Görsel şifreleme

Görsel şifreleme genellikle bir ödeme kartının arkasındaki son üç rakamı belirtir.

En yaygın kullanılan terim görsel şifredir , ancak aynı zamanda güvenlik kodu ( kart güvenlik kodu veya İngilizce SCC) veya CVV ( Kart Doğrulama Değeri için ) veya CVC ( Kart Doğrulama Kodu için ) Doğrulama Kodu ( V-Kodu veya V Kodu) ) veya Kart Kodu Doğrulaması (CCV). Tüm bu terimler, ödeme kartı işlemlerini güvence altına almak ve ödeme kartlarının dolandırıcılık amaçlı kullanımına karşı artırılmış koruma sağlamak için kullanılan yöntemlere atıfta bulunmaktadır .

Kod türleri

Farklı türde güvenlik kodları vardır:

• CVV1 veya CVC1, kartın manyetik şeridinde şifrelenir ve şahsen işlemler için kullanılır. CVC1 veya CVV1'in amacı, kartın manyetik şeridine kaydedilen verilerin geçerli olmasını ve kartı veren banka tarafından oluşturulmuş olmasını sağlamaktır. Bu değer her işlemde sunulur ve kartı veren banka tarafından doğrulanır. CVC1 veya CVV1'in sınırları, tüm manyetik şeridin kopyalanması durumunda, kartın örneğin bir mağazanın dürüst olmayan çalışanı tarafından elektronik bir araç kullanılarak kopyalanabilmesidir.
• CVV2 veya CVC2 veya CVx2. Bu güvenlik kodu, internet, posta, faks veya telefon yoluyla uzak bir işlemi güvence altına almak için genellikle tüccarlar tarafından istenir. Birçok Batı Avrupa ülkesinde, ödeme kartlarının sahtekarlık amaçlı kullanımındaki artışı takiben, bu kodu sağlamak artık zorunludur işlem uzak olduğunda
• Temassız ödeme kartları, iCVV veya dinamik CVV gibi elektronik olarak oluşturulmuş kendi kodlarını sağlar.

Bu kodlar, genellikle ödeme kartı üzerinde rahatlama olarak görünen kredi kartı numarasıyla karıştırılmamalıdır. Kredi kartı numarasının kendisi, kart numarasının geçerli olup olmadığını belirlemek için kullanılan Luhn formülü adı verilen algoritma ile kendi doğrulama sistemine tabidir .

Bu kodlar ayrıca 3-D Secure PIN kodu veya "MasterCard SecureCode" veya "Visa tarafından Doğrulanmış" olarak bilinen şifre ile karıştırılmamalıdır . Bu kodlar kart üzerinde yazdırılmaz veya vurgulanmaz, ancak işlem sırasında manuel olarak girilir.

Kod konumu

Güvenlik kodu (CVV2 veya CVC2) imza için ayrılan boşluğun sağında ödeme kartının arkasına basılmış 3 veya 4 basamaklı bir gruptur, ancak manyetik şeritte kodlanmamıştır.

• MasterCard , Visa, Diners Club , Discover (Amerika Birleşik Devletleri) ve JCB (Japonya) ödeme kartlarında 3 basamaklı bir güvenlik kodu bulunur. Bu kod, ödeme kartının numarası gibi rahatlama sağlamaz, her zaman kartın arkasına, imza için ayrılan boşluğun sağındaki son 3 rakamdır. Yeni Visa ve MasterCard kredi kartlarında bu kod, kartın üzerindeki imza ile 3 hanenin üstünün çizilmesini önlemek için imza yerinin sağında ayrı bir yerde bulunur. Bu kodların, ödeme kartını veren kuruluşa bağlı olarak farklı bir adı vardır:
  • MasterCard'da "CVC2" (kart doğrulama kodu),
  • Visa'da "CVV2" (kart doğrulama değeri),
  • Discover'da (Amerika Birleşik Devletleri) "CID2" (kart kimlik numarası).

• American Express ödeme kartlarında , kartın ön yüzünde, kart numarasının üzerinde 4 haneli bir güvenlik kodu bulunur. Bu numara, kart numarası gibi kabartma değildir. Bu kod American Express'te şöyle adlandırılır:
  • "CID" (benzersiz kart kodu)

Sistem avantajları

Güvenlik kodu manyetik şeride dahil edilmediğinden, genellikle bir satıcıda yüz yüze işleme dahil edilmez. Ancak Amerika Birleşik Devletleri'nde Sears veya Staples gibi birkaç şirket bu koda ihtiyaç duyar.

