Открыть сервис

CVV-код

CVV-код (от англ. Card Verification Value — код проверки карты) — это трёх- или четырёхзначный код безопасности, используемый для подтверждения подлинности банковской карты при совершении дистанционных платежей. Код наносится на обратную сторону большинства платёжных карт (Visa, Mastercard) или на лицевую сторону (American Express) и не хранится на магнитной полосе или чипе карты. Основное назначение CVV-кода — верификация того, что плательщик физически владеет картой, а не просто знает её номер и срок действия.

История появления

CVV-код был разработан в конце 1990-х годов как мера противодействия мошенничеству при оплате товаров и услуг через интернет. До его внедрения для совершения онлайн-транзакции было достаточно указать номер карты и срок её действия, что делало карты уязвимыми для несанкционированного использования при утечке этих данных. Первыми систему внедрили платёжные системы Visa (CVV2) и Mastercard (CVC2). American Express использует собственный четырёхзначный код, называемый CID (Card Identification Number). С 2001 года CVV-код стал обязательным требованием для большинства интернет-эквайрингов.

Устройство и генерация

Алгоритм расчёта

CVV-код генерируется банком-эмитентом на основе криптографического алгоритма, использующего:

Полученный результат усекается до трёх цифр (для Visa и Mastercard) или четырёх (для American Express). Код не хранится в открытом виде в базах данных банка, а вычисляется при необходимости, что затрудняет его восстановление при утечке информации.

Физическое расположение

Классификация

По типу карты

По способу хранения

Применение

Онлайн-платежи

CVV-код является одним из стандартных элементов аутентификации при оплате в интернете. Вместе с номером карты и сроком действия он позволяет продавцу убедиться, что покупатель держит карту в руках. Однако код не является полноценным средством двухфакторной аутентификации, так как представляет собой только один фактор (знание).

Безопасность

CVV-код не должен передаваться третьим лицам, храниться в открытом виде на сайтах или в электронных письмах. Согласно стандартам безопасности данных индустрии платёжных карт (PCI DSS), продавцам и платёжным шлюзам запрещается хранить CVV-код после завершения транзакции. Это правило направлено на снижение риска компрометации кода при утечке баз данных.

Ограничения

Критика и уязвимости

Недостатки статического кода

Основная критика CVV-кода связана с тем, что он является статическим и не меняется в течение всего срока действия карты. Если код был скомпрометирован (например, при утечке данных с сайта), то он остаётся действительным до перевыпуска карты. Это делает его относительно слабой защитой по сравнению с динамическими методами аутентификации, такими как одноразовые пароли (OTP) или биометрия.

Социальная инженерия

Мошенники часто получают CVV-код через фишинговые сайты, звонки от имени банка или вредоносное ПО на устройствах жертвы. Поскольку код не требует дополнительного подтверждения, его кража позволяет совершать несанкционированные платежи.

Альтернативы

В последние годы платёжные системы и банки внедряют более надёжные методы верификации:

Тем не менее CVV-код остаётся широко распространённым элементом платёжной инфраструктуры, особенно в странах, где 3D Secure не является обязательным.

Правовое регулирование в России

В Российской Федерации использование CVV-кода регулируется нормативными актами Центрального банка РФ и стандартами платёжных систем. Банки обязаны информировать клиентов о правилах безопасного хранения CVV-кода и не вправе требовать его при проведении операций, не связанных с дистанционными платежами. Согласно законодательству, держатель карты не должен разглашать CVV-код третьим лицам, включая сотрудников банка (которые не имеют права его запрашивать). В случае утери карты или компрометации кода клиент обязан немедленно заблокировать карту через мобильное приложение или контакт-центр.

Интересные факты

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →