TDC 关闭
OTA

信息安全下的旅游电商“钱”程

中国旅业报 2014-04-23 12:15:48

OTA为争夺市场发起残酷的“价格战”。事实上,信息安全也是“命门”。若对此不予高度重视,或会断送大好“钱”程。

  携程无疑是我国最大的在线旅游企业,去年营收额超过700亿元,这家既无飞机又无酒店的轻质旅游企业,将很快挤进世界五百强企业的阵营,却突然被人揪出存储了客户信用卡CVV(信用卡用于网上或电话交易的安全码)密码的痛脚,在世人面前暴露出企业在客户信息安全管理上的漏洞。

  这起被外界视为老猫烧须的偶然事件,让拥有先进技术管理团队的携程吃惊不小,也让携程付出了代价。据媒体报道,一些携程信用卡客户获悉后纷纷给银行打电话,不是要求换卡,就是改密码。上海一家大型跨国企业的差旅经理日前也在论坛上公开要求携程应该向全国人民道歉。而且,当时携程的股价也出现了波动。

  一名携程管理层讲述了他的苦涩故事:他到携程后,一位在东北的小学同学不知道携程是干吗的,以为他在一个鞋城工作;这次信用卡事件发生后,竟然千里迢迢来电打探内部消息——在携程上买机票是否安全?这次,他总算闹明白携程是卖机票订酒店的。他苦笑道。

  技术:矛与盾

  接受记者采访的业内人士大多认为,信息安全技术漏洞并不可怕,是矛与盾的动态关系。一个矛出来后,一定会有盾的出现,关键是企业对客户信息安全的态度。上海杉达学院副校长薛兴国如此认为。

  薛兴国长期研究旅行社管理,并承担过线上旅行社管理体系科研项目。在他看来,作为线上企业,受到科学认识和技术手段的限制,不可能把防火墙打造得天衣无缝,无懈可击,只能及时发现、及时补救,就像微软那样的大企业,也不得不随时发布补丁程序。就信息安全来讲,永远是相对安全,没有绝对安全。但目前出现的问题是企业员工对安全制度的执行力的问题,实际上也是在信息安全方面的管理能力。这位学者从管理学角度点出了问题所在。

  在他看来,比携程信用卡漏洞更恶劣的是,一些可以接触客户信息的不良分子,拿着企业内部信息去卖钱,给消费者带来无穷烦恼。

  上海一位高校负责人近日在微信上苦恼:不知谁把他的微信号出卖了,导致每天有人向他发来微信,诉说有如何病困,望他能解囊相助,让他不胜其烦。

  让这种缺德事情相形见绌的是专事漏洞交易的黑客,在偷取有价值的信息转手倒卖盈利,这种情况更让人不寒而栗。

  尽管国家现在开始打击这些信息大盗,但据知情者透露,市场上存在着黑市交易。把有价值信息卖上两遍后,才告诉你网站存在某某漏洞,这是不能公开讲的秘密。沪上一家知名IT企业的技术高管告诉记者。

  因此,在技术上如何防范信息窃取和建立被窃信息追踪系统,打造另一个防护之盾,是技术界与负责公共信息安全管理部门需要面对的新课题。

  管理:OTA的命门

  现在,信息技术的发展给人们带来了便利,但也让人感到似已进入没有隐私的时代。一位企业负责人对记者感慨,现在再机密的企业内部信息,在信息工程师面前根本无密可保:企业在他们面前,就像一个躺在手术室里的裸身患者。所以,我们要寻找的是负责任的IT公司和诚信可靠的IT工程师。

  那如何来确保机密信息不外泄呢?承担国家旅游团队信息统计系统建设的上海金棕榈机构在实践中摸索出自己一套管理办法。

  我们企业内部实行了ISO20000和ISO27001的双重信息安全认证制度外,还按公安部要求参加了信息安全等级保护评定,给每个可能泄露机密信息的环节加上几把安全锁,杜绝人为的可能疏失和漏洞。金棕榈首席信息官欣欢告诉记者。

  据悉,携程也已亡羊补牢,严格执行符合金融监管机构要求的数据安全标准,并着手申请相关认定。

  锦江电商公司CEO包磊看来,再好的制度,还在于执行力和自动纠错机制。他对记者说:他不相信携程没有相应的涉密技术操作规程,但问题是有人为疏忽后,是否有机制能够及时发现并作出反应,防止企业内部问题外部化,酿成用户的信任危机。

  现在不少线上企业为争夺市场发起残酷的价格战,斗得头破血流。事实上,消费者的信息安全,才是OTA的命门。若相关企业对此不予高度重视,也许一个致命的疏失,就会断送企业的大好程。

  输入CVV和存储CVV是两个概念

  携程被曝出支付安全漏洞后,引发社会舆论的关注,也给线上旅游企业敲响了警钟,即企业无论规模大小,都须将客户隐私和金融安全放在首位。

  沪上有业内人士指出,从技术角度来说,根据国际惯例,银行卡号、密码等不应该存放于非金融企业内部。这相当于把你信用卡的密码存储并泄漏了。他进一步指出:需要输入CVV和存储CVV是两个概念,企业管理者应该非常明白的。

  有沪上专家表示,在某些电商网站采购旅游产品,例如刷陌生人的招行信用卡来订购机票,只要卡号和有效期两个信息,就可以成交。若不在内部操作程序上对关键信息进行加密,风险非常大,因为几乎任何一位网站的内部操作员都可以轻易拿到用户信用卡信息,这就会给客户带来金融安全风险。

  专家提醒:安全风险需防微杜渐

  据业内人士透露,OTA网站无卡无密码支付曾经是行业通病,此前已有多家OTA企业多次被曝出过同类问题,但携程无疑极大加剧了用户对在线旅游企业网络支付安全性能的疑虑。

  携程的确有错,不该保存用户CVV码,即便在付款过程中需要记录并转发给银行接口用户信息,但是记录和保存日志的做法无疑破坏了安全性。中国旅游研究院博士杨彦锋认为,客户应该得到风险提示和建议,并保证提示信息的单独送达,同时也应得到风险赔偿保证。从长远来看,预计会损失一部分客户,长期客户信赖感会下降,尤其是对高端商旅客户的信赖感有影响。

  但凡做过信息安全评估的人都知道,漏洞不等于风险,构成信息安全风险有很多要素。信息安全方面专家龚蔚分析,虽然理论上这些经过AES强加密的信用卡号和CVV还是有可能被破解,但是其难度不是一般黑客所能为之的。

  银行业的做法值得借鉴,通过手机短信、动态密码、规定支付限额等方式的结合使用可以使支付的安全系数大大提升。施慧洪建议,电商可以通过寻找战略合作伙伴、建立查漏洞激励机制等手段弥补内部人员管理上的不足。

  对于OTA企业来说,应当处理好市场竞争与安全保障的关系,企业提高竞争力要基于技术、制度的安全。李仲广强调,企业必须处理好规模增长与服务质量的关系,OTA市场以成倍速度增长,但其业务涉及的综合性问题需要及时配套、完善,必须强化内部管理和应对外部挑战。

© 以商业目的使用环球旅讯拥有版权的内容,请遵循环球旅讯 版权声明 获得授权。非商业目的使用,请遵循 CC BY-NC 4.0

评论

请登录 参与评论
微信扫码分享