Cvc что это при оплате: Запрашивают номер карты и cvc-код, безопасно ли это? – Путеводитель от Михаила Шварца

Содержание

Как безопасно платить в интернете? — Meduza

1

Почему люди боятся платить в интернете?

Люди боятся оставлять в сети свои персональные данные (скажем, номер банковской карты), потому что не хотят стать жертвами мошенников. Согласно исследованиям 2005 года, четверть пользователей прерывали покупки в интернете, когда сталкивались с необходимостью доверить личные данные интернет-магазину. Боязнь онлайн-покупок даже описана в нескольких научных работах как фобия. И все же с годами люди все меньше боятся онлайн-платежей. Например, по данным TNS 2014 года около половины россиян хотя бы раз совершали покупки в интернете.

2

Какие данные нужно вводить при оплате картой в интернете?

Банки и платежные системы требуют вводить при оплате картой имя и фамилию владельца, номер карты, код проверки подлинности карты (трехзначный код на оборотной стороне) и срок ее действия. Код проверки подлинности — CVC или CVV2 — служит дополнительной защитой от мошенничества: если кто-то украдет у вас 16-значный номер и другую информацию с лицевой стороны карты, воспользоваться деньгами без трехзначного кода не получится. Если все эти данные попадают в руки хакеров — это проблема. Но чаще всего компании не хранят весь набор данных в одной базе. Например, в 2011 году хакеры украли сотни тысяч номеров банковских карт Citibank, но в компании сразу сообщили, что сроки действия карт и трехзначные коды взломщикам не достались. 

3

Зачем нужно вводить все эти данные?

Парадокс в том, что данные, которые люди так боятся вводить при оплате, нужны как раз для того, чтобы оградить их от мошенничества. У платежных систем Visa и MasterCard (мы рассказываем только о них, потому что они контролируют почти весь российский рынок) есть системы безопасности — 3D Secure и SecureCode. Эти системы позволяют банку подтвердить, что оплату совершает именно владелец, а не тот, кто незаконно завладел картой или данными с карты. Платежная система просит ввести одноразовый пароль — банк может выслать его в сообщении на номер телефона, который вы указали при регистрации счета. Некоторые банки заранее выдают клиентам набор одноразовых паролей или специальный гаджет, который их генерирует. Некоторые банки выдают набор многоразовых паролей — это наименее безопасный вариант. Мошенник может похитить вашу карту и попытаться купить от вашего лица что-нибудь в интернете, но если он не получит одноразового пароля, у него ничего не получится. При оплате магазины перенаправляют покупателей на страницу банка, чтобы те могли ввести пароль. Если происходит как-то по-другому, это, возможно, означает, что магазин не поддерживает систему 3D Secure/SecureCode.

4

А если интернет-магазин не поддерживает 3D Secure?

Тогда достаточно обычного набора данных, который содержится на вашей карте. В таком случае злоумышленник может купить что-то в этом магазине без дополнительного пароля. Но таких магазинов становится все меньше, потому что не поддерживать 3D Secure невыгодно — в этом случае компаниям приходится из своего кармана возмещать ущерб от мошенничества. И все же такие магазины есть, так что риск, что с вашей карты спишут деньги другие люди, сохраняется. Узнать, поддерживает ли интернет-магазин систему 3D Secure можно по логотипу на сайте:

5

Как уменьшить риск, что с вашей карты что-то купят преступники?

Лучше не хранить мобильный телефон или гаджет для генерации паролей в одной сумке с кошельком. Не стоит хранить в кошельке и платежную карту, и карту с набором одноразовых паролей. И еще: 90% российских банков присылают временные пароли по смс. Если вы часто бываете за рубежом и используете местную сим-карту, лучше попросить у банка гаджет для генерации паролей. Такой способ считается самым надежным, поэтому при его использовании многие банки повышают лимиты по операциям.

Если вы боитесь публиковать в интернете данные вашей основной банковской карты, можно завести специальную виртуальную карту для покупок в сети. Такую карту выпускают и Visa, и MasterCard. Это карта не привязана к вашему основному счету. Перед каждой покупкой на нее нужно переводить необходимую сумму. Виртуальная карточка очень дешевая в обслуживании, но в обычных магазинах ей расплатиться невозможно. 

6

Можно ли безопасно платить в интернете, не вводя каждый раз кучу данных?

Есть разные электронные платежные системы (например, «Яндекс.Деньги» или PayPal), которые упрощают процедуру покупки в интернете. Покупателю не нужно каждый раз писать все персональные данные — системе они уже известны. Нужен только логин/пароль и в некоторых случаях — одноразовый пароль 3D Secure.

7

А если я все-таки обнаружил, что с моего счета кто-то совершил покупку без моего ведома?

Срочно обращайтесь в свой банк — по закону, именно банк несет за это ответственность и должен возместить ущерб, если не сможет доказать, что вы сами во всем виноваты. В случае, если покупка сделана в магазине, который не поддерживает 3DSecure/SecureCode, банк может потребовать эти деньги у магазина. Если вы опоздаете и обратитесь позже, чем через день после списания, банк вправе отказаться от возмещения убытков.

Действительно ли код CVC гарантирует пользователю безопасность платежной карты?

Преимущества наличия кода CVC у вашей платежной карты огромны. Однако есть другая сторона медали.

Преимущества наличия кода CVC у вашей платежной карты огромны. Прежде всего, это создает еще один барьер, который повышает безопасность карты и препятствует действиям мошенников, которые получают еще одну уникальную маркировку, исключая возможность мошенничества. Все, что вам нужно сделать, это не вводить трехзначный код, и мобильный платеж не может быть завершен. Таким образом, код CVV / CVC не только обеспечивает большую безопасность для владельца карты, но также является фактором, который определяет, будет ли производиться оплата в Интернете.

Однако есть другая сторона медали. Недостаток кода CVV / CVC заключается в том, что он короткий и размещен в месте, которое может быть прочитано нежелательной третьей стороной. Хотя запоминание номера карты на первый взгляд станет проблемой для большинства людей, а трехзначный код — запомнить легко. По этой причине стоит помнить о соблюдении основных мер безопасности при использовании карты. Защищая все данные, он также защищает конфиденциальность кода CVV / CVC.

В дополнение к обратному, то есть к обратной стороне карты, на которой расположен обсуждаемый в тексте код CVV / CVC, для полной картины стоит обсудить вторую часть платежной карты. В конце концов, ее первая сторона чаще всего видна на фотографиях, и именно с этой точки зрения мы чаще всего смотрим на эту тему, чтобы найти соответствующую информацию. На лицевой стороне платежной карты их много, поэтому ниже мы представим ее подробные характеристики.

Название банка. В случае дебетовых и кредитных карт, они всегда выдаются банком. По этой причине логотип или название всегда четко отображаются в верхней части, что обычно связано с графическим оформлением карты. В зависимости от банка фон карты может быть сделан из случайного расположения рисунков, геометрических фигур и даже определенных фотографий или графики, выбранных клиентом. Службы персонализации предназначены для поощрения потребителей к получению карты в данном банке.

Чип. Расположенный слева, он имеет форму золотого прямоугольника и является одной из важнейших функций безопасности платежной карты. Он должен быть защищен от ссадин и других повреждений, хотя полное разрушение микросхемы невозможно.

Номер карты. Самый важный элемент, доказывающий уникальность карты. Он состоит из уникальной строки из 16 цифр, которую можно разделить на 4 сегмента. Первая цифра — это отраслевой идентификатор. Еще пять, идентификационный номер экспонента. Следующие девять, идентификационный номер владельца карты. Последний, в свою очередь, означает контрольную цифру. Номер карты является особенно конфиденциальным.

Срок действия карты. Каждая карта выдается на определенный период времени, который истекает после года и месяца, указанных на карте.

Имя владельца. Платежная карта выдается по имени, на имя и фамилию владельца, указанные в заявке. Потребитель может оставить за собой право не включать эту информацию.

Логотип организации оплаты. В наших условиях это VISA или Master Card. Платежные организации имеют международный охват и связывают разных эмитентов карт.

Как упоминалось выше, очень короткий код CVV / CVC — это данные, для которых необходима конфиденциальность. Таким образом, этот принцип применяется в большей степени ко всей информации на карте и ее функциям. Они приводят к тому, что пользователь карты всегда должен соблюдать основные меры безопасности.

Если вы потеряли карту или подозреваете, что ее данные попали в чужие руки, заблокируйте ее как можно скорее. Сегодняшние банковские услуги позволяют сделать это с помощью быстрого телефонного звонка или SMS. Таким образом, после блокировки карта станет бесполезной и защищенной от мошенников.

Что такое CVC/CVV? — tokenex

Задумывались ли вы, какие 3-х или 4-значные числа указаны на оборотной стороне вашей дебетовой или кредитной карты? Имея более полумиллиона счетов кредитных карт в 2021 году, американские потребители регулярно открывают и используют карты для оплаты товаров и услуг. При совершении покупки в Интернете или по телефону держателей карт обычно просят предоставить стандартную информацию, включая имя держателя карты, номер карты, срок действия и код CVV или CVC. Продолжайте читать, чтобы узнать, что представляют собой эти коды карт и как они помогают защитить конфиденциальные платежные данные держателей карт.

Что такое номер CVV/CVC?

Значение подтверждения карты (CVV) или код подтверждения карты (CVC) относится к коду безопасности, напечатанному на кредитных или дебетовых картах. В частности, коды CVV и CVC предназначены для проверки транзакций без карты. Запрос проверки помогает продавцам определить, является ли покупка законной или нет, что особенно важно, когда владелец карты не может предоставить PIN-код или подпись. Каждая карточная сеть использует свое имя для этого кода, но все они означают одно и то же и имеют одну и ту же цель — помочь защитить платежные реквизиты держателей карт от мошенничества с картами или фишинга. Например, MasterCard называет код CVC или CVC2, American Express (AMEX) использует код CID, Discover называет их код CID2, а Visa называет их CVV или CVV2. Что касается бесконтактных карт, то эти карты содержат чипы с кодами безопасности, которые называются Dynamic CVV или iCVV.

Где найти CVV/CVC?

Поскольку эти коды обычно запрашиваются, когда клиент покупает что-либо по телефону или в Интернете, полезно знать, где их найти. Visa, MasterCard и другие карты используют 3-значный код, который можно найти на обратной стороне кредитной или дебетовой карты на белой полосе для подписи с правой стороны. American Express использует 4-значный код, который можно найти на лицевой стороне карты, чуть выше и правее номера карты.

Как коды CVV/CVC защищают информацию о карте?

Коды CVV и CVC защищают данные карты, предоставляя продавцам дополнительный уровень аутентификации платежа. Когда клиенты совершают транзакции без предъявления карты (например, по телефону, через Интернет или продавец вручную вводит номера карт в POS-терминал), обычно продавцы обязаны запрашивать CVV или CVC-код держателя карты. Проверяя этот код, продавец и другие соответствующие организации (например, PSP и банк-эмитент) могут определить, соответствует ли код карте, использованной для совершения покупки. Если код безопасности совпадает, транзакция авторизуется и утверждается. Однако код безопасности, который не соответствует соответствующей дебетовой или кредитной карте, немедленно отклонит ожидающую транзакцию. Действительно, продавцы могут использовать эти коды для предотвращения мошенничества с картами и комиссий за возврат средств, а также для обеспечения соответствия требованиям PCI. В конце концов, киберпреступникам не удастся совершить мошенничество с онлайн-картами, если у них нет ключевых данных для совершения покупок, таких как коды CVV/CVC, PIN-коды или данные магнитной полосы.

Помимо повышения безопасности платежей, эти коды также помогают предотвратить комиссию за возврат средств для продавцов. Возвратный платеж происходит, когда клиент запрашивает, чтобы его банк-эмитент возместил транзакцию по разным причинам, таким как мошенничество с картами, поврежденные продукты или завышение цены за продукты или услуги. Поскольку владельцу карты необходим код CVV или CVC для размещения онлайн-заказа, это может помочь защитить продавцов от «дружественного мошенничества», например, когда покупатель утверждает, что он не совершал покупку, хотя она и была.

Токенизация платежей может помочь Для продавцов конфиденциальные данные клиентов включают номера кредитных карт, номера банковских счетов, имена, адреса и т. д. Чтобы защитить платежные реквизиты клиентов, организации, использующие токены, не раскрывают конфиденциальную информацию, которая может быть скомпрометирована в результате утечки данных.
Маркеры обычно содержат от тринадцати до девятнадцати буквенно-цифровых символов. Эти токены можно хранить и получать к ним доступ во внутренних системах организации, в то время как исходные данные хранятся в защищенной внешней среде.

В отличие от шифрования, токенизация создает уникальные и необратимые токены. Поскольку токены не имеют прямого отношения к исходным данным, их нельзя вернуть в исходную форму. Даже если организация пострадает от взлома, конфиденциальные данные карты не будут скомпрометированы благодаря токенизации платежей. В свою очередь, это поможет предотвратить компрометацию бизнесом данных карт клиентов киберпреступникам.

Мы надеемся, что эта статья помогла объяснить код CVC/CVV, где найти эти коды и почему они необходимы. Хотя может быть сложно следить за различными терминами, используемыми основными брендами карт, помните, что все эти коды служат одной цели — помочь подтвердить транзакции без карты. Поскольку мошенничество с онлайн-картами продолжает оставаться серьезной проблемой на рынке электронной коммерции, предприятия должны уделять первоочередное внимание защите платежных данных своих клиентов. Свяжитесь с TokenEx сегодня, чтобы узнать больше о том, как наши услуги по токенизации платежей могут помочь вам в достижении ваших бизнес-целей, поддержании критически важных бизнес-полезностей, обеспечении соответствия PCI и предотвращении мошенничества с картами и сборов за возврат средств.

Платеж серии 101 — объяснение кода подтверждения карты (CVC)/значения подтверждения карты (CVV) | by Ruimin Yang

Значение подтверждения карты (CVV) или код подтверждения карты (CVC) — это проверка криптографической целостности содержимого платежной карты. CVV/CVC был разработан для упрощения аутентификации данных платежной карты, в частности PAN и даты истечения срока действия, когда он получен банком-эмитентом во время авторизации транзакции.

Говоря очень простым и нетехническим языком, CVC/CVV используется для подтверждения того, что комбинация PAN (номер вашей карты) и даты истечения срока действия не была скомпрометирована кем-либо во время обработки. Например. как эмитент, если я получил транзакцию с карты 52201234162811 со сроком действия 25.

12, как я могу быть уверен, что эти номера не были изменены кем-либо в цепочке обработки? Да, ответ — проверить CVV/CVC! Почему? Потому что только в том случае, если эти номера не были изменены, я могу получить тот же код CVV/CVC. Как? Путем пересчета CVV/CVC по номеру карты и сроку действия. Если результат совпадает с полученным CVV/CVC, я могу быть уверен, что данные никто не скомпрометировал. Примечание: не гарантирует, что карта использовалась подлинным держателем карты.

CVV/CVC изначально был введен для транзакций с магнитной полосой, где он называется «CVV1» или «CVC1», в зависимости от схемы. Это хэш из трех данных: PAN, дата истечения срока действия и сервисный код (3-значный код для определения правил эмитента на карте, например, ограничение на международное/внутреннее использование, онлайн/офлайн-аутентификация и PIN-код). CVV1/CVC1 хранится на магнитной полосе банковской карты вместе с PAN, сроком действия и сервисным кодом. В момент платежной операции магнитный считыватель терминала считывает информацию с магнитной полосы и передает ее эмитенту.

Затем эмитент будет использовать CVV1/CVC1 для проверки целостности.

Позже был введен еще один CVV/CVC, также известный как CVV2 или CVC2, для помощи в проверке целостности транзакций электронной коммерции, поскольку (обычные) люди не могут прочитать информацию CVV1/CVC1 на магнитной полосе. CVV2/CVC2 использует тот же алгоритм, что и CVV1/CVC1, но с немного другими входными данными, а именно: PAN, срок действия и фиксированный 3-значный код «999», а не сервисный код. Одна из причин заключается в том, что код услуги не передается в транзакции электронной коммерции. Другая причина заключается в обесценивании CVC, чтобы его нельзя было использовать в других каналах. Например. если кому-то удалось перехватить ваши данные CVC1 и PAN с магнитной полосы, они не могут быть использованы для транзакции электронной коммерции, и наоборот.

Когда для платежей используются чиповые карты и бесконтактные технологии, вводится другой код CVV/CVC, который называется CVC3/CVV3 или динамический CVV. Одним из недостатков CVV1 и CVV2 является то, что они неизменны в течение всего срока службы, поскольку генерируются эмитентом карты один раз и предоставляются на карту. Чтобы использовать вычислительную мощность смарт-карты, генерация CVC3 является динамической в ​​момент взаимодействия карты с терминалом, где используется схема запрос-ответ. Например. терминал отправляет на карту случайный 3-значный код, а затем карта генерирует CVC3, используя криптографический ключ, который надежно хранится в чипе.

Важное примечание: это не то, как работает транзакция с реальной фишкой (EMV)! Это всего лишь режим обратной совместимости, реализованный в чип-карте, известный как режим магнитного листа.

Ниже приведен краткий обзор стандартного алгоритма CVC. алгоритм основан на Tripple-DES с ключами двойной длины. Если вы не знаете об этом сейчас, проверьте ссылку здесь: https://en.wikipedia.org/wiki/Data_Encryption_Standard ( Примечание: все значения фиктивные):

1. Объединить PAN, дату истечения срока действия и сервисный код

50339600000005180047140000000000

2. Поместить результаты в 128-битное поле, затем дополнить нулями, чтобы заполнить все оставшиеся биты, а затем разделить блок на два 64-битных блока. подблоки

Блок 1= 5033960000000518

Блок 2 = 00471400000000000

000518 зашифровать ключом A = 12345678

456

Результат = AC126C38B07712F2

4. Выполните XOR результата шага 3 с Блоком 2 0002 Результат = 4A1712CA23C2120D

5. Зашифровать результат шаг 4 с ключом A

Результат шага 4 = 4A1712CA23C2120D зашифровать ключом A = 12345678

456

Результат = 12CB2A97651DE57F

6. Расшифровать результат шага B0032

Результат шага 5 = 12CB2A97651DE57F расшифровать с помощью ключа B = 1122334455667788

Результат =C4D2FFE1238202DC

7. Зашифровать результат шага 6 с помощью ключа 2 9003

шаг 6 = C4D2FFE1238202DC зашифровать ключом A = 12345678

456

Результат = 546F98F273ADE1AA

8.