疑問：為何保存用戶CVV碼？

　　攜程的回應(yīng)并沒法平息用戶們的質(zhì)疑。很多用戶在攜程官方微博下面發(fā)問，為什么要存貯用戶的CVV等信息？

　　什么是CVV碼？業(yè)內(nèi)人士介紹，信用卡信息主要包含卡號(hào)、有效期、CVV碼等，其中打印在卡片簽名區(qū)的3位CVV碼又被稱作“第二密碼”，掌握著該卡的交易授權(quán)，即只要提供正確的CVV碼，就能完成支付環(huán)節(jié)。

　　中國銀聯(lián)風(fēng)險(xiǎn)管理委員會(huì)《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》要求：“各收單機(jī)構(gòu)系統(tǒng)只能存儲(chǔ)用于交易清分、差錯(cuò)處理所必需的最基本的賬戶信息，不得存儲(chǔ)銀行卡磁道信息、卡片驗(yàn)證碼、個(gè)人標(biāo)識(shí)代碼(PIN)及卡片有效期。”

　　“交易網(wǎng)站存CVV相當(dāng)于小時(shí)工偷偷配了你家的鑰匙，同時(shí)，小時(shí)工還知道了關(guān)于你家所有的信息。”汽車之家創(chuàng)始人李想第一時(shí)間在新浪微博上表示，攜程存了無論如何也不該存的CVV碼，這相當(dāng)于把用戶信用卡的密碼存儲(chǔ)并泄漏了。這屬于企業(yè)的基本道德問題。

　　昨天下午，攜程方面回復(fù)稱，按相關(guān)銀行的支付規(guī)定，攜程的部分銀行用戶交易時(shí)需提交CVV信息。用戶在線上線下信用卡下單時(shí)，系統(tǒng)會(huì)詢問是否保留相關(guān)信息，用戶同意授權(quán)的話，攜程會(huì)保存非CVV信息。未扣款成功的CVV信息會(huì)暫存7天，目的是降低用戶費(fèi)力度和協(xié)助用戶便捷支付。如果用戶不同意授權(quán)，所有相關(guān)信息將在交易成功后立即刪除。如果是未扣款成功的交易，將在7天內(nèi)刪除CVV信息。“攜程的做法，符合PCI-DSS(第三方支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))規(guī)定，攜程一直按照國際信用卡支付安全標(biāo)準(zhǔn)要求加密保存信用卡信息。”

　　專家建議

　　用戶也可開通短信提醒

　　中國旅游研究院行業(yè)分析師楊彥鋒對記者說，目前未發(fā)現(xiàn)盜刷案例，表示該漏洞利用的情況不大。但攜程的錯(cuò)在于不該存儲(chǔ)CVV碼。攜程在付款過程中需要記錄并轉(zhuǎn)發(fā)給銀行接口用戶信息，但是記錄日志，破壞了安全性。他建議，如果是近期使用過信用卡支付、卡額度或余額高的攜程網(wǎng)用戶，建議換卡，也可開通消費(fèi)短信提示服務(wù)，這樣及時(shí)了解信用卡的消費(fèi)信息。“這一事件，會(huì)造成客戶對攜程的信賴感下降，尤其是對高端商旅客戶的信賴感有影響。”