保存CVV信息疑違規(guī) 攜程承認(rèn)做法不對

　　用戶集中提出了一個(gè)重要的問題——攜程為什么保存用戶的CVV信息？所謂CVV信息，是指銀行信用卡背后的三位驗(yàn)證碼。在“離線交易”環(huán)節(jié)，用戶只需提供卡號和CVV信息即可完成支付。因此可以說，CVV信息掌握著卡的交易授權(quán)，屬于高度機(jī)密的用戶隱私信息。
　　有用戶指出，“CVV碼只能用于交易時(shí)驗(yàn)證，不允許商家交易后存儲。這個(gè)設(shè)計(jì)就是為了在數(shù)據(jù)不幸泄露時(shí)避免對持卡用戶造成經(jīng)濟(jì)損失。所以攜程為什么要存這個(gè)信息呢？”
　　對于這些疑問，攜程的工作人員給記者做了解釋，“由于旅游行業(yè)的特殊性，以機(jī)票和酒店為代表的旅游產(chǎn)品，價(jià)格會(huì)隨著庫存、預(yù)訂時(shí)間實(shí)時(shí)變化。對于在線旅游網(wǎng)站而言，將用戶的姓名、身份證、信用卡號、CVV碼等儲存起來，預(yù)訂反應(yīng)機(jī)制會(huì)更加靈活，能優(yōu)化消費(fèi)者體驗(yàn)，這或許可稱為是該行業(yè)的一種潛規(guī)則。”不過，該工作人員也承認(rèn)，“這種做法確實(shí)是錯(cuò)誤的。”
　　經(jīng)記者調(diào)查了解，根據(jù)中國銀聯(lián)風(fēng)險(xiǎn)管理委員會(huì)于2008年發(fā)布的《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》，各收單機(jī)構(gòu)系統(tǒng)只能存儲用于交易清分、差錯(cuò)處理所必須的最基本的賬戶信息，不得存儲銀行卡磁道信息、卡片驗(yàn)證碼、個(gè)人標(biāo)識代碼（PIN）及卡片有效期。
　　顯然，攜程保存的用戶信息已經(jīng)超過了該標(biāo)準(zhǔn)的允許范圍，違反了上述標(biāo)準(zhǔn)的規(guī)定。有攜程用戶如此描述這種行為，“這叫好比我把鑰匙給你，請你幫忙去我家里取個(gè)東西，回來你卻偷著配了把鑰匙放你自己兜里。”諷刺的是，僅僅兩個(gè)月前，攜程在面對某媒體對其支付安全性的質(zhì)疑時(shí)，明確回復(fù)“攜程網(wǎng)的后臺不會(huì)記錄用戶的支付信息”。

　　承諾不再保存CVV 信息安全警鐘長鳴

　　面對洶涌襲來的輿論大潮，攜程在其官網(wǎng)發(fā)表最新聲明稱，將會(huì)嚴(yán)格按照監(jiān)管部門的要求，對支付流程進(jìn)行整改，取消對用戶CVV信息的詢問和登記，不再保存用戶的CVV信息，以前保存的CVV信息正在刪除。3月27日，在記者問到“何時(shí)能將已存的CVV信息完全刪除”時(shí)，攜程的工作人員表示暫時(shí)還不能確定。目前，攜程正采取一系列補(bǔ)救措施，比如啟動(dòng)CFCA和PCI的認(rèn)證程序等，試圖挽回因此失去的市場和信譽(yù)。
　　針對此事，有專家指出，“移動(dòng)互聯(lián)網(wǎng)應(yīng)用的迅猛發(fā)展將助推在線旅游服務(wù)的“蛋糕”越做越大，但其中隱含的問題也會(huì)隨之浮出水面。攜程此次泄露信息事件反映出在線支付行業(yè)不僅要加強(qiáng)行業(yè)自律，也需要監(jiān)管部門強(qiáng)力介入，通過出臺明文法規(guī)，將在線支付納入到行業(yè)監(jiān)管的大局之下。”
　　至此，從上周六開始“發(fā)酵”的攜程“漏洞門”，似乎將告一段落。然而，有業(yè)內(nèi)人士指出，“攜程是行業(yè)巨頭，又是上市公司，居然也在安全問題上犯這樣的錯(cuò)誤，只能說沒有把用戶的利益放在第一位，同時(shí)也反映出當(dāng)前互聯(lián)網(wǎng)界整體安全意識淡薄的現(xiàn)狀。”
　　另有業(yè)內(nèi)人士提醒，“攜程如果處理不好此事，面對的不僅僅是短期內(nèi)企業(yè)形象受損和信任度下降，而且可能面臨用戶的大量流失、集體賠償訴訟乃至有關(guān)機(jī)構(gòu)的巨額罰金。”可以肯定的是，此次事件會(huì)對其它在線支付平臺起到警示作用。