据业内人士介绍,信用卡信息主要包含卡号、有效期、CVV码等,其中打印在卡片签名区的3位CVV码又被称作“第二密码”,即只要提供正确的CVV码,就能完成支付环节。
只要获得了用户的姓名、身份证号、信用卡号、CVV码等信息,完全可以凭借这些信息再复制一张信用卡。在携程初次消费使用时需提供信用卡卡种、卡号、有效期、CVV码(即信用卡验证码)等一系列完整信息,然后提交支付。但第二次在携程网使用这张信用卡时,只需提供卡号后四位,携程网就会完成这次支付操作。
记者了解发现,CVV码在美国是可以被保留的,如亚马逊等知名公司要求信用卡支付时必须留有CVV码。但是国内却有与之相反的规定,根据2013年7月中国人民银行颁发的《银行卡收单业务管理办法》第二十八条规定,交易平台运营商不得以任何形式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息。因此,携程的日志中存储的信息已经超过了国家标准的允许范围。
对此,携程方面承认了非法存储CVV码一事。其补救措施是“我们将在交易完成后删除客户的CVV信息,不再保存。以前保存的那些CVV信息,正在予以删除”。另外,客户信用卡信息的传输和保存始终处于加密状态,任何未经授权的人员都无法取得这些资料。
携程表示,“我们已建立了信用卡安全服务小组,将协助客户与银行沟通。未来如果因携程安全漏洞引起用户损失,携程将承担全部责任并给予赔付。”
