近年来,频频发生的信用卡信息泄露事件让以便捷著称的网络支付深陷危机,多名消费者质疑携程旅行网(以下简称“携程网”)等电商网站涉嫌储存用户信用卡敏感信息,为日后的用卡安全埋下隐患。
携程被指储存信用卡敏感信息 存在泄露风险
日前,多名消费者反映,称在携程网购买产品时,只需进行简单的信息核对即可完成交易。消费者张先生称,自己持信用卡首次在携程网消费时,需提供信用卡卡种、卡号、有效期、CVV2码(即信用卡验证码)等一系列完整信息,然后提交支付。“然而当我第二次在携程网使用这张信用卡时,只需提供卡号后四位及CVV2码,携程网就会完成这次支付操作。如果当初(携程网)没有在系统中储存信息,它又是如何完成支付的呢?”张先生表示,如此“便捷”的操作让他对自己的信用卡安全倍感担忧,“只要知道这张信用卡卡号和CVV2码的人,就可以用它来消费,根本不需要任何动态或者其他形式的密码,我的资金安全该由谁来保障呢?”
还有消费者称,携程网的人工客服会向用户直接索要信用卡有效期、CVV2码等敏感信息。中国网财经中心记者以电话购买机票为由,拨通了携程网客服电话,在支付环节,记者按语音要求输入信用卡卡号后,客服人员口头询问记者该信用卡的有效期及CVV2码,当记者提出上述敏感信息不方便透露时,客服人员表示“如不提供,就不能完成预定”,并强调携程网不会储存信用卡卡号信息。此外,记者在检索相关信息时发现,不少消费者遭遇过信用卡被盗刷的事件,金额从2万元至500万元不等。
银联明文禁存信用卡信息 携程称系国际惯例
据业内人士介绍,信用卡信息主要包含卡号、有效期、CVV2码等,其中打印在卡片签名区的3位CVV2码又被称作“第二密码”,掌握着该卡的交易授权,即只要提供正确的CVV2码,就能完成支付环节。记者在中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》中看到如下表述:各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。
携程网华北区公关负责人在记者采访时表示,携程网采用的信用卡支付方式符合国际惯例,“在多年前我们已经得到万事达、VISA等卡组织的认证,由此可见,这些国际金融机构对携程网的的风险控制能力和安全保密能力是持认可态度的,否则他们也不会授权给我们。”
当记者追问携程网客服人员口头索要信用卡有效期、CVV2码等敏感信息,如何保障内部员工不泄露时,这名负责人称此举也系国际通用做法,“公司既然使用这种方式,肯定对风险有足够的把控能力。”而对于记者提出的“携程网是否违反银联规定,在后台保存了用户信用卡相关信息”时,对方未予明确回答。
该负责人强调,携程网从未出现过信用卡盗刷案件,“因为我们主推的是旅游产品,预定时需要消费者提供身份证号码等个人信息,因此一旦盗刷,也能很快查出(嫌疑人)。”但有消费者向记者反映,盗卡人常常在网络论坛以售卖低价机票的方式,利用买家提供的身份证信息去完成消费,“即使警方查出机票实际使用人,人家也是被骗的受害者,如何追究责任呢?”