正是这样的“甜头”让范敏更加大胆。

据知情人士透露，2009年以前，携程服务器并不留存用户CVV码，用户每次购买机票，预订酒店都需要输入CVV码；但2009年，范敏为了简化操作流程，优化客户体验，拍板决定在携程服务器上留存CVV码。

如今看来，正是当时范敏的这个决定为今天的“漏洞”埋下了隐患。

而携程对本次事件最新的处理决定是：“我们将会按照监管部门的要求，尽快优化完善用户的支付流程。加强内部排查所有可能存在漏洞，邀请国内知名网络安全专家对携程系统进行会诊。同时，我们已经启动了CFCA和PCI的认证程序，以期更好地符合监管要求。”

问题是，此前携程曾有意向接入该认证程序，但是公司工作人员去考察之后发现，携程自身系统要整改难度太大，业务种类多且交叉多，如果按照该系统接入而整改会使架构都会有所变化，导致至今未引入CFCA和PCI认证标准。

“但是PCI也并非法律条款，只是支付卡大亨自己制定的规范，通过PCI不代表就能保存用户的敏感信息，还要根据国内的规定。”PCI-DSS在中国的合作伙伴北京航天亿展公司的工作人员这样告诉理财周报记者。

而接下来，携程面临的不仅是引入PCI-DSS标准的技术考验，更是如何重树安全支付信任、重拾消费者信心的问题。