携程深陷“漏洞门” 信息安全原罪或成定时炸弹

　　保存CVV信息疑违规 携程承认做法不对

　　用户集中提出了一个重要的问题——携程为什么保存用户的CVV信息？所谓CVV信息，是指银行信用卡背后的三位验证码。在“离线交易”环节，用户只需提供卡号和CVV信息即可完成支付。因此可以说，CVV信息掌握着卡的交易授权，属于高度机密的用户隐私信息。
　　有用户指出，“CVV码只能用于交易时验证，不允许商家交易后存储。这个设计就是为了在数据不幸泄露时避免对持卡用户造成经济损失。所以携程为什么要存这个信息呢？”
　　对于这些疑问，携程的工作人员给记者做了解释，“由于旅游行业的特殊性，以机票和酒店为代表的旅游产品，价格会随着库存、预订时间实时变化。对于在线旅游网站而言，将用户的姓名、身份证、信用卡号、CVV码等储存起来，预订反应机制会更加灵活，能优化消费者体验，这或许可称为是该行业的一种潜规则。”不过，该工作人员也承认，“这种做法确实是错误的。”
　　经记者调查了解，根据中国银联风险管理委员会于2008年发布的《银联卡收单机构账户信息安全管理标准》，各收单机构系统只能存储用于交易清分、差错处理所必须的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码（PIN）及卡片有效期。
　　显然，携程保存的用户信息已经超过了该标准的允许范围，违反了上述标准的规定。有携程用户如此描述这种行为，“这叫好比我把钥匙给你，请你帮忙去我家里取个东西，回来你却偷着配了把钥匙放你自己兜里。”讽刺的是，仅仅两个月前，携程在面对某媒体对其支付安全性的质疑时，明确回复“携程网的后台不会记录用户的支付信息”。

　　承诺不再保存CVV 信息安全警钟长鸣

　　面对汹涌袭来的舆论大潮，携程在其官网发表最新声明称，将会严格按照监管部门的要求，对支付流程进行整改，取消对用户CVV信息的询问和登记，不再保存用户的CVV信息，以前保存的CVV信息正在删除。3月27日，在记者问到“何时能将已存的CVV信息完全删除”时，携程的工作人员表示暂时还不能确定。目前，携程正采取一系列补救措施，比如启动CFCA和PCI的认证程序等，试图挽回因此失去的市场和信誉。
　　针对此事，有专家指出，“移动互联网应用的迅猛发展将助推在线旅游服务的“蛋糕”越做越大，但其中隐含的问题也会随之浮出水面。携程此次泄露信息事件反映出在线支付行业不仅要加强行业自律，也需要监管部门强力介入，通过出台明文法规，将在线支付纳入到行业监管的大局之下。”
　　至此，从上周六开始“发酵”的携程“漏洞门”，似乎将告一段落。然而，有业内人士指出，“携程是行业巨头，又是上市公司，居然也在安全问题上犯这样的错误，只能说没有把用户的利益放在第一位，同时也反映出当前互联网界整体安全意识淡薄的现状。”
　　另有业内人士提醒，“携程如果处理不好此事，面对的不仅仅是短期内企业形象受损和信任度下降，而且可能面临用户的大量流失、集体赔偿诉讼乃至有关机构的巨额罚金。”可以肯定的是，此次事件会对其它在线支付平台起到警示作用。