CVV-код
CVV-код (от англ. Card Verification Value — код проверки карты) — это трёх- или четырёхзначный код безопасности, используемый для подтверждения подлинности банковской карты при совершении дистанционных платежей. Код наносится на обратную сторону большинства платёжных карт (Visa, Mastercard) или на лицевую сторону (American Express) и не хранится на магнитной полосе или чипе карты. Основное назначение CVV-кода — верификация того, что плательщик физически владеет картой, а не просто знает её номер и срок действия.
История появления
CVV-код был разработан в конце 1990-х годов как мера противодействия мошенничеству при оплате товаров и услуг через интернет. До его внедрения для совершения онлайн-транзакции было достаточно указать номер карты и срок её действия, что делало карты уязвимыми для несанкционированного использования при утечке этих данных. Первыми систему внедрили платёжные системы Visa (CVV2) и Mastercard (CVC2). American Express использует собственный четырёхзначный код, называемый CID (Card Identification Number). С 2001 года CVV-код стал обязательным требованием для большинства интернет-эквайрингов.
Устройство и генерация
Алгоритм расчёта
CVV-код генерируется банком-эмитентом на основе криптографического алгоритма, использующего:
- номер карты (PAN);
- срок действия карты;
- сервис-код (трёхзначный идентификатор, указывающий на тип карты и ограничения);
- секретный ключ, известный только эмитенту.
Полученный результат усекается до трёх цифр (для Visa и Mastercard) или четырёх (для American Express). Код не хранится в открытом виде в базах данных банка, а вычисляется при необходимости, что затрудняет его восстановление при утечке информации.
Физическое расположение
- Visa, Mastercard, Maestro, Мир: трёхзначный код на панели для подписи на обратной стороне карты, обычно правее или в конце номера карты.
- American Express: четырёхзначный код на лицевой стороне карты, над номером, справа.
- Виртуальные карты: код отображается в мобильном приложении банка или в личном кабинете, так как физический носитель отсутствует.
Классификация
По типу карты
- CVV1 — код, записанный на магнитной полосе карты. Используется для транзакций с физическим присутствием карты (POS-терминалы). Не виден держателю.
- CVV2 — код, напечатанный на самой карте. Используется для транзакций без физического присутствия карты (CNP — Card Not Present), в том числе в интернете.
- CVC2 — аналог CVV2 для карт Mastercard.
- CID — код для карт American Express и Discover.
По способу хранения
- Статический код — фиксированный, напечатанный на карте. Не меняется в течение срока действия карты.
- Динамический код — генерируется в мобильном приложении банка и меняется каждые несколько минут. Используется некоторыми банками для повышения безопасности (например, в некоторых виртуальных картах).
Применение
Онлайн-платежи
CVV-код является одним из стандартных элементов аутентификации при оплате в интернете. Вместе с номером карты и сроком действия он позволяет продавцу убедиться, что покупатель держит карту в руках. Однако код не является полноценным средством двухфакторной аутентификации, так как представляет собой только один фактор (знание).
Безопасность
CVV-код не должен передаваться третьим лицам, храниться в открытом виде на сайтах или в электронных письмах. Согласно стандартам безопасности данных индустрии платёжных карт (PCI DSS), продавцам и платёжным шлюзам запрещается хранить CVV-код после завершения транзакции. Это правило направлено на снижение риска компрометации кода при утечке баз данных.
Ограничения
- CVV-код не защищает от мошенничества, если карта была физически украдена или сфотографирована.
- При оплате через платёжные системы, использующие токенизацию (Apple Pay, Google Pay), CVV-код обычно не требуется, так как транзакция подтверждается биометрическими данными или PIN-кодом устройства.
- Некоторые интернет-магазины и сервисы (например, подписные сервисы, сервисы автоматических платежей) могут не запрашивать CVV-код после первой успешной транзакции, что создаёт дополнительный риск.
Критика и уязвимости
Недостатки статического кода
Основная критика CVV-кода связана с тем, что он является статическим и не меняется в течение всего срока действия карты. Если код был скомпрометирован (например, при утечке данных с сайта), то он остаётся действительным до перевыпуска карты. Это делает его относительно слабой защитой по сравнению с динамическими методами аутентификации, такими как одноразовые пароли (OTP) или биометрия.
Социальная инженерия
Мошенники часто получают CVV-код через фишинговые сайты, звонки от имени банка или вредоносное ПО на устройствах жертвы. Поскольку код не требует дополнительного подтверждения, его кража позволяет совершать несанкционированные платежи.
Альтернативы
В последние годы платёжные системы и банки внедряют более надёжные методы верификации:
- 3D Secure (2.0) — протокол, требующий дополнительной аутентификации через мобильное приложение, SMS или биометрию.
- Токенизация — замена реальных данных карты на одноразовый токен.
- Биометрическая аутентификация — отпечаток пальца, Face ID.
Тем не менее CVV-код остаётся широко распространённым элементом платёжной инфраструктуры, особенно в странах, где 3D Secure не является обязательным.
Правовое регулирование в России
В Российской Федерации использование CVV-кода регулируется нормативными актами Центрального банка РФ и стандартами платёжных систем. Банки обязаны информировать клиентов о правилах безопасного хранения CVV-кода и не вправе требовать его при проведении операций, не связанных с дистанционными платежами. Согласно законодательству, держатель карты не должен разглашать CVV-код третьим лицам, включая сотрудников банка (которые не имеют права его запрашивать). В случае утери карты или компрометации кода клиент обязан немедленно заблокировать карту через мобильное приложение или контакт-центр.
Интересные факты
- CVV-код не является обязательным для всех типов транзакций: например, при оплате в ресторане или такси, где карту забирают из рук, код может быть записан официантом или водителем, что создаёт риск.
- Некоторые банки выпускают карты с динамическим CVV-кодом, который отображается на мини-экране, встроенном в карту, или в мобильном приложении. Такие карты считаются более защищёнными.
- В 2021 году платёжная система Mastercard объявила о тестировании технологии, при которой CVV-код заменяется биометрическими данными (отпечатком пальца), однако массового внедрения пока не произошло.
Источники
- Стандарт безопасности данных индустрии платёжных карт (PCI DSS), версия 4.0.
- Материалы платёжных систем Visa, Mastercard, American Express.
- Инструкции Центрального банка Российской Федерации по безопасному использованию банковских карт.
- Публикации Национальной системы платёжных карт «Мир» о мерах защиты при онлайн-платежах.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →