去哪儿网：早已通过支付卡产业数据安全标准

　　中新网3月24日电 3月22日晚，乌云(WooYun)漏洞平台披露：携程旅行网支付日志存在严重漏洞，用户银行卡信息可被黑客读取，其中包含持卡人姓名身份证、银行卡号、卡CVV码等等。

　　那么，从专业角度来讲，携程到底犯了什么错？

　　据悉，这个事件最早被曝光是在乌云平台上的一个漏洞概述：由于携程用于处理用户支付的安全支付服务器接口存在调试功能，将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意人读取。

　　携程官方给出的评论是说在调试过程中间，有两小时左右用户的支付信息是被明文保存在服务器上的，其中最严重的是信用卡信息泄露，包括但不限于持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等。比较幸运的是，这些数据没有被保存在任何数据库里面，只是存在日志中间，看起来很像是一场意外，比起一些直接保存私密信息进数据库的行为，这个从责任上看是疏忽，不算是恶劣行径。

　　这就好比你在我的店里消费，刷卡， 我拿去刷POS机的时候，把你的卡号和密码记在了一张纸上，如果我把它锁到一个保险箱里，我也不盗你的卡，你我都会相安无事，但是很不幸有一天保险箱被人撬开了，你的卡被盗刷了， 这下麻烦就来了。 携程很不幸就中了这个奖， 虽然作为一个上市公司，这个是开发人员的疏忽，不应该影响整个网站的安全信誉，相信携程也一定会重视和警惕此类事件。然而这个事件带来的问题是，到底有多少网站有潜在泄露我们隐私的风险？有哪些网站在明文传输和保存我们的私密信息？

　　有专家认为，国内的安全意识还处在上个世纪的水平， 直到去年安全行业火了一把后，大家才开始注重网络安全。很多用户在上网的时候，并不会较真一些网站的声明，而采取了默认的信任。 而在国外，只要涉及敏感用户隐私的网站，都需要一个非常复杂的声明，声称绝对不会存储不该存储的信息，也不会向用户询问隐私信息(反诈骗提醒)。

　　用支付卡产业数据安全标准 抵挡风险

　　在国外，身份窃取或者是信用卡诈骗都是联邦重罪， 为了预防和打击可能的犯罪，信用卡公司和金融机构每年投入大量的经费，联合治理网络支付安全。其中最著名的是 PCI-DSS， 意预防信息泄漏。

　　什么是PCI-DSS呢？ 携程的这个接口属于站内支付，在国际上有一个标准是用来管理支付网站安全的，简称是PCI compliance， PCI就是 Payment Card Industry， DSS就是data storage security——数据安全，PCI这个标准要求非常高，是需要时事更新的。提供PCI验证服务的公司通常会多方面地地毯式扫描，会找出各类漏洞， 还要你在申请的时候严格申明不能保存不该存的信息，以及不可以不使用 SSL 加密数据传输(避免数据嗅探)。

　　据悉，“PCI DSS”是目前国内安全支付产业的最高标准，能通过绝非易事；而且每3个月都需要更新一次。

　　据安全审核机构atsec中国总经理刘岩介绍：“PCI DSS”，中文全称为支付卡产业数据安全标准。它是由PCI安全标准委员会的创始成员(visa、mastercard、American Express、Discover Financial Services、JCB五大国际卡组织)制定并维护的一套保护持卡人数据的技术和操作的基本安全要求措施。通过审核并持续维护PCI DSS标准的合规，可以有效降低网站发生数据泄露的风险，保护支付数据的存储和传输安全。

　　值得注意的是，因为PCI标准的审核非常严格，且会落实到具体的技术实现细节，目前在国内，只有为数不多的企业通过了该项标准的合规评估和验证，而去哪儿网为目前国内唯一一家通过该认证的旅游预订平台。

　　同类领先企业去哪儿网(www.Qunar.com)接受记者采访表示：去哪儿网早已通过支付卡产业数据安全标准 。

　　作为早已通过pci认证的通过方，去哪儿网CTO吴永强表示：“去哪儿网早在2012年12月就已顺利通过PCI认证，表明去哪儿网的系统在安全管理、网络系统结构、软件设计等方面，能够全面保障用户的交易安全。业内对于PCI认证的权威性都是一致认同的，但由于它对消费者隐私信息加以保护的过程，消费者大多无法感知，而合规认证本身又极为严苛，所以从成本上和技术实力上的考虑，不少公司都不愿在此项目上做过多投入。”

　　吴永强强调，我们一直在此项目上加大技术和资金投入。事实上，去哪儿网从2011年便推出了‘担保通’保障体系，全方位地保障消费者的消费安全，而PCI合规作为这个保障体系中重要的一环，是值得去哪儿网花费大量人力、物力做投入的。”