کد امنیتی کارت، کدی است که به نام های مختلفی همچون card security code(CSC)، Card Verification Data(CVD)، Card Verification Value(CVVیا CVV2)، Card Verification Value Code(CVVC)، Card Verification Code(CVCیا CVC2)، Verification Code(V-Codeیا V Code) و Card Code Verification(CCV) نامیده می شود.

 

این اصطلاحات همه مربوط به قابلیت های امنیتی تراکنش های کارت های اعتباری یا کارت های موسوم به Debit Card است که حفاظت روزافزونی را در قبال حملات هکرها فراهم می آورد.

 

کارت بدهی یا Debit Card، کارتی است که به دارنده آن این امکان را می دهد که به حساب خود نزد یک موسسه مالی، دسترسی الکترونیکی داشته باشد.

 

این کارت می تواند به عنوان جایگزین پول نقد در هنگام خرید، مورد استفاده قرار گیرد.

 

کارت های بدهی معمولاً امکان برداشت پول نقد را مانند یک کارت عابربانک فراهم می کنند.

 

 

انواع

1. اولین کد، CVC1یا CVC1است که به صورت رمزشده، در نوار مغناطیسی کارت درج می شود.

 

هدف از این کد، آن است که مطمئن شویم اطلاعات ذخیره شده در نوار مغناطیسی معتبر بوده و توسط بانک صادرکننده تولید شده است.

 

این اعتبار (value) به عنوان بخشی از تراکنش ها در نظر گرفته می شود و توسط بانک صادرکننده تایید می گردد.

 

یکی از محدودیت های CVC1یا CVV1این است که اگر کل نوار مغناطیسی کپی شود (به جای این که تولید شود) کارت را می توان به صورت کپی شده مورد استفاده قرار داد.

 

به این بزهکاری، اصطلاحاً اسکیمینگ (Skimming) می گویند که در آن، سارقان با استفاده از یک دستگاه مخصوص، اطلاعات دیجیتالی موجود در کارت اعتباری افراد را کپی کرده و آن را در یک کارت تقلبی وارد می نمایند.

 

2. کد دوم که رایج تر از انواع دیگر است، CVV2یا CVC2نام دارد.

 

شرکت ها به هنگام انجام تراکنش، معمولاً این CSCرا از دارنده کارت مطالبه می کنند.

 

هدف، تامین امنیت کارت به هنگام تراکنش در فضای اینترنت است.

 

 

 

3. کارت های غیرتماسی (Contactless) و کارت های هوشمند، ممکن است کدهای الکترونیکی خاص خود را داشته باشند؛ از قبیل iCVVیا Dynamic CVV.

 

این کدها را نباید با شماره حساب استاندارد کارت که به صورت اعداد برجسته یا چاپی بر روی کارت نقش می بندد، اشتباه گرفت.

 

همچنین این کدها را نباید با شماره شناسایی شخصی (Personal Identification Number) یا همان PINکارت اشتباه گرفت.

 

از سوی دیگر این کدها، با کلمات عبور مرتبط با MasterCard SecureCodeیا Verified by Visaنیز متفاوت است چرا که این دو، بر روی کارت چاپ نمی شود و یا به صورت برجسته نقش نمی بندد، بلکه به طور دستی و به هنگام انجام تراکنش درج می گردد.

 

محل قرار گرفتن کد

کد CSCیک سری اعداد دیجیتالی سه یا چهار رقمی است که بر روی کارت یا در بخش نواری حامل امضای دارنده کارت چاپ می شود.

 

این کد در نوار مغناطیسی رمزنشده است.

 

1. کارت های اعتباری و بدهی مسترکارت، ویزا، Diners Club، Discoverو JCBدارای یک کد امنیتی سه رقمی است.

 

این کد، بر خلاف شماره کارت، به صورت برجسته نقش نمی بندد و همیشه آخرین گروه از اعداد چاپ شده بر قسمت پشتی کارت محسوب می شود.

