Pasar una CVV no válida crea una transacción exitosa

Navega tus respuestas
1

Construí una tienda e integré un sistema de pago con tarjeta. En la página de pago, tenemos:

  • El número de tarjeta
  • Fecha de caducidad
  • CVV

Si utilizo una fecha de caducidad no válida, el pago falla, como se esperaba. Pero si el número de la tarjeta y la fecha de vencimiento son correctos, incluso si paso un CVV inválido , la transacción es exitosa.

¿Es eso esperado? Si no se espera, ¿es una vulnerabilidad de mi banco o del servicio de pago que utilizo?

Actualización: Parece que está relacionado con el banco. Lo intenté con una tarjeta de crédito diferente que tengo en otro banco y no puedo reproducir el problema. En este caso, la transacción se crea solo si el CVV es correcto.

De nuevo, ¿debo informar esto en algún lugar o es un comportamiento esperado?

    
pregunta Ionică Bizău 13.12.2016 - 14:29
fuente

2 respuestas

6

No se espera, pero no es imposible.

La información mínima requerida para realizar una transacción con tarjeta de crédito es el número de la tarjeta (Número de cuenta principal o PAN).

La fecha de vencimiento, el nombre del titular de la tarjeta, el CVV, el código postal de facturación se pueden utilizar para validar el PAN. Pero no son necesarios.

El comerciante puede optar por solicitar y validar más o menos información y, como resultado, asume más o menos riesgos y tarifas. Claramente, se comunicó con un comerciante que solicitó el CVV pero no lo envió como parte de la transacción o lo envió y luego ignoró el consejo de rechazar la transacción en función de la discrepancia del CVV.

    
respondido por el gowenfawr 13.12.2016 - 14:52
fuente
4

Para saber lo que realmente está sucediendo, debe consultar el código de respuesta CVV. La respuesta CVV es meramente un campo de consulta, ya que el CVV no es realmente obligatorio (solo se le cobra más y / o arriesga más rechazos si no lo envía.

Hay seis o siete códigos de respuesta posibles (consulte aquí , < a href="http://www.fraudlabspro.com/developer/reference/avs-and-cvv2-response-codes"> here , o here , por ejemplo) para una transacción que envía un CVV. Depende del procesador o comerciante decidir qué códigos son aceptables y cuáles deberían fallar en la transacción. Esto puede ser algo configurado en el portal web de su procesador, soporte telefónico o algo que necesita para administrarse usted mismo.

Lo más probable es que la tarjeta en cuestión regrese con una respuesta U , S o P , lo que indica que el banco emisor no pudo verificar el CVV por algún motivo. Es una decisión de negocios si eso conlleva un nivel de riesgo aceptable o no. Los que están fallando probablemente vuelvan con un N , que es el definitivo "¡Ese CVV está INCORRECTO !" respuesta (y por lo tanto una muy buena razón para rechazar la transacción).

No relacionado, no está claro si usted está recolectando los números de tarjeta de crédito (y pasándolos a su procesador / pasarela) o si está sirviendo una página proporcionada por su integración. Si los está recolectando, tenga en cuenta los diversos PCI SAQ niveles - suena como si estuvieras bajo SAQ A-EP. Vea las preguntas en la etiqueta pci-dss para obtener más información .

    
respondido por el Bobson 13.12.2016 - 20:15
fuente

Lea otras preguntas en las etiquetas

¿Las funciones hash criptográficas populares no deberían codificar la longitud de los datos de entrada en la salida? dirección MAC de la fuente en la sesión RDP