Il passaggio di un CVV non valido crea una transazione corretta

1

Ho costruito un negozio e integrato un sistema di pagamento con carta. Nella pagina di pagamento, abbiamo:

  • Il numero della carta
  • Data di scadenza
  • CVV

Se utilizzo una data di scadenza non valida, il pagamento non riesce, come previsto. Ma se il numero della carta e la data di scadenza sono corretti, anche se passo un CVV non valido , la transazione va a buon fine.

È previsto? Se non è previsto, è una vulnerabilità della mia banca o del servizio di pagamento che utilizzo?

Aggiornamento: sembra che sia correlato alla banca. Ho provato con una carta di credito diversa che ho da un'altra banca e non riesco a riprodurre il problema. In questo caso la transazione viene creata solo se CVV è corretto.

Ancora, dovrei segnalarlo da qualche parte o è un comportamento previsto?

    
posta Ionică Bizău 13.12.2016 - 15:29
fonte

2 risposte

6

Non è previsto, ma non è impossibile.

I dati minimi richiesti per eseguire una transazione con carta di credito è il numero della carta (numero di conto primario o PAN).

La data di scadenza, il nome del titolare della carta, il CVV, il codice postale di fatturazione possono essere utilizzati per convalidare il PAN. Ma non sono richiesti.

Il commerciante può scegliere di richiedere e convalidare più o meno informazioni, e di conseguenza assume più o meno rischi e commissioni. Chiaramente sei passato attraverso un commerciante che ha richiesto il CVV, ma poi non è riuscito a inviarlo come parte della transazione, o lo ha inviato e poi ha ignorato il consiglio di rifiutare la transazione in base alla mancata corrispondenza CVV.

    
risposta data 13.12.2016 - 15:52
fonte
4

Per capire cosa sta succedendo, devi guardare il codice di risposta CVV. La risposta CVV è puramente un campo di consulenza, perché il CVV non è in realtà obbligatorio (ti viene addebitato di più e / o rischia altri declini se non lo invii.

Ci sono sei o sette possibili codici di risposta (vedi qui , < a href="http://www.fraudlabspro.com/developer/reference/avs-and-cvv2-response-codes"> qui o qui , ad esempio) per una transazione che invia un CVV. Spetta al trasformatore o al commerciante decidere quali codici sono accettabili e quale dovrebbe fallire la transazione. Questo potrebbe essere qualcosa configurato nel portale web del tuo processore, nell'assistenza telefonica o in qualcosa che devi gestire da solo.

Molto probabilmente, la carta in questione sta tornando con una U , S o P risposta, che indica che la banca emittente non è stata in grado di verificare il CVV per qualche motivo. È una decisione aziendale se questo comporta un livello di rischio accettabile o meno. Quelli che stanno fallendo probabilmente torneranno con un N , che è un definitivo "Che CVV è SBAGLIATO !" risposta (e quindi una buona ragione per rifiutare la transazione).

Non correlato, non è chiaro se stai raccogliendo personalmente i numeri della carta di credito (e passandoli al tuo processore / gateway) o servendo una pagina fornita dalla tua integrazione. Se li stai raccogliendo, sii consapevole dei vari PCI SAQ livelli : sembra che tu sia sotto SAQ A-EP. Consulta le domande nella per maggiori informazioni .

    
risposta data 13.12.2016 - 21:15
fonte

Leggi altre domande sui tag