Вы спрашиваете, почему номер карты и защитный код напечатаны на карте. В обоих случаях, давайте просмотрим немного истории:
Номер карты
Номер карты (в отрасли называется PAN) - это всего лишь идентификатор, он не имеет причины быть секретным. Он необходим для любой транзакции, так что списание может быть… снято обратно на соответствующий счет, независимо от того:
- в физической точке продаж (POS), используя старый метод “импринтера” (не уверен, что он еще где-то используется). По этой причине номер на самом деле тиснен, а не просто распечатан (вместе с другими реквизитами, необходимыми для совершения сделки: срок годности, имя владельца карты).
в точке продаж с помощью POS-терминала (“автомат с кредитной картой”), который считывает либо магнитную полоску, либо чип карты, который одновременно предоставляет PAN и остальные данные без какой-либо аутентификации или шифрования.
по телефону или на бумаге (то, что в отрасли называется “MOTO”: почтовый заказ / заказ по телефону), когда вы просто читаете детали по телефону или записываете их в бланк заказа.
в интернете, где необходимо прочитать номер с карточки и ввести его в формуляр. Как можно что-либо заказать, если номер карты не удается прочитать?
PAN никогда не считался секретом. Это всего лишь номер счета, точно такой же, как и номер Вашего счета, указанный на бумажных чеках, чтобы знать, с какого счета следует забрать деньги.
Некоторые люди думают, что ключ (последняя цифра) - это (плохая) функция безопасности, в то время как на самом деле она используется только для защиты от ошибок ввода (цифры меняются, цифры меняются…).
В настоящее время люди начинают думать, что PAN должен быть секретным, и это привело к введению “токенализации”: вместо того, чтобы отправить реальный номер карты, вместо него посылается другой номер карты, который либо ограничивается определенным каналом (и, возможно, устройством), либо даже одной транзакцией.
Так происходит, например, с Apple Pay: когда Вы регистрируете карту в реальном PAN, банк отправляет вместо нее токен (“фальшивый” PAN), который используется, и может быть использован только для платежей, проводимых с помощью Apple Pay на этом устройстве. Если кто-нибудь перехватит этот PAN, он не сможет ничего с ним сделать: он не будет принят для добавления карты в Apple Pay, не будет принят в магазине, по Интернету, по телефону или в любом другом месте.
Это действительно полезно? В идеальном мире, где все транзакции аутентифицируются другими способами, это действительно не должно иметь значения, PAN сам по себе должен быть бесполезен. На практике, поскольку существуют каналы, позволяющие использовать довольно небезопасные методы аутентификации, это дополнительная линия защиты.
Обратите внимание, что необходимость в токенировании, вероятно, несколько более важна при введении бесконтактной карты: вы можете прочитать PAN любой бесконтактной карты, даже не прикасаясь к ней, это всего лишь вопрос того, как подобраться достаточно близко.
Код безопасности
Код безопасности, напечатанный на обратной стороне карты (или на лицевой стороне, для карт American Express), изначально не присутствовал. Он был добавлен, чтобы избежать следующих сценариев мошенничества:
чек кредитной карты с полным номером карты (а также именем и окончанием срока действия) был выброшен и собран кем-то другим (это было особенно верно, когда использовались принтеры, но это было верно и до того, как сети карточек окончательно решили, что печать полного PAN на чеке клиента запрещена).
карта “считывается” для записи содержимого магнитной полосы, содержащей PAN, срок годности, имя владельца карты и многое другое…). Это позволило людям, имеющим физический доступ к картам (официанты, кассиры…), довольно быстро записать большое количество карт, не будучи замеченными.
Для противодействия этому был добавлен новый код, которого нет на чеке (так как он не рельефный), и который также не находится на магнитной дорожке.
Этот код требуется только для MOTO и онлайн-покупок, где вы не можете увидеть, действительно ли у пользователя есть карта (так называемая операция “карта не присутствует”), и вы хотите быть немного увереннее в том, что у пользователя есть карта.
Это действительно легко обойти: вам нужно либо сделать полную копию карты (с обеих сторон), либо записать все данные. Но во многих сценариях, описанных выше, это лишь немного усложняет недобросовестному пользователю задачу сделать это, не будучи замеченным.
(Внедрение портативных терминалов также очень помогает, так как пользователь может постоянно держать глаза - и руки - на карте, но особенно в ресторанах США это еще не является стандартной практикой).
Код безопасности также помогает в случае, если сайт хранит данные вашей кредитной карты, и кому-то удается получить доступ к нему: в теории, никому не разрешено хранить код безопасности, так что хакер будет только получить PAN и истечения срока действия, и не сможет использовать его снова, но, на практике, слишком много людей до сих пор хранят код безопасности. Отрасль гоняться за ними (это один из аспектов инициативы PCI DSS), но впереди еще долгий путь.
Реальная защита исходит от новых мер аутентификации (3D Secure), которые позволяют использовать другой способ проверки, помимо проверки только этих данных. В зависимости от банка (или даже карты), они могут быть задействованы:
- пароль
- одноразовый пароль (OTP), отправленный по SMS или другим способом
- биометрическая аутентификация (отпечаток пальца, распознавание лица, сканирование радужной оболочки глаза…)
- фактический разговор с чипом на карте с помощью кард-ридера, подключенного к вашему компьютеру (я не уверен, что он на самом деле где-то установлен) …
Обратите внимание, что код безопасности используется только** для онлайн/МОТО-транзакций (“карточки нет” транзакций). Транзакции, осуществляемые в настоящее время по карте, также будут использоваться:
- еще один защитный код, который находится на магнитной полосе (хотя его легко скопировать)
- связь с чипом (на картах, у которых он есть), чтобы карта аутентифицировалась.
