&第02版 焦点透视
第01版 : 特别报道第02版 : 焦点透视第03版 : 拍案惊奇第04版 : 新年音乐会第05版 : 有困难找晚报第06版 : 城市表情第07版 : 街坊邻里第08版 : 经济脉动第09版 : 金融理财第10版 : 年度人物评选第11版 : 年度人物评选第12版 : 健康真好第13版 : 健康真好第14版 : 健康真好第15版 : 健康真好第16版 : 生活资讯第17版 : 政务第18版 : 枝江新闻第19版 : 福彩天地第20版 : 文体星闻第21版 : 时事扫描第22版 : 神州聚焦第封二版 : 峡江评论第封一版 : 封面
?信用卡“CVV码”你不知道的秘
卡未离身，密码未泄露，险被刷走2000余美元……
信用卡“CVV码”你不知道的秘密
&&&&三峡晚报讯&记者杨自林&&&&15日深夜，城区市民董先生的手机短信提示，他的一张信用卡在几分钟前交易2162.95美元。银行发现异常后，立即给董先生打电话，在确认异常后，终止交易并暂时冻结了信用卡。原来，董先生当晚在城区参加了朋友的一场直销活动，并将信用卡交给组织方，组织方曾记下卡号以及卡背部签名栏处的3位数字“CVV码”。&&&&记者从银行方面获悉，董先生可能遭遇他人利用“CVV码”离线支付功能盗刷信用卡的骗局。骗子获取了消费者的信用卡号、有效期及CVV码后，可以瞬间进行盗刷，给消费者造成损失。参加直销活动险被盗刷信用卡&&&&15日当天，经不住朋友的软磨硬泡，董先生前往朋友的店铺参加直销活动。到场一看，来了20多人。组织方在晚上7点多开始推销来自美国的一款高端产品，包括保健品和化妆品等。&&&&组织方针对产品讲述了近3个小时，反复强调产品不但能包治百病、延年益寿，还能发家致富等。另外，收取一定的入会费，每发展一名下线，还能提供600美金。听到这里，董先生明白了十之八九，但碍于朋友的面子，硬着头皮听完了。&&&&讲座完毕，组织方提出要看看大家的信用卡。董先生拿出信用卡，对方正反两面看了几眼后，将其交还给董先生。直到晚上11点多，董先生才回到家中。&&&&晚11点41分，董先生收到一条手机短信提示，称他的信用卡在进行交易时，由于可用余额不足失败，交易金额为2162.95美元。“是不是被诈骗团伙盯上了？”董先生紧张得从床上弹了起来。&&&&紧接着，信用卡所在银行客服打来电话，在确认董先生本人没在国外进行消费时，终止了这笔交易，并暂时冻结了他的信用卡。卡不离身“CVV码”“惹祸”&&&&事情还没有完。次日和第三日，董先生收到两次用美元支付的短信提示。幸运的是，消费都没有成功。&&&&董先生次日前往信用卡开办银行咨询，结果让他大吃一惊，原来是别人记住了他的信用卡号和卡背部的3位“CVV码”，在尝试刷卡交易。&&&&董先生找到组织活动的朋友。对方承认，刷卡消费的确是他们所为，原来，他们打算用董先生的卡购买之前推销的那款美国高端产品，因为自认为跟董先生很熟，所以就没有事先告知他。得知了事情原委，加上也没有交易成功，董先生没有再追究下去。&&&&记住信用卡号和背部的3位“CVV码”，就能不用密码交易吗？对此，开卡行一工作人员介绍，信用卡背后3位数字叫“CVV码”，也叫第二支付密码，十分重要。它由19位主账号、4位卡有效期和3位服务约束代码，经过发卡银行的编码规则和加密算法生成。平时，市民只知道信用卡可以“过卡支付”，即在POS机上刷信用卡，然后输入密码，并由持卡人签字确认，所绑定手机上同时会收到消费提醒短信。殊不知，信用卡还有另外一种支付方式――“离线支付”。只要知道信用卡卡号和卡背面3位“CVV码”就可支付，而一般人很少知道这种离线支付方式，导致不少人根本没注意“CVV码”。&&&&目前，银行暂停了董先生的这张信用卡，称董先生只需将卡内消费欠款结清后，立即将这张卡注销，再换新的信用卡。银行：网络支付最好别绑定信用卡&&&&记者了解到，早在2011年1月中国银行业监督管理委员会发布的《商业银行信用卡业务监督管理办法》中，就有“发卡银行通过自助渠道提供信用卡查询和支付服务必须校验密码或信用卡校验码”的规定，明确把“CVV码”和信用卡密码放在同等重要地位。“目前，在国内网上购物使用‘姓名+卡号+有效期+CVV码’方式正在兴起，所以市民一定要注意保护自己的CVV码，有必要时就遮挡起来。”银行工作人员说。这名工作人员介绍，目前在我国一些酒店、航空公司销售中心、网络购物等平台，只要提供信用卡账号及“CVV码”，无需输入密码即可完成离线交易。&&&&如何保护信用卡安全？银行人士提醒，持卡人不要轻易将卡交给别人使用、查看，以免信息被不法分子记录后，进行离线交易。在领到信用卡后，最好剪一块胶布将后三码盖住，或将这3位验证码抹去，防止信息外泄。若吃饭购物刷卡，千万不要嫌麻烦将信用卡交给店员拿去结账，防止别有用心者借机取得信用卡上的相关信息；在网上购物时，一定要在正规网站上交易。在需要网络支付时，最好不要关联信用卡，而是使用普通借记卡，因为借记卡一定要使用密码才能支付，这样就能有效避免被盗刷。&&&&此外，还可以设置网银单笔消费额度或者上限；开通短信或者微信提醒等方式以降低用卡风险；一旦卡片被盗刷，持卡人应第一时间挂失、冻结账户并更换卡片。欢迎来到网易视频！
秒后为您自动播放下一视频""
来源：央视新闻时间： 18:59:03
跟贴热词：
文明上网，登录发贴
网友评论仅供其表达个人看法，并不表明网易立场。
--------------------
网易公司版权所有您的位置：
广东分社新闻热线 日: 夜:
携程漏洞门涉嫌违规难追责
专家认为，携程存储用户敏感信息CVV码的行为，违背了银联的相关规定，但携程应承担何种责任却不明确，后续处罚也难以跟进。
“乌云”压“程”，“程”欲摧
近日，国内漏洞研究机构乌云平台曝光称，携程旅行网(以下简称“携程”)存在信息安全漏洞，可能导致其信用卡用户的身份证、卡号、CVV码等多项个人隐私信息的泄露，一时间引发众多用户对携程安全体系的强烈质疑。
据了解，所谓CVV码，即Card Verification Value，是印在信用卡上的一组验证码，通常是由卡号、有效期和服务约束代码生成的3位或4位数字。
“CVV码是作为网络无卡交易时的一种验证码，一旦泄露出去将给持卡人带来很大的安全风险。”信用卡门户网站我爱卡网增值业务部总监董峥告诉法治周末记者。
携程华北区公共事务部工作人员闫鑫在接受法治周末记者采访时表示，携程将在交易完成后删除客户的CVV信息，不再保存。以前保存的那些CVV信息，正在予以删除。
携程此前也发布公告称：“我们将会按照监管部门的要求，尽快优化完善用户的支付流程，排查所有可能存在漏洞，邀请国内知名网络安全专家对携程系统进行会诊。同时，我们已经启动了CFCA和PCI的认证程序，以期更好地符合监管要求。”
不过，携程CVV码安全漏洞事件所带来的魔咒似乎并没有因此得以完全解开，一系列相关的质疑仍在不断涌现——携程为何要存储用户的CVV码？这一做法是否合规？CVV码一旦泄露将给用户带来哪些损失？
携程为何存储用户CVV码
关于携程安全漏洞的报告，由网友猪猪侠发布在乌云平台上。
该报告指出，携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。
同时因为保存支付日志的服务器未做严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意黑客读取。
这些信息包括用户的持卡人姓名、持卡人身份证、所持银行卡类别(如招商银行信用卡等)、所持银行卡卡号、所持银行卡CVV码、所持银行卡6位Bin(用于验证支付信息的6位数字)。
猪猪侠在微博回复法治周末记者采访时表示，目前其个人并不方便对该事件进行评论。
携程发布公告称，携程在发现问题后立即展开技术排查，并在两小时内修复漏洞。
携程在公告中表示，经携程排查，仅漏洞发现人做了测试下载，内容含有极少量加密卡号信息，共涉及93名存在潜在风险的携程用户。
在这个安全漏洞被曝光的同时，携程保存用户CVV码等重要个人信息的行为也渐渐浮出水面。
闫鑫告诉法治周末记者，这些问题是由于携程工作人员的疏忽所致，并且是该员工的个人行为，安全日志未及时删除，所以后来才被乌云上的猪猪侠发现了这个漏洞。
“从安全角度来讲，CVV码是没有必要去储存的，商家也不应该储存。”董峥告诉法治周末记者。
既然如此，携程为什么要存储用户的CVV码呢？
闫鑫告诉法治周末记者，CVV码其实就像银行密码一样，主要是公司(即携程)在和银行进行对接的时候需要用到它，如果没有CVV码就无法同银行进行支付业务。
“作为旅游行业的公司，往往会在预订机票或者酒店的时候出现一个缓冲期，其间公司会和银行以及供应商去确认房间与机票是否真正已经预定上，在这个过程中就会存在信息缓存的现象。”闫鑫表示。
此前一位携程的工作人员也曾公开表示，以预定机票和酒店为代表的旅游产品，其价格会随着库存、预订时间实时变化。对于在线旅游网站而言，将用户的姓名、身份证、信用卡号、CVV码等储存起来，预订反应机制会更加灵活，能优化消费者体验。
携程该工作人员称，这或许是行业的一种潜规则。
董峥告诉法治周末记者，这就属于无卡交易，用户将用于支付的信用卡卡号、发卡日期、有效期、CVV码等告知对方公司后，对方会在之后的消费过程中提示消费者继续使用留有相关信息的那张信用卡。
“消费者确认该信用卡支付后，系统就会转向那张卡和它已经存储下来的CVV码，如此就启动了无卡支付流程。”董峥表示，“目前国家对于无卡交易的商户限定非常严格，无卡交易权很难拿到。”
近日也有消息曝出，早在2009年以前，携程的服务器并不留存用户CVV码，用户每次购买机票或者预订酒店都需要输入CVV码；但2009年，携程CEO范敏为了简化操作流程和优化客户体验，最终决定在携程服务器上留存CVV码。
不过这一说法目前尚未得到携程方面的确认。
闫鑫告诉法治周末记者，携程以后一定会严格按照国家以及相关机构的规定，在客人支付完成后，立即将CVV等信息删除。
专家称携程违规
中央财经大学中国银行业研究中心主任郭田勇在接受法治周末记者采访时表示，依照相关规定，携程存储用户CVV码的行为应属违规。
银联2008年出台的《银联卡收单机构账户信息安全管理标准》中规定，银行卡受理终端仅限于保存当前交易批次内用于交易清分(清算的数据准备阶段，主要是将当日的全部网络交易数据进行汇总、整理、分类)所必需的基本信息要素，并在该批次结束后及时予以清除；各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。
记者同时也发现，目前针对上述违规情况，《银联卡收单机构账户信息安全管理标准》中尚未明确银行卡受理终端违规存储用户CVV码所要承担的相关责任。
“即便如此，相关部门仍可以根据具体情况酌情对违规者进行处罚。”郭田勇表示。
中国政法大学民商经济法学院教授吴景明坦言，有规定但是没有处罚细则，这样违规者也很难得到应有的制裁，所以经营者往往敢于违规操作，这也是当前存在的一个欠缺。
吴景明告诉法治周末记者，如果商家因违规给消费者造成损失，可以按照其他相关规定，如侵权责任法、消费者权益保护法等对其进行制裁。
对于携程保留客户信息是否将面临处罚的问题，闫鑫表示，目前还没有得到任何相关通知。
