3月22日晚，乌云漏洞平台发布“携程系统存技术漏洞，黑客可从中获取用户信息”的消息，此后余波一直震荡不断。携程网连发3个声明，并于23日回复深晚记者称，漏洞已修复，用户信息未受影响，若有损失，将全额赔偿（详见3月24日深圳晚报A08版）。尽管如此，但开通网上付款渠道的市民还是心存疑惑：我手中的信用卡真的安全么？深晚记者经数日跟进及关注后发现，真正存在的问题，并不像携程网所回应的那么简单。

CVV、PCI DSS、美国标准与银联标准等晦涩的专业术语让普通人摸不着头脑。而漏洞到底是什么？获取CVV码的途径是否违规？漏洞背后隐藏的是否是管理事故？若信用卡被盗刷该如何赔偿？深晚记者对此进行采访和整理，以期解开部分疑团。

问题1

携程为何保存个人信息？

在信用卡背面签名区，有一组3位数字位于卡号之后，这就是CVV码。它非常重要，因为一般进入支付金额这一流程，用户被要求输入身份证号、持卡人姓名、信用卡卡号、信用卡卡背面上三位安全码，交易就宣告成功，根本无需输入信用卡密码。所以，它的作用与风险可想而知。

携程官方连发声明回应，大意指漏洞是携程的技术开发人员为排查系统疑问，留下了临时日志，因疏忽未及时删除。目前，这些信息已被全部删除，至于是否保存这些关键信息时，携程并无否认，并承诺整改。携程保存了CVV码，不幸的是又泄露了。在为何保存的问题上，携程没有回应。“暂且不说漏洞本身，但是最起码的安全意识却没有。”“这样就算完事了？”不少网友疑问很大。

问题2

是安全漏洞还是违规操作 还是管理事故？

针对“系统漏洞”，携程回复深晚记者表示，“两小时内修复了这个漏洞。”

是否属“排查疑问”，很多网友都存疑。在网络问答社区“知乎”上，网友@王冠吐槽：“2年前，我在香港转机需要住一天，打电话给携程订酒店。到了支付环节，携程说需要我的信用卡做担保，话务员用中文问我信用卡号、有效期、CVV码以及身份证号！要我把号码念出来，她再大声的重复一遍以校验。我当时就崩溃了，这号码是随便说的吗？有信用卡号、有效期、CVV码这三个东西，网上就可以随便刷我卡了。一年后再次致电携程，变成了键盘输入，随后就听到话务员的甜美声音说，您刚才输入的CVV是×××没错吧？”

该网友投诉：“客服经理一个劲地跟我赌咒发誓保证他们的话务员经过良好培训，不会盗用我的卡片信息。携程岂止是存储CVV，简直没有对这些可以给客户造成重大损失的信息有丝毫重视。”

携程订票属于线上无卡交易，客户选择在网页或客户端自己填写信用卡信息或通过人工客服报送信用卡信息都存在可能泄露信息的环节。在输入过程中，所有信用卡的完整交易信息公开透明，都可能被工作人员知晓并记录。假如去银行取款，银行绝对不可能允许工作人员直接问客户密码而代为输入。因此，携程需要有相应的规则来禁止，并用严格措施禁止客服人员通过客户口头告知交易所需信用卡信息，携程的系统更不应该存储上述信息。这一措施，是否向公众声明过？还是仅仅以携程的官方解释“技术开发人员为了排查系统疑问，留下了临时日志，因疏忽未及时删除”为由一笔带过？

问题3

携程所为真符合国际惯例？

携程有没有通过PCI-DSS认证？

携程表示：“针对媒体关心的CVV问题，我们将不再保存客户的CVV信息。以前保存的那些CVV信息，正在予以删除。”

携程漏洞事件把之前完全冷门的PCI-DSS标准推进了公众视野。PCI-DSS是第三方支付行业数据安全标准，由VISA与MasterCard牵头制定。凡是要做第三方支付业务，想在美国上市，必须要过这个标准。携程曾表示：“做法符合PCI-DSS规定，一直按照国际信用卡支付安全标准要求加密保存信用卡信息。”

关键在于，携程在美国纳斯达克上市，到底有没有通过这一认证？记者多方查询，并询问相关领域专家，有人表示携程既然在美国上市，肯定通过了这一认证；但大多数人表示，携程根本没有通过，但对于PCI-DSS规范应该是熟悉的。

携程说自己“符合国际惯例”，但在PCI-DSS快速指南中，有专门一个表格介绍了可存储和不能存储的信息、在可存储信息中是不是必须加密。其中CVV/CVV2和持卡人PIN是不能存储的。“在美国，PCI-DSS明令禁止储存CVV 码，无论是谁都不行，如果揪出一个，基本上就跟在线信用卡支付说再见了。保存CVV码，无论在世界上任何一个地方，都是巨大的丑闻，违规就是违规。”知情人士透露。央行也明文规定，不得以任何形式存储银行卡的敏感信息。

问题4

携程的赔偿机制可靠吗？

在携程的声明中，确认共93人账户存安全风险，并已通知相关用户更换信用卡，未来如果因安全漏洞引起用户损失，携程将承担全部责任并给予赔付。不少网友对此表示不满，认为只是避重就轻，对违规记录CVV的原因没有一个明确的说法，处理方式难以接受。

尽管携程表示，用户如果因携程漏洞而造成损失，携程将全部负责。但不少用户的担心，若过一段时间信用卡被盗刷，又无法举证盗刷是否与携程漏洞有关，那损失谁来赔？因此，携程网这次做出赔付的承诺并不可靠。“如果有人把泄露的信息保存，过一段时间再刷，怎么证明跟携程有关系？甚至连怎么证明盗刷都有难度。让用户自己举证，无异于推卸责任。”广发银行客户经理王静表示。

问题5

大数据时代

谁来保护网上支付安全

携程不是第一家泄露信用卡信息的网站，可能也不会是最后一家。不可否认，此事带来了极大的信任危机。近几年来，“隐私资料泄露”事件不断发生，我们不禁要问，越来越多的企业记录用户的隐私信息、银行卡信息等，企业如何妥善保管、严密自查？携程网存储支付卡敏感账户信息违反银联《银联卡收单机构账户信息安全管理标准》及央行《银行卡收单业务管理办法》，银联的管理标准既无法律效力，也无行政约束力。携程网是商户，并非第三方支付机构，央行同样也无法对其进行实质性处罚。

携程漏洞披露后，市民一致认为：“目前合理、快速且有效的方式是换卡”。不少市民也在问：对商家而言，即使外部找不到漏洞，那内部呢？就算内部有权限制度，由谁来监督？是否有公开的第三方审计监督？随着网购的日趋普及化，所有的行为还是基于消费者自律，而缺少相关的行业规范，以及违规处罚办法。

消费者可能认识到，“便捷”和“安全”总是一种矛盾，永远是不可能兼顾的。我们丝毫不怀疑在目前披露的现象之下，凡是具有在线支付行为的，我们的大部分账户信息、用户个人信息（家庭住址、工作单位、手机号码等）以及全部信用卡信息的数据库已经持有在少数人手中。在日趋完善的大数据分析之下，甚至会根据消费者的购物习惯、出行频率、消费方式等，判断出他的社会阶层、生活圈子等信息。一旦这些信息被怀有不良动机者获取，无异于将自己的隐私完全赤裸。为了自己的资金安全，在线支付时，有时也宁愿麻烦一点。

（为保护受访者隐私，本文部分受访者为化名）