CVV/CVC kód — k čemu slouží, jak ho chránit, mýty a fakta

RYCHLÁ ODPOVĚĎ

CVV (Card Verification Value, u Visa) a CVC (Card Validation Code, u Mastercardu) jsou tří- až čtyřciferná čísla na zadní straně karty (u Amex na přední). Slouží jako důkaz, že máte fyzickou kartu při ruce. Vyžadují se pro většinu online plateb, kde nejde použít čip ani bezkontaktní přiložení. Nejsou uložené v magnetickém pruhu ani v čipu — i kdyby útočník zachytil data z čipu, CVV by chybělo.

Praktická pravidla: nikdy nesdělujte CVV telefonem, žádný legitimní obchodník ani banka ho tímto kanálem nepotřebuje. Nezadávejte CVV nikam jinam než do platebního formuláře důvěryhodného obchodníka. Pozor na stránky, kde CVV neukládejte — některé e-shopy nabízejí „uložení karty pro příští platby“; legální je to jen přes tokenizaci, ne plain-text uložením CVV.

Co CVV/CVC fyzicky je

Většina karet má CVV vytištěný na zadní straně, na pásku se vzorovým podpisem nebo blízko něj. U klasických Visa a Mastercard karet je tříciferný, u American Express čtyřciferný a vytištěný na přední straně. U virtuálních karet a digitálních peněženek se CVV zobrazuje pouze v aplikaci, fyzicky na ničem není. U moderních „minimalistických“ karet (bez čísla na přední straně, často u Revolutu nebo digitálních fintech bank) bývá CVV také jen v aplikaci.

Číslo CVV je generováno bankou pomocí kryptografického algoritmu z čísla karty, expirace a několika tajných parametrů, které drží jen banka a karetní asociace. Nelze ho tedy „uhádnout“ z čísla karty — útočník by musel projít znalost interních klíčů banky, což je v praxi vyloučené. Pro klienta je to jednoduše tříciferné číslo, které má unikátní funkci: dokazuje, že platbu provádí někdo, kdo má kartu fyzicky při ruce.

Proč CVV není v čipu

Jeden z chytrých designů celého systému je, že CVV není uložen v magnetickém pruhu ani v čipu karty. Pokud útočník odposlechne data z čipu (skimming, tokenizace v terminálu), získá číslo karty a expiraci, ale CVV mu chybí. Bez CVV nedokončí drtivou většinu online plateb. To je jeden z důvodů, proč je čipová karta pro online platby relativně bezpečná i v případě fyzického zneužití — útočník se vždy musí dostat ke „třem číslům na zadní straně“ samostatně.

Pro online platby existuje paralelní pravidlo: drtivá většina e-shopů CVV vyžaduje, ale nesmí ho uložit v plain textu. Pokud chce obchodník nabídnout opakované platby, musí pracovat s tokenizací (banka mu vystaví token, který funguje jen s konkrétním obchodníkem). Plain-text uložení CVV je porušení pravidel PCI DSS (Payment Card Industry Data Security Standard) a obchodník za to čelí sankcím. Pokud někde musíte CVV zadávat pravidelně i u opakovaných plateb, je to varovný signál.

Časté mýty o CVV

„CVV je můj podpisový kód.“ Není. Podpisový pásek je vlastní vrstva, CVV je samostatné kryptograficky vygenerované číslo. Některé karty mají CVV vytištěné blízko podpisového pásku, ale spolu nesouvisí.

„CVV je v čipu.“ Není. Pro účely online plateb je CVV2 (variant pro online) generován samostatně a ukládá se jen v autorizační databázi banky.

„Když znám CVV, můžu platit kdekoli.“ Ne přesně. V Evropě většina e-shopů vyžaduje navíc 3D Secure. Bez kódu z aplikace banky útočník samotným CVV (a číslem karty + expirací) v EU mnoho nezmůže. Mimo EU je riziko vyšší.

„Můžu CVV přepsat lihovým fixem, abych ho chránil.“ Teoreticky ano, ale pak ho nebudete vědět při legitimní platbě. Praktičtější je zapamatovat si CVV nebo si ho uložit do bezpečné aplikace (banka, password manager) a fyzicky ho přebrousit. V drtivé většině situací stačí prostě nezadávat CVV nikam, kde nepatří.

„Tokenizovaná karta v Apple Pay používá stejný CVV.“ Ne. Tokenizace generuje pro každou platbu jednorázový kryptogram, klasický CVV se nepřenáší. To je jeden z důvodů, proč jsou platby přes Apple Pay nebo Google Pay bezpečnější než ručně zadávané údaje karty.

Jak CVV chránit v praxi

Pravidla pro každodenní použití. Nikdy CVV nikomu neříkejte ústně ani písemně. Nezadávejte CVV nikde jinde než v platebním formuláři, kde si jste jistí, že platba probíhá přes legitimní platební bránu. Ve veřejných prostorách (kavárna, MHD) si při placení dejte pozor, aby vám někdo „přes rameno“ neznal CVV ani neudělal fotografii karty. Při ztrátě karty předpokládejte, že CVV je kompromitované, a kartu blokujte i v případě, že ji pravděpodobně našel jen kolemjdoucí.

Při zadávání CVV online ověřujte, že stránka má HTTPS (zámeček v adrese), že doménové jméno odpovídá očekávanému obchodníkovi (pozor na podvržené domény jako „cs0b.cz“ místo „csob.cz“ a podobné záměny). Pokud jste na pochybách, raději neplaťte a obchodníka ověřte přes nezávislé zdroje.

Pokud kartu používáte pro online platby často, zvažte oddělení rizikových obchodů přes virtuální kartu. Hlavní karta s plným rámcem zůstává pro důvěryhodné platby, virtuální s nízkým limitem jde do oběhu na nových e-shopech. I při úniku CVV virtuální karty je škoda omezená limitem.

PŘÍKLAD Z PRAXE

Modelová situace: klient pravidelně objednává od různých zahraničních e-shopů. Aby nepouštěl CVV své hlavní kreditky do oběhu, používá pro každou novou registraci virtuální kartu s limitem 5 000 Kč. Pro známé a důvěryhodné obchodníky (Apple, Spotify, mateřský e-shop velkého řetězce) má hlavní kartu uloženou přes tokenizaci.

Když se po několika měsících v médiích objeví, že jeden z menších zahraničních e-shopů byl hacknut a unikla z něj data karet, klient nemusí měnit hlavní kartu — jen deaktivuje virtuální, kterou tam použil. Hlavní karta zůstává v provozu, hlavní číslo a CVV se k útočníkům nedostávají, protože je klient nikdy nezadal.

Tento přístup vyžaduje minimum extra úsilí (vystavení virtuální karty v aplikaci je otázka 30 sekund), ale dramaticky snižuje riziko zneužití hlavní karty. Je to jedna z nejlepších bezpečnostních praktik, kterou jako klient můžete přijmout, pokud vám banka virtuální karty umožňuje.

CVV vs. PIN — různé funkce

Lidé občas zaměňují CVV s PIN. Jsou to dva různé bezpečnostní prvky s odlišnou funkcí. PIN (Personal Identification Number) je čtyřciferné číslo, které používáte v terminálech a bankomatech. Slouží jako důkaz, že znáte přístupový kód k fyzické kartě. PIN si volíte a měníte sami (přes aplikaci nebo bankomat). PIN se nikdy netiskne na kartu — kdyby byl, mohl by útočník platit i bez vás.

CVV je naopak vytištěný na kartě (na zadní straně), generovaný bankou, nelze ho měnit. Slouží pro online platby jako důkaz fyzické přítomnosti karty. PIN chrání proti fyzickému zneužití karty (bezkontaktně nad limit, terminál, bankomat), CVV chrání proti zneužití samotných čísel karty (online platby). Oba prvky jsou komplementární.

CVV u virtuálních a digitálních karet

U virtuálních karet, které vystavuje banka v aplikaci, se CVV zobrazuje pouze v aplikaci a může být dynamický — některé banky mění CVV virtuální karty pravidelně (každých několik minut nebo po každé platbě). To dramaticky zvyšuje bezpečnost — i když útočník CVV získá, je platný jen pár minut. Detailní mechanismus se liší banka od banky a je popsán v dokumentaci konkrétní karty.

U tokenizovaných karet v digitálních peněženkách (Apple Pay, Google Pay) klasický CVV vůbec nehraje roli — tokenizace generuje kryptogram pro každou transakci, který supluje funkci CVV i jiných ověření. Útočník, který by zachytil token nebo kryptogram z jedné transakce, ho nemůže použít znovu — kryptogram je jednorázový. Z tohoto pohledu je placení přes mobilní peněženku z hlediska CVV problematiky bezstarostné.

Tři číslice na zadní straně karty mají výrazně větší dopad na vaši bezpečnost, než byste podle jejich velikosti čekali.

Co když CVV unikl

Pokud máte podezření, že někdo získal CVV vaší karty (typicky po phishingu, podezřelém obchodníkovi nebo úniku z databáze), máte dvě cesty. Preventivní výměna karty — kontaktujte banku, požádejte o vystavení nové karty s novým CVV. To je nejjistější obrana, protože staré CVV přestane v karetní síti fungovat. Sledování výpisu a okamžité řešení podezřelých transakcí přes chargeback. Tato cesta vás nutí být ostražitý, ale riziko zneužití přetrvává.

V Evropě je riziko zneužití samotného CVV (bez 3D Secure) omezené. Mimo Evropu vyšší. Pokud kartu plánujete používat na zahraničních e-shopech, kde 3D Secure neproběhne, preventivní výměna po podezření je rozumný krok. Detail postupu při zneužití je v textu zneužití karty.

Souvislosti

CVV je součástí širšího bezpečnostního systému karet. Pro detail o online placení a ochranně údajů karty pokračujte na platba online. Pro mechanismus 3D Secure, který ve většině evropských plateb supluje slabost samotného CVV, je relevantní text o 3D Secure. Pro detailní postup při podezření na zneužití pokračujte na zneužití karty. Pro alternativu hlavní karty u rizikových plateb si přečtěte virtuální karta.