En esta nueva entrega de esta serie se hará una introducción a uno de los componentes principales de las transacciones no presenciales: el valor de verificación de tarjeta (CID/CAV2/CVC2/CVV2).

Historia del valor de verificación de tarjeta (CID/CAV2/CVC2/CVV2)

Con el fin de evitar manipulaciones no autorizadas y fraude con tarjetas de pago basadas en banda magnética, los bancos emisores optaron por agregar un código especial de seguridad que permitiera validar la integridad (legitimidad) y la posesión de la tarjeta en el momento de una transacción presencial. A este código lo llamaron “Card Verification Value” (CVV) o “Card Validation Code” (“CVC”), el cual es almacenado en el Track 2 (pista 2) de la banda magnética y no es visible por el dueño de la tarjeta, ya que el proceso de validación de este código es automático en el banco emisor cuando se recibe una transacción.

Este código es generado en el momento de la estampación de la tarjeta utilizando el PAN (Primary Account Number), la fecha de expiración de la tarjeta y el código de servicio. Estos datos son encriptados utilizando dos llaves de cifrado en posesión del banco emisor y usando para esta labor el algoritmo DES (Data Encryption Standard). Cuando se realiza una transacción empleando una tarjeta con banda magnética, estos datos son enviados y procesados por el banco emisor y comparados contra una base de datos de referencia. Si los datos coinciden indica que los datos de la tarjeta no han sido manipulados y que se trata de una transacción realizada con una tarjeta legítima. A pesar que el concepto es el mismo, cada una de las marcas de tarjetas optó por darle un nombre diferente a este código:

  • CAV – Card Authentication Value (tarjetas JCB)
  • CVC – Card Validation Code (tarjetas MasterCard)
  • CVV – Card Verification Value (tarjetas Visa y Discover)
  • CSC – Card Security Code (tarjetas American Express)

Sin embargo, tanto los bancos como los comercios se encontraban ante un problema operativo al que no le encontraban una solución a largo plazo: las compras realizadas a través de llamadas telefónicas. En este tipo de compras, el PAN (Primary Account Number, que es el número que viene impreso en la parte frontal del plástico y visible a cualquiera en posesión de la misma) era dictado por el cliente a un agente de servicio, quien procedía a enviarlo al banco para validación. Como se puede concluir, cualquier persona que conociera un PAN podría hacer una compra suplantando al dueño legítimo de la tarjeta.  Estas transacciones en las cuales no es necesaria la presencia física de la tarjeta para hacer una compra se denominan “transacciones no presenciales” o de tarjeta no presente (Card-not-present (CNP)).

Con el fin de solucionar este inconveniente, la solución más práctica fue emplear el mismo concepto de “Card Verification Value” (CVV) y estamparlo en el plástico, para que el cliente pudiera verlo. De esta manera, cuando un cliente hacía una compra vía telefónica dictaba el número de su tarjeta (PAN), la fecha de expiración y el código CVV impreso al agente. Estos datos eran enviados al banco, que mediante una comparación podía saber si la tarjeta era legítima o no sin necesidad de realizar una lectura directa de la banda magnética.  Para diferenciar este nuevo código del código almacenado en la banda magnética se optó por darle un nombre diferente dependiendo de la marca de tarjetas emisora:

  • CID – Card Identification Number (tarjetas American Express y Discover)
  • CAV2 – Card Authentication Value 2 (tarjetas JCB)
  • CVC2 – Card Validation Code 2 (tarjetas MasterCard)
  • CVV2 – Card Verification Value 2 (tarjetas Visa)

De acuerdo con ello, los códigos CAV/CVC/CVV/CSC están asociados a la información de seguridad almacenada en la banda magnética, mientras que los códigos CID/CAV2/CVC2/CVV2 referencian los valores de seguridad estampados en la tarjeta para transacciones no presenciales.

Posteriormente con la masificación del uso de Internet, la llegada del comercio electrónico y las compras on-line (que forman parte de las transacciones no presenciales), el uso de los códigos  CID/CAV2/CVC2/CVV2 fue determinante para la realización de transacciones sin presencia física de tarjetas. Por ello, cada vez que se hace una compra empleando canales on-line el comercio pedirá este código para validar la posesión y legitimidad de la tarjeta.

Longitud y ubicación de los valores CID/CAV2/CVC2/CVV2

Como se comentaba anteriormente, los valores CID/CAV2/CVC2/CVV2 son visibles al usuario y han de ser referenciados en el momento de una transacción no presencial. Dependiendo de la marca de pago asociada con la tarjeta, este código puede tener una longitud y ubicación diferente:

Tarjetas Visa, MasterCard y Discover

 visa
Fuente: www.amazonaws.com

El código de validación en este tipo de tarjetas se compone de tres dígitos y aparece al final del espacio para la firma, ubicado en el anverso de la tarjeta.

Tarjetas American Express (AMEX)

amex
Fuente: www.amazonaws.com

El código de validación en las tarjetas American Express se compone de cuatro dígitos y está ubicado en la parte frontal de la tarjeta, justo encima y a la derecha del PAN (Primary Account Number).

Consideraciones de seguridad con CID/CAV2/CVC2/CVV2

A continuación se enumeran una serie de consideraciones básicas para la protección de este dato sensible:

  • El código CID/CAV2/CVC2/CVV2 no es igual al PIN (Personal Identification Number). Son códigos diferentes y con usos distintos. El código CID/CAV2/CVC2/CVV2 es estático y se emplea para la validación de transacciones no presenciales (compras telefónicas y por Internet), mientras que el PIN es un código que se puede cambiar por el usuario y se usa para la autenticación en transacciones presenciales (uso de cajeros electrónicos, TPV físicos, etc.). Ambos códigos son confidenciales y deben ser tratados como tal.
  • No ingrese el código CID/CAV2/CVC2/CVV2 en páginas web no confiables o en URLs provenientes de correos electrónicos desconocidos, ya que puede ser víctima de phising.
  • No permita que desconocidos tengan acceso físico a su tarjeta, ya que podrían visualizar toda la información requerida para transacciones online (PAN, fecha de expiración y códigos de validación) y suplantarlo en compras.
  • Si considera que los datos de su tarjeta han sido comprometidos, póngase en contacto con su banco inmediatamente.

CID/CAV2/CVC2/CVV2 y los estándares del PCI SSC

Tal como se ha explicado, el CID/CAV2/CVC2/CVV2 es un dato confidencial que permite la autenticación y validación de integridad en transacciones no presenciales. Debido precisamente a esta confidencialidad, el PCI SSC  (Payment Card Industry Security Standards Council) ha descrito una serie de controles de seguridad específicos en sus estándares PCI DSS (Payment Card Industry Data Security Standard) y PA DSS (Payment Card Industry Data Security Standard)  para la protección de esta información.

Por norma general, los valores de CID/CAV2/CVC2/CVV2 no pueden ser almacenados por el comercio o el proveedor de servicio bajo ningún criterio. Esta prohibición está establecida en el requerimiento 3.2.2 de PCI DSS:

3.2.2 No almacene el valor ni el código de validación de tarjetas (número de tres o cuatro dígitos impreso en el anverso o reverso de una tarjeta de pago) que se utiliza para verificar las transacciones de tarjetas ausentes.

Esto implica que es muy probable que en función del tipo de transacción no presencial el comercio o proveedor de servicio le solicite al usuario el  CID/CAV2/CVC2/CVV2 en cada transacción que realice en sus sistemas.

Referencias:

Credit and debit card CVV Number location and information (http://www.cvvnumber.com/)