CVV2: различия между версиями
[непроверенная версия] | [отпатрулированная версия] |
Строка 13: | Строка 13: | ||
* Механизм CVV2 не может защитить от [[фишинг]]а, когда введённый в заблуждение владелец карты, среди прочих её параметров, вводит CVV2 номер |
* Механизм CVV2 не может защитить от [[фишинг]]а, когда введённый в заблуждение владелец карты, среди прочих её параметров, вводит CVV2 номер |
||
* Поскольку код CVV2 не может храниться продавцом в течение даже короткого времени (после того как авторизация с использованием CVV2 завершена — таковы требования стандарта [[PCI DSS]]), то продавцы, которые должны регулярно списывать деньги с карты за какую-либо услугу, не могут использовать CVV2 для последующих транзакций. К числу таких продавцов относятся многие популярные интернет-сервисы, такие как [[iTunes]], [[PayPal]], [[PlayStation Network]], [[Steam]]. |
* Поскольку код CVV2 не может храниться продавцом в течение даже короткого времени (после того как авторизация с использованием CVV2 завершена — таковы требования стандарта [[PCI DSS]]), то продавцы, которые должны регулярно списывать деньги с карты за какую-либо услугу, не могут использовать CVV2 для последующих транзакций. К числу таких продавцов относятся многие популярные интернет-сервисы, такие как [[iTunes Store]], [[PayPal]], [[PlayStation Network]], [[Steam]]. |
||
* Если банк-эмитент требует CVV2 для авторизации всех интернет-транзакций, то он тем самым не позволяет использовать свои карты для оплаты указанных сервисов. Такого недостатка, как правило, лишены [[виртуальная карта|виртуальные карты]]. Риск, связанный с необязательностью проверки CVV2, компенсируется в этом случае возможностью ограничить доступный лимит виртуальной карты небольшой суммой. |
* Если банк-эмитент требует CVV2 для авторизации всех интернет-транзакций, то он тем самым не позволяет использовать свои карты для оплаты указанных сервисов. Такого недостатка, как правило, лишены [[виртуальная карта|виртуальные карты]]. Риск, связанный с необязательностью проверки CVV2, компенсируется в этом случае возможностью ограничить доступный лимит виртуальной карты небольшой суммой. |
||
Версия от 10:02, 11 ноября 2011
CVV2 (Card Verification Value 2) — трёхзначный или четырёхзначный код проверки подлинности карты платёжной системы Visa. Другие платёжные системы имеют сходные технологии, к примеру аналогичный защитный код для карт MasterCard носит название Card Validation Code 2 (CVC2). Наносится на полосу для подписи держателя после номера карты либо после последних 4 цифр номера карты способом индент-печати. Используется в качестве защитного элемента при проведении транзакции в среде CNP (card not present). Например — e-commerce (интернет), MO/TO (Mail order/Telephone order).
Номер CVV2 не следует путать со стандартным номером карты, наносимым эмбоссированием или индент печатью. Стандартный номер карты проверяется на корректность отдельным алгоритмом, который называется алгоритм Луна.
Цифра 2 в названии кода вызвана тем, что есть и «первый» защитный код, используемый для верификации в транзакциях с физическим использованием карты. CVV/CVC код записывается на магнитную полосу.
Даже в случае, если CVV2-код на карте не указывается (карты Visa Electron с «маскированным» номером, нанесённым на карточку не полностью, к примеру только последние 4 цифры), он всё равно создаётся при выпуске карты.
Наличие CVV2-кода на карте не является ни необходимым, ни достаточным условием для совершения платежей в Интернете. Запрос CVV2 с одной стороны — это право, а не обязанность продавца (поэтому не необходимо). С другой стороны, этот вид транзакций может быть запрещен для конкретного вида карт банком-эмитентом (поэтому не является достаточным).
Ограничения CVV2
- Механизм CVV2 не может защитить от фишинга, когда введённый в заблуждение владелец карты, среди прочих её параметров, вводит CVV2 номер
- Поскольку код CVV2 не может храниться продавцом в течение даже короткого времени (после того как авторизация с использованием CVV2 завершена — таковы требования стандарта PCI DSS), то продавцы, которые должны регулярно списывать деньги с карты за какую-либо услугу, не могут использовать CVV2 для последующих транзакций. К числу таких продавцов относятся многие популярные интернет-сервисы, такие как iTunes Store, PayPal, PlayStation Network, Steam.
- Если банк-эмитент требует CVV2 для авторизации всех интернет-транзакций, то он тем самым не позволяет использовать свои карты для оплаты указанных сервисов. Такого недостатка, как правило, лишены виртуальные карты. Риск, связанный с необязательностью проверки CVV2, компенсируется в этом случае возможностью ограничить доступный лимит виртуальной карты небольшой суммой.
Дальнейшее развитие
Для того, чтобы подтвердить аутентичность предъявителя данных карты в сети, в настоящее время рассматриваются другие возможности, прежде всего связанные с получением некоего кода или запроса другим способом, заранее согласованным законным держателем карты и банком. Например, использование разового пароля, полученного в банкомате или посредством SMS, подтверждение транзакции в системе интернет-банкинга банка-эмитента карты или на отдельном защищённом сайте. Данный комплекс мер носит название (в зависимости от платёжной системы) 3-D Secure, MasterCard Security Code, Verified by Visa.
В статье не хватает ссылок на источники (см. рекомендации по поиску). |