白海蔚：用PCI认证阻击信用卡信息泄露

　　国际在线消息：据《2011年中国信用卡产业发展蓝皮书》的信息显示，截止2011年末，我国信用卡新增发卡量5500万张，累计发卡量达到2.85亿张，同比增长了24.3%；交易金额更是达到7.56万亿元，比2011年初增长了48%。我国信用卡的交易金额在社会消费品零售总额中的占比也从2 010年的32.55%跃升到41.72%。

　　笔者作为信用卡的粉丝自2006年申请使用第一张信用卡，不论国内消费还是国外旅游也的的确确感受着信用卡给日常生活带来的便利和快捷。难怪近年来信用卡红遍大江南北，已然成为上班族乃至部分学生的必要装备，更有甚者表示“一卡在手，走遍世界”。当然，如此夸张的说法无非是在炫耀信用卡相比现金、支票等其它支付方式来看，信用卡具有毋庸置疑的便利性。

　　不需要随身携带大量的现金，少了不法分子的关注；不用找零，少了承担沉甸甸硬币的必要；如果有幸发卡行洽谈的合作商户正是你所爱，能够给个诱人的折扣，那更是让你暗自兴奋。这些信用卡的优势无疑在这个发展迅速的时代给大众带来更方便、更快捷、更先进的支付体验。

　　当然，便捷的同时，风险也随之而生，自2011年以来，大量的数据泄漏事件的发生，使持卡人的用卡风险成为了全球所关注的问题和隐患。而持卡人作为整个支付环节中数据的最初来源，只有所有的人都有了安全的用卡意识，才能真正的降低安全风险。下面就让我们来看看身边发生的的案例：

　　案例一：哈尔滨市民徐先生说，2009年10月他收到银行寄来的催款单，说自己的信用卡透支13000多元，他很纳闷，自己从未办理过银行的信用卡啊。徐先生讲，2009年4月，他曾经轻信办卡中介能为他的银行信用卡拓展信用卡额度，而向办卡中介提供了自己个人证件的相关复印件。但是一直也没办下来，他怀疑办卡中介利用了自己的个人信息，申请了银行的信用卡并恶意透支。

　　案例二：持有某股份制银行信用卡的刘先生，从来没有开通过网银，信用卡也从来没有离过身，为了保证用卡安全，刘先生不但设置了密码，而且还将卡与手机绑定，任何消费均会第一时间给予短信通知。去年11月，刘先生没有刷过卡，却收到银行的两条短信，说其分别刷卡消费了4000元。信用卡一直没离开过视线，怎么会被别人刷走4000元呢？刘先生立即向银行反映。银行方面核查后发现，由于刘先生的卡面信息和身份证号码泄露，有人利用这些信息在福建一票务中心盗刷4000元进行了电话订票的业务。

　　案例三：由于经常要出国出差，担心一张信用卡额度不足，今年3月份，广州的李女士在国有大银行申请了一张信用卡，但是几个月过去，信用卡迟迟未发下来，李女士打电话咨询时，银行方面称，因李女士在某股份制银行的信用卡存在透支未还的不良记录，所以新申请的信用卡未能获批。李女士很纳闷，自己从未与上述该银行有过业务往来，更未办过该行的信用卡，何来信用卡透支？李女士赶紧到人行广州分行查看自己的信用记录，结果发现，自己在2009年6月申办过上述股份制银行的一张信用卡，2009年7月发卡的，信用额度为6000元。目前，存在7161.72元的欠款逾期未还。由于欠款预期已超几个月，该卡已经被冻结。虽然经过几番周折，最后银行方面承认有过失，自己承担损失，并向人行申请消除了李女士的不良透支记录，未给持卡人造成直接损失。

　　上面的案例提醒我们，只有提高个人的用卡安全意识，才能做到维护个人信息的安全，而不是在发生了安全事件后和银行、发卡机构和监督机构进行争论和推脱。另外，信用卡的离线交易只需要提供信用卡号、身份证号、信用卡的失效期和后三位码，很多在线购物网站支持这种方式完成支付。如果消费者一不小心将这些信息提交到钓鱼网站，就相当于你把身份证和信用卡给了骗子。

　　可以说，小小一张信用卡就像是一把双刃剑，善用卡片的持卡人能够保证用卡安全，不懂用卡的人则可能成为 “卡奴” 甚至会成为不法分子盗刷的“工具”。

　　随着互联网时代的飞速发展，网络支付和移动支付正在逐步占领市场。轻松点击鼠标，输入卡号、信用卡有效期、卡背面签名栏旁的最后三位数字，我们就可以在家里等待货品上门。在这里提出一个有关信用卡数据的概念，上右图的“123”根据不同卡组织被称为CVV2/CAV2/CID/CVC2（以下用CVV2为例），CVV2被定义为信用卡的敏感数据。从持卡人角度来讲，网络支付被认为是信用卡的几种支付方式中风险最大的一种，因为不怀好意的人可能使用网络钓鱼、窃听网络信息、假冒支付网关等手段窃取用户资料。近年来，一种被称为“快捷支付”的支付方法被持卡人使用，信用卡上所有的信息基本全部被提取记录，同时也包含CVV2。

　　我们充分信任商家会尽最大可能来保护我们持卡人的数据，所以充分的享受快捷带我们的最佳用户体验。但是需要注意，CVV2掌握着这张信用卡交易的授权，即使没有信用卡主人的同意和认可，支付的各个环节即被打开。如果我们和商户之间发生存在有疑问的交易，存储所有卡信息的商户完全可在不被持卡人同意的情况下进行扣款。

　　那么，我们应采取怎样的措施，确保我们的敏感信息不被泄露呢？应该说，PCI DSS安全标准是当前最权威的数据安全保护措施，它由PCI安全标准委员会（创始成员为visa、mastercard、American Express、Discover Financial Services、JCB五大国际卡组织）制定，使国际上采用一致的数据安全措施，能够最大程度上保证我们使用信用卡时敏感信息的安全性。

　　具体来讲，PCI DSS对于支付网关的安全方面作出标准的要求，其中包括安全管理、策略、过程、网络体系结构、软件设计的要求的列表等，全面保障交易安全。从持卡人的角度来讲，我们建议广大持卡人在进行网络交易时尽量使用已达到PCI DSS合规建设的商户，以确保让安全支付过程保持最大化。

　　然而，因为PCI DSS 数据安全标准合规的审核非常严格，且会落实到具体的技术实现细节，目前在国内，只有为数不多的企业通过了该项标准的合规评估和验证，这其中包括民生银行、中国工商银行、中信银行、首信易支付、快钱（99bill）、易宝支付（Yeepay）、南航、去哪儿网等。

　　基于对消费者消费安全负责的初衷，我们希望在未来，越来越多的商业机构，能够加入到PCI 安全标准合规的大家庭中来。近一段时间，从新闻报道中，从朋友口中，我们已知的因信息泄露而导致消费者财产损失的事件已经够多，只有PCI 标准能够在更多的企业中得以推广，这些“悲剧”的发生才会有被广泛抑制的一天。

　　作者白海蔚系艾特赛克（atsec）高级咨询顾问。

https://business.sohu.com/20140108/n393173893.shtml business.sohu.com false 新华网 https://gb.cri.cn/42071/2014/01/08/6851s4383731.htm report 4186 国际在线消息：据《2011年中国信用卡产业发展蓝皮书》的信息显示，截止2011年末，我国信用卡新增发卡量5500万张，累计发卡量达到2.85亿张，同比增长了24