что такое маскировочные цифры на карте
Маскирование ИЛИ усечение номера PAN: в чем разница?
Я, конечно, не получаю пачками вопросы по безопасности платежных карт, однако, время от времени кто-нибудь да и задаст мне такой вопрос, который заслуживает отдельной публикации в блоге. Буквально на днях одна читательница, Мишель, задала мне такой вопрос, который, в целом отражает часто встречающееся непонимание в сфере безопасности платежных карт:
Вчера я перечитывала PCI DSS 2.0, требование 3.4, и была немало удивлена тем, что для защиты хранимых номеров PAN не предлагается такая мера как «маскирование». Правильно ли я понимаю, что эти номера подлежат шифрованию перед помещением их на хранение, а при извлечении, они подлежат расшифрованию и маскированию? И потом, если мы получаем номер PAN уже в маскированном виде, а затем храним его, то попадает ли такое хранение под действие стандарта PCI DSS? С технической точки зрения, как я думаю, не попадает, т.к. PAN уже маскирован при получении, а значит нет возможности найти номер PAN в незашифрованном виде.
Вот в этом как раз и кроется основная суть непонимания сути маскирования. Многие люди либо вообще не знают о существовании усечения и полагают, что если они не могут видеть полный номер карты, то это маскирование, либо считают, что усечение и маскирование — это одно и то же. Несомненно это разные вещи, поэтому я позволю себе процитировать определения маскирования и усечения прямо из Глоссария PCI SSC:
Маскирование (Masking)
Метод сокрытия сегмента данных при отображении или печати. Маскирование используется, когда нет служебной необходимости в просмотре всего номера PAN.
Усечение (truncation)
Метод приведения номера PAN к нечитаемому виду посредством удаления сегмента данных PAN.
Представьте себе данные о держателе карты (далее – ДДК) в виде цифр на листке бумаги. При маскировании мы словно берем коррекционную ленту и наносим ее на большую часть цифр таким образом, чтобы человеку, которому передается этот листок, было видно только последние 4 цифры. Очевидно, что при этой операции данные по прежнему существуют под коррекционной лентой, хотя она их и скрывает. Разумеется, с этого листка бумаги, приложив некоторые усилия, можно счистить коррекционную ленту, а значит этот лист бумаги по прежнему нуждается в защите, при которой никакие злоумышленники не могли бы восстановить и использовать данные о держателе карты.
В свою очередь, если бы мы хотели выполнить усечение на этом листке бумаги, то мы бы либо вообще изначально не писали эти цифры, либо стерли их настолько надежно, что их никогда нельзя было бы воссоздать. Такие данные никогда не были бы написаны на листе бумаги, а значит никак не могли бы быть использованы для мошенничества с платежными картами. В таком сценарии, этот лист бумаги не имеет никакой ценности для злоумышленника, а значит нет необходимости его защищать, по крайней мере в той же степени, в которой следует защищать маскированные данные. Конечно, к этим усеченным данным могут быть привязаны какие-то дополнительные данные или значения, но сами по себе усеченные данные ценности не имеют.
Если на экране отображаются данные, из которых видна только малая часть, то нельзя знать наверняка, какие именно представлены данные — усеченные или маскированные. Для того, чтобы это узнать, необходимо глубже понимать процессы их обработки. Только понимая процессы, можно сказать, можно ли каким-либо воссоздать эти данные или же в базе данных хранятся те же данные, которые видны на экране. Находясь в обычном магазине, можно увидеть на чеках последние 4 цифры номера карты. Если платежное приложение написано корректно, то должность персонала – будь то руководитель торгового зала или продавец — не должна иметь значения: в любом случае никто не должен видеть ничего кроме последних 4 цифр номера. Дело в том, что в таком приложении данные не сохраняются, а значит ни у кого из сотрудников магазина нет возможности извлечь данные из системы — данные усечены и их в системе больше нет.
Совсем иная ситуация в бэк-офисе, в бухгалтерии и в службе, отвечающей за предотвращение ущерба. По умолчанию, сотрудники этих отделов и служб должны видеть только 4 последних цифры номера платежной карты. Однако при возникновении претензионных платежей или подозрений на вероятное мошенничество, сотрудники компании в рамках расследования должны иметь возможность отменить маскирование полного номера карты. Эти номера по-прежнему существуют на сервере, однако, они там в основном хранятся в маскированном (скрытом) виде, и отображаются только должным образом уполномоченному персоналу. Поскольку имеется возможность извлечения этих данных на серверах, они полностью входят в область оценки на соответствие стандарту PCI DSS и подлежат соответствующей защите.
Таким образом, отвечая на вопрос читательницы, я скажу, что хранимые данные не могут быть «маскированы». Они маскируются только при извлечении и считаются маскированными, если отображены частично. Именно поэтому, в требовании 3.4 отсутствует маскирование. Если же ТСП получает ДДК, в которых имеется только сегмент номера PAN (например, сегмент из первых 6 или последних 4 цифр), то такие данные являются усеченными. В таком случае полный номер PAN отсутствует, воссоздание его невозможно, а значит нет необходимости его защищать так же, как и ДДК. Я не говорю, конечно, о том, что данные, привязанные к этому номеру не имеют ценности и не подлежат защите, просто усеченные данные не входят в область применения требований стандарта.
Если же ТСП получает полный номер PAN, но сотрудникам он отображается в маскированном виде, то, даже если никто в ТСП не имеет доступа к ДДК, оно все равно отвечает за их защиту согласно требованиям стандарта. Если в этих данных нет необходимости, есть смысл просить о предоставлении усеченных данных, тем самым, сэкономив кучу сил и нервов на общении с аудиторами, выполнении требований стандарта, да и вообще на процессе приведения среды в соответствие со стандартом PCI DSS. Например, я приятный в общении человек, но даже самые большие мои поклонники среди клиентов подтвердят, что я становлюсь противным и невыносимым, как минимум, раз в год, когда прихожу к ним для проведения аудита.
Что такое CVV и CVC на банковской карте
Уровни защиты банковской карты
Держатели пластиковых карт, чтобы подтвердить доступ к денежным средствам, находящимся на карточном счете, пользуются различными степенями защиты:
Очень часто CVC (Card Verification Value) путают с PIN (Personal Identification Number) или уникальным номером платежной карты. Но:
Важно знать, что наличие CVC-кода не является обязательным условием для совершения онлайн-платежа. Продавец может потребовать код, а может и не потребовать.
Что такое CVC и CVV на банковской карте
При оплате в стационарных торговых точках и сервисах держатель карты может предъявить пластиковый носитель, а при дистанционных операциях, такой возможности нет. Именно для идентификации личности в интернет-пространстве нужны секретные цифровые проверочные коды, включенные в учетную запись:
Разница в терминологии и аббревиатурах не отражается на технических характеристиках кодов.
Чтобы правильно пользоваться пластиковой картой, обязательно нужно представлять, что такое CVC-код\CVV-код на банковской карте.
.jpg "что такое маскировочные цифры на карте. Смотреть фото что такое маскировочные цифры на карте. Смотреть картинку что такое маскировочные цифры на карте. Картинка про что такое маскировочные цифры на карте. Фото что такое маскировочные цифры на карте")
Где находится CVV и CVC на банковской карте
У неопытных пользователей, недавно открывших для себя возможности дистанционного шопинга, могут возникнуть резонные вопросы: “Где расположен на карте CVC-код?” или “Где на карте находится CVV-код?”.
Исключение составляют карты, выпускаемые и обслуживаемые платежной системой American Express. На картах американской финансовой компании код, выполненный мелким шрифтом, находится на фронтальной стороне.
