Блог | bePaid

1. На різних тематичних інформаційних ресурсах, присвячених електронної комерції і платіжними картками,...
2. Еволюція CVV / CVC - динамічний тризначний код
3. Динамічний верифікаційний код або 3 D Secure? Питання безпеки, зручності, вартості.

На різних тематичних інформаційних ресурсах, присвячених електронної комерції і платіжними картками, виробники і оглядачі розповідають про інновації, покликаних робити наші покупки в інтернеті набагато безпечніше. Останнім часом в інтернеті з'явилося безліч статей про останню новинку компанії Gemalto - пластиковій картці з автоматично постійно змінюваних кодом перевірки справжності - Dynamic Code Verification або скорочено DCV. Особливо підкреслюється високий рівень захисту власників карт від шахрайських онлайн-платежів.

Як команда, що має безпосереднє відношення до процесингу карткових платежів через інтернет і переживаючи за безпеку електронної комерції, ми не могли пройти повз пропонованої інновації і не порівняти її з технологією 3-D Secure, яка фактично є стандартом інтернет-еквайрінгу в сфері захисту від шахрайських платежів .

Традиційний З VV / CVC - тризначний код на банківській картці

Будь-якому власникові банківської платіжної картки, який хоч раз оплачував що-небудь через інтернет, добре відомо, що для здійснення платежу поряд з усіма реквізитами карти потрібно ввести і тризначний код, надрукований на її зворотному боці. У російськомовному сегменті інтернету ці три цифри зазвичай так і називають «тризначний код». В англомовному світі він відомий як CVV (Card Verification Value) або CVC (Card Verification Code).

Спочатку CVV / CVC був покликаний захистити електронну комерцію від платежів, з використанням викрадених реквізитів банківських платіжних карт. У недавньому минулому, як мінімум років 20 назад, основним джерелом розкрадання карткових реквізитів для інтернет-шахраїв був мир «оффлайна». Номер карти, ім'я власника і термін її дії можна було або підглянути і запам'ятати, коли власник розплачувався в торговій точці, або скопіювати з сліп-чеків. А оскільки CVV / CVC просто друкувався на звороті карти, побачити його і викрасти було значно складніше, ніж інші карткові реквізити.
Сліп-чек - це чек, на який переносилися карткові дані, ембосовані (або, простіше кажучи, видавлені) на карті, шляхом її прокатки в сліп-машинці. Був такий спосіб прийому карткових платежів, коли електронні канали зв'язку не були такі добре розвинені як зараз, і торговельні підприємства були обладнані не електронний POS-терміналами, а такими ось механічними пристроями.
Однак з розвитком електронної торгівлі захисна функція CVV / CVC поступово втратила свою ефективність, так як шахраї почали активно використовувати фішингові методи видобутку карткових даних, при яких, введені в оману, власники карт самостійно повідомляли їм не тільки видавлені на мапі реквізити, а й той самий CVV / CVC.

Еволюція CVV / CVC - динамічний тризначний код

Динамічний код, DCV - це еволюційний розвиток застарілих CVV / CVC. На відміну від них, на протязі всього дії терміну карти DCV регулярно змінюється через рівні проміжки часу (за замовчуванням кожні 20 хвилин) за певним алгоритмом, відомому тільки банку-емітенту. Для відображення DCV в платіжну карту вбудований мініатюрний дисплей.
За задумом розробника технології, DCV унеможливлює використання викрадених карткових реквізитів. Навіть якщо шахраям вдалося отримати повний набір даних, як максимум, через 20 хвилин код зміниться, і спроба інтернет-платежу з використанням застарілого тризначного коду буде відхилена банком-емітентом.

Динамічний верифікаційний код або 3 D Secure? Питання безпеки, зручності, вартості.

Ідея DCV зрозуміла, логічна і, дійсно, забезпечує більш високий захист інтернет-платежів в порівнянні з використанням статичних CVV / CVC.
Але не запізнилася чи технологія DCV з виходом на ринок? Чи зможе вона скласти конкуренцію вже усталеній і загальноприйнятому стандарту в платіжної індустрії - верифікації власника карти при здійсненні інтернет-платежу c 3-D Secure? І, нарешті, наскільки карти з DCV можуть бути зручні для емітентів і кінцевих користувачів?
Ймовірно, DCV могла б стати революційно проривний технологією забезпечення безпеки інтернет-платежів, якби в цій області вже не існувало 3-D Secure. Справа в тому, що при всій своїй інноваційності та технологічності DCV все ж поступається 3-D Secure в рівні забезпечення безпеки платежів.
Так, DCV змінюється кожні 20 хвилин. Але при використанні сучасних реалізацій 3-D Secure, код підтвердження платежу генерується і повідомляється власнику карти безпосередньо в процесі обробки транзакції (платежу). І тому, якщо у випадку з DCV у зловмисника теоретично є, нехай і дуже невеликий, але шанс використовувати викрадені карткові дані до чергової зміни DCV, то в разі 3-D Secure у шахрая такого шансу в принципі немає.
А якщо пластикова карта фізично вкрадена? DCV, в цьому випадку, ніяк не зможе захистити власника від витрати його грошей шахраями в інтернет-магазинах. Звичайно, банківські інструкції вимагають від власника карти негайно повідомити в банк про її втрату для негайної блокування. Але між розкраданням і виявленням пропажі може пройти не одну годину, а в деяких випадках і не один день. Цього часу цілком достатньо, щоб шахрай викачав з карти всі гроші через інтернет.
У разі, якщо інтернет-платежі захищені 3-D Secure, злочинець не зможе скористатися вкраденої карткою. Але, навіть якщо якимось чином і зможе (наприклад, інтернет-торговець відключив опцію перевірки по 3-D Secure для всіх своїх покупців), правила платіжних систем будуть на стороні власника карти і банку-емітента. Якщо транзакція по карті, захищеної 3-D Secure, пройшла без перевірки платника (тобто у власника карти в процесі покупки не був запитаний код), то відповідальність за таку транзакцію лежить на продавцеві і банку-еквайєрі, і в разі шахрайства гроші будуть повернуті покупцеві.
Виникають побоювання і щодо зручності повсякденного довготривалого використання карти з DCV. Далеко не всі люди дбайливо і обережно звертаються з шматком пластика. Карта може неабияк потертися, як мінімум. Вона може зігнутися. Від неї може відколотися куточок. І, тим не менше, при всіх пошкодженнях таку карту можна використовувати при оплаті через інтернет. Очевидно, що з картою, оснащеної DCV, доведеться звертатися акуратно, щоб не дай бог не пошкодити мініатюрний дисплей. Інакше DCV продовжить змінюватися, але власник карти нічого не побачить.
І також очевидно, що вартість виготовлення карти з DCV повинна бути вище, ніж карти зі звичайними CVV / CVC.
Всі ці роздуми дають підстави вважати, що DCV поки не може на рівних конкурувати з уже існуючою та перевіреної технологією 3-D Secure. А тому навряд чи ця технологія отримає широке поширення в банках-емітентах тих платіжних систем, де 3-D Secure вже використовується.
А ось в тих платіжних системах, де 3-D Secure з якихось причин досі не впроваджена (наприклад, Белкарт або російської «Мир»), DCV може стати непоганою альтернативою.
Час покаже. До слова інтернет-магазини, що приймають платежі за банківськими картками через процессинговую платформу bePaid, надійно захищені від шахрайства технологією 3-D Secure та іншими інноваційними інструментами безпеки.
З повагою,
команда bePaid