытии, по желанию CVV2 будет отправлен Вам в виде […]

смс-сообщения).

piraeusbank.ua

The architecture of the PayU payment solution is designed to ensure that the buyer —

[. ..]

payment information to credit card (number,

[…]
expiration date, CVV2/CVC2) do not fall […]

into the hands of fraudsters, as these

[…]

data are used only at the time of authorization and are not available for online shopping and therefore, can not be stolen.

rendermama.com

Архитектура платежного решения от PayU разработана таким образом, чтобы гарантировать покупателю —

[…]

платежные реквизиты его банковской карты

[…]
(номер, срок действия, CVV2/CVC2) не попадут […]

в руки мошенников, так как эти данные

[…]

используются только в момент авторизации и недоступны для Интернет-магазина и, следовательно, не могут быть похищены.

rendermama.com

To comply with PCI–DSS, the recording system used may not record or store any cardholder

[…]
data such as the CVV code.

zoomint.com

Чтобы удовлетворять требованиям PCI–DSS, система не должна записывать или хранить какие–либо данные держателей

[…]
карт, такие как код CVV.

zoomint.com

You must have an international card payment systems Visa, MasterCard, more comfortable fit for a special card payments over the Internet, for example, such maps can be

[…]

obtained at any branch Privat, this card is not issued in the plastic,

[…]
issued the card number, expiration date and CVV code .

mirprokata.com.ua

Для этого необходимо иметь международную карту платежных систем Visa, MasterCard, наиболее удобно подходят специальные карты для платежей через интернет, к примеру, такие карты можно

[…]

оформить в любом отделении Приватбанка, данная карта не выдается в

[. ..]
пластике, выдается номер карты, дата окончания и CVV код.

mirprokata.com.ua

If you choose this method of payment, after you click «payment card» to a page where you will be prompted to enter your credit card, the card

[…]

number, name of the owner named on

[…]
the card, expiration date and CVV / CVC code (3-4-digit code […]

on the back of your card after

[…]

card number), as well as mobile phone number which will confirm the code.

webflora.com.ua

Если Вы выбираете этот способ оплаты, после того, как Вы нажмете кнопку «Оплата карточкой», откроется страница, где Вам будет предложено ввести данные своей кредитной карты, а именно номер

[…]

карты, имя владельца, указанное на

[…]
карте, срок окончания действия и CVV/CVC код (3-4х значный […]

код на тыльной стороне Вашей карты

[…]

после номера карты), а так же номер мобильного телефона на который придет код подтверждения.

webflora.com.ua

One should apply to the Piraeus Bank in Ukraine call center by phone number 0 800 30 888 0 (calls from fixed

[…]

telephone lines within Ukraine are free) or +380 44 495

[…]
88 90 and cancel the CVV2 verification at the […]

time of the transaction.

piraeusbank.ua

Необходимо обратиться в контакт-центр Пиреус Банка в Украине по телефону 0 800 30 888 0 (звонки со

[…]

стационарных телефонов в пределах

[…]
Украины бесплатные) или +380 44 495 88 90 и отменить […]

проверку CVV2 на момент совершения сделки.

piraeusbank. ua

When making an online purchase, you will be prompted to enter a personal password. 3-D

[…]

Secure should not be confused with the

[…]
Card Verification Value (CVV) which is a short numeric […]

code printed on the card.

iso.org

При осуществлении онлайновых покупок от вас потребуется ввести персональный

[…]

пароль. 3-D Secure не следует путать с

[…]
понятием Card Verification Value (CVV), которое представляет […]

собой напечатанный на карте

[…]

короткий числовой код.

iso.org

Due to strengthening anti-fraud international payment systems, transactions with Visa and

[…]

EuroCard / MasterCard with empty

[…]
required field to indicate CVV2/CVC2, will not be accepted […]

for processing by these payment systems.

sokolniki.com

В связи с усилением борьбы с мошенничеством международными платежными системами

[…]

транзакции по картам Visa и

[…]
Eurocard/Mastercard без заполнения поля, предназначенного для […]

указания CVV2/CVC2, данными платежными

[…]

системами приниматься к обработке не будут.

sokolniki.com

Not to disclose the card data (the card number, its expiration date, three last figures on

[…]

the strip for signature printed in the

[…]
indent-printing way (CVV2/CVC2), using open […]

communication channels, especially e-mail

[…]

letters where such information is easy to get for fraudsters.

en.unicreditbank.com.ua

не сообщать реквизиты своей карты (номер карты, ее срок действия, три последние цифры

[. ..]

на полосе для подписи, нанесенные

[…]
способом индент-печати (CVV2/CVC2)), по открытым […]

каналам связи, особенно в письмах электронной

[…]

почты, где они могут стать добычей мошенников.

ru.unicreditbank.com.ua

Equipped with a large compression

[…]

box and a high performance

[…]
shear, the shear presses COPEX CVV are specially designed to […]

compact and shear varied types of

[…]

scraps such as very long profiles and tubes, welded structures (boarding elements, crinolines), collected scraps and other products (tanks, ELV). Being always attentive towards customer, COPEX gives priority to a strong cooperation with the professionals of the recycling industries.

copex.fr

Укомплектованные пресс-камерой больших размеров и

[…]

высокопроизводительными ножницами, нам

[…]
выпускаемые пресс-ножницы модели CVV специально разработаны […]

для прессования и резки разного

[…]

типа металлолома, такого как профильные конструкции и трубы большой длины, спаянные структуры (элементы лестниц, кринолины), сборный металлолом, различные элементы (баки, цистерны, списанная автотехника).

copex.fr

CVC2/CVV: что это? — Loando.ru

Что такое код CVC2/CVV2?

Код безопасности на карте – это 3 (реже 4) цифры на обратной стороне карты, при помощи которых можно идентифицировать подлинность банковского пластика во время проведения онлайн оплат. Такой код наносится только на дебетовых и кредитных картах и является личной информацией пользователя, поэтому разглашать его другим клиентам банк не имеет права. 

Существует несколько видов кодов безопасности карт различных систем платежей:

  • CID – комбинация цифр, которая необходима для защиты пластиковых банковских карт American Express.
  • CVC2 – код, который используется для защиты пластика платежной системы Мастеркард.
  • CVV2 – код для карт международной системы платежей Виза. CVV является аббревиатурой Card Verification Value.

МИР – национальная система платежей, которая также имеет защиту своих карт при помощи кода. Ее название – CVP2 или Card Verification Parameter, что переводится, как “параметр безопасности карты”. Стоит отметить также, что пластик American Express практически не встречаются в нашей стране.

CVV2/CVc2 код: где можно найти на карте?

Пластик различных платежных систем имеет разный дизайн, тем не менее, трехзначный код CVV и CVC (Виза или Мастеркард), так и код платежной системы МИР находится на оборотной стороне карты. Его можно легко увидеть под магнитной полосой.

Иногда бывает, что на карту может быть нанесено более трех цифр, Так, например, вместе с CVV-кодом могут быть вписаны последние четыре цифры номера банковского пластика. Тем не менее перепутать их невозможно – трехзначный защитный код на карте Виза будет обязательно нанесен через пробел справа.

Интересно, что карты American Express имеют четырехзначный код, который всегда наноситься на лицевой части банковского пластика. Помимо этого, любой такой код, нанесенный на карту нельзя изменить, в отличие от ПИН-кода.

Нет защитного кода карты: что делать?

Код безопасности используют практически все всемирно известные платежные системы. Исключением является лишь Маэстро, ведь при помощи их карт невозможно произвести оплаты в сети Интернет. 

Тем не менее, можно найти карты и платежных систем Visa и Mastercard, которые также не имеют защитного кода. Скорее всего, это расчетные карты для начального уровня использования. Например, к таким относятся VISA Electron или MasterCard Electronic.

Такой банковский продукт не предназначен для проведения оплат в Интернете – с его помощью можно только обналичить денежные средства при помощи банкомата или для проведения оплат в оффлайн-магазинах.

Заметим, что виртуальные карты также имеют код безопасности. Но, так как электронная карта – это карта, которая не имеет пластикового носителя, увидеть его невозможно. Такой защитный код карты будет выслан в форме смс или электронного сообщения оператором после открытия виртуального банковского продукта. В случае, если пользователь забудет или потеряет CVV или CVC, ему придется обратиться в одно из банковских отделений и пройти процедуру идентификации личности, для того, чтобы узнать его.

CVV-код и другие: как использовать безопасно?

