Czym jest kod CVC?
Kody bezpieczeństwa karty służą jako dodatkowe zabezpieczenie przed realizacją nieautoryzowanych transakcji. W zależności od organizacji płatniczej, która wydaje kartę, oznaczenie będzie nieco inne.
VISA posługuje się pojęciem Card Verification Value (CVV). MasterCard wykorzystuje termin Card Verification Code (kod CVC), a American Express oznacza swoje kawałki plastiku za pomocą Card Identification Number (CID). Organizacja Maestro nie ma oznaczenia kodu weryfikacyjnego.
Bez względu na nomenklaturę wszystkie kody pełnią jednak podobną funkcję – dodatkowego identyfikatora płatności i zabezpieczenia wrażliwych danych przed dostępem osób trzecich. Teoretycznie oznaczeń kodów bezpieczeństwa CVC, CVV i CID dla ułatwienia można używać wymiennie, ale jest to nieprecyzyjne.
Rodzaje kodów bezpieczeństwa karty
Kod bezpieczeństwa karty CVC1
Zabezpieczenie pierwszego poziomu stosuje się podczas płatności zbliżeniowych lub tradycyjnych w punktach handlowych. Może to być np. VISA PayWave lub Mastercard Paypass. Zazwyczaj w ten właśnie sposób płacisz w sklepie, dokonując płatności zbliżeniowych.
Cały proces polega na odczycie przez terminal informacji zapisanych w magnetycznym pasku, który znajduje się na rewersie karty. Z jednej strony moduł NFC pozwala na zrealizowanie transakcji zbliżeniowej, z drugiej – kod bezpieczeństwa weryfikuje integralność i kompletność danych. Zarówno karta, jak i terminal muszą spełniać wymagania normy ISO 7813.
Bank autoryzujący transakcję otrzymuje odczyt zakodowanej informacji. W ten sposób jest w stanie ją śledzić (np. w razie zgłoszenia żądania obciążenia zwrotnego Chargeback).
Kod CVC1 zabezpiecza też instytucję finansową oraz użytkownika przed podrobieniem karty. O ile takie dane jak imię, nazwisko, data ważności czy numer rachunku można skopiować stosunkowo łatwo, o tyle odwzorowanie CVC1 jest trudniejsze. Nie ma on fizycznej postaci, ale jest zakodowany na magnetycznym pasku znajdującym się na spodniej stronie plastiku.
Kod bezpieczeństwa karty CVC2
Kod CVC2 jest wykorzystywany w transakcjach typu CNP (ang. Card Not Present), kiedy posiadacz karty robi zakupy online i nie może skorzystać z fizycznej postaci instrumentu płatniczego. W formularzu finalizującym płatność należy wprowadzić dane użytkownika oraz karty, w tym także kod CVC2.
W przeciwieństwie do kodu CVC1, który jest zakodowany wyłącznie w postaci cyfrowej, CVC2 jest widoczny gołym okiem i ma postać ciągu trzech cyfr. Regulacje obowiązujące organizacje płatnicze nakładają bardzo surowe wymagania względem CVC2.
Norma bezpieczeństwa wydana przez Payment Card Industry Security Standard Council zakłada, że w sytuacji, kiedy sprzedawca może przechować pozostałe dane karty takie jak jej numer lub datę ważności, aby uprościć kolejne transakcje, tak przechowywanie kodu CVC2 jest niedopuszczalne. Z założenia kod CVC2 ma służyć wyłącznie do autoryzowania bieżącej płatności.
Niezastosowanie się przez przedsiębiorcę do wytycznych PCI grozi nie tylko nałożeniem wysokiej kary umownej, ale nawet blokadą możliwości przyjmowania płatności (aktualną wersję wytycznych PCI SSC znajdziesz tutaj).
Kody bezpieczeństwa CVC1 i CVC2 zostały zaprojektowane tak, aby nie było możliwe używanie ich wymiennie. W terminalu płatniczym nie zapłacisz, podając kod CVC2, a w przy zakupach internetowych nie będziesz mógł zdekodować informacji zapisanych w magnetycznym pasku.
Kod bezpieczeństwa karty CVC3
Obok zabezpieczeń CVC1 i CVC2, które mają charakter stały i są niezmienne przez cały czas istnienia karty, organizacje płatnicze stosują jeszcze CVC3 (ang. Dynamic CVC). Dotyczy to nowej generacji kart EMV (w ofercie ma je m.in. bank PKO BP, czy Bank Millennium), które są wyposażone w elektroniczny chip przechowujący dane dotyczące instrumentu płatniczego. Karty EMV są wstecznie kompatybilne, czyli można nimi płacić zarówno w punktach sprzedaży, jak i w internecie.
Standard EMV został stworzony przez trzy główne organizacje – Europay, Mastercard i Visa. Bazuje na normie ISO 7816-3. Kiedy płacisz kartą, w terminalu dochodzi do wymiany szeregu informacji kryptograficznych między czytnikiem a instrumentem płatniczym. Dopiero po zakończeniu tego procesu realizowane jest obciążenie rachunku kupującego oraz uznanie rachunku sprzedawcy.
Główna różnica między CVC1 a CVC3 polega na tym, że w drugim przypadku kod bezpieczeństwa jest generowany za każdym razem od nowa. W procesie autoryzacji pełni dokładnie taką samą funkcję jak CVC1.
Obecnie wszystkie wydawane karty mają już dynamiczne zabezpieczenie.
Gdzie znajdziesz kod bezpieczeństwa karty?
Na większości kart organizacji VISA lub MasterCard kod CVC (lub inny pełniący analogiczną funkcję) znajduje się na odwrocie karty, tuż obok miejsca przeznaczonego na podpis. Nie zawsze jednak musi tak być.
W przypadku kart American Express kod zabezpieczający jest ulokowany po prawej stronie awersu karty i ma 4 cyfry, a nie 3, jak karty organizacji europejskich. Wynika to z faktu, że te numery kart mają 15 cyfr, a więc o jedną mniej niż karty organizacji europejskich.
Nie na wszystkich kartach znajdziesz kod bezpieczeństwa. Brakuje ich np. na karcie debetowej:
- VISA Electron;
- MasterCard Cirrus;
- MasterCard Electronic.
Dlaczego tak jest? Nie wszystkie karty płatnicze są przeznaczone do realizacji transakcji internetowych. Te, które nie mają kodu bezpieczeństwa CVC2, przydadzą się głównie do bieżących zakupów w galerii handlowej lub restauracji. Bardzo rzadko płatności internetowe mogą być realizowane przy wykorzystaniu karty bez kodu CVC2 (taką możliwość oferuje m.in. sieć Amazon).
Jak dbać o bezpieczeństwo transakcji z wykorzystaniem kodów CVC?
Choć kody bezpieczeństwa skutecznie chronią Twoją kartę płatniczą przed niepowołanym dostępem, nadal bezpieczeństwo pieniędzy zależy od tego, jak dbasz o poufne informacje.
Przede wszystkim nigdy nie ujawniaj kodu CVC2 osobom trzecim. Jest to oznaczenie używane tylko do autoryzacji płatności internetowych. Żaden sklep internetowy nie przechowuje tych danych dłużej, niż jest to niezbędne do obsłużenia zamówienia. Poza zakupami internetowymi nie ma też potrzeby, aby ujawniać tę informację. Jeżeli np. otrzymasz wiadomość e-mail z prośbą o udostępnienie danych karty, najprawdopodobniej jest to próba wyłudzenia informacji.
Zapewne zwróciłeś uwagę, że CVC2 na większości kart jest wydrukowany na rewersie. Nie jest to przypadek. Ten zabieg służy ukryciu numeru przed wzrokiem osoby niepowołanej, kiedy np. stoisz w kolejce oraz przed odczytem informacji przez kamery przemysłowe.
Jeżeli masz taką możliwość, wybierz kartę z technologią 3-D Secure. To dodatkowe zabezpieczenie polegające na podwójnej autoryzacji płatności bez fizycznej obecności karty, za pomocą kodu przesyłanego w treści wiadomości SMS.
Ochrona kodów CVC polega na nieudostępnianiu instrumentu płatniczego innym osobom. Pamiętaj, że w razie kradzieży karty możesz ją szybko zablokować. Wystarczy, że skontaktujesz się z infolinią swojego banku i wydasz odpowiednią dyspozycję.
Podobnie wygląda korzystanie z karty wirtualnej. Możesz zablokować ją z poziomu aplikacji bankowej. Część banków, np. ING Bank Śląski, wprowadza czasowe ograniczenie blokady karty (w tym przypadku do 30 dni). Jej ponowne uruchomienie jest możliwe za pośrednictwem infolinii lub na platformie bankowości internetowej albo w aplikacji mobilnej.
Kody bezpieczeństwa CVC pozwalają na weryfikację płatności i dzięki temu zmniejszają ryzyko bezprawnego dostępu do środków zgromadzonych na koncie. Bez względu na wbudowane zabezpieczenia pamiętaj jednak, aby pilnować swojej karty płatniczej i nie udostępniać jej danych. Dzięki temu Twoje pieniądze będą bezpieczne.
Źródła
- CVV1, CVV2, CVV3: Demystifying credit card data (1/2), Random Oracle Building and breaking systems, https://randomoracle.wordpress.com/2012/08/25/cvv1-cvv2-cvv3-demystifying-credit-card-data-12/