Código de seguridad de tarjetas de crédito

característica de seguridad de las tarjetas de pago

El código de seguridad de la tarjeta (por sus siglas en inglés CSC), también llamado Verificación de Datos de Tarjeta, Número de Verificación de Tarjeta, Valor de Verificación de Tarjeta (CVV), Código de Valor de Verificación de Tarjeta, Código de Verificación de Tarjeta (CVC), Código de Verificación (V-code o código V), Código de Verificación de Tarjeta o código del panel de firma (SPC), es el término utilizado para designar una característica de seguridad requerida para "transacciones sin tarjeta" al hacer pagos, instituida para reducir la incidencia de fraude de las tarjetas de crédito.[1][2]

El código de seguridad de la tarjeta está al reverso de las tarjetas MasterCard, Visa, Discover, Diners Club, JCB y es típicamente un grupo separado de 3 dígitos a la derecha del panel de firma.
En las tarjetas American Express, el código de seguridad de la tarjeta está impreso (no grabado), al frente y siempre al lado derecho.

El CSC es un plus al número de tarjeta bancaria que está grabado o impreso en la tarjeta. El CSC es utilizado como característica de seguridad, en situaciones donde el código o PIN no puede ser usado. El código PIN no es impreso o grabado en la tarjeta pero es introducido manualmente por el titular durante una transacción en un punto-de-venta (tarjeta presente). Las tarjetas de pago sin contacto y tarjetas con chip pueden generar electrónicamente su propio código, como un iCVV o CVV Dinámico.

El CSC fue originalmente desarrollado en el Reino Unido como un código de 11 caracteres alfanuméricos por Michael Stone, un empleado de Equifax, en 1995. Después de probar con el grupo de Compras para el Hogar Littlewoods y el Banco NatWest, el concepto fue adoptado por APACS (la Asociación de Servicios para Pagos Limpios del Reino Unido) y simplificando al código de 3 dígitos conocido hoy en día. MasterCard empezó a usarlo en 1997 y Visa en los Estados Unidos los usó desde el 2001. American Express empezó a usar el CSC en 1999 en respuesta a las crecientes transacciones de internet y quejas de miembros de la tarjeta que sufrían interrupciones cuándo la seguridad de una tarjeta había sido comprometida.

Descripción

editar

Los códigos tienen nombres diferentes:

  • "CID" o "Número de Identificación de Tarjeta" - Discover
  • "CID" o "Código Único de Tarjeta" - American Express
  • "CSC" o "Código de Seguridad de la Tarjeta" - Tarjeta de Débito
  • "CVC2" o "Código de Validación de la Tarjeta" - MasterCard
  • "CVE" o "Código de Verificación Elo" - Elo - Brasil
  • "CVN2" o "Número de Validación de la Tarjeta 2" - UnionPay
  • "CVV2" o "Valor de Verificación de la Tarjeta 2" - Visa

Tipos de códigos

editar

Hay varios tipos de códigos de seguridad:

  • El primer código, llamado CVC1 o CVV1, está codificado sobre la segunda pista de la banda magnética de la tarjeta y utilizado para transacciones con tarjeta presente. El propósito del código es para verificar que la tarjeta de pago está de hecho en la mano del mercader. Este código es automáticamente recuperado cuándo la banda magnética de una tarjeta es deslizada en un dispositivo de punto-de-venta (tarjeta presente) y es verificado por el emisor. Su limitación es que si la tarjeta entera ha sido clonada y la banda magnética copiada, entonces el código también es válido. (Ver Fraude de tarjetas del Crédito: Skimming.)
  • El segundo código, y el más citado, es CVV2 o CVC2. Este código es a menudo buscado por mercaderes para las "transacciones sin tarjeta" que ocurren por correo, fax, teléfono o Internet. En algunos países como Europa Occidental, el emisor de la tarjeta requiere de un mercader para obtener el código cuándo el titular no está presente en persona.
  • Las "tarjetas sin contacto" y "tarjetas con chip" pueden suministrar sus propios códigos electrónicamente generados, como iCVV o CVV Dinámico.l

Ubicación del código

editar

El código de seguridad de la tarjeta es típicamente los últimos tres o cuatro dígitos impresos en la cinta para firmar (no es grabado como el número de la tarjeta), atrás de la tarjeta. En las tarjetas American Express, el código de seguridad de la tarjeta son los cuatro dígitos impresos (no grabados) al frente y al lado derecho. El código de seguridad de la tarjeta no es codificado en la banda magnética pero está impreso a la vista.

  • Las tarjetas de American Express tienen un código de cuatro dígitos impresos al frente de la tarjeta por encima del número.
  • Las tarjetas de débito y crédito de Diners Club, Discover, JCB, MasterCard, y Visa tienen un código de seguridad de tres dígitos. El código es el grupo final que le sigue a los números grabados, y son impresos al reverso del panel de firma de la tarjeta.
  • Las nuevas tarjetas de MasterCard y Visa presentan el código en un panel separado a la derecha del panel de firma.[3]​ Esto ha sido modificado para impedir la sobreescritura de los números al firmar la tarjeta.

