昨天下午支付宝服务中断超过2个小时。估计肯定有技术人员要背大黑锅了。
今天下午更悲催,到现在为止,携程网站和App依然全线瘫痪。
转了一圈问了一些人,对携程的事件,现在依然没有一个准确的说法。根据不一定靠谱的消息,携程各个节点上的所有业务代码都被干掉了。
事件的真相如何,也许我们永远也不可能知道。但是携程在安全问题上犯二也不是第一次了。希望这一次不涉及大规模的数据泄漏。
今天我想聊的,是关于在互联网上如何安全地使用信用卡。
以携程为代表的众多互联网公司和移动互联网公司,非常流畅地在使用信用卡支付通道进行收款。最近随着打车软件的兴起,要求用户在手机或者网站上绑定信用卡的应用越来越多了。除了uber,最近我还看到一号专车、去哪儿客户端等也开始鼓励用户绑定信用卡。
事实上就我看到的情况,这些绑定中的绝大多数是不合法和不安全的。
第三方支付行业信息安全标准领域有一个强制性的认证标准,称之为PCI DSS,全称是Payment Card Industry (PCI) Data Security Standard.
这个标准中有一个很重要的条款,叫做敏感数据储存条款。
原文如下:
Do not store sensitive authentication data after authorization (even if encrypted). If sensitive authentication data is received, render all data unrecoverable upon completion of the authorization process.
意思是,任何敏感认证数据(SAD:Sensitive Authentication Data)在授权完成之后禁止存储,即使进行了加密也是绝对禁止的。
什么意思呢?如果你使用的App,在你完成首次信用卡支付授权之后,是不应该储存你的信用卡敏感信息的。如果你下次支付没有输入任何信息就自动完成了,那么这个应用肯定是违反PCI DSS的。
举个例子,你第一次去超市卖东西。收银员在你刷了卡,输完密码完成交易后对你说: