Carding 4 Carders
Professional
Краткое содержание: Visa предоставляет эмитентам передовой опыт определения риска мошенничества с транзакциями до одобрения или отклонения транзакции и призывает их использовать комбинацию атрибутов транзакции для уменьшения мошенничества.
Рост мобильных и облачных платежей позволяет держателям карт Visa расплачиваться через разные устройства через несколько интерфейсов.
По мере диверсификации типов платежных операций эмитентам становится все более важным применять целостный подход к управлению рисками. Эмитенты могут сделать это, встраивая логику в их узлы авторизации для оценки значений проверки карты (например, проверка значений карт [CVV], CVV2, CVV интегральной схемы [iCVV], Dynamic CVV [dCVV] и т. д.) с использованием режима входа в кассовую точку (POS) и кода обслуживания транзакции. Обзор этих трех элементов данных предоставляется вместе с девятью передовыми методами, которые эмитенты должны учитывать для оптимизации управления рисками в своих портфелях.
Элементы данных транзакции
• Типы значений для проверки карты
CVV, iCVV и CVV2 могут быть найдены на физической карте на магнитной полосе, в чипе или напечатаны на задней стороне карты, а dCVV генерируется во время транзакции. Visa включает эти уникальные коды во все транзакций и требует, чтобы все карты, включая карты экстренной замены, были закодированы ими. Проверочные значения основаны на номере счета, сроке действия и коде услуги и рассчитываются применением криптографического алгоритма к закодированной информации учетной записи. Поскольку использованное значение верификации карты варьируется в зависимости от интерфейса, через который была зафиксирована транзакция (например, магнитная полоса карты неприсутствует контактный чип и бесконтактный), эмитенты могут проверить значение, чтобы заблокировать мошенничество. Эмитенты подтверждают верификацию карты онлайн в момент авторизации транзакции. Неправильные значения сигнализируют о потенциально мошеннических транзакциях.
CVV - интерфейс с магнитной полосой: CVV - это уникальный трехзначный номер, закодированный на дорожке 1 (трек 1) и дорожке 2 (трек 2) Discretionary Data магнитной полосы. Он рассчитывается путем применения алгоритма к закодированной информации об аккаунте и проверенная онлайн при авторизации. Эмитенты всегда должны подтверждать CVV для транзакций с магнитной полосой, даже если PIN-код присутствует и подтвержден.
CVV2 - среда отсутствия карты: CVV2 - это трехзначное число, напечатанное на обратной стороне всех карт Visa, рассчитанные несколько иначе с использованием того же алгоритма, что и CVV. Когда продавцы отправляют CVV2, эмитенты могут проверить его как часть запроса авторизации для транзакций без карты (или, в США, когда карта не может быть прочитана в электронном виде при личных транзакциях).
dCVV - Бесконтактный интерфейс на основе данных с магнитной полосой: dCVV - это метод аутентификации для версии данных с магнитной полосой для бесконтактных транзакций Visa payWave. DCVV рассчитывается используя данные динамического бесконтактного чипа и отправленные в транзакции эмитенту, сокращая объем данных и подделку.
iCVV - контактный или бесконтактный интерфейс микросхемы : iCVV - это значение, закодированное на дорожке 2 микросхемы.
эквивалентный набор данных, который позволяет эмитентам легко обнаруживать и отклонять поддельные карты с магнитной полосой создается из данных чип-карты. Примечание . Правильное значение iCVV должно присутствовать только при считывании чипа.
сделка. Транзакции чтения чипа также должны содержать более надежную криптограмму аутентификации EMV, который следует использовать для аутентификации вместо iCVV.
Невыполнение любого из этих типов значений проверки карты может привести к обнаружению поддельной карты, созданной из взломанных
данные с магнитной полосы или чипа. Однако такие сбои могут также сигнализировать о проблеме с подлинной картой; эмитентам поэтому следует расследовать повторяющиеся отказы карт, чтобы избежать повторных отказов.
Мошенники также могут предпринять попытку грубой силы для идентификации значения верификации карты или другого значения аутентификации путем быстрой отправки последовательных транзакций, пока они не получат положительную авторизацию от эмитента. В частности, повторяющиеся сбои CVV2 могут указывать на мошенническое использование номера счета где у мошенников физически нет карты.
• Режим ввода POS
Режим ввода POS (поле 22), отправляемый с каждой транзакцией, предоставляет эмитенту информацию о том, как продавец получил данные транзакции. Поскольку режим входа POS, в сочетании с другой авторизацией параметров (например, код состояния POS), идентифицирует канал приема, проверка режима входа POS необходимо для выявления и предотвращения мошенничества. Наиболее распространенные режимы входа в POS-терминалы включают:
01 - Ручной ввод ключа
05 или 95 - считывание чипа
07 - Бесконтактный, с использованием правил данных чипа
02 или 90 - чтение магнитной полосы
91 - Бесконтактный, с использованием правил передачи данных с магнитной полосой.
• Сервисный код
Код услуги - это последовательность цифр, которая в целом определяет различные услуги, различает карту при использовании в международном или внутреннем обмене, обозначает требования к PIN-коду и определяет ограничения карты.
Сервисные коды применяются ко всем продуктам Visa. Типичные примеры служебного кода включают:
101 - карточка на магнитной ножке; международное использование
120 - карта с магнитной полосой; международное использование; Требуется PIN-код
121 - карта с магнитной полосой; международное использование; онлайн-авторизация требуется для всех транзакций
201 - чип-карта EMV; международное использование
221 - чип-карта EMV; международное использование; онлайн-авторизация требуется для всех транзакций
601 - кредитные и дебетовые карты с чипом EMV для национального использования.
Примечание. Сервисные коды 000 и 999 не являются действительными идентификаторами возможностей или использования карты, и они используются исключительно для рассчёта CVV2 и iCVV. Сервисные коды 000 и 999 нельзя кодировать на магнитной полосе карты.
Эмитенты должны отклонять транзакции с этими кодами обслуживания. Невыполнение этого может привести к потерям в результате мошенничества.
Сервисные коды используются только для указания метода проверки держателя карты (CVM) и настроек авторизации.
при транзакциях с магнитной полосой. Для транзакций чтения чипа параметры, закодированные на чипе, будут использоваться для этой цели, и они не обязательно могут соответствовать предпочтениям, указанным в коде услуги.
Использование элементов данных для предотвращения мошенничества
Эмитенты должны рассматривать значения верификации карт, режим ввода POS и коды обслуживания вместе, чтобы определить логические конфликты и смягчение последствий подделки и мошенничества без карты. В качестве предварительного условия эмитенты должны проверить, что запись POS режима определяет поддерживаемый платежный интерфейс и что код услуги действителен и соответствует закодированному на карте. После рассмотрения запроса на авторизацию эмитенты должны включить соответствующую результату проверки карты значения как часть процесса принятия решения. Проверка режима ввода POS, соответствующая услуга.
Код и соответствующее значение верификации карты могут автоматически определять потенциальное мошенничество, в том числе:
• Мошенничество с предъявлением карты с использованием данных об отсутствии карты: данные, украденные из транзакции без карты, не должны работать.
на личном интерфейсе, поскольку проверка CVV / iCVV / dCVV не удастся, потому что у мошенника не будет доступа к подлинным ценностям. Эмитенты должны выявить и расследовать эти несоответствия и отклонить соответствующие транзакции, однажды идентифицированные как мошеннические.
• Подделка карты с магнитной полосой с использованием данных бесконтактного чипа: мошенники могут украсть данные с бесконтактной карты или мобильного телефона и нанесьти их на магнитную полосу. Транзакция с магнитной полосой имеет режим ввода POS 90 (магнитная полоса), что указывает на необходимость проверки CVV, что приведет к сбою потому что у мошенника не будет доступа к подлинной ценности.
• Подделка снятых чипов данных. Мошенники могут украсть данные с чип-карты (контактной или бесконтактной) и нанесите его на магнитную полосу. В этом случае транзакция с магнитной полосой будет иметь режим ввода POS 90.
вместо 05/95 (контактный чип) или 07/91 (бесконтактный), и код услуги не будет соответствовать типу карты.
Например, код услуги 000 или 999 недействителен для проводимой транзакции с режимом ввода POS 90.
Проверка CVV для транзакции с магнитной полосой выявит iCVV, украденный с чип-карты, и эмитентам следует отклонить транзакцию по подозрению в мошенничестве.
• Бесконтактное мошенничество с использованием скомпрометированных данных с магнитной полосой. Мошенники могут подделать магнитную полосу.
данные карты в платежное приложение, хранящееся на мобильном устройстве. При использовании бесконтактного интерфейса
эмитент должен признать, что эта транзакция имеет режим ввода POS 91 или 07, указывая, что они должны проверьться либо dCVV (для 91), либо криптограмму EMV (для 07). Они должны потерпеть неудачу, поскольку у мошенника не будет доступа к подлинной ценности.
Эмитенты, которые не выпускают контактные чипы или продукты, поддерживающие бесконтактную связь, возможно, не имеют возможности проверить типы значений верификации карты, связанные с этими новыми интерфейсами (например, dCVV / iCVV). Visa сильно рекомендует эмитентам отклонять транзакции с режимами входа POS, не имеющими отношения к выпущенным ими продуктам (например, эмитент, который не выпускал бесконтактные продукты, должен отклонить транзакции с режимом ввода POS 91 или 07).
Эмитенты, которые участвуют в цифровых кошельках, должны убедиться, что они готовы управлять как токенизированными, так и нетокенизированные бесконтактные транзакции. Эмитенты, которые участвуют только в токенизированных кошельках, могут либо отклонить все бесконтактные транзакции без токенизации на собственном хосте или поручение Visa выполнить эту задачу от их имени. Клиентам следует связаться с их представителем Visa для получения более подробной информации.
Проверка типа значения проверки карты может в достаточной степени идентифицировать мошенническую транзакцию. Однако с введением различных форм-факторов для использования в нескольких интерфейсах, Visa советует эмитентам использовать дополнительные данные элементы в разрешительных решениях. У эмитентов есть варианты обработки значения проверки карты, которые позволяют Visa проверять от имени эмитента.
VisaNet внесла правки, которые ищут недействительные коды услуг, режимы ввода POS и значение проверки карты.
комбинации, и он отклонит транзакцию и отправит уведомление об отклонении эмитенту / обработчику. Однако Visa рекомендует эмитентам самостоятельно проверять значения верификации карт и выполнять те же проверки на все запросы на авторизацию.
Рекомендации эмитента
Учитывая возможности эмитента и доступные элементы данных, Visa рекомендует следующие передовые практики для оптимизации управления портфелем мошенничества:
• Приоритет проверки криптограммы чипа: для транзакций чипа проверка криптограммы приложения.
(Версия криптограммы 10 или 17) должна иметь приоритет над проверкой iCVV. Валидация iCVV должна происходит только в том случае, если у эмитентов отсутствуют данные чипа для проверки, и эмитенты все равно должны рассматривать успешную проверку как сделку с повышенным риском.
• Включить проверку многокомпонентной авторизации: при просмотре запроса на авторизацию эмитенты должны включить результат проверки значения карты, код услуги и режим ввода POS как часть процесс авторизации. Эмитенты должны проверить согласованность и согласованность этих множественных данных элементов, в том числе проверка запросов на авторизацию чип-карты по транзакциям через кассовые терминалы и банкоматы, независимо от CVM (например, подпись, PIN-код или отсутствие CVM).
• Отклонение недействительных кодов услуг: эмитенты должны отклонять транзакции с недопустимыми кодами услуг, например 999 или 000.
• Настройка VisaNet для сценариев сбоя: эмитенты должны просмотреть все значения проверки карты, не прошедшие проверку (CVV, CVV2, iCVV, dCVV) на уровне хоста эмитента, а не оставлять решение на усмотрение VisaNet.
обработка (НТИП). Используйте один из следующих сценариев обработки CVV:
CVV - всегда обеспечивается, чтобы в случае сбоя CVV в STIP транзакция была передана эмитенту, если доступна.
CVV - всегда откликается, чтобы гарантировать, что код ответа по умолчанию для недействительных транзакций CVV - «05».
отклонить.
Примечание. Это конфигурации, специфичные для VisaNet.
• Активировать «мягкую» блокировку: эмитентам следует рассмотреть возможность мягкой блокировки учетных записей, транзакции которых подтверждаются с помощью недействительного значения проверки карты, пока они не подтвердят активность по счету у держателя карты. Это снизит количество отказов от подлинных транзакций и уменьшение количества проблем с обслуживанием клиентов.
• Отклонение сомнительных транзакций через банкомат: эмитентам следует рассмотреть возможность отклонения карт с недействительной картой.
проверочные значения, когда транзакция исходит из банкомата, поскольку неверные проверочные значения карты редко замечено в транзакциях банкомата. Несущественно, что проверка PIN могла быть успешной в этом сценарии; эмитент не должен полагаться исключительно на проверку PIN-кода.
• Использование CVV2 в защите от рисков: помимо использования CVV2 для аутентификации карт в среде без карты, эмитентам следует рассмотреть возможность использования номера для усиления защиты от рисков в других функциях аутентификации, таких как проверка изменений адреса держателя карты, запрошенных по телефону, или проверка активации новой карты.
• Принять правила скорости: эти правила помогают идентифицировать и останавливать атаку методом грубой силы или атаки тестирования / зондирования.
(когда мошенник может быстро отправить несколько последовательных транзакций с низкой стоимостью), пока эмитент не предоставит авторизацию для получения действительного значения верификации карты для конкретной карты. Как только мошенники получают авторизацию, они обычно будут проводить мошеннические транзакции с более высокой стоимостью немедленно, пока эмитент обнаруживает подозрительную активность.
• Использование счетчика транзакций приложения (ATC) для проверки транзакций с микросхемой: эмитенты должны контролировать и отслеживать ATC для чип-карт, чтобы идентифицировать повторные атаки мошенников. Например, повторное использование одного и того же ATC для транзакции может указывать на такую атаку.
Эмитенты, которые используют проверенные инструменты предотвращения мошенничества и несколько элементов данных из запросов авторизации, будут
лучше подготовлены к предотвращению мошенничества в своих портфелях.
Рост мобильных и облачных платежей позволяет держателям карт Visa расплачиваться через разные устройства через несколько интерфейсов.
По мере диверсификации типов платежных операций эмитентам становится все более важным применять целостный подход к управлению рисками. Эмитенты могут сделать это, встраивая логику в их узлы авторизации для оценки значений проверки карты (например, проверка значений карт [CVV], CVV2, CVV интегральной схемы [iCVV], Dynamic CVV [dCVV] и т. д.) с использованием режима входа в кассовую точку (POS) и кода обслуживания транзакции. Обзор этих трех элементов данных предоставляется вместе с девятью передовыми методами, которые эмитенты должны учитывать для оптимизации управления рисками в своих портфелях.
Элементы данных транзакции
• Типы значений для проверки карты
CVV, iCVV и CVV2 могут быть найдены на физической карте на магнитной полосе, в чипе или напечатаны на задней стороне карты, а dCVV генерируется во время транзакции. Visa включает эти уникальные коды во все транзакций и требует, чтобы все карты, включая карты экстренной замены, были закодированы ими. Проверочные значения основаны на номере счета, сроке действия и коде услуги и рассчитываются применением криптографического алгоритма к закодированной информации учетной записи. Поскольку использованное значение верификации карты варьируется в зависимости от интерфейса, через который была зафиксирована транзакция (например, магнитная полоса карты неприсутствует контактный чип и бесконтактный), эмитенты могут проверить значение, чтобы заблокировать мошенничество. Эмитенты подтверждают верификацию карты онлайн в момент авторизации транзакции. Неправильные значения сигнализируют о потенциально мошеннических транзакциях.
CVV - интерфейс с магнитной полосой: CVV - это уникальный трехзначный номер, закодированный на дорожке 1 (трек 1) и дорожке 2 (трек 2) Discretionary Data магнитной полосы. Он рассчитывается путем применения алгоритма к закодированной информации об аккаунте и проверенная онлайн при авторизации. Эмитенты всегда должны подтверждать CVV для транзакций с магнитной полосой, даже если PIN-код присутствует и подтвержден.
CVV2 - среда отсутствия карты: CVV2 - это трехзначное число, напечатанное на обратной стороне всех карт Visa, рассчитанные несколько иначе с использованием того же алгоритма, что и CVV. Когда продавцы отправляют CVV2, эмитенты могут проверить его как часть запроса авторизации для транзакций без карты (или, в США, когда карта не может быть прочитана в электронном виде при личных транзакциях).
dCVV - Бесконтактный интерфейс на основе данных с магнитной полосой: dCVV - это метод аутентификации для версии данных с магнитной полосой для бесконтактных транзакций Visa payWave. DCVV рассчитывается используя данные динамического бесконтактного чипа и отправленные в транзакции эмитенту, сокращая объем данных и подделку.
iCVV - контактный или бесконтактный интерфейс микросхемы : iCVV - это значение, закодированное на дорожке 2 микросхемы.
эквивалентный набор данных, который позволяет эмитентам легко обнаруживать и отклонять поддельные карты с магнитной полосой создается из данных чип-карты. Примечание . Правильное значение iCVV должно присутствовать только при считывании чипа.
сделка. Транзакции чтения чипа также должны содержать более надежную криптограмму аутентификации EMV, который следует использовать для аутентификации вместо iCVV.
Невыполнение любого из этих типов значений проверки карты может привести к обнаружению поддельной карты, созданной из взломанных
данные с магнитной полосы или чипа. Однако такие сбои могут также сигнализировать о проблеме с подлинной картой; эмитентам поэтому следует расследовать повторяющиеся отказы карт, чтобы избежать повторных отказов.
Мошенники также могут предпринять попытку грубой силы для идентификации значения верификации карты или другого значения аутентификации путем быстрой отправки последовательных транзакций, пока они не получат положительную авторизацию от эмитента. В частности, повторяющиеся сбои CVV2 могут указывать на мошенническое использование номера счета где у мошенников физически нет карты.
• Режим ввода POS
Режим ввода POS (поле 22), отправляемый с каждой транзакцией, предоставляет эмитенту информацию о том, как продавец получил данные транзакции. Поскольку режим входа POS, в сочетании с другой авторизацией параметров (например, код состояния POS), идентифицирует канал приема, проверка режима входа POS необходимо для выявления и предотвращения мошенничества. Наиболее распространенные режимы входа в POS-терминалы включают:
01 - Ручной ввод ключа
05 или 95 - считывание чипа
07 - Бесконтактный, с использованием правил данных чипа
02 или 90 - чтение магнитной полосы
91 - Бесконтактный, с использованием правил передачи данных с магнитной полосой.
• Сервисный код
Код услуги - это последовательность цифр, которая в целом определяет различные услуги, различает карту при использовании в международном или внутреннем обмене, обозначает требования к PIN-коду и определяет ограничения карты.
Сервисные коды применяются ко всем продуктам Visa. Типичные примеры служебного кода включают:
101 - карточка на магнитной ножке; международное использование
120 - карта с магнитной полосой; международное использование; Требуется PIN-код
121 - карта с магнитной полосой; международное использование; онлайн-авторизация требуется для всех транзакций
201 - чип-карта EMV; международное использование
221 - чип-карта EMV; международное использование; онлайн-авторизация требуется для всех транзакций
601 - кредитные и дебетовые карты с чипом EMV для национального использования.
Примечание. Сервисные коды 000 и 999 не являются действительными идентификаторами возможностей или использования карты, и они используются исключительно для рассчёта CVV2 и iCVV. Сервисные коды 000 и 999 нельзя кодировать на магнитной полосе карты.
Эмитенты должны отклонять транзакции с этими кодами обслуживания. Невыполнение этого может привести к потерям в результате мошенничества.
Сервисные коды используются только для указания метода проверки держателя карты (CVM) и настроек авторизации.
при транзакциях с магнитной полосой. Для транзакций чтения чипа параметры, закодированные на чипе, будут использоваться для этой цели, и они не обязательно могут соответствовать предпочтениям, указанным в коде услуги.
Использование элементов данных для предотвращения мошенничества
Эмитенты должны рассматривать значения верификации карт, режим ввода POS и коды обслуживания вместе, чтобы определить логические конфликты и смягчение последствий подделки и мошенничества без карты. В качестве предварительного условия эмитенты должны проверить, что запись POS режима определяет поддерживаемый платежный интерфейс и что код услуги действителен и соответствует закодированному на карте. После рассмотрения запроса на авторизацию эмитенты должны включить соответствующую результату проверки карты значения как часть процесса принятия решения. Проверка режима ввода POS, соответствующая услуга.
Код и соответствующее значение верификации карты могут автоматически определять потенциальное мошенничество, в том числе:
• Мошенничество с предъявлением карты с использованием данных об отсутствии карты: данные, украденные из транзакции без карты, не должны работать.
на личном интерфейсе, поскольку проверка CVV / iCVV / dCVV не удастся, потому что у мошенника не будет доступа к подлинным ценностям. Эмитенты должны выявить и расследовать эти несоответствия и отклонить соответствующие транзакции, однажды идентифицированные как мошеннические.
• Подделка карты с магнитной полосой с использованием данных бесконтактного чипа: мошенники могут украсть данные с бесконтактной карты или мобильного телефона и нанесьти их на магнитную полосу. Транзакция с магнитной полосой имеет режим ввода POS 90 (магнитная полоса), что указывает на необходимость проверки CVV, что приведет к сбою потому что у мошенника не будет доступа к подлинной ценности.
• Подделка снятых чипов данных. Мошенники могут украсть данные с чип-карты (контактной или бесконтактной) и нанесите его на магнитную полосу. В этом случае транзакция с магнитной полосой будет иметь режим ввода POS 90.
вместо 05/95 (контактный чип) или 07/91 (бесконтактный), и код услуги не будет соответствовать типу карты.
Например, код услуги 000 или 999 недействителен для проводимой транзакции с режимом ввода POS 90.
Проверка CVV для транзакции с магнитной полосой выявит iCVV, украденный с чип-карты, и эмитентам следует отклонить транзакцию по подозрению в мошенничестве.
• Бесконтактное мошенничество с использованием скомпрометированных данных с магнитной полосой. Мошенники могут подделать магнитную полосу.
данные карты в платежное приложение, хранящееся на мобильном устройстве. При использовании бесконтактного интерфейса
эмитент должен признать, что эта транзакция имеет режим ввода POS 91 или 07, указывая, что они должны проверьться либо dCVV (для 91), либо криптограмму EMV (для 07). Они должны потерпеть неудачу, поскольку у мошенника не будет доступа к подлинной ценности.
Эмитенты, которые не выпускают контактные чипы или продукты, поддерживающие бесконтактную связь, возможно, не имеют возможности проверить типы значений верификации карты, связанные с этими новыми интерфейсами (например, dCVV / iCVV). Visa сильно рекомендует эмитентам отклонять транзакции с режимами входа POS, не имеющими отношения к выпущенным ими продуктам (например, эмитент, который не выпускал бесконтактные продукты, должен отклонить транзакции с режимом ввода POS 91 или 07).
Эмитенты, которые участвуют в цифровых кошельках, должны убедиться, что они готовы управлять как токенизированными, так и нетокенизированные бесконтактные транзакции. Эмитенты, которые участвуют только в токенизированных кошельках, могут либо отклонить все бесконтактные транзакции без токенизации на собственном хосте или поручение Visa выполнить эту задачу от их имени. Клиентам следует связаться с их представителем Visa для получения более подробной информации.
Проверка типа значения проверки карты может в достаточной степени идентифицировать мошенническую транзакцию. Однако с введением различных форм-факторов для использования в нескольких интерфейсах, Visa советует эмитентам использовать дополнительные данные элементы в разрешительных решениях. У эмитентов есть варианты обработки значения проверки карты, которые позволяют Visa проверять от имени эмитента.
VisaNet внесла правки, которые ищут недействительные коды услуг, режимы ввода POS и значение проверки карты.
комбинации, и он отклонит транзакцию и отправит уведомление об отклонении эмитенту / обработчику. Однако Visa рекомендует эмитентам самостоятельно проверять значения верификации карт и выполнять те же проверки на все запросы на авторизацию.
Рекомендации эмитента
Учитывая возможности эмитента и доступные элементы данных, Visa рекомендует следующие передовые практики для оптимизации управления портфелем мошенничества:
• Приоритет проверки криптограммы чипа: для транзакций чипа проверка криптограммы приложения.
(Версия криптограммы 10 или 17) должна иметь приоритет над проверкой iCVV. Валидация iCVV должна происходит только в том случае, если у эмитентов отсутствуют данные чипа для проверки, и эмитенты все равно должны рассматривать успешную проверку как сделку с повышенным риском.
• Включить проверку многокомпонентной авторизации: при просмотре запроса на авторизацию эмитенты должны включить результат проверки значения карты, код услуги и режим ввода POS как часть процесс авторизации. Эмитенты должны проверить согласованность и согласованность этих множественных данных элементов, в том числе проверка запросов на авторизацию чип-карты по транзакциям через кассовые терминалы и банкоматы, независимо от CVM (например, подпись, PIN-код или отсутствие CVM).
• Отклонение недействительных кодов услуг: эмитенты должны отклонять транзакции с недопустимыми кодами услуг, например 999 или 000.
• Настройка VisaNet для сценариев сбоя: эмитенты должны просмотреть все значения проверки карты, не прошедшие проверку (CVV, CVV2, iCVV, dCVV) на уровне хоста эмитента, а не оставлять решение на усмотрение VisaNet.
обработка (НТИП). Используйте один из следующих сценариев обработки CVV:
CVV - всегда обеспечивается, чтобы в случае сбоя CVV в STIP транзакция была передана эмитенту, если доступна.
CVV - всегда откликается, чтобы гарантировать, что код ответа по умолчанию для недействительных транзакций CVV - «05».
отклонить.
Примечание. Это конфигурации, специфичные для VisaNet.
• Активировать «мягкую» блокировку: эмитентам следует рассмотреть возможность мягкой блокировки учетных записей, транзакции которых подтверждаются с помощью недействительного значения проверки карты, пока они не подтвердят активность по счету у держателя карты. Это снизит количество отказов от подлинных транзакций и уменьшение количества проблем с обслуживанием клиентов.
• Отклонение сомнительных транзакций через банкомат: эмитентам следует рассмотреть возможность отклонения карт с недействительной картой.
проверочные значения, когда транзакция исходит из банкомата, поскольку неверные проверочные значения карты редко замечено в транзакциях банкомата. Несущественно, что проверка PIN могла быть успешной в этом сценарии; эмитент не должен полагаться исключительно на проверку PIN-кода.
• Использование CVV2 в защите от рисков: помимо использования CVV2 для аутентификации карт в среде без карты, эмитентам следует рассмотреть возможность использования номера для усиления защиты от рисков в других функциях аутентификации, таких как проверка изменений адреса держателя карты, запрошенных по телефону, или проверка активации новой карты.
• Принять правила скорости: эти правила помогают идентифицировать и останавливать атаку методом грубой силы или атаки тестирования / зондирования.
(когда мошенник может быстро отправить несколько последовательных транзакций с низкой стоимостью), пока эмитент не предоставит авторизацию для получения действительного значения верификации карты для конкретной карты. Как только мошенники получают авторизацию, они обычно будут проводить мошеннические транзакции с более высокой стоимостью немедленно, пока эмитент обнаруживает подозрительную активность.
• Использование счетчика транзакций приложения (ATC) для проверки транзакций с микросхемой: эмитенты должны контролировать и отслеживать ATC для чип-карт, чтобы идентифицировать повторные атаки мошенников. Например, повторное использование одного и того же ATC для транзакции может указывать на такую атаку.
Эмитенты, которые используют проверенные инструменты предотвращения мошенничества и несколько элементов данных из запросов авторизации, будут
лучше подготовлены к предотвращению мошенничества в своих портфелях.
Last edited:
