criptograma visual

El criptograma visual generalmente designa los últimos tres dígitos en el reverso de una tarjeta de pago.

El término más comúnmente utilizado es visual de criptograma , pero también los términos código de seguridad ( código de seguridad de la tarjeta o SCC en inglés), o CVV (para valor de verificación de tarjeta ) o CVC (para código de verificación de tarjeta ) Código de verificación ( código V o código V ) o Verificación del código de la tarjeta (CCV). Todos estos términos se refieren a métodos utilizados para asegurar las transacciones con tarjetas de pago y brindar una mayor protección contra el uso fraudulento de las tarjetas de pago.

Tipos de códigos

Existen diferentes tipos de códigos de seguridad:

CVV1, o CVC1, está encriptado en la banda magnética de la tarjeta y se usa para transacciones en persona. El propósito de CVC1 o CVV1 es asegurar que los datos registrados en la banda magnética de la tarjeta sean válidos y hayan sido generados por el banco emisor. Este valor se presenta en cada transacción y es verificado por el banco que emitió la tarjeta. Los límites de CVC1 o CVV1 son que si se copia toda la banda magnética, la tarjeta puede ser duplicada, por ejemplo, por el empleado deshonesto de una tienda usando una herramienta electrónica (hojear en inglés).
CVV2 o CVC2 o CVx2. Los comerciantes suelen solicitar este código de seguridad para asegurar una transacción remota, ya sea por Internet, correo, fax o teléfono. En muchos países de Europa occidental, tras un aumento en los intentos de uso fraudulento de tarjetas de pago, ahora es obligatorio proporcionar este código cuando la transacción es remota
Las tarjetas de pago sin contacto proporcionan sus propios códigos generados electrónicamente, como iCVV o CVV dinámico.

Estos códigos no deben confundirse con el número de tarjeta de crédito que suele aparecer en relieve en la tarjeta de pago. El número de la tarjeta de crédito en sí está sujeto a su propio sistema de validación con el algoritmo llamado fórmula de Luhn que se utiliza para determinar si el número de la tarjeta es válido.

Estos códigos tampoco deben confundirse con el código PIN de 3-D Secure o la contraseña conocida como "MasterCard SecureCode" o "Verified by Visa". Estos códigos no están impresos ni resaltados en la tarjeta, sino que se ingresan manualmente en el momento de la transacción.

Ubicación del código

El código de seguridad (CVV2 o CVC2) es un grupo de 3 o 4 dígitos impreso en el reverso de la tarjeta de pago a la derecha del espacio reservado para la firma, pero no está codificado en la banda magnética.

Las tarjetas de pago MasterCard , Visa, Diners Club , Discover (Estados Unidos) y JCB (Japón) tienen un código de seguridad de 3 dígitos. Este código no está en relieve como el número de la tarjeta de pago, siempre son los últimos 3 dígitos impresos en el reverso de la tarjeta a la derecha del espacio reservado para la firma. Las nuevas tarjetas de crédito Visa y MasterCard tienen este código en una ubicación separada a la derecha de la ubicación de la firma, para evitar que los 3 dígitos sean tachados por la firma en la tarjeta. Estos códigos tienen un nombre diferente según el emisor de la tarjeta de pago:
- "CVC2" (código de validación de la tarjeta) en MasterCard,
- "CVV2" (valor de verificación de la tarjeta) en Visa,
- "CID2" (número de identificación de la tarjeta) en Discover (Estados Unidos).

Las tarjetas de pago American Express tienen un código de seguridad de 4 dígitos impreso en el anverso de la tarjeta encima del número de la tarjeta. Este número no está grabado como el número de la tarjeta. Este código se llama en American Express:
- "CID" (código de tarjeta único)

Ventajas del sistema

Como el código de seguridad no está incluido en la banda magnética, generalmente no se incluye en una transacción cara a cara en un comerciante. Sin embargo, en los Estados Unidos, algunas empresas como Sears o Staples requieren este código.

Para las tarjetas American Express en Europa, el uso del código de seguridad para transacciones remotas comenzó en 2005. Esto aumenta el nivel de protección para el banco y el titular de la tarjeta, en el sentido de que un comerciante malintencionado no puede simplemente capturar datos de la tarjeta magnética. raya para su reutilización para el pago remoto posterior. Para ello, el comerciante debe anotar el código CVV2 en el momento de la transacción donde desea capturar los datos de la banda magnética, lo que despertaría la sospecha del titular de la tarjeta.

En los Estados Unidos, Visa prohíbe a los comerciantes mantener el código CVV2 después de la transacción. Así, incluso en el caso de robo de un archivo de transacción, si los códigos CVV2 no aparecen allí, los ladrones no podrán utilizar los números de tarjeta para realizar transacciones fraudulentas.

El estándar PCI DSS (DSS = estándar de seguridad de datos) y PCI = Payment Card Industry también prohíbe el almacenamiento del código de seguridad y otros datos sensibles relacionados con la autorización, para cualquier entidad que registre, procese y transmita datos de tarjetas de pago.

El propósito de proporcionar un código de seguridad CSC es verificar que el consumidor tenga la tarjeta en su poder. Conocer este código prueba que el consumidor ha visto la tarjeta. Hasta la fecha, no se conoce ningún software que permita " crackear " este sistema.

Limites

El uso del código de seguridad no protege contra las técnicas de phishing , en las que se hace creer al titular de la tarjeta que está ingresando su código de seguridad y los demás datos de su tarjeta en un sitio falso. El aumento del phishing ha reducido la eficacia del código de seguridad como procedimiento antifraude. También hay estafas en las que el autor de phishing ya ha obtenido el número de tarjeta del usuario (por ejemplo, pirateando la base de datos de un comerciante) enviándoles estos datos robados para darles una falsa sensación de seguridad antes de pedirles que llenen un formulario solicitando la seguridad. código que no se registró en la base de datos robada.
Como no es necesario que el comerciante registre el código de seguridad (después de que se autorice y complete la transacción para la cual se usó el código de seguridad), un comerciante que necesite usar regularmente una tarjeta para una suscripción no puede proporcionar esta seguridad. código después de la transacción inicial.
Algunos proveedores de tarjetas aún no usan el código de seguridad, aunque MasterCard y Visa comenzaron respectivamente en 1997 en 2001. Sin embargo, es más probable que las transacciones sin un código de seguridad estén sujetas a más controles antifraude. es más probable que el código se resuelva a favor del titular de la tarjeta.
No es obligatorio que un comerciante solicite el código de seguridad para completar una transacción, por lo tanto, una tarjeta siempre estará en riesgo de ser utilizada de manera fraudulenta si su número está en manos del autor del phishing.

Seguridad por parte del titular de la tarjeta

El conocimiento del criptograma visual, junto con el conocimiento del número de 16 dígitos que aparece en el anverso de la tarjeta bancaria, permite al titular de la tarjeta, pero también a cualquier tercero, incluido el moroso, realizar compras online desde la cuenta bancaria del titular.

Por tanto, es recomendable aprenderse este criptograma de memoria antes de hacerlo desaparecer mediante un ligero "rasguño" con la punta de un cuchillo, un alfiler o una brújula, con la obligación de no dañar el chip del ordenador ni la banda magnética.

Generación de códigos de seguridad de tarjetas

Los valores de los códigos CVC1, CVV1, CVC2 y CVV2 se generan cuando se crea el mapa. Estos valores se calculan cifrando el número de tarjeta (PAN, Número de cuenta principal en inglés), la fecha de vencimiento y el código de servicio con una clave de descifrado (a menudo llamada Clave de verificación de tarjeta o CVK en inglés) que solo conoce el banco que emite el tarjeta y luego convertir el resultado a formato decimal.

Tarjetas de criptograma dinámicas

Operación

En 2015, aparecieron en el mercado tarjetas de criptograma dinámicas. El criptograma estático, impreso en el reverso de la tarjeta, es reemplazado por una mini pantalla de papel electrónico integrada en la tarjeta, capaz de mostrar tres o cuatro dígitos. El criptograma se muestra de forma permanente, pero cambia automáticamente, normalmente cada 20 minutos: se calcula mediante un chip alimentado por una mini-batería ultradelgada, ambos también integrados en el corazón de la tarjeta.

Consecuencias predecibles para los usuarios

Para personas con buena vista

Esta tecnología no cambia los hábitos de compra, no requiere la instalación de ningún complemento en el navegador y funciona a la perfección en los sitios comerciales existentes. Este tipo de tarjeta permite luchar eficazmente contra el fraude en línea: si la información de la tarjeta es robada (en particular por una foto del anverso / reverso de la tarjeta por un punto de venta sin escrúpulos), rápidamente se vuelve inutilizable ya que el criptograma cambia regularmente .

Para los discapacitados visuales

Tal como está, un dispositivo de este tipo sería completamente inaccesible para las personas ciegas o con deficiencias visuales muy graves (es decir, alrededor de 1.300.000 personas en Francia) que, por lo tanto, quedarían excluidas de las posibilidades de compra en línea que ahora utilizan ampliamente.

Experimentos en curso

Varios bancos han anunciado que lanzarán pruebas piloto de esta tecnología en 2015 y tienen como objetivo implementaciones en 2016. La tecnología es ofrecida por las empresas francesas Oberthur Technologies (“Motion Code”) y Gemalto (“DCV”).

Notas y referencias

Enlace externo

Criptogramas bancarios