Estamos hablando de los mismo.

Mastercard code no es ni más ni menos una contraseña, de 6-12 dígitos que tienes que introducir después de introducir tu número de tarjeta en el sistema del TPV, si es buena te lo acepta. Esa contraseña está guardada en la página del banco expedidor de tu tarjeta y es en el banco donde tienes que activarla. Pastor, Santander, etc.

El TPV por pago seguro te obliga a tener una página en https, por eso lo añadí en el mensaje. Si tu página no tiene https con certificado, tu banco no te va a activar el TPV por pago seguro.

Y me dices que no hay phissing...cuando quieras te paso una web identica a la de passat 4b (TPV de popular, santander, etc. ya que es la PEOR que hayan podido programar en la vida, no entiendo como es posible que el encargado de esa empresa no se haya dado cuenta que ha guardado la página en utf-8 programandola en ASCI, los acentos y ñ salen en ?) con código php que guarda los datos introducidos por el "usuario defraudado" y luego te los manda al email. Al usuario defraudado le da un mensaje de que lo intente de nuevo (ya en la web verdadera) por fallo de conexión y listo.
El estafador no tiene nada más que hacer copiarlos, ir a una tienda, comprar algo por 1500 euros, introducir los datos robados, incluido el Mastercard code y listo, transacción realizada. El dueño se dará cuenta en un mes, cuando el ladrón tenga su compra en...y la tienda perderá su dinerito.

Y luego no te quiero decir nada si ya tu página está mal programada y hay un ataque de spoofing..que se lo digan a Liberty Reserve, estuvo desde Diciembre a Marzo dando a unos hackers de ucrania por un error en su API mucho dinerito fresco, claro está varios millones de euros perdidos, los exchangers sin dinero en las cuentas y un juicio con más de 60 afectados en Costa Rica. Solo un ejemplo.

Luego están los sistemas de código o llamada de verificación (SMS que detallas) como los que utilizas cuando haces una transferencia en Internet con banco Santander, HooPay o los token de PayPal, si son así ya no hay tu tía, pero hay que instalarlo y en el caso de sms una API conectada a telefónica para enviar SMS tiene un canon de 5000 al año segun tengo entendido.

Por ejemplo, Google en GCheckout verifica por teléfono al igual que Hoopay, te da un código, aceptas y listo. Y es casualidad de que los dos utilicen la misma voz y teléfonos (serán los dos de google no se..) Si tienes esto seguro que la transacción no te la rechazan.

Yo solo te aconsejo que en el caso de utilizar TPV tengas una serie de pautas arriba descritas, no es plan de que trabajes y vengan por ahí para robarte porque lo malo es que con esto se corre la voz rapidisimo y cuando quieras darte cuenta te han colado 100 o 200 transacciones, ocurre mucho con las webs de adultos y las contraseñas robadas, es de risa.

Y recuerda, si no tienes una firma (como la que te hacen firmar en las tiendas o gasolineras) te la pueden colar porque está en las condiciones de usuario de 4b.

Saludos