@ Shikamaru (Nachtrag)
Es ist allerdings auch in gewissen Sinne korrekt, was Du über die einmalige Verwendung des CVC schreibst. Der ist tatsächlich dafür erfunden worden, daß nicht jeder bei Telefongeschäften (dafür ist er eigentlich da - fürs Internet gibts bessere Absicherungsmethoden: 3D-Secure) mit Deiner Kartennummer alleine betrügerische Geschäfte machen kann.
So nun gibts ein Modell für Abonnements, bei dem beim ersten Mal der CVC abgefragt wird und auch brav bei der Anfrage bei VISA (nehme ich jetzt mal exemplarisch) mitübermittelt wird. Er wird dann nicht gespeichert, weil das ja weltweit verboten ist.
Und dann wird bei den nächsten Abozahlungen einfach auf die erste Zahlung verwiesen, aber kein CVC mehr übertragen, denn den hat man nicht mehr - und man hat in diesem Moment auch keinen Kontakt zum Kunden, der ist ja nicht jeden Monat eingeloggt wenn seine Zeitschrift (als Beispiel) zugeschickt wird.
So, als ich zuletzt Spezifikationen von derartigen Mechanismen durchgelesen habe (korrekter: ich habe über sie diskutiert), galt das aber nur, ihr ahnt es, für gleich hohe Zahlungen, es ist ja ein Abonnement.
Bei Sony kaufe ich mal nen Add-On, mal nen Film, mal ein Spiel, das sind unterschiedliche Beträge und ich bin zum Kauf immer online - also müßte, wenn sich am Abomodell nix geändert hat (müßt ich mal nachforschen) immer mein CVC abgefragt werden, nicht aber die Kartennummer, die darf Sony speichern, muß aber verschlüsselt erfolgen.
Tja, würde mich ja brennend interessieren, wie die Diebe den Schlüssel geknackt haben oder wo der gespeichert war, dafür gibts auch wieder Regularien...alles sehr kompliziert und man muß lang für stricken um die Sicherheitsmechanismen auszutricksen, es sei denn es waren Insider beteiligt.