  1. Не разглашайте CVC2/CVV2 код  . Это секретная информация, которую должен знать только держатель пластика. Его не должны запрашивать также банковские работники, поэтому, в случае если во время звонка к вам будет запрашиваться такая информация, знайте, что скорее всего это кредитные мошенники.
  2. Никому не давайте свою банковскую карту. Нередко бывают случаи, когда в ресторане или кафе посетители оплачивают счет банковской картой, при отдавая ее в руки официанту. Так лучше не поступать в виду обеспечения безопасности своих личных средств. Поэтому для оплат лучше всего пользоваться бесконтактной банковской картой.
  3. Используйте CVV-код только для оплаты в магазинах, в надежности которых вы абсолютно уверены.
    Не уведомляйте о коде безопасности карты при получении денежных средств от других лиц. Нередко для совершения оплат граждане просят написать реквизиты карты. Ими могут быть только ваш номер мобильного телефона, к которому привязана  карта, а также ее номер, который указан на лицевой стороне пластика.
  4. Не указывайте код безопасности виртуальной карты на бумаге или любых других не надежных носителях. Для этого сегодня существуют специальные программы, которые будут обеспечивать отличную безопасность вашей личной информации, например, такие как LastPass.

Код безопасности имеют банковские карты многих платежных систем. Несмотря на то, что их название может отличаться, принцип их работы одинаковый – обеспечивать проведение оплат в сети Интернет. К нему стоит относится с большой соторожностью, ведь такой код также обеспечивает сохранность денежных средств, как и ПИН-код. Поэтому очень важно соблюдать вышеуказанные правила безопасности, а в случае, если вашими данными смогли воспользоваться мошенники, в обязательном порядке сразу же связаться с банковским учреждением для того, чтобы заблокировать карту.

 

 

 

PREMIER Biosoft

Главная >> Поддержка >> FAQ >> CCV

Часто задаваемые вопросы

Что
это номер CVV?

КОД СТОИМОСТИ ВЕРИФИКАЦИИ КАРТЫ (CVV)

CVV — это новая аутентификация
порядок, установленный компаниями кредитных карт
для дальнейших усилий по сокращению мошенничества
для интернет-транзакций.Это состоит из
требовать от держателя карты входа в CVV
номер во время транзакции для проверки
что карта под рукой. CVV-код
функция безопасности для «карты нет»
транзакции (например, Интернет-транзакции),
и теперь появляется на большинстве (но не на всех) основных
кредитные и дебетовые карты.Эта новая функция
это трех- или четырехзначный код, который обеспечивает
криптографическая проверка информации
тиснением на карте. Следовательно, CVV
код не является частью самого номера карты.

Код CVV помогает определить
что покупатель, размещающий заказ, на самом деле
имеет кредитную / дебетовую карту и
карточный счет является легальным.Каждый кредит
карточная компания имеет собственное название для CVV
код, но он работает одинаково для всех
основные типы карт. (VISA относится к коду
как CVV2, MasterCard называет его CVC2, а American
Экспресс называет это CID.)

Задняя панель большинства Visa / MasterCard
карты содержат полную 16-значную учетную запись
номер, за которым следует код CVV / CVC.Немного
банки, однако, показывают только последние четыре цифры
номера счета, за которым следует код. Для предотвращения мошенничества
использование кредитной карты, теперь нам требуется 3 или
4-значный код на обратной стороне вашего кредита
карточка . Когда вы отправляете свой кредит
информация карты ваши данные защищены
по технологии Secure Socket Layer (SSL)
заверенный цифровым сертификатом.

Это номер
напечатаны на вашей MasterCard и
Карты Visa в зоне подписи
обратной стороны карты. (это
последние 3 цифры ПОСЛЕ кредита
номер карты в области подписи
карты).
Вы можете найти четырехзначный номер верификации карты
на передней части вашего американца
Экспресс-кредитная карта над
номер кредитной карты на
справа или слева от кредитной карты.

CVV
КОД

Для вашей безопасности наша карта
сервер обработки требует, чтобы вы вводили
номер верификации вашей карты, если есть
доступен. Проверочный номер
это трех- или четырехзначное число, напечатанное на вашем
открытка.

Если вы используете Visa, Mastercard,
или Discover card, это трехзначный номер
который появляется справа от вашей карты
количество.

Если вы используете American Express
карта, контрольный номер — 4-значный
номер, который указан на лицевой стороне вашего
карта, вверху и слева, или
справа от номера карты (см. ниже).

Если на вашей карте нет верификации
номер, попробуйте другую карту или введите
номер 000.

Кредитная карта
код проверки

Код подтверждения кредитной карты — это
напечатанный трехзначный защитный код
на обратной стороне карты в конце
панель для подписи.

Visa называет это значением для проверки карты
(CVV), MasterCard называет это проверкой карты
Код (CVC), и Discover называет это идентификацией карты
Данные (CID).

Некоторые карточные компании
больше не будет разрешать транзакцию без
этот номер.

