CVV2

CVV2 (англ. Card Verification Value 2) — тризначний код перевірки дійсності картки платіжної системи Visa.[1] Інші платіжні системи мають схожі технології, наприклад, аналогічний код для карток MasterCard носить назву Card Validation Code 2 (CVC2). Наноситься на смузі для підпису держателя після номера картки або після останніх 4 цифр номера картки способом індент-друку. Використовується як захисний елемент при проведенні транзакцій в середовищі CNP (card not present). Наприклад — e-commerce (в інтернеті), MO/TO (Mail order/Telephone order — замовлення поштою чи телефоном).[2]

Код CVV2 на картці VISA, обведено червоним

Номер CVV2 не слід плутати c пін-кодом і зі стандартним номером картки, що наносяться тисненням чи індент-друком. Стандартний номер картки перевіряється на правильність окремим алгоритмом, який називається алгоритм Луна. Цифра 2 у назві коду означає, що є і «перший» захисний код, який використовується для верифікації транзакцій з фізичним використанням картки. CVV/CVC-код записується на магнітну смугу. Навіть у випадку, якщо CVV2-код на картці не вказується (картки Visa Electron з «замаскованим» номером, нанесеним на картку не повністю, наприклад, тільки останні 4 цифри), він все одно створюється при випуску картки.

Наявність CVV2-коду на картці не є ні необхідною, ні достатньою умовою для здійснення платежів в інтернеті. Запит CVV2 з одного боку — це право, а не обов'язок продавця (тому це не є необхідним). З іншого боку, цей вид транзакцій може бути заборонений для конкретного виду карток банком-емітентом (тому не є достатнім).[3][4]

Обмеження CVV2

  • Механізм CVV2 не може захистити від фішингу, коли введений в оману власник картки, серед інших її параметрів, вводить CVV2-номер[5]
  • Оскільки код CVV2 не може зберігатися продавцем протягом навіть короткого часу (після того як авторизація за використанням CVV2 завершена — такі вимоги стандарту PCI DSS), то продавці, які повинні регулярно списувати гроші з картки за яку-небудь послугу, не можуть використовувати CVV2 для наступних операцій. До числа таких продавців відносяться багато популярних інтернет-служб, таких як iTunes Store, PayPal, PlayStation Network, Steam.
  • Якщо банк-емітент вимагає CVV2 для авторизації всіх інтернет-транзакцій, то він тим самим не дозволяє використовувати свої картки для оплати зазначених служб. Такого недоліку, як правило, позбавлені віртуальні картки. Ризик, пов'язаний з необов'язковістю перевірки CVV2, компенсується в цьому випадку можливістю обмежити доступний ліміт віртуальної картки невеликою сумою.

Розвиток

Для того, щоб підтвердити автентичність пред'явника даних картки в мережі, в даний час розглядаються інші можливості, насамперед пов'язані з отриманням якогось коду або запиту іншим способом, заздалегідь узгодженим законним держателем картки і банком. Наприклад, використання одноразового паролю, отриманого в банкоматі або за допомогою SMS, підтвердження транзакції в системі інтернет-банкінгу банку-емітента картки або на окремому захищеному сайті. Даний комплекс заходів носить назву (в залежності від платіжної системи) 3-D Secure, MasterCard Security Code, Verified by Visa.[6]

Інші аналогічні терміни

Інші аналогічні терміни:

  • Card security code (CSC),
  • Card Data Verification (CVD),
  • Card Verification Value (CVV, CVV1, CVV2),
  • Card Verification Value Code (CVVC),
  • Card Verification Code (CVC, CVC1, CVC2),
  • Verification Code (V-Code, V Code),
  • Card Verification Code (CCV).

Примітки

  1. Official PCI Security Standards Council Site - Verify PCI Compliance, Download Data Security and Credit Card Security Standards. www.pcisecuritystandards.org. Процитовано 12 серпня 2016.
  2. Developer.Authorize.net. Developer FAQs. developer.authorize.net. Процитовано 12 серпня 2016.
  3. Mikkelson, David. Visa Fraud Investigation Scam (амер.). Процитовано 12 серпня 2016.
  4. 2.4.5.16 "z/OS V1R3.0 ICSF Application Programmer's Guide" IBM Library Server. publibz.boulder.ibm.com. Процитовано 12 серпня 2016.
  5. CIBC MasterCard | MasterCard SecureCode | Signature Panel Code. www.securesuite.net. Архів оригіналу за 24 квітня 2014. Процитовано 12 серпня 2016.
  6. 2.4.2 "z/OS V1R3.0 ICSF Application Programmer's Guide" IBM Library Server. publibz.boulder.ibm.com. Процитовано 12 серпня 2016.
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.