很多朋友可能更关心3月22日吴云泄露的携程信用卡信息泄露事件,具体过程我就不多说了,因为明天肯定是铺天盖地的消息.许多关于这一事件的评论文章都没有提到PCI-DSS标准。其实通过这个简单的维度,就可以判断哪些评论靠谱,哪些不靠谱。PCI-DSS是由VISA和MasterCard牵头的“第三方支付行业数据安全标准”。任何人想做第三方支付业务,想在美国上市,都必须通过这个标准。在PCI-DSS标准中,明确定义了如何实现数据保护,哪些信息可以保存,哪些信息不能保存(尤其是明文)(比如CVV等敏感信息)。因此,此次携程明显违反了PCI-DSS的相关规定。因为携程在上市的时候肯定已经通过了PCI-DSS标准,由此也可以看出一些安全标准从实施到维护的难度有多大。“安全标准”和“合规”的要求现在已经沦为一门生意,含金量越来越低。实施PCI-DSS的安全公司可能会向客户提交大量文件,但真正认真实施的公司却越来越少。所以通过安全标准没有任何意义,就是花钱买牌照。比如PCI-DSS的要求会产生很多衍生的安全要求,VISA也投资了一些安全公司,他们分享了大部分的收益。在利益关系下,对认证的审查不能过于严格。据携程官方解释,此次事件记录了一个临时日志用于调试,共涉及93名用户,未发现其他数据泄露。相信这个漏洞的提交者“猪猪侠”不会将这部分数据用于恶意目的,因为他在业界的口碑非常好,如果他要这样做,他是不会提交漏洞的到乌云。但携程是否还有其他问题就不得而知了。对于用户来说,可能会出现恐慌,要求银行换卡。但除非你以后不再使用网上信用卡支付,否则短期内很难避免类似的问题。相信还有很多公司做的比携程还差,缺乏监管,尤其是一些还没有上市,没有通过PCI-DSS认证的公司。只是这些问题没有被晒到,所以你不知道。对于携程而言,与其说是技术漏洞,不如说是信用危机。同时,也让我们看到了安全的重要性:建立用户信任可能需要数年时间,但毁掉它只需要一天时间。