Вопросы или проблемы? Джефф Торсселл — [email protected]

Что такое CVV кредитной карты?

Когда вы совершаете покупку в Интернете или по телефону, вас часто просят указать номер CVV кредитной карты. CVV или проверочное значение карты может быть числом, которое вы набирали сотни раз, но задумывались ли вы, что это такое и почему розничные продавцы его просят?

CVV — это трех- или четырехзначный номер на вашей карте, который обеспечивает дополнительный уровень безопасности при совершении покупок в Интернете или по телефону.Он служит для подтверждения того, что у вас есть физическая копия карты, и помогает защитить вас, если номер вашей карты попадет в руки хакеров или похитителей личных данных.

Что такое CVV на кредитной карте?

CVV — это номер вашей кредитной или дебетовой карты, который дополняет номер вашей кредитной карты и дату истечения срока действия (и это не то же самое, что ваш PIN-код). У разных эмитентов разные названия и адреса. CVV для кредитных карт Visa, Mastercard и Discover — это трехзначное число на обратной стороне карты справа от поля для подписи.American Express использует четырехзначный код, который они называют идентификационным номером карты (CID). CID American Express указан на лицевой стороне карты над номером счета.

Когда вы предъявляете карту лично, вас могут попросить показать свой идентификатор или ввести PIN-код для подтверждения транзакции. Но не так-то просто подтвердить чью-либо личность для покупки в Интернете или по телефону, поэтому эмитенты начали использовать эти номера в качестве еще одного препятствия для мошенничества.

При транзакциях без карты, то есть в Интернете или по телефону, продавцы часто запрашивают этот номер в дополнение к номеру вашей кредитной карты и дате истечения срока действия.Это не всегда требуется, но помогает гарантировать, что они (скорее всего) получат оплату от законного держателя карты.

Если вор может украсть номер вашей кредитной карты и дату истечения срока действия, но не имеет вашего CVV, он не сможет ничего купить у торговцев, требующих от покупателей предоставления CVV.

Как ваш CVV защищает вас от кражи личных данных

CVV добавляют еще один уровень защиты от кражи личных данных и могут помочь предотвратить несанкционированные транзакции. Хотя многие крупные розничные продавцы хранят номер вашего счета кредитной карты в своих базах данных, ваш CVV или CID не может быть сохранен после авторизации карты из-за стандартов соответствия кредитным картам.

Это означает, что даже если злоумышленники взломают систему продавца и украдут номер вашей кредитной карты или каким-либо иным образом получат доступ к номеру вашей кредитной карты, они не смогут использовать данные вашей карты, если у них нет кода при попытке покупка онлайн или по телефону.

Имейте в виду, что компании в настоящее время не обязаны запрашивать код CVV или CID, и не все это делают. Более того, некоторые розничные продавцы будут запрашивать его при первой покупке для подтверждения вашей личности, но затем не требуют этого при последующих покупках, если вы вошли на их веб-сайт в качестве покупателя.

Похитители личных данных также могут использовать вредоносное программное обеспечение, известное как вредоносное ПО, для кражи ваших кодов CVV или CID у розничных продавцов, или же воры потенциально могут получить его у вас в результате попытки фишинга, если вы не будете осторожны. Кроме того, если кто-то украдет вашу физическую карту, он получит к ней доступ. Некоторые финансовые учреждения экспериментируют с динамическими CVV или CVV, которые периодически меняются, чтобы ворам было еще труднее совершать мошеннические покупки.

The Bottom Line

Теперь на всех кредитных и дебетовых картах есть CVV в качестве меры защиты от мошеннических покупок, совершаемых через Интернет или по телефону.И хотя к коду CVV или CID труднее получить доступ, чем к номеру карты, он не гарантирует защиту. Они, безусловно, помогают, но они не являются надежными, поэтому все же важно предпринять шаги, чтобы защитить себя. Разумно использовать мониторинг кражи личных данных, чтобы вы сразу знали, есть ли несанкционированный доступ к вашим учетным записям.

Как узнать код безопасности кредитной карты

Когда вы используете свою кредитную карту для совершения покупок в Интернете или по телефону, вам обычно требуется предоставить код безопасности CVV для совершения покупки.Код безопасности CVV вашей кредитной карты уникален для данной карты. Его единственная цель — повысить уровень безопасности вашей карты.

Номера кодов безопасности предназначены для предотвращения мошенничества, которые предприятия могут использовать для проверки покупок при отсутствии физической карты. Запрашивая код CVV, продавец может быть обоснованно уверен, что лицо, использующее карту, является владельцем карты и физически ею владеет.

