携程用户信息漏洞门追踪 不再保留用户CVV记录

　　从上周六开始“发酵”的携程用户信息“漏洞门”于昨日告一段落。携程表示，将对支付流程进行整改，取消对用户信用卡CVV信息的询问和登记，不再保留任何用户的CVV记录。

　　CVV码是由卡号、有效期和服务约束代码生成3位或4位数字。目前很多网站采用无需提供密码的信用卡“离线交易”，即仅凭卡号、CVV码就可完成支付。

　　取消CVV信息登记

　　据了解，携程的整改包括，公司客服将取消对用户信用卡CVV信息的询问和登记。同时，严格遵守相关政府主管部门规定，不再保留任何用户的CVV记录。在优化和完善用户支付流程的同时，携程会邀请国内最顶尖的网络系统安全专家来携程“坐堂”，定期“会诊”携程的支付系统以升级加密措施。

　　此外，携程还表示，已启动PCI(国际支付卡行业数据安全标准)认证和银联认证程序，以期更符合国内外安全规范。

　　上述整改来自于上周六爆发的携程“漏洞门”。3月22日，乌云漏洞平台发布报告称，携程系统存技术漏洞，黑客可从中获取用户个人信息、银行卡号、CVV等信息。

　　随后，携程回应，已进行安全排查和漏洞修复，存在潜在风险的用户共93人，客服部门已经进行通知和协助换卡并赔偿。这一事件引发携程股价周一跌3.44%，收于每股47.79美元。

　　国内网站保留CVV信息现象普遍

　　但是，漏洞门并未因93人的范围确定而结束，而是引发了广大用户对携程支付流程、安全性以及技术水平的质疑。网友的疑问主要集中在“为什么要存CVV”。

　　此前，携程表示，按照相关银行的支付规定，部分银行用户交易时，需提交CVV信息。在交易完成后，会立即删除。未扣款成功的交易，也将在7天内删除CVV信息。携程称，这样的做法符合国际普遍认可的PCI-DSS(第三方支付行业数据安全标准)规定。

　　据记者了解，不仅携程，国内许多需要支付过程的网站都会临时保存用户CVV等支付信息。

　　另外，记者24日接到爆料并核实到，北京汉唐科讯环保科技公司发布内部邮件，要求公司人员停用携程进行出差预订。携程相关负责人昨日对新京报记者表示，经查，该公司并不是携程的商旅客户，可能是散客进行的预订。