<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 12 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";
        color:black;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";
        color:black;}
pre
        {mso-style-priority:99;
        mso-style-link:"HTML Preformatted Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";
        color:black;}
span.HTMLPreformattedChar
        {mso-style-name:"HTML Preformatted Char";
        mso-style-priority:99;
        mso-style-link:"HTML Preformatted";
        font-family:Consolas;
        color:black;}
span.EmailStyle20
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body bgcolor="white" lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">The entire point of the CVV has become useless.  Recently my wife was talking to an airline ticket agent on the phone (American Airlines) and one of the things
 they ask for on the phone is the CVV.  If you are going to read that all out over the phone with all the other data you are completely vulnerable to fraud.  It would be trivial to implement a system where you make a charge over the phone like that and get
 a text asking you to authorize it instead of asking for a CVV.   <o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">After all this time it is stupid to have the same data being used over and over.  We have had SecurID and other token/pin systems in the IT world forever. 
 I have a token on my iPhone right now that I use for certain logins to systems.  The hardware tokens cost very little (especially compared to the credit card companies revenue).  The soft tokens are virtually free.  A token should be useful for one and only
 one transaction.  You would be vulnerable from the time you read your token to someone (or something) until the charge hit your account.  You would also not have to worry about a call center agent or waiter stealing that data because it could only be used
 once (and if it is not their employer it would become apparent really quickly).   Recurring transactions should be unique tokens for a set amount range from a particular entity (i.e. 12 transactions, one per month, not more than $500 each, Comcast only). 
 For example, my reusable token given to my cable company should not be usable by anyone else.  Why hasn’t this been done yet…..simple there is no advantage to the retailers and processors.    There has been some one-time use numbers for stuff like that but
 it is inconvenient for the user so it won’t be that popular.  The entire system is archaic and dates back to the time of imprinting on paper.  
<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Tokenized transactions exist today between some entities and the processors but it is time to extend that all the way from card holder to processor.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Steven Naslund<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Chicago IL<o:p></o:p></span></p>
<p> <span style="color:#1F497D">></span>   Well,<o:p></o:p></p>
<p> <span style="color:#1F497D">></span>   Once you get the Expiry Date (which is the most prevalent data that is not encoded with the CHD)<o:p></o:p></p>
<p> <span style="color:#1F497D">></span>   CVV is only 3 digits, we saw ppl using parallelizing tactics to find the correct sequence using acquirers around the world.<o:p></o:p></p>
<p> <span style="color:#1F497D">></span>   With the delays in the reporting pipeline, they have the time to completely abuse that CHD/Date/CVV before getting caught.<o:p></o:p></p>
</div>
</body>
</html>