Что такое коды CVV2/CVC2 и для чего они нужны
Бробанк: при помощи этого трехзначного кода проверяется подлинность банковской карты. Единого кода не существует: каждая платежная система использует свой отдельный классификатор.
Коды у крупнейших платежных систем:
- CVV2 (card verification value 2) — проверочный код VISA.
- CVC2 (card validation code 2) — проверочный код Mastercard.
- CVP2 (card verification parameter 2) — проверочный код НСПК МИР.
- CVN2 (card validation number 2) — проверочный код China UnionPay.
- CSC (card security code 2) — проверочный код American Express.
Крупнейшие мировые платежные системы используют этот метод проверки карты для того, чтобы снизить количество мошеннических действий при дистанционных вариантах оплаты. Каждой выпущенной карте эмитент присваивает уникальный код, который в связке с номером карты никогда не повторяется.
На карте они отображаются в виде цифр: для проведения какой-либо операции необходимо указать 3 последние цифры кода. Остальные цифры кода закрыты, и при оформлении операций не используются.
Ключевое назначение защитного кода — проверка подлинности карты по CNP операциям. Данные аббревиатура расшифровывается как «card not present», — операция без присутствия карты (без физического контакта с платежным терминалом).
Защитные коды по операциям card not present
Примерно половина операций по банковским картам проводится дистанционно — в сети интернет. Огромное множество интернет-магазинов предлагают услуги и товары по любому клиентскому запросу. Владельцы банковских карт могут приобретать необходимую продукцию, физически не контактируя с продавцом. Этой лазейкой долго пользовались мошенники, которые умудрялись перехватывать информацию по карте, и далее получать реквизиты доставки уже оплаченного покупателем товара.
Еще одной проблемой выступала подделка банковских карт, которая была крайне распространена до изобретения защитных кодов. К примеру, сделав дубликат карты, и используя дополнительные технологии, мошенники могли получить доступ к счету держателя. Сейчас подобное невозможно: эмитент сразу распознает подделку, так как двух идентичных защитных кодов в связке с номером карты, быть не может. При совершении операций card not present, продавец, как правило, запрашивает следующие данные:
- Номер карты (PAN).
- Срок действия карты (expired).
- Верификационный код.
Естественно, что эти меры не могут гарантировать продавцу, что на другом конце с ним контактирует именно владелец банковской карты, а не постороннее лицо. Поэтому в список можно добавить и использование защитной технологии 3-D Secure. Эта технология подразумевает подтверждение операции или транзакции посредством смс-сообщения, приходящего на телефон привязки. Так вероятность мошенничества заметно снижается.
Отличие верификационных кодов от ПИН-кодов
Некоторые пользователи путают эти два числовых значения. Верификационный код и ПИН-код — не одно и то же. В частности, ПИН-коды используются только при операциях с непосредственным физическим использованием банковской карты. К примеру, без него не получится снять деньги в банкомате или расплатиться через банковский терминал в магазине.
По картам VISA предусматривается офлайн оплата без введения ПИН-кода. Такое возможно по отдельным видам карт, когда совокупная сумма одной покупки составляет не более 1000 рублей. При офлайн операциях верификационные коды не применяются. И наоборот, для удаленных транзакций ПИН-коды никогда не применяются.
Следовательно, можно утверждать, что ключевое значение по удаленным операциям играет верификационный код, а по офлайн операциям — ПИН-код. Одновременно эти два значения никогда не применяются. Более того, они предназначены для совершенно разных функций.
Если ПИН-код в интернете указывать нет смысла, то без кодов CVV2 будет крайне проблематично совершить какую-либо операцию. Первое значение изначально никогда и никому не нужно раскрывать: его знать должен только держатель карты. Для третьих лиц и банковских сотрудников эта информация должна быть недоступной.
Где находятся коды CVV2
Важной особенностью верификационных кодов является их отображение на физическом носителе. На оборотной стороне карты данные коды указываются в нескольких вариантах. Наиболее частые разновидности отображения кодов CVV2:
- На оборотной стороне карты после номера — код отображается через пробел в одной строке с номером карты.
- На оборотной стороне карты в строке проставления росписи держателя карты — в правом нижнем углу три цифры.
Есть несколько типов банковских карт, на которых CVV2 не отображается. Но это не означает, что его нет по карте фактически. Он есть, но эмитент в целях безопасности решил не указывать значение на физическом носителе. Такой вариант безопаснее, но не всегда удобнее. Часто держатели таких карт попросту забывают верификационный код, что приводит к нежелательным последствиям. К примеру по картам Visa Electron ни коды CVV2, ни номера не указываются. Именно поэтому такие карты сейчас не пользуются большой популярностью среди потребителей.
При этом наличие верификационного не является ни обязательным, ни достаточным обстоятельством. Продавцы могут его запрашивать, а могут и не запрашивать. Это их право, а не обязанность. С другой стороны некоторые банки запрещают подобные транзакции, когда продавец запрашивает верификационный код. Поэтому его значимость прослеживается только в связке с остальными реквизитами банковской карты.
Если CVV2 код попадает третьим лицам, то ничего критичного в этом не будет. Его разглашать нежелательно, но сам по себе этот код не будет иметь никакого значения, без остальных реквизитов банковской карты. В отличие от ПИН-кода, к сохранности которого следует подходить крайне серьезно.
Как обойти ввод CVV2
Если код на карте присутствует, то с его вводом не будет никаких проблем. Достаточно вписать три цифры в нужную строку при оформлении транзакции. Если кода на карте нет, то обойти это правило не получится. Большинство крупных интернет-магазинов работают именно по такому принципу. В первую очередь такая форма взаимодействия направлена на противодействие мошенничеству.
Злоумышленнику понадобится узнать только номер карты и срок ее действия. Если интернет-магазин к тому же не использует технологию 3-D Secure, то доступ к счету карты будет практически полностью открыт. Но сейчас хотя бы с одной из указанных степеней безопасности работает большинство торговых точек в интернете.
Ограничения и недостатки кодов CVV2
При достаточно больших затратах на обеспечение действия функционала верификационных кодов, их эффективность продолжительное время ставится под вопрос. В первую очередь, эти коды не защищают держателей карт от фишинга.
Банки-эмитенты заранее прописывают в пользовательских соглашениях, что по операциям с вводом CVV2 кодов они не несут и не могут нести никакой ответственности.
Следовательно, если держатель карты стал жертвой мошеннических действий, но при оформлении транзакции он ввел верификационный код, значит, что ответственность банка здесь полностью исключается. И в подавляющем большинстве случаев вернуть деньги у клиента не получится: он самостоятельно подтвердил операцию, поэтому винить кредитную организацию нет смысла.
Еще одним недостатком в использовании CVV2 кодов считается их сохранность в течение длительного времени после авторизации и первого проведения какой-либо транзакции. К примеру, такая практика используется большинством крупнейших интернет-служб:
- iTunes Store.
- PlayStation Network.
- Steam.
Если пользователь оформляет какую-либо подписку, то после проведения первой операции средства в дальнейшем будут списываться автоматически. Такая форма противоречит международному стандарту PCI DSS, но несмотря на это широко используется интернет-магазинами. Часто пользователи забывают о том, что оформили платную подписку, и деньги списываются с их карты без всякого смс-подтверждения или дополнительного уведомления. В этой связи с банками у клиентов возникают частые разногласия.
Что такое динамический CVV2 код
Это новейшая разработка, пока не получившая большого распространения. Но в будущем она без сомнений будет использоваться всеми эмитентами. Под динамическим CVV2 кодом понимается непостоянный характер этого значения. Если на обычных картах он не подлежит замене в течение всего срока действия карты, то по новой технологии код будет периодически меняться. Это будет возможно при помощи размещения на физическом носителе карты небольшого дисплея.
На этом миниатюрном дисплее будут отражаться три последние цифры верификационного кода. Банк-эмитент будет периодически менять код верификации, поэтому цифры будут отображаться всегда разные. Dynamic Code Verification будет отображаться как на мини-дисплеях, встроенных в оборотную сторону карты, так и на экранах специальных приложений, которые держатель карты сможет свободно скачать
Комментарии: 0