原创文学网(htwxw.com)
当前位置: 首页 > 网络游戏 > 内容详情

信息安全下的旅游电商“钱”程

时间:2019-05-16来源:福建新闻网 -[收藏本文]

 

● 阅读提示

近些天来,接踵而至的消费者信息安全漏洞成为全社会关注的话题,特别是携程闹出“信用卡门”事件后,又来了一个多数电商企业都无法“免疫”的“心脏流血”事件,一时间,旅游领域的OTA(在线旅行社)企业大多风声鹤唳,神色凝重。“回避并不能让消费者放心,OTA企业要确实承担起消费信息的安全责任和义务。”沪上有学者一针见血地指出。

●事件

“老猫烧须”

携程无疑是我国最大的在线旅游企业,去年营收额超过700亿元,这家既无飞机又无酒店的“轻质旅游企业”,将很快挤进世界五百强企业的阵营,却突然被人揪出“存储”了客户信用卡CVV(信用卡用于网上或电话交易的安全码)密码的“痛脚”,在世人面前暴露出企业在客户信息安全管理上的漏洞。

事实上,这起“乌云事件”给客户带来的风险并不大。据携程方面表示,媒体曝光后,携程在2小时内就完成了补救,在查出93个客户被不必要保留了信用卡授权密码后,立即删除相关信息,并承诺若发生涉事客户损失问题,携程将负起全责。

但是,这起被外界视为“老猫烧须”的偶然事件,让拥有先进技术管理团队的携程吃惊不小,也让携程付出了代价。据媒体报道,一些携程信用卡客户获悉后纷纷给银行打电话,不是要求换卡,就是改密码。上海一家大型跨国企业的差旅经理日前也在论坛上公开要求“携程应该向全国人民道歉”。而且,当时携程的股价也出现了波动。

一名携程管理层讲述了他的苦涩故事:他到携程后,一位在东北的小学同学不知道携程是干吗的,以为他在一个“鞋城”工作;这次信用卡事件发生后,竟然千里迢迢来电打探“内部消息”——在携程上买机票是否安全?“这次,他总算闹明白携程是卖机票订酒店的。”他苦笑道。

●技术

矛与盾

接受记者采访的业内人士大多认为,信息安全技术漏洞并不可怕,是矛与盾的动态关系。“一个矛出来后,一定会有盾的出现,关键是企业对客户信息安全的态度。”上海杉达学院副校长薛兴国如此认为。

薛兴国长期研究旅行社管理,并承担过线上旅行社管理体系科研项目。在他看来,作为线上企业,受到科学认识和技术手段的限制,不可能把防火墙打造得天衣无缝,无懈可击,只能及时发现、及时补救,就像微软那样的大企业,也不得不随时发布“补丁”程序。“就信息安全来讲,永远是相对安全,没有绝对安全。治疗癫痫的土办法但目前出现的问题是企业员工对安全制度的执行力的问题,实际上也是在信息安全方面的管理能力。”这位学者从管理学角度点出了问题所在。

在他看来,比携程信用卡漏洞更恶劣的是,一些可以接触客户信息的不良分子,拿着企业内部信息去“卖钱”,给消费者带来无穷烦恼。

上海一位高校负责人近日在微信上“晒”苦恼:不知谁把他的微信号“出卖”了,导致每天有人向他发来微信,诉说有如何病困,望他能解囊相助,让他不胜其烦。

让这种“缺德”事情相形见绌的是专事漏洞交易的“黑客”,在偷取有价值的信息转手倒卖盈利,这种情况更让人不寒而栗。

尽管国家现在开始打击这些信息“大盗”,但据知情者透露,市场上存在着黑市交易。“把有价值信息卖上两遍后,才告诉你网站存在某某漏洞,这是不能公开讲的秘密。”沪上一家知名IT企业的技术高管告诉记者。

因此,在技术上如何防范信息窃取和建立被窃信息追踪系统,打造另一个防护之盾,是技术界与负责公共信息安全管理部门需要面对的新课题。

●管理

OTA的“命门”

现在,信息技术的发展给人们带来了便利,但也让人感到似已进入没有隐私的时代。一位企业负责人对记者感慨,现在再机密的企业内部信息,在信息工程师面前根本无密可保:“企业在他们面前,就像一个躺在手术室里的裸身患者。所以,我们要寻找的是负责任的IT公司和诚信可靠的IT工程师。”

那如何来确保机密信息不外泄呢?承担国家旅游团队信息统计系统建设的上海金棕榈机构在实践中摸索出自己一套管理办法。

“我们企业内部实行了ISO20000和ISO27001的双重信息安全认证制度外,还按公安部要求参加了信息安全等级保护评定,给每个可能泄露机密信息的环节加上几把安全锁,杜绝人为的可能疏失和漏洞。”金棕榈首席信息官欣欢告诉记者。

