疑問：為何保存用戶CVV碼？

　　攜程的回應(yīng)并沒法平息用戶們的質(zhì)疑。很多用戶在攜程官方微博下面發(fā)問，為什么要存貯用戶的CVV等信息？

　　什么是CVV碼？業(yè)內(nèi)人士介紹，信用卡信息主要包含卡號、有效期、CVV碼等，其中打印在卡片簽名區(qū)的3位CVV碼又被稱作“第二密碼”，掌握著該卡的交易授權(quán)，即只要提供正確的CVV碼，就能完成支付環(huán)節(jié)。

　　中國銀聯(lián)風險管理委員會《銀聯(lián)卡收單機構(gòu)賬戶信息安全管理標準》要求：“各收單機構(gòu)系統(tǒng)只能存儲用于交易清分、差錯處理所必需的最基本的賬戶信息，不得存儲銀行卡磁道信息、卡片驗證碼、個人標識代碼(PIN)及卡片有效期。”

　　“交易網(wǎng)站存CVV相當于小時工偷偷配了你家的鑰匙，同時，小時工還知道了關(guān)于你家所有的信息。”汽車之家創(chuàng)始人李想第一時間在新浪微博上表示，攜程存了無論如何也不該存的CVV碼，這相當于把用戶信用卡的密碼存儲并泄漏了。這屬于企業(yè)的基本道德問題。

　　昨天下午，攜程方面回復(fù)稱，按相關(guān)銀行的支付規(guī)定，攜程的部分銀行用戶交易時需提交CVV信息。用戶在線上線下信用卡下單時，系統(tǒng)會詢問是否保留相關(guān)信息，用戶同意授權(quán)的話，攜程會保存非CVV信息。未扣款成功的CVV信息會暫存7天，目的是降低用戶費力度和協(xié)助用戶便捷支付。如果用戶不同意授權(quán)，所有相關(guān)信息將在交易成功后立即刪除。如果是未扣款成功的交易，將在7天內(nèi)刪除CVV信息。“攜程的做法，符合PCI-DSS(第三方支付行業(yè)數(shù)據(jù)安全標準)規(guī)定，攜程一直按照國際信用卡支付安全標準要求加密保存信用卡信息。”

　　專家建議

　　用戶也可開通短信提醒

　　中國旅游研究院行業(yè)分析師楊彥鋒對記者說，目前未發(fā)現(xiàn)盜刷案例，表示該漏洞利用的情況不大。但攜程的錯在于不該存儲CVV碼。攜程在付款過程中需要記錄并轉(zhuǎn)發(fā)給銀行接口用戶信息，但是記錄日志，破壞了安全性。他建議，如果是近期使用過信用卡支付、卡額度或余額高的攜程網(wǎng)用戶，建議換卡，也可開通消費短信提示服務(wù)，這樣及時了解信用卡的消費信息。“這一事件，會造成客戶對攜程的信賴感下降，尤其是對高端商旅客戶的信賴感有影響。”