吴景明表示，新消法中也对信息泄露问题进行了明确规定，即商家对消费者的个人信息要进行严格的保密义务。保护个人信息已经成为现代社会尤其是网络时代一个非常重要的内容。
CVV码泄露的潜在风险
董峥告诉法治周末记者，Visa和MasterCard是国际上两大信用卡组织，CVV码是Visa的称谓，万事达则称作Card Validation Code，即CVC码。
“虽然称谓不同，但是它们的功能却是一样的。”董峥表示。
据董峥介绍，在正常情况下，信用卡到期换卡时卡号是不变的，CVV码则是变的，它是个随机号。而且这个随机号甚至连银行都不知道，不计入银行数据库，相当于一个随机验证码。
“在信用卡信息里，CVV码和卡片号都非常重要，很多消费者的信用卡被盗刷就是因为两个号码同时泄露出去了。”董峥告诉法治周末记者。
在游侠安全网创始人张百川看来，携程存储用户CVV码的行为，具有较大的安全风险。
“携程存储CVV码是出于自身方便的目的，但是它很难保证这些信息在其系统内的安全，而一旦这些数据泄露出去，必将给消费者造成较大的损失，这肯定是与安全相悖的。”张百川告诉法治周末记者。
对此，携程方面曾发布公告称，携程客服于3月23日已全数通知相关用户更换信用卡，并给予上述93名用户每人500元任我行礼品卡作为补偿；经各银行反馈，截至目前，没有发生携程用户信用卡被盗刷的情况。
“这93人并不是真正遇到了信息泄露的问题，只是他们的信息存在潜在的风险。”闫鑫告诉法治周末记者。
闫鑫同时也表示：“实际上这93人名单也是经过加密的，并不是任何人下载这个日志后就可以随便看到里面内容的，不过作为黑客确实有这样的技术能力。”
那么，如果将来出现因此次信息泄露导致的消费者损失的情况，携程又将如何处理？
对此，闫鑫表示：“如果将来出现了消费者因此次信息泄露导致的信用卡被盗刷的情况，携程肯定会在第一时间配合相关部门如公安机关等去积极调查这一问题。”
携程在公告中承诺，未来如果因安全漏洞引起用户损失，携程将承担全部责任并给予赔付。
闫鑫还告诉法治周末记者，携程现在已经及时修补了漏洞，目前所有用户的信用卡信息也都是安全的，大家不用急于去换卡，携程不想因此给消费者造成极大的恐慌，以后也会在安全方面继续加大投入。
携程刚启动PCI认证
在一些业内人士眼中，携程此次出现安全漏洞，与其一直未做PCI标准认证有着较大的关联。
国内首个提供PCI合规咨询与认证的机构——北京航天亿展科技有限公司(以下简称“航天亿展”)的一位相关负责人对法治周末记者表示，PCI是一套针对支付卡行业的国际安全认证标准，主要对持卡人数据在公网上传输、存储、处理进行安全认证，防止卡支付的数据泄露。
该负责人进一步表示，凡是业务中涉及到对持卡人数据的存储、传输和处理的公司，都建议做PCI认证。Visa和银行也会强制涉及到外卡业务的第三方支付公司通过PCI认证。
不过某旅游网站工作人员告诉法治周末记者，目前大多数电商都还没有通过PCI认证，但是也都是按照相应的规范去执行的。
“在线旅游网站中，去哪儿网已经通过了PCI认证，但是携程则没有。”张百川表示。
携程在曝出安全漏洞后也在其公告中称，已经启动了PCI认证程序，以期更好的符合监管要求。
那么，为何携程此前一直没有加入该项认证？
闫鑫告诉法治周末记者：“国家并未强制规定电商一定要加入这个认证才可以在网上进行支付，它只是一个商业性标准。”
不过有消息称，此前携程曾有意向接入该系统，但是公司工作人员去考察之后发现，携程系统要整改难度太大，业务种类多且交叉多，如果按照该系统接入而整改会使架构有所变化。
闫鑫表示，目前尚未获知这一情况。
据航天亿展相关负责人介绍，企业要申请通过此认证，并没有具体的资质要求，只要是有完善的网络系统就可以在专业的PCI合规咨询及认证机构的指导下，完成差距分析和整改工作，并最终获得PCI认证。
