Cmo funcionan las tarjetas de pago?

Parte II: CID/CAV2/CVC2/CVV2

En esta nueva entrega de esta serie se har una introduccin a uno de los componentes principales de las
transacciones no presenciales: el valor de verificacin de tarjeta (CID/CAV2/CVC2/CVV2).

Historia del valor de verificacin de tarjeta (CID/CAV2/CVC2/CVV2)

Con el fin de evitar manipulaciones no autorizadas y fraude con tarjetas de pago basadas en banda magntica, los
bancos emisores optaron por agregar un cdigo especial de seguridad que permitiera validar la integridad
(legitimidad) y la posesin de la tarjeta en el momento de una transaccin presencial. A este cdigo lo llamaron Card
Verification Value (CVV) o Card Validation Code (CVC), el cual es almacenado en el Track 2 (pista 2) de la
banda magntica y no es visible por el dueo de la tarjeta, ya que el proceso de validacin de este cdigo es
automtico en el banco emisor cuando se recibe una transaccin.
Este cdigo es generado en el momento de la estampacin de la tarjeta utilizando el PAN (Primary Account Number),
la fecha de expiracin de la tarjeta y el cdigo de servicio. Estos datos son encriptados utilizando dos llaves de
cifrado en posesin del banco emisor y usando para esta labor el algoritmo DES (Data Encryption Standard).
Cuando se realiza una transaccin empleando una tarjeta con banda magntica, estos datos son enviados y
procesados por el banco emisor y comparados contra una base de datos de referencia. Si los datos coinciden indica
que los datos de la tarjeta no han sido manipulados y que se trata de una transaccin realizada con una tarjeta
legtima. A pesar que el concepto es el mismo, cada una de las marcas de tarjetas opt por darle un nombre diferente
a este cdigo:
CAV Card Authentication Value (tarjetas JCB)
CVC Card Validation Code (tarjetas MasterCard)
CVV Card Verification Value (tarjetas Visa y Discover)
CSC Card Security Code (tarjetas American Express)
Sin embargo, tanto los bancos como los comercios se encontraban ante un problema operativo al que no le
encontraban una solucin a largo plazo: las compras realizadas a travs de llamadas telefnicas. En este tipo de
compras, el PAN (Primary Account Number, que es el nmero que viene impreso en la parte frontal del plstico y
visible a cualquiera en posesin de la misma) era dictado por el cliente a un agente de servicio, quien proceda a
enviarlo al banco para validacin. Como se puede concluir, cualquier persona que conociera un PAN podra hacer
una compra suplantando al dueo legtimo de la tarjeta. Estas transacciones en las cuales no es necesaria la
presencia fsica de la tarjeta para hacer una compra se denominan transacciones no presenciales o de tarjeta no
presente (Card-not-present (CNP)).
Con el fin de solucionar este inconveniente, la solucin ms prctica fue emplear el mismo concepto de Card
Verification Value (CVV) y estamparlo en el plstico, para que el cliente pudiera verlo. De esta manera, cuando un
cliente haca una compra va telefnica dictaba el nmero de su tarjeta (PAN), la fecha de expiracin y el cdigo CVV
impreso al agente. Estos datos eran enviados al banco, que mediante una comparacin poda saber si la tarjeta era
legtima o no sin necesidad de realizar una lectura directa de la banda magntica. Para diferenciar este nuevo cdigo
del cdigo almacenado en la banda magntica se opt por darle un nombre diferente dependiendo de la marca de
tarjetas emisora:
CID Card Identification Number (tarjetas American Express y Discover)
CAV2 Card Authentication Value 2 (tarjetas JCB)
CVC2 Card Validation Code 2 (tarjetas MasterCard)
CVV2 Card Verification Value 2 (tarjetas Visa)
De acuerdo con ello, los cdigos CAV/CVC/CVV/CSC estn asociados a la informacin de seguridad almacenada en
la banda magntica, mientras que los cdigos CID/CAV2/CVC2/CVV2 referencian los valores de seguridad
estampados en la tarjeta para transacciones no presenciales.
Posteriormente con la masificacin del uso de Internet, la llegada del comercio electrnico y las compras on-line (que
forman parte de las transacciones no presenciales), el uso de los cdigos CID/CAV2/CVC2/CVV2 fue determinante
para la realizacin de transacciones sin presencia fsica de tarjetas. Por ello, cada vez que se hace una compra
empleando canales on-line el comercio pedir este cdigo para validar la posesin y legitimidad de la tarjeta.

