Código de seguridad de la tarjeta

Función de seguridad en las tarjetas de pago

El código de seguridad de la tarjeta se encuentra en el reverso de las tarjetas de crédito o débito Mastercard , Visa , Discover , Diners Club y JCB y, por lo general, es un grupo separado de tres dígitos a la derecha de la banda de la firma.

En las tarjetas American Express , el código de seguridad de la tarjeta es un grupo de cuatro dígitos impreso, no en relieve, en el frente hacia la derecha.

Un código de seguridad de tarjeta ( CSC ; también conocido como CVC , CVV o varios otros nombres) es una serie de números que, además del número de tarjeta bancaria , se imprime (pero no se graba en relieve ) en una tarjeta de crédito o débito . El CSC se utiliza como una característica de seguridad para transacciones sin presencia de tarjeta , donde el titular de la tarjeta no puede ingresar manualmente un número de identificación personal (PIN) (como lo haría durante las transacciones en el punto de venta o con presencia de tarjeta). Se instituyó para reducir la incidencia del fraude con tarjetas de crédito . A diferencia del número de tarjeta, el CSC no está grabado en relieve deliberadamente, de modo que no se lea cuando se utiliza una impresora mecánica de tarjetas de crédito que solo detectará números grabados en relieve.

Estos códigos se encuentran en lugares ligeramente diferentes para los distintos emisores de tarjetas. El CSC de las tarjetas de crédito Visa , Mastercard y Discover es un número de tres dígitos que se encuentra en el reverso de la tarjeta, a la derecha del recuadro de la firma. El CSC de American Express es un código de cuatro dígitos que se encuentra en el frente de la tarjeta, encima del número de cuenta. Vea las figuras a la derecha para ver ejemplos.

El CSC fue desarrollado originalmente en el Reino Unido como un código alfanumérico de once caracteres por el empleado de Equifax Michael Stone en 1995. Después de probarlo con el grupo Littlewoods Home Shopping y el banco NatWest , el concepto fue adoptado por la Asociación de Servicios de Compensación de Pagos del Reino Unido (APACS) y simplificado hasta el código de tres dígitos que conocemos hoy. Mastercard comenzó a emitir números CVC2 en 1997 y Visa en los Estados Unidos los emitió en 2001. American Express comenzó a utilizar el CSC en 1999, en respuesta al aumento de las transacciones por Internet y las quejas de los titulares de tarjetas sobre interrupciones en el gasto cuando se ha puesto en duda la seguridad de una tarjeta.

Las tarjetas sin contacto y las tarjetas con chip pueden generar electrónicamente su propio código, como iCVV o un CVV dinámico .

Nombramiento

Los códigos tienen diferentes nombres:

• "CSC" o "código de seguridad de la tarjeta": tarjetas de débito , ^{[¿ cuáles? ]} American Express (tres dígitos en el reverso de la tarjeta, también conocido como 3CSC) ^[1]
• "CVC" o "código de validación de tarjeta": Mastercard
• "CVV" o "valor de verificación de la tarjeta": Visa
• "CAV" o "valor de autenticación de la tarjeta": JCB
• "CID": "identificación de la tarjeta", "número de identificación de la tarjeta" o "código de identificación de la tarjeta": Discover , American Express (cuatro dígitos en el frente de la tarjeta). American Express suele utilizar el código de cuatro dígitos que aparece en el frente de la tarjeta, denominado código de identificación de la tarjeta (CID), pero también tiene un código de tres dígitos en el reverso de la tarjeta, denominado código de seguridad de la tarjeta (CSC). American Express también hace referencia en ocasiones a un "código de tarjeta único". ^[2]
• "CVD" o "datos de verificación de la tarjeta": Descubrir
• "CVE" o "Código de verificación Elo": Elo en Brasil
• "CVN" o "número de validación de la tarjeta", también "número de verificación de la tarjeta": China UnionPay , Google Ads ^[3]

• "SPC" o "código del panel de firma" ^[4]

Tipos

Existen varios tipos de códigos de seguridad y PVV (todos generados a partir de la clave DES en el banco en los módulos HSM utilizando PAN , fecha de vencimiento y código de servicio):

