Porque é que os cartões de crédito têm o seu número e o código CVC impressos para que todos possam ver?

Em última análise, não se suporta o risco de fraude, pelo que não se estabelece a tolerância ao risco. O código de três dígitos, o número inteiro do cartão, chip e pino, chip e assinatura, a assinatura num recibo, a informação na banda magnética, etc. O seu banco dir-lhe-á que todos eles são realmente secretos e que deve protegê-los, mas tatuá-los-ia na sua cara se pudessem.

O nome do jogo é o menor atrito de transacção possível em relação aos custos de fraude aceitáveis.

Porque é que o número de três dígitos está impresso no cartão? Porque presumivelmente tem o cartão na mão quando o quer utilizar. Este código ‘secreto’ surgiu para combater e/ou prevenir a fraude de baixo nível, principalmente relacionada com a escumação preguiçosa da banda magnética e os velhos tempos em que os recibos eram impressões do cartão. Este número não faz parte dos dados da tira magnética, e apenas significava ser um segredo da tira magnética e das pessoas que se pudessem encontrar na posse de um grande número de recibos de impressão (nos primeiros dias dos cartões de crédito) ou de uma base de dados preenchida com números de cartões de crédito. O seu objectivo era apenas oferecer uma prova de baixo nível da presença do cartão para combater os casos em que grandes quantidades de números de conta eram tomados; não autentica ou assegura transacções, não é uma soma de controlo, é apenas um número que não está na tira magnética ou no carimbo. Curiosamente, embora não surpreendentemente, o número não é simplesmente aleatório, é derivado do número de conta primária criptograficamente, de uma forma conhecida apenas pelo emissor do cartão.

Porque é que o banco não se esforça mais por proteger o número? Porque o banco quer que se utilize o cartão sem ter de se lembrar de um número.

Porque é que o número de quatro dígitos da American Express ‘secreto’ na frente do cartão, nem sequer escondido em segurança no verso, quem sabe; mas claramente o número não se destina a ser seguro para qualquer pessoa que possa ter acesso físico ao cartão.

Porque é que o cartão não está nu, mas sim para marcar com a informação guardada em segurança noutro lugar? Porque dois lugares são mais lugares e poderá não utilizar o cartão se precisar de desenterrar o pedaço de papel que lhe foi enviado separadamente com o código de três dígitos, obviamente nunca pretendido para ser seguro, impresso nele.

O incentivo do banco é para que utilize o cartão. Se não utilizar o cartão, ou se utilizar o cartão de um concorrente, o banco não ganha dinheiro.

Se quiser assegurar os seus métodos de pagamento melhor do que o nível com que o banco se sente confortável, é livre de o fazer. Raspe os números, retire a tira magnética, o que quer que seja; embora alterar o cartão seja provavelmente uma violação do seu acordo de membro do cartão. O banco não faz isso porque o banco não se importa.

O propósito do código de segurança não é um PIN secreto. O objectivo é “provar” que tem o cartão físico na sua posse no momento da compra. Só é utilizado quando o comerciante não pode confirmar que tem o cartão físico na sua posse. É utilizado quando compra algo de um website, mas também é utilizado numa loja física quando o cartão não pode ser digitalizado e o número tem de ser dactilografado manualmente.

A razão pela qual está impresso no cartão é que outra pessoa para além de si pode precisar de o ler. Se o entregar a uma caixa e esta não conseguir digitalizar o cartão por algum motivo e tiver de digitar o número, pode virar o cartão e digitar o código de segurança, provando ao computador que tem o cartão na sua posse. Nunca se pretendeu memorizar o cartão, e se os utilizadores do cartão memorizarem o código, este perde a sua eficácia como prova de posse física do cartão.

Pode-se argumentar que ter o código impresso no cartão torna o cartão menos seguro, e alguns sugeriram raspar o código do cartão depois de o memorizar, mas isso só iria realmente evitar um tipo específico de fraude de cartão de crédito que não é tão comum como outros métodos de fraude.