Где найти код безопасности CVV

В большинстве случаев коды CVV расположены на обратной стороне карты, но иногда вы можете найти их на лицевой стороне.American Express включает код CVV на лицевой стороне карты, обычно он печатается справа над номером вашего счета. Карты, которые соответствуют другим сетям обработки платежей, а именно Visa, Discover и MasterCard, имеют номера безопасности CVV, напечатанные на обратной стороне, прямо возле линии подписи. Если номер вашего счета указан на обратной стороне, после него появится ваш номер CVV.

На некоторых кредитных картах, таких как Apple Card, нет напечатанного CVV. Для карты Apple вы найдете эту информацию в Apple Wallet на своем iPhone.Если у вас есть другая карта, на которой нет номера CVV, вы можете позвонить в эмитент карты, чтобы получить код безопасности.

Сравнение кодов CVV в разных сетях

Помимо печати кодов CVV в разных местах, есть еще один способ отличить коды American Express от кодов других эмитентов карт. American Express использует четыре цифры для кодов безопасности своих карт, в то время как карты, работающие в сетях Visa, Discover и MasterCard, используют только три номера.

CVV означает значение проверки карты, но коды безопасности кредитных карт могут называться другими именами.Например, его можно назвать кодом CSV, что означает значение безопасности карты. Хотя название может быть другим, цель и функция остались прежними. Код CSV — это еще один способ для предприятий подтвердить вашу личность как держателя карты и потенциально предотвратить мошенничество с кредитными картами.

Другие названия кодов CVV включают:

  • CVV2 — Проверочное значение карты 2
  • CVC — Код подтверждения карты
  • CVC2 — Код подтверждения карты 2
  • CVD — данные проверки карты
  • CID — идентификационный номер карты
  • CSC — Код безопасности карты

Защита CVV-кода карты

Ваш код CVV предназначен для защиты вас и эмитента вашей карты от мошенничества.Коды CVV не хранятся продавцом, что означает дополнительный уровень защиты от мошенничества в случае утечки данных. Но кто-то может получить номер вашего счета и ваш номер CVV и использовать их для совершения мошеннических покупок. Это мошенничество может происходить несколькими способами.

  1. Фишинг-мошенничество: Вам может быть отправлено электронное письмо, которое выглядит так, как будто оно пришло от компании, выпускающей вашу кредитную карту, с просьбой подтвердить номер вашей учетной записи и код CVV. Не зная, что вас обманывают, вы только что передали информацию о своей карте злоумышленнику, который затем может клонировать вашу карту и использовать ее для несанкционированных покупок.Компании, выпускающие кредитные карты, никогда не будут запрашивать эту информацию, но если у вас есть какие-либо вопросы, свяжитесь с эмитентом вашей кредитной карты.
  2. Кейлоггинг: По сути, это тип кода отслеживания, который может скрываться на небезопасном веб-сайте. Когда вы посещаете веб-сайт и вводите данные своей карты, хакер может использовать программу-кейлоггер для записи вашей информации, включая ваш номер CVV. Кейлоггинг также может быть внедрен на ваш компьютер с помощью вредоносных программ, поэтому убедитесь, что на вашем компьютере установлен надежный и современный антивирусный продукт.

Примечание:

Федеральный закон ограничивает вашу ответственность за мошеннические покупки по кредитным картам до 50 долларов США, хотя некоторые карты могут предлагать гарантию ответственности в размере 0 долларов США.

Коды безопасности кредитных карт — это не просто случайные числа — они служат важной цели в предотвращении неправомерного использования информации вашей карты похитителями личных данных. Имейте в виду, что не каждый продавец будет запрашивать ваш код CVV при каждой покупке, но полезно знать, где он находится, если вас попросят поделиться им.

Как защитить свой CVV-код

Защита вашего CVV-кода при совершении покупок в Интернете аналогична защите вашей другой финансовой или личной информации. Эти советы помогут защитить данные вашей карты:

  • Установите брандмауэр на свой компьютер, чтобы защитить себя при совершении покупок в Интернете из дома.
  • Используйте антивирусное программное обеспечение для дополнительного уровня безопасности на вашем компьютере.
  • Проверьте наличие «https» в начале адресов веб-сайтов, чтобы убедиться, что они безопасны.
  • Избегайте покупок в Интернете в общественных местах с использованием незащищенного Wi-Fi.
  • Будьте осторожны при предоставлении информации о карте.
  • Как можно скорее сообщите об утерянной или украденной карте в компанию, обслуживающую вашу кредитную карту.

The Balance не предоставляет налоговых, инвестиционных или финансовых услуг и консультаций. Информация предоставляется без учета инвестиционных целей, устойчивости к риску или финансовых обстоятельств конкретного инвестора и может не подходить для всех инвесторов.Прошлые показатели не свидетельствуют о будущих результатах. Инвестирование сопряжено с риском, включая возможную потерю основной суммы долга.

Серия

Payment 101 — объяснение кода проверки карты (CVC) / значения проверки карты (CVV) | by Ruimin Yang

Проверочное значение карты (CVV) или код проверки карты (CVC) — это проверка криптографической целостности содержимого платежной карты. CVV / CVC был разработан для упрощения аутентификации данных платежной карты, в частности PAN и даты истечения срока действия, когда они получены банком-эмитентом во время авторизации транзакции.

На очень простом и нетехническом языке CVC / CVV используется для подтверждения того, что комбинация PAN (номера вашей карты) и даты истечения срока действия никем не была скомпрометирована во время обработки. Например. как эмитент, если я получил транзакцию с карты 52201234162811 с ​​датой истечения 25/12, как я могу быть уверен, что эти номера не были изменены кем-либо в цепочке обработки? Да, ответ — проверить CVV / CVC! Почему? Потому что только если эти номера не были изменены, я могу получить тот же код CVV / CVC.Как? Путем пересчета CVV / CVC с использованием номера карты и срока действия. Если результат совпадает с полученным CVV / CVC, я могу быть уверен, что никто не скомпрометировал данные. Примечание. не гарантирует, что карта была использована подлинным держателем карты.

CVV / CVC изначально был введен для транзакций с магнитной полосой, где он называется «CVV1» или «CVC1», в зависимости от схемы. Это хэш из трех данных: PAN, дата истечения срока действия и код услуги (трехзначный код, определяющий правила эмитента для карты.например ограничение на международное / внутреннее использование, онлайн / офлайн-аутентификацию и ПИН-код). CVV1 / CVC1 хранится на магнитной полосе банковской карты вместе с PAN, сроком действия и сервисным кодом. В момент платежной транзакции магнитный считыватель терминала считывает информацию с магнитной полосы и передает ее эмитенту. Затем эмитент будет использовать CVV1 / CVC1 для проверки целостности.

Позже, другой CVV / CVC, также известный как CVV2 или CVC2, был введен для помощи в проверке целостности транзакций электронной коммерции, потому что (нормальные) люди не могут прочитать информацию CVV1 / CVC1 в магнитной полосе.CVV2 / CVC2 использует тот же алгоритм, что и CVV1 / CVC1, но с немного другими входными данными, а именно: PAN, срок действия и фиксированный трехзначный код «999», а не служебный код. Одна из причин заключается в том, что код услуги не передается в транзакции электронной коммерции. Другая причина — обесценить CVC, чтобы его нельзя было использовать в других каналах. Например. если кому-то удалось перехватить ваши данные CVC1 и PAN с магнитной полосы, их нельзя будет использовать для транзакций электронной коммерции, и наоборот.

Когда для платежей используются чип-карты и бесконтактная технология, вводится другой код CVV / CVC, который называется CVC3 / CVV3 или динамический CVV.Одним из недостатков CVV1 и CVV2 является то, что они постоянны в течение всего срока службы, поскольку они генерируются один раз эмитентом карты и передаются на карту. Чтобы использовать вычислительную мощность смарт-карты, генерация CVC3 является динамической в ​​момент взаимодействия карты с терминалом, где используется схема запрос-ответ. Например. Терминал отправляет случайный трехзначный код на карту, а затем карта генерирует CVC3, используя криптографический ключ, который надежно хранится в чипе. Важное примечание: это не то, как работает реальная транзакция с чипом (EMV)! Это просто режим обратной совместимости, реализованный в чип-карте, известный как режим magstipe.

Краткий обзор стандартного алгоритма CVC показан ниже. алгоритм основан на Tripple-DES с ключами двойной длины. Если вы не сейчас об этом, проверьте ссылку здесь: https://en.wikipedia.org/wiki/Data_Encryption_Standard ( Примечание: все значения фиктивные):

1. Объедините PAN, истечение срока дата и код услуги

50339600000005180047140000000000

2. Поместите результаты в 128-битное поле, затем заполните нулями, чтобы заполнить все оставшиеся биты, а затем разделите блок на два 64-битных субблока

Блок 1 = 5033960000000518

Блок 2 = 0047140000000000

3.Зашифровать блок 1 с помощью ключа A (с алгоритмом DES)

Блок 1 = 5033960000000518 зашифровать с ключом A = 12345678456

Результат = AC126C38B07712F2

4. Выполнить XOR результата шага 3 с блоком 2

Блок = 0047140000000000 XOR Результат шага 3 = AC126C38B07712F2

Result = 4A1712CA23C2120D

5. Зашифруйте результат шага 4 с помощью ключа A

Результат шага 4 = 4A1712CA23C21122000 12578CA23C21202B 9678348 6.Расшифровать результат шага 5 с помощью ключа B

Результат шага 5 = 12CB2A97651DE57F дешифровать с помощью ключа B = 1122334455667788

Результат = C4D2FFE1238202DC

7. Зашифровать результат шага 6 с помощью ключа 9000 9000 9000 Результат 6 = C4D2FFE1238202DC зашифровать с ключом A = 12345678456

Результат = 546F98F273ADE1AA

8. Извлечь все числовые цифры из результата шага 7

546982731

9. Извлечь все буквы и вычесть 7 из результата каждое значение на 10, чтобы получить числовой результат

5503400

10.Соедините результат 8 и 9

5469827315503400

11. Возьмите первые три крайние левые цифры. Вот ваш CVV2!

546

Приятного чтения!

Характер и цель CVV2 / CSC / CVC, используемых при обработке кредитных карт

Код безопасности карты (CSC), иногда называемый данными проверки карты (CVD), значением проверки карты (CVV или CVV2), кодом значения проверки карты (CVVC), кодом проверки карты (CVC или CVC2), кодом проверки (V-код). или V-код) или Проверка кода карты (CCV) — это разные термины для функций безопасности транзакций с кредитными или дебетовыми картами, обеспечивающие повышенную защиту от мошенничества с кредитными картами.

CVV2 — это трех- или четырехзначное значение, напечатанное на карточке или полосе для подписи, но не закодированное на магнитной полосе.

Кредитные и дебетовые карты MasterCard, Visa, Diners Club, Discover и JCB имеют трехзначный код безопасности карты, который называется следующим:

«CVC2» (код проверки карты) MasterCard,

«CVV2» ( значение верификации карты) Visa,

Номер «CID2» (идентификация карты), Discover.

Он не тиснен, как номер карты, и всегда является последней группой цифр, напечатанных на задней панели для подписи карты.Новые североамериканские карты MasterCard и Visa имеют отметку «CVC2» на отдельной панели справа от полосы для подписи. Это сделано для предотвращения перезаписи номеров при подписании карты.

Карты American Express имеют четырехзначный код, напечатанный на лицевой стороне карты над номером, называемый CID (или уникальный код карты). Он напечатан ровно, а не тисненым, как номер карты.

Предоставление CVV2 в транзакции предназначено для подтверждения того, что клиент владеет картой.Знание кода доказывает, что покупатель видел карту или видел запись, сделанную кем-то, кто видел карту. Это обеспечивает определенный уровень защиты для банка / держателя карты, поскольку коррумпированный продавец не может просто захватить данные с магнитной полосы карты и использовать их позже для покупок «без карты» по телефону, почтовым переводам или Интернету. Для этого продавцу также необходимо визуально отметить CVV2 и записать его, что с большей вероятностью вызовет подозрения у держателя карты.

Продавцам, которым требуется CVV2 для транзакций «без карты», Visa запрещает в США хранить CVV2 после авторизации и завершения отдельной транзакции.Таким образом, если база данных транзакций скомпрометирована, CVV2 не будет включен, а номера украденных карт будут менее полезны.

Источник: http://en.wikipedia.org/wiki/Card_security_code

Как мошенники получают CVV — Кребс из службы безопасности

Давний читатель недавно спросил: «Как онлайн-мошенники получают трехзначный код подтверждения карты (CVV или CVV2), напечатанный на обратной стороне карт клиентов, если продавцам запрещено хранить эту информацию? Ответ: если не с помощью фишинга, возможно, установив веб-кейлоггер в интернет-магазине, чтобы все данные, которые клиенты отправляют на сайт, копировались и отправлялись на сервер злоумышленника.

Кеннет Лабелль, , региональный директор страховщика Burns-Wilcox.com , написал:

«Итак, я пытаюсь выяснить, как возможны транзакции без предъявления карты после взлома из-за CVV. Если информация о карте была украдена через кассовую систему, хакер не должен иметь доступа к CVV, потому что его нет на магнитной полосе. Так как же они совершают мошенничество без предъявления карты, если у них нет номера CVV? Я не понимаю, как это возможно, если код CVV используется в онлайн-транзакциях.”

Во-первых, «свалки» — счета кредитных и дебетовых карт, которые украдены из взломанных систем торговых точек с помощью скиммеров или вредоносных программ в кассовых системах, — в киберпреступном подполье в розницу в среднем стоит около 20 долларов за штуку. Каждый дамп можно использовать для изготовления нового физического клона оригинальной карты, и воры обычно используют эти подделки для покупки товаров в крупных розничных магазинах, которые они могут легко перепродать, или для получения наличных в банкоматах.

Однако, когда киберпреступники хотят обмануть интернет-магазины, они не используют свалки.Это происходит главным образом потому, что онлайн-продавцы обычно требуют CVV, продавцы криминальных свалок не связывают CVV со своими свалками.

Вместо этого онлайн-мошенники обращаются к «магазинам CVV», скрытым магазинам киберпреступности, которые продают пакеты данных о держателях карт, включая имя клиента, полный номер карты, срок действия, CVV2 и почтовый индекс. Эти пакеты CVV намного дешевле дампов — обычно от 2 до 5 долларов за штуку — отчасти потому, что они полезны в основном только для онлайн-транзакций, но, вероятно, также потому, что в целом их сложнее «обналичить» или заработать на них.

В подавляющем большинстве случаев эти данные CVV были украдены веб-кейлоггерами. Это относительно несложная программа, которая ведет себя так же, как банковский троянец на зараженном компьютере, за исключением того, что она предназначена для кражи данных из приложений веб-сервера.

ПК-трояны, такие как ZeuS, например, перекачивают информацию, используя два основных метода: перехват паролей, хранящихся в браузере, и «захват формы» — сбор любых данных, введенных в поле формы в браузере, прежде чем они могут быть зашифрованы в веб-сеансе. и отправляется на любой сайт, который посещает жертва.

Интернет-клавиатурные шпионы

также могут захватывать формы, извлекать данные из форм, отправленные посетителями, включая имена, адреса, номера телефонов, номера кредитных карт и код подтверждения карты, поскольку клиенты отправляют данные в процессе онлайн-оформления заказа.

Эти атаки приводят к одному неопровержимому выводу о роли вредоносного ПО в подрыве защищенных соединений: независимо от того, находится ли оно на веб-сервере или на компьютере конечного пользователя, если какая-либо конечная точка скомпрометирована, для безопасности этого веб-сеанса «игра окончена».С банковскими троянами для ПК все сводится к слежке за предварительным шифрованием на стороне клиента, тогда как то, что злоумышленники делают с этими атаками на веб-сайты, включает в себя отсасывание данных клиентов после или предварительного шифрования (в зависимости от того, были ли данные входящими или исходящими. ).

Если вы отвечаете за поддержку или защиту веб-сайтов, было бы неплохо принять участие в одной или нескольких местных группах, которые стремятся помочь администраторам. Профессионалы и полупрофессионалы приглашаются на встречи местных отделений OWASP, CitySec, ISSA или Security Bsides.

Почему мой процесс оформления заказа не требует кода CVV2?

Почему мой процесс оформления заказа не требует кода CVV2?

Используйте 3 маленькие цифры, чтобы предложить клиентам надежную защиту от мошенничества с кредитными картами.

По сценарию Джареда К.

Обновлено больше недели назад

CVV, CVV2 или CVC. Называйте это как хотите; это относится к номерам на обратной стороне кредитной карты.Эти три или четыре маленькие цифры добавляют большой уровень безопасности к онлайн-покупкам, затрудняя ворам возможность мошенничества с кредитными картами, если у них нет физической карты.

Если вы хотите, чтобы это требовалось для покупок, а поле для ввода цифр не отображается на странице оформления заказа в вашем магазине, может быть 3 возможных причины:

  1. Возможно, у вас не настроен платежный шлюз. Проверьте страницу Настройки > Платеж , чтобы убедиться, что настроен шлюз.
  2. Переменная конфигурации с именем Require_CVV2_Security_Number не может быть выбрана. Перейдите в Settings > Config Variables и выберите Checkout Variables из меню Filter . Убедитесь, что установлен флажок Require_CVV2_Security_Number .
  3. Политика хранения вашей кредитной карты может быть не настроена на прием кода CVV2 на странице оформления заказа. Чтобы узнать, допускают ли ваши настройки хранения данных код CVV2, перейдите на страницу Настройки > Платеж и нажмите Альтернативные настройки на вкладке Платежный шлюз .