映象新闻

今天早上我刚刚才见完1000个影迷，接近50个国家的影迷，有些国家的名字我都没有听过，来到这边，忽然间觉得有意义了，但是真的很累。

布伦特原油周四收盘报106.15美元/桶，上涨1.36美元，涨幅1.30%。但分析师对此持审慎态度。

俄罗斯周四上调向乌克兰提供的天然气价格，为本周第二次上调价格，三天内将天然气价格上调了近一倍。标签：原油期货|布伦特|示威者责任编辑：杜思思 杜思思。利比亚东部港口重开将释出每日60万桶石油规模远超交行的建行核销贷款也只是118 .61亿元。2013年，招商银行、民生银行、兴业银行和浦发银行，分别录得净利517.42亿元、432.82亿元、415.11亿元和412亿元。

标准普尔银行业分析师廖强表示。交行不断降低的拨备覆盖率也加大了成本压力。专家称携程违规中央财经大学中国银行业研究中心主任郭田勇在接受法治周末记者采访时表示，依照相关规定，携程存储用户CVV码的行为应属违规。

此前一位携程的工作人员也曾公开表示，以预定机票和酒店为代表的旅游产品，其价格会随着库存、预订时间实时变化。携程该工作人员称，这或许是行业的一种潜规则。不过有消息称，此前携程曾有意向接入该系统，但是公司工作人员去考察之后发现，携程系统要整改难度太大，业务种类多且交叉多，如果按照该系统接入而整改会使架构有所变化。该报告指出，携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。

专家认为，携程存储用户敏感信息CVV码的行为，违背了银联的相关规定，但携程应承担何种责任却不明确，后续处罚也难以跟进乌云压程，程欲摧。Visa、MasterCard、American Express、Discover Financial Services、JCB这全球五大国际卡组织在2006年一起创办了PCI安全标准委员会，并制定了这套保护持卡人数据的技术和操作的基本安全要求措施。

闫鑫还告诉法治周末记者，携程现在已经及时修补了漏洞，目前所有用户的信用卡信息也都是安全的，大家不用急于去换卡，携程不想因此给消费者造成极大的恐慌，以后也会在安全方面继续加大投入。闫鑫告诉法治周末记者。携程在公告中承诺，未来如果因安全漏洞引起用户损失，携程将承担全部责任并给予赔付。在信用卡信息里，CVV码和卡片号都非常重要，很多消费者的信用卡被盗刷就是因为两个号码同时泄露出去了。

同时因为保存支付日志的服务器未做严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意黑客读取。吴景明告诉法治周末记者，如果商家因违规给消费者造成损失，可以按照其他相关规定，如侵权责任法、消费者权益保护法等对其进行制裁。据董峥介绍，在正常情况下，信用卡到期换卡时卡号是不变的，CVV码则是变的，它是个随机号。以前保存的那些CVV信息，正在予以删除。

CVV码泄露的潜在风险董峥告诉法治周末记者，Visa和MasterCard是国际上两大信用卡组织，CVV码是Visa的称谓，万事达则称作Card Validation Code，即CVC码。闫鑫表示，目前尚未获知这一情况。

国内首个提供PCI合规咨询与认证的机构——北京航天亿展科技有限公司(以下简称航天亿展)的一位相关负责人对法治周末记者表示，PCI是一套针对支付卡行业的国际安全认证标准，主要对持卡人数据在公网上传输、存储、处理进行安全认证，防止卡支付的数据泄露。闫鑫同时也表示：实际上这93人名单也是经过加密的，并不是任何人下载这个日志后就可以随便看到里面内容的，不过作为黑客确实有这样的技术能力。

在游侠安全网创始人张百川看来，携程存储用户CVV码的行为，具有较大的安全风险。但2009年，携程CEO范敏为了简化操作流程和优化客户体验，最终决定在携程服务器上留存CVV码。而且这个随机号甚至连银行都不知道，不计入银行数据库，相当于一个随机验证码。中国电子商务协会政策法律委员会副主任阿拉木斯告诉法治周末记者，电子商务领域发展较快，变化也较大，一般的鼓励性、参照性、指引性的安全标准比较多。不过该负责人告诉法治周末记者，PCI标准有6大项目，下属12个中型项目，再细分为242个小型项目，终端细分为399个流程测试项，整个PCI标准基本就围绕这些项目进行的，需要逐项对所需验证的系统环境进行评估整改，直到满足要求为止。携程华北区公共事务部工作人员闫鑫在接受法治周末记者采访时表示，携程将在交易完成后删除客户的CVV信息，不再保存。

