最有可能的答案：

• 他们不必（这不是 PCI 要求）
• 从 UI/支持的角度来看更好

让我们保持这个观点。这是印在卡片背面的号码，就在最低工资收银员在执行 POS 交易时被指示目视检查的地方。对物理旁观者的绝对保密显然不是CSC的预期控制！

请注意 PCI DSS 实施的激进控制，以确保它永远不会被处理链中的任何人存储。他们不关心连体衣被偷偷摸摸，他们关心窃取信用卡数据库的人也能逃脱 CSC。

首先，重要的是要了解安全性不是二元的。这不是一个“开”或“关”的概念，而是一个连续统一体或风险管理选项，每个决策都伴随着成本。当您向频谱的“安全”端移动时，控制或缓解的额外成本，或者当您接受更多的“不安全”端风险时的利用成本。

这一点在处理信用卡的系统中最为真实和明显。当处理信用卡的实体做出风险决策时，在系统不太安全时接受欺诈成本和在系统更安全时接受收入损失成本之间存在权衡，因为用户被阻止进行合法交易，要么是因为系统不允许，要么是因为它变得更难使用。

因此，在这样的任何系统中，当您对为什么某些东西似乎没有它可能的安全有疑问时，通常可以安全地假设答案是因为所讨论的选择导致的欺诈成本是低于丢失交易的成本，以获得更安全的替代方案。系统尽可能易于使用对销售来说至关重要，即使是对可用性的微小调整也会对被放弃且从未完成的交易数量产生巨大影响。

对于您问题的具体方面，他们为什么不掩盖 CVV？在我看来，这里发生额外欺诈的机会非常低，因为 CVV 只是您进行欺诈所需的数据之一，并且屏蔽它只会处理最小的案例子集，其中恶意行为者拥有除 CVV 之外的所有必需数据，但只能在屏幕上查看 CVV，而不能从卡本身或输入时从键盘查看。我怀疑那些错误地输入 CVV 并且在很小的时候无法分辨的令人沮丧的用户所面临的额外风险要高得多。

如果您考虑“预期”的用法，CVV 只是意味着您实际拥有该卡（因此您可以看到两面）。

有了这个起点，用户将从一侧输入卡号，然后翻过来输入 CVV。

我很欣赏许多人会记住 CVV 和/或 16 位数字，因此上述假设可能无效，但期望他们可以看到卡以复制数字（与 PIN 或密码不同，这是预计存储在他们的头部），因此肩冲浪者也可以毫不费力地看到 CVV。

对于我自己的“最常用”卡，正面的 16 位数字很难阅读，而 CVV 则更容易从远处阅读。