首页 > 资讯列表 > 网站运营 >> 电子商务

去哪儿网CTO吴永强:大多数公司不愿做PCI认证

电子商务 2014-03-28 13:05:13 转载来源: 网络整理/侵权必删

3月22日晚,乌云漏洞平台披露:某网站日志存在严重漏洞,用户银行卡信息可被任意读取,其中包含持卡人姓名身份证、银行卡号、卡CVV码等等。此事,引爆了大众对支付安全行业的空前关注

3月22日晚,乌云漏洞平台披露:某网站日志存在严重漏洞,用户银行卡信息可被任意读取,其中包含持卡人姓名身份证、银行卡号、卡CVV码等等。此事,引爆了大众对支付安全行业的空前关注。某网站公开承认未通过国际支付卡产业数据安全标准PCIDSS,并对用户致歉。作为国内一家通过PCIDSS(支付卡产业数据安全标准)的在线旅游商,去哪儿CTO吴永强近日向笔者讲述了当初去哪儿网通过PCIDSS的艰难考核。“不少公司不愿在此项目上做过多投入”,吴永强说。

业界人士认为去哪儿网已经通过技术投入早已占领旅游平台制高点。据悉,PCIDSS由PCI安全标准委员会的创始成员visa、mastercard、 AmericanExpress、DiscoverFinancial Services、JCB五大国际卡组织制定。PCIDSS为国际上较高安全标准。

据吴永强介绍,进行PCI验证时,验证方会对被测试公司,进行多方面地地毯式扫描以便找出各类漏洞;还要在申请的时候严格申明不能保存不该存的信息。

据吴永强回忆:去哪儿当初申请认证时,花了整整三个月才得以通过,前后必须经过硬件、软件、工作流程、员工、用户等环节总共有200多项项目的关卡;除了如此严苛的认证环节外,去哪儿网每年还必须接受验证方重检一次。

其中,PCIDSS对于用户隐私的保护要求几乎接近苛刻的程度。“卡组织对所有的信息都进行了分类。如果姓名和有效期没有和卡号同时存储,则可以明文存储;而一旦存储了银行卡号,则需要使用强加密算法对卡号进行保护。”吴永强介绍说。

按照PCIDSS认证的要求,去哪儿网除了正当业务的员工,谁也接触不到用户的任何卡信息:包括卡号、姓名、有效期,更别说明文的CVV2码了,这是PCIDSS明文规定的不得留存的高敏感信息。

此次爆发的某旅行网信用卡事件也是其缺少员工培训的一个恶果。据相关报道,在某网站呼叫中心里,客服人员也可以口头明文索要用户的CVV2码。这在去哪儿网是不可能发生的事情。

此外,国际卡组织考察网站的另一项重要指标就是其技术安全能力。据吴永强介绍,去哪儿网在技术上一直遥遥领先,系统架构都是全球各大公司才采用的先进系统,这是它得以通过PCIDSS认证的基础。

2010年去哪儿网启动的“TTS 系统”(TotalSolution),进一步推动了交易安全。TTS系统让用户的预订,全部在去哪儿平台上完成,其交易安全可以得到全方位地有效保障。

吴永强认为,以前业内对于PCI认证的权威性很认同,但由于它对消费者隐私信息加以保护的过程,消费者大多无法感知,而合规认证本身又极为严苛,所以从成本上和技术实力上的考虑,不少公司都不愿在此项目上做过多投入。

标签: 哪儿 CTO 吴永强 大多数 公司 不愿 PCI 认证


声明:本文内容来源自网络,文字、图片等素材版权属于原作者,平台转载素材出于传递更多信息,文章内容仅供参考与学习,切勿作为商业目的使用。如果侵害了您的合法权益,请您及时与我们联系,我们会在第一时间进行处理!我们尊重版权,也致力于保护版权,站搜网感谢您的分享!

站长搜索

http://www.adminso.com

Copyright @ 2007~2024 All Rights Reserved.

Powered By 站长搜索

打开手机扫描上面的二维码打开手机版


使用手机软件扫描微信二维码

关注我们可获取更多热点资讯

站长搜索目录系统技术支持