7
MINUTOS DE LECTURA
¿Qué es el CVV (también CVC o CSC), cómo funciona y qué implica para los pagos de tu negocio?
Tabla de contenido
El CVV es un código de seguridad de 3 o 4 cifras, asociado a una tarjeta de crédito o débito.
CVV viene del inglés Card Verification Value, y también podemos referirnos a ese código como CVC (Card Verification Code) o CSC (Card Security Code).
Estos tres términos significan lo mismo y se usan indistintamente (algunas marcas de tarjetas usan unas u otras).
La función del CVV es la prevención del fraude, y en este artículo explicamos cómo funciona, qué implica y cómo gestionarlo cuando tienes un negocio con pagos online.
¿Qué es el CVV y de dónde viene?
El CVV suele encontrarse en la parte trasera de las tarjetas, aunque en algunas tarjetas como las American Express, aparece en el anverso.
El CVV lo genera el banco emisor de la tarjeta en el momento de fabricarla, a partir de un algoritmo que combina tanto el número de la tarjeta (PAN), la fecha de caducidad y una clave criptográfica que el emisor guarda (CVK de Card Verification Key).
El CVV puede tener 3 cifras, como en la mayoría de las tarjetas Visa y Mastercard, o bien 4 cifras como las tarjetas American Express.
¿Qué diferencias entre el CVV, CVV1 y CVV2?
El CVV es como hemos visto, el código que está impreso en la tarjeta y que los comercios piden a los compradores cuando realizan una compra online. En algunos contextos más técnicos, se hace referencia a él como CVV2, para distinguirlo del CVV1, un código que el usuario de la tarjeta “no ve”.
El CVV1 está almacenado en la banda magnética de la tarjeta. Cuando alguien paga en un comercio físico y pasa la tarjeta por un TPV, este lee ese código automáticamente y lo envía al emisor para verificar que la tarjeta es válida.
¿Cómo funciona el CVV dentro del flujo de autorización de la tarjeta online?
Cuando un cliente introduce el CVV en el checkout de una tienda online, ese código viaja junto al número de la tarjeta y la fecha de caducidad en la solicitud de autorización que el comercio envía a su procesador de pagos. El procesador lo transmite a la red de pago (ya sea Visa, Mastercard, u otras redes) y esta lo reenvía al banco emisor de la tarjeta para que se verifique que todos los datos coinciden.
El emisor compara el CVV recibido con el que tiene registrado, y si coincide devuelve una respuesta de aprobación. Si no coincide, devuelve un código de rechazo.
En el caso de que el comercio utilice una plataforma como Zru, es la pasarela de Zru la que captura los datos de la tarjeta, incluido el CVV, y lo transmite de forma segura al procesador de pagos. De esta forma el comercio no tiene que preocuparse por recopilar datos muy sensibles como es el CVV.
El CVV no es lo único que el emisor valida en ese momento. También comprueba que la tarjeta esté activa, que no haya sido reportada como robada, que haya saldo suficiente y que la transacción no active sus propios filtros de fraude.
Por qué no puedes almacenar el CVV y qué pasa si lo haces
El estándar PCI DSS (Payment Card Industry Data Security Standard) prohíbe almacenar el CVV una vez completada la autorización del pago. Esto significa que nadie, ni comercios ni pasarelas de pago pueden almacenar el CVV, y aplica sin excepciones: ni cifrado, ni enmascarado, ni en papel. Si el dato existe en tus sistemas después de que el pago se ha procesado, estás incumpliendo la PCI DSS.
Esta prohibición tiene sentido ya que el CVV no se necesita más una vez que la transacción se haya autorizado. Además, si el comercio lo almacena y sus sistemas sufren una brecha de seguridad, este dato podría usarse para realizar compras fraudulentas.
Esto significa que en el caso de pagos recurrentes y suscripciones, el CVV no puede usarse para cobros posteriores al primero. Para ese tipo de transacciones, el mecanismo correcto es la tokenización: el procesador de pagos genera un token que representa la tarjeta, para que el negocio pueda realizar los siguientes cobros posteriores.
Para este tipo de transacciones, plataformas como Zru gestionan la tokenización de forma que el comercio nunca tiene acceso al CVV ni a otros datos sensibles de la tarjeta, pudiendo realizar suscripciones y pagos recurrentes cumpliendo con la PCI DSS.
CVV dinámico: ¿qué es y qué cambia para tu negocio?
El CVV dinámico, también conocido como dCVV2 en Visa y dCVC2 en Mastercard, sustituye el código estático impreso en las tarjetas por un código que va cambiando periódicamente. El titular de la tarjeta puede consultarlo a través de su app de banco cada vez que necesita hacer una compra online.
De esta forma es mucho más seguro ya que si roban la tarjeta, no tienen acceso al código CVV impreso en ella. Además, el código al tener una vida útil limitada, una vez que caduca, ya no sirve para nada.
Para los comercios, el proceso es exactamente el mismo: el CVV dinámico se captura y se valida de la misma forma que un CVV estático. No requiere ninguna adaptación técnica por parte del negocio.
¿Cómo puede ayudarte Zru a gestionar el CVV de los pagos?
Zru es una infraestructura de pagos que permite a los comercios gestionar sus pagos de forma segura y sin tener que preocuparse por el manejo del CVV.
Cuando un cliente paga en una web que usa Zru, es el checkout de Zru el que captura los datos de la tarjeta, incluido el CVV y los transmite de forma segura al procesador. El comercio nunca almacena información de ningún tipo sobre las tarjetas.
Para los pagos recurrentes y suscripciones, Zru tokeniza la tarjeta desde el primer cobro. De esa forma se pueden ejecutar cobros futuros sin volver a solicitar los datos al cliente y sin que el CVV tenga que estar presente en los siguientes cobros.
Zru permite al comercio utilizar más de 200 métodos de pago y procesadores, para adaptarse a las necesidades de cada mercado en el que opere.
Además, si un pago falla, Zru permite definir rutas de fallback dentro de la propia orquestación para reintentar el cobro por otro procesador y evitar perder la venta. Todo esto se hace desde el panel y sin necesidad de tocar código.
Si tienes dudas sobre cómo gestionar el CVV o los pagos de tu negocio, nuestro equipo puede ayudarte a encontrar la mejor solución.
7
MINUTOS DE LECTURA
¿Qué es el CVV (también CVC o CSC), cómo funciona y qué implica para los pagos de tu negocio?
Tabla de contenido
El CVV es un código de seguridad de 3 o 4 cifras, asociado a una tarjeta de crédito o débito.
CVV viene del inglés Card Verification Value, y también podemos referirnos a ese código como CVC (Card Verification Code) o CSC (Card Security Code).
Estos tres términos significan lo mismo y se usan indistintamente (algunas marcas de tarjetas usan unas u otras).
La función del CVV es la prevención del fraude, y en este artículo explicamos cómo funciona, qué implica y cómo gestionarlo cuando tienes un negocio con pagos online.
¿Qué es el CVV y de dónde viene?
El CVV suele encontrarse en la parte trasera de las tarjetas, aunque en algunas tarjetas como las American Express, aparece en el anverso.
El CVV lo genera el banco emisor de la tarjeta en el momento de fabricarla, a partir de un algoritmo que combina tanto el número de la tarjeta (PAN), la fecha de caducidad y una clave criptográfica que el emisor guarda (CVK de Card Verification Key).
El CVV puede tener 3 cifras, como en la mayoría de las tarjetas Visa y Mastercard, o bien 4 cifras como las tarjetas American Express.
¿Qué diferencias entre el CVV, CVV1 y CVV2?
El CVV es como hemos visto, el código que está impreso en la tarjeta y que los comercios piden a los compradores cuando realizan una compra online. En algunos contextos más técnicos, se hace referencia a él como CVV2, para distinguirlo del CVV1, un código que el usuario de la tarjeta “no ve”.
El CVV1 está almacenado en la banda magnética de la tarjeta. Cuando alguien paga en un comercio físico y pasa la tarjeta por un TPV, este lee ese código automáticamente y lo envía al emisor para verificar que la tarjeta es válida.
¿Cómo funciona el CVV dentro del flujo de autorización de la tarjeta online?
Cuando un cliente introduce el CVV en el checkout de una tienda online, ese código viaja junto al número de la tarjeta y la fecha de caducidad en la solicitud de autorización que el comercio envía a su procesador de pagos. El procesador lo transmite a la red de pago (ya sea Visa, Mastercard, u otras redes) y esta lo reenvía al banco emisor de la tarjeta para que se verifique que todos los datos coinciden.
El emisor compara el CVV recibido con el que tiene registrado, y si coincide devuelve una respuesta de aprobación. Si no coincide, devuelve un código de rechazo.
En el caso de que el comercio utilice una plataforma como Zru, es la pasarela de Zru la que captura los datos de la tarjeta, incluido el CVV, y lo transmite de forma segura al procesador de pagos. De esta forma el comercio no tiene que preocuparse por recopilar datos muy sensibles como es el CVV.
El CVV no es lo único que el emisor valida en ese momento. También comprueba que la tarjeta esté activa, que no haya sido reportada como robada, que haya saldo suficiente y que la transacción no active sus propios filtros de fraude.
Por qué no puedes almacenar el CVV y qué pasa si lo haces
El estándar PCI DSS (Payment Card Industry Data Security Standard) prohíbe almacenar el CVV una vez completada la autorización del pago. Esto significa que nadie, ni comercios ni pasarelas de pago pueden almacenar el CVV, y aplica sin excepciones: ni cifrado, ni enmascarado, ni en papel. Si el dato existe en tus sistemas después de que el pago se ha procesado, estás incumpliendo la PCI DSS.
Esta prohibición tiene sentido ya que el CVV no se necesita más una vez que la transacción se haya autorizado. Además, si el comercio lo almacena y sus sistemas sufren una brecha de seguridad, este dato podría usarse para realizar compras fraudulentas.
Esto significa que en el caso de pagos recurrentes y suscripciones, el CVV no puede usarse para cobros posteriores al primero. Para ese tipo de transacciones, el mecanismo correcto es la tokenización: el procesador de pagos genera un token que representa la tarjeta, para que el negocio pueda realizar los siguientes cobros posteriores.
Para este tipo de transacciones, plataformas como Zru gestionan la tokenización de forma que el comercio nunca tiene acceso al CVV ni a otros datos sensibles de la tarjeta, pudiendo realizar suscripciones y pagos recurrentes cumpliendo con la PCI DSS.
CVV dinámico: ¿qué es y qué cambia para tu negocio?
El CVV dinámico, también conocido como dCVV2 en Visa y dCVC2 en Mastercard, sustituye el código estático impreso en las tarjetas por un código que va cambiando periódicamente. El titular de la tarjeta puede consultarlo a través de su app de banco cada vez que necesita hacer una compra online.
De esta forma es mucho más seguro ya que si roban la tarjeta, no tienen acceso al código CVV impreso en ella. Además, el código al tener una vida útil limitada, una vez que caduca, ya no sirve para nada.
Para los comercios, el proceso es exactamente el mismo: el CVV dinámico se captura y se valida de la misma forma que un CVV estático. No requiere ninguna adaptación técnica por parte del negocio.
¿Cómo puede ayudarte Zru a gestionar el CVV de los pagos?
Zru es una infraestructura de pagos que permite a los comercios gestionar sus pagos de forma segura y sin tener que preocuparse por el manejo del CVV.
Cuando un cliente paga en una web que usa Zru, es el checkout de Zru el que captura los datos de la tarjeta, incluido el CVV y los transmite de forma segura al procesador. El comercio nunca almacena información de ningún tipo sobre las tarjetas.
Para los pagos recurrentes y suscripciones, Zru tokeniza la tarjeta desde el primer cobro. De esa forma se pueden ejecutar cobros futuros sin volver a solicitar los datos al cliente y sin que el CVV tenga que estar presente en los siguientes cobros.
Zru permite al comercio utilizar más de 200 métodos de pago y procesadores, para adaptarse a las necesidades de cada mercado en el que opere.
Además, si un pago falla, Zru permite definir rutas de fallback dentro de la propia orquestación para reintentar el cobro por otro procesador y evitar perder la venta. Todo esto se hace desde el panel y sin necesidad de tocar código.
Si tienes dudas sobre cómo gestionar el CVV o los pagos de tu negocio, nuestro equipo puede ayudarte a encontrar la mejor solución.
