【中网资讯综合报道】信息漏洞事件发生后,外界关注和争论的焦点之一集中在携程为何会保留用户的CVV码信息?携程私自保存CVV码是否涉嫌违规?
那究竟什么是CVV码呢?据业内人士介绍,信用卡信息主要包含卡号、有效期、CVV码等,其中打印在卡片签名区的3位CVV码又被称作“第二密码”,掌握着该卡的交易授权,即只要提供正确的CVV码,就能完成支付环节。
由此可见,CVV码几乎是信用卡的核心信息,也就是说,如果通过某种途径截获了用户的姓名、身份证号、信用卡号、CVV码等信息,完全可以凭借这些信息再复制一张信用卡,盗刷风险可想而知。
携程作为目前国内最大的旅游类网站拥有数量庞大的客户群,而人们预订时最常用的就是信用卡快捷支付,即通过携程的网站或是客服电话将自己的信用卡卡号、有效期、用户名和CVV密码输入,携程再通过这些信息实现信用卡的快捷付款。
实际上不仅携程,绝大多数国外网站的信用卡付款都是仅需提供卡号、有效期、用户名和CVV密码就能实现在线支付,因此这些信息对于持卡人的重要性不言而喻。
“交易网站存CVV相当于小时工偷偷配了你家的钥匙,同时,小时工还知道了关于你家所有的信息。”汽车之家创始人李想第一时间在微博上表示,携程存了无论如何也不该存的CVV码,这相当于把用户信用卡的密码存储并泄漏了。这属于企业的基本道德问题。
而中国银联风险管理委员会《银联卡收单机构账户信息安全管理标准》要求,“各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。”
既然,银联已有规定在前,那携程为何还会私自偷偷保留用户的CVV码信息?
携程方面回复称,按相关银行的支付规定,携程的部分银行用户交易时需提交CVV信息。用户授权后,携程会保存非CVV信息,而未扣款成功的CVV信息会被暂存7天,目的是为了降低用户费力度与协助用户便捷支付。若用户未授权,所有相关信息在交易成功后将立即删除。未扣款成功的交易,将在7天内删除CVV信息。
携程进一步表示,“携程的做法,符合PCI-DSS(第三方支付行业数据安全标准)规定,携程一直按照国际信用卡支付安全标准要求加密保存信用卡信息。”
而银联资深风险专家则对外界明确表示:“携程私自保存CVV码违反央行和银联规定。”
据一不愿署名的第三方支付人士透露,携程是跳过银联直接和银行对接的。
目前暴露出来的漏洞意味着携程将信用卡持卡人的这些信息都编辑成库进行了储存,银率网分析师认为,这些本来只能是持卡人自己才能知道的信息一旦被泄露无疑会造成大面积的盗刷,就算携程将这些信息保存完好那么又如何保证有权限查看这些信息的携程内部员工不会发生道德风险将这些信息泄露出去?
在上述银率网分析师看来,实际上国内很多持卡人对于信用卡CVV信息是什么都不了解,大多认为只要自己的信用卡交易密码不告诉别人就不会被盗刷,自然也不知道如果授权网站保存这些信息会造成自己的信用卡被盗刷,携程在做信息保存时,在风险安全上的提示并没有做足。
中国旅游研究院行业分析师杨彦锋表示,目前未发现盗刷案例,表示该漏洞利用的情况不大,但携程错就错在不该存储CVV码。
