携程收集用户信息被指违规 业内称多企业存支付漏洞

原标题：携程收集用户信息被指违规 业内人士称众多企业存支付漏洞

携程网用户信息遭泄露的影响仍在持续发酵。尽管携程网官方称已对存在的问题进行了修复，并承诺赔偿可能对用户造成的经济损失，但“信息因何泄露”、“企业为何会存储用户CVV码”等问题仍存悬疑。据北京商报记者了解，携程网只是信息泄露的冰山一角，很多同行都存在类似问题。而且，携程网并未获得收取相关信息的资质认证。

在一位在线旅游高管看来，技术漏洞是企业无法规避的情况，腾讯、优酷、网易、盛大等公司均曾被检测出漏洞。不过，DCCI数据中心总经理胡延平表示，漏洞或许是由企业本身技术手段尚欠火候所致，但企业擅自保存CVV码等信用卡信息则属于违规行为。

对于为何记录用户信用卡的CVV码？携程网官方回应称，技术开发人员为了排查系统疑问，留下了临时日志，因疏忽未及时删除。同时携程网方面表示，做法符合“PCI-DSS”（第三方支付行业数据安全标准）规定。据安全审核机构atsec中国总经理刘岩介绍，“PCI-DSS”是一套保护持卡人数据的基本安全要求措施。通过审核并维持维护“PCI-DSS”标准的合规，可以有效降低网站发生数据泄露的风险，保护支付数据的存储和传输安全。

不过，PCI认证非常严格，相关信息显示，目前国内仅有去哪儿网、中国南方 航空等少数企业获得PCI认证，携程网并不在名单之中。胡延平也表示，携程网的做法是否符合“PCI-DSS”规定，应该由“PCI-DSS”来进行判断。

一位不愿具名的企业技术高管表示，携程此种做法或许是效仿国外信用卡支付方式简化支付流程，这种做法在其他需移动支付的企业中也存在。目前，手机病毒或是信号劫持等便捷移动支付的风险已经比较好把控，但企业端口的风险则不好掌握，这也是互联网数据安全级别能否跟得上金融数据安全级别的问题。

在移动互联网时代，企业对速度和效率的追求相比PC时代变本加厉，这也使得和企业利益没那么紧密的安全问题屡屡被忽略。因此，央行也正在规范第三方支付市场，乌云网联合创始人孟德也表示，从以前乌云上报告的案例情况来看，新兴的移动产品开发确实要格外注意隐私安全问题。

相关新闻

两成多网上旅游产品订户未签合同

（记者周雪昳）通过互联网查阅和预订旅游产品令消费者出行更加便捷，但也蕴藏风险。上海市消费者权益保护委员会昨日发布的《上海市在线旅游市场调查报告》显示，逾两成消费者未与在线旅游服务提供商签订合同，部分网站提供的电子合同因无消费者书面签字，给消费者的出行带来风险。

报告显示，去年上海市消保委系统共受理旅游消费者投诉1324件，其中涉及在线旅游632件，占旅游类投诉的47.73%。根据调查资料，在签订旅游合同方面，47.74%的网站采用电子合同方式，签订书面旅游合同的比例有30.81%，但还有21.45%的消费者没有签订合同。

旅行社与预订旅游产品的网站之间互相推诿也成为消费者投诉的另一普遍问题。根据上述报告，在发生纠纷时，各旅游网站一般会接受消费者的投诉，但网站与组团社或地接社之间因协议不清或利益驱使等情况，造成一定的推诿。其中，“驴妈妈旅游网”的推诿比例高达62.16%，该网站还存在信息披露不真实问题。

事实上，不签订或不规范签订合同属违反《旅游法》行为。据上海市消保委旅游专业办秘书长朱劲松介绍，因合同问题产生的消费者投诉呈逐年上升趋势，根据《旅游法》的相关规定，不签订或不规范签订合同都属于违反《旅游法》的行为，将给消费者的出行带来风险。