รหัสความปลอดภัยของบัตร ( CSC ;หรือที่รู้จักกันในชื่อCVC , CVVหรือชื่ออื่นๆ ) คือชุดตัวเลขที่พิมพ์ (แต่ไม่ใช่แบบนูน ) บน บัตร เครดิตหรือบัตรเดบิต นอกเหนือจาก หมายเลขบัตรธนาคาร CSC ใช้เป็นคุณสมบัติความปลอดภัยสำหรับการทำธุรกรรมที่ไม่มีบัตรอยู่กับตัวซึ่ง ผู้ถือบัตรไม่สามารถป้อน หมายเลขประจำตัวส่วนบุคคล (PIN) ด้วยตนเองได้ (เช่นเดียวกับ การทำธุรกรรม ณ จุดขายหรือการทำธุรกรรมที่มีบัตรอยู่กับตัว) ระบบนี้ถูกกำหนดขึ้นเพื่อลดการเกิดการฉ้อโกงบัตรเครดิตแตกต่างจากหมายเลขบัตร CSC จะไม่ถูกพิมพ์นูนโดยเจตนา เพื่อไม่ให้เครื่องพิมพ์บัตรเครดิต แบบกลไกอ่านได้ เนื่องจากเครื่องพิมพ์แบบ นั้นจะอ่านเฉพาะตัวเลขที่พิมพ์นูนเท่านั้น

รหัสเหล่านี้จะอยู่ในตำแหน่งที่แตกต่างกันเล็กน้อยสำหรับผู้ออกบัตรแต่ละราย รหัส CSC สำหรับ บัตรเครดิต Visa , MastercardและDiscoverคือตัวเลขสามหลักที่อยู่ด้านหลังบัตร ทางด้านขวาของช่องลายเซ็น ส่วนรหัส CSC สำหรับAmerican Expressคือรหัสสี่หลักที่อยู่ด้านหน้าบัตร เหนือหมายเลขบัญชี ดูตัวอย่างได้จากภาพประกอบด้านขวา

รหัส CSC เดิมทีพัฒนาขึ้นในสหราชอาณาจักรในปี 1995 โดยไมเคิล สโตน พนักงานของบริษัท Equifax ในรูปแบบรหัสตัวอักษรและตัวเลข 11 หลัก หลังจากทดสอบกับกลุ่มธุรกิจค้าปลีกสินค้าตกแต่งบ้าน Littlewoodsและ ธนาคาร NatWestแนวคิดนี้ได้รับการยอมรับจากสมาคมบริการหักบัญชีการชำระเงิน แห่งสหราชอาณาจักร (APACS) และปรับปรุงให้เหลือรหัสสามหลักอย่างที่รู้จักกันในปัจจุบันMastercardเริ่มออกหมายเลข CVC2 ในปี 1997 และVisaในสหรัฐอเมริกาเริ่มออกในปี 2001 ส่วนAmerican Expressเริ่มใช้ CSC ในปี 1999 เพื่อตอบสนองต่อการทำธุรกรรมทางอินเทอร์เน็ต ที่เพิ่มขึ้น และข้อร้องเรียนจากสมาชิกบัตรเกี่ยวกับการหยุดชะงักของการใช้จ่ายเมื่อความปลอดภัยของบัตรถูกตั้งคำถาม

บัตร แบบไร้สัมผัสและบัตรชิปอาจสร้างรหัสของตนเองทางอิเล็กทรอนิกส์ เช่น iCVV หรือCVV แบบไดนามิก 366

รหัสเหล่านี้มีชื่อเรียกต่างกัน:

• "CSC" หรือ "รหัสความปลอดภัยของบัตร": บัตรเดบิต American Express (ตัวเลขสามหลักที่ด้านหลังบัตร หรือเรียกอีกอย่างว่า 3CSC) ^{[ 1 ]}
• "CVC" หรือ "รหัสยืนยันบัตร": มาสเตอร์การ์ด
• "CVV" หรือ "รหัสยืนยันบัตร": วีซ่า
• "CAV" หรือ "ค่าตรวจสอบความถูกต้องของบัตร": JCB
• "CID": "รหัสประจำตัวบัตร", "หมายเลขประจำตัวบัตร" หรือ "รหัสประจำตัวบัตร": Discover , American Express (สี่หลักที่ด้านหน้าบัตร) American Express มักใช้รหัสสี่หลักที่ด้านหน้าบัตร ซึ่งเรียกว่ารหัสประจำตัวบัตร (CID) แต่ยังมีรหัสสามหลักที่ด้านหลังบัตร ซึ่งเรียกว่ารหัสความปลอดภัยของบัตร (CSC) บางครั้ง American Express ก็เรียกสิ่งนี้ว่า "รหัสบัตรที่ไม่ซ้ำกัน" ^{[ 2 ]}
• "CVD" หรือ "ข้อมูลยืนยันบัตร": Discover
• "CVE" หรือ "รหัสยืนยัน Elo": Eloในบราซิล
• "CVN" หรือ "หมายเลขตรวจสอบบัตร" หรือ "หมายเลขยืนยันบัตร": China UnionPay , Google Ads ^{[ 3 ]}
• "SPC" หรือ "รหัสแผงลายเซ็น" ^{[ 4 ]}
• "CCV" หรือ "Card Code Verification": เป็นคำที่ใช้กันทั่วไปในแคนาดา

มีรหัสรักษาความปลอดภัยและ PVV หลายประเภท (ทั้งหมดสร้างขึ้นจาก คีย์ DESในธนาคารในโมดูลHSM โดยใช้ PANวันหมดอายุ และรหัสบริการ):

• รหัสแรก ประกอบด้วยตัวเลข 3 หลัก เรียกว่า CVC1 หรือ CVV1 จะถูกเข้ารหัสไว้ในแทร็กที่หนึ่งและสองของแถบแม่เหล็กบนบัตร และใช้สำหรับการทำธุรกรรมแบบมีบัตรอยู่จริงพร้อมลายเซ็น (แทร็กที่สองยังมีรหัสยืนยัน PIN หรือ PVV แต่ปัจจุบันมักจะเป็นศูนย์ทั้งหมดและมีรหัสบริการ) จุดประสงค์ของรหัสนี้คือเพื่อตรวจสอบว่าบัตรชำระเงินอยู่ในมือของร้านค้าจริง (ดังนั้นจึงควรแตกต่างจาก CVV2) รหัสนี้จะถูกดึงออกมาโดยอัตโนมัติเมื่ออ่าน (รูด) แถบแม่เหล็กของบัตรที่เครื่องรับชำระเงิน ณจุดขาย (แบบมีบัตรอยู่จริง) และได้รับการตรวจสอบโดยผู้ออกบัตร ข้อจำกัดคือ หากบัตรทั้งใบถูกทำสำเนาและคัดลอกแถบแม่เหล็กแล้ว รหัสก็ยังคงใช้ได้ แม้ว่าโดยปกติแล้วจะยังคงต้องมีลายเซ็นของผู้ถือบัตรอยู่ก็ตาม
• รหัสที่สอง และเป็นรหัสที่ถูกกล่าวถึงมากที่สุด คือ CVV2 หรือ CVC2 รหัสนี้มักใช้โดยร้านค้าสำหรับการทำธุรกรรมที่ไม่มีบัตรอยู่ด้วย เช่น การซื้อสินค้าออนไลน์ ในบางประเทศในยุโรปตะวันตก ผู้ออกบัตรกำหนดให้ร้านค้าต้องขอรหัสนี้เมื่อผู้ถือบัตรไม่ได้อยู่ด้วยตนเอง ใช้รหัสบริการ 000
• บัตร EMVแบบไร้สัมผัสและ/หรือแบบมีชิปจะสร้างรหัสอิเล็กทรอนิกส์เฉพาะของตนเอง เรียกว่า iCVV โดยใช้รหัสบริการ 999 ซึ่งมีรายละเอียดอยู่ในมาตรฐานสาธารณะของ EMVCo
• วิธีการยืนยันตัวตนผู้ถือบัตรผ่านอุปกรณ์ผู้บริโภค (CDCVM) เป็นวิธีการยืนยันตัวตนประเภทหนึ่งที่ใช้อุปกรณ์เคลื่อนที่ของผู้ใช้ (เช่น สมาร์ทโฟน) ในการยืนยันตัวตนของผู้ใช้ ตัวอย่างเช่น สามารถใช้ คุณสมบัติการตรวจสอบ ไบโอเมตริก ของอุปกรณ์ (เช่นTouch IDหรือFace ID ) หรือ รหัสผ่านที่ตั้งไว้ของอุปกรณ์ระบบการชำระเงินหลายระบบรองรับวิธีการนี้ เช่น^Apple Pay [ ^{5 ]} Google Pay ^{[ 6 ]}หรือSamsung Pay ^{[ 7 ]}

รหัสความปลอดภัยของบัตรโดยทั่วไปจะเป็นตัวเลขสามหรือสี่หลักสุดท้ายที่พิมพ์ ไม่ใช่แบบนูนเหมือนหมายเลขบัตร บนแถบลายเซ็นด้านหลังบัตร อย่างไรก็ตาม สำหรับบัตร American Express รหัสความปลอดภัยของบัตรจะเป็นตัวเลขสี่หลักที่พิมพ์ (ไม่ใช่แบบนูน) อยู่ด้านหน้าทางด้านขวา รหัสความปลอดภัยของบัตรไม่ได้ถูกเข้ารหัสบนแถบแม่เหล็ก แต่เป็นการพิมพ์แบบเรียบๆ

• บัตร American Express จะมีรหัสสี่หลักพิมพ์อยู่ด้านหน้าบัตร เหนือหมายเลขบัตร
• บัตรเครดิตและบัตรเดบิต Diners Club , Discover, JCB , Mastercard และ Visa มีรหัสความปลอดภัยสามหลัก รหัสนี้คือกลุ่มตัวเลขสุดท้ายที่พิมพ์อยู่บนแผงลายเซ็นด้านหลังบัตร
• บัตร Mastercard และ Visa รุ่นใหม่ของอเมริกาเหนือมีรหัสอยู่ในแผงแยกต่างหากทางด้านขวาของแถบลายเซ็น^{[ 8 ]}ทำเช่นนี้เพื่อป้องกันการเขียนทับตัวเลขโดยการเซ็นชื่อบนบัตร

CSC สำหรับบัตรแต่ละใบ (แบบฟอร์ม 1 และ 2) จะถูกสร้างขึ้นโดยผู้ออกบัตรเมื่อออกบัตร โดยคำนวณจากการเข้ารหัสหมายเลขบัตรธนาคารและวันหมดอายุ (สองฟิลด์ที่พิมพ์บนบัตร) ด้วยรหัสการเข้ารหัสที่ผู้ออกบัตรเท่านั้นที่ทราบ และแปลงผลลัพธ์เป็นเลขฐานสิบ (ในลักษณะเดียวกับฟังก์ชันแฮช ) ^{[ 9 ] [ 10 ] [ 11 ]}

เพื่อเป็นมาตรการรักษาความปลอดภัย ผู้ค้าที่ต้องการ CVV2 สำหรับธุรกรรมที่ไม่มีบัตรอยู่จริงจะต้องปฏิบัติตามข้อกำหนดของผู้ออกบัตรเพื่อไม่ให้เก็บ CVV2 ไว้หลังจากที่ธุรกรรมแต่ละรายการได้รับการอนุมัติแล้ว^{[ 12 ]}ด้วยวิธีนี้ หากฐานข้อมูลธุรกรรมถูกบุกรุก CVV2 ก็จะไม่ปรากฏอยู่ และหมายเลขบัตรที่ถูกขโมยก็จะมีประโยชน์น้อยลงเทอร์มินัลเสมือนและเกตเวย์การชำระเงินจะไม่เก็บรหัส CVV2 ดังนั้น พนักงานและตัวแทนฝ่ายบริการลูกค้าที่เข้าถึงอินเทอร์เฟซการชำระเงินบนเว็บเหล่านี้ ซึ่งโดยปกติแล้วจะสามารถเข้าถึงหมายเลขบัตร วันหมดอายุ และข้อมูลอื่นๆ ได้ทั้งหมด ก็ยังไม่มีรหัส CVV2

มาตรฐานความปลอดภัยข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS) ยังห้ามการจัดเก็บ CSC (และข้อมูลการอนุญาตที่ละเอียดอ่อนอื่นๆ) หลังจากการอนุมัติธุรกรรม ซึ่งมีผลบังคับใช้ทั่วโลกกับทุกคนที่จัดเก็บ ประมวลผล หรือส่งข้อมูลผู้ถือบัตร^{[ 13 ]} เนื่องจาก CSC ไม่ได้อยู่บนแถบแม่เหล็กของบัตร จึงมักไม่รวมอยู่ในธุรกรรมเมื่อใช้บัตรแบบตัวต่อตัวที่ร้านค้า อย่างไรก็ตาม ร้านค้าบางแห่งในอเมริกาเหนือ เช่นSearsและStaplesต้องการรหัสนี้ สำหรับ บัตร American Expressนี่เป็นแนวปฏิบัติที่ไม่เปลี่ยนแปลง (สำหรับธุรกรรมที่ไม่มีบัตรอยู่) ในประเทศสหภาพยุโรป (EU) เช่น ไอร์แลนด์และสหราชอาณาจักรตั้งแต่ต้นปี 2548 สิ่งนี้ให้การป้องกันระดับหนึ่งแก่ธนาคาร/ผู้ถือบัตร เนื่องจากร้านค้าหรือพนักงานที่ฉ้อโกงไม่สามารถบันทึกรายละเอียดแถบแม่เหล็กของบัตรและนำไปใช้ในภายหลังสำหรับธุรกรรมที่ไม่มีบัตรอยู่ทางโทรศัพท์ การสั่งซื้อทางไปรษณีย์ หรือทางอินเทอร์เน็ตได้ ในการทำเช่นนี้ ผู้ค้าหรือพนักงานของผู้ค้าจะต้องสังเกตและบันทึกหมายเลข CVV2 ด้วยสายตา ซึ่งมีแนวโน้มที่จะทำให้ผู้ถือบัตรเกิดความสงสัยมากขึ้น

การระบุรหัส CSC ในการทำธุรกรรมมีจุดประสงค์เพื่อตรวจสอบว่าลูกค้ามีบัตรอยู่ในครอบครองจริง การทราบรหัสนี้เป็นการพิสูจน์ว่าลูกค้าเคยเห็นบัตร หรือเคยเห็นบันทึกที่ทำโดยบุคคลอื่นที่เคยเห็นบัตร

ข้อจำกัดต่างๆ ได้แก่:

• การใช้ CSC ไม่สามารถป้องกัน การหลอกลวง แบบฟิชชิ่งได้ ซึ่งผู้ถือบัตรจะถูกหลอกให้ป้อน CSC พร้อมกับรายละเอียดบัตรอื่นๆ ผ่านเว็บไซต์ปลอม การเติบโตของการหลอกลวงแบบฟิชชิ่งทำให้ประสิทธิภาพของ CSC ในฐานะเครื่องมือป้องกันการฉ้อโกงลดลง ปัจจุบันยังมีกลโกงที่ผู้หลอกลวงได้รับหมายเลขบัญชีบัตรแล้ว (อาจโดยการแฮ็กฐานข้อมูลของร้านค้าหรือจากใบเสร็จที่ออกแบบมาไม่ดี) และให้ข้อมูลนี้แก่เหยื่อ (ทำให้พวกเขารู้สึกปลอดภัยอย่างผิดๆ) ก่อนที่จะขอ CSC (ซึ่งเป็นทั้งหมดที่ผู้หลอกลวงต้องการและเป็นจุดประสงค์ของการหลอกลวงตั้งแต่แรก) ^{[ 14 ]}
• เนื่องจากผู้ค้าอาจไม่ได้จัดเก็บ CSC ไว้เป็นระยะเวลานาน^{[ 12 ]} (หลังจากธุรกรรมเดิมที่ CSC ถูกอ้างอิงและอนุมัติแล้ว) ผู้ค้าที่ต้องการเรียกเก็บเงินจากบัตรเป็นประจำสำหรับการสมัครสมาชิกเป็นประจำจะไม่สามารถให้รหัสได้หลังจากธุรกรรมเริ่มต้น อย่างไรก็ตาม เกตเวย์การชำระเงินได้ตอบสนองโดยการเพิ่มคุณสมบัติ "การเรียกเก็บเงินเป็นระยะ" เป็นส่วนหนึ่งของกระบวนการอนุมัติ
• ผู้ให้บริการบัตรบางรายไม่ได้ใช้ CSC อย่างไรก็ตาม ธุรกรรมที่ไม่มี CSC อาจมีค่าใช้จ่ายด้านการประมวลผลบัตรสูงกว่าสำหรับผู้ค้า และธุรกรรมฉ้อโกงที่ไม่มี CSC มีแนวโน้มที่จะได้รับการแก้ไขในความโปรดปรานของผู้ถือบัตรมากกว่า
• ร้านค้าไม่จำเป็นต้องขอรหัสความปลอดภัยในการทำธุรกรรม ดังนั้นบัตรอาจยังคงเสี่ยงต่อการถูกฉ้อโกงได้แม้ว่าผู้ไม่ประสงค์ดีจะรู้เพียงหมายเลขบัตรก็ตาม ตัวอย่างเช่นAmazonต้องการเพียงหมายเลขบัตรและวันหมดอายุเพื่อทำธุรกรรมให้เสร็จสมบูรณ์
• ผู้ฉ้อโกงสามารถเดา CSC ได้โดยใช้การโจมตีแบบกระจาย^{[ 15 ]}

• 3-D Secure
• การฉ้อโกงบัตรเครดิต
• ไอโอเอส 8583