本来我和这个话题毫无关系,但作为一名爱操心的码农,还是顺便学习了相关知识。
先说携程违规了没有? 废话,都让黑客抓到了还能没违规吗。而且这件事根本不是安全漏洞的问题,而是违规保存了CVV码。按照携程的声明,他们所有信息都是符合《国际信用卡支付安全标准》要求,进行加密处理?那这个什么狗屁“国际信用卡支付安全标准”,用google搜出来的全部都是携程自己的声明。本来以为携程压根就没按照PCI-DSS的标准,后来看到有人说所有的上市公司必须遵守这个规定。而按照这个新闻的报道。
那么,携程为何会保留用户信用卡背面的CVV信息呢?
携程网杭州分公司相关负责人表示:“携程按照相关银行的支付规定,部分银行用户交易时,需提交CVV信息。用户授权后,携程会保存非CVV信息。未扣款成功的CVV信息会被暂存7天,目的是为了降低用户费力度与协助用户便捷支付。若用户未授权,所有相关信息在交易成功后将立即删除。未扣款成功的交易,将在7天内删除CVV信息。携程的做法,符合PCI-DSS(第三方支付行业数据安全标准)规定。携程对所有用户信息安全全权负责,如果因此产生任何风险及损失,携程将一律全额赔付承担。携程一直按照国际信用卡支付安全标准要求加密保存信用卡信息。”
携程是通过了PCI-DSS的,而且这个解释看起来挺象那么回事的,那么PCI DSS到底是怎么规定的呢? 原文在这里
可以看到PCI-DSS根本就禁止以任何形式存储CVV,标准里甚至提到如果call center里的audio/video recording记录了这些信息,也必须立马删除。
好吧,这就是国内这些公司的无耻之处,明明违规了却还要舔着脸说自己完全合规。
再想想国内这些著名的购物网站都咋样呢?这里 有貌似所有的公司列表,没仔细去看,但看样子xiaomi是2014年才通过的,这意思是之前在xiaomi上保存的信用卡信息也可以不符合PCI-DSS的标准呀,当然了,这些时候就全看公司自己的自觉程度了。
所以,以后上网购物的话,还是先看看这些网站到底符合不符合PCI DSS,不符合的话还是转到银行网银支付吧,千万别把信用卡保存到不靠谱的网站。