Открыть сервис

CVC2

CVC2 (Card Verification Code 2) — это трёх- или четырёхзначный код безопасности, наносимый на обратную сторону пластиковых банковских карт (для Visa, Mastercard, Maestro) или на лицевую сторону (для American Express). Код предназначен для подтверждения физического наличия карты при совершении дистанционных (CNP, Card-Not-Present) транзакций, таких как оплата в интернете, по телефону или по почте. CVC2 не хранится на магнитной полосе или чипе карты и не эмбоссируется, что снижает риск его компрометации при краже данных.

История и стандартизация

Система кодов проверки подлинности карт была разработана в 1990-х годах как ответ на рост мошенничества при бесконтактных и дистанционных платежах. Первоначально эмитенты использовали различные форматы — от двух до четырёх цифр. В 1997 году платёжные системы Visa и Mastercard ввели единый стандарт: для карт Visa — CVV2 (Card Verification Value 2), для Mastercard — CVC2. American Express использует собственный четырёхзначный код, называемый CID (Card Identification Number). В России стандарт CVC2/СVV2 применяется с конца 1990-х годов, когда началось массовое внедрение чиповых карт и интернет-эквайринга.

Виды кодов безопасности

Существует несколько типов кодов, используемых в банковских картах:

  • CVC1/CVV1 — код, записанный на магнитную полосу. Используется при физическом считывании карты в терминале (POS-терминал). Не виден владельцу.
  • CVC2/CVV2 — код, напечатанный на карте. Используется для верификации при дистанционных операциях.
  • CID — код для American Express (четыре цифры на лицевой стороне).
  • dCVV — динамический код, генерируемый приложением на смартфоне (например, в Apple Pay или Google Pay) для одноразовых транзакций. Применяется в токенизированных платежах.

Физическое расположение и формат

На картах Visa, Mastercard и Maestro код CVC2 состоит из трёх цифр и расположен на обратной стороне, обычно на белой панели для подписи, справа от последних четырёх цифр номера карты. На картах American Express CID — четырёхзначный код, напечатанный на лицевой стороне над номером карты. Некоторые эмитенты (например, российские банки) могут размещать код на обратной стороне в левом нижнем или верхнем углу, если панель для подписи отсутствует.

Функции и применение

CVC2 выполняет две основные функции:

  1. Верификация владения картой — при вводе кода в форму оплаты продавец (или платёжный шлюз) проверяет, что плательщик имеет физический доступ к карте. Это снижает риск использования украденных номеров карт.
  2. Защита от мошенничества — код не хранится в базах данных продавцов (по требованиям PCI DSS) и не передаётся по незащищённым каналам. Если злоумышленник получил номер карты, но не имеет доступа к CVC2, совершить транзакцию в интернете он не сможет.

Однако CVC2 не является абсолютной защитой. Код может быть скомпрометирован при физическом доступе к карте (например, при фотографировании обеих сторон), при перехвате данных на стороне продавца (если он нарушает требования безопасности) или при использовании фишинговых сайтов.

Критика и ограничения

  • Недостаточная защита — код легко подделать или угадать (для трёхзначного кода — 1000 комбинаций). При массовом переборе (brute-force) на сайтах без защиты от автоматических запросов возможен подбор.
  • Зависимость от человеческого фактора — пользователи часто хранят код вместе с картой или записывают его на стикерах, что снижает безопасность.
  • Отсутствие обязательности — не все интернет-магазины требуют ввод CVC2 (например, при подписке на регулярные платежи или при использовании сохранённых карт). Это делает транзакции уязвимыми.
  • Альтернативные методы — с развитием 3D Secure (Verified by Visa, Mastercard SecureCode) и токенизации (Apple Pay, Google Pay) роль CVC2 снижается. В этих системах код заменяется динамическим одноразовым паролем или токеном.

Безопасность и рекомендации

Для снижения рисков, связанных с CVC2, банки и платёжные системы рекомендуют:

  • Не сообщать код третьим лицам, включая сотрудников банка или продавцов.
  • Не хранить код в открытом виде (на стикерах, в заметках телефона).
  • Использовать 3D Secure при каждой онлайн-операции.
  • Применять виртуальные карты для разовых покупок в интернете (с отдельным CVC2).
  • Регулярно проверять выписки по карте и подключать SMS-оповещения.

В России с 2020 года Центральный банк РФ рекомендовал банкам внедрять динамические коды CVC2 для карт, выпускаемых в рамках платёжной системы «Мир». Однако массового внедрения на 2024 год не произошло.

Сравнение с другими методами верификации

МетодОписаниеУровень защитыПрименение
CVC2Статический код на картеНизкий (1000 комбинаций)Онлайн-покупки
3D SecureОдноразовый пароль по SMS/в приложенииВысокий (двухфакторная аутентификация)Онлайн-покупки
ТокенизацияЗамена номера карты на токенОчень высокий (не раскрывает данные карты)Мобильные платежи
БиометрияОтпечаток пальца, лицоВысокий (сложно подделать)Офлайн-терминалы

Законодательное регулирование в России

В Российской Федерации требования к использованию CVC2 регулируются Федеральным законом № 161-ФЗ «О национальной платёжной системе» и нормативными актами Банка России. Согласно стандартам безопасности PCI DSS, все организации, принимающие платежи по банковским картам, обязаны не хранить CVC2 после авторизации транзакции. Нарушение влечёт административную ответственность (ст. 14.11 КоАП РФ — штраф до 50 000 рублей для должностных лиц). В 2022 году ЦБ РФ ужесточил требования к интернет-эквайрингу: при первой онлайн-операции по карте обязателен ввод CVC2, а при последующих — подтверждение через 3D Secure.

Источники

  • Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платёжной системе» (ред. от 02.07.2021).
  • Положение Банка России от 24.09.2020 № 732-П «О платёжной системе Банка России».
  • Стандарт безопасности данных индустрии платёжных карт (PCI DSS) версия 4.0 (2022).
  • Материалы платёжных систем Visa, Mastercard, American Express по кодам проверки карт (CVV2, CVC2, CID).
  • Аналитический отчёт «Мошенничество в сфере дистанционных платежей» (ЦБ РФ, 2023).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →