携程网为什么要保留用户的信用卡信息?
我先简单回答下,目前爆出来的是因为在某服务器上开启了调试功能,导致卡号和CVV2错误的记录在日志当中,我认为是可信的。
导致该事件的发生,可能是由于携程日常管理出现了漏洞,例如没有对相关人员进行培训、变更审批流于形式等等。
另外根据目前的消息,携程也没有进行PCI-DSS和ADSS相关合规认证。
为什么要存储CVV2?按照要求除非业务必要信用卡的CVV2和磁条信息、Pin数据块在授权完成之后不允许被存储,因此可以这么理解:
1. 在授权完成完成之前短时间存储是可以接收的,不过在授权完成之后要立即安全清除;
2. 业务必要目前仅限于用于发卡用途的CVV2和其他敏感信息存储。
关于不允许存储CVV2和其他敏感信息的要求可以参考PCI DSS 3.0要求3.2,节选如下:
3.2 授权之后,不要存储敏感验证数据 (即使已加密)。如果收到敏感验证数据,在完成验证流程后使所有数据不可恢复。
在下列情况下,允许发卡机构和支持发卡服务的公司存储敏感验证数据:
• 有正当的业务理由且
• 数据存储安全。
商户为什么要存储卡号和有效期?
1. 业务确实必须,例如需要清算、结算、争议处理等;
2. 用户体验需要,例如二次购买快速结账。
额外说明下,只有卡号和有效期就可以完成交易的,至于网站需要CVV2的原因是进一步验证用户,因为卡号和有效期更容易泄漏。
本站所有文章、数据、图片均来自互联网,一切版权均归源网站或源作者所有。
如果侵犯了你的权益请来信告知我们删除。邮箱:dacesmiling@qq.com