近日，国内漏洞研究机构乌云平台曝光称，携程旅行网(以下简称携程)存在信息安全漏洞，可能导致其信用卡用户的身份证、卡号、CVV码等多项个人隐私信息的泄露，一时间引发众多用户对携程安全体系的强烈质疑。张百川告诉法治周末记者。

对于携程保留客户信息是否将面临处罚的问题，闫鑫表示，目前还没有得到任何相关通知。携程在曝出安全漏洞后也在其公告中称，已经启动了PCI认证程序，以期更好的符合监管要求。

不过，携程CVV码安全漏洞事件所带来的魔咒似乎并没有因此得以完全解开，一系列相关的质疑仍在不断涌现——携程为何要存储用户的CVV码？这一做法是否合规？CVV码一旦泄露将给用户带来哪些损失？携程为何存储用户CVV码关于携程安全漏洞的报告，由网友猪猪侠发布在乌云平台上。同时，我们已经启动了CFCA和PCI的认证程序，以期更好地符合监管要求。

携程此前也发布公告称：我们将会按照监管部门的要求，尽快优化完善用户的支付流程，排查所有可能存在漏洞，邀请国内知名网络安全专家对携程系统进行会诊。那么，如果将来出现因此次信息泄露导致的消费者损失的情况，携程又将如何处理？对此，闫鑫表示：如果将来出现了消费者因此次信息泄露导致的信用卡被盗刷的情况，携程肯定会在第一时间配合相关部门如公安机关等去积极调查这一问题。不过这一说法目前尚未得到携程方面的确认。闫鑫告诉法治周末记者，这些问题是由于携程工作人员的疏忽所致，并且是该员工的个人行为，安全日志未及时删除，所以后来才被乌云上的猪猪侠发现了这个漏洞。

中国政法大学民商经济法学院教授吴景明坦言，有规定但是没有处罚细则，这样违规者也很难得到应有的制裁，所以经营者往往敢于违规操作，这也是当前存在的一个欠缺。这93人并不是真正遇到了信息泄露的问题，只是他们的信息存在潜在的风险。

该负责人进一步表示，凡是业务中涉及到对持卡人数据的存储、传输和处理的公司，都建议做PCI认证。消费者确认该信用卡支付后，系统就会转向那张卡和它已经存储下来的CVV码，如此就启动了无卡支付流程。

从安全角度来讲，CVV码是没有必要去储存的，商家也不应该储存。Visa和银行也会强制涉及到外卡业务的第三方支付公司通过PCI认证。

据了解，所谓CVV码，即Card Verification Value，是印在信用卡上的一组验证码，通常是由卡号、有效期和服务约束代码生成的3位或4位数字。阿拉木斯表示，规范需要和法律法规相结合，不履行标准该承担怎样的法律责任，这也需要有相应的规定。董峥告诉法治周末记者，这就属于无卡交易，用户将用于支付的信用卡卡号、发卡日期、有效期、CVV码等告知对方公司后，对方会在之后的消费过程中提示消费者继续使用留有相关信息的那张信用卡。携程发布公告称，携程在发现问题后立即展开技术排查，并在两小时内修复漏洞。

即便如此，相关部门仍可以根据具体情况酌情对违规者进行处罚。在线旅游网站中，去哪儿网已经通过了PCI认证，但是携程则没有。

董峥表示，目前国家对于无卡交易的商户限定非常严格，无卡交易权很难拿到。对此，携程方面曾发布公告称，携程客服于3月23日已全数通知相关用户更换信用卡，并给予上述93名用户每人500元任我行礼品卡作为补偿。

对于在线旅游网站而言，将用户的姓名、身份证、信用卡号、CVV码等储存起来，预订反应机制会更加灵活，能优化消费者体验。猪猪侠在微博回复法治周末记者采访时表示，目前其个人并不方便对该事件进行评论。