CVV2
CVV2 (англ. Card Verification Value 2) — тризначний код перевірки дійсності картки платіжної системи Visa.[1] Інші платіжні системи мають схожі технології, наприклад, аналогічний код для карток MasterCard носить назву Card Validation Code 2 (CVC2). Наноситься на смузі для підпису держателя після номера картки або після останніх 4 цифр номера картки способом індент-друку. Використовується як захисний елемент при проведенні транзакцій в середовищі CNP (card not present). Наприклад — e-commerce (в інтернеті), MO/TO (Mail order/Telephone order — замовлення поштою чи телефоном).[2]
Номер CVV2 не слід плутати c пін-кодом і зі стандартним номером картки, що наносяться тисненням чи індент-друком. Стандартний номер картки перевіряється на правильність окремим алгоритмом, який називається алгоритм Луна. Цифра 2 у назві коду означає, що є і «перший» захисний код, який використовується для верифікації транзакцій з фізичним використанням картки. CVV/CVC-код записується на магнітну смугу. Навіть у випадку, якщо CVV2-код на картці не вказується (картки Visa Electron з «замаскованим» номером, нанесеним на картку не повністю, наприклад, тільки останні 4 цифри), він все одно створюється при випуску картки.
Наявність CVV2-коду на картці не є ні необхідною, ні достатньою умовою для здійснення платежів в інтернеті. Запит CVV2 з одного боку — це право, а не обов'язок продавця (тому це не є необхідним). З іншого боку, цей вид транзакцій може бути заборонений для конкретного виду карток банком-емітентом (тому не є достатнім).[3][4]
Обмеження CVV2
- Механізм CVV2 не може захистити від фішингу, коли введений в оману власник картки, серед інших її параметрів, вводить CVV2-номер[5]
- Оскільки код CVV2 не може зберігатися продавцем протягом навіть короткого часу (після того як авторизація за використанням CVV2 завершена — такі вимоги стандарту PCI DSS), то продавці, які повинні регулярно списувати гроші з картки за яку-небудь послугу, не можуть використовувати CVV2 для наступних операцій. До числа таких продавців відносяться багато популярних інтернет-служб, таких як iTunes Store, PayPal, PlayStation Network, Steam.
- Якщо банк-емітент вимагає CVV2 для авторизації всіх інтернет-транзакцій, то він тим самим не дозволяє використовувати свої картки для оплати зазначених служб. Такого недоліку, як правило, позбавлені віртуальні картки. Ризик, пов'язаний з необов'язковістю перевірки CVV2, компенсується в цьому випадку можливістю обмежити доступний ліміт віртуальної картки невеликою сумою.
Розвиток
Для того, щоб підтвердити автентичність пред'явника даних картки в мережі, в даний час розглядаються інші можливості, насамперед пов'язані з отриманням якогось коду або запиту іншим способом, заздалегідь узгодженим законним держателем картки і банком. Наприклад, використання одноразового паролю, отриманого в банкоматі або за допомогою SMS, підтвердження транзакції в системі інтернет-банкінгу банку-емітента картки або на окремому захищеному сайті. Даний комплекс заходів носить назву (в залежності від платіжної системи) 3-D Secure, MasterCard Security Code, Verified by Visa.[6]
Інші аналогічні терміни
Інші аналогічні терміни:
- Card security code (CSC),
- Card Data Verification (CVD),
- Card Verification Value (CVV, CVV1, CVV2),
- Card Verification Value Code (CVVC),
- Card Verification Code (CVC, CVC1, CVC2),
- Verification Code (V-Code, V Code),
- Card Verification Code (CCV).
Примітки
- Official PCI Security Standards Council Site - Verify PCI Compliance, Download Data Security and Credit Card Security Standards. www.pcisecuritystandards.org. Процитовано 12 серпня 2016.
- Developer.Authorize.net. Developer FAQs. developer.authorize.net. Процитовано 12 серпня 2016.
- Mikkelson, David. Visa Fraud Investigation Scam (амер.). Процитовано 12 серпня 2016.
- 2.4.5.16 "z/OS V1R3.0 ICSF Application Programmer's Guide" IBM Library Server. publibz.boulder.ibm.com. Процитовано 12 серпня 2016.
- CIBC MasterCard | MasterCard SecureCode | Signature Panel Code. www.securesuite.net. Архів оригіналу за 24 квітня 2014. Процитовано 12 серпня 2016.
- 2.4.2 "z/OS V1R3.0 ICSF Application Programmer's Guide" IBM Library Server. publibz.boulder.ibm.com. Процитовано 12 серпня 2016.