Как выглядят коды CVV и CVC
Коды проверки подлинности карты выглядят как комбинация:
Обратите внимание, что на банковских картах МИР, в месте, где должен находится трехзначный код, можно обнаружить два блока, состоящих из семи цифр:
В чем разница между кодами?
Когда мы говорим о кодах, числовое значение которых нанесено способом индент-печати на пластиковой карте, мы имеем в виду коды CVC2 и CVV2. Совершая платежи или покупки в интернете, держатели карточных продуктов вводят коды, визуально видимые на карте.
Обратите внимание, что вводимые при онлайн-шопинге кодовые комбинации не сохраняются в базе данных онлайн-ритейлеров. После того, как платежная транзакция удачно проведена, сведения автоматически удаляются.
Существуют еще две группы кодовых комбинаций:
Применение кодов
CVC/CVV-коды нужны при:
Чтобы не стать объектом мошенников, не вводите персональные данные, в том числе коды безопасности, на непроверенных сайтах. После того, как денежные средства будут переведены непосредственно держателем карты, опротестовать транзакцию практически невозможно.
Обнаружили ошибку? Выделите ее и нажмите Ctrl + Enter.
Зачем в пречеке скрывают цифры номера карты?
Когда я пополняю свою карту по ее номеру в каком-нибудь салоне связи, мне дают пречек на проверку. Номер карты в нем частично скрыт. Зачем скрывают цифры в середине номера карты? Как я могу их проверить, если сотрудник салона мне их не диктует, ссылаясь на требования безопасности?
Буду рад, если объясните, зачем это нужно, ведь просто по номеру карты списать деньги невозможно.
Павел, действительно, номер карты скрывают в целях безопасности. Чтобы ответить на ваш вопрос, нужно объяснить, из чего состоит номер карты.
Из чего состоит номер карты
Последняя цифра — специальная, рассчитывается по алгоритму «Луна». Это особая формула, которая формируется из остальных цифр карты и выступает проверкой правильности и подлинности карты.
Вы могли обратить внимание, что даже в личном кабинете номер карты полностью не указан. В Тинькофф-банке это выглядит так:
Почему не указывают данные карты
Полностью данные чеков и пречеков не указываются в связи с требованиями стандартов безопасности данных индустрии платежных карт. В них прописано, что в чеке максимально могут быть указаны первые 6 и последние 4 цифры карты.
Раньше у Тинькофф-банка была договоренность с партнерами, через которых можно было пополнять счет так, чтобы на пречеке номер карты указывался полностью. Но в связи с обращениями клиентов и принятыми стандартами теперь в пречеках стали указывать только последние 4 цифры номера карты.
Сотрудники салона чаще всего сами предлагают устно проверить номер введенной карты. Если вы переживаете, что могли ошибиться в номере карты, попросите сотрудника сверить с вами номер карты или пополняйте карту по номеру договора.
Если у вас есть вопрос о личных финансах, правах и законах, здоровье или образовании, пишите. На самые интересные вопросы ответят эксперты журнала.
Что такое CVV и CVC коды на банковской карте и кому их можно сообщать?
«Не разглашайте информацию, указанную на карте» – твердят нам со всех сторон. А потом при онлайн-покупках просят ввести какие-то цифры. Можно ли это делать? Не украдут ли наши данные и деньги? Что вообще значат все эти цифры? Рассказываем доходчиво и подробно.
На данный момент около 70% населения планеты имеют в распоряжении хотя бы одну платежную карту. Для некоторых количество платежных и кредитных карт исчисляется не единицами, а десятками. Однако о грамотном использовании карт, безопасности поведения с ними мы все знаем далеко не все.
На лицевой стороне карты чаще всего есть следующие данные:
Номер карты. Четыре группы по четыре цифры. Это уникальный номер карты. По первой цифре можно определить, какой платежной системы карта перед вами. Начало с 4 – Visa, 5 – MasterCard, 6 – БЕЛКАРТ.
Срок действия карты. Месяц и год, до которой действует карта. Карта будет работать до последнего дня месяца, указанного здесь. Перевыпуск желательно заказать заблаговременно.
Имя и фамилия владельца карты. Бывают и безыменные карты, но их меньшинство. Интересно, что в Беларуси именные карты выпускаются с именем, указанным на латинице как в паспорте.
Логотип платежной системы. Visa, MasterCard, Maestro, American Express, БЕЛКАРТ и прочие. Это помогает видеть, где картой можно пользоваться, а где нужны другие инструменты.
Что такое CVV и CVC-коды на банковской карте?
Изначально оба кода – это номера для идентификации пользовательского счета платежной системой. Код нужен, чтобы банк определил плательщика как реального держателя карты, который имеет доступ к платежным реквизитам.
CVV – Card Verification Value – дословный перевод «значение верификации карты». Это номер, зашифрованный в магнитной полосе карт международной платежной системы Visa.
CVC – Card Validation Code или «Проверочный код карты». Это код безопасности, применяемый в картах системы Mastercard.
Разница в аббревиатурах, как можно догадаться, в принадлежности к определенной платежной системе и их протоколам безопасности.
Где находятся CVC и CVV коды на карте и как их узнать?
Идем на обратную сторону карточки. Именно здесь расположено то, что лучше скрывать от посторонних глаз. И именно здесь вы найдете заветные 3 цифры, необходимые для проведения онлайн-оплаты.
Для чего нужны коды на обратной стороне карты?
Вам понадобится CVC или CVV код для:
Если сзади карты нет 3 цифр, то такая карта не предназначена для совершения описанных выше сделок.
CVC и CVV коды – это своеобразная замена пин-кода при совершении онлайн транзакций. Вводить их можно и нужно при онлайн-переводах, онлайн-покупках и пополнении электронного кошелька. Однако стоит помнить о правилах безопасности:
Если вам звонит человек, который представляется сотрудником банка, то:
При совершении кражи с карты обратитесь с заявлением в милицию!
Почему нельзя сообщать CVV или CVC код карты?
С этим кодом мошенники могут пользоваться вашими деньгами. Например, совершить покупки, перевести ваши деньги на собственные счета.
Будьте бдительны и внимательны. У тех, кто их считает и бережет деньги, они задерживаются на подольше!
Читайте нас в Telegram и Яндекс.Дзен первыми узнавайте о новых статьях!
Что такое CVC на банковской карте, и как не стать жертвой мошенников
Для того чтобы ваша банковская карта не стала легкой добычей мошенников и дырой, через которую пропадают деньги, научитесь грамотно ей пользоваться. Каждый элемент на карточке имеет свое назначение, и знать его необходимо прежде всего для вас и вашей безопасности. Если с фамилией и именем владельца на лицевой стороне все понятно, то на цифры обратной стороны часто не обращают внимания. Что такое CVC на банковской карте, для чего нужен код, и как защититься от мошенников – все это рассмотрим в статье.
Понятие и назначение
CVC – это цифровой код, который присваивается при выпуске банковских карт: виртуальных или реальных, для безопасных расчетов в интернете. Введением его при покупке в специальную форму на каком-либо сайте вы сообщите обслуживающему банку, что именно вы владелец карты и согласны на осуществление расходной операции.
Не путайте с ПИН-кодом, который вы получаете в конверте, придумываете в отделении банка или в мобильном приложении при оформлении карточки. Он нужен для действий, которые осуществляете непосредственно в банкоматах, магазинах, кафе и других местах, оборудованных платежными терминалами. Причем по операциям более 1 000 руб. практически везде просят ввести 4 цифры ПИН-кода для безопасности, даже если карта имеет бесконтактную систему оплаты.
При платежах в интернете за товары и услуги банковскую карту не вставишь в компьютер или телефон, чтобы проверить ее подлинность и убедиться в согласии владельца на осуществление денежного перевода. Для этого просят ввести CVC-код.
Он расположен на обратной стороне любой карты: дебетовой или кредитной. Найдите поле для подписи. Как правило, код будет в самом его конце. Это 3 цифры. Иногда в поле написаны еще цифры (часть номера банковской карточки), и только потом CVC. Он отделен пробелом или дробной чертой.
Обратите внимание, что у платежных систем разные аббревиатуры. У Visa – CVV2, у MasterCard – CVC2. Платежная система МИР имеет свое обозначение – CVP2 или MirAccept. Код American Express CID находится на лицевой стороне под номером и состоит из четырех цифр.
Несмотря на разные аббревиатуры, назначение цифр на карточке одно и то же – обеспечение безопасности при оплате через интернет.
Как он работает
CVC – это не единственный инструмент для безопасных операций по банковской карте. Последние поколения платежных средств выпускаются с дополнительной защитой. Например, 3-D Secure. Кроме ввода в специальное поле кода, надо дождаться SMS от банка с еще одним цифровым подтверждением операции.
Рассмотрим, как выглядит процедура покупки в интернете.
Шаг 1. Выбираете на сайте товар или услугу, которую хотите приобрести. Нажимаете “Оплатить”.
Шаг 2. Часто на выбор предлагают несколько вариантов оплаты: банковская карта, электронные деньги и др. Выбираете свой.
Шаг 3. При оплате карточкой появляется специальная форма для ввода реквизитов. Пример от Сбербанка:
Шаг 4. Вводите данные. С помощью отправки реквизитов в банковской системе проверяется следующая информация: срок действия карты, имя владельца, сумма на счете, достаточная для проведения операции, установленные лимиты и пр. При поддержке 3-D Secure после нажатия кнопки “Оплатить” появится еще одна форма для ввода дополнительного пароля. Он придет на телефон, привязанный к карте. Только после его ввода процедура будет завершена, и платеж исполнен.
Внимание! CVC-код нужен только при расходных операциях. Если кто-то спрашивает его, чтобы якобы перевести вам на счет деньги, это мошенник. Никогда и никому не сообщайте цифры с обратной стороны пластикового платежного средства. Также никто не должен знать и пароль, присланный от банка по SMS.
Особенности виртуальных карт
Банк выпускает виртуальные карты, как правило, для расчетов в сети Интернет. Они не имеют физического носителя (пластика). Это выгодно финансово-кредитным организациям, потому что не надо тратиться на производство, и для владельцев обслуживание карточки бесплатное.
Несмотря на отсутствие материальной основы, на виртуальную карту распространяются те же правила, что и на обычную. Возникает только вопрос: “Где смотреть код безопасности CVC?” При выпуске его сообщит банк в СМС или пришлет на электронную почту.
Меры безопасности
Отдельно хочу остановиться на мерах предосторожности, которые надо соблюдать, чтобы не остаться без денег. Мошенники изобретают все новые и новые способы обмана владельцев банковских карт, и не всегда они связаны с современными технологиями. Методы убеждения и вхождения в доверие гражданам остаются самыми действенными до сих пор. Вернуть украденные деньги непросто, а в некоторых случаях невозможно, если вы сами сообщили реквизиты мошеннику.
Элементарные правила безопасности:
Заключение
Надеюсь, что теперь у вас не осталось “белых пятен” на банковской карте. Все цифры важны и нужны. Помните, что для перевода денег на ваш счет от других людей им достаточно знать только номер карточки (на лицевой стороне) и больше ничего. При покупках в интернете в специальную форму надо вводить следующие данные: номер, срок действия, имя и фамилию владельца, код CVC. При наличии дополнительной защиты – еще и пароль, полученный в SMS от банка.
Желаю, чтобы никто из наших читателей не стал жертвой мошенников. Будьте осторожны и не поддавайтесь на манипуляции. Следите за своей карточкой точно так же, как вы делаете это с обычным кошельком. А в случае любых подозрений сразу блокируйте счет. Лучше потом восстановить карту, чем потерять все деньги.