Смысл кода CVV2 для карт Виза косвенно был раскрыт в заметке «Visa Unembossed от Финсервис», хотя там он по ошибке назывался CVV. Как выясняется, CVV — это код зашитый в магнитной полосе. А напечатан на карте CVV2.
Недавно ВТБ24 перевыпустил вместо истекшего электрона карту типа Unembossed с новым номером (чем запутал свою же сотрудницу и меня, т.к. искали одну карту, а нашли внезапно другую). На ней теперь тоже есть CVV2.
У меня (и не только) давно возникал вопрос: зачем писать CVV2 на карте, если это типа какой-то секретный код? В комментариях у арканоида народ подсказывает, что CVV2 может использоваться для дополнительной проверки при физическом наличии карты, при отсутствии физической карты, и что код на самом деле не такой уж секретный.
Пролистав пару-тройку визовских инструкций в связис CVV2 всплыли несколько тем:
For all VISA card transactions, guaranteed payment to merchants is based on their complying with the following 3 principles
В презентации для продавцов написано, что Visa Unembossed карты предназначены только для проведения операций с online-авторизацией. В отсутствие электронного терминала (POS) продавец в праве отказаться от приема Visa Unembossed карты, или может провести продажу как «card-not-present». Тут тяжело разбираться, но судя по всему, от присутствия карты (Proof of card present) и методов авторизации и аутентификации зависит – кто понесет убыток в случае отзыва платежа (chargeback): продаец, экваер или Виза. Принявший платеж по Visa Unembossed в отсутствие POS терминала продавец рискует получить ‘missing imprint’ chargeback.
Сard-not-present продажы – это случаи, когда продавец/кассир не видит карту и покупателя. К CNP транзакциям относятся все продажи через Интернет и по телефону. Fraud Prevention Guidelines for Card-Not-Present Transactions от Визы говорит, что:
Card-not-present transactions are considered as zero-floor-limit sales.
Термин «нулевой потолок» (у американцев - пол), тоже, видимо, призван сообщить о перекладывании всей ответственности за продажу на продавца товара или экваера карты.
Код CVV2 служит для проверки наличия у клиента физической карты для проведения card-not-present продаж. Он посылается по электронным каналам связи вместе с другой информацией о карте и в ответе содержится информация, поддерживается ли он банком-экваером карты и корректен ли:
Card Verification Value (CVV2) is a three-digit code that appears either on the signature panel or on a white box to the right of the signature panel. CVV2 is used primarily in card-not-present transactions to verify that the customer is in possession of a valid Visa card at the time of the sale.
В целях безопасности, Виза запрещает продавцу хранить CVV2 код дольше, чем требуется для отправки запроса на его правильность.
A cardholder’s CVV2 may never be stored as a part of order information or customer data. The storage of CVV2 is strictly prohibited subsequent to authorization. Соответственно, CVV2 не может быть использован при периодических платежах (recurring).
Видимо, ничто не мешает продавцу при желании использовать CVV2 и для проведения операций с физически присутствующей картой (в магазине, например). Это может предотвратить использование поддельных карт, когда украденная информация с магнитной карты наносится на поддельный пластиковый шаблон. В случае, если был украден только магнитный дамп, то CVV2 кода на карте не будет или он будет неправильный и авторизации платежа не произойдет.
Таким образом, код CVV2 не является секретно информацией и может быть запрошен любым продавцом. Вместе с тем, имея на руках ксерокопию карты с CVV2, коррумпированный продавец сможет совершать CNP транзакции через Интернет, особенно учитывая, что проверка billing address работает на первом этапе только для США.