2.3.3.1. Mã số bảo mật thẻ (Card Security Code)
Mã số bảo mật thẻ (Card Security Code) viết tắt là CSC đôi khi được gọi là giá trị xác minh thẻ (Card Verification Value) viết tắt là CVV hay mã số xác minh thẻ (Card Verification Code) viết tắt là CVC là một tính năng bảo mật cho thẻ ghi nợ hoặc thẻ tín dụng nhằm chống lại thẻ tín dụng gian lận. Mã số này chỉ có người chủ thẻ và ngân hàng phát hành thẻ biết, bởi vậy nó gần giống như mã PIN.
Thật ra có đến vài loại mã số bảo mật thẻ:
34. Loại mã số đầu tiên được gọi là CVV1 hay CVC1
được mã hóa trên sọc từ tính của thẻ dùng cho các giao dịch trực tiếp bằng thẻ.
35. Loại mã số thứ hai được gọi là CVV2 hay CVC2
thường được yêu cầu khi thực hiện các giao dịch gián tiếp (card not present) như các giao dịch trên Internet, thư điện tử, điện thoại hay fax.
CVV2 là một dãy số gồm 3 hay 4 chữ số được in chìm trên thẻ ở mặt trước hoặc ngay phía sau dãy từ chứa chữ ký.
36. Đối với thẻ tín dụng hay thẻ ghi nợ của MasterCard,
Visa, Diners Club, Discover, và JCB, dãy số này được in ngay phía sau bảng chữ ký và được gọi là "CVC2" (card validation code), "CVV2" (card verification value), "CVV", hay "CID" (card identification number).
37. Đối với thẻ American Express, dãy số này được in
chìm ở mặt trước , bên trên số thẻ.
Dãy số CVC được tạo ra khi thẻ được cấp phát bằng cách dùng hàm băm có mã (keyed hash) để băm số thẻ và ngày hết hạn của thẻ với khóa của ngân hàng phát hành. Cung cấp thông tin này trong quá trình giao dịch để nhằm kiểm tra rằng khách hàng đã từng nhìn thấy thẻ.
Yêu cầu khách hàng cung cấp CVV2 sẽ giúp tạo thêm một mức bảo vệ rủi ro cho các ngân hàng và chủ thẻ. Thông tin CVV2 được chủ thẻ cung cấp trong quá trình thực hiện giao dịch chỉ nhằm mục đích kiểm tra và xác thực thông tin, và người bán hàng sẽ không được lưu lại thông tin này vào cơ sở dữ liệu của mình. Mục đích của việc này là nhằm bảo vệ trong trường hợp cơ sở dữ liệu của người bán hàng bị rò rỉ thông tin, bởi vì không có CVC nên mã số thẻ bị đánh cắp sẽ không thể sử dụng được.
CVV2 cũng còn một vài hạn chế:
38. CVV2 không thể giúp chống lại các âm mưu lừa đảo
(phishing) qua mạng. Nếu bằng một cách nào đó kẻ lừa đảo biết được số tài khoản thẻ của người dùng (như bằng cách tấn công cơ sở dữ liệu của người bán), đưa thông tin này cho nạn nhân bằng cách gửi email cho nạn nhân và hỏi nạn nhân về CVV2, nếu nạn nhân mắc bẩy và cung cấp CVV2 thì kẻ lừa đảo đã có đủ thông tin để sử dụng thẻ của nạn nhân.
sửa lại hóa đơn chẳng hạn sẽ không thể cung cấp lại CVV2 cho ngân hàng để thực hiện việc xác minh cho quá trình thanh toán lại.
2.3.3.2. Hệ thống xác minh địa chỉ (Address Verification System)
Hệ thống xác minh địa chỉ (Address Verification System) viết tắt là AVS là hệ thống dùng để xác minh, kiểm chứng chủ sở hữu thẻ tín dụng. Hệ thống sẽ kiểm tra địa chỉ của hoá đơn của thẻ tín dụng cung cấp bởi người dùng với địa chỉ được lưu trữ trong cơ sở dữ liệu của nhà cung cấp thẻ.
AVS sẽ kiểm tra phần số của địa chỉ. Ví dụ nếu địa chỉ của của khách hàng là “101 Main Street, Highland, CA 92346”, AVS sẽ kiểm tra 101 và 92346.
Hiện tại chỉ có một vài nước được hỗ trợ AVS trên Visa và MasterCard, đáng chú ý nhất là Mỹ, Canada và Anh. American Express hỗ trợ nhiều quốc gia hơn.
Ngoài sự kiểm chứng tự đông, một vài ngân hàng còn cung cấp cho người bán những sự kiểm tra thủ công. Thường điều này được thực hiện cho tài khoản thẻ tín dụng nước ngoài như AVS chỉ làm việc trong cùng quốc gia. Phương tiện này trợ giúp người bán ngăn chặn gian lận phát sinh từ quốc gia khác. Ngân hàng của người bán gọi ngân hàng khách hàng (hoặc gửi fax cho ngân hàng đó để yêu cầu họ).