Los servicios web más populares como PayPal, Google Wallet y otros no ocultan los números CVV, por ejemplo: ( <input type="password"> ).
Mientras leo, el CVV es una característica de seguridad y parece lógico enmascararlo para ocultarlo de miradas indiscretas. Pero no he visto ningún servicio web que oculte esta entrada.
Respuesta más probable:
Mantengamos esto en perspectiva. Este es el número que está impreso, en el reverso de la tarjeta, justo donde se indica a los cajeros de salario mínimo que inspeccionen visualmente cuando realizan una transacción de POS. El secreto absoluto de los espectadores físicos claramente no es el control previsto para el CSC !
Preste atención a los controles agresivos que impone el PCI DSS para asegurarse de que nadie en la cadena de procesamiento los almacene. A ellos no les preocupa que las personas de dos o tres personas sean navegadas por los hombros, sino a las personas que roban las bases de datos de tarjetas de crédito que también se salen con la CSC.
Primero, es importante entender que la seguridad no es binaria. No es un concepto "encendido" o "apagado", sino un continuo o opciones de administración de riesgos, y cada decisión tiene un costo. O bien el costo adicional de los controles o la mitigación a medida que avanza hacia el extremo "seguro" del espectro, o el costo de explotación a medida que acepta más riesgos hacia el extremo "inseguro".
En ninguna parte, esto es más cierto y más evidente que en los sistemas que se ocupan de las tarjetas de crédito. Cuando una entidad que trata con tarjetas de crédito toma una decisión de riesgo, existe un compromiso entre aceptar el costo del fraude cuando el sistema es menos seguro y aceptar el costo de la pérdida de ingresos cuando el sistema es más seguro, ya que los usuarios no pueden hacerlo. de realizar transacciones legítimas, ya sea porque el sistema no lo permite o porque se vuelve más difícil de usar.
Entonces, en cualquier sistema como este, cuando tiene una pregunta acerca de por qué algo no parece ser tan seguro como podría ser, generalmente es seguro asumir que la respuesta es porque el costo del fraude debido a la elección en cuestión es menor que el costo de las transacciones perdidas para la alternativa más segura. Es sorprendentemente crítico para las ventas que los sistemas sean lo más fáciles de usar, e incluso pequeños ajustes en la facilidad de uso pueden tener un efecto drástico en la cantidad de transacciones que se abandonan y nunca se completan.
Para el aspecto específico de su pregunta, ¿por qué no ocultan los CVV? Me parece que la oportunidad de un fraude adicional aquí es bastante baja, ya que el CVV es solo uno de los datos que necesita para cometer un fraude, y enmascararlo solo se trataría del subconjunto más pequeño de casos donde un el actor malicioso tenía todos los datos requeridos, excepto el CVV, pero solo podía ver el CVV en la pantalla y no desde la propia tarjeta, o desde el teclado cuando se ingresa. Sospecho que el riesgo adicional de frustrar a los usuarios que ingresan al CVV de manera incorrecta y no pueden saberlo aunque sea pequeño, es significativamente mayor.
Si piensa en el uso 'esperado', se supone que CVV significa que usted tiene físicamente la tarjeta (por lo que Puede ver ambos lados).
Con ese punto de inicio, el usuario escribirá el número de la tarjeta desde un lado, luego girará y escribirá el CVV.
Aprecio que muchas personas hayan memorizado el CVV y / o el número de 16 dígitos, por lo que la suposición anterior puede no ser válida, pero la expectativa es que tendrán la tarjeta visible para copiar el número (a diferencia de un PIN o contraseña que se espera que se almacene en su cabeza), por lo que el surfista del hombro también podría ver el CVV sin mucho esfuerzo.
Para mi propia tarjeta "más utilizada", los 16 dígitos son muy difíciles de leer en el frente, el CVV es más fácil de leer a distancia.
Lea otras preguntas en las etiquetas credit-card