CVV2 (Card Verification Value 2) — захисний код автентифікації для карт платіжної системи Visa. Код вказано на зворотному боці картки поруч із місцем для підпису власника після надрукованих там чотирьох останніх цифр номера банківської картки. У деяких категоріях карт код може не вказуватися.
CVV2-код складається із трьох цифр. Використовується для підвищення рівня надійності платежів в Інтернеті як захисний елемент під час проведення CNP-трансакцій.
В інших платіжних системах може називатися також:
- CID Card Identification Number (American Express and Discover);
- CAV2 Card Authentication Value 2 (JCB);
- CVC2 Card Validation Code 2 (MasterCard).
CVV2 використовується як захисний елемент при проведенні транзакції в середовищі CNP (card not present). Наприклад, e-commerce (інтернет), MO/TO (Mail order/Telephone order).
Номер CVV2 не слід плутати з ПІН-кодом та зі стандартним номером картки, що наноситься ембосуванням або індент-друком. Стандартний номер карти перевіряється на правильність окремим алгоритмом, який називається алгоритмом Місяць.
Цифра 2 у назві коду викликана тим, що є і “перший” захисний код, що використовується для верифікації в транзакціях із фізичним використанням картки. CVV/CVC-код записується на магнітну смугу.
Навіть у випадку, якщо CVV2-код на карті не вказується (карти Visa Electron з «маскованим» номером, нанесеним на картку не повністю, наприклад, лише останні 4 цифри), він все одно створюється при випуску картки.
Наявність CVV2-коду на карті не є необхідною, ні достатньою умовою для здійснення платежів в Інтернеті. Запит CVV2 з одного боку – це право, а не обов’язок продавця (тому не потрібно). З іншого боку, цей вид транзакцій може бути заборонено для конкретного виду карток банком-емітентом (тому не є достатнім).
Обмеження CVV2:
- Механізм CVV2 не може захистити від фішингу, коли введений в оману власник карти, серед інших її параметрів, вводить номер CVV2.
- Оскільки код CVV2 не може зберігатися продавцем протягом навіть короткого часу (після того як авторизацію з використанням CVV2 завершено – такі вимоги стандарту PCI DSS), то продавці, які повинні регулярно списувати гроші з картки за будь-яку послугу, не можуть використовувати CVV2 для наступних транзакцій. До таких продавців відносяться багато популярних інтернет-служб, такі як iTunes Store, PayPal, PlayStation Network, Steam.
- Якщо банк-емітент вимагає CVV2 для авторизації всіх інтернет-транзакцій, він тим самим не дозволяє використовувати свої карти для оплати зазначених служб. Такої вади, як правило, позбавлені віртуальних карт. Ризик, пов’язаний з необов’язковістю перевірки CVV2, компенсується у разі можливістю обмежити доступний ліміт віртуальної карти невеликою сумою.
Для того, щоб підтвердити автентичність пред’явника даних картки в мережі, в даний час розглядаються інші можливості, перш за все пов’язані з отриманням коду або запиту іншим способом, заздалегідь узгодженим законним власником картки та банком. Наприклад, використання разового пароля, отриманого в банкоматі або через SMS, підтвердження транзакції в системі інтернет-банкінгу банку-емітента картки або на окремому захищеному сайті. Цей комплекс заходів носить назву (залежно від платіжної системи) 3D-Secure: MasterCard SecureCode, Verified by Visa. Також є карти з динамічним CVV2 кодом (Dynamic CVV2), на яких код періодично (період задається емітентом) змінюється на екрані, розміщеному на карті.
