CVV2
CVV2 (Card Verification Value 2) — это трёх- или четырёхзначный код безопасности, наносимый на платёжные карты международных платёжных систем (Visa, Mastercard, Maestro) для подтверждения подлинности карты при дистанционных (CNP, Card-Not-Present) транзакциях, в первую очередь — при оплате в интернете, по телефону или почте. CVV2 не является частью магнитной полосы или чипа карты и не хранится в эмбоссированных данных, что отличает его от PIN-кода и данных, считываемых с терминала. Аналогичный код у платёжной системы American Express называется CID (Card Identification Number) и состоит из четырёх цифр, расположенных на лицевой стороне карты.
Назначение и принцип работы
Основная функция CVV2 — защита от мошенничества при транзакциях, где карта физически не предъявляется. При вводе данных карты (номер, срок действия, имя держателя) продавец или платёжный шлюз запрашивает у покупателя код CVV2. Этот код не хранится в открытом виде в базах данных торговых точек, а используется только для однократной проверки. Если злоумышленник получает номер карты и срок её действия (например, через фишинг или утечку данных), но не имеет доступа к физической карте, он не сможет ввести верный CVV2.
Проверка CVV2 происходит на стороне эмитента (банка, выпустившего карту) или процессингового центра. Система сравнивает введённый покупателем код с тем, что зашифрован в магнитной полосе или чипе карты, но не передаётся продавцу. При несовпадении транзакция отклоняется. Однако CVV2 не является абсолютной защитой: при физической краже карты злоумышленник может просто переписать код с обратной стороны.
Расположение и формат
- Visa, Mastercard, Maestro (включая российские карты «Мир» с аналогичным кодом CVC2): трёхзначный код печатается на обратной стороне карты, обычно на белой панели для подписи, справа от последних четырёх цифр номера карты или отдельно.
- American Express: четырёхзначный код CID располагается на лицевой стороне карты, над номером, мелким шрифтом.
- Карты платёжной системы «Мир»: используют трёхзначный код CVC2 (Card Verification Code 2), который наносится на обратную сторону карты по тому же принципу, что и у Visa/Mastercard. Стандарт «Мир» полностью совместим с международными требованиями безопасности для CNP-транзакций.
Отличие от CVV и других кодов
Не следует путать CVV2 с кодом CVV (Card Verification Value), который записан на магнитной полосе или в чипе карты и используется для верификации при физическом считывании (например, в банкомате или POS-терминале). CVV2 — это отдельный статический код, который печатается на самой карте и предназначен исключительно для дистанционных платежей. В некоторых источниках CVV2 также называют CVC2 (Card Verification Code 2) для Mastercard или CVC (Card Validation Code) для Visa — это синонимы.
Безопасность и ограничения
Хотя CVV2 существенно снижает риск мошенничества при онлайн-оплате, он не является панацеей. Основные уязвимости:
- Физическая кража карты: злоумышленник, завладев картой, может переписать код и использовать его вместе с номером карты и сроком действия.
- Фишинг и социальная инженерия: мошенники могут обманом вынудить держателя карты назвать код CVV2 (например, под видом сотрудника банка или службы поддержки).
- Утечки данных: если продавец или платёжный шлюз хранит CVV2 в нарушение стандартов PCI DSS (Payment Card Industry Data Security Standard), код может быть скомпрометирован. Однако PCI DSS прямо запрещает хранение CVV2 после авторизации транзакции.
- Повторное использование кода: CVV2 является статическим и не меняется при перевыпуске карты с тем же номером, если срок действия остаётся прежним. При перевыпуске карты с новым сроком или номером код также меняется.
Использование в России
В России CVV2 (или CVC2 для карт «Мир») является обязательным элементом для большинства интернет-платежей. Банки-эмитенты, работающие с платёжной системой «Мир», также применяют этот код для верификации. При этом российские банки активно внедряют дополнительные методы защиты: 3D-Secure (одноразовые пароли, push-уведомления), биометрическую аутентификацию и токенизацию (замена номера карты на уникальный токен). CVV2 при этом остаётся первым уровнем проверки.
Критика и альтернативы
Критики указывают, что статический трёхзначный код устарел в эпоху сложных мошеннических схем. Основные недостатки:
- Отсутствие динамики: код не меняется, что делает его уязвимым при долговременном хранении данных у продавца.
- Неудобство для пользователя: держатель карты должен каждый раз вводить код вручную, что замедляет процесс оплаты.
- Неэффективность против сложных атак: при наличии доступа к физической карте или при фишинге код легко добывается.
В качестве альтернатив и дополнений используются:
- 3D-Secure (Verified by Visa, Mastercard SecureCode, Mir Accept): протокол, требующий дополнительной аутентификации держателя карты (одноразовый код из SMS, push-уведомление, биометрия). В России с 2021 года для онлайн-платежей по картам «Мир» внедрён обязательный 3D-Secure 2.0.
- Токенизация: замена номера карты на случайный токен, который не содержит реальных данных карты и может использоваться только для конкретного продавца или устройства.
- Биометрическая аутентификация: отпечаток пальца или Face ID на мобильных устройствах.
- Динамический CVV: концепция, при которой код генерируется на лету (например, через мобильное приложение банка) и меняется каждые несколько минут. В России такие решения пока не получили массового распространения.
Интересные факты
- Код CVV2 был впервые внедрён в 1990-х годах для борьбы с мошенничеством при заказах по почте и телефону.
- В стандарте PCI DSS хранение CVV2 после авторизации транзакции категорически запрещено — даже в зашифрованном виде. Нарушение грозит крупными штрафами и потерей права принимать платежи по картам.
- На некоторых картах (например, предоплаченных или виртуальных) CVV2 может отсутствовать — в этом случае онлайн-платежи по ним невозможны.
- В России с 2015 года платёжная система «Мир» использует собственный аналог CVV2 — код CVC2, который полностью совместим с международными стандартами.
Источники
- Стандарт безопасности данных индустрии платёжных карт (PCI DSS), версия 4.0.
- Официальная документация платёжных систем Visa, Mastercard, American Express.
- Положение Банка России № 266-П «Об эмиссии платёжных карт и об операциях, совершаемых с их использованием».
- Материалы Национальной системы платёжных карт (НСПК) о картах «Мир».
- Аналитические обзоры по безопасности онлайн-платежей (Javelin Strategy & Research, 2023).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →