Jesteś tutaj: Home » Informacje » Kod CVV, CVV2 oraz CVC, CVC2

Kod CVV, CVV2 oraz CVC, CVC2 

Data dodania: 16:20, 30 stycznia 2016 Autor: Zdolnosc kredytowa


Poza numerem bankowym, wytłoczonym bądź wydrukowanym na odwrocie, karty posiadają również kod weryfikacyjny.

Kod ten stanowi zabezpieczenie przy dokonywaniu transakcji zdalnych, tj. takich, przy których karta nie jest fizycznie wymagana i nie ma możliwości zastosowania numeru PIN.

Zabezpieczenie to ma na celu zmniejszenie ilości oszustw, które są dokonywane przy używaniu kart.

Kod CVV i CVC – Visa i MasterCard

MasterCard zaczął wprowadzać kody weryfikacyjne w 1997 roku, a Visa wydawała kody w Stanach Zjednoczonych od 2001 roku. American Express zaczął używać kodów w 1999 roku w odpowiedzi na rosnącą liczbę transakcji internetowych i wnoszonych przez użytkowników skarg związanych z przerwami w płatnościach w przypadku wątpliwości dotyczących zabezpieczeń karty.

Kody weryfikacyjne mają różne nazwy w języku angielskim w zależności od tego z jakiej spółki czy firmy pochodzi karta. Z tego wynikają różnice w używanych skrótach odnoszących się do kodów weryfikacyjnych. W odniesieniu do firmy MasterCard używa się skrótu CVC (ang. card validation code), spółka Visa stosuje skrót CVV (ang. card verification value), karty American Express posiadają CID (ang. card identification numer).

Typy kodów i ich zastosowanie – CVV / CVV2 oraz CVC / CVC2

Istnieje kilka typów kodów zabezpieczających:

  1. kod-cvv-cvcpierwszy kod (nazywany kodem CVC albo CVV) zakodowany jest na ścieżce drugiej paska magnetycznego karty i jest używany do transakcji wykonywanych z fizycznym użyciem karty. Celem kodu jest weryfikacja tego, czy karta płatnicza jest rzeczywiście w posiadaniu właściciela. Kod jest automatycznie wyszukiwany podczas przeciągania paska magnetycznego przez terminal płatniczy i jest weryfikowany przez wystawcę karty. Wadą tego kodu jest to, że jeśli cała karta została zduplikowana, a pasek magnetyczny skopiowany kod jest wciąż ważny.
  1. drugi kod, najczęściej „przywoływany”, to CVV2 i CVC2. Ten kod jest często wymagany przez sprzedawców w transakcjach bez fizycznego użycia karty wykonywanych przez maila, internet, faks czy telefon.
  1. bezdotykowe karty i chipy mogą dostarczać swoje kody (takie jak iCVV czy Dynamic CVV), które są generowane automatycznie.

Lokalizacja kodów CVV i CVC

Kod weryfikacyjny karty to zazwyczaj trzy albo cztery ostatnie cyfry wydrukowane (a nie wytłoczone) na pasku podpisu na odwrocie karty. Kod ten nie jest zakodowany na pasku magnetycznym tylko jest płasko wydrukowany.

  • Karty American Express mają czterocyfrowy kod wydrukowany na odwrocie karty powyżej numeru karty
  • Karty kredytowe i debetowe MasterCard, Visa, Diners Club, Discover i JCB mają trzycyfrowe kody weryfikacyjne CVC lub CVV. Wydrukowane kody są umiejscowione na stronie karty z miejscem na podpis jako końcowa grupa numerów.
  • Karty New North American MasterCard mają kody zlokalizowane w osobnym miejscu po prawej stronie paska do podpisu. Ma to zapobiec zacieraniu liczby przez podpis na karcie.

 

Zdjęcie przedstawiające lokalizację kodu CVV / CVC na karcie kredytowej

kod-cvv-cvc-lokalizacja

Korzyści stosowania kodów CVV2

Sprzedawcy, którzy wymagają kodu CVV2 / CVC2 przy transakcjach zdalnych zobligowani są przez wystawcę karty do nieprzechowywania kodu CVV2 po zrealizowanej transakcji. W ten sposób, jeśli baza danych jest ulegnie kradzieży,  kod CVV2 / CVC2 nie jest zawarty/widoczny i ukradzione numery karty są mniej użyteczne. Wirtualne terminale i bramki płatnicze nie przechowują kodów CVV2 / CVC2, a zatem pracownicy i przedstawiciele obsługi klienta, którzy maja dostęp do tych interfejsów płatności na stronach internetowych (web-based payment interfaces), mają dostęp do kompletnych numerów kart, daty ważności i innych informacji, ale wciąż nie znają kodu CVV2 / CVC2.

Standard ochrony informacji PCI DSS (Payment Card Industry Data Security Standard) także zakazuje przechowywania kodu weryfikującego (oraz innych danych wrażliwych) po autoryzacji wykonanej transakcji. Ma to zastosowanie na całym świecie do każdego, kto przechowuje, przetwarza i przekazuje dane posiadacza karty. Odkąd kod weryfikujący nie znajduje się na pasku magnetycznym karty, zazwyczaj nie jest zawarty w transakcji, kiedy karta jest używana w zakupie bezpośrednim. Jednak niektóre sklepy w Północnej Ameryce, takie jak Sears i Staples, wymagają kodu. Dla kart American Express od początku 2005 roku było to niezmienną praktyką (w zdalnych transakcjach) w krajach UE, takich jak Irlandia czy Wielka Brytania. Zapewnia to pewien poziom ochrony posiadaczowi karty w taki sposób, że nieuczciwy sprzedawca albo pracownik nie mogą po prostu przejąć danych o karcie z paska magnetycznego i użyć ich później do transakcji zdalnych przez telefon, mail albo internet. Żeby to zrobić sprzedawca albo jego pracownicy musieliby również zobaczyć CVV2 wizualnie i nagrać go, co najprawdopodobniej wzbudziłoby podejrzenia posiadacza karty.

Zastosowanie kodu CSC w transakcjach ma na celu zweryfikowanie, czy klient ma w posiadaniu kartę. Znajomość kodu dowodzi tego, że klient widział kartę albo dane spisane przez kogoś, kto widział kartę.

Wady stosowania kodów weryfikacyjnych

  • Używanie kodów weryfikacyjnych nie chroni przed oszustwem phishing’u (wyłudzanie poufnych informacji). Właściciel karty jest podstępnie proszony o podanie numeru weryfikacyjnego razem z innymi szczegółowymi informacjami dotyczącymi karty przez fałszywe strony internetowe. Zintensyfikowanie przypadków phishing’u zmniejszyło skuteczność kodów weryfikujących jako narzędzia do przeciwdziałania oszustwom związanym ze zdalnymi transakcjami. Obecnie mamy do czynienia również z oszustwem, podczas którego wyłudzacz poufnych informacji osobistych uzyskawszy numer karty (prawdopodobnie wskutek zhakowania bazy danych sprzedawcy albo z wadliwie wykonanego potwierdzenia) przekazuje informację ofierze oszustwa (wprowadzając ją w stan pozornego poczucia bezpieczeństwa) przed prośbą o podanie kodu weryfikującego (czyli tego, czego potrzebuje wyłudzacz).
  • Jako że kod nie może być przechowywany przez sprzedawcę po zakończonej transakcji, sprzedawca, który potrzebuje regularnie obciążać kartę za stały abonament nie jest w stanie wykorzystać kodu po pierwszej zakończonej transakcji. Jednakże bramki płatnicze odpowiedziały na tę potrzebę poprzez dodanie cech „okresowego rachunku” jako części procesu autoryzacyjnego.
  • Niektórzy wystawcy kart nie używają kodów weryfikujących. Jednakże jest bardziej prawdopodobnym, że po pierwsze transakcje bez tych kodów są poddane wyższym kosztom proceduralnym (koszty te ponosi sprzedawca) oraz po drugie nieuczciwe transakcje bez użycia kodów będą rozstrzygane na korzyść posiadacza karty
  • Nie jest koniecznym, żeby sprzedawca wymagał kodu zabezpieczającego do transakcji, stąd karta może być podatna na oszustwa, nawet gdyby tylko jej numer był znany wyłudzaczowi

Generacja/pokolenie kodów weryfikacyjnych

Kod weryfikacyjny CVV i CVC dla każdej karty jest generowany przez wystawcę kart w momencie wystawiania karty. Jest on obliczony/wykalkulowany na podstawie zaszyfrowania numeru bankowego karty, daty ważności oraz service code z szyfrowanym kluczem znanym tylko wystawcy karty, a następnie sprowadzony do postaci liczb dziesiętnych.


Kategoria:  Informacje

Odpowiedź do: Kod CVV, CVV2 oraz CVC, CVC2

  1. Borek 2 lutego 2016

    Trochę to zagmatwane, ale jak się ktoś wczyta, to faktycznie można się czegoś dowiedzieć. W ogóle nigdy nie słyszałem o kodach CVC2 i CVV2 🙂

     

Dodaj komentarz