乌云漏洞平台披露：某网站日志存在严重漏洞，用户银行卡信息可被任意读取，其中包含持卡人姓名身份证、银行卡号、卡CVV码等等。此事，引爆了大众对支付安全行业的空前关注。某网站公开承认未通过国际支付卡产业数据安全标准PCIDSS，并对用户致歉。作为国内一家通过PCIDSS(支付卡产业数据安全标准)的在线旅游商，去哪儿网CTO吴永强近日向笔者讲述了当初去哪儿网通过PCIDSS的艰难考核。“不少公司都不愿在此项目上做过多投入”，吴永强说。

　　业界人士认为去哪儿网已经通过技术投入早已占领旅游平台制高点。据悉，PCIDSS由PCI安全标准委员会的创始成员visa、mastercard、 AmericanExpress、DiscoverFinancial Services、JCB五大国际卡组织制定。PCIDSS为国际上较高安全标准。

　　据石家庄网站建设了解，进行PCI验证时，验证方会对被测试公司，进行多方面地地毯式扫描以便找出各类漏洞；还要在申请的时候严格申明不能保存不该存的信息。

　　据吴永强回忆：去哪儿当初申请认证时，花了整整三个月才得以通过，前后必须经过硬件、软件、工作流程、员工、用户等环节总共有200多项项目的关卡；除了如此严苛的认证环节外，去哪儿网每年还必须接受验证方重检一次。

　　其中，PCIDSS对于用户隐私的保护要求几乎接近苛刻的程度。“卡组织对所有的信息都进行了分类。如果姓名和有效期没有和卡号同时存储，则可以明文存储；而一旦存储了银行卡号，则需要使用强加密算法对卡号进行保护。”吴永强介绍说。

　　按照PCIDSS认证的要求，去哪儿网除了正当业务的员工，谁也接触不到用户的任何卡信息：包括卡号、姓名、有效期，更别说明文的CVV2码了，这是PCIDSS明文规定的不得留存的高敏感信息。

　　此次爆发的某旅行网信用卡事件也是其缺少员工培训的一个恶果。据相关报道，在某网站呼叫中心里，客服人员也可以口头明文索要用户的CVV2码。这在去哪儿网是不可能发生的事情。

　　此外，国际卡组织考察网站的另一项重要指标就是其技术安全能力。据吴永强介绍，去哪儿网在技术上一直****，系统架构都是全球各大公司才采用的先进系统，这是它得以通过PCIDSS认证的基础。

　　2010年去哪儿网启动的“TTS 系统”(TotalSolution)，进一步推动了交易安全。TTS系统让用户的预订，全部在去哪儿平台上完成，其交易安全可以得到***地有效保障。

　　吴永强认为，以前业内对于PCI认证的权威性很认同，但由于它对消费者隐私信息加以保护的过程，消费者大多无法感知，而合规认证本身又极为严苛，所以从成本上和技术实力上的考虑，不少公司都不愿在此项目上做过多投入。