但这种存留信息的方式，前提是信息要得到绝对的保护，否则就很可能是风险隐患所在。

携程行为给用户造成巨大风险

携程留下明文日志是否归咎于疏忽暂且不论。目前用户以及业界更为关注的是，携程是否存在过度收集用户信息的行为？

漏洞报告平台乌云发布信息的其中一点是，持卡人的C V V码等可能被任意骇客读取，这其中可能触犯银联此前禁止记录CV V的规定。

C V V即C ardV erificationV alue，是由卡号、有效期和服务约束代码生成3位或4位数字，一般写在卡片磁条2磁道用户自定义数据区里面。C V V码是进行网络和电话交易时的安全保障，掌握着卡的交易授权，属于高度机密的用户信息。一般情况下，无需密码支付的方式叫信用卡“离线交易”，仅凭卡号、CV V码等信息即可完成支付。李铁军认为，CV V安全码的重要性相当于用户的签名。

李铁军向南都记者表示，这件事的关键点是“携程是否过度收集用户信息”。“这种记录并不是行规，正常的流程应该是调用银行系统数据，而不是自己记录用户信息。类似用户的C V V码、6位卡B in等，携程应该让用户转到银行专门网站上输入。”

南都记者查阅发现，银联2008年发布的《银联卡收单机构账户信息安全管理标准》的2 .1条显示，各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN )及卡片有效期。

此外，支付卡产业数据安全标准(PC I- D SS)中明确规定，C V V、PIN等敏感验证数据属于不允许存储类别。可保存的账户数据只有主账户(PA N )、持卡人姓名、业务码以及失效日。PC I-D SS为第三方支付行业数据安全标准，是由PCI安全标准委员会的创始成员制定，为了使国际上采用一致的数据安全措施。P C I-D S S对于支付网关的安全方面作出标准的要求，作为目前国际上支付卡行业最高级别的安全标准认证，明确禁止成员保存C V V码。

对此，携程在对南都记者的回复中称，携程按照相关银行的支付规定，部分银行用户交易时，需提交CV V信息。若用户未授权，所有相关信息在交易成功后将立即删除。携程一直按照国际信用卡支付安全标准要求加密保存信用卡信息。携程的做法，符合PC I-D SS规定。对此，资深互联网分析师王刚认为，携程如果保存用户C V V码，是明显违反P C I- D S S认证规则的行为，给用户造成了巨大的风险。

对于，在用户消费时，携程采用的是否是只需要信用卡卡号、有效期等信息，而不需要密码的支付方式这一问题上。携程方面表示，在牵涉到客户交易的敏感信息方面，会按照最严格的行业规范来确保用户支付安全。

而南都记者查阅发现，目前通过PCI-D SS认证的企业有南方航空、网银在线、支付宝、快钱支付、盛付通、工商银行、民生银行、中信银行等等。同时，携程的竞争对手去哪儿网也通过了P C I-D SS认证，并且号称是目前国内唯一一家通过P C I- D SS认证的旅游预订平台。

如何界定携程责任？

不过，对于此次事件，李铁军建议并不需要过于恐慌。“被记录过CV V的用户必须更换信用卡。但其他用户，现阶段可以注意观察信用卡帐单是否出现异常，注意每一笔交易，如果出现盗刷则需要及时报警、通知银行以及换卡。”

除此之外，携程也承诺，未来如果因安全漏洞引起用户损失，携程将承担全部责任并给予赔付。但对此，李铁军认为很难证明盗刷与此次信息泄露之间的关系，因为很难追溯盗刷涉及信息的来源。王刚则认为这是一个“空洞的承诺，因为受害用户一般无法明确举证。”

从目前公布的消息来看，漏洞是由白帽子发现，并善意告之携程，让厂商及时修补。因此，事态发展应该正处于控制中。但从另一个角度可以看出，此次泄露的信息，其实全部都保存在信用卡的卡面上，这也意味着只要有人能够顺利获取这些信息并记录下来，理论上就可以实现线上盗刷。