Código de Seguridad de la Tarjeta

Característica de seguridad en tarjetas de pago

El código de seguridad de la tarjeta se encuentra en el reverso de las tarjetas de crédito o débito Mastercard , Visa , Discover , Diners Club y JCB y suele ser un grupo separado de tres dígitos a la derecha de la franja de firma.

En las tarjetas American Express , el código de seguridad de la tarjeta es un grupo de cuatro dígitos impreso, no en relieve, en el frente hacia la derecha.

Un código de seguridad de tarjeta ( CSC ; también conocido como CVC , CVV o varios otros nombres) es una serie de números que, además del número de la tarjeta bancaria , está impreso (pero grabado ) en una tarjeta de crédito o débito . El CSC se utiliza como característica de seguridad para transacciones sin tarjeta presente , donde el titular de la tarjeta no puede ingresar manualmente un número de identificación personal (PIN) (como lo haría durante las transacciones en el punto de venta o con tarjeta presente). Fue instituido para reducir la incidencia del fraude con tarjetas de crédito . A diferencia del número de tarjeta, el CSC no está grabado deliberadamente, de modo que no se lea cuando se utiliza una impresora mecánica de tarjetas de crédito que sólo capta números en relieve.

Estos códigos se encuentran en lugares ligeramente diferentes para diferentes emisores de tarjetas. El CSC para las tarjetas de crédito Visa , Mastercard y Discover es un número de tres dígitos que se encuentra en el reverso de la tarjeta, a la derecha del cuadro de firma. El CSC de American Express es un código de cuatro dígitos que se encuentra en el frente de la tarjeta, encima del número de cuenta. Vea las figuras a la derecha para ver ejemplos.

CSC fue desarrollado originalmente en el Reino Unido como un código alfanumérico de once caracteres por Michael Stone, empleado de Equifax , en 1995. Después de realizar pruebas con el grupo Littlewoods Home Shopping y el banco NatWest , el concepto fue adoptado por la Asociación de Servicios de Compensación de Pagos del Reino Unido (APACS) y simplificado al código de tres dígitos conocido hoy. Mastercard comenzó a emitir números CVC2 en 1997 y Visa en Estados Unidos los emitió en 2001. American Express comenzó a utilizar el CSC en 1999, en respuesta al aumento de las transacciones por Internet y a las quejas de los titulares de tarjetas sobre interrupciones en los gastos cuando se ha puesto en peligro la seguridad de una tarjeta. en duda.

Las tarjetas sin contacto y las tarjetas con chip pueden generar electrónicamente su propio código, como iCVV o un CVV dinámico .

Nombrar

Los códigos tienen diferentes nombres:

• "CSC" o "código de seguridad de la tarjeta": tarjetas de débito , ^{[ ¿cuáles? ]} American Express (tres dígitos en el reverso de la tarjeta, también conocido como 3CSC) ^[1]
• "CVC" o "código de validación de tarjeta": Mastercard
• "CVV" o "valor de verificación de la tarjeta": Visa
• "CAV" o "valor de autenticación de tarjeta": JCB
• "CID": "ID de tarjeta", "número de identificación de tarjeta" o "código de identificación de tarjeta": Discover , American Express (cuatro dígitos en el frente de la tarjeta). American Express generalmente usa el código de cuatro dígitos en el frente de la tarjeta, conocido como código de identificación de la tarjeta (CID), pero también tiene un código de tres dígitos en el reverso de la tarjeta, conocido como código de seguridad de la tarjeta ( CSC). American Express también se refiere a veces a un "código de tarjeta único". ^[2]
• "CVD" o "datos de verificación de tarjeta": Descubrir
• "CVE" o "código de verificación Elo": Elo en Brasil
• "CVN" o "número de validación de tarjeta", también "número de verificación de tarjeta": China UnionPay , Google Ads ^[3]

• "SPC" o "código de panel de firma" ^[4]

Tipos

Existen varios tipos de códigos de seguridad y PVV (todos generados a partir de la clave DES en el banco en los módulos HSM usando PAN , fecha de vencimiento y código de servicio):