Longitud y ubicacin de los valores CID/CAV2/CVC2/CVV2

Como se comentaba anteriormente, los valores CID/CAV2/CVC2/CVV2 son visibles al usuario y han de ser
referenciados en el momento de una transaccin no presencial. Dependiendo de la marca de pago asociada con la
tarjeta, este cdigo puede tener una longitud y ubicacin diferente:
Tarjetas Visa, MasterCard y Discover

Fuente: www.amazonaws.com
El cdigo de validacin en este tipo de tarjetas se compone de tres dgitos y aparece al final del espacio para la
firma, ubicado en el anverso de la tarjeta.
Tarjetas American Express (AMEX)

Fuente: www.amazonaws.com
El cdigo de validacin en las tarjetas American Express se compone de cuatro dgitos y est ubicado en la parte
frontal de la tarjeta, justo encima y a la derecha del PAN (Primary Account Number).

Consideraciones de seguridad con CID/CAV2/CVC2/CVV2

A continuacin se enumeran una serie de consideraciones bsicas para la proteccin de este dato sensible:
El cdigo CID/CAV2/CVC2/CVV2 no es igual al PIN (Personal Identification Number). Son cdigos
diferentes y con usos distintos. El cdigo CID/CAV2/CVC2/CVV2 es esttico y se emplea para la validacin
de transacciones no presenciales (compras telefnicas y por Internet), mientras que el PIN es un cdigo que
se puede cambiar por el usuario y se usa para la autenticacin en transacciones presenciales (uso de cajeros
electrnicos, TPV fsicos, etc.). Ambos cdigos son confidenciales y deben ser tratados como tal.
No ingrese el cdigo CID/CAV2/CVC2/CVV2 en pginas web no confiables o en URLs provenientes de
correos electrnicos desconocidos, ya que puede ser vctima de phising.
No permita que desconocidos tengan acceso fsico a su tarjeta, ya que podran visualizar toda la informacin
requerida para transacciones online (PAN, fecha de expiracin y cdigos de validacin) y suplantarlo en
compras.
Si considera que los datos de su tarjeta han sido comprometidos, pngase en contacto con su banco
inmediatamente.

CID/CAV2/CVC2/CVV2 y los estndares del PCI SSC

Tal como se ha explicado, el CID/CAV2/CVC2/CVV2 es un dato confidencial que permite la autenticacin y validacin
de integridad en transacciones no presenciales. Debido precisamente a esta confidencialidad, el PCI SSC (Payment
Card Industry Security Standards Council) ha descrito una serie de controles de seguridad especficos en sus
estndares PCI DSS (Payment Card Industry Data Security Standard) y PA DSS (Payment Card Industry Data Security
Standard) para la proteccin de esta informacin.
Por norma general, los valores de CID/CAV2/CVC2/CVV2 no pueden ser almacenados por el comercio o el
proveedor de servicio bajo ningn criterio. Esta prohibicin est establecida en el requerimiento 3.2.2 de PCI DSS:
3.2.2 No almacene el valor ni el cdigo de validacin de tarjetas (nmero de tres o cuatro dgitos impreso en el
anverso o reverso de una tarjeta de pago) que se utiliza para verificar las transacciones de tarjetas ausentes.
Esto implica que es muy probable que en funcin del tipo de transaccin no presencial el comercio o proveedor de
servicio le solicite al usuario el CID/CAV2/CVC2/CVV2 en cada transaccin que realice en sus sistemas.
Referencias:
Credit and debit card CVV Number location and information (http://www.cvvnumber.com/)