Heartland wychodzi z huśtawki po naruszeniu danych

W miesiącach następujących po ujawnieniu największego naruszenia danych w historii Stanów Zjednoczonych Robert O. Carr, prezes i dyrektor generalny Heartland, zaczął się huśtać. Zamiast wdawać się w spiralę obumarcia kontroli szkód, łagodząc objawienie, że 100 milionów rekordów klientów wyciekło w 2008 r., Carr wskazał palcem na samą branżę płatności, nie idąc wystarczająco daleko w kwestii najlepszych praktyk. Heartland wykorzystał kilka stowarzyszeń kupców do promowania nowych inicjatyw, które mogłyby zrewolucjonizować branżę kart płatniczych poza zgodność ze standardem PCI DSS.

Carr był dość szczery mówiąc o samym naruszeniu, w przeciwieństwie do relatywnej ciszy z TJX po danych naruszenie w 2007 roku. Heartland powiedział wcześnie, że wierzy, że ktoś umieścił program odsłuchowy w strumieniu, w którym dane w ruchu nie były szyfrowane. Kiedy Rada ds. Przetwarzania Informacji Przetwarzania Płatności (PPISC) zebrała się po raz pierwszy w tym tygodniu w St. Pete Beach na Florydzie, Carr podjął niezwykły krok, by wydać USB z kodem złośliwego oprogramowania znajdującym się w systemie Heartland w momencie ich naruszenia jako a także szkodliwe oprogramowanie wykryte w wyniku innych dochodzeń w sprawie naruszenia danych w 2008 i 2009 r., więc inne podmioty przetwarzające płatności mogły wyszukiwać złośliwe oprogramowanie w swoich systemach. Carr powiedział w czwartek, że inne branże podzielają takie informacje o bezpieczeństwie, dlaczego procesory kart nie mogą tego zrobić?

Dodatkowo Heartland opracowuje prawdziwe szyfrowanie end-to-end (E2E) rozwiązanie dla swoich kupców. Co innego, Heartland chce być pierwszym procesorem płatności, aby zapewnić, że dane pozostaną zaszyfrowane od punktu sprzedaży do przetwarzania przez firmę kartową. Obecnie procesor musi odszyfrować dane karty kredytowej klienta w ostatnim kroku ze względu na istniejące systemy w miejscu firm kart. Heartland ma nadzieję zaoferować swoją usługę E2E w trzecim kwartale tego roku.

Wreszcie, Carr był najbardziej otwarty na swoich konkurentów, z których niektórzy twierdzą, że próbowali wykorzystać naruszenie danych przeciwko Heartland. Istniały poważne reperkusje w związku z naruszeniem: zarówno Visa, jak i MasterCard usunęły Heartland ze swoich list certyfikowanych procesorów PCI DSS, a przynajmniej MasterCard również nałożył solidną karę na banki korzystające z Heartland. Firma ma również pozew zbiorowy. Odrębnie, firma Carr jest badana przez SEC w związku ze sprzedażą akcji, którą wykonał pod koniec 2008 roku.

W ubiegłym tygodniu Heartland, który przetwarza dane z kart głównie z restauracji, stacji benzynowych i hoteli, ponownie uzyskał certyfikat zgodności ze standardem PCI DSS Visa, MasterCard i Discover. "Mamy nadzieję, że skończy się to raz na zawsze z powodu kłamstw i wprowadzających w błąd oświadczeń, których kilku konkurentów używało, co prawda z pewnym powodzeniem przestraszyło kupców, by opuścili Heartland", powiedział Carr w wywiadzie.

Robert Vamosi jest analitykiem ds. ryzyka, nadużyć finansowych i bezpieczeństwa dla Javelin Strategy & Research oraz niezależnym twórcą zabezpieczeń komputerowych zajmującym się hakerami i złośliwymi programami przestępczymi.