CEO Heartland: wymagane szyfrowanie kart kredytowych

Transakcje kartami kredytowymi w USA często nie są szyfrowane, a dostawcy kart kredytowych, operatorzy płatności i sprzedawcy detaliczni muszą stosować standard szyfrowania w celu ochrony numerów kart kredytowych, powiedział dyrektor generalny naruszonego procesora płatności.

Numery kart kredytowych nie są obecnie wymagane w branży kart płatniczych wytyczne, które mają być szyfrowane w tranzycie między detalistami, procesorami płatności i wydawcami kart, Robert Carr, prezes i dyrektor generalny Heartland Payment Systems, powiedział komisji Senatu USA. Heartland w styczniu ogłosił odkrycie naruszenia danych, które pozostawiło dziesiątki milionów numerów kart kredytowych narażonych na gang hakerów.

"Teraz wiem, że ta branża musi i może zrobić więcej, aby lepiej chronić ją przed coraz bardziej wyrafinowane metody wykorzystywane przez tych cyberprzestępców ", powiedział Carr do Senackiej Komisji Bezpieczeństwa Wewnętrznego i Spraw Rządowych. "Uważam, że kluczowe znaczenie ma wdrożenie nowej technologii, nie tylko w Heartland, ale także w przemyśle." Celem przesłuchania w komisji było po części ustalenie, czy potrzebne są nowe przepisy w celu zwalczania cyberprzestępczości.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Heartland naciska na branżę kart kredytowych, aby zaaprobuj standard szyfrowania end-to-end, powiedział, a firma wdraża terminale odporne na manipulacje w punktach sprzedaży u swoich detalistów. "Naszym celem jest całkowite usunięcie numerów kont płatniczych kart kredytowych i debetowych oraz danych z pasków magnetycznych, aby nigdy nie były dostępne w używanym formacie w systemach akceptantów lub procesorów", powiedział Carr.

Firma Heartland poprosiła firmy obsługujące karty kredytowe o akceptować szyfrowane transakcje, a firma zaangażowała organy normalizacyjne i dostawców szyfrowania, powiedział Carr. Firma pomogła również utworzyć radę wymiany informacji dla procesorów płatności, w której firmy mogą wymieniać informacje o zagrożeniach, podatnościach i najlepszych praktykach, powiedział.

"Pracujemy nad tymi rozwiązaniami, zarówno technologicznymi, jak i kooperacyjnymi, ponieważ Nie chcę, aby ktokolwiek inny w naszej branży, albo nasi klienci, czy ich klienci … padli ofiarą cyberprzestępców. "

Carr nie podał szczegółów na temat naruszenia Heartland, w którym firma została naruszona przez około półtora roku. - Powiedział, że firma nadal angażuje się w dochodzenia i procesy sądowe, w których doszło do naruszenia przepisów.

Jednak w pierwszej połowie 2009 r. Firma Heartland wypłaciła około 32 mln USD za śledztwa sądowe, prace prawne i inne koszty związane z naruszeniem, powiedział.

Senator zapytał Carra o kilka ostrych pytań dotyczących wyłomu. Senator Susan Collins, republikańska republika stanu Maine, chciała wiedzieć, w jaki sposób firma może zostać naruszona od października 2006 r. Do maja 2008 r., Nie ujawniając naruszenia. "Byłem zdumiony tym, jak długi czas upłynął, kiedy hakerzy byli w stanie ukraść te numery kart kredytowych" - powiedziała. "Wyjaśnij mi, jak długo takie naruszenie mogło pozostać niewykryte."

Posiadacze kart nie zgłaszali poważnych naruszeń, odpowiedział Carr. "Sposób wykrywania naruszeń polega na tym, że określa się nieuczciwe użycie kart" - powiedział. "Nie było śladu oszukańczego używania kart, które zwróciło naszą uwagę aż do końca 2008 roku."

Collins naciskał go dalej. "Ale czy nie ma programów komputerowych, których można użyć do sprawdzenia, czy nastąpiło włamanie?" spytała.

"Są i cyberprzestępcy świetnie się maskują", powiedział Carr.

Senator Joe Lieberman, niezależny z Connecticut, zapytał Carra o zakres naruszenia.

W sierpniu, Albert Gonzalez z Miami został oskarżony w New Jersey o kradzież ponad 130 milionów kart kredytowych i debetowych, według Departamentu Sprawiedliwości USA. Został oskarżony, wraz z dwoma nienazwanymi wspólnymi konspiratorami, o użycie ataków typu SQL injection w celu kradzieży informacji o kartach kredytowych i debetowych od Heartland, 7-Eleven i Hannaford Brothers, sieci supermarketów w Maine. Gonzalez przyznał się do winy w zeszłym tygodniu, aby oddzielić zarzuty w Massachusetts i Nowym Jorku.

Za wcześnie, by stwierdzić, ile kart kredytowych przetwarzanych przez Heartland zostało naruszonych, powiedział Carr. "Nie wiemy, w jakim stopniu oszustwo w tym momencie", powiedział. "To poważny kompromis."