Vizuální kryptogram

Vizuální kryptogram obecně označuje poslední tři číslice na zadní straně platební karty.

Nejčastěji používaným výrazem je vizuální kryptogram , ale také výrazy bezpečnostní kód ( bezpečnostní kód karty nebo SCC v angličtině) nebo CVV (pro hodnotu ověření karty ) nebo CVC (pro ověřovací kód karty ) ověřovací kód ( V-kód nebo V kód ) nebo Ověření kódu karty (CCV). Všechny tyto pojmy označují metody používané k zabezpečení transakcí s platebními kartami a poskytují zvýšenou ochranu před podvodným použitím platebních karet.

Druhy kódů

Existují různé typy bezpečnostních kódů:

• CVV1 nebo CVC1, je šifrováno v magnetickém proužku karty a používá se pro osobní transakce. Účelem CVC1 nebo CVV1 je zajistit, aby data zaznamenaná na magnetickém proužku karty byla platná a byla generována vydávající bankou. Tato hodnota je uvedena v každé transakci a je ověřena bankou, která kartu vydala. Limity CVC1 nebo CVV1 jsou v tom, že pokud se zkopíruje veškerý magnetický proužek, může kartu duplikovat například nepoctivý zaměstnanec obchodu pomocí elektronického nástroje (skimming v angličtině).
• CVV2 nebo CVC2 nebo CVx2. Tento bezpečnostní kód často požadují obchodníci, aby zajistili vzdálenou transakci, ať už prostřednictvím internetu, pošty, faxu nebo telefonu. V mnoha západoevropských zemích je v důsledku nárůstu pokusů o podvodné použití platebních karet tento kód povinně poskytnut když je transakce vzdálená
• Bezkontaktní platební karty poskytují své vlastní elektronicky generované kódy, jako je iCVV nebo dynamický CVV.

Tyto kódy by neměly být zaměňovány s číslem kreditní karty, které se na platební kartě obvykle objevuje jako reliéf. Samotné číslo kreditní karty podléhá svému vlastnímu validačnímu systému s algoritmem nazývaným Luhnův vzorec, který se používá k určení, zda je číslo karty platné.

Tyto kódy by také neměly být zaměňovány s 3-D zabezpečeným PIN kódem nebo heslem známým jako „MasterCard SecureCode“ nebo „Verified by Visa“. Tyto kódy nejsou na kartě vytištěny ani zvýrazněny, ale jsou zadávány ručně v době transakce.

Umístění kódu

Bezpečnostní kód (CVV2 nebo CVC2) je skupina 3 nebo 4 číslic vytištěná na zadní straně platební karty napravo od místa vyhrazeného pro podpis, ale není zakódována v magnetickém proužku.

• Platební karty MasterCard , Visa, Diners Club , Discover (USA) a JCB (Japonsko) mají 3místný bezpečnostní kód. Tento kód nemá reliéf jako číslo platební karty, vždy jsou to poslední 3 číslice vytištěné na zadní straně karty vpravo od místa vyhrazeného pro podpis. Nové kreditní karty Visa a MasterCard mají tento kód na samostatném místě napravo od místa podpisu, aby se zabránilo přeškrtnutí 3 číslic podpisem na kartě. Tyto kódy mají jiný název v závislosti na vydavateli platební karty:
  • „CVC2“ (ověřovací kód karty) na MasterCard,
  • „CVV2“ (hodnota ověření karty) ve společnosti Visa,
  • „CID2“ (identifikační číslo karty) na serveru Discover (USA).

• Platební karty American Express mají čtyřmístný bezpečnostní kód vytištěný na přední straně karty nad číslem karty. Toto číslo není vyraženo jako číslo karty. Tento kód se volá na American Express:
  • „CID“ (jedinečný kód karty)

Výhody systému

Jelikož bezpečnostní kód není zahrnut v magnetickém proužku, obvykle není zahrnut do osobní transakce u obchodníka. Ve Spojených státech však tento kód vyžaduje několik společností, jako je Sears nebo Staples.

U karet American Express v Evropě začalo používání bezpečnostního kódu pro transakce na dálku v roce 2005. Tím se zvyšuje úroveň ochrany banky a držitele karty v tom smyslu, že obchodník se zlými úmysly není schopen jednoduše zachytit data z magnetický proužek pro opětovné použití pro následnou vzdálenou platbu. Obchodník by si proto měl v době transakce poznamenat kód CVV2, když si přeje zachytit data z magnetického proužku, což by vzbudilo podezření držitele karty.

Ve Spojených státech společnost Visa zakazuje obchodníkům uchovávat kód CVV2 po transakci. Tudíž ani v případě krádeže souboru transakce, pokud se zde kódy CVV2 neobjeví, nebudou moci zloději použít čísla karet k provádění podvodných transakcí.

Standard PCI DSS (DSS = standard zabezpečení dat) a PCI = průmysl platebních karet také zakazuje ukládání bezpečnostního kódu a dalších citlivých údajů souvisejících s autorizací. To platí pro všechny subjekty, které zaznamenávají, zpracovávají a přenášejí data platebních karet.

Účelem poskytnutí bezpečnostního kódu CSC je ověřit, zda má zákazník kartu v držení. Znalost tohoto kódu dokazuje, že spotřebitel kartu viděl. Doposud není znám žádný software umožňující „ prolomit “ tento systém.

Limity

• Použití bezpečnostního kódu nechrání před phishingovými technikami , při nichž je držitel karty přesvědčen, že zadává svůj bezpečnostní kód a další data své karty na falešném webu. Zvýšení phishingu snížilo účinnost bezpečnostního kódu jako postupu proti podvodům. Existují také podvody, ve kterých autor phishingu již získal číslo karty uživatele (například hacknutím databáze obchodníka) tak, že mu odcizená data poslal, aby měl falešný pocit bezpečí, než je požádá o vyplnění formuláře požadujícího zabezpečení kód, který nebyl zaznamenán do ukradené databáze.
• Protože obchodník nemusí registrovat bezpečnostní kód (po autorizaci a dokončení transakce, pro kterou byl bezpečnostní kód použit), obchodník, který k předplatnému potřebuje pravidelně používat kartu, není schopen toto zabezpečení poskytnout kód po počáteční transakci.
• Někteří poskytovatelé karet dosud bezpečnostní kód nepoužívají - ačkoli společnosti MasterCard a Visa byly zahájeny v roce 1997 v roce 2001. Transakce bez bezpečnostního kódu však pravděpodobně budou podrobeny více kontrolám proti podvodům. Podvodné transakce bez zabezpečení kód je pravděpodobnější vyřešit ve prospěch držitele karty.
• Obchodník nemusí po dokončení transakce požadovat bezpečnostní kód, proto bude karta vždy vystavena riziku, že bude použita podvodně, pokud bude její číslo v rukou autora phishingu.

Zabezpečení držitelem karty

Znalost vizuálního kryptogramu spolu se znalostí 16místného čísla uvedeného na přední straně bankovní karty umožňuje majiteli karty, ale i jakékoli třetí osobě, včetně delikventů, nakupovat online z bankovního účtu držitele.

Je proto vhodné naučit se tento kryptogram nazpaměť, než zmizí lehkým „škrábáním“ špičkou nože, špendlíku nebo kompasu s povinností nepoškodit počítačový čip nebo magnetický proužek.

Generování bezpečnostních kódů karet

Při vytváření mapy se generují hodnoty kódů CVC1, CVV1, CVC2 a CVV2. Tyto hodnoty se počítají šifrováním čísla karty (PAN, číslo primárního účtu v angličtině), data vypršení platnosti a kódu služby pomocí dešifrovacího klíče (v angličtině často označovaného jako ověřovací klíč karty nebo CVK), který je znám pouze bance vydávající kartu a poté převedete výsledek do desítkového formátu.

Karty dynamického kryptogramu

Úkon

V roce 2015 se na trhu objevily dynamické kryptogramové karty. Statický kryptogram, vytištěný na zadní straně karty, je nahrazen mini obrazovkou elektronického papíru integrovanou do karty, která je schopna zobrazit tři nebo čtyři číslice. Kryptogram se zobrazuje trvale, ale mění se automaticky, obvykle každých 20 minut: počítá se pomocí čipu napájeného ultratenkou minibaterií, které jsou také integrovány do srdce karty.

Předvídatelné důsledky pro uživatele

Pro lidi s dobrým zrakem

Tato technologie nemění nákupní návyky, nevyžaduje instalaci žádného pluginu do prohlížeče a funguje bez problémů na stávajících obchodních stránkách. Tento typ karty umožňuje účinně bojovat proti online podvodům: pokud dojde ke krádeži informací o kartě (zejména fotografií přední / zadní strany karty bezohledným prodejním místem), stane se rychle nepoužitelnou, protože kryptogram se pravidelně mění .

Pro zrakově postižené

Jak to stojí, takové zařízení by bylo zcela nepřístupné pro nevidomé či velmi zrakově postižené lidi (tj asi 1,3 milionu lidí ve Francii), které by tak byly vyloučeny z on-line nákupních možností, ke kterému se nyní hojně využívají.

Probíhající experimenty

Několik bank oznámilo, že pilotní projekty na tuto technologii zahájí v roce 2015 a nasazení se zaměřují na rok 2016. Tuto technologii nabízejí francouzské společnosti Oberthur Technologies („Motion Code“) a Gemalto („DCV“).

Poznámky a odkazy

1. Průzkum Trombi.com o slově používaném Francouzi k označení 3 číslic na zadní straně jejich platební karty.
2. http://fr.pcisecuritystandards.org/_onelink_/pcisecurity/en2frfr/doc/pci_dss_v1-2.pdf
3. Urban Legends Reference Pages: Visa Fraud Investigation Scam
4. (in) „  Příručka programátora aplikace z / OS Integrated Cryptographic Service Facility Application Guide  “ , IBM,Březen 2002, str.  209
5. (in) „  Příručka programátora aplikace z / OS Integrated Cryptographic Service Facility Application Guide  “ , IBM,Březen 2002, str.  258
6. „  Číšník unesl bankovní karty Bezohledný zaměstnanec unesl čísla bankovních karet zákazníků provozovny a zvýšil kryptogram, poté prodal svým přátelům kontaktní údaje, které jim poté umožnily nakupovat na internetu. Poplatků.  "
7. Směrem k dynamické kryptogramové bankovní kartě pro nižší přístupnost „Archivovaná kopie“ (verze z 23. července 2018 v internetovém archivu )
8. Slepota, zrakově postižení: údaje na webových stránkách Sdružení Valentin Haüy sloužících nevidomým a zrakově postiženým
9. „  BPCE testuje kartu dynamického kryptogramu  “
10. "  BNP Paribas se zajímá o bankovní kartu s dynamickým kódem  "
11. „  Societe Generale experimentuje s ultra bezpečnou kartou nové generace pro online nákupy  “
12. (in) „  Getin Bank představuje první DCVC kartu na světě  “

Související články

• 3D zabezpečení
• Platební karta

Externí odkaz

• Bankovní kryptogramy