• El primer código, de 3 números, llamado CVC1 o CVV1, está codificado en las pistas uno y dos de la banda magnética de la tarjeta y se utiliza para transacciones con tarjeta presente, con firma (la segunda pista también contiene el valor de verificación del PIN, PVV, pero ahora normalmente está todo en cero y el código de servicio). El propósito del código es verificar que una tarjeta de pago está realmente en manos del comerciante (por lo tanto, debería ser diferente del CVV2). Este código se recupera automáticamente cuando se lee (pasa) la banda magnética de una tarjeta en un dispositivo de punto de venta (tarjeta presente) y es verificado por el emisor. Una limitación es que si se ha duplicado toda la tarjeta y se ha copiado la banda magnética, entonces el código sigue siendo válido, aunque normalmente es necesario firmar después de eso. (Véase fraude con tarjetas de crédito § skimming .)
• El segundo código, y el más citado, es el CVV2 o CVC2. Este código lo utilizan a menudo los comerciantes para transacciones sin presencia física de la tarjeta, incluidas las compras online. En algunos países de Europa occidental, los emisores de tarjetas exigen que el comerciante obtenga el código cuando el titular de la tarjeta no está presente en persona. Utiliza el código de servicio 000.
• Las tarjetas EMV sin contacto o con chip proporcionan sus propios códigos generados electrónicamente, denominados iCVV. Utilizan el código de servicio 999. Está descrito en los estándares públicos de EMVCo.
• El método de verificación de tarjeta de crédito del dispositivo de consumo (CDCVM, por sus siglas en inglés) es un tipo de verificación de identidad en el que se utiliza el dispositivo móvil del usuario (como un teléfono inteligente) para verificar la identidad del usuario; por ejemplo, puede utilizar las funciones de autenticación biométrica del dispositivo (por ejemplo, Touch ID o Face ID ) o el código de acceso establecido del dispositivo . Es compatible con varios sistemas de pago, como Apple Pay , ^[5] Google Pay ^[6] o Samsung Pay . ^[7]

Ubicación

El código de seguridad de la tarjeta normalmente son los últimos tres o cuatro dígitos impresos, no en relieve como el número de la tarjeta, en la banda de firma en el reverso de la tarjeta. Sin embargo, en las tarjetas American Express, el código de seguridad de la tarjeta son los cuatro dígitos impresos (no en relieve) en el frente hacia la derecha. El código de seguridad de la tarjeta no está codificado en la banda magnética, sino impreso de forma plana.

• Las tarjetas American Express tienen un código de cuatro dígitos impreso en el frente de la tarjeta encima del número.
• Las tarjetas de crédito y débito Diners Club , Discover, JCB , Mastercard y Visa tienen un código de seguridad de tres dígitos. El código es el último grupo de números impreso en el panel de firma posterior de la tarjeta.
• Las nuevas tarjetas Mastercard y Visa de América del Norte presentan el código en un panel separado a la derecha de la franja de la firma. ^[8] Esto se ha hecho para evitar sobrescribir los números al firmar la tarjeta.

Generación

El CSC de cada tarjeta (forma 1 y 2) lo genera el emisor de la tarjeta cuando se emite la misma. Se calcula cifrando el número de la tarjeta bancaria y la fecha de caducidad (dos campos impresos en la tarjeta) con claves de cifrado que solo conoce el emisor de la tarjeta y decimalizando el resultado (de manera similar a una función hash ). ^{[9] [10] [11]}

Beneficios y limitaciones

Como medida de seguridad, los comerciantes que requieren el CVV2 para transacciones " sin tarjeta presente " deben ser obligados por el emisor de la tarjeta a no almacenar el CVV2 una vez que se autoriza la transacción individual. ^[12] De esta manera, si se compromete una base de datos de transacciones , el CVV2 no está presente y los números de tarjetas robados son menos útiles. Las terminales virtuales y las pasarelas de pago no almacenan el código CVV2; por lo tanto, los empleados y representantes de servicio al cliente con acceso a estas interfaces de pago basadas en la web, que de otro modo tendrían acceso a números de tarjetas completos, fechas de vencimiento y otra información, aún carecen del código CVV2.

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) también prohíbe el almacenamiento de CSC (y otros datos de autorización sensibles) después de la autorización de la transacción. Esto se aplica globalmente a cualquier persona que almacene, procese o transmita datos del titular de la tarjeta. ^[13] Dado que el CSC no está contenido en la banda magnética de la tarjeta, normalmente no se incluye en la transacción cuando la tarjeta se utiliza cara a cara en un comercio. Sin embargo, algunos comerciantes en América del Norte, como Sears y Staples , requieren el código. Para las tarjetas American Express , esta ha sido una práctica invariable (para transacciones "sin tarjeta presente") en países de la Unión Europea (UE) como Irlanda y el Reino Unido desde principios de 2005. Esto proporciona un nivel de protección al banco/titular de la tarjeta, en el sentido de que un comerciante o empleado fraudulento no puede simplemente capturar los detalles de la banda magnética de una tarjeta y usarlos más tarde para compras "sin tarjeta presente" por teléfono, pedido por correo o Internet. Para ello, el comerciante o su empleado también tendrían que anotar visualmente el CVV2 y registrarlo, lo que tiene más probabilidades de despertar sospechas en el titular de la tarjeta.