据悉,携程也已亡羊补牢,严格执行符合金融监管机构要求的数据安全标准,并着手申请相关认定。

在锦江电商公司CEO包磊看来,再好的制度,还在于执行力和自动纠错机制。他对记者说:他不相信携程没有相应的涉密技术操作规程,但问题是有人为疏忽后,是否有机制能够及时发现并作出反应,防止企业内部问题外部化,酿成用户的信任危机。

现在不少线上企业为争夺市场发起残酷的“价格战”,斗得头破血流。事实上,消费者的信息安全,才是OTA的“命门”。若相关企业对此不予高度重视,也许一个致命的疏失,就会断送企业的大好“钱”程。

■相关企业

用户隐私重于一切<女性癫痫病治疗期间要注意什么/strong>

去哪儿网CTO吴永强在接受媒体采访时说:“去哪儿网早在2012年12月就已顺利通过PCI认证,去哪儿网的系统在安全管理、网络系统结构、软件设计等方面,能够全面保障用户的交易安全。业内对于PCI认证(美国运通、美国发现金融服务、吉士美、万事达和VISA国际组织等5家支付品牌联合推出的、目前国际支付卡行业最高级别的安全标准认证)的权威性一致认同,但消费者大多无法感知它对隐私信息保护的过程,认证本身又极为严苛,所以不少公司都不愿在此项目上做过多投入。“

吴永强强调,去哪儿网一直在此项目上加大技术和资金投入。事实上,去哪儿网从2011年便推出了“担保通”保障体系,全方位保障消费者的消费安全,而PCI合规作为这个保障体系中重要的一环,“值得去哪儿网花费大量人力、物力做投入”。

艺龙旅行网相关负责人也表示,艺龙每年都通过萨班斯法案404条款的外部审计,在信息安全性能方面,该网站是通过公安部信息安全等级保护三级测评的电商公司。艺龙有专门的风险控制团队和安全技术团队,严格按照国家和银行的规定对交易流程进行规范化、标准化管理和安全监控,保证客户信息的安全性。该负责人还透露,艺龙已经加强了对PCI认证规范的重视,并已经通过了大部分认证条款。

“输入CVV和存储CVV是两个概念”

携程被曝出支付安全漏洞后,引发社会舆论的关注,也给线上旅游企业敲响了警钟,即企业无论规模大小,都须将客户隐私和金融安全放在首位。

为此,记者采访了沪上另一家知名电商企业——驴妈妈旅游网。驴妈妈相关部门负责人表示,作为年营业额达30多亿的驴妈妈网站,把线上支付安全放在至高无上的位置,严格遵守国际权威第三方支付行业数据安全标准PCI-DSS及安全认证的各项要求,每年接受严格的年度安全评估,每个季度都在接受PCI认证要求的ASV弱点扫描,以避免出现支付漏洞,给客户带来不必要的安全风险。

沪上有业内人士指出,从技术角度来说,根据国际惯例,银行卡号、密码等不应该存放于非金融企业内部。“这相当于把你信用卡的密码存储并泄漏了。”他进一步指出:“需要输入CVV和存储CVV是两个概念”,企业管理者应该非常明白的。

有沪上专家表示,在某些电商网站采购旅游产品,例如刷陌生人的招行信用卡来订购机票,只要卡号和有效期两个信息,就可以成交。“若不在内部操作程序上对关键信息进行加密,风险非常大,因为几乎任何一位网站的内部操作员都可以轻易拿到用户信用卡信息,这就会给客户带来金融安全风险。”

驴妈妈相关部门负责人表示,驴妈妈旅游网在管理上严格执行国际管理标准,任何信息都需要经过多重加密,确保用户的安全交易和保障个人信息的隐私性。“在国际上,这些非经本人授权的信用卡交易,卡主人都可以拒付。”

“当然,驴妈妈也提醒游客,在选择网站进行购物支付和填写个人信息时一定要谨慎。当提交含有身份证号、银行卡号、密码等核心个人信息时,一定不要邯郸羊羔疯哪家医院效果好提交给不可靠的网站,只有这样,才能提高网购安全性。”这位驴妈妈相关部门负责人说。

●专家提醒

安全风险需防微杜渐

据业内人士透露,OTA网站无卡无密码支付曾经是行业通病,此前已有多家OTA企业多次被曝出过同类问题,但携程无疑极大加剧了用户对在线旅游企业网络支付安全性能的疑虑。

“携程的确有错,不该保存用户CVV码,即便在付款过程中需要记录并转发给银行接口用户信息,但是记录和保存日志的做法无疑破坏了安全性。”中国旅游研究院博士杨彦锋认为,客户应该得到风险提示和建议,并保证提示信息的单独送达,同时也应得到风险赔偿保证。从长远来看,“预计会损失一部分客户,长期客户信赖感会下降,尤其是对高端商旅客户的信赖感有影响。”

“但凡做过信息安全评估的人都知道,漏洞不等于风险,构成信息安全风险有很多要素。”信息安全方面专家龚蔚分析,虽然理论上这些经过AES强加密的信用卡号和CVV还是有可能被破解,但是其难度不是一般黑客所能为之的。

“安全是一个包括硬件、软件和制度等多个维度的系统工程,同时是一个不断演进的动态过程。”首都经贸大学金融学院教授施慧洪认为,无论从人力、资金、技术等投入上来看,传统银行的支付体系更为可靠,作为拥有第三方支付的OTA企业,要提升安全保障,可以选择与银行建立密切的合作关系,把支付安全建立在银行较为成熟的安全系统的基础上,从而实现安全系数的不断提升。

“银行业的做法值得借鉴,通过手机短信、动态密码、规定支付限额等方式的结合使用可以使支付的安全系数大大提升。”施慧洪建议,电商可以通过寻找战略合作伙伴、建立查漏洞激励机制等手段弥补内部人员管理上的不足。

施慧洪也认为,新技术的应用在安全领域也将大有作为,比如指纹、虹膜等识别手段。“将来的黑客会集中更多的精力去攻击手机等移动端支付的漏洞。”

“厂商应该重视任何一个信息安全漏洞,哪怕是一个极微弱点,因为往往一系列看似不重要的信息安全漏洞会构成一个高危的漏洞。”龚蔚分析强调。

“对于政府旅游主管部门来说,必须尽快转变和升级传统监管模式,在企业监管中完善信息化监管的专业内容,落实国家法规,倡导优秀管理经验和技术应用。”中国旅游研究院产业所负责人李仲广说。

对于OTA企业来说,应当处理好市场竞争与安全保障的关系,企业提高竞争力要基于技术、制度的安全。李仲广强调,企业必须处理好规模增长与服务质量的关系,OTA市场以成倍速度增长,但其业务涉及的综合性问题需要及时配套、完善,必须强化内部管理和应对外部挑战。

“在危机事件面前,旅游企业应该第一时间就应该有一个明确的表态,以避免事件向不可控制的恐慌扩散。”杨彦锋建议,更关键的是,旅游企业不但要在设计支付的流程上要做好安全目录,而且要充分保证婴幼儿癫痫治疗用户知情权,形成与用户的良好互动。

“这次携程成立安全中心,能够真正实施对寻找漏洞的用户采取奖励措施,进一步坚定客户的消费信心。”杨彦锋表示,这件事情不断警示携程及所有电商企业,不应在安全防范与企业管理上放松警惕,而应不断建设和完善长效安全防控体系。

● 延伸阅读

银行应担负虚拟支付使命

北京众信国际旅行社股份有限公司副总裁王春峰:就目前来讲,不管是第三方支付,还是携程这种电商自己开发的支付系统,将来都会面临安全的问题。我认为,要保证我们的信息安全,第一要靠监管。第二,在数据资源上,银行应该主导这项工作。银行对于信用卡持有人的服务应该是全方位的,既然我们可以在线下的门店刷卡,pos机直接与银行连接进行结算,那么为什么在线上,不能由银行直接提供结算服务呢?所以说,它在虚拟空间处于一种缺位状态。

当下,传统的银行考虑的不应该是我怎么使用互联网的问题,而是一种叫做“互联网金融”的新业态已经出现,银行应该赶快站出来承担它在虚拟空间的使命,这也是其信用卡业务延伸到线上的一部分。

金融属性公司监管需明确

交通银行北京市分行投资银行部总经理助理王展:第三方支付业务在曲折中前进,的确存在风险,但我相信现有的技术手段可以把这些问题解决。从技术层面说,银行发放的信用卡也存在漏洞,但多年实践下来,就很难被攻破了,因而,我们还是应该以宽容的态度来对待这些新生事物在成长中遇到的问题。

眼下,对第三方支付平台的监管不容忽视,目前,中国的金融监管是分行业管理,跟银行沾边的归银监会,跟券商相关的归证监会,但是携程这类,不是金融机构,却有了金融属性的公司该归谁监管?这个问题尚未有清晰答案,必须重视起来。

风控执行至关重要

架桥富凯股权投资基金副总裁马林:不仅仅在旅游业,所有第三方支付都存在风险,但是我们不能因为遇到问题,就去否认它的价值。就目前来看,第三方支付虽然没有受到直接监管,但是在整个金融链条上,跟钱打交道的那一环还是存在监管的,所以,我们可以间接通过对资金流向的判断与控制,从源头上清理掉一些不健康的第三方支付公司。

另外,银监会对第三方支付是有严格规范的,只要我们能够落实好那些措施,将风险管控做好,还是可以最大限度地降低风险。有些问题出来不是风控体系本身有问题,而是风控体系没有执行好。(来源:中国旅游报  驻上海记者丁宁  实习记者 左登基 王洋

*作者:丁宁,《中国旅游报》资深记者、上海记者站站长。

的更多报道:


热点聚焦