攜程網為什麼要保留用戶的信用卡信息？

12-26

今天關注攜程信用卡信息被泄露的事，看了一些新聞報道，有點好奇，既然中國銀聯明文禁止網站保留用戶信息，比如卡號、CVV、6位Bin等等，那麼攜程網為什麼還要保存這些？這樣做對他們自己有什麼好處？新聞里攜程所說的「符合國際慣例」是事實嗎？所謂的「國際慣例」又是什麼？今年一月攜程已被曝出存在信用卡信息泄漏風險：銀聯明文禁存信用卡信息攜程稱做法系國際慣例[上海早晨]視頻

我先簡單回答下，目前爆出來的是因為在某伺服器上開啟了調試功能，導致卡號和CVV2錯誤的記錄在日誌當中，我認為是可信的。

導致該事件的發生，可能是由於攜程日常管理出現了漏洞，例如沒有對相關人員進行培訓、變更審批流於形式等等。

另外根據目前的消息，攜程也沒有進行PCI-DSS和ADSS相關合規認證。

為什麼要存儲CVV2？按照要求除非業務必要信用卡的CVV2和磁條信息、Pin數據塊在授權完成之後不允許被存儲，因此可以這麼理解：

1. 在授權完成完成之前短時間存儲是可以接收的，不過在授權完成之後要立即安全清除；
2. 業務必要目前僅限於用於發卡用途的CVV2和其他敏感信息存儲。

關於不允許存儲CVV2和其他敏感信息的要求可以參考PCI DSS 3.0要求3.2，節選如下：

3.2 授權之後，不要存儲敏感驗證數據
(即使已加密)。如果收到敏感驗證數據，在完成驗證流程後使所有數據不可恢復。

在下列情況下，允許發卡機構和支持發卡服務的公司存儲敏感驗證數據:
? 有正當的業務理由且
? 數據存儲安全。

商戶為什麼要存儲卡號和有效期？

1. 業務確實必須，例如需要清算、結算、爭議處理等；
2. 用戶體驗需要，例如二次購買快速結賬。

額外說明下，只有卡號和有效期就可以完成交易的，至於網站需要CVV2的原因是進一步驗證用戶，因為卡號和有效期更容易泄漏。

曾經在紐約某電子商務網站工作過。攜程說自己「符合國際慣例」，肯定是不對的。

國際慣例是PCI Compliance，接受信用卡、借記卡的商家都「應當」遵守。事實上，在一些比較嚴格的地方，會有每年一次的PCI Compliance測試，檢查有沒有漏洞。例如我原來所在的某知名奢侈品購物網站，就每年都有一次。

PCI Comliance的內容較多，從軟體比如網站程序到硬體比如網路設備都有要求，具體可以看維基頁面 http://en.wikipedia.org/wiki/PCI_Compliance

針對卡片信息部分，在PCI快速指南
https://www.pcisecuritystandards.org/pdfs/pci_ssc_quick_guide.pdf （第15頁）有專門一個表格介紹哪些信息可以存儲，哪些不行，可以存儲的又是不是必須加密。

其中，CVV/CVV2和持卡人PIN是不能存儲的。

我雖然在另外一個問題里狠狠的鄙視了攜程.但是我覺得這個事情,沒有直接證據不需要用太多的惡意去猜測. 我個人覺得就是開發為了調試方便或者為了留底以便查問題.

敏感信息不落地,這是一個很基礎但是也很重要的原則.所以攜程這個錯誤實在是太低級,低級到我想了一圈,發現只有基於http傳輸敏感信息這種錯誤才能比它還弱了.

有些訂單是信用卡擔保，入住前三天預扣的。。。不知道是不是這個的緣故

為什麼存儲了卡號和CVV2，我其實在好奇另一個方向的問題，為什麼沒存儲有效期？如果真的是想存點什麼，有效期去哪裡了。也許這件事情上，攜程真的還是有關鍵要素沒落地。

驗證五要素（密碼不算），如果攜程有支付牌照的話，我記得他們沒有，那是肯定都要收集並保存的。當然，如果攜程想拿牌照，人行的檢測應該能抓出這個制度和平台的漏洞。

所以又回到原點，攜程為啥對CVV2情有獨鍾卻沒有在同一調試介面發現有效期呢？我的猜測是，境外消費加攜程畢竟還是有懂點支付風控的人。

至於要不要換卡，如果我告訴你借記卡的代扣介面只需要卡號和身份證號就可以扣款，風控由商戶負責，各位看官啥感覺？

過去銀聯的業務規則，交易授權時必須商戶和收單機構必須上送CVN2。由於商戶和收單機構為了用戶體驗（比如你剛付款買了一張票，要再買第二張），會有留存CVN2的動機。
攜程的事件發生後，銀聯把業務規則改了，不用上送CVN2了

（其他卡組織的業務規則不清楚）