去哪儿网CTO吴永强:大多数公司不愿做PCI认证

来源:岁月联盟 编辑:exp 时间:2014-03-26

  3月22日晚,乌云漏洞平台披露:某网站日志存在严重漏洞,用户银行卡信息可被任意读取,其中包含持卡人姓名身份证、银行卡号、卡CVV码等等。此事,引爆了大众对支付安全行业的空前关注。某网站公开承认未通过国际支付卡产业数据安全标准PCIDSS,并对用户致歉。作为国内一家通过PCIDSS(支付卡产业数据安全标准)的在线旅游商,去哪儿网CTO吴永强近日向笔者讲述了当初去哪儿网通过PCIDSS的艰难考核。“不少公司都不愿在此项目上做过多投入”,吴永强说。

  业界人士认为去哪儿网已经通过技术投入早已占领旅游平台制高点。据悉,PCIDSS由PCI安全标准委员会的创始成员visa、mastercard、 AmericanExpress、DiscoverFinancial Services、JCB五大国际卡组织制定。PCIDSS为国际上较高安全标准。

  据吴永强介绍,进行PCI验证时,验证方会对被测试公司,进行多方面地地毯式扫描以便找出各类漏洞;还要在申请的时候严格申明不能保存不该存的信息。

  据吴永强回忆:去哪儿当初申请认证时,花了整整三个月才得以通过,前后必须经过硬件、软件、工作流程、员工、用户等环节总共有200多项项目的关卡;除了如此严苛的认证环节外,去哪儿网每年还必须接受验证方重检一次。

  其中,PCIDSS对于用户隐私的保护要求几乎接近苛刻的程度。“卡组织对所有的信息都进行了分类。如果姓名和有效期没有和卡号同时存储,则可以明文存储;而一旦存储了银行卡号,则需要使用强加密算法对卡号进行保护。”吴永强介绍说。

  按照PCIDSS认证的要求,去哪儿网除了正当业务的员工,谁也接触不到用户的任何卡信息:包括卡号、姓名、有效期,更别说明文的CVV2码了,这是PCIDSS明文规定的不得留存的高敏感信息。

  此次爆发的某旅行网信用卡事件也是其缺少员工培训的一个恶果。据相关报道,在某网站呼叫中心里,客服人员也可以口头明文索要用户的CVV2码。这在去哪儿网是不可能发生的事情。

  此外,国际卡组织考察网站的另一项重要指标就是其技术安全能力。据吴永强介绍,去哪儿网在技术上一直遥遥领先,系统架构都是全球各大公司才采用的先进系统,这是它得以通过PCIDSS认证的基础。

  2010年去哪儿网启动的“TTS 系统”(TotalSolution),进一步推动了交易安全。TTS系统让用户的预订,全部在去哪儿平台上完成,其交易安全可以得到全方位地有效保障。

  吴永强认为,以前业内对于PCI认证的权威性很认同,但由于它对消费者隐私信息加以保护的过程,消费者大多无法感知,而合规认证本身又极为严苛,所以从成本上和技术实力上的考虑,不少公司都不愿在此项目上做过多投入。