{"id":118,"date":"2026-04-20T06:00:14","date_gmt":"2026-04-20T06:00:14","guid":{"rendered":"https:\/\/hackerstop.pl\/?p=118"},"modified":"2026-04-20T06:58:20","modified_gmt":"2026-04-20T06:58:20","slug":"zabepieczenia-kodu-cvv-pko-bank-polski","status":"publish","type":"post","link":"https:\/\/hackerstop.pl\/?p=118","title":{"rendered":"Zabepieczenia Kodu CVV &#8211; PKO Bank Polski"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\"><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">W 2026 roku PKO Bank Polski w znacznym stopniu opiera bezpiecze\u0144stwo kodu CVV\/CVC na rozwi\u0105zaniach cyfrowych, d\u0105\u017c\u0105c do wyeliminowania statycznych kod\u00f3w z fizycznych kart. G\u0142\u00f3wne zabezpieczenia obejmuj\u0105:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Zmienny kod CVC\/CVV (dynamiczny):<\/strong>\u00a0To kluczowe zabezpieczenie wprowadzone dla kart kredytowych i debetowych. Kod bezpiecze\u0144stwa nie jest wydrukowany na karcie, lecz generowany cyfrowo i dost\u0119pny wy\u0142\u0105cznie w aplikacji IKO oraz serwisie internetowym iPKO.<\/li>\n\n\n\n<li><strong>Kr\u00f3tki czas wa\u017cno\u015bci kodu:<\/strong>\u00a0Dynamiczny kod CVC\/CVV wa\u017cny jest tylko przez okre\u015blony, kr\u00f3tki czas, co znacznie ogranicza ryzyko wykorzystania go przez nieuprawnione osoby, nawet je\u015bli wejd\u0105 w posiadanie danych karty.<\/li>\n\n\n\n<li><strong>Brak nadruku na karcie:<\/strong>\u00a0Na nowych i wznawianych kartach kredytowych PKO BP nie drukuje ju\u017c kodu bezpiecze\u0144stwa na odwrocie. W miejscu tym znajduje si\u0119 jedynie podpowied\u017a o konieczno\u015bci sprawdzenia kodu w aplikacji IKO lub serwisie iPKO.<\/li>\n\n\n\n<li><strong>Autoryzacja 3D Secure:<\/strong>\u00a0P\u0142atno\u015bci w internecie z u\u017cyciem kodu CVV wymagaj\u0105 dodatkowej autoryzacji, najcz\u0119\u015bciej za pomoc\u0105 aplikacji IKO (powiadomienie push), co stanowi zabezpieczenie przed u\u017cyciem karty przez osoby trzecie.<\/li>\n\n\n\n<li><strong>Dost\u0119p przez IKO\/iPKO:<\/strong>\u00a0Klienci mog\u0105 bezpiecznie sprawdzi\u0107 dane karty i skopiowa\u0107 je do p\u0142atno\u015bci bezpo\u015brednio w zabezpieczonej bankowo\u015bci mobilnej lub elektronicznej.\u00a0<img decoding=\"async\" src=\"blob:https:\/\/hackerstop.pl\/c65a97ea-db7a-44f2-b725-2e5209bc7c77\" alt=\"PKO\">PKO\u00a0+4<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Dzi\u0119ki tym rozwi\u0105zaniom, zgubienie fizycznej karty nie oznacza automatycznie, \u017ce z\u0142odziej mo\u017ce od razu dokona\u0107 p\u0142atno\u015bci internetowych, poniewa\u017c kod CVV2 jest ukryty w aplikacji chronionej PIN-em lub biometri\u0105.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u0179r\u00f3d\u0142o &#8211; Odpowiedzi wygenerowane przez AI mog\u0105 zawiera\u0107 b\u0142\u0119dy. Aby uzyska\u0107 porad\u0119 finansow\u0105, skonsultuj si\u0119 ze specjalist\u0105.\u00a0<a href=\"https:\/\/support.google.com\/websearch?p=ai_overviews&amp;hl=pl\" target=\"_blank\" rel=\"noreferrer noopener\">Wi\u0119cej informacji<\/a><br><br><br><br><br><br><br><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ocena Hackerstop<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>\ud83d\udd10 Dynamiczny CVV jako element ewolucji modelu bezpiecze\u0144stwa kart p\u0142atniczych (2026)<\/strong><\/h3>\n\n\n\n<h3 class=\"wp-block-heading\">Studium przypadku: PKO Bank Polski<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">W 2026 roku obserwujemy wyra\u017ane odej\u015bcie od statycznych danych uwierzytelniaj\u0105cych kart p\u0142atniczych (PAN + CVV2) na rzecz <strong>dynamicznych, kontekstowych mechanizm\u00f3w autoryzacji<\/strong>. Implementacja dynamicznego CVV (dCVV) stanowi jeden z kluczowych element\u00f3w tej transformacji.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>1. Model zagro\u017ce\u0144 (Threat Model Shift)<\/strong><\/h3>\n\n\n\n<h3 class=\"wp-block-heading\">Tradycyjny model (statyczny CVV)<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Wektor ataku:\n<ul class=\"wp-block-list\">\n<li>wyciek danych (data breach)<\/li>\n\n\n\n<li>phishing<\/li>\n\n\n\n<li>malware (form grabbing)<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>Problem:\n<ul class=\"wp-block-list\">\n<li>CVV = <strong>sekret statyczny<\/strong><\/li>\n\n\n\n<li>mo\u017cliwy do:\n<ul class=\"wp-block-list\">\n<li>wielokrotnego u\u017cycia (replay)<\/li>\n\n\n\n<li>sprzeda\u017cy (dark market)<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\">Nowy model (dynamiczny CVV)<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>CVV przekszta\u0142cony w:\n<ul class=\"wp-block-list\">\n<li><strong>token jednorazowy \/ kr\u00f3tkotrwa\u0142y (ephemeral secret)<\/strong><\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>Redukcja ryzyka:\n<ul class=\"wp-block-list\">\n<li>replay attack \u2192 <strong>praktycznie eliminowany<\/strong><\/li>\n\n\n\n<li>value of stolen data \u2192 <strong>bliskie zeru po czasie TTL<\/strong><\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\">2. Architektura rozwi\u0105zania<\/h3>\n\n\n\n<h3 class=\"wp-block-heading\">Komponenty systemu<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Backend banku (issuer authorization system)<\/li>\n\n\n\n<li>Aplikacja mobilna (IKO)<\/li>\n\n\n\n<li>Serwis webowy (iPKO)<\/li>\n\n\n\n<li>Sie\u0107 p\u0142atnicza (np. Visa \/ Mastercard)<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Mechanizm generowania dCVV<\/strong><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Mo\u017cliwe podej\u015bcia (w praktyce implementacje hybrydowe):<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">A. Server-side generation<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>CVV generowany po stronie banku:\n<ul class=\"wp-block-list\">\n<li>HSM (Hardware Security Module)<\/li>\n\n\n\n<li>synchronizacja czasu (time-based)<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\">B. App-assisted tokenization<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Aplikacja:\n<ul class=\"wp-block-list\">\n<li>uwierzytelnia u\u017cytkownika (PIN \/ biometria)<\/li>\n\n\n\n<li>pobiera aktualny dCVV przez bezpieczny kana\u0142 (TLS + cert pinning)<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>W\u0142a\u015bciwo\u015bci kryptograficzne<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>deterministyczna funkcja:\n<ul class=\"wp-block-list\">\n<li>f(PAN, secret_key, timestamp)<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>cechy:\n<ul class=\"wp-block-list\">\n<li>odporno\u015b\u0107 na predykcj\u0119<\/li>\n\n\n\n<li>ograniczona wa\u017cno\u015b\u0107 (TTL)<\/li>\n\n\n\n<li>brak u\u017cyteczno\u015bci poza oknem czasowym<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>3. Integracja z Strong Customer Authentication (SCA)<\/strong><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Zgodno\u015b\u0107 z:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>PSD2 (UE)<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Mechanizmy:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>2FA:\n<ul class=\"wp-block-list\">\n<li><strong>possession<\/strong> \u2192 urz\u0105dzenie mobilne<\/li>\n\n\n\n<li><strong>inherence \/ knowledge<\/strong> \u2192 biometria \/ PIN<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\">Rola 3D Secure<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Implementacje:\n<ul class=\"wp-block-list\">\n<li>3D Secure 2<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Funkcja:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>przeniesienie decyzji autoryzacyjnej do issuera<\/li>\n\n\n\n<li>dynamiczna ocena ryzyka (risk-based authentication)<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>4. Eliminacja CVV z no\u015bnika fizycznego<\/strong><\/h3>\n\n\n\n<h3 class=\"wp-block-heading\">Security impact:<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>redukcja atak\u00f3w typu:\n<ul class=\"wp-block-list\">\n<li>card-not-present fraud po kradzie\u017cy karty<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>karta:\n<ul class=\"wp-block-list\">\n<li>przestaje by\u0107 pe\u0142nym zestawem danych uwierzytelniaj\u0105cych<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>5. Analiza skuteczno\u015bci zabezpiecze\u0144<\/strong><\/h3>\n\n\n\n<h3 class=\"wp-block-heading\">Co zostaje skutecznie ograniczone:<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">\u2714 data breach reuse<br>\u2714 phishing oparty na statycznych danych<br>\u2714 card skimming (cz\u0119\u015bciowo)<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Nowe wektory ataku (shift, nie eliminacja):<\/strong><\/h3>\n\n\n\n<h4 class=\"wp-block-heading\">1. Account takeover (ATO)<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>przej\u0119cie:\n<ul class=\"wp-block-list\">\n<li>aplikacji IKO<\/li>\n\n\n\n<li>sesji u\u017cytkownika<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\">2. Mobile malware<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>overlay attacks<\/li>\n\n\n\n<li>accessibility abuse<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\">3. Social engineering 2.0<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>wymuszenie:\n<ul class=\"wp-block-list\">\n<li>zatwierdzenia 3D Secure<\/li>\n\n\n\n<li>ujawnienia kodu w czasie rzeczywistym<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>6. Kluczowy insight architektoniczny<\/strong><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">System bezpiecze\u0144stwa ewoluuje z:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\"><strong>Static shared secret model<\/strong><\/p>\n<\/blockquote>\n\n\n\n<p class=\"wp-block-paragraph\">do:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\"><strong>Context-aware, time-bound, device-bound authentication model<\/strong><\/p>\n<\/blockquote>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>7. Relacja do tokenizacji (ekosystem p\u0142atno\u015bci)<\/strong><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Dynamiczny CVV wpisuje si\u0119 w szerszy trend:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>tokenizacja (DPAN zamiast PAN)<\/li>\n\n\n\n<li>device binding<\/li>\n\n\n\n<li>cryptogram-based authorization<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Znane implementacje:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Apple Pay<\/li>\n\n\n\n<li>Google Pay<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>8. Wnioski ko\u0144cowe (perspektywa cybersecurity)<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>CVV przestaje by\u0107:\n<ul class=\"wp-block-list\">\n<li>g\u0142\u00f3wnym sekretem<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>staje si\u0119:\n<ul class=\"wp-block-list\">\n<li><strong>elementem pomocniczym w warstwowym modelu bezpiecze\u0144stwa<\/strong><\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Najwa\u017cniejsze zasoby do ochrony:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>urz\u0105dzenie u\u017cytkownika<\/li>\n\n\n\n<li>aplikacja bankowa<\/li>\n\n\n\n<li>kana\u0142 autoryzacji (push \/ 3DS)<\/li>\n<\/ol>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>\ud83d\udccc TL;DR (wersja ekspercka)<\/strong><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Dynamiczny CVV:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>redukuje warto\u015b\u0107 skradzionych danych<\/li>\n\n\n\n<li>eliminuje replay attack<\/li>\n\n\n\n<li>przesuwa punkt ci\u0119\u017cko\u015bci na:\n<ul class=\"wp-block-list\">\n<li><strong>device security<\/strong><\/li>\n\n\n\n<li><strong>identity assurance<\/strong><\/li>\n\n\n\n<li><strong>real-time authorization control<\/strong><\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<p class=\"wp-block-paragraph\"><\/p>\n","protected":false},"excerpt":{"rendered":"<p>W 2026 roku PKO Bank Polski w znacznym stopniu opiera bezpiecze\u0144stwo kodu CVV\/CVC na rozwi\u0105zaniach cyfrowych, d\u0105\u017c\u0105c do wyeliminowania statycznych kod\u00f3w z fizycznych kart. G\u0142\u00f3wne zabezpieczenia obejmuj\u0105: Dzi\u0119ki tym rozwi\u0105zaniom, zgubienie fizycznej karty nie oznacza automatycznie, \u017ce z\u0142odziej mo\u017ce od razu dokona\u0107 p\u0142atno\u015bci internetowych, poniewa\u017c kod CVV2 jest ukryty w aplikacji chronionej PIN-em lub biometri\u0105. [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":138,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[8],"class_list":["post-118","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized","tag-cybersecurity-bezpieczenstwo-it-ochrona-danych-bezpieczenstwo-cyfrowe-threat-model-attack-surface-risk-assessment"],"_links":{"self":[{"href":"https:\/\/hackerstop.pl\/index.php?rest_route=\/wp\/v2\/posts\/118","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hackerstop.pl\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hackerstop.pl\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hackerstop.pl\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/hackerstop.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=118"}],"version-history":[{"count":1,"href":"https:\/\/hackerstop.pl\/index.php?rest_route=\/wp\/v2\/posts\/118\/revisions"}],"predecessor-version":[{"id":120,"href":"https:\/\/hackerstop.pl\/index.php?rest_route=\/wp\/v2\/posts\/118\/revisions\/120"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hackerstop.pl\/index.php?rest_route=\/wp\/v2\/media\/138"}],"wp:attachment":[{"href":"https:\/\/hackerstop.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=118"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hackerstop.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=118"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hackerstop.pl\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=118"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}