photo

大多数公司不愿做PCI认证

作者:maomao   发表日期:2014-3-26  

业界人士认为去哪儿网已经通过技术投入早已占领旅游平台制高点。据悉,PCIDSS由PCI安全标准委员会的创始成员visa、mastercard、 AmericanExpress、DiscoverFinancial Services、JCB五大国际卡组织制定。PCIDSS为国际上较高安全标准。

据吴永强回忆:去哪儿当初申请认证时,花了整整三个月才得以通过,前后必须经过硬件、软件、工作流程、员工、用户等环节总共有200多项项目的关卡;除了如此严苛的认证环节外,去哪儿网每年还必须接受验证方重检一次。

据吴永强介绍,进行PCI验证时,验证方会对被测试公司,进行多方面地地毯式扫描以便找出各类漏洞;还要在申请的时候严格申明不能保存不该存的信息。

其中,PCIDSS对于用户隐私的保护要求几乎接近苛刻的程度。“卡组织对所有的信息都进行了分类。如果姓名和有效期没有和卡号同时存储,则可以明文存储;而一旦存储了银行卡号,则需要使用强加密算法对卡号进行保护。”吴永强介绍说。

按照PCIDSS认证的要求,去哪儿网除了正当业务的员工,谁也接触不到用户的任何卡信息:包括卡号、姓名、有效期,更别说明文的CVV2码了,这是PCIDSS明文规定的不得留存的高敏感信息。

此外,国际卡组织考察网站的另一项重要指标就是其技术安全能力。据吴永强介绍,去哪儿网在技术上一直遥遥领先,系统架构都是全球各大公司才采用的先进系统,这是它得以通过PCIDSS认证的基础。

此次爆发的某旅行网信用卡事件也是其缺少员工培训的一个恶果。据相关报道,在某网站呼叫中心里,客服人员也可以口头明文索要用户的CVV2码。这在去哪儿网是不可能发生的事情。

2010年去哪儿网启动的“TTS 系统”(TotalSolution),进一步推动了交易安全。TTS系统让用户的预订,全部在去哪儿平台上完成,其交易安全可以得到全方位地有效保障。

吴永强认为,以前业内对于PCI认证的权威性很认同,但由于它对消费者隐私信息加以保护的过程,消费者大多无法感知,而合规认证本身又极为严苛,所以从成本上和技术实力上的考虑,不少公司都不愿在此项目上做过多投入。

本文固定链接: http://www.1818148.com/archives/3312.html
转载请注明: maomao 2014-3-26 于 桂林欣梦网络 发表

上一篇: 下一篇:

发表评论

返回顶部
 
QQ在线咨询
售前咨询热线
400-8868-961
售后咨询热线
0773-585560