关于携程的信息泄漏

本来我和这个话题毫无关系，但作为一名爱操心的码农，还是顺便学习了相关知识。

先说携程违规了没有？ 废话，都让黑客抓到了还能没违规吗。而且这件事根本不是安全漏洞的问题，而是违规保存了CVV码。按照携程的声明，他们所有信息都是符合《国际信用卡支付安全标准》要求，进行加密处理？那这个什么狗屁“国际信用卡支付安全标准”，用google搜出来的全部都是携程自己的声明。本来以为携程压根就没按照PCI-DSS的标准，后来看到有人说所有的上市公司必须遵守这个规定。而按照这个新闻的报道。

那么，携程为何会保留用户信用卡背面的CVV信息呢？

携程网杭州分公司相关负责人表示：“携程按照相关银行的支付规定，部分银行用户交易时，需提交CVV信息。用户授权后，携程会保存非CVV信息。未扣款成功的CVV信息会被暂存7天，目的是为了降低用户费力度与协助用户便捷支付。若用户未授权，所有相关信息在交易成功后将立即删除。未扣款成功的交易，将在7天内删除CVV信息。携程的做法，符合PCI-DSS(第三方支付行业数据安全标准)规定。携程对所有用户信息安全全权负责，如果因此产生任何风险及损失，携程将一律全额赔付承担。携程一直按照国际信用卡支付安全标准要求加密保存信用卡信息。”

携程是通过了PCI-DSS的，而且这个解释看起来挺象那么回事的，那么PCI DSS到底是怎么规定的呢？ 原文在这里

可以看到PCI-DSS根本就禁止以任何形式存储CVV，标准里甚至提到如果call center里的audio/video recording记录了这些信息，也必须立马删除。

 

好吧，这就是国内这些公司的无耻之处，明明违规了却还要舔着脸说自己完全合规。

 

再想想国内这些著名的购物网站都咋样呢？这里 有貌似所有的公司列表，没仔细去看，但看样子xiaomi是2014年才通过的，这意思是之前在xiaomi上保存的信用卡信息也可以不符合PCI-DSS的标准呀，当然了，这些时候就全看公司自己的自觉程度了。

 

所以，以后上网购物的话，还是先看看这些网站到底符合不符合PCI DSS，不符合的话还是转到银行网银支付吧，千万别把信用卡保存到不靠谱的网站。