从携程泄露门看安全监管逻辑:支付方式无原罪

摘要: 至少在现阶段,对待互联网金融这类新生事物,手段上的安全保障与监管,比制度上的变动更为妥当,与其动辄否定暂停叫停某种支付方式,不如在手段上敦促和帮助其完善安全细节,当然,前者更省事,后者可能更劳神。

移动支付

对具体问题定点打击,慎对整个行业全方位轰炸。安全隐患究竟是存在于支付方式中,还是存在于支付方式的执行过程中?有着本质的不同,治理手段也不同。携程事件中,出问题的是携程,而不是信用卡支付或CVV2(或CVC2)验证本身。

 

支付方式无原罪,问题在于操作是否规范

携程网漏洞泄露用户支付消息,本来是个互联网公司的技术与安全事件,但却被认为很可能会给目前的互联网金融监管之争雪上加霜。之所以这么说,是因为现在确实流行一种看法,把某个支付事件的不安全,意会为整个支付方式乃至整个互联网金融的不安全。

然而,正确的逻辑不是这样的。仔细看这次携程网泄密门事件,其实是发生在信用卡支付过程中,这种信用卡支付方式是符合国际惯例的,也就是说全世界发达国家都在使用携程正在用的信用卡支付方式。而携程之所以出现问题,是因为它在技术上出了漏洞,更关键的是,在对待用户信息上,携程网操作不规范,它不但存储了CVV2码等按照国际惯例不该存储的信息,而且没有加密。

这说明什么呢?说明携程采用的支付方式在国际上是安全的,但是由于网站的行为不规范和疏忽,导致这种安全的支付方式也变得不安全。

说明这世界上没有绝对安全的支付方式,泄密问题的关键不在于某种支付方式有原罪般的不安全缺陷,而在于操作者是否规范,相关的保障制度是否健全,不能因为个别互联网企业个案,来论证某种支付方式乃至互联网金融的不安全,按照这种逻辑,可被叫停的各种网上支付方式就太多了!

 

监管者的逻辑漏洞

这又令人想起目前四大行分别调低快捷支付额度、之前央行公布的《支付机构网络支付业务管理办法》、《手机支付业务发展指导意见》(征求意见稿)等文件,以及央行对虚拟信用卡和二维码支付的叫停来,其主要理由也是因为安全问题。

但基于手机支付的互联网金融的安全问题,与降低限额以及叫停二维码之类真有什么必然联系吗?从这次携程泄密门可以看出,泄密门虽然暴露了携程在安全管理上的缺陷,但归根究底,这只是携程网站的问题,是人和企业的疏忽,而不是制度上与技术上固有的问题,就像之前叫停的二维码支付方式有风险,但其实是二维码扫描过程中会遇到钓鱼、非法信息而导致,并非二维码支付方式本身有风险。如果以安全理由叫停二维码支付,现在携程网上信用卡支付也出现问题了,央行是否考虑也叫停信用卡的CVV支付方式呢?

所以,限制与叫停不应该是保障互联网金融安全的主要方式,监管部门更多的精力应该放在如何在信用支付使用中保障安全上。

比如强制相关网站必须通过PCI-DSS安全认证这样国际性的在线交易数据安全标准,并定期核查。PCI-DSS安全认证的主要过程,是由VISA和MasterCard授权的独立审查公司完成的一次彻底的在线支付系统安全审查,其中有近200项审查内容。

其基本安全措施包括:不允许商家存储任何信用卡的三位或者四位确认码;不允许商家无必要的显示信用卡的所有位数;在实现网上交易时,传递信用卡的信息时必须使用加密;密码设置至少要有7位,必须有数字和字母;修改密码时不能提供和前四次相同的密码,试密码不能超过6次。

此外,还有诸如要求商家内部网络安装防火墙,监测重要数据的使用记录,等等重要措施来保护信用卡数据安全,等等。

再比如,强制“宝宝军团”为用户购买保险,提供赔付服务。现在理财通以及余额宝都由保险公司全额承保。一旦发生资金被盗,都会由保险公司最终买单。

不要动辄拿支付方式说安全了,安全隐患究竟是存在于支付方式中,还是存在于支付方式的执行过程中,具有本质的不同,治理手段也应不同。

至少在现阶段,对待互联网金融这类新生事物,手段上的安全保障与监管,比制度上的变动更为妥当,与其动辄否定暂停叫停某种支付方式,不如在手段上敦促和帮助其完善安全细节,当然,前者更省事,后者可能更劳神。

本文系作者 信海光 授权钛媒体发表,并经钛媒体编辑,转载请注明出处、作者和本文链接
分享到:

第一时间获取TMT行业新鲜资讯和深度商业分析,请在微信公众账号中搜索「钛媒体」或者「taimeiti」,或用手机扫描左方二维码,即可获得钛媒体每日精华内容推送和最优搜索体验,并参与编辑活动。

信海光
信海光

信海光,资深媒体人,专栏作家。专注财经、科技领域,曾获中国科技新闻奖,北大《财经》记者奖学金第四期,清华青媒EMBA项目一期,曾任中国《新闻周刊》时政部主编,赛迪网副总编辑等职。

评论(6

  • 王旭晗Sniper 王旭晗Sniper 2014-03-25 14:16 via weibo

    还是说携程的问题,技术都是后来一说,最核心的是记录了不该记录的东西……

    0
    0
    回复
  • LINLEXAN LINLEXAN 2014-03-25 13:47 via weibo

    银行被各种盗刷的事件,大家视若无睹?

    0
    0
    回复
  • 携程客服 携程客服 2014-03-25 13:07 via weibo

    经携程排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。携程客服于3月23日已通知相关用户更换信用卡,银行方面也会尽快协助用户办理换卡手续。截至3月23日22:00,没有接到携程客服换卡通知的用户,个人信息均是安全的,无需担心。

    0
    0
    回复
  • 阮小投 阮小投 2014-03-25 12:04 via weibo

    //@钛媒体:作者说:至少在现阶段,对待互联网金融这类新生事物,手段上的安全保障与监管,比制度上的变动更为妥当,与其动辄否定暂停叫停某种支付方式,不如在手段上敦促和帮助其完善安全细节,当然,前者更省事,后者可能更劳神。

    0
    0
    回复
  • 椘枨 椘枨 2014-03-25 11:44 via weibo

    关键在于从业者道德,一门生意本身都是没有对与错的。

    0
    0
    回复
  • 杨文超_deepin 杨文超_deepin 2014-03-25 11:39 via weibo

    在打破旧垄断同时,也要关注互联网金融的新垄断。与快递不同,互联网金融门槛高。两三家就可以垄断市场,甚至可能与传统金融大鳄们做垄断交易。这个行业不存在充分竞争。这是值得担心的。

    0
    0
    回复

Oh! no

您是否确认要删除该条评论吗?

分享到微信朋友圈