Beneficios de seguridad

editar

Como medida de seguridad, mercaderes quiénes requieren el CVV2 para transacciones con "tarjeta no presente" son requeridas por el emisor de la tarjeta sin almacenar el CVV2 una vez la transacción individual es autorizada.[4]​ De este modo, si una base de datos de transacciones es comprometida, el CVV2 no es incluido, y los números de tarjeta robados son menos útiles. Las terminales virtuales y las pasarelas de pago no almacenan el código CVV2, por lo tanto, los empleados y representantes del servicio al cliente no pueden acceder a esta interfaces web de pago por si tuvieran acceso para querer completar números de tarjeta, fechas de expiración u otra información si aún carece del código CVV2.

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) también prohíbe el almacenamiento de CSC (y otro dato de autorización sensible) autorización de transacción posterior. Esto aplica globalmente a cualquiera quién alamacene, procese o transmita datos del titular de la tarjeta.[5]​ Desde el CSC que no está en la banda magnética de la tarjeta, casi no es incluido en la transacción cuándo la tarjeta es utilizada frente a frente en un mercader. Aun así, algunos mercaderes en Norte América, como Sears y Staples, requieren el código. Para las tarjetas American Express, esto ha sido una práctica invariable (para "transacciones sin tarjeta") en la Unión Europea (UE) algunos países como Irlanda y el Reino Unido desde el inicio de 2005. Esto proporciona un nivel de protección al Banco/Titular, en aquel caso que un mercader fraudulento o el empleado no pueda capturar fácilmente los detalles de la banda magnética de una tarjeta y utilizarlos después para una "compra sin tarjeta" por teléfono, por catálogo o por Internet. Para hacer esto, un mercader o su empleado también tendrían que anotar el CVV2 visualmente y grabarlo, el cual es más probable que despierte la sospecha del titular.

Al suministrar el código CSC en una transacción se pretende verificar que el cliente tiene la tarjeta en su posesión. Conocer el código prueba que el cliente ha visto la tarjeta, o ha visto una copia hecha por alguien quién vio la tarjeta.

Limitaciones

editar
  • El uso del CSC no puede proteger contra estafas phishing, donde el titular es engañado al introducir el CSC y otros detalles de la tarjeta en un sitio web fraudulento. El crecimiento de phishing ha reducido la real-efectividad mundial del CSC como un anti-dispositivo de fraude. Hoy en día también se considera una estafa cuando un phisher ya obtuvo el número de cuenta de la tarjeta (quizás por piratear una base de datos de un mercader o de un recibo mal diseñado) y da esta información a las víctimas (adormecerlos con un sentido falso de seguridad) antes de pedir el CSC (el cual es todo lo que el phisher necesita).[6]
  • Desde que el CSC no puede ser almacenado por el mercader para cualquier otro momento (después de la transacción original en qué el CSC fue citado y autorizado), un mercader quién necesite regularmente enunciar una tarjeta para una suscripción regular no sería capaz de proporcionar el código después de la transacción inicial.[7]​ Las pasarelas de pago, aun así, han optado por agregar la característica de "factura periódica" como parte del proceso de autorización.
  • Algunos emisores de tarjetas no utilizan el CSC. Aun así, las transacciones sin CSC son posibles a costa de un costo para procesar la tarjeta más alto para los mercaderes, y las transacciones fraudulentas sin CSC tienden a ser resueltos a favor del titular.
  • No es obligatorio para un mercader solicitar el código de seguridad para hacer una transacción, es por ello que la tarjeta todavía puede ser propensa a fraude incluso con solo conocer su número.

Generación del CSC

editar

El CSC para cada tarjeta (formato 1 y 2) es generado por el emisor cuándo la tarjeta es emitida. El número es calculado al encriptar el número de tarjeta del banco y fecha de expiración (2 campos impresos en la tarjeta) con claves de encriptación conocidas únicamente por el emisor de la tarjeta, y decimando el resultado.[8][9]

Véase también

editar
  • Fraude de tarjeta de crédito
  • ISO 8583 (elemento #44 de Dato lleva la respuesta de Código de Seguridad)

Referencias

editar
  1. «Authorize.Net - Developer Frequently Asked Questions:». Archivado desde el original el 29 de marzo de 2009. Consultado el 29 de marzo de 2009. 
  2. «CIBC MasterCard - MasterCard SecureCode». Archivado desde el original el 24 de abril de 2014. Consultado el 12 de julio de 2012. 
  3. «Card Security Features» (PDF). Visa. Archivado desde el original el 16 de febrero de 2012. 
  4. «Rules for Visa Merchants» (doc). p. 1. Archivado desde el original el 24 de febrero de 2014. Consultado el 17 de mayo de 2016. 
  5. «Official Source of PCI DSS Data Security Standards Documents and Payment Card Compliance Guidelines». Pcisecuritystandards.org. Consultado el 25 de diciembre de 2011. 
  6. «Urban Legends Reference Pages: Visa Fraud Investigation Scam». Snopes.com. Consultado el 25 de diciembre de 2011. 
  7. «Reglas para mercaderes de Visa» (doc). p. 1. Archivado desde el original el 24 de febrero de 2014. Consultado el 17 de mayo de 2016. 
  8. «z/OS Integrated Cryptographic Service Facility Application Programmer’s Guide». IBM. marzo de 2002. p. 209. 
  9. «z/OS Integrated Cryptographic Service Facility Application Programmer’s Guide». IBM. marzo de 2002. p. 258.