• El primer código, de 3 números, llamado CVC1 o CVV1, está codificado en las pistas uno y dos de la banda magnética de la tarjeta y se utiliza para transacciones con tarjeta presente, con firma (la segunda pista también contiene el valor de verificación del pin, PVV, pero ahora es normalmente todo puesto a cero y código de servicio). El propósito del código es verificar que una tarjeta de pago esté realmente en manos del comerciante (por lo tanto, debería ser diferente del CVV2). Este código se recupera automáticamente cuando se lee (desliza) la banda magnética de una tarjeta en un dispositivo de punto de venta (tarjeta presente) y el emisor la verifica. Una limitación es que si se ha duplicado toda la tarjeta y se ha copiado la banda magnética, el código sigue siendo válido, aunque normalmente es necesario firmar después de eso. (Ver fraude con tarjetas de crédito § hojeado ).
• El segundo código, y el más citado, es CVV2 o CVC2. Los comerciantes suelen utilizar este código para transacciones sin tarjeta presente, incluidas compras en línea. En algunos países de Europa occidental, los emisores de tarjetas exigen que el comerciante obtenga el código cuando el titular de la tarjeta no está presente en persona. Utiliza el código de servicio 000.
• Las tarjetas EMV sin contacto y/o con chip proporcionan sus propios códigos generados electrónicamente, llamados iCVV. Utiliza el código de servicio 999. Se describe en los estándares públicos de EMVCo.
• El método de verificación del titular de la tarjeta del dispositivo del consumidor (CDCVM para abreviar) es un tipo de verificación de identidad en el que se utiliza el dispositivo móvil del usuario (como un teléfono inteligente) para verificar la identidad del usuario; por ejemplo, puede utilizar las funciones de autenticación biométrica del dispositivo (por ejemplo, Touch ID o Face ID ) o el código de acceso establecido en el dispositivo . Es compatible con varios sistemas de pago, como Apple Pay , ^[5] Google Pay ^[6] o Samsung Pay . ^[7]

Ubicación

El código de seguridad de la tarjeta suele constar de los últimos tres o cuatro dígitos impresos, no grabados como el número de la tarjeta, en la franja de firma en el reverso de la tarjeta. Sin embargo, en las tarjetas American Express, el código de seguridad de la tarjeta son los cuatro dígitos impresos (no grabados) en el frente hacia la derecha. El código de seguridad de la tarjeta no está codificado en la banda magnética sino que está impreso en plano.

• Las tarjetas American Express tienen un código de cuatro dígitos impreso en el anverso de la tarjeta, encima del número.
• Las tarjetas de crédito y débito Diners Club , Discover, JCB , Mastercard y Visa tienen un código de seguridad de tarjeta de tres dígitos. El código es el último grupo de números impresos en el panel de firma posterior de la tarjeta.
• Las nuevas tarjetas Mastercard y Visa de América del Norte presentan el código en un panel separado a la derecha de la franja de firma. ^[8] Esto se ha hecho para evitar que se sobrescriban los números al firmar la tarjeta.

Generación

El CSC para cada tarjeta (formularios 1 y 2) lo genera el emisor de la tarjeta cuando se emite la tarjeta. Se calcula cifrando el número de la tarjeta bancaria y la fecha de vencimiento (dos campos impresos en la tarjeta) con claves de cifrado conocidas sólo por el emisor de la tarjeta, y decimalizando el resultado (de manera similar a una función hash ). ^{[9] [10] [11]}

Beneficios y limitaciones

Como medida de seguridad, el emisor de la tarjeta exige a los comerciantes que requieren el CVV2 para transacciones con " tarjeta no presente " que no almacenen el CVV2 una vez que se autoriza la transacción individual. ^[12] De esta manera, si una base de datos de transacciones se ve comprometida , el CVV2 no está presente y los números de tarjetas robadas son menos útiles. Los terminales virtuales y pasarelas de pago no almacenan el código CVV2; por lo tanto, los empleados y representantes de servicio al cliente con acceso a estas interfaces de pago basadas en web, que de otro modo tendrían acceso a números completos de tarjetas, fechas de vencimiento y otra información, aún carecen del código CVV2.

El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) también prohíbe el almacenamiento de CSC (y otros datos de autorización confidenciales) después de la autorización de la transacción. Esto se aplica globalmente a cualquiera que almacene, procese o transmita datos del titular de la tarjeta. ^[13] Dado que el CSC no está contenido en la banda magnética de la tarjeta, normalmente no se incluye en la transacción cuando la tarjeta se utiliza cara a cara en un comerciante. Sin embargo, algunos comerciantes de Norteamérica, como Sears y Staples , requieren el código. Para las tarjetas American Express , esta ha sido una práctica invariable (para transacciones "sin tarjeta presente") en países de la Unión Europea (UE) como Irlanda y el Reino Unido desde principios de 2005. Esto proporciona un nivel de protección al banco/titular de la tarjeta. , en el sentido de que un comerciante o empleado fraudulento no puede simplemente capturar los detalles de la banda magnética de una tarjeta y utilizarlos más tarde para compras con "tarjeta no presente" por teléfono, por correo o por Internet. Para ello, un comerciante o su empleado también tendría que observar visualmente el CVV2 y registrarlo, lo que es más probable que despierte sospechas en el titular de la tarjeta.

Proporcionar el código CSC en una transacción tiene como objetivo verificar que el cliente tiene la tarjeta en su poder. El conocimiento del código demuestra que el cliente ha visto la tarjeta o ha visto un registro realizado por alguien que vio la tarjeta.

