几天前记者接到过银率网一封邮件：

该邮件中提到，王先生的同事许女士近日要到深圳出差订酒店，她使用公司的固定电话拨打了携程的客服电话，由于订房需要预付房款，许女士就按照携程的电话语音提示输入了自己的信用卡卡号、信用卡有效期和后三位的CVV2支付密码，输入完成后，携程客服表示卡片有效，房间预定成功，会随后通过邮件发给她订单。

然而许女士的同事王先生在半个小时之后收到了招商银行发来的扣款短信，称他在携程预订的房款已扣除。正在开会的王先生一头雾水，自己根本没有通过携程订房，为何却被扣款了，难道是信用卡被盗刷了？王先生赶紧拨打了携程的电话询问这笔扣款的情况，被告知这笔扣款是同事许女士预订的深圳酒店。

事件截止到这里似乎只是携程扣款不当的问题，但是携程扣款成功的这张卡是王先生很久以前办过的一张招商银行信用卡，有效期马上就要到了，王先生在上个月已经申请了换新卡，目前这张新卡已经激活使用，旧卡早就无效了，而且旧卡和新卡后三位的支付密码并不相同，为什么携程依然能够通过这张卡扣款成功了？

对此，招商银行方面表示(银率网资料中所引用，并非经济观察网采访)，对于携程这样有品牌的网站，银行在收到支付请求时通常审核的比较松，可能在核对相关信息时出现了失误，但是到底是哪个环节的问题银行表示还需要进一步调查。

银率网分析师华明认为，在这件张冠李戴的扣款事件中，携程和银行都存在着审核漏洞：携程方面的问题是，虽然是同一个电话做的电话预定，但是许女士明明输入了自己的卡号和信息，携程却直接无视，而将款项扣到了王先生头上。

银行方面的问题是，明明已经过期的信用卡，后三位的支付密码也不相同，为何却让携程通过了扣款申请，在如今信用卡盗刷案件频发的情况下，发卡银行不仅没有对于信用卡支付请求进行更严格的把关，反倒是对大型网站的支付“睁一只眼闭一只眼”，让信息在并不正确的情况下过了关，银行无疑需要好好检讨一下了。

对于此事，汤澜用无数“巧合”来解释：

之前许女士用同事王先生的信用卡定了酒店并作了信用卡与手机的绑定。而第二次许女士致电携程网时并非如原文所说的与座机绑定，许女士在自己的账户上定酒店，而该账号上有用王先生信用卡消费的消费记录，携程网便要求许女士输入验证，许女士当时并未验证通过。但由于携程网员工的操作失误，使许女士重新输入验证信息的操作变成了信用卡(验证信息)的修改。而更巧的是，许女士信用卡的过期日期与同事王先生完全一致。于是种种巧合便导致同事王先生本已过期的信用卡被重新激活，并完成了酒店的预定。

汤澜表示，携程在此次事件中有不少失误。比如许女士在验证时，携程工作人员将此操作当成了修改，并由于许女士账号有王先生信用卡消费记录以及两人信用卡有效期完全一致等种种巧合导致了此次事件的发生。携程网确实接到了许女士的投诉，我们也向她做了解释并得到理解。

汤澜还谈到具体改进措施。一是要在在信息确认的界面上讲“修改”选项移除，从而避免类似的“误操作”。

经济观察网记者查询了相关网站，PCI DSS(Payment Card Industry Data Security Standards)即资料安全作业标准。

这是由信用卡组织(American Express, DiscoverFinancial Services, JCB International, MasterCard Worldwide, and Visa, Inc。)之PCI安全标准委员会(Payment Card IndustrySecurity Standards Council)所制定，为储存、处理、或传输信用卡持卡人账户或交易资讯之信用卡相关业务、相关机构必须遵守的安全规范。

汤澜则坦承，携程已经申请，目前确实没有通过该认证。但汤澜称在国外好像已经通过。

是的，在该认证网站上，并没有已经从事机票、酒店业务15年的携程，却有刚刚成立4年的小米。

(责任编辑：安博涛)