 

در کارت های جدید مسترکارت و ویزا در آمریکای شمالی، به منظور جلوگیری از رونویسی اعداد، کد امنیتی را به صورت جداگانه در سمت راست نوار امضا درج می کنند.

 

این کدها اسامی متفاوتی دارد: CVC2در مسترکارت، CVV2در ویزا و CIDدر Discover.

 

2. کارت های آمریکن اکسپرس (American Express) دارای کد چهار رقمی چاپ شده ای است که بر جلوی کارت و بالای شماره کارت - به صورت تخت و نه برجسته - نقش می بندد.

 

این کد را CID(مخفف unique card code) می نامند.

 

 

مزایای امنیتی

شرکت ها و فروشگاه هایی که برای تراکنش های غیرحضوری مجازی موسوم به Card Not Present، به CVV2نیاز دارند، شرکت ویزا - طبق قانون آمریکا - اجازه ذخیره سازی CVV2در تراکنش های فردی را به آنها نمی دهد.

 

به این ترتیب، اگر پایگاه اطلاعاتی تراکنش در دسترس هکرها قرار بگیرد، CVV2در آن مندرج نیست و لذا فایده کارت مسروقه برای هکر کمتر خواهد بود.

 

ترمینال مجازی (Virtual terminal) و درگاه پرداخت (Payment gateway) در کد CVV2ذخیره نمی شود،  بنابراین کارکنان و نمایندگان خدمات مشتری که به رابط های پرداخت اینترنتی یا شماره های کامل کارت دسترسی دارند، نمی توانند به رمز CVV2دست یابند.

 

استاندارد Payment Card Industry Data Security Standardکه به اختصار PCI DSSنامیده می شود، از ذخیره سازی CSC- و دیگر اطلاعات حساس مربوط به مجوز- جلوگیری می کند.

 

این امر در سطح بین الملل در مورد هر کس که اطلاعات دارنده کارت را ذخیره، پردازش یا انتقال کند، کاربرد دارد.

 

از آنجا که CSCبر روی نوار مغناطیسی کارت درج نمی شود، معمولاً در تراکنش های چهره به چهره نیز درج نمی گردد. با این حال، برخی فروشگاه های مستقر در آمریکای شمالی از جمله Searsو Staplesاین کد را از مشتریان درخواست می کنند.

 

محدودیت ها

1. اگر دارندگان کارت های اعتباریفریفته ترفندهای هکرها شوند و کد CSCو دیگر مشخصات کارت خود را در یک وب سایت جعلی وارد نمایند، استفاده از CSC نمی تواند جلوی حملات فیشینگ را سد کند.

 

در واقع رشد فیشینگ، اثر واقعی CSCرا - به عنوان ابزار ضدتقلب – کاهش داده است.

 

کلاهبرداری دیگری نیز در این زمینه وجود دارد. به این صورت که هکری که شماره حساب کارت را در اختیار دارد (مثلاً با هک کردن یک پایگاه داده)، قبل از این که از قربانی کد CSCرا بخواهد، این اطلاعات را برای وی می فرستد تا اطمینان او را به خود جلب کند.

 

2. از یک سو برخی تولیدکنندگان کارت های اعتباری، هنوز هم از CSCاستفاده نمی کنند و از سوی  دیگر، تراکنش های فاقد CSCبیشتر در معرض حملات هکرها قرار می گیرد.

 

3. شرکت ها و فروشگاه ها برای انجام یک تراکنش، ملزم به دانستن کد امنیتی نیستند بنابراین فیشرها حتی فقط با دانستن شماره کارت، می توانند به این کارت ها رخنه کنند.

 

 

نحوه صدور کدهای امنیتی

CVC1، CVV1، CVC2و CVV2به هنگام صدور کارت، تولید و ارائه می شود.

 

این کدها از طریق رمزنگاری شماره کارت (PAN)، تاریخ انقضا و کد سرویس با استفاده از کلیدهای رمزنگاری که اغلب CVKخوانده می شود، صورت می پذیرد.