Las limitaciones incluyen:

• El uso del CSC no puede proteger contra estafas de phishing , en las que se engaña al titular de la tarjeta para que ingrese el CSC, entre otros detalles de la tarjeta, a través de un sitio web fraudulento. El crecimiento del phishing ha reducido la eficacia en el mundo real del CSC como dispositivo antifraude. Ahora también existe una estafa en la que un phisher ya ha obtenido el número de cuenta de la tarjeta (quizás pirateando una base de datos de un comerciante o a partir de un recibo mal diseñado) y proporciona esta información a las víctimas (haciéndolas adormecer con una falsa sensación de seguridad) antes de solicitarla. el CSC (que es todo lo que el phisher necesita y el propósito de la estafa en primer lugar). ^[14]
• Dado que el comerciante no puede almacenar el CSC durante ningún período de tiempo ^[12] (después de la transacción original en la que se cotizó el CSC y luego se autorizó), un comerciante que necesita facturar regularmente a una tarjeta para una suscripción regular no estaría capaz de proporcionar el código después de la transacción inicial. Sin embargo, las pasarelas de pago han respondido agregando funciones de "factura periódica" como parte del proceso de autorización.
• Algunos emisores de tarjetas no utilizan el CSC. Sin embargo, las transacciones sin CSC posiblemente estén sujetas a mayores costos de procesamiento de tarjetas para los comerciantes, ^{[ cita necesaria ]} y es más probable que las transacciones fraudulentas sin CSC se resuelvan a favor del titular de la tarjeta. ^{[ cita necesaria ]}
• No es obligatorio que un comerciante solicite el código de seguridad para realizar una transacción, por lo que la tarjeta aún puede ser propensa al fraude incluso si los phishers solo conocen su número. Por ejemplo, Amazon sólo requiere un número de tarjeta y una fecha de vencimiento para completar una transacción.
• Es posible que un estafador adivine el CSC mediante un ataque distribuido. ^[15]

Ver también

• 3-D seguro
• Fraude de tarjeta de credito
• ISO 8583

Referencias

1. "Preguntas frecuentes sobre SafeKey | American Express Canadá". www.americanexpress.com . Consultado el 4 de mayo de 2021 .
2. "Funciones de seguridad de la tarjeta American Express®" (PDF) . www.americanexpress.com . Archivado (PDF) desde el original el 27 de noviembre de 2020 . Consultado el 4 de mayo de 2021 .
3. "Número de verificación de tarjeta (CVN)" . Consultado el 2 de julio de 2023 .
4. "CIBC MasterCard - MasterCard SecureCode". Archivado desde el original el 24 de abril de 2014 . Consultado el 12 de julio de 2012 .
5. "El límite de £ 20 de Apple Pay en el Reino Unido 'cambiará con el tiempo'". Reino Unido cableado . 24 de junio de 2015 . Consultado el 24 de junio de 2022 .
6. "¿Avance para los pagos móviles? Google Pay se lanzó en Alemania". Avira . 17 de julio de 2018 . Consultado el 24 de junio de 2022 .
7. "Samsung Pay ahora permite a los usuarios australianos realizar compras de alto valor sin PIN". SamMobile . 22 de septiembre de 2020 . Consultado el 24 de junio de 2022 .
8. "Funciones de seguridad de la tarjeta" (PDF) . Visa. Archivado desde el original (PDF) el 16 de febrero de 2012.
9. "Algoritmos de PIN de VISA". www.ibm.com . 18 de septiembre de 2012 . Consultado el 18 de junio de 2021 .
10. "Guía del programador de aplicaciones de instalación de servicios criptográficos integrados de z/OS". IBM. Marzo de 2002. p. 209.^{[ enlace muerto ]}
11. "Guía del programador de aplicaciones de instalación de servicios criptográficos integrados de z/OS". IBM. Marzo de 2002. p. 258. ^{[ enlace muerto ]}
12. "Reglas para comerciantes de Visa". pag. 1. Archivado desde el original (doc) el 24 de febrero de 2014 . Consultado el 26 de febrero de 2013 .
13. "Fuente oficial de documentos de estándares de seguridad de datos PCI DSS y pautas de cumplimiento de tarjetas de pago". Pcisecuritystandards.org . Consultado el 25 de diciembre de 2011 .
14. "Páginas de referencia de Urban Legends: estafa de investigación de fraude de visas". Snopes.com. 23 de diciembre de 2003 . Consultado el 25 de diciembre de 2011 .
15. Ducklin, Paul (5 de diciembre de 2016). "Cómo adivinar los códigos de seguridad de las tarjetas de crédito". Seguridad desnuda de SOPHOS . Consultado el 8 de diciembre de 2016 .