攜程網為什麼要保留用戶的信用卡信息?
今天關注攜程信用卡信息被泄露的事,看了一些新聞報道,有點好奇,既然中國銀聯明文禁止網站保留用戶信息,比如卡號、CVV、6位Bin等等,那麼攜程網為什麼還要保存這些?這樣做對他們自己有什麼好處?新聞里攜程所說的「符合國際慣例」是事實嗎?所謂的「國際慣例」又是什麼?今年一月攜程已被曝出存在信用卡信息泄漏風險:銀聯明文禁存信用卡信息 攜程稱做法系國際慣例[上海早晨]視頻
我先簡單回答下,目前爆出來的是因為在某伺服器上開啟了調試功能,導致卡號和CVV2錯誤的記錄在日誌當中,我認為是可信的。
導致該事件的發生,可能是由於攜程日常管理出現了漏洞,例如沒有對相關人員進行培訓、變更審批流於形式等等。
另外根據目前的消息,攜程也沒有進行PCI-DSS和ADSS相關合規認證。
為什麼要存儲CVV2?按照要求除非業務必要信用卡的CVV2和磁條信息、Pin數據塊在授權完成之後不允許被存儲,因此可以這麼理解:
1. 在授權完成完成之前短時間存儲是可以接收的,不過在授權完成之後要立即安全清除;
2. 業務必要目前僅限於用於發卡用途的CVV2和其他敏感信息存儲。
關於不允許存儲CVV2和其他敏感信息的要求可以參考PCI DSS 3.0要求3.2,節選如下:
3.2 授權之後,不要存儲敏感驗證數據
(即使已加密)。如果收到敏感驗證數據,在完成驗證流程後使所有數據不可恢復。
在下列情況下,允許發卡機構和支持發卡服務的公司存儲敏感驗證數據:
? 有正當的業務理由且
? 數據存儲安全。
商戶為什麼要存儲卡號和有效期?
1. 業務確實必須,例如需要清算、結算、爭議處理等;
2. 用戶體驗需要,例如二次購買快速結賬。
額外說明下,只有卡號和有效期就可以完成交易的,至於網站需要CVV2的原因是進一步驗證用戶,因為卡號和有效期更容易泄漏。
曾經在紐約某電子商務網站工作過。攜程說自己「符合國際慣例」,肯定是不對的。
國際慣例是PCI Compliance,接受信用卡、借記卡的商家都「應當」遵守。事實上,在一些比較嚴格的地方,會有每年一次的PCI Compliance測試,檢查有沒有漏洞。例如我原來所在的某知名奢侈品購物網站,就每年都有一次。
PCI Comliance的內容較多,從軟體比如網站程序到硬體比如網路設備都有要求,具體可以看維基頁面 http://en.wikipedia.org/wiki/PCI_Compliance
針對卡片信息部分,在PCI快速指南
https://www.pcisecuritystandards.org/pdfs/pci_ssc_quick_guide.pdf (第15頁)有專門一個表格介紹哪些信息可以存儲,哪些不行,可以存儲的又是不是必須加密。
其中,CVV/CVV2和持卡人PIN是不能存儲的。
我雖然在另外一個問題里狠狠的鄙視了攜程.但是我覺得這個事情,沒有直接證據不需要用太多的惡意去猜測. 我個人覺得就是開發為了調試方便或者為了留底以便查問題.
敏感信息不落地,這是一個很基礎但是也很重要的原則.所以攜程這個錯誤實在是太低級,低級到我想了一圈,發現只有基於http傳輸敏感信息這種錯誤才能比它還弱了.有些訂單是信用卡擔保,入住前三天預扣的。。。不知道是不是這個的緣故
為什麼存儲了卡號和CVV2,我其實在好奇另一個方向的問題,為什麼沒存儲有效期?如果真的是想存點什麼,有效期去哪裡了。也許這件事情上,攜程真的還是有關鍵要素沒落地。
驗證五要素(密碼不算),如果攜程有支付牌照的話,我記得他們沒有,那是肯定都要收集並保存的。當然,如果攜程想拿牌照,人行的檢測應該能抓出這個制度和平台的漏洞。
所以又回到原點,攜程為啥對CVV2情有獨鍾卻沒有在同一調試介面發現有效期呢?我的猜測是,境外消費加攜程畢竟還是有懂點支付風控的人。
至於要不要換卡,如果我告訴你借記卡的代扣介面只需要卡號和身份證號就可以扣款,風控由商戶負責,各位看官啥感覺?
過去銀聯的業務規則,交易授權時必須商戶和收單機構必須上送CVN2。由於商戶和收單機構為了用戶體驗(比如你剛付款買了一張票,要再買第二張),會有留存CVN2的動機。
攜程的事件發生後,銀聯把業務規則改了,不用上送CVN2了
(其他卡組織的業務規則不清楚)
推薦閱讀:
※信用卡詐騙數額達到多少錢會構成犯罪?
※為什麼銀行喜歡給欠款的人提升信用卡額度?
※存10萬塊就剩了300塊,銀行是否需要負全責?
※招商銀行信用卡young卡怎麼樣?
※信用卡審核已經通過了卡片也已經郵寄過來了,現在要去銀行確認身份.會不會被銀行拒簽?