携程支付为给用户信息造成巨大风险

　　近日，携程留下明文日志是否归咎于疏忽暂且不论。目前，用户以及业界更为关注的是，携程是否存在过度收集用户信息的行为?

　　漏洞报告平台乌云发布信息的其中一点是，持卡人的CVV码等可能被任意骇客读取，这其中可能触犯银联此前禁止记录CV V的规定。

　　CVV即C ardV erificationV alue，是由卡号、有效期和服务约束代码生成3位或4位数字，一般写在卡片磁条2磁道用户自定义数据区里面。CVV码是进行网络和电话交易时的安全保障，掌握着卡的交易授权，属于高度机密的用户信息。一般情况下，无需密码支付的方式叫信用卡“离线交易”，仅凭卡号、CV V码等信息即可完成支付。安全专家认为，CV V安全码的重要性相当于用户的签名。

　　有安全专家表示，这件事的关键点是“携程是否过度收集用户信息”。“这种记录并不是行规，正常的流程应该是调用银行系统数据，而不是自己记录用户信息。类似用户的CVV码、6位卡B in等，携程应该让用户转到银行专门网站上输入。”

　　据调查发现，银联2008年发布的《银联卡收单机构账户信息安全管理标准》的2 .1条显示，各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN )及卡片有效期。

　　此外，支付卡产业数据安全标准(PC I- D SS)中明确规定，CVV、PIN等敏感验证数据属于不允许存储类别。可保存的账户数据只有主账户(PA N )、持卡人姓名、业务码以及失效日。PC I-D SS为第三方支付行业数据安全标准，是由PCI安全标准委员会的创始成员制定，为了使国际上采用一致的数据安全措施。P C I-D S S对于支付网关的安全方面作出标准的要求，作为目前国际上支付卡行业最高级别的安全标准认证，明确禁止成员保存CVV码。

　　对此，携程回复称，携程按照相关银行的支付规定，部分银行用户交易时，需提交CV V信息。若用户未授权，所有相关信息在交易成功后将立即删除。携程一直按照国际信用卡支付安全标准要求加密保存信用卡信息。携程的做法，符合PC I-D SS规定。对此，资深互联网分析师王刚认为，携程如果保存用户CVV码，是明显违反P C I- D S S认证规则的行为，给用户造成了巨大的风险。

　　对于，在用户消费时，携程采用的是否是只需要信用卡卡号、有效期等信息，而不需要密码的支付方式这一问题上。携程方面表示，在牵涉到客户交易的敏感信息方面，会按照最严格的行业规范来确保用户支付安全。

　　据调查发现，目前通过PCI-D SS认证的企业有南方航空、网银在线、支付宝、快钱支付、盛付通、工商银行、民生银行、中信银行等等。同时，携程的竞争对手去哪儿网也通过了P C I-D SS认证，并且号称是目前国内唯一一家通过P C I- D SS认证的旅游预订平台。

　　我爱卡(www.51credit.com)是，银行授权信用卡申请合作网站，安全、便捷、高效!申请信用卡请访问我爱卡网在线申请通道：//cc.51credit.com/