关键事项：CVV与PCI

 

面临泄露风险的信息中，CVV更是成为关注的焦点。

CVV(Card Verification Value)也被称作CVC(Card Validation Code)，资料显示，这部分信息是由卡号、有效期和服务约束代码生成的3位或4位数字，一般写在卡片磁条的2磁道用户自定义数据区里面。CVV和CVC的生成方法是一样的，只是叫法不一样而已。

这个信息被用来在交易时进行核对。CVV在联机交易(刷卡)的时候核对，而在不实际刷卡的交易过程中，这个信息更是有着决定性的作用。不过值得详细说明的是，我们通常在不刷卡的支付过程中，需要提供的信息其实叫做CVV2，也就是卡片背面签名档旁边的三位数。

作为敏感信息，CVV2在互联网支付等不刷卡的交易中，有着明确的处理规定。

根据中国银联发布的《银行卡收单机构帐户管理标准》，各收单机构系统只能存储用于交易清分、卡片验证码、个人标识代码(PIN)及卡片有效期。磁道信息、卡片验证码、个人标识代码、卡片有效期只用于完成银联卡交易，不能用于除此之外的任何其他用途。

多家提供在线支付的服务商也对新浪科技表示，在实际操作中会根据相关规定，不会对用户的相关信息违规存储。与CVV相比，另一个让携程面临指责的英文缩写是PCI。

PCI，在金融业内通常代指支付卡行业数据安全标准，即PCI-DSS(Payment Card Industry Data Security Standard)。制定PCI目的是为了优化信用卡，借记卡和现金卡交易的安全，保护持卡人的个人信息，以防被他人利用。

在此次泄露事件中，有人指责携程不具备符合PCI标准的资质，并将此归因于携程在流程上出问题的原因。VeryCD创始人戴云杰就公开质疑携程：CVV2属于不应存储的敏感数据。而有获得PCI资质的携程同行告诉新浪科技，这个资质申请并不容易，能通过也要耗时一年。

携程究竟有没有PCI资质呢？官方给出的回应是：携程的做法，符合PCI-DSS规定。携程将进一步严格按照PCI-DSS的监管要求执行。

93通电话与1个用户

 

当然关于PCI的讨论并不是当务之急，也有获得PCI资质也同样出事的反例。对于普通用户而言，最核心的问题是：我究竟安不安全？

详细信息披露的缺乏，让规模庞大的携程用户群体惴惴不安。官方的说法是：“经携程排查，仅漏洞发现人做了测试下载，内容含有极少量加密卡号信息，共涉及93名存在潜在风险的携程用户”。携程将在23日逐个通知这93名用户，没有接到电话则表明“是安全的，无需担心”。

93这个规模，相对于携程只能算是极少数。一位22日在携程平台有过交易的用户对新浪科技表示，并没有收到来自携程方面的电话通知。然而和另几位近期有过携程交易的用户一样，他们都对个人信息的安全表达了深度的担忧，对携程的信任感也降至最低。

实际上，在新浪科技取得联系的携程用户中，大部分人已经采取了换卡的处理方式。

好消息是截至目前，还没有公开的信息显示有携程用户因为这一漏洞遭遇损失。而不好的消息是，携程信息泄露的情况，或许在更早之前已经造成伤害。

广西易搜科技CEO严茂军就是一个案例。按照这位携程钻石卡会员的描述，今年2月25日一早，他的手机相继出现多条信用卡消费的短信提示，有的以美元结算、有的以英镑结算、有的以欧元结算，这几笔扣款合计金额不到人民币两万元。

几番追究之后，严茂军把怀疑对象锁定在携程身上，据他的描述只有和携程账号绑定的三张信用卡，在2月25日那天出现了十几笔盗刷外币的事件，而其另外的三张信用卡则相安无事。不过严茂军所提出的质疑，没有其他更为严密的证据能够证明，也很难让携程就此承认。

“我是这几家银行白金客户，拥有72小时赔付，如果不是我的责任被盗刷，我无须自己支付，由白金保险承担”，在与新浪科技沟通时严茂军说携程的安全漏洞或许成为银行的借口，他担心一旦出现问题会有很多非白金的用户需要自行承担损失。

一位银行业内人士也对新浪科技表示，出现盗刷其实很难追究责任。

(责任编辑：安博涛)