攜程網為什麼要保留用戶的信用卡信息?

今天關注攜程信用卡信息被泄露的事,看了一些新聞報道,有點好奇,既然中國銀聯明文禁止網站保留用戶信息,比如卡號、CVV、6位Bin等等,那麼攜程網為什麼還要保存這些?這樣做對他們自己有什麼好處?新聞里攜程所說的「符合國際慣例」是事實嗎?所謂的「國際慣例」又是什麼?視頻封面今年一月攜程已被曝出存在信用卡信息泄漏風險:銀聯明文禁存信用卡信息 攜程稱做法系國際慣例[上海早晨]視頻


我先簡單回答下,目前爆出來的是因為在某伺服器上開啟了調試功能,導致卡號和CVV2錯誤的記錄在日誌當中,我認為是可信的。

導致該事件的發生,可能是由於攜程日常管理出現了漏洞,例如沒有對相關人員進行培訓、變更審批流於形式等等。

另外根據目前的消息,攜程也沒有進行PCI-DSS和ADSS相關合規認證。

為什麼要存儲CVV2?按照要求除非業務必要信用卡的CVV2和磁條信息、Pin數據塊在授權完成之後不允許被存儲,因此可以這麼理解:

1. 在授權完成完成之前短時間存儲是可以接收的,不過在授權完成之後要立即安全清除;
2. 業務必要目前僅限於用於發卡用途的CVV2和其他敏感信息存儲。

關於不允許存儲CVV2和其他敏感信息的要求可以參考PCI DSS 3.0要求3.2,節選如下:

3.2 授權之後,不要存儲敏感驗證數據
(即使已加密)。如果收到敏感驗證數據,在完成驗證流程後使所有數據不可恢復。

在下列情況下,允許發卡機構和支持發卡服務的公司存儲敏感驗證數據:

? 有正當的業務理由且

? 數據存儲安全。

商戶為什麼要存儲卡號和有效期?

1. 業務確實必須,例如需要清算、結算、爭議處理等;
2. 用戶體驗需要,例如二次購買快速結賬。

額外說明下,只有卡號和有效期就可以完成交易的,至於網站需要CVV2的原因是進一步驗證用戶,因為卡號和有效期更容易泄漏。


曾經在紐約某電子商務網站工作過。攜程說自己「符合國際慣例」,肯定是不對的。

國際慣例是PCI Compliance,接受信用卡、借記卡的商家都「應當」遵守。事實上,在一些比較嚴格的地方,會有每年一次的PCI Compliance測試,檢查有沒有漏洞。例如我原來所在的某知名奢侈品購物網站,就每年都有一次。

PCI Comliance的內容較多,從軟體比如網站程序到硬體比如網路設備都有要求,具體可以看維基頁面 http://en.wikipedia.org/wiki/PCI_Compliance

針對卡片信息部分,在PCI快速指南
https://www.pcisecuritystandards.org/pdfs/pci_ssc_quick_guide.pdf (第15頁)有專門一個表格介紹哪些信息可以存儲,哪些不行,可以存儲的又是不是必須加密。

其中,CVV/CVV2和持卡人PIN是不能存儲的。


我雖然在另外一個問題里狠狠的鄙視了攜程.但是我覺得這個事情,沒有直接證據不需要用太多的惡意去猜測. 我個人覺得就是開發為了調試方便或者為了留底以便查問題.

敏感信息不落地,這是一個很基礎但是也很重要的原則.所以攜程這個錯誤實在是太低級,低級到我想了一圈,發現只有基於http傳輸敏感信息這種錯誤才能比它還弱了.


有些訂單是信用卡擔保,入住前三天預扣的。。。不知道是不是這個的緣故


為什麼存儲了卡號和CVV2,我其實在好奇另一個方向的問題,為什麼沒存儲有效期?如果真的是想存點什麼,有效期去哪裡了。也許這件事情上,攜程真的還是有關鍵要素沒落地。

驗證五要素(密碼不算),如果攜程有支付牌照的話,我記得他們沒有,那是肯定都要收集並保存的。當然,如果攜程想拿牌照,人行的檢測應該能抓出這個制度和平台的漏洞。

所以又回到原點,攜程為啥對CVV2情有獨鍾卻沒有在同一調試介面發現有效期呢?我的猜測是,境外消費加攜程畢竟還是有懂點支付風控的人。


至於要不要換卡,如果我告訴你借記卡的代扣介面只需要卡號和身份證號就可以扣款,風控由商戶負責,各位看官啥感覺?


過去銀聯的業務規則,交易授權時必須商戶和收單機構必須上送CVN2。由於商戶和收單機構為了用戶體驗(比如你剛付款買了一張票,要再買第二張),會有留存CVN2的動機。
攜程的事件發生後,銀聯把業務規則改了,不用上送CVN2了

(其他卡組織的業務規則不清楚)


推薦閱讀:

信用卡詐騙數額達到多少錢會構成犯罪?
為什麼銀行喜歡給欠款的人提升信用卡額度?
存10萬塊就剩了300塊,銀行是否需要負全責?
招商銀行信用卡young卡怎麼樣?
信用卡審核已經通過了卡片也已經郵寄過來了,現在要去銀行確認身份.會不會被銀行拒簽?

TAG:信用卡 | 信息安全 | 中國銀聯 | 攜程網 |