El suministro del código CSC en una transacción tiene como finalidad verificar que el cliente tiene la tarjeta en su poder. El conocimiento del código demuestra que el cliente ha visto la tarjeta o ha visto un registro realizado por alguien que vio la tarjeta.

Las limitaciones incluyen:

• El uso del CSC no puede proteger contra las estafas de phishing , en las que se engaña al titular de la tarjeta para que introduzca el CSC entre otros datos de la tarjeta a través de un sitio web fraudulento. El aumento del phishing ha reducido la eficacia real del CSC como dispositivo antifraude. Ahora también existe una estafa en la que un estafador ya ha obtenido el número de cuenta de la tarjeta (quizás pirateando una base de datos de un comerciante o de un recibo mal diseñado) y da esta información a las víctimas (haciéndoles creer que están seguras) antes de pedir el CSC (que es todo lo que necesita el estafador y el propósito de la estafa en primer lugar). ^[14]
• Dado que el comerciante no puede almacenar el CSC durante un período de tiempo determinado ^[12] (después de la transacción original en la que se cotizó y luego se autorizó el CSC), un comerciante que necesite facturar regularmente una tarjeta por una suscripción regular no podría proporcionar el código después de la transacción inicial. Sin embargo, las pasarelas de pago han respondido añadiendo funciones de "facturación periódica" como parte del proceso de autorización.
• Algunos emisores de tarjetas no utilizan el CSC. Sin embargo, las transacciones sin CSC posiblemente estén sujetas a un mayor costo de procesamiento de la tarjeta para los comerciantes, ^{[ cita requerida ]} y las transacciones fraudulentas sin CSC tienen más probabilidades de resolverse a favor del titular de la tarjeta. ^{[ cita requerida ]}
• No es obligatorio que un comerciante solicite el código de seguridad para realizar una transacción, por lo que la tarjeta puede seguir siendo propensa a fraudes incluso si los estafadores solo conocen su número. Por ejemplo, Amazon solo requiere un número de tarjeta y una fecha de vencimiento para completar una transacción.
• Es posible que un estafador adivine el CSC mediante un ataque distribuido. ^[15]

Véase también

• 3-D seguro
• Fraude con tarjetas de crédito
• ISO 8583

Referencias

1. "Preguntas frecuentes sobre SafeKey | American Express Canada" www.americanexpress.com . Consultado el 4 de mayo de 2021 .
2. "Características de seguridad de la tarjeta American Express®" (PDF) . www.americanexpress.com . Archivado (PDF) del original el 27 de noviembre de 2020 . Consultado el 4 de mayo de 2021 .
3. "Número de verificación de la tarjeta (CVN)" . Consultado el 2 de julio de 2023 .
4. "CIBC MasterCard - MasterCard SecureCode". Archivado desde el original el 24 de abril de 2014. Consultado el 12 de julio de 2012 .
5. "El límite de £20 de Apple Pay en el Reino Unido 'cambiará con el tiempo'". Wired UK . 24 de junio de 2015 . Consultado el 24 de junio de 2022 .
6. "¿Un gran avance en los pagos móviles? Google Pay se lanza en Alemania". Avira . 17 de julio de 2018 . Consultado el 24 de junio de 2022 .
7. "Samsung Pay ahora permite a los usuarios australianos realizar compras de alto valor sin PIN". SamMobile . 22 de septiembre de 2020 . Consultado el 24 de junio de 2022 .
8. "Características de seguridad de la tarjeta" (PDF) . Visa. Archivado desde el original (PDF) el 16 de febrero de 2012.
9. "Algoritmos PIN de VISA". www.ibm.com . 18 de septiembre de 2012 . Consultado el 18 de junio de 2021 .
10. "Guía del programador de aplicaciones de z/OS Integrated Cryptographic Service Facility". IBM. Marzo de 2002. pág. 209.^{[ enlace muerto ]}
11. "Guía del programador de aplicaciones de z/OS Integrated Cryptographic Service Facility". IBM. Marzo de 2002. pág. 258. ^{[ enlace muerto ]}
12. "Reglas para comerciantes que requieren visa". pág. 1. Archivado desde el original (doc) el 24 de febrero de 2014 . Consultado el 26 de febrero de 2013 .
13. "Fuente oficial de los documentos de los estándares de seguridad de datos PCI DSS y las pautas de cumplimiento de las tarjetas de pago". Pcisecuritystandards.org . Consultado el 25 de diciembre de 2011 .
14. "Páginas de referencia de leyendas urbanas: estafa de investigación de fraude de visas". Snopes.com. 23 de diciembre de 2003. Consultado el 25 de diciembre de 2011 .
15. Ducklin, Paul (5 de diciembre de 2016). "Cómo adivinar los códigos de seguridad de las tarjetas de crédito". naked security de SOPHOS . Consultado el 8 de diciembre de 2016 .