Na ausência de um verdadeiro PIN, é cada vez mais comum utilizar o código postal de facturação como outra validação, pois é um número que o proprietário do cartão já memorizou e que não está impresso no cartão.

O principal objectivo do código de segurança é evitar que a informação do cartão pirateado seja reutilizada. A principal forma de o conseguir é através de requerendo que os processadores de pagamento não armazenem este código

Comerciantes, prestadores de serviços, e outras entidades envolvidas no processamento de cartões de pagamento nunca devem armazenar dados de autenticação sensíveis após autorização. Isto inclui o código de segurança de 3 ou 4 dígitos impresso na frente ou no verso de um cartão, os dados armazenados na banda magnética ou chip do cartão (também chamado “Full Track Data”) - e números de identificação pessoal (PIN) introduzidos pelo titular do cartão. Este capítulo apresenta os objectivos do PCI DSS e os 12 requisitos relacionados Fonte - slide 11

Pergunta-se porque é que o número do cartão e o código de segurança estão impressos no cartão. Em ambos os casos, vamos rever um pouco a história:

O número do cartão

O número do cartão (chamado PAN na indústria) é apenas um identificador, não tem razão para ser secreto. É necessário para qualquer transacção, para que uma cobrança possa ser… cobrada de volta à conta relevante, quer seja:

• num ponto de venda físico (POS), utilizando o antigo método “impressor” (não sei se ainda está a ser utilizado em qualquer lugar). Esta é a razão pela qual o número é realmente gravado em relevo, e não apenas impresso (juntamente com os outros detalhes necessários para a transacção: data de validade, nome do titular do cartão).

• num ponto de venda, utilizando um terminal POS (“máquina de cartão de crédito”), que ou lê a banda magnética ou o chip do cartão, que ambos fornecem o PAN e o resto dos dados sem qualquer autenticação ou encriptação.

• por telefone ou papel (o que é conhecido como “MOTO” na indústria: encomenda por correio / encomenda por telefone), quando basta ler os detalhes por telefone ou escrevê-los no formulário de encomenda.

& - na Internet, onde precisa de ler o número do seu cartão e inseri-lo num formulário. Como pode encomendar qualquer coisa se não consegue ler o número do cartão?

O PAN nunca foi considerado um segredo. É apenas um número de conta, exactamente como o número da sua conta aparece em cheques de papel, para saber de que conta deve ser retirado o dinheiro.

Algumas pessoas pensam que a chave (o último dígito) é uma característica de segurança (pobre), enquanto que na realidade só é utilizada para proteger contra erros de entrada (dígito alterado, dígitos trocados…).

Actualmente, as pessoas começam a pensar que uma PAN deve ser secreta, e isto levou à introdução da “tokenização”: em vez de se enviar o número real do cartão, é enviado outro número de cartão, que está limitado a um canal específico (e possivelmente a um dispositivo), ou mesmo a uma única transacção.

Este é o caso, por exemplo, do Apple Pay: quando regista o seu cartão com o seu verdadeiro PAN, o banco envia de volta um token (“falso” PAN) que é utilizado em seu lugar, e só pode ser utilizado para pagamentos efectuados com o Apple Pay nesse dispositivo. Se alguém interceptasse esse PAN, não poderia fazer nada com ele: não será aceite adicionar um cartão ao Apple Pay, não será aceite na loja, online, pelo telefone, ou em qualquer outro lugar.

Isso é realmente útil? Num mundo perfeito onde todas as transacções são autenticadas por outros meios, não deveria realmente importar, um PAN por si só deveria ser inútil. Na prática, como existem canais que permitem o uso de métodos de autenticação bastante inseguros, essa é uma linha de defesa adicional.

Note que a necessidade de tokenisation é provavelmente um pouco mais importante com a introdução do sem contacto: pode ler o PAN de qualquer cartão sem contacto sem sequer lhe tocar, é apenas uma questão de se aproximar o suficiente.

O código de segurança

O código de segurança impresso no verso do cartão (ou na frente, para cartões American Express) não estava originalmente presente. Foi adicionado para evitar os seguintes cenários de fraude:

• um recibo de cartão de crédito com o número completo do cartão (e nome e validade) foi descartado e recolhido por outra pessoa (isto era especialmente verdade quando as impressoras estavam em uso, mas também era verdade antes das redes de cartões decidirem finalmente que era proibido imprimir o PAN completo no recibo do cliente).

• um cartão é “roubado” para registar o conteúdo da banda magnética, que contém o PAN, a expiração, o nome do titular do cartão, e mais…). Isto permitiu às pessoas que tinham acesso físico aos cartões (empregados de mesa, caixas…) registar um grande número de cartões muito rapidamente, sem serem notadas.

Para contrariar isto, este novo código foi adicionado, que não está no recibo (pois não está gravado em relevo), e também não está na pista magnética.

Este código é necessário apenas para MOTO e compras online, onde não se pode ver se o utilizador tem realmente o cartão (uma transacção dita “cartão não presente”), e quer ter um pouco mais de certeza de que o utilizador tem o cartão.

Isto é de facto bastante fácil de contornar: basta fazer uma cópia completa do cartão (ambos os lados) ou tomar nota de todos os dados. Mas em muitos dos cenários acima, isso tornou um pouco mais difícil para um utilizador desonesto fazê-lo sem ser notado.

(A introdução de terminais portáteis também ajuda muito, uma vez que um utilizador pode manter sempre os olhos - e as mãos - no cartão, mas especialmente em restaurantes nos EUA, isto ainda não é prática corrente).

O código de segurança também ajuda no caso de um site armazenar os dados do seu cartão de crédito, e alguém consegue ter acesso a ele: em teoria, ninguém é autorizado a armazenar o código de segurança, pelo que um hacker apenas obteria o PAN e a expiração, e não seria capaz de o utilizar novamente, mas, na prática, demasiadas pessoas ainda armazenam o código de segurança. A indústria é perseguir esses (é um dos aspectos da iniciativa PCI DSS), mas há ainda um longo caminho a percorrer.

A verdadeira protecção vem de novas medidas de autenticação (3D Secure) que permitem outro modo de verificação para além desses dados. Dependendo do banco (ou mesmo do cartão), podem envolver:

• uma senha
• uma senha única (OTP) enviada via SMS ou outro meio
• autenticação biométrica (impressão digital, reconhecimento facial, digitalização da íris…)
• falar realmente com o chip do cartão através do leitor de cartões ligado ao seu computador (não tenho a certeza de que isto tenha sido realmente implementado em qualquer lugar) …

Note que o código de segurança é utilizado somente para transacções online/MOTO (“cartão não presente” transacções). As transacções “cartão presente” ou serão utilizadas:

• outro código de segurança que está na banda magnética (embora seja fácil de copiar)
• comunicação com o chip (nos cartões que o têm) para que o cartão se autentique a si próprio.

Simples, a intenção por detrás do sistema de crédito é utilizar a confiança entre as diferentes partes num assunto oportuno. No entanto, o mundo cibernético está longe de ser à prova de bala. A maioria das explorações estão normalmente dentro do próprio design e não de mais nada. O meu conselho a qualquer pessoa que procure chegar a algum lugar na vida usando computadores, mantenha-se fiel às habilidades comercializáveis como reparações de ecrãs e quadros lógicos em vez de roubo cibernético. Há muito mais oportunidades em mostrar ao mundo o que leva tempo a compreender, ou seja, a engenharia eléctrica em vez de assediar os outros tirando-lhes (roubo de cartão de crédito). Parece que a segurança cibernética no futuro dependerá do pensamento de máquinas que lidam com decisões repetitivas, a partir daí as pessoas podem decidir que direcção é mais benéfica a longo prazo.

Havia anteriormente um sistema “Verificado pela Visa” onde o cartão de crédito Visa tinha uma palavra-passe que o consumidor guardava. A palavra-passe não estava no cartão. O sistema “Verified by Visa” era utilizado em transacções via Internet. Os comerciantes tinham a opção de oferecer o sistema.