业内曝多家支付网站都有私存用户信用卡信息问题
一个支付安全漏洞,让知名旅游网站携程网成为众矢之的。事件曝光后,普通消费者一头雾水:原本银行才知道的客户信用卡信息,如何被携程网截留了?不用输密码就可完成的交易,究竟是怎样完成的?
网站为何会保留CVV码
“安全门”事件暴露最大安全问题是用户的CVV码可能被泄露。CVV码是由卡号、有效期和服务约束代码生成3位或4位数字,一般写在卡片磁条2磁道用户自定义数据区里面。无需密码支付的方式也叫信用卡“离线交易”,仅凭卡号、CVV码即可完成支付。
这么重要的信息为何会被携程“截留”?携程内部人士告诉记者,部分银行用户交易时,需提交CVV信息。用户授权后,携程会保存非CVV信息,若用户未授权,所有相关信息在交易成功后将立即删除。但其中有一种情况比较特殊,就是用户交易支付了但因为各种原因未扣款成功。出现这种情况时,如果用户已经授权而未扣款成功的CVV信息会被暂存7天,目的是为了使得消费者再次支付时快捷方便。
保留CVV不合法律规定
这种保留几天CVV做法其实并不少见。记者了解到,不少在线支付网站也采用在支付未成功时保留客户的CVV信息,虽然过后会删除,但保留过程的这几天内仍存在安全隐患。
那么,商家暂时保留CVV码合规吗?在记者的采访中,威诺律师事务所主任杨兆全表示,根据《中国银联支付结算规则》,商家不得记录和保存客户信用卡CVV号等敏感信息。这几乎是一条铁律,和保存时间长短无关。“和信息安全性相比,我宁愿再次支付时麻烦一点。”一位消费者告诉记者,“在线支付后保留CVV相当于配了你家钥匙,在离线交易模式下,便可以完成交易,这太可怕了。”
多网站都存安全隐患
银率网分析师认为,在携程支付漏洞事件中,银行负有不可推卸的责任。携程网是与银行达成了合作关系,得到了银行的授权,即银行向商户提供便利,允许其在用户不提供信用卡支付密码、查询密码的前提下,实现支付。事实上,包括艺龙网、芒果网等在线订票网站在内的商户都存在违规存储用户信用卡信息的问题。如果只是携程网等商户单方违规操作,是无法实现支付的,因此银行一方也脱不了干系。
该分析师指出,目前不少银行信用卡相关部门对于携程之类的品牌商户存在信用卡支付信息审核不严格的问题。双方合作的具体内容是什么,商户是否为此承担更高的交易手续费或者以其他方式向银行给予一定费用,不得而知;但可以确定的是,由这种“合作”导致的用户信用卡信息泄露或盗用,银行应负有不可推卸的责任。