CSC-що це? Про технології, її функції та особливості

Зміст

Про технології
CSC-що це? Mastercard та Visa
Код безпеки в інших платіжних системах
Наскільки надійний цей механізм?
Які ще є Технології захисту карт?

Оплата товарів або послуг через Інтернет може викликати у недосвідчених користувачів труднощі. Наприклад, для завершення покупки сайт зазвичай пропонує ввести дані платіжної картки з метою безготівкового розрахунку: номер картки, дату її закінчення, прізвище та ім`я власника, а також код CVV/CVC. Якщо з першими пунктами більш-менш зрозуміло, то остання вимога здатне багатьох заплутати і відняти багато часу на з`ясування. Ця стаття допоможе розібратися і відповісти на такі питання, як CSC-що це за код, де його знайти, і для чого він потрібен.

Про технології

CSC (Card Security Code — "код безпеки картки")- захисний механізм, розроблений з метою запобігання шахрайству з банківськими картами. Зустрічаються також інші споріднені позначення цього терміна: CVD, CVV, CVC, SPC і V-code. CSC призначений для використання в тих випадках, коли карту неможливо фізично пред`явити - при онлайн-платежах. Технологія зобов`язана своїй появі на світ британському співробітнику компанії "Еквіфакс" Майклу Стоуну. Спочатку код являв собою комбінацію з 11 букв і цифр. Згодом приватні агентства і банки прийшли до розуміння, що CSC - це провісник нової ери інформаційної безпеки. Код був доопрацьований і отримав свій сучасний вигляд, що складається з 3 цифр. На хвилі бурхливо розвивається електронної комерції в кінці XX століття цю технологію швидко підхопили провідні платіжні системи-MasterCard, Visa і American Express.

Існує кілька видів секретного коду:

CVC1 або CVV1-зашифрована комбінація символів, фізичне розташування яких-магнітна смуга на зворотному боці карти. Використовується при оффлайн-платежах карткою. Код розпізнається платіжним пристроєм в процесі здійснення покупки і відправляється для перевірки на аутентифікаційний сервер банку-емітента. Такий захист обходиться шляхом виготовлення дубліката платіжної картки та копіювання магнітної стрічки.
CVV2 або CVC2. Призначений для захисту покупця при транзакціях через Інтернет. Є найбільш просунутим методом верифікації. У деяких європейських країнах платіжні системи вимагають від торгових компаній і підприємств обов`язкової перевірки такого коду при онлайн-операціях.
iCVV або динамічний CVV. Використовуються при безконтактній оплаті.

CSC-що це? Mastercard та Visa

За своїм використанням і місцем розташування код безпеки карти повністю однаковий для обох платіжних систем, за винятком назви. CSC на карті Visa носить назву CVV2, для карт Mastercard-CVC2. Цифрова комбінація коду знаходиться на зворотному боці картки, в зоні смуги підпису власника або біля неї. Таке розташування ускладнює завдання зловмисників підглянути цифри для крадіжки грошових коштів у громадських місцях або з відеозйомки. Розрізняються методи нанесення коду CSC і номера карти: для захисної комбінації використовують ідент-друк або тиснення. Даний елемент безпеки може і зовсім фізично бути відсутнім на карті, але генеруватися при її емісії. Такий варіант притаманний віртуальним картами або пластику початкового класу: Visa Electron, Mastercard Maestro та іншим.

Код безпеки в інших платіжних системах

Існують і інші варіації CVC:

CID (Card Identification Number — "ідентифікаційний номер картки")- на платіжних інструментах American Express. Має ключову відмітна особливість: код безпеки, що складається з 4 цифр, розташований над номером картки в її правій частині лицьової сторони.
CVD (Card Verification Data — "дані верифікації карти")- захисний елемент американських кредитних карт Discover.
CVE (Elo Verification Code — "код верифікації Ело"). Захисна комбінація цифр на дебетових та кредитних картках Бразилії.
CVN2 (Card Validation Number — "номер підтвердження картки")- код безпеки на картах китайської платіжної системи Union Pay.

Наскільки надійний цей механізм?

Банки-емітенти забороняють торговим і сервісним компаніям зберігати в базі даних CSC-паролі, отримані в ході проведення транзакції. Це підвищує безпеку власників платіжних карт: в разі злому і крадіжки даних з серверів компанії скомпрометовані дані клієнтських карт практично не несуть в собі користі без коду безпеки. Незважаючи на це, на користь того, що CSC-це далеко не найбезпечніший механізм, є наступні докази:

Безсилий перед фішинговими посиланнями. Код безпеки не здатний запобігти крадіжці даних, коли користувач шляхом обману переходить на фальшиву сторінку для оплати, створену шахраями. Зазвичай інтерфейс такого ресурсу не відрізняється або максимально наближений до змісту звичайної сторінки, що вводить покупця в оману і спонукає до введення даних платіжної картки, включаючи CSC. Таким чином, зловмисники мають повний доступ до інформації про Карту, що дозволяє здійснювати незаконні транзакції.
Необов`язковість введення. Деякі торгові онлайн-майданчики не вимагають від покупців надання CSC. Це грає на руку зловмисникам, яким відомі лише скомпрометовані дані з лицьової частини карти: номер і термін дії.
Зламування. Відомі випадки, коли шахраї вгадували короткий тризначний CSC шляхом хакерських хитрощів і організованих DDoS-атак.

Які ще є Технології захисту карт?

Як видно з попереднього пункту, механізм CVC володіє недоліками, що загрожують безпеці власників банківських карт. Платіжні системи врахували, що CSC-це технологія, що має серйозні недоліки, і ввели систему додаткового захисту платіжних карт під назвою 3D-Secure. Цей механізм додає крок у процесі онлайн-транзакції-автентифікацію користувача на сервері банку-емітента. Вона може включати в себе введення постійного коду, динамічно формується комбінація цифр з СМС-повідомлення або використання пароля зі списку ключів.