携程网为什么要保留用户的信用卡信息？

我先简单回答下，目前爆出来的是因为在某服务器上开启了调试功能，导致卡号和CVV2错误的记录在日志当中，我认为是可信的。

导致该事件的发生，可能是由于携程日常管理出现了漏洞，例如没有对相关人员进行培训、变更审批流于形式等等。

另外根据目前的消息，携程也没有进行PCI-DSS和ADSS相关合规认证。

为什么要存储CVV2？按照要求除非业务必要信用卡的CVV2和磁条信息、Pin数据块在授权完成之后不允许被存储，因此可以这么理解：

1. 在授权完成完成之前短时间存储是可以接收的，不过在授权完成之后要立即安全清除；

2. 业务必要目前仅限于用于发卡用途的CVV2和其他敏感信息存储。

关于不允许存储CVV2和其他敏感信息的要求可以参考PCI DSS 3.0要求3.2，节选如下：

3.2 授权之后，不要存储敏感验证数据 (即使已加密)。如果收到敏感验证数据，在完成验证流程后使所有数据不可恢复。

• 有正当的业务理由且

• 数据存储安全。

商户为什么要存储卡号和有效期？

1. 业务确实必须，例如需要清算、结算、争议处理等；

2. 用户体验需要，例如二次购买快速结账。

额外说明下，只有卡号和有效期就可以完成交易的，至于网站需要CVV2的原因是进一步验证用户，因为卡号和有效期更容易泄漏。