不过该负责人告诉法治周末记者，PCI标准有6大项目，下属12个中型项目，再细分为242个小型项目，终端细分为399个流程测试项，整个PCI标准基本就围绕这些项目进行的，需要逐项对所需验证的系统环境进行评估整改，直到满足要求为止。
中国电子商务协会政策法律委员会副主任阿拉木斯告诉法治周末记者，电子商务领域发展较快，变化也较大，一般的鼓励性、参照性、指引性的安全标准比较多。
“针对当前信息安全问题多发的现状，以后在制定强制性标准以及相关法律的建设方面，还需要进一步加强力度。”阿拉木斯表示，“规范需要和法律法规相结合，不履行标准该承担怎样的法律责任，这也需要有相应的规定。”
不过阿拉木斯也坦言，相对来说，系统很难达到绝对安全，它是一个动态的过程，就像操作系统一样，总会不断有漏洞出现，需要不断去打补丁修复，而这种动态性也是当前修法和立法所面临的一个困境。法治周末 记者 蔡长春
即中国金融认证中心(China Financial Certification Authority)，是经中国人民银行和国家信息安全管理机构批准成立的国家级权威的安全认证机构，是重要的国家金融信息安全基础设施之一。
即支付卡行业数据安全标准(Payment Card Industry Data Security Standard)。Visa、MasterCard、American Express、Discover Financial Services、JCB这全球五大国际卡组织在2006年一起创办了PCI安全标准委员会，并制定了这套保护持卡人数据的技术和操作的基本安全要求措施。
图片新闻　　　 |
　新华智库
　新华视角
新华社记者看广东
地点:广东广州增城康威体育运动场›› 你现在的位置:
保险公司开微信支付投保 覆盖国内主流信用卡
编辑：王永news
　　记者昨日从人保财险和平安财险获悉，两家公司已相继完成了官方微信平台的升级，客户通过微信平台即可完成保费支付流程，这是国内首批开通微信支付投保的两家保险公司。
　　据了解，人保财险微信平台接入的是快钱公司的信用卡无卡支付系统，支持人保财险旗下的车险、旅游险微信投保及支付。支付系统覆盖国内所有主流信用卡，客户登录人保财险官方微信平台选购保险及进行续保后，只需要输入卡号、有效期、信用卡CVV2码等信息即可直接完成支付流程，帮助人保财险在微信投保中实现了销售和支付环节的无缝对接。
　　平安财险则是借助其公众账号，与手机银行支付系统相连接，通过手机即可完成在线支付。支持的险种则包括车险、意外险、家财险，以及上述险种的续保业务。
相关阅读：
北国网版权与免责声明：
1、北国网所有内容的版权均属于作者或页面内声明的版权人。未经北国网的书面许可，任何其他个人或组织均不得以任何形式将北国网的各项资源转载、复制、编辑或发布使用于其他任何场合；不得把其中任何形式的资讯散发给其他方，不可把这些信息在其他的服务器或文档中作镜像复制或保存；不得修改或再使用北国网的任何资源。若有意转载本站信息资料，必需取得北国网书面授权。否则将追究其法律责任。
2、已经本网授权使用作品的，应在授权范围内使用，并注明“来源：北国网”。违反上述声明者，本网将追究其相关法律责任。
3、凡本网注明“来源：XXX（非北国网）”的作品，均转载自其它媒体，转载目的在于传递更多信息，并不代表本网赞同其观点和对其真实性负责。本网转载其他媒体之稿件，意在为公众提供免费服务。如稿件版权单位或个人不想在本网发布，可与本网联系，本网视情况可立即将其撤除。
Copyright (C) 1998 - 2014 .cn All Rights Reserved.
本网站各类信息未经授权禁止转载
版权所有　北国网
互联网新闻信息服务许可证编号：
沈网警备案号
北国网官方微信
制作单位：北国网
运营部电话: