АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ

CVV2

CVV2 (англ. Card Verification Value 2) — это числовой код, который, наряду с номером банковской карты, печатается на кредитной или дебетовой карте. CVV2 используется в качестве защитной меры при операциях, когда карта физически не предъявляется, то есть когда держатель не может вручную ввести персональный идентификационный номер (ПИН), например, при покупках в интернете или через телефон. Этот код был введён для снижения числа случаев мошенничества с банковскими картами[1]. В отличие от номера карты, CVV2 не эмбоссируется и поэтому не считывается механическим импринтером.

Описание

Расположение и формат кодов безопасности незначительно варьируются у разных платёжных систем. Например, на картах Visa, Mastercard и Discover это трёхзначный код на обороте справа от полосы для подписи. На American Express — четырёхзначный код на лицевой стороне над номером счёта.

Оригинальная концепция кода безопасности была разработана в 1995 году в Великобритании сотрудником Equifax Майклом Стоуном как одиннадцатизначный буквенно-цифровой код. После тестирования с компанией Littlewoods Home Shopping и банком NatWest идея была принята Британской ассоциацией платёжных клиринговых сервисов и уменьшена до современного трёхзначного формата. Mastercard ввела CVC2 в 1997 году, Visa — в США к 2001 году. American Express начала использовать CSC в 1999 году в ответ на рост интернет-платежей и участившиеся обращения клиентов по вопросам безопасности.

Карты с поддержкой бесконтактных платежей и чиповые карты могут генерировать свой динамический код, например, англ. iCVV или динамический CVV.

Названия

Данный код известен под разными названиями:

  • «CSC», или «код безопасности карты»: дебетовые карты, American Express (как трёхзначный код на обороте карты, также называемый 3CSC)[2];
  • «CVC», или «код валидации карты»: Mastercard;
  • «CVV», или «значение проверки карты»: Visa;
  • «CAV», или «значение аутентификации карты»: JCB;
  • «CID», или «идентификационный номер карты»: Discover, American Express (четыре цифры на лицевой стороне карты). Кроме четырёхзначного кода на лицевой стороне, у American Express есть и трёхзначный код на обороте (card security code, CSC). Также встречается термин «уникальный код карты»[1];
  • «CVD», или «данные проверки карты»: Discover;
  • «CVE», или «код проверки Elo»: Elo в Бразилии;
  • «CVN», или «номер валидации карты»: China UnionPay, Google Ads[3];
  • «SPC», или «код подписи»[4];
  • «CCV», или «проверка кода карты»: распространён в Канаде.

Типы

Существует несколько типов кодов безопасности и PVV, генерируемых на основе DES-ключа в банковских аппаратных модулях на основе PAN (номера карты), срока действия и сервисного кода:

  • Первый код (три цифры), называемый CVC1 или CVV1, записан на первой и второй дорожках магнитной полосы карты и используется для подтверждения операций при физическом предъявлении карты (card-present), обычно с подписью. Его основная задача — подтверждение наличия карты у продавца (должен отличаться от CVV2). Код автоматически считывается устройством и проверяется банком-эмитентом. Если магнитная полоса карты полностью скопирована (скимминг), то этот код будет дублирован и также работать (см. скимминг).
  • Второй код, наиболее часто используемый, — CVV2 или CVC2. Он обычно применяется для дистанционных операций, когда карта не предъявляется (например, при оплате в интернете). В некоторых западноевропейских странах банки требуют обязательного ввода CVV2 при таких операциях. Используется сервисный код 000.
  • Карты с бесконтактной технологией и/или чипом (EMV) генерируют свои коды — англ. iCVV. Используется сервисный код 999; механизм подробно описан в стандартах EMVCo.
  • CDCVM (англ. Consumer Device Cardholder Verification Method) — это тип верификации, при котором мобильное устройство пользователя (например, смартфон) подтверждает его личность с помощью биометрии (например, Touch ID, Face ID) или пароля. Такая поддержка реализована в платёжных сервисах Apple Pay[5], Google Pay[6] и Samsung Pay[7].

Расположение

Обычно код безопасности — это последние три или четыре цифры, напечатанные (не эмбоссированные) на полосе для подписи на обороте карты. На картах American Express код состоит из четырёх цифр и нанесён на лицевой стороне справа над номером карты. CVV2 не записывается на магнитную полосу, а только печатается на карте.

  • У American Express — четыре цифры на лицевой стороне карты над номером.
  • У Diners Club, Discover, JCB, Mastercard и Visa — три цифры на обороте карты, последняя группа справа.
  • На новых североамериканских картах Mastercard и Visa код вынесен в отдельное поле справа от подписи, чтобы избежать его повреждения при подписании карты[8].

Генерация

Код CVV2 для каждой карты генерируется банком-эмитентом при выпуске карты. Для вычисления берутся номер карты и срок её действия (оба напечатаны на карте), которые шифруются с помощью секретных ключей, известных только банку, и результат переводится в десятичную форму, аналогично хеш-функции[9][10][11].

Преимущества и ограничения

В целях безопасности торговцы, требующие CVV2 для дистанционных операций, обязаны не хранить этот код после авторизации операции[12]. Это уменьшает риск использования украденных номеров карт: если база данных будет скомпрометирована, CVV2 отсутствует и похищенные номера теряют ценность. Виртуальные терминалы и платёжные шлюзы также не хранят код CVV2, поэтому даже при доступе к полному номеру карты и сроку её действия сотрудник не увидит CVV2.

Стандарт PCI DSS (Payment Card Industry Data Security Standard) также запрещает хранение кодов безопасности и других авторизационных данных после завершения операции для всех, кто работает с платёжной информацией[13]. Поскольку CVV2 не содержится на магнитной полосе карты, он не участвует в обычных транзакциях при личном посещении продавца. В США некоторые крупные магазины, такие как Sears и Staples, требуют CVV2 даже при предъявлении карты, а в странах ЕС это обязательное требование для American Express с 2005 года. Это защищает держателя карты: потенциально недобросовестный продавец, получив данные с магнитной полосы, не сможет использовать их для дистанционных операций без знания CVV2.

Передача CVV2 доказывает, что клиент действительно видел карту (или запись с карты), а не владеет только номером.

Основные ограничения:

  • CVV2 не защищает от фишинга, когда злоумышленник обманом выманивает у держателя карты все данные, включая CVV2. С ростом фишинга эффективность CVV2 как меры борьбы с мошенничеством снижается. Иногда мошенник предварительно сообщает жертве номер карты (выкраденный из базы данных или чека), чтобы выманить CVV2, необходимый ему для операции[14].
  • Поскольку торговцы не вправе хранить CVV2 после подтверждения платежа[12], они не могут проводить автоматические платежи по подписке без повторного ввода кода клиентом. Платёжные шлюзы обходят это, реализуя «периодическое списание» как отдельную операцию.
  • Некоторые банки не используют CVV2, но для транзакций без этого кода возможны повышенные комиссии, а при мошенничестве с такими операциями банк чаще удовлетворяет претензии клиента.
  • Не все магазины требуют обязательный ввод кода безопасности, поэтому мошенничество возможно даже при наличии только номера карты и срока её действия — например, интернет-магазин Amazon для покупки требует только эти данные.
  • Существует возможность перебора CVV2 с помощью распределённой атаки[15].

Примечания