Dowiedz się, czym jest kod CVV/CVC, jak chroni twoje płatności online, kiedy można go pominąć i jakie ryzyko to niesie. Praktyczne porady i aktualne przepisy PCI DSS.
Kod CVV (Card Verification Value), znany też jako CVC2 w Mastercard czy CID w American Express, to trzy- lub czterocyfrowy numer drukowany na plastikowej karcie, którego zadaniem jest potwierdzić fizyczne posiadanie instrumentu płatniczego.
Pojawił się w Wielkiej Brytanii w 1995 r. jako odpowiedź na gwałtownie rosnące oszustwa wysyłkowe – dziś stanowi branżowy standard, opisany w dokumentacji Visa CVV2 i Mastercard CVC2.
W odróżnieniu od numeru PAN kod nie jest wytłaczany, dzięki czemu nie da się go skopiować przy użyciu tradycyjnych imprinterów, a starsze magstripe’y zawierają ukryty CVV1 używany wyłącznie w transakcjach stykowych.
Sprawdź też: Seed phrase 2025. Jak bezpiecznie przechowywać hasło do portfela kryptowalut
Jak CVV zabezpiecza model „card-not-present”
Podczas płatności online lub telefonicznej bank-wydawca porównuje kombinację PAN + data ważności + CVV z zaszyfrowanymi wartościami przechowywanymi w swoim HSM-ie. Jeżeli przestępca pozyska wyłącznie numer karty, nie zdoła zainicjować transakcji bez poprawnego kodu CVV.
Badania procesorów płatniczych wykazują spadek liczby chargebacków nawet o 70% w sklepach wymagających CVV. Kod stanowi więc pierwszą, najtańszą warstwę ochrony przed fraudem i znakomicie uzupełnia takie mechanizmy jak 3-D Secure 2.2, Address Verification Service czy analiza behawioralna urządzenia użytkownika.
Mechanizm autoryzacji a wewnętrzny scoring ryzyka
Sieci kartowe udostępniają bankom systemy scoringowe, które przypisują transakcjom wartości od 0 do 1. Gdy pole CVV jest puste, score ryzyka rośnie, skutkując wyższymi opłatami interchange bądź odrzuceniem płatności. W praktyce oznacza to, że brak kodu podnosi próg akceptacji i prowizję, a tym samym realny koszt sprzedaży.
Standard PCI DSS: dlaczego nie wolno przechowywać CVV
Zgodnie z sekcją 3.2.2 aktualnej specyfikacji PCI DSS 4.0 przechowywanie kodów w jakiejkolwiek formie po zakończeniu autoryzacji transakcji jest surowo zabronione. Dotyczy to nawet baz zaszyfrowanych i backupów. Sprzedawca, który złamie tę zasadę, naraża się na kary finansowe oraz ryzyko wpisania do rejestru MATCH, uniemożliwiającego obsługę kart w przyszłości.
Czytaj też: Kody QR. Od standardu do zaawansowanego bezpieczeństwa z kodami QR Veriori
Czy można obciążyć kartę bez podawania CVV?
Tak, lecz wiąże się to z wyższym ryzykiem i dodatkowymi wymogami:
- MOTO (Mail / Telephone Order) – regulaminy organizacji kart dopuszczają oznaczenie transakcji jako „no CVV”, jeśli klient dyktuje dane telefonicznie.
- Płatności cykliczne i „karta na pliku” – kolejne obciążenia wykorzystują token nadany podczas pierwszej autoryzacji, dlatego kod jest wymagany wyłącznie przy zapisie karty.
- Portfele cyfrowe i network tokenization – dynamiczny kryptogram zastępuje statyczny CVV, utrzymując ten sam poziom zabezpieczenia.
Brak weryfikacji kodu sprzyja atakom enumeracyjnym, w których boty losowo łączą numery kart, daty i kody, aż znajdą poprawny zestaw – to prosta droga do obciążenia karty ofiary niewielkimi, trudnymi do wychwycenia transakcjami testowymi.
Dobre praktyki dla posiadaczy kart i sprzedawców
Użytkownicy powinni unikać przesyłania kodu otwartymi kanałami i nie zapisywać go w przeglądarce. W razie podejrzenia wycieku karta musi zostać natychmiast zastrzeżona, ponieważ kodu nie da się „zresetować” niezależnie od numeru PAN. E-sklepy, nawet te oferujące „płatność jednym kliknięciem”, są zobowiązane do gromadzenia tokenów w środowisku o certyfikacji PCI i żądania poprawnego CVV przy pierwszym zapisie karty – to najtańszy dowód legalnej autoryzacji na wypadek sporu.
Przyszłość: dynamiczne CVV3 i tokenizacja sieciowa
Trwają pilotaże CVV3, w których kod zmienia się co kilkadziesiąt minut i jest wyświetlany wyłącznie w aplikacji mobilnej banku. Równolegle sieci kart rozwijają network tokeny – anonimowe identyfikatory przypisane do konkretnego urządzenia, aktualizowane w czasie rzeczywistym. Dzięki nim możliwe jest całkowite wyeliminowanie statycznego kodu z doświadczenia użytkownika bez utraty poziomu bezpieczeństwa.
FAQ
Czy CVV to to samo co CVC?
Tak – CVV (Visa) i CVC (Mastercard) pełnią identyczną funkcję. Różnica tkwi wyłącznie w nazewnictwie stosowanym przez poszczególne organizacje kartowe.
Gdzie znajdę kod CVV na karcie?
W większości kart znajduje się na rewersie, obok panelu podpisu. W American Express jest to czterocyfrowy kod nadrukowany na awersie, powyżej numeru PAN.
Czy można zmienić kod CVV bez wymiany karty?
Nie. CVV jest generowany przez bank-wydawcę w chwili produkcji plastiku; aby uzyskać nowy kod, trzeba wymienić kartę.
Czy brak CVV obniża bezpieczeństwo transakcji?
Tak – statystyki procesorów pokazują wyższy współczynnik fraudu i chargebacków w transakcjach bez weryfikacji CVV.
Jak działa tokenizacja kart?
Numer karty zostaje zamieniony na unikalny token rozpoznawany w sieci kartowej. Dzięki temu sklep nigdy nie przechowuje wrażliwych danych, a ryzyko wycieku spada.
Czytaj też: