Ein CVV2-Code ist ein Akronym für Card Verification Value 2. Der CVV2-Code befindet sich auf der Rückseite der meisten VISA-Karten und ist ein dreistelliger Kartensicherheitscode. CVV2-Codes werden verwendet, um Betrug bei Einkäufen über das Telefon oder das Internet zu verhindern. Während des Kaufs senden Händler den CVV2-Code mit anderen Kaufinformationen und warten auf die Authentifizierung. Händler dürfen jedoch keine Sicherheitscodes speichern.
Kreditkartendiebe und Betrüger, sogenannte Carder, versuchen oft, gestohlene Kreditkartennummern zu verwenden, die sie aus Kreditkartenbelegen zusammengesucht oder über das Internet abgefangen haben. Da sie nicht über die physische Karte verfügen, können sie versuchen, Einkäufe per Telefon, Internet, Post oder Fax zu tätigen. Sie werden als CNP oder Käufe ohne Karte bezeichnet und sind daher anfällig für Betrug und für Kreditkartenunternehmen eine Herausforderung, sie zu schützen.
Um die Transaktionssicherheit zu gewährleisten, haben die meisten gängigen Kreditkarten entweder einen PIN-Code oder einen dreistelligen Code, der im Magnetstreifen der Karte codiert ist, um den Besitz der Karte beim Einkaufen im Geschäft zu garantieren. Ein zweites Sicherheitsmerkmal, CVV-Code oder Kartenprüfwert genannt, befindet sich auf der Rückseite der Karte. Es garantiert das Eigentum, wenn die Kreditkarte verwendet wird und die Karte nicht physisch zur Überprüfung verfügbar ist.
Das Kreditkartenunternehmen VISA nennt den dreistelligen Code CVV2. Mastercard nennt den Code CVC2 oder Kartenvalidierungscode, und es ist auch ein dreistelliger Code. Beides befindet sich auf der Rückseite der Karte hinter der 16-stelligen Kontonummer, neben der Unterschrift. American Express hat eine eigene Version namens CID oder Card Identification Number, eine vierstellige Nummer, die sich auf der Vorderseite der Karte neben der Kontonummer befindet. Andere Unternehmen haben ähnliche Sicherheitscodes.
Bei CNP-Käufen sendet der Händler den Betrag, den Namen auf der Karte, die Kontonummer, das Ablaufdatum und den CVV2-Code an das Kreditkartenunternehmen und wartet auf die Genehmigung. Das Kreditkartenunternehmen sendet einen Antwortcode und einen Erklärungscode zurück, ob die Transaktion durchgeführt wurde oder nicht. Wenn der CVV2-Code mit dem Code in einer Datei übereinstimmt, ist der Antwortcode M, wenn nicht N. Händler dürfen Sicherheitscodes aus keinem Grund speichern, obwohl sie einen CNP ohne Code erzwingen können.