CSC – co to je? O technologii, jejích funkcích a vlastnostech

2024 Autor: Howard Calhoun | [email protected]. Naposledy změněno: 2023-12-17 10:22

Platba za zboží nebo služby přes internet může nezkušeným uživatelům způsobit potíže. Například pro dokončení nákupu vás web obvykle vyzve k zadání údajů o platební kartě pro bezhotovostní platby: číslo karty, datum vypršení platnosti, jméno a příjmení držitele a kód CVV/CVC. Pokud jsou první body víceméně jasné, pak poslední požadavek může mnohé zmást a zabere spoustu času, než na to přijde. Tento článek vám pomůže pochopit a odpovědět na otázky, jako je CSC – co je tento kód, kde jej najít a k čemu slouží.

O technologii

CSC (Card Security Code – „bezpečnostní kód karty“) – ochranný mechanismus určený k prevenci podvodů s bankovními kartami. Existují také další související označení tohoto termínu: CVD, CVV, CVC, SPC a V-kód. CSC je určeno pro použití v případech, kdy nelze kartu fyzicky předložit – pro platby online. Technologie vděčí za svůj vzhledsvětlo britskému zaměstnanci Equifax Michaelu Stoneovi. Zpočátku byl kód kombinací 11 písmen a číslic. Následně soukromé agentury a banky pochopily, že CSC je předzvěstí nové éry informační bezpečnosti. Kód byl dokončen a dostal svou moderní podobu sestávající ze 3 číslic. V návaznosti na rozmach elektronického obchodování na konci 20. století tuto technologii rychle převzaly přední platební systémy jako MasterCard, Visa a American Express.

Existuje několik typů tajného kódu:

• CVC1 nebo CVV1 – zašifrovaná kombinace znaků, jejichž fyzickým umístěním je magnetický proužek na zadní straně karty. Používá se pro offline platby kartou. Kód je rozpoznán platebním zařízením během procesu nákupu a odeslán k ověření na autentizační server vydávající banky. Tato ochrana se obejde vytvořením duplikátu platební karty a zkopírováním magnetické pásky.
• CVV2 nebo CVC2. Navrženo k ochraně kupujícího během transakcí přes internet. Je to nejpokročilejší metoda ověřování. V některých evropských zemích vyžadují platební systémy obchodníky a firmy, aby při provádění online transakcí ověřili tento kód.
• iCVV nebo dynamický CVV. Používá se pro bezkontaktní platby.

CSC – co to je? Mastercard a Visa

Bezpečnostní kód karty je z hlediska použití a umístění zcela shodný pro oba platební systémy, kromě jména. CSC na kartě Visase nazývá CVV2, pro karty Mastercard - CVC2. Digitální kombinace kódu je umístěna na zadní straně karty, v zóně podpisového proužku držitele nebo v její blízkosti. Toto umístění znesnadňuje útočníkům špehovat čísla, aby mohli krást peníze na veřejných místech nebo z videa. Způsoby aplikace CSC kódu a čísla karty se liší: pro bezpečnostní kombinaci se používá identifikační pečeť nebo ražba. Tento bezpečnostní prvek nemusí být na kartě fyzicky vůbec přítomen, ale může být vygenerován při jejím vydání. Tato možnost je vlastní virtuálním kartám nebo plastu počáteční třídy: Visa Electron, Mastercard Maestro a další.

Bezpečnostní kód v jiných platebních systémech

Existují další varianty kódu CVC:

• CID (Identifikační číslo karty – „identifikační číslo karty“) – na platebních nástrojích American Express. Má klíčový rozlišovací znak: 4místný bezpečnostní kód je umístěn nad číslem karty na pravé straně přední strany.
• CVD (Card Verification Data – „data pro ověření karty“) – bezpečnostní prvek kreditních karet American Discover.
• CVE (Ověřovací kód Elo). Bezpečnostní kombinace čísel na brazilských debetních a kreditních kartách.
• CVN2 (Card Validation Number – „číslo potvrzení karty“) – bezpečnostní kód na kartách čínského platebního systému Union Pay.

Jak spolehlivý je tento mechanismus?

Vydávající banky zakazují obchodování a službyspolečnosti ukládat do databáze CSC hesla získaná během transakce. To zvyšuje bezpečnost držitelů platebních karet: v případě hacknutí a krádeže dat ze serverů společnosti jsou kompromitovaná data klientské karty bez bezpečnostního kódu prakticky k ničemu. Navzdory tomu, ve prospěch skutečnosti, že CSC není zdaleka nejbezpečnějším mechanismem, existují následující důkazy:

• Bezmoc přes phishingové odkazy. Bezpečnostní kód není schopen zabránit krádeži dat, když je uživatel oklamán, aby přešel na falešnou platební stránku vytvořenou podvodníky. Typicky je rozhraní takového zdroje nerozlišitelné nebo co nejblíže obsahu běžné stránky, což kupujícího uvádí v omyl a vybízí k zadání údajů o platební kartě, včetně CSC. Útočníci tak mají plný přístup k informacím o kartě, což umožňuje nelegální transakce.
• Volitelný vstup. Některá online tržiště nevyžadují, aby kupující poskytovali CSC. To hraje do karet útočníkům, kteří znají kompromitovaná data pouze z přední strany karty: číslo a datum vypršení platnosti.
• Hacking. Existují případy, kdy podvodníci pomocí hackerských triků a organizovaných DDoS útoků uhádli krátké třímístné CSC.

Jaké další technologie zabezpečení karet existují?

Jak je vidět z předchozího odstavce, mechanismus CVC má nedostatky, které ohrožují bezpečnost držitelů karet. Platební systémy vzaly v úvahu, že CSC je technologie, která mázávažné nedostatky a zavedl systém dodatečné ochrany platebních karet s názvem 3D-Secure. Tento mechanismus přidává krok v online transakčním procesu – autentizaci uživatele na serveru vydávající banky. Může zahrnovat zadání trvalého kódu, dynamicky generované kombinace čísel ze zprávy SMS nebo použití hesla ze seznamu klíčů.