Bezpečnostní kód karty - Card security code

Bezpečnostní kód karty se nachází na zadní straně kreditních nebo debetních karet Mastercard , Visa , Discover , Diners Club a JCB a obvykle se jedná o samostatnou skupinu tří číslic napravo od podpisového proužku
Na kartách American Express je bezpečnostní kód karty tištěný, ne embosovaný, skupina čtyř číslic vpředu vpravo

Bezpečnostní kód karty ( CSC ; také známý několika jinými jmény ) je série čísel, která, kromě čísla bankovních karet , je reliéfní nebo vytištěné na kartě. CSC se používá jako bezpečnostní funkce pro transakce bez karty , kde držitel karty nemůže ručně zadat osobní identifikační číslo (PIN) (jako při transakcích v místě prodeje nebo při přítomnosti karty). Byl zaveden s cílem snížit výskyt podvodů s kreditními kartami .

CSC byl původně vyvinut ve Velké Británii jako jedenáctimístný alfanumerický kód zaměstnancem Equifaxu Michaelem Stoneem v roce 1995. Po testování se skupinou Littlewoods Home Shopping a bankou NatWest byl koncept přijat britskou asociací pro služby zúčtování plateb (APACS) a zjednodušeno k dnes známému třímístnému kódu. Mastercard začala vydávat čísla CVC2 v roce 1997 a Visa ve Spojených státech je vydala v roce 2001. Společnost American Express začala používat CSC v roce 1999 v reakci na rostoucí internetové transakce a stížnosti členů karty na přerušení útraty, když byla zajištěna bezpečnost karty. zpochybnit.

Bezkontaktní karty a čipové karty mohou elektronicky generovat vlastní kód, například iCVV nebo dynamický CVV.

Pojmenování

Kódy mají různá jména:

  • „CAV“ nebo „hodnota autentizace karty“: JCB
  • „CID“: „ID karty“, „identifikační číslo karty“ nebo „identifikační kód karty“: Discover , American Express (čtyři číslice na přední straně karty). American Express obvykle používá čtyřmístný kód na přední straně karty, označovaný jako identifikační kód karty (CID), ale má také třímístný kód na zadní straně karty, označovaný jako bezpečnostní kód karty ( CSC). American Express také někdy odkazuje na „jedinečný kód karty“.
  • „CSC“ nebo „bezpečnostní kód karty“: debetní karty , American Express (tři číslice na zadní straně karty, označované také jako 3CSC)
  • „CVC“ nebo „ověřovací kód karty“: Mastercard
  • „CVD“ nebo „údaje pro ověření karty“: Discover , někdy používaný jako běžný inicializmus pro tento druh kódu
  • „CVE“ nebo „Elo ověřovací kód“: Elo v Brazílii
  • „CVN“ nebo „číslo pro ověření karty“: China UnionPay
  • „CVV“ nebo „hodnota pro ověření karty“: Visa
  • „SPC“ nebo „kód panelu podpisu“

Typy

Existuje několik typů bezpečnostních kódů a PVV (všechny jsou generovány z klíče DES v bance v modulech HSM pomocí PAN, data vypršení platnosti a servisního kódu):

  • První kód, 3 čísla, nazývaný CVC1 nebo CVV1, je zakódován na stopě jedna a dvě magnetického proužku karty a slouží k transakcím přítomným na kartě s podpisem (druhá stopa také obsahuje ověřovací hodnotu PIN, PVV, ale nyní je obvykle všechny vynulovány a servisní kód). Účelem kódu je ověřit, zda je platební karta skutečně v rukou obchodníka (měla by se tedy lišit od CVV2). Tento kód je automaticky načten, když je magnetický proužek karty načten (přejet) na zařízení v místě prodeje (karta přítomna) a je ověřen vydavatelem. Omezením je, že pokud byla celá karta duplikována a zkopírován magnetický proužek, pak je kód stále platný, i když se poté obvykle musíte podepsat. (Viz podvod s kreditní kartou, § skimming .)
  • Druhý a nejcitovanější kód je CVV2 nebo CVC2. Tento kód často používají obchodníci pro transakce bez karty, včetně online nákupů. V některých zemích západní Evropy vydavatelé karet vyžadují, aby obchodník získal kód, pokud držitel karty není osobně přítomen. Používá servisní kód 000.
  • Bezkontaktní a/nebo čipové EMV karty dodávají vlastní elektronicky generované kódy, zvané iCVV. Používá servisní kód 999. Je popsán ve veřejných standardech od EMVCo.
  • Metoda ověřování držitele karty spotřebitelského zařízení (CDCVM; například Apple Pay , Google Pay , Samsung Pay , různé aplikace s podporou zařízení pro šifrování důvěryhodnosti zařízení) zastaralé používání pro PIN a CVC, nyní chytré zařízení (chytré hodinky, smartphone atd.) Potřebuje k odemčení a operace s jakoukoli částkou se provádí bez PINu, pokud POS terminál podporuje CDCVM. Před odemčením k nákupu se na vašem zařízení zobrazí také množství operací. Podporovány jsou také online nákupy. Jsou podporovány záložní verze CVC nebo PIN.

Umístění

Bezpečnostní kód karty jsou obvykle poslední tři nebo čtyři číslice vytištěné, ne vyrazené jako číslo karty, na podpisovém proužku na zadní straně karty. U karet American Express jsou však bezpečnostní kódy karty čtyři číslice vytištěné (ne embosované) na přední straně vpravo. Bezpečnostní kód karty není zakódován na magnetickém proužku, ale je vytištěn naplocho.

  • Karty American Express mají čtyřmístný kód vytištěný na přední straně karty nad číslem.
  • Kreditní a debetní karty Diners Club , Discover, JCB , Mastercard a Visa mají třímístný bezpečnostní kód karty. Kód je poslední skupinou čísel vytištěných na zadním panelu podpisu karty.
  • Nové severoamerické karty Mastercard a Visa obsahují kód na samostatném panelu napravo od podpisového proužku. To bylo provedeno, aby se zabránilo přepsání čísel podpisem karty.

Generace

CSC pro každou kartu (formulář 1 a 2) generuje vydavatel karty při vydání karty. Vypočítává se zašifrováním čísla bankovní karty a data vypršení platnosti (dvě pole vytištěná na kartě) šifrovacími klíči známými pouze vydavateli karty a decimalizací výsledku.

Výhody a omezení

Jako bezpečnostní opatření jsou obchodníci, kteří vyžadují CVV2 pro transakce „ karta není přítomna “, povinni vydavatel karty CVV2 po autorizaci jednotlivé transakce neukládat. Tímto způsobem, pokud je databáze transakcí ohrožena , CVV2 není k dispozici a čísla ukradených karet jsou méně užitečná. Virtuální terminály a platební brány neukládají kód CVV2; zaměstnanci a zástupci zákaznických služeb s přístupem k těmto webovým platebním rozhraním, kteří mají jinak přístup k úplným číslům karet, datům vypršení platnosti a dalším informacím, proto stále nemají kód CVV2.

PCI DSS (PCI DSS) rovněž zakazuje ukládání CSC (a dalších citlivých údajů o registraci) povolení po transakce. To platí globálně pro kohokoli, kdo uchovává, zpracovává nebo přenáší data držitele karty. Protože CSC není obsažen na magnetickém proužku karty, není obvykle zahrnut v transakci, když je karta použita tváří v tvář obchodníkovi. Někteří obchodníci v Severní Americe, například Sears a Staples , však kód vyžadují. U karet American Express to byl neměnný postup (pro transakce „karta není přítomna“) v zemích Evropské unie (EU), jako je Irsko a Spojené království, od začátku roku 2005. To poskytuje úroveň ochrany banky/držitele karty , v tom, že podvodný obchodník nebo zaměstnanec nemůže jednoduše zachytit detaily magnetického proužku karty a použít je později pro nákupy „karta není přítomna“ prostřednictvím telefonu, zásilkového obchodu nebo internetu. K tomu by obchodník nebo jeho zaměstnanec také museli vizuálně zaznamenat CVV2 a zaznamenat jej, což pravděpodobně vzbudí podezření držitele karty.

Zadání kódu CSC v transakci má ověřit, že zákazník má kartu ve svém vlastnictví. Znalost kódu dokazuje, že zákazník kartu viděl nebo viděl záznam od někoho, kdo kartu viděl.

Mezi omezení patří:

  • Použití CSC nemůže chránit před phishingovými podvody, kdy je držitel karty podváděn, aby zadal CSC mezi další údaje o kartě prostřednictvím podvodných webových stránek. Nárůst phishingu snížil skutečnou účinnost CSC jako zařízení proti podvodům. Tam je nyní také o podvod, za kterou phisher již získala číslo účtu karty (snad hacking databáze obchodníka nebo špatně navržený přijetí) a poskytuje tuto informaci pro oběti (ukolébal je do falešného pocitu bezpečí), před žádostí o CSC (což je vše, co phisher potřebuje, a účel podvodu především).
  • Vzhledem k tomu, že obchodník CSC nemusí uchovávat po libovolnou dobu (po původní transakci, ve které byl CSC citován a poté autorizován), obchodník, který potřebuje pravidelně účtovat kartu za běžné předplatné, by nemohl poskytnout kód po počáteční transakci. Platební brány však zareagovaly přidáním funkcí „pravidelného vyúčtování“ jako součásti autorizačního procesu.
  • Někteří vydavatelé karet CSC nepoužívají. Transakce bez CSC jsou však obchodníkům pravděpodobně vystaveny vyššími náklady na zpracování karet a podvodné transakce bez CSC budou pravděpodobně vyřešeny ve prospěch držitele karty.
  • Pro obchodníka není povinné vyžadovat bezpečnostní kód pro provedení transakce, takže karta může být stále náchylná k podvodům, i když phisherům je známo pouze její číslo. Například Amazon vyžaduje k dokončení transakce pouze číslo karty a datum vypršení platnosti.
  • Podvodník může uhodnout CSC pomocí distribuovaného útoku.

Viz také

Reference