: 雷迪森惠子

樓主
2014-03-26 5687 6

吳永強(qiáng)：去哪兒網(wǎng)通過(guò)國(guó)際支付認(rèn)證艱難考核

烏云漏洞平臺(tái)披露：某網(wǎng)站日志存在嚴(yán)重漏洞，用戶(hù)銀行卡信息可被任意讀取，其中包含持卡人姓名身份證、銀行卡號(hào)、卡CVV碼等等。此事，引爆了大眾對(duì)支付安全行業(yè)的空前關(guān)注。某網(wǎng)站公開(kāi)承認(rèn)未通過(guò)國(guó)際支付卡產(chǎn)業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)PCIDSS，并對(duì)用戶(hù)致歉。作為國(guó)內(nèi)一家通過(guò)PCIDSS(支付卡產(chǎn)業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))的在線旅游商，去哪兒(29.06, 0.38, 1.32%)網(wǎng)CTO吳永強(qiáng)近日向筆者講述了當(dāng)初去哪兒網(wǎng)通過(guò)PCIDSS的艱難考核。“不少公司都不愿在此項(xiàng)目上做過(guò)多投入”，吳永強(qiáng)說(shuō)。

　　業(yè)界人士認(rèn)為去哪兒網(wǎng)已經(jīng)通過(guò)技術(shù)投入早已占領(lǐng)旅游平臺(tái)制高點(diǎn)。據(jù)悉，PCIDSS由PCI安全標(biāo)準(zhǔn)委員會(huì)的創(chuàng)始成員visa、mastercard、 AmericanExpress、DiscoverFinancial Services、JCB五大國(guó)際卡組織制定。PCIDSS為國(guó)際上較高安全標(biāo)準(zhǔn)。

　　據(jù)吳永強(qiáng)介紹，進(jìn)行PCI驗(yàn)證時(shí)，驗(yàn)證方會(huì)對(duì)被測(cè)試公司，進(jìn)行多方面地地毯式掃描以便找出各類(lèi)漏洞；還要在申請(qǐng)的時(shí)候嚴(yán)格申明不能保存不該存的信息。

　　據(jù)吳永強(qiáng)回憶：去哪兒當(dāng)初申請(qǐng)認(rèn)證時(shí)，花了整整三個(gè)月才得以通過(guò)，前后必須經(jīng)過(guò)硬件、軟件、工作流程、員工、用戶(hù)等環(huán)節(jié)總共有200多項(xiàng)項(xiàng)目的關(guān)卡；除了如此嚴(yán)苛的認(rèn)證環(huán)節(jié)外，去哪兒網(wǎng)每年還必須接受驗(yàn)證方重檢一次。

　　其中，PCIDSS對(duì)于用戶(hù)隱私的保護(hù)要求幾乎接近苛刻的程度。“卡組織對(duì)所有的信息都進(jìn)行了分類(lèi)。如果姓名和有效期沒(méi)有和卡號(hào)同時(shí)存儲(chǔ)，則可以明文存儲(chǔ)；而一旦存儲(chǔ)了銀行卡號(hào)，則需要使用強(qiáng)加密算法對(duì)卡號(hào)進(jìn)行保護(hù)。”吳永強(qiáng)介紹說(shuō)。

　　按照PCIDSS認(rèn)證的要求，去哪兒網(wǎng)除了正當(dāng)業(yè)務(wù)的員工，誰(shuí)也接觸不到用戶(hù)的任何卡信息：包括卡號(hào)、姓名、有效期，更別說(shuō)明文的CVV2碼了，這是PCIDSS明文規(guī)定的不得留存的高敏感信息。

　　此次爆發(fā)的某旅行網(wǎng)信用卡事件也是其缺少員工培訓(xùn)的一個(gè)惡果。據(jù)相關(guān)報(bào)道，在某網(wǎng)站呼叫中心里，客服人員也可以口頭明文索要用戶(hù)的CVV2碼。這在去哪兒網(wǎng)是不可能發(fā)生的事情。

　　此外，國(guó)際卡組織考察網(wǎng)站的另一項(xiàng)重要指標(biāo)就是其技術(shù)安全能力。據(jù)吳永強(qiáng)介紹，去哪兒網(wǎng)在技術(shù)上一直遙遙領(lǐng)先，系統(tǒng)架構(gòu)都是全球各大公司才采用的先進(jìn)系統(tǒng)，這是它得以通過(guò)PCIDSS認(rèn)證的基礎(chǔ)。

　　2010年去哪兒網(wǎng)啟動(dòng)的“TTS 系統(tǒng)”(TotalSolution)，進(jìn)一步推動(dòng)了交易安全。TTS系統(tǒng)讓用戶(hù)的預(yù)訂，全部在去哪兒平臺(tái)上完成，其交易安全可以得到全方位地有效保障。

　　吳永強(qiáng)認(rèn)為，以前業(yè)內(nèi)對(duì)于PCI認(rèn)證的權(quán)威性很認(rèn)同，但由于它對(duì)消費(fèi)者隱私信息加以保護(hù)的過(guò)程，消費(fèi)者大多無(wú)法感知，而合規(guī)認(rèn)證本身又極為嚴(yán)苛，所以從成本上和技術(shù)實(shí)力上的考慮，不少公司都不愿在此項(xiàng)目上做過(guò)多投入。

回復(fù)（6）

只看樓主

上19樓,查看更多精彩

圈圈推薦

: 旅游先遣隊(duì)
帖子：6.0萬(wàn) 成員：13.3萬(wàn)

: 中學(xué)教育
帖子：3.4萬(wàn) 成員：4.3萬(wàn)