什么是PCI DSS认证?有了这个认证就万无一失了吗?
根据记者查阅的资料显示,“PCI DSS”,中文全称为支付卡产业数据安全标准。2006年,为了解决支付安全问题,visa、mastercard 、American Express、 Discover Financial Services、JCB 等全球5大国际卡组织创办了PCI安全标准委员会。通过审核并持续维护 PCI DSS标准的合规,可以有效降低网站发生数据泄露的风险,保护支付数据的存储和传输安全。国际卡组织把用户的信息进了严格分类。比如持卡人、卡号、姓名、有效期等都被分类。
目前,加入PCI DSS 标准的公司包括工商银行、中钞信用卡产业发展有限公司、小米移动软件公司、中国南方航空、去哪儿网、安利(中国)等五家公司,其中并没有携程。
携程对此的解释是,PCI DSS标准仅是上述商业公司联盟起来制定的标准,不是国家标准,不是行业标准,也不是市场通行标准,比如航空公司,中国只有南方航空加入了,但包括国航在内的公司并没有加入,携程不加入可以理解。
“即使通过PCI DSS认证也做不到100%绝对安全。”国内一位安全领域的权威人士对本报记者表示,此前,国外两家零售商Target和Neiman Marcus都是PCI DSS标准的合规企业,但都遭遇过黑客入侵,导致信息泄露。
要不要换卡?不换会不会被盗刷?
3月23日,对于平台漏洞致使用户信用卡信息泄露问题,携程网发布公告,表示漏洞已经修复,而可能存在风险的只有93名携程用户,已经安排换卡。
尽管如此,记者在社交网站上看到众多用户吐槽表示要换卡,尤其是那些近期在携程订过票的用户表示“很纠结”。
甚至有网友表示,招商银行的电话都被打爆了,银行客服在听到“携程”后,做出了“非常熟练而流利的回应”。
一位匿名的安全技术人员对本报记者表示,目前只有信用卡账单以及开通支付短信提醒这两种方式来查看自己的信用卡是否被盗刷。
如果用户信息泄露,企业负有赔偿责任。但是损失需要用户出具证明。携程表示,未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付。
对此,中国电子商务研究中心特约研究员、北京惠诚律师事务所律师赵占领表示,如果用户信息泄露,按照现行法律,企业负有赔偿责任。公司与用户之间具备合同关系,有保障用户信息安全的义务。如果没尽到义务,需要赔偿用户损失。但是损失需要用户出具证明,这一点不太容易做到。
“信用卡的盗刷问题不是第一天存在了,此前就有国际犯罪组织雇佣黑客攻击银行网站盗取信用卡信息,这个产业链价值不菲。”国内安全领域的某权威人士对本报记者表示。
某股份行信用卡部管理人员崔先生也表示,即使是商业银行也很难完全杜绝信用卡信息泄露,“我们有一个部门专门负责监控,但没有办法完全杜绝,因为银行自己也需要这方面的信息才能完成网上交易,不能排除被黑客截获破解的可能。”
此外,银行也会对用户的消费行为进行风险控制。一位银联互联网业务技术在接受媒体采访时表示,风险控制的方式主要包括安全控件码(网上提示的动态验证码)、动态密码、验证与预留手机号码是否一致,以及其他具体场景的判断,如连续刷卡出现异常交易、设定的交易限额等。
因此,假如此次有骇客盗取了用户信息,他也只能通过手机充值、购买游戏点卡等方式小规模地进行消费,但如果他连续通过信用卡进行这样的消费,会被银行记录和识别。但是这样盗取用户财产的成本会非常的高,所以并不实际。当然,双币信用卡被盗取后还可以注册一些海外电商网站进行消费。