Открыть сервис

CVV2

CVV2 (Card Verification Value 2) — это трёх- или четырёхзначный код безопасности, наносимый на платёжные карты международных платёжных систем (Visa, Mastercard, Maestro) для подтверждения подлинности карты при дистанционных (CNP, Card-Not-Present) транзакциях, в первую очередь — при оплате в интернете, по телефону или почте. CVV2 не является частью магнитной полосы или чипа карты и не хранится в эмбоссированных данных, что отличает его от PIN-кода и данных, считываемых с терминала. Аналогичный код у платёжной системы American Express называется CID (Card Identification Number) и состоит из четырёх цифр, расположенных на лицевой стороне карты.

Назначение и принцип работы

Основная функция CVV2 — защита от мошенничества при транзакциях, где карта физически не предъявляется. При вводе данных карты (номер, срок действия, имя держателя) продавец или платёжный шлюз запрашивает у покупателя код CVV2. Этот код не хранится в открытом виде в базах данных торговых точек, а используется только для однократной проверки. Если злоумышленник получает номер карты и срок её действия (например, через фишинг или утечку данных), но не имеет доступа к физической карте, он не сможет ввести верный CVV2.

Проверка CVV2 происходит на стороне эмитента (банка, выпустившего карту) или процессингового центра. Система сравнивает введённый покупателем код с тем, что зашифрован в магнитной полосе или чипе карты, но не передаётся продавцу. При несовпадении транзакция отклоняется. Однако CVV2 не является абсолютной защитой: при физической краже карты злоумышленник может просто переписать код с обратной стороны.

Расположение и формат

  • Visa, Mastercard, Maestro (включая российские карты «Мир» с аналогичным кодом CVC2): трёхзначный код печатается на обратной стороне карты, обычно на белой панели для подписи, справа от последних четырёх цифр номера карты или отдельно.
  • American Express: четырёхзначный код CID располагается на лицевой стороне карты, над номером, мелким шрифтом.
  • Карты платёжной системы «Мир»: используют трёхзначный код CVC2 (Card Verification Code 2), который наносится на обратную сторону карты по тому же принципу, что и у Visa/Mastercard. Стандарт «Мир» полностью совместим с международными требованиями безопасности для CNP-транзакций.

Отличие от CVV и других кодов

Не следует путать CVV2 с кодом CVV (Card Verification Value), который записан на магнитной полосе или в чипе карты и используется для верификации при физическом считывании (например, в банкомате или POS-терминале). CVV2 — это отдельный статический код, который печатается на самой карте и предназначен исключительно для дистанционных платежей. В некоторых источниках CVV2 также называют CVC2 (Card Verification Code 2) для Mastercard или CVC (Card Validation Code) для Visa — это синонимы.

Безопасность и ограничения

Хотя CVV2 существенно снижает риск мошенничества при онлайн-оплате, он не является панацеей. Основные уязвимости:

  • Физическая кража карты: злоумышленник, завладев картой, может переписать код и использовать его вместе с номером карты и сроком действия.
  • Фишинг и социальная инженерия: мошенники могут обманом вынудить держателя карты назвать код CVV2 (например, под видом сотрудника банка или службы поддержки).
  • Утечки данных: если продавец или платёжный шлюз хранит CVV2 в нарушение стандартов PCI DSS (Payment Card Industry Data Security Standard), код может быть скомпрометирован. Однако PCI DSS прямо запрещает хранение CVV2 после авторизации транзакции.
  • Повторное использование кода: CVV2 является статическим и не меняется при перевыпуске карты с тем же номером, если срок действия остаётся прежним. При перевыпуске карты с новым сроком или номером код также меняется.

Использование в России

В России CVV2 (или CVC2 для карт «Мир») является обязательным элементом для большинства интернет-платежей. Банки-эмитенты, работающие с платёжной системой «Мир», также применяют этот код для верификации. При этом российские банки активно внедряют дополнительные методы защиты: 3D-Secure (одноразовые пароли, push-уведомления), биометрическую аутентификацию и токенизацию (замена номера карты на уникальный токен). CVV2 при этом остаётся первым уровнем проверки.

Критика и альтернативы

Критики указывают, что статический трёхзначный код устарел в эпоху сложных мошеннических схем. Основные недостатки:

  • Отсутствие динамики: код не меняется, что делает его уязвимым при долговременном хранении данных у продавца.
  • Неудобство для пользователя: держатель карты должен каждый раз вводить код вручную, что замедляет процесс оплаты.
  • Неэффективность против сложных атак: при наличии доступа к физической карте или при фишинге код легко добывается.

В качестве альтернатив и дополнений используются:

  • 3D-Secure (Verified by Visa, Mastercard SecureCode, Mir Accept): протокол, требующий дополнительной аутентификации держателя карты (одноразовый код из SMS, push-уведомление, биометрия). В России с 2021 года для онлайн-платежей по картам «Мир» внедрён обязательный 3D-Secure 2.0.
  • Токенизация: замена номера карты на случайный токен, который не содержит реальных данных карты и может использоваться только для конкретного продавца или устройства.
  • Биометрическая аутентификация: отпечаток пальца или Face ID на мобильных устройствах.
  • Динамический CVV: концепция, при которой код генерируется на лету (например, через мобильное приложение банка) и меняется каждые несколько минут. В России такие решения пока не получили массового распространения.

Интересные факты

  • Код CVV2 был впервые внедрён в 1990-х годах для борьбы с мошенничеством при заказах по почте и телефону.
  • В стандарте PCI DSS хранение CVV2 после авторизации транзакции категорически запрещено — даже в зашифрованном виде. Нарушение грозит крупными штрафами и потерей права принимать платежи по картам.
  • На некоторых картах (например, предоплаченных или виртуальных) CVV2 может отсутствовать — в этом случае онлайн-платежи по ним невозможны.
  • В России с 2015 года платёжная система «Мир» использует собственный аналог CVV2 — код CVC2, который полностью совместим с международными стандартами.

Источники

  • Стандарт безопасности данных индустрии платёжных карт (PCI DSS), версия 4.0.
  • Официальная документация платёжных систем Visa, Mastercard, American Express.
  • Положение Банка России № 266-П «Об эмиссии платёжных карт и об операциях, совершаемых с их использованием».
  • Материалы Национальной системы платёжных карт (НСПК) о картах «Мир».
  • Аналитические обзоры по безопасности онлайн-платежей (Javelin Strategy & Research, 2023).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →