CVV2 — Википедия

CVV2 (англ. card verification value 2) — трёхзначный код проверки подлинности карты платёжной системы Visa. Другие платёжные системы имеют схожие технологии, к примеру, аналогичный защитный код для карт MasterCard носит название card validation code 2 (CVC2)^[1], защитный код для платежной системы «МИР» получил название card verification parameter 2 (CVP2)^[2]. Как правило, наносится на полосе для подписи держателя после номера карты либо после последних 4 цифр номера карты способом индент-печати. Используется в качестве защитного элемента при проведении транзакции в среде CNP (card not present). Например — e-commerce (интернет), MO/TO (mail order/telephone order).

Номер CVC2 не следует путать c пин-кодом и со стандартным номером карты^[en], наносимым эмбоссированием или индент-печатью.

Цифра 2 в названии кода вызвана тем, что есть и «первый» защитный код, используемый для верификации в транзакциях с физическим использованием карты. CVV/CVC-код записывается на магнитную полосу^[1].

Даже в случае, если CVV2-код на карте не указывается (карты Visa Electron с «маскированным» номером, нанесённым на карточку не полностью, к примеру только последние 4 цифры), он всё равно создаётся при выпуске карты.

Наличие CVV2-кода на карте не является ни необходимым, ни достаточным условием для совершения платежей в Интернете. Запрос CVV2 с одной стороны — это право, а не обязанность продавца. С другой стороны, этот вид транзакций может быть запрещен для конкретного вида карт банком-эмитентом (поэтому не является достаточным).

Ограничения CVV2[править | править код]

Проверка кода CVV2 не является обязательной при проведении CNP- (card not present) транзакций.^[3]
Механизм CVV2 не может защитить от фишинга, когда введённый в заблуждение владелец карты, среди прочих её параметров, передаёт мошенникам код CVV2.
Поскольку код CVV2 не может храниться продавцом в течение даже короткого времени (после того, как авторизация с использованием CVV2 завершена, — таковы требования стандарта PCI DSS), то продавцы, которые должны регулярно списывать деньги с карты за какую-либо услугу, не могут использовать CVV2 для последующих транзакций. К числу таких продавцов относятся многие популярные интернет-службы, такие как iTunes Store, PayPal, PlayStation Network, Steam^{[источник не указан 244 дня]}.
Если банк-эмитент требует CVV2 для авторизации всех интернет-транзакций, то он тем самым не позволяет использовать свои карты для оплаты указанных служб. Такого недостатка, как правило, лишены виртуальные карты. Риск, связанный с необязательностью проверки CVV2, компенсируется в этом случае возможностью ограничить доступный лимит виртуальной карты небольшой суммой.

Дальнейшее развитие[править | править код]

Для того, чтобы подтвердить аутентичность предъявителя данных карты в сети, в настоящее время рассматриваются другие возможности, прежде всего связанные с получением одноразового кода или запроса другим способом, заранее согласованным законным держателем карты и банком. Например, использование разового пароля, полученного в банкомате или посредством SMS, подтверждение транзакции в системе интернет-банкинга банка-эмитента карты или на отдельном защищённом сайте. Данный комплекс мер носит название (в зависимости от платёжной системы) 3-D Secure: MasterCard Security Code, Verified by Visa, American Express SafeKey.

Также существуют карты с динамическим CVV2-кодом (Dynamic CVV2), на которых код периодически (период задается эмитентом) изменяется. В таком случае код может либо отображаться на специальном дисплее, встроенном в карту^[4], либо в мобильном приложении банка^[5].

Другие аналогичные термины[править | править код]

Прочие аналогичные термины: card security code (CSC), card verification data (CVD), card verification value code (CVVC), card code verification (CCV).^[6]

Примечания[править | править код]

↑ ¹ ² Что такое CVV и CVC? (неопр.) ПрофБанкинг, Высшая банковская школа. www.profbanking.com (10 января 2015). Дата обращения: 22 октября 2019. Архивировано 3 апреля 2019 года.
↑ Функционально-технические требования к аппаратному модулю безопасности (HSM-модуль) (утв. Банком России 28.02.2020 N ФТ-56-3/35) (неопр.). Дата обращения: 29 июля 2021. Архивировано 29 июля 2021 года.
↑ За что не любят CVV и 3D Secure. И почему разработчик не виноват. Разбор (рус.). dev.by. Дата обращения: 5 декабря 2020. Архивировано 20 января 2021 года.
↑ Кирилл Иртлач. Американский банк тестирует карты с динамическим CVV2-кодом (рус.). itc.ua (1 января 2019). Дата обращения: 22 октября 2019. Архивировано 1 января 2019 года.
↑ Такого нет ни у кого: Гороховский рассказал о динамическом CVC2 для карт monobank (рус.). Finance.ua (11 июня 2019). Дата обращения: 22 октября 2019. Архивировано 11 июня 2019 года.
↑ CVV2/ CVC2 / CID - код банковской карты (рус.). Банкирша.ком (18 сентября 2019). Дата обращения: 22 октября 2019. Архивировано 1 октября 2018 года.

[:0-1] ¹ ² Что такое CVV и CVC? (неопр.) ПрофБанкинг, Высшая банковская школа. www.profbanking.com (10 января 2015). Дата обращения: 22 октября 2019. Архивировано 3 апреля 2019 года.

[2] Функционально-технические требования к аппаратному модулю безопасности (HSM-модуль) (утв. Банком России 28.02.2020 N ФТ-56-3/35) (неопр.). Дата обращения: 29 июля 2021. Архивировано 29 июля 2021 года.

[3] За что не любят CVV и 3D Secure. И почему разработчик не виноват. Разбор (рус.). dev.by. Дата обращения: 5 декабря 2020. Архивировано 20 января 2021 года.

[4] Кирилл Иртлач. Американский банк тестирует карты с динамическим CVV2-кодом (рус.). itc.ua (1 января 2019). Дата обращения: 22 октября 2019. Архивировано 1 января 2019 года.

[5] Такого нет ни у кого: Гороховский рассказал о динамическом CVC2 для карт monobank (рус.). Finance.ua (11 июня 2019). Дата обращения: 22 октября 2019. Архивировано 11 июня 2019 года.

[6] CVV2/ CVC2 / CID - код банковской карты (рус.). Банкирша.ком (18 сентября 2019). Дата обращения: 22 октября 2019. Архивировано 1 октября 2018 года.

[1]

[2]

[3]

[4]

[5]

[6]

Банковские карты
Типы карт	Банковская платёжная карта кредитная карта дебетовая карта расчётная карта
Глобальные платёжные системы	Visa Mastercard American Express Diners Club Discover Cirrus JCB UnionPay Мир
Локальные платёжные системы, в том числе закрытые	Алтын Асыр Белкарт Золотая корона Приднестровье Корти Милли Простір Элкарт Armenian Card AzeriCard Banelco BC Card Carte Bleue Dankort Elo Gh-link Girocard HUMO Interac Meeza PayPak Qi Card Qiwi RuPay Shetab Troy Uzcard V Pay Verve Access Bankcard Choice Carte Blanche enRoute Eurocard Laser Mondex Everything Solo STB Card Switch Union Card Isracard^[en] Про100
Основные кредитные карты	Мир Visa Mastercard JCB
Основные дебетовые карты	Мир Debit Mastercard Maestro Visa Debit Visa Electron
Выпуск банковских карт	Банк-эмитент Эмбосированная карта Карта с магнитной полосой Смарт-карта (с чипом) Бесконтактная карта (MasterCard Contactless Visa payWave)
Приём банковских карт	Банкомат POS-терминал (mPOS) Импринтер Эквайринг
Связанные понятия	Банковская транзакция Системы расчётов по банковским картам Процессинговый центр Платёжная система Реестр операторов платёжных систем
Безопасность	CVV2 3-D Secure EMV Кардинг CNP-операции