Код проверки подлинности карты (CVV)
Что такое код проверки подлинности карты CVV и как он защищает нашу карту?
Код проверки подлинности карты CVV (Card Verification Value) — это 3–4‑значный проверочный код, напечатанный на кредитных и дебетовых картах. Его задача — подтверждать операции в формате Card‑Not‑Present (CNP): онлайн‑покупки, платежи по телефону или по почте, когда карта физически не предъявляется.
Этот код не записывается ни в магнитную полосу, ни в чип EMV. Если злоумышленник клонирует карту с помощью скимминга, он получает PAN и срок действия, но не CVV. Такое разделение делает проверочный код последним барьером против мошенничества в ecommerce.
Каждая платёжная сеть использует собственное обозначение: Visa — CVV2, Mastercard — CVC2, American Express — CID. Техническая функция одинакова во всех случаях.
Как работает CVV
Процесс проверки при онлайн‑покупке выглядит так:
- Торговец запрашивает CVV вместе с PAN, сроком действия и именем держателя.
- Платёжный шлюз передаёт данные эквайеру, который отправляет их в платёжную сеть.
- Эмитент сравнивает полученный код со значением, хранящимся в его системе, и возвращает результат проверки (совпадает, не совпадает, не обработано).
- Если код не совпадает, операция отклоняется до этапа авторизации.
Существует три типа CVV:
- CVV1 (CVC1): записан в магнитной полосе. Считывается автоматически при офлайн‑платежах через терминал. Держатель карты никогда не вводит его вручную.
- CVV2 (CVC2): напечатан на обратной стороне карты (или на лицевой у American Express). Используется в онлайн‑платежах.
- Динамический CVV: генерируется в приложении банка‑эмитента и действует 5–10 минут. Каждый платёж использует новый код, что делает бесполезными ранее перехваченные данные.
Стандарт PCI DSS v4.0, требование 3.3.1.2, строго запрещает хранить проверочный код карты после завершения авторизации. Запрет распространяется на базы данных, журналы транзакций, файлы отладки и дампы памяти.
Нормативные требования и безопасность
CVV классифицируется как чувствительные данные аутентификации (SAD) по PCI DSS. Норматив различает данные держателя карты (PAN, имя, срок действия) и чувствительные данные аутентификации (CVV, PIN, данные магнитной дорожки).
Ключевые обязательства:
- PCI DSS v4.0: SAD нельзя хранить после авторизации — даже в зашифрованном виде. Исключение — только для эмитентов при наличии обоснованной необходимости.
- PSD2 и усиленная аутентификация (SCA): один CVV не является SCA. Онлайн‑платежи в ЕЭЗ требуют минимум двух факторов, обычно через 3‑D Secure.
- RDL 19/2018: имплементирует PSD2 в Испании и регулирует требования к усиленной аутентификации.
Комбинация CVV + 3‑D Secure переносит ответственность за мошенничество (liability shift) с торговца на эмитента в случае чарджбэка.
Преимущества и ограничения
| Аспект | Преимущество | Ограничение |
|---|---|---|
| Мошенничество CNP | Блокирует операции с украденными данными, если злоумышленник не знает CVV | Не защищает от фишинга, когда держатель сам сообщает код |
| Конверсия | Повышает доверие без лишнего трения | Некоторые пользователи не находят код и бросают покупку |
| Соответствие PCI | Снижает зону PCI, так как SAD не хранятся после авторизации | Невозможно выполнять рекуррентные списания только по CVV — требуется токенизация |
| Динамический CVV | Код действует несколько минут, исключая повторное использование | Зависит от доступа держателя к приложению банка |
Для рекуррентных платежей и подписоктокенизация заменяет CVV. Токен позволяет проводить списания без запроса кода при каждой операции, соблюдая PCI DSS и сохраняя высокий уровень одобрения.
Был ли этот термин полезным?
Оставить комментарий