保存CVV信息疑違規(guī) 攜程承認(rèn)做法不對

　　用戶集中提出了一個重要的問題——攜程為什么保存用戶的CVV信息？所謂CVV信息，是指銀行信用卡背后的三位驗證碼。在“離線交易”環(huán)節(jié)，用戶只需提供卡號和CVV信息即可完成支付。因此可以說，CVV信息掌握著卡的交易授權(quán)，屬于高度機密的用戶隱私信息。
　　有用戶指出，“CVV碼只能用于交易時驗證，不允許商家交易后存儲。這個設(shè)計就是為了在數(shù)據(jù)不幸泄露時避免對持卡用戶造成經(jīng)濟損失。所以攜程為什么要存這個信息呢？”
　　對于這些疑問，攜程的工作人員給記者做了解釋，“由于旅游行業(yè)的特殊性，以機票和酒店為代表的旅游產(chǎn)品，價格會隨著庫存、預(yù)訂時間實時變化。對于在線旅游網(wǎng)站而言，將用戶的姓名、身份證、信用卡號、CVV碼等儲存起來，預(yù)訂反應(yīng)機制會更加靈活，能優(yōu)化消費者體驗，這或許可稱為是該行業(yè)的一種潛規(guī)則。”不過，該工作人員也承認(rèn)，“這種做法確實是錯誤的。”
　　經(jīng)記者調(diào)查了解，根據(jù)中國銀聯(lián)風(fēng)險管理委員會于2008年發(fā)布的《銀聯(lián)卡收單機構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》，各收單機構(gòu)系統(tǒng)只能存儲用于交易清分、差錯處理所必須的最基本的賬戶信息，不得存儲銀行卡磁道信息、卡片驗證碼、個人標(biāo)識代碼（PIN）及卡片有效期。
　　顯然，攜程保存的用戶信息已經(jīng)超過了該標(biāo)準(zhǔn)的允許范圍，違反了上述標(biāo)準(zhǔn)的規(guī)定。有攜程用戶如此描述這種行為，“這叫好比我把鑰匙給你，請你幫忙去我家里取個東西，回來你卻偷著配了把鑰匙放你自己兜里。”諷刺的是，僅僅兩個月前，攜程在面對某媒體對其支付安全性的質(zhì)疑時，明確回復(fù)“攜程網(wǎng)的后臺不會記錄用戶的支付信息”。

　　承諾不再保存CVV 信息安全警鐘長鳴

　　面對洶涌襲來的輿論大潮，攜程在其官網(wǎng)發(fā)表最新聲明稱，將會嚴(yán)格按照監(jiān)管部門的要求，對支付流程進行整改，取消對用戶CVV信息的詢問和登記，不再保存用戶的CVV信息，以前保存的CVV信息正在刪除。3月27日，在記者問到“何時能將已存的CVV信息完全刪除”時，攜程的工作人員表示暫時還不能確定。目前，攜程正采取一系列補救措施，比如啟動CFCA和PCI的認(rèn)證程序等，試圖挽回因此失去的市場和信譽。
　　針對此事，有專家指出，“移動互聯(lián)網(wǎng)應(yīng)用的迅猛發(fā)展將助推在線旅游服務(wù)的“蛋糕”越做越大，但其中隱含的問題也會隨之浮出水面。攜程此次泄露信息事件反映出在線支付行業(yè)不僅要加強行業(yè)自律，也需要監(jiān)管部門強力介入，通過出臺明文法規(guī)，將在線支付納入到行業(yè)監(jiān)管的大局之下。”
　　至此，從上周六開始“發(fā)酵”的攜程“漏洞門”，似乎將告一段落。然而，有業(yè)內(nèi)人士指出，“攜程是行業(yè)巨頭，又是上市公司，居然也在安全問題上犯這樣的錯誤，只能說沒有把用戶的利益放在第一位，同時也反映出當(dāng)前互聯(lián)網(wǎng)界整體安全意識淡薄的現(xiàn)狀。”
　　另有業(yè)內(nèi)人士提醒，“攜程如果處理不好此事，面對的不僅僅是短期內(nèi)企業(yè)形象受損和信任度下降，而且可能面臨用戶的大量流失、集體賠償訴訟乃至有關(guān)機構(gòu)的巨額罰金。”可以肯定的是，此次事件會對其它在線支付平臺起到警示作用。