web-dev-qa-db-ja.com

無効なCVVを渡すと、トランザクションが成功します

店を建て、カード決済システムを組み込んだ。チェックアウトページには、次の項目があります。

  • カード番号
  • 賞味期限
  • CVV

無効な有効期限を使用すると、期待どおりに支払いが失敗します。しかし、カード番号と有効期限が正しい場合、たとえinvalid CVVを渡しても、トランザクションは成功します。

それは予想されますか?予期しない場合、それは私の銀行または私が使用する支払いサービスの脆弱性ですか?

更新:それは銀行に関連しているようです。別の銀行の別のクレジットカードを試しましたが、問題を再現できません。この場合、トランザクションは、CVVが正しい場合にのみ作成されます。

繰り返しますが、これをどこかに報告する必要がありますか、それとも予想される動作ですか?

1
Ionică Bizău

予想はできませんが、不可能ではありません。

クレジットカード取引の実行に必要な最低限のデータは、カード番号(プライマリアカウント番号、またはPAN)です。

有効期限、カード所有者名、CVV、請求郵便番号はすべて、PANを検証するために使用できます。ただし、必須ではありません。

販売者は、多かれ少なかれ情報を要求して検証することを選択でき、結果として多かれ少なかれリスクと手数料を引き受けます。明らかに、CVVを要求した商人を通過したが、トランザクションの一部としてそれを送信できなかったか、送信してからCVVの不一致に基づいてトランザクションを拒否するというアドバイスを無視した。

7
gowenfawr

実際に何が起こっているかを知るには、CVV応答コードを調べる必要があります。 CVVは実際には必須ではないので、CVV応答は純粋に助言フィールドです(送信しないと、さらに課金されたり、拒否されたりする可能性があります)。

CVVを送信するトランザクションには、6つまたは7つの可能な応答コードがあります(たとえば、 ここここ 、または ここ を参照)。どのコードが許容可能で、どれがトランザクションを失敗させるかを決定するのは、プロセッサまたはマーチャント次第です。これは、プロセッサのWebポータル、電話サポートで構成されたもの、または自分で管理する必要があるものです。

おそらく、問題のカードはUS、またはPの応答で返されます。これは、発行銀行がCVVを確認できなかったことを示しますなんらかの理由。それが許容できるレベルのリスクを伴うかどうかは、ビジネス上の決定です。失敗しているものはおそらくNで戻ってきます。これは、「CVVが[〜#〜]間違っている[〜#〜]!」応答(したがって、トランザクションを拒否する本当に良い理由)。


無関係ですが、クレジットカード番号を自分で収集するのか(それをプロセッサー/ゲートウェイに渡すのか)、統合によって提供されるページを提供するのかは不明です。それらを収集している場合は、さまざまな PCI SAQレベル に注意してください。SAQA-EPのように聞こえます。詳細については、 pci-dss タグ内の質問を参照してください。

4
Bobson