CEO Heartland: требуется шифрование кредитной карты

Операции с кредитными картами в США часто не шифруются, а поставщики кредитных карт, платежные процессоры и розничные торговцы должны использовать стандарт шифрования для защиты номеров кредитных карт, заявил в понедельник генеральный директор обработчика пропущенных платежей.

