¿Qué es un Código de Seguridad de la Tarjeta?
Un código de seguridad de la tarjeta es un código numérico corto impreso en una tarjeta de pago que se usa para verificar las transacciones sin presencia de tarjeta. Lo más habitual es que sean tres dígitos en el reverso de la tarjeta (Visa y Mastercard) o cuatro dígitos en el anverso (American Express). El código también se conoce como CVV, CVC o CV2, según la red de tarjetas.
¿Qué es un código de seguridad de la tarjeta?
Un código de seguridad de la tarjeta es un número de tres o cuatro dígitos impreso en una tarjeta de pago que se utiliza para verificar que el titular tiene la tarjeta físicamente durante una transacción. Recibe muchos nombres —CVV (Card Verification Value), CVC (Card Verification Code), CV2, CSC o simplemente el código de seguridad—, pero todos se refieren a lo mismo: un código numérico corto que añade una capa de protección antifraude a las transacciones sin presencia de tarjeta.
En las tarjetas Visa, Mastercard, Discover y JCB, el código tiene tres dígitos y está impreso en el reverso de la tarjeta, normalmente sobre la banda de firma o cerca de ella. En las tarjetas American Express, tiene cuatro dígitos y está impreso en el anverso, encima del número de tarjeta.
Cómo funcionan los códigos de seguridad de la tarjeta
El código de seguridad de la tarjeta existe con un propósito específico: demostrar que la persona que hace una transacción sin presencia de tarjeta (en línea, por teléfono o por correo) tiene la tarjeta física en la mano. He aquí por qué importa.
Si un criminal roba un número de tarjeta —de una brecha en una base de datos, de una tarjeta clonada o de un recibo tirado—, obtiene el número largo y la fecha de caducidad. Pero el código de seguridad no se almacena en los datos de la banda magnética, no está en relieve sobre la tarjeta y, según las reglas de PCI DSS, los comercios no pueden almacenarlo nunca tras la autorización. Esto significa que un número de tarjeta robado por sí solo no basta para completar una transacción que requiere el código de seguridad.
Cuando un cliente facilita su código de seguridad durante una transacción, el comercio lo envía al procesador de pagos, que lo reenvía al banco emisor de la tarjeta. El banco comprueba si el código coincide con el asociado a esa tarjeta. Si coincide, la transacción pasa esa verificación concreta. Si no, la transacción se rechaza o se marca.
CVV1 frente a CVV2
En realidad, en la mayoría de las tarjetas hay dos valores de verificación distintos:
- CVV1 (o CVC1): codificado en la banda magnética de la tarjeta. Lo lee automáticamente el terminal al deslizar la tarjeta y se usa para la verificación con presencia de tarjeta. Tú nunca ves ni tecleas este número.
- CVV2 (o CVC2): el código impreso en la superficie de la tarjeta. Es lo que la gente quiere decir cuando habla del «código de seguridad» para pagos online o telefónicos. Está diseñado específicamente para transacciones sin presencia de tarjeta, donde no se puede leer la banda magnética.
Cuando un comercio te pide tu «CVV» durante un pago online o telefónico, te está pidiendo el CVV2, el código impreso.
Por qué los códigos de seguridad nunca deben almacenarse
PCI DSS prohíbe explícitamente almacenar los códigos de seguridad de la tarjeta tras la autorización de una transacción. Es una de las reglas más importantes del estándar y existe por una razón crítica: si los códigos de seguridad se almacenaran junto a los números de tarjeta, una brecha de datos daría a los criminales todo lo necesario para realizar transacciones fraudulentas sin presencia de tarjeta.
Al garantizar que los códigos de seguridad se usan solo en tiempo real y nunca se retienen, el estándar limita la utilidad de los datos de tarjeta robados. Aunque un criminal obtenga un número de tarjeta y una fecha de caducidad de una base de datos comprometida, no podrá completar transacciones que requieran el código de seguridad, salvo que también tenga la tarjeta física.
Esta prohibición aplica a todas partes: bases de datos, ficheros planos, logs, grabaciones de llamadas, notas en papel y cualquier otra forma de almacenamiento. Los negocios que almacenan códigos de seguridad —incluso sin querer, en ficheros de log o grabaciones de llamadas— están infringiendo PCI DSS y se enfrentan a sanciones considerables.
Códigos de seguridad y pagos telefónicos
Los pagos telefónicos crean un reto único para los códigos de seguridad de la tarjeta. Cuando un cliente le lee su código de seguridad a un agente por teléfono:
- El agente oye el código y puede anotarlo o memorizarlo
- Los sistemas de grabación de llamadas capturan el código hablado en el archivo de audio
- El código puede quedar visible en la pantalla del agente mientras lo teclea en un sistema de pago
Todos estos escenarios crean posibles infracciones de PCI DSS. La grabación de la llamada está almacenando el código de seguridad de hecho, algo explícitamente prohibido. El agente tiene acceso a datos de autenticación sensibles, lo que mete todo su puesto de trabajo dentro del alcance de PCI.
Es uno de los argumentos más fuertes a favor del enmascaramiento DTMF en entornos de pago telefónico. Cuando el cliente introduce su código de seguridad en el teclado del teléfono en vez de decirlo y los tonos se enmascaran antes de llegar al agente, el código no entra en el canal de voz, no llega al agente y no aparece en ninguna grabación. Los datos van directamente desde el teclado del cliente al procesador de pagos, el único sitio donde tienen que estar.
Códigos de seguridad dinámicos
Algunos emisores de tarjetas han empezado a experimentar con códigos de seguridad dinámicos que cambian periódicamente, por ejemplo cada 30 a 60 minutos. Normalmente se muestran en una pequeña pantalla integrada en la tarjeta (las llamadas tarjetas display) y aportan una capa de seguridad adicional, porque un código robado deja de servir en cuanto cambia.
Los CVV dinámicos todavía son relativamente raros, pero representan la dirección de futuro de la seguridad de tarjetas: dejar inservibles los datos robados lo antes posible.
Errores comunes con los códigos de seguridad
Los negocios cometen errores frecuentes al manejar los códigos de seguridad de la tarjeta:
- Grabar llamadas que contienen códigos de seguridad: si los agentes piden al cliente que lea el CVV y la llamada se graba, el código se está almacenando, una infracción de PCI DSS
- Registrar códigos de seguridad en los logs del sistema de pago: algunas integraciones de pago registran sin querer los datos completos de la transacción, incluido el CVV. Las revisiones periódicas de los logs deberían comprobarlo
- Guardar códigos para transacciones recurrentes: a veces los negocios guardan el código de seguridad junto al número de tarjeta para usarlo en pagos futuros. Está prohibido. Los pagos recurrentes deben usar tokenización en su lugar
- Anotar los códigos en papel: los agentes que apuntan los datos de tarjeta, incluido el código de seguridad, crean un riesgo de almacenamiento físico que pasa fácilmente desapercibido
La tecnología de supresión DTMF de Paytia garantiza que los códigos de seguridad de la tarjeta —junto con el resto de los datos de la tarjeta— no queden expuestos a los agentes ni capturados en las grabaciones de llamadas durante los pagos telefónicos. El cliente introduce su CVV en el teclado del teléfono, los tonos se enmascaran y el código se envía directamente al procesador de pagos.
Este enfoque elimina las infracciones de PCI DSS más habituales asociadas a los códigos de seguridad en los contact centres: llamadas grabadas con CVV hablados, agentes que ven u oyen el código y el riesgo de que se anoten los códigos. También significa que los negocios pueden grabar llamadas con fines de calidad y formación sin preocuparse por capturar datos sensibles de autenticación.
Preguntas frecuentes
¿Dónde está el código de seguridad de mi tarjeta?
En las tarjetas Visa, Mastercard, Discover y JCB, el código de seguridad es el número de tres dígitos del reverso de la tarjeta, normalmente impreso sobre la banda de firma o cerca de ella. En las tarjetas American Express, es el número de cuatro dígitos impreso en el anverso, encima y a la derecha del número de tarjeta.
¿Puede un comercio almacenar el código de seguridad de mi tarjeta?
No. PCI DSS prohíbe explícitamente que los comercios almacenen los códigos de seguridad de la tarjeta tras la autorización. Esta regla existe para limitar el daño de las brechas de datos: si los códigos de seguridad no se almacenan, los números de tarjeta robados son menos útiles para los criminales. Los negocios que necesitan procesar pagos recurrentes deben usar tokenización.
¿Es seguro dar mi CVV por teléfono?
Depende de cómo maneje los datos el negocio. Si dices tu CVV a un agente y la llamada se graba, el código puede quedar capturado en la grabación, lo que es una infracción de PCI DSS. Lo más seguro es que el negocio use enmascaramiento DTMF, que te permite introducir el CVV en el teclado de tu teléfono para que el agente nunca lo oiga y nunca se grabe.
Ready to take secure payments?
Book a demo with our team. We'll show you DTMF masking live, talk through PCI DSS scope reduction, and put together pricing based on your call volume.
Trusted by law firms, insurers, healthcare providers and regulated businesses worldwide. Learn more about Paytia