Avrupa'daki American Express kartları için, uzak işlemler için güvenlik kodunun kullanımı 2005 yılında başlamıştır. Bu, kötü niyetli bir tüccarın yapmadığı anlamda, banka ve kart sahibi için koruma düzeyini artırır. sonraki uzaktan ödeme için yeniden kullanım için manyetik şerit. Bunun için, satıcı, kart sahibinin şüphesini uyandıracak manyetik şeritten verileri yakalamak istediği işlem sırasında CVV2 kodunu not etmelidir.

ABD'de Visa, tüccarların işlemden sonra CVV2 kodunu saklamasını yasaklamaktadır. Böylelikle bir işlem dosyasının çalınması durumunda bile CVV2 kodları burada görünmese bile hırsızlar kart numaralarını dolandırıcılık işlemlerini gerçekleştirmek için kullanamayacaklardır.

PCI DSS standardı (DSS = veri güvenliği standardı) ve PCI = Ödeme Kartı Endüstrisi, güvenlik kodunun ve yetkilendirmeyle ilgili diğer hassas verilerin depolanmasını da yasaklar.Bu, ödeme kartı verilerini kaydeden, işleyen, ileten herhangi bir varlık için.

CSC güvenlik kodu sağlamanın amacı, kartın tüketicinin elinde olduğunu doğrulamaktır. Bu kodun bilinmesi, tüketicinin kartı gördüğünü kanıtlar. Bugüne kadar, bu sistemi " kırmaya " izin veren hiçbir yazılım bilinmemektedir.

Limitler

• Güvenlik kodunun kullanılması , kart sahibinin kendi güvenlik kodunu ve kartının diğer verilerini sahte bir siteye girdiğine inandırıldığı kimlik avı tekniklerine karşı koruma sağlamaz . Kimlik avındaki artış, sahtekarlığı önleme prosedürü olarak güvenlik kodunun etkinliğini azaltmıştır. Ayrıca, kimlik avı yazarının, güvenlik talep eden bir formu doldurmalarını istemeden önce onlara yanlış bir güvenlik hissi vermek için bu çalınan verileri göndererek kullanıcının kart numarasını (örneğin bir tüccarın veritabanını hackleyerek) elde ettiği dolandırıcılıklar da vardır. çalınan veritabanına kaydedilmeyen kod.
• Güvenlik kodunun üye işyeri tarafından kaydedilmesi gerekmediğinden (güvenlik kodunun kullanıldığı işlem onaylanıp tamamlandıktan sonra), abonelik için düzenli olarak kart kullanması gereken bir üye işyeri bu güvenliği sağlayamaz. ilk işlemden sonraki kod.
• Bazı kart sağlayıcıları henüz güvenlik kodunu kullanmamaktadır - MasterCard ve Visa sırasıyla 1997'de 2001'de başlamış olsa da. Bununla birlikte, güvenlik kodu olmayan işlemlerin daha fazla dolandırıcılık önleme kontrolüne, zorlanan ve güvenliksiz dolandırıcılık işlemlerine tabi olma olasılığı daha yüksektir. kodun kart sahibi lehine çözülmesi daha olasıdır.
• Bir satıcının bir işlemi tamamlaması için güvenlik kodunu talep etmesi zorunlu değildir, bu nedenle bir kart, numarası kimlik avı yazarının elindeyse, her zaman sahtekarlık amacıyla kullanılma riski altında olacaktır.

Kart sahibinin güvenliği

Banka kartının ön yüzünde görünen 16 basamaklı sayı bilgisiyle birlikte görsel kriptografın bilgisi, kart sahibinin ve aynı zamanda ödemeyi ödemeyenler de dahil olmak üzere herhangi bir üçüncü kişinin, sahibinin banka hesabından çevrimiçi alışveriş yapmasına olanak tanır.

Bu nedenle, bilgisayar çipine veya manyetik şeride zarar vermemekle birlikte, bir bıçak, iğne veya pusulanın ucuyla hafif bir "çizilme" ile ortadan kaybolmadan önce bu kriptogramı ezbere öğrenmeniz tavsiye edilir.

Kart güvenlik kodlarının oluşturulması

Harita oluşturulduğunda CVC1, CVV1, CVC2 ve CVV2 kodlarının değerleri üretilir. Bu değerler , kart numarasının (PAN, İngilizce'de Birincil Hesap Numarası), son kullanma tarihinin ve hizmet kodunun, yalnızca kartı veren bankanın bildiği bir şifre çözme anahtarıyla (genellikle Kart Doğrulama Anahtarı veya CVK olarak adlandırılır) şifrelenmesiyle hesaplanır . kartı, ardından sonucu ondalık biçime dönüştürme.

Dinamik şifreleme kartları

Operasyon

2015 yılında piyasada dinamik şifreleme kartları ortaya çıktı. Kartın arkasına basılı olan statik şifreleme, karta entegre edilmiş, üç veya dört basamaklı görüntüleyebilen mini bir e-kağıt ekranla değiştirilir . Kriptogram kalıcı olarak görüntülenir, ancak otomatik olarak, tipik olarak her 20 dakikada bir değişir: her ikisi de kartın kalbine entegre edilen ultra ince bir mini pille çalışan bir çip tarafından hesaplanır.

Kullanıcılar için öngörülebilir sonuçlar

İyi görüşe sahip insanlar için

Bu teknoloji, satın alma alışkanlıklarını değiştirmez, tarayıcıya herhangi bir eklentinin yüklenmesini gerektirmez ve mevcut tüccar sitelerinde sorunsuz bir şekilde çalışır. Bu tür bir kart, çevrimiçi dolandırıcılığa karşı etkili bir şekilde savaşmayı mümkün kılar: kart bilgileri çalınırsa (özellikle de vicdansız bir satış noktası tarafından kartın ön / arka tarafının fotoğrafı ile), kriptograf düzenli olarak değiştiği için hızla kullanılamaz hale gelir. .

Görme engelliler için

Görüldüğü gibi, böyle bir cihaz, kör veya çok görme engelli kişiler (yani Fransa'da yaklaşık 1.300.000 kişi) için tamamen erişilemez olacaktır ve bu kişiler, şu anda yaygın olarak kullandıkları çevrimiçi alışveriş olanaklarından dışlanacaktır.

Devam eden deneyler

Birkaç banka, 2015 yılında bu teknolojiyle ilgili pilot uygulamalar başlattıklarını ve 2016'da dağıtımları hedeflediklerini açıkladı. Teknoloji, Fransız şirketleri Oberthur Technologies ("Hareket Kodu") ve Gemalto ("DCV") tarafından sunulmaktadır.

Notlar ve referanslar

1. Trombi.com, Fransızların ödeme kartlarının arkasındaki 3 rakamı belirtmek için kullandıkları kelimeyle ilgili anketi.
2. http://fr.pcisecuritystandards.org/_onelink_/pcisecurity/en2frfr/doc/pci_dss_v1-2.pdf
3. Urban Legends Referans Sayfaları: Visa Fraud Investigation Scam
4. (inç) "  z / OS Integrated Cryptographic Service Facility Application Programmer's Guide  " , IBM,Mart 2002, s.  209
5. (inç) "  z / OS Integrated Cryptographic Service Facility Application Programmer's Guide  " , IBM,Mart 2002, s.  258
6. "  Garson, banka kartlarını çaldı Ahlaksız çalışan, kurumun müşterilerinin banka kartı numaralarını çaldı ve arkadaşlarına iletişim bilgilerini yeniden vermeden önce şifreli resmi kaldırdı, bu da Net.  "
7. Daha az erişilebilirlik için dinamik bir şifreli banka kartına doğru "Arşivlenmiş kopya" ( İnternet Arşivi'nde 23 Temmuz 2018 sürümü )
8. Körlük, görme engelli: Görme engellilere hizmet veren Valentin Haüy Derneği'nin web sitesindeki veriler
9. "  BPCE, dinamik şifreleme kartını test eder  "
10. "  BNP Paribas dinamik kodlu banka kartıyla ilgileniyor  "
11. "  Societe Generale, çevrimiçi satın alımlar için yeni nesil ultra güvenli bir kart deniyor  "
12. (inç) "  Getin Bank dünyanın ilk DCVC kartını tanıttı  "

İlgili Makaleler

• 3-D Güvenli
• Ödeme kartı

Dış bağlantı

• Bankacılık kriptogramları