本來我和這個話題毫無關系,但作為一名愛操心的碼農,還是順便學習了相關知識。
先說攜程違規了沒有? 廢話,都讓黑客抓到了還能沒違規嗎。而且這件事根本不是安全漏洞的問題,而是違規保存了CVV碼。按照攜程的聲明,他們所有信息都是符合《國際信用卡支付安全標准》要求,進行加密處理?那這個什么狗屁“國際信用卡支付安全標准”,用google搜出來的全部都是攜程自己的聲明。本來以為攜程壓根就沒按照PCI-DSS的標准,后來看到有人說所有的上市公司必須遵守這個規定。而按照這個新聞的報道。
那么,攜程為何會保留用戶信用卡背面的CVV信息呢?
攜程網杭州分公司相關負責人表示:“攜程按照相關銀行的支付規定,部分銀行用戶交易時,需提交CVV信息。用戶授權后,攜程會保存非CVV信息。未扣款成功的CVV信息會被暫存7天,目的是為了降低用戶費力度與協助用戶便捷支付。若用戶未授權,所有相關信息在交易成功后將立即刪除。未扣款成功的交易,將在7天內刪除CVV信息。攜程的做法,符合PCI-DSS(第三方支付行業數據安全標准)規定。攜程對所有用戶信息安全全權負責,如果因此產生任何風險及損失,攜程將一律全額賠付承擔。攜程一直按照國際信用卡支付安全標准要求加密保存信用卡信息。”
攜程是通過了PCI-DSS的,而且這個解釋看起來挺象那么回事的,那么PCI DSS到底是怎么規定的呢? 原文在這里
可以看到PCI-DSS根本就禁止以任何形式存儲CVV,標准里甚至提到如果call center里的audio/video recording記錄了這些信息,也必須立馬刪除。
好吧,這就是國內這些公司的無恥之處,明明違規了卻還要舔着臉說自己完全合規。
再想想國內這些著名的購物網站都咋樣呢?這里 有貌似所有的公司列表,沒仔細去看,但看樣子xiaomi是2014年才通過的,這意思是之前在xiaomi上保存的信用卡信息也可以不符合PCI-DSS的標准呀,當然了,這些時候就全看公司自己的自覺程度了。
所以,以后上網購物的話,還是先看看這些網站到底符合不符合PCI DSS,不符合的話還是轉到銀行網銀支付吧,千萬別把信用卡保存到不靠譜的網站。