信用卡 > 信用卡新闻 > 国内资讯

携程支付为给用户信息造成巨大风险

2014/03/26 作者:我爱卡

  近日,携程留下明文日志是否归咎于疏忽暂且不论。目前,用户以及业界更为关注的是,携程是否存在过度收集用户信息的行为?

  漏洞报告平台乌云发布信息的其中一点是,持卡人的CVV码等可能被任意骇客读取,这其中可能触犯银联此前禁止记录CV V的规定。

  CVV即C ardV erificationV alue,是由卡号、有效期和服务约束代码生成3位或4位数字,一般写在卡片磁条2磁道用户自定义数据区里面。CVV码是进行网络和电话交易时的安全保障,掌握着卡的交易授权,属于高度机密的用户信息。一般情况下,无需密码支付的方式叫信用卡“离线交易”,仅凭卡号、CV V码等信息即可完成支付。安全专家认为,CV V安全码的重要性相当于用户的签名。

  有安全专家表示,这件事的关键点是“携程是否过度收集用户信息”。“这种记录并不是行规,正常的流程应该是调用银行系统数据,而不是自己记录用户信息。类似用户的CVV码、6位卡B in等,携程应该让用户转到银行专门网站上输入。”

  据调查发现,银联2008年发布的《银联卡收单机构账户信息安全管理标准》的2 .1条显示,各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡*****、卡片验证码、个人标识代码(PIN )及卡片有效期。

  此外,支付卡产业数据安全标准(PC I- D SS)中明确规定,CVV、PIN等敏感验证数据属于不允许存储类别。可保存的账户数据只有主账户(PA N )、持卡人姓名、业务码以及失效日。PC I-D SS为第三方支付行业数据安全标准,是由PCI安全标准委员会的创始成员制定,为了使国际上采用一致的数据安全措施。P C I-D S S对于支付网关的安全方面作出标准的要求,作为目前国际上支付卡行业最高级别的安全标准认证,明确禁止成员保存CVV码。

  对此,携程回复称,携程按照相关银行的支付规定,部分银行用户交易时,需提交CV V信息。若用户未授权,所有相关信息在交易成功后将立即删除。携程一直按照国际信用卡支付安全标准要求加密保存信用卡信息。携程的做法,符合PC I-D SS规定。对此,资深互联网分析师王刚认为,携程如果保存用户CVV码,是明显违反P C I- D S S认证规则的行为,给用户造成了巨大的风险。

  对于,在用户消费时,携程采用的是否是只需要信用卡卡号、有效期等信息,而不需要密码的支付方式这一问题上。携程方面表示,在牵涉到客户交易的敏感信息方面,会按照最严格的行业规范来确保用户支付安全。

  据调查发现,目前通过PCI-D SS认证的企业有南方航空、网银在线、支付宝、快钱支付、盛付通、工商银行、民生银行、中信银行等等。同时,携程的竞争对手去哪儿网也通过了P C I-D SS认证,并且号称是目前国内唯一一家通过P C I- D SS认证的旅游预订平台。

  我爱卡(www.51credit.com)是,银行授权信用卡申请合作网站,安全、便捷、高效!申请信用卡请访问我爱卡网在线申请通道://cc.51credit.com/

相关文章

查看更多
热门银行信用卡申请
热门银行信用卡中心
var copyright = document.getElementsByClassName('copyright')[0]; var year = new Date().getFullYear(); copyright.innerHTML = `© 2005-` + year + ` m.51credit.com`;