携程泄露门事件发酵：删除非法存储的CVV码

携程泄露门事件持续发酵，携程违规存储CVV码的事实也浮出水面，CVV码是银行卡的“第二密码”，一旦泄露，盗刷风险激增。记者昨日从携程方面获悉，将在交易完成后删除客户的CVV信息，不再保存。以前保存的CVV信息正在予以删除。未来一旦确认因携程漏洞引起用户损失，携程愿承担全责赔偿。

据业内人士介绍，信用卡信息主要包含卡号、有效期、CVV码等，其中打印在卡片签名区的3位CVV码又被称作“第二密码”，即只要提供正确的CVV码，就能完成支付环节。

只要获得了用户的姓名、身份证号、信用卡号、CVV码等信息，完全可以凭借这些信息再复制一张信用卡。在携程初次消费使用时需提供信用卡卡种、卡号、有效期、CVV码（即信用卡验证码）等一系列完整信息，然后提交支付。但第二次在携程网使用这张信用卡时，只需提供卡号后四位，携程网就会完成这次支付操作。

记者了解发现，CVV码在美国是可以被保留的，如亚马逊等知名公司要求信用卡支付时必须留有CVV码。但是国内却有与之相反的规定，根据2013年7月中国人民银行颁发的《银行卡收单业务管理办法》第二十八条规定，交易平台运营商不得以任何形式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息。因此，携程的日志中存储的信息已经超过了国家标准的允许范围。

对此，携程方面承认了非法存储CVV码一事。其补救措施是“我们将在交易完成后删除客户的CVV信息，不再保存。以前保存的那些CVV信息，正在予以删除”。另外，客户信用卡信息的传输和保存始终处于加密状态，任何未经授权的人员都无法取得这些资料。

携程表示，“我们已建立了信用卡安全服务小组，将协助客户与银行沟通。未来如果因携程安全漏洞引起用户损失，携程将承担全部责任并给予赔付。”