注意：重点针对具体问题进行针对性攻击，谨防对整个行业的全方位轰炸。 支付方式是否存在安全风险，或者支付方式的执行过程是否存在安全风险，本质上是不同的，治理方法也不同。 在携程事件中，是携程出了问题，而不是信用卡支付或CVV2（或CVC2）验证本身有问题。

携程网泄露用户支付信息的漏洞原本是一家互联网公司的技术和安全事件，但被认为可能会加剧当前互联网金融监管之争。 之所以这么说，是因为现在确实有一个流行的观点，认为某个支付事件的不安全就意味着整个支付方式乃至整个互联网金融的不安全。

但正确的逻辑并不是这样的。 如果你仔细看这次携程泄密事件，其实是发生在信用卡支付过程中。 这种信用卡支付方式符合国际惯例，这意味着全球发达国家都在使用携程正在使用的信用卡支付方式。 携程之所以出现问题，是因为它存在技术漏洞。 更重要的是，携程在处理用户信息方面操作不规范。 它不仅存储了CVV2码和其他按照国际惯例不应该存储的信息，而且没有加密。

这说明什么？ 说明携程使用的支付方式在国际上是安全的，但由于网站的不规范行为和疏忽，这种安全的支付方式也变得不安全； 说明世界上不存在绝对安全的支付方式，而泄露问题的关键并不在于某种支付方式存在原罪般的不安全缺陷，而在于运营者是否规范以及相关保障体系是否健全。 某种支付方式甚至互联网金融的不安全性，不能仅凭互联网公司的个案来论证。 按照这个逻辑，可以阻止的在线支付方式太多了。

这也让人想起目前四大银行降低快捷支付限额、《支付机构网上支付业务管理办法》和《移动支付业务发展指导意见》（征求意见稿）央行发布的，以及央行关于虚拟支付服务的政策。 信用卡和二维码支付暂停的主要原因也是出于安全问题。

但基于移动支付的互联网金融安全问题与二维码的额度降低、暂停真的有必然联系吗？ 从这次携程泄密丑闻可以看出，泄密丑闻虽然暴露了携程的安全管理缺陷，但归根结底，这只是携程网站的问题以及人和公司的疏忽，而不是系统和技术本身的问题。 。 问题在于，之前被暂停的二维码支付方式存在风险，但实际上是由于二维码扫描过程中遇到的网络钓鱼和非法信息造成的，而不是二维码支付方式本身。 如果出于安全原因停止二维码支付，现在携程网上信用卡支付出现问题，央行是否会考虑也停止信用卡的CVV支付方式？

因此，限制和暂停不应成为保障互联网金融安全的主要方式。 监管部门应该更加关注如何保证信用支付使用的安全。

例如，相关网站强制通过PCI-DSS安全认证等国际在线交易数据安全标准，并定期进行验证。 PCI-DSS安全认证的主要流程是由VISA和授权的独立审核公司完成的彻底的在线支付系统安全审核，其中包括近200个审核项目。 其基本安全措施包括：商户不得存储任何信用卡的三位数或四位数确认码； 商家不得不必要地显示信用卡的所有数字； 实施网上交易时，传输信用卡信息时必须采用加密技术； 密码设置必须至少有7位数字，并且必须包含数字和字母； 更改密码时，不能提供与前四次相同的密码，且尝试密码不能超过6次。

此外，还有其他重要措施保护信用卡数据安全，例如要求商户在内部网络安装防火墙、监控重要数据的使用记录等。

又比如，强制“宝贝军团”为用户购买保险并提供赔偿服务。 理财及余额宝现已由保险公司全额承保。 一旦资金被盗，最终将由保险公司赔付。

不要总是说付款方式是安全的。 支付方式是否存在安全风险，或者支付方式的执行过程是否存在安全风险，本质上是不同的，治理方法也应该有所不同。 至少在现阶段，面对互联网金融这样的新事物，手段上的安全保障和监管比制度上的改变更合适。 与其动不动就否定、暂停某些支付方式，不如在手段上督促、帮助他们改进。 关于安全细节，当然，前者更容易，后者可能更麻烦。