携程深陷泄密门 私自保存CVV码是否违规

“银联明文规定不得以任何形式存储用户银行卡信息，包括但不限于卡号，卡BIN，CVV码等,请问携程谁授权你们把用户这些敏感信息存储到服务器上的？”微博认证为融通互动CEO崔毅龙的这段话，足以反映携程用户们对信用卡泄密的恐慌和愤怒。

他至今仍记得，第一次用信用卡在携程购买机票时，需提供信用卡卡种、卡号、有效期、CVV码等完整信息，此后再买的话，只需提供卡号后四位及CVV码就能支付了，“当时我只想着便捷，但没想过携程会储存我的信息，一旦泄露， 后果不堪设想, 作为使用携程十几年的钻石级客户，真的很遗憾”。

3月22日晚间，国内漏洞研究机构乌云平台曝光称，携程系统开启了用户支付服务接口的调试功能，包括信用卡用户的身份证、卡号、CVV码等信息可能被黑客任意窃取。

此报告一出，一石激起千层浪。很多携程用户赶紧到银行解除绑定信用卡。携程昨天最新回应称，乌云所曝信息系此前技术人员未删的临时日志，已在两小时内修复，并已通知93名潜在风险用户更换信用卡并适当补偿，尚未发现携程用户信用卡被盗刷情况。

“我们正在联合携程和各商业银行共同研究进一步解决措施。”银联资深风险专家王宇表示。

21世纪网从业内人士处获悉,3月24日下午银联急召携程和各商业银行卡中心有关负责人开会商议应对携程信息漏洞事件。

携程私存CVV码是否违规？

信息漏洞事件发生后，外界关注和争论的焦点之一集中在携程为何会保留用户的CVV码信息？携程私自保存CVV码是否涉嫌违规？

那究竟什么是CVV码呢？据业内人士介绍，信用卡信息主要包含卡号、有效期、CVV码等，其中打印在卡片签名区的3位CVV码又被称作“第二密码”，掌握着该卡的交易授权，即只要提供正确的CVV码，就能完成支付环节。

由此可见，CVV码几乎是信用卡的核心信息，也就是说，如果通过某种途径截获了用户的姓名、身份证号、信用卡号、CVV码等信息，完全可以凭借这些信息再复制一张信用卡，盗刷风险可想而知。

携程作为目前国内最大的旅游类网站拥有数量庞大的客户群，而人们预订时最常用的就是信用卡快捷支付，即通过携程的网站或是客服电话将自己的信用卡卡号、有效期、用户名和CVV密码输入，携程再通过这些信息实现信用卡的快捷付款。

实际上不仅携程，绝大多数国外网站的信用卡付款都是仅需提供卡号、有效期、用户名和CVV密码就能实现在线支付，因此这些信息对于持卡人的重要性不言而喻。

“交易网站存CVV相当于小时工偷偷配了你家的钥匙，同时，小时工还知道了关于你家所有的信息。”汽车之家创始人李想第一时间在微博上表示，携程存了无论如何也不该存的CVV码，这相当于把用户信用卡的密码存储并泄漏了。这属于企业的基本道德问题。

而中国银联风险管理委员会《银联卡收单机构账户信息安全管理标准》要求，“各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。”

既然，银联已有规定在前，那携程为何还会私自偷偷保留用户的CVV码信息？

携程方面回复称，按相关银行的支付规定，携程的部分银行用户交易时需提交CVV信息。用户授权后，携程会保存非CVV信息，而未扣款成功的CVV信息会被暂存7天，目的是为了降低用户费力度与协助用户便捷支付。若用户未授权，所有相关信息在交易成功后将立即删除。未扣款成功的交易，将在7天内删除CVV信息。

携程进一步表示，“携程的做法，符合PCI-DSS(第三方支付行业数据安全标准)规定，携程一直按照国际信用卡支付安全标准要求加密保存信用卡信息。”

而银联资深风险专家则对外界明确表示：“携程私自保存CVV码违反央行和银联规定。”

据一不愿署名的第三方支付人士透露，携程是跳过银联直接和银行对接的。

目前暴露出来的漏洞意味着携程将信用卡持卡人的这些信息都编辑成库进行了储存，银率网分析师认为，这些本来只能是持卡人自己才能知道的信息一旦被泄露无疑会造成大面积的盗刷，就算携程将这些信息保存完好那么又如何保证有权限查看这些信息的携程内部员工不会发生道德风险将这些信息泄露出去？

在上述银率网分析师看来，实际上国内很多持卡人对于信用卡CVV信息是什么都不了解，大多认为只要自己的信用卡交易密码不告诉别人就不会被盗刷，自然也不知道如果授权网站保存这些信息会造成自己的信用卡被盗刷，携程在做信息保存时，在风险安全上的提示并没有做足。

中国旅游研究院行业分析师杨彦锋表示，目前未发现盗刷案例，表示该漏洞利用的情况不大，但携程错就错在不该存储CVV码。

银行：不确信携程有无完全彻查

“我们是从携程得到的消息，按照携程现在评估的泄露范围来看，如果它说的是真实情况，只是很小的漏洞，用户没必要太过恐慌”，一位昨日参会的国内某大型商业银行卡中心负责人对21世纪网表示。

“当然携程有无完全彻查清楚，有一定的不确信，但所有银行从外部监测来看，目前未发现明显的风险上升，且银行已加强了风险防范级别。”

该卡中心负责人解释称，银联之所以召集所有银行开会，实际上是从外部来看这件事，携程漏洞被发现，它也承认了，从它现在承认的情况来看，这个漏洞不大，银行外部监测目前未发现大的客户安全问题。

他进一步补充道，携程说它的数据没有被偷走，是疑似泄露，换句话说就是“门开着，目前从外部来看贼还没有进门”。

该负责人透露，此次银联出面来召集各方开会，除了事件本身值得深思和需要整改外，银联很可能会对整个市场的规范采取一些措施。

据多家银行称，会上已达成协议，所有银行会联合起来共同采取风险防范措施，而且银行之间会交换情报，及时通气，因为“这件事需要银行联合起来加总的数据看得才有意义”。

21世纪网从多家银行信用卡中心了解到，携程漏洞事件曝光后，各家银行都采取了应急措施，启动了银行内部的一整套风险机制，强化了包括交易抽查监测在内的一系列动作。

对于携程目前披露的只有93名潜在风险用户，外界质疑是否只有93人？其他客户有无安全隐患？(责任编辑：韩杰)