• CVC, hoe zit dat precies?

Ik was tot nu toe gewend dat als ik online met een credit card betaal, ik altijd een CVC in moet vullen. De driecijferige verificatiecode die bij bunq rouleert en je in de app op moet zoeken.

Nu betaalde ik zojuist bij amazon.de met mijn bunq credit card, en tot mijn verbazing vroeg die niet om mijn CVC, en slaagde de betaling gewoon. Gevraagd aan Support, en die legden uit dat het aan de website is of ze wel of niet om de CVS vragen.

Nu had ik begrepen dat de CVC een veiligheidsmaatregel is, die juist ervoor moet zorgen dat iemand die niet je fysieke kaart heeft er niet mee kan betalen. Om die reden had ik bijvoorbeeld begrepen dat een website de CVC niet op mag slaan en er altijd om moet vragen, zodat als hun database gestolen wordt er niet genoeg informatie in staat om betalingen te kunnen doen met je credit card gegevens. En het voordeel van de roulerende code van bunq, had ik begrepen, was dat als een incompetente of malafide website toch je CVC doorspeelt, iemand anders er niet mee kan betalen, omdat de code alleen werkt voor de partij aan wie ik hem oorspronkelijk had uitgedeeld.

Maar als een website er ook gewoon voor kan kiezen om de CVC helemaal niet te gebruiken gaan al die dingen dus niet op!

Dan zou hij dus volkomen nutteloos zijn. Dat is vast niet het geval, dus waarschijnlijk begrijp ik gewoon niet goed hoe het hele CVC verhaal nu in elkaar zit.

Wie kan me vertellen hoe het zit? Wie moet wanneer om de CVC vragen? Wat is nu precies het nut ervan, en wanneer?

    Amazon ist bekannt dafür, dass sie als einziger großer Anbieter nicht nach dem CVC fragen, daher ist die Betrugsrate bei Amazon so hoch.

      @Pepijn-Cyan-Butterfly#89327 Een online winkel kan om de CVC vragen zodat zij kunnen controleren of jij de kaart wel fysiek in je handen hebt. Als een winkel dat niet doet staan ze veel minder sterk als de eigenaar van de klant de betaling betwist. Voor jou betekent dat dus dat je makkelijker geld terug krijgt.

      Voor zover ik weet kan je als klant niet instellen dat je alle betalingen per se met een pincode, cvc, Secure3D of dat soort methodes wil laten plaatsvinden.

      Het enige wat je nu kan doen is om de limiet heel laag te zetten of de kaart te koppelen aan een rekening met weinig of geen geld er op. Maar dat is natuurlijk onpraktisch als je kaarten ook gebruikt voor periodieke betalingen.

        @Pepijn-Cyan-Butterfly#89327 We're talking here about CVC2 btw, just to make that clear. There's also a CVC1 that is inside the magnet strips of credit cards, but it's not used for online transactions.

        The CVC is a code that allows the merchant do verify the authenticity of a card. It is not required to make a payment. It can help the merchant to combat fraud, but if the merchant doesn't mind the risk of not verifying it, they can choose not to do so. If they would need one to actually charge a payment, nobody could pay for any subscriptions with credit card after the first payment, as it's not allowed to save a CVC. (It is also never embossed on a card for similar reasons.)

        A merchant can also use other ways to verify that the card is used rightfully, for example AVS. (Not sure if that is supported by bunq's cards.) Or they could employ other external methods. Even the expiration date is not strictly always necessary if you have a special contract. https://www.datamation.com/columns/executive_tech/article.php/3607996/Credit-Card-Expiration-Dates-Are-Obsolete.htm

        Generally the fee for transactions without CVC is higher at most payment processors if they support it at all though, so normally sites wouldn't opt into doing that. Amazon just really wants to make their checkout process as easy as possible.

        Edit: Some more info in this paper: 10.1007/978-3-540-77366-5_19 (it's on sci-hub)
        In particular this part: "The issuer may return several pieces of information to the merchant (e.g. authorization or rejection, address verification service (AVS) and CVV2 match responses). AVS tells the merchant how well the billing address supplied by the cardholder matches the billing address on record. A rejection notice overrides any decision the merchant may make to accept the transaction, while the treatment of AVS and CVV2 responses are up to the discretion of the merchant."

          @JeroenE#89334 @Jakob#89335 Bedankt voor de uitgebreide antwoorden! Interessant. Ik dacht dat de CVC iets was dat de creditcard maatschappij oplegde, maar blijkbaar niet. Goed om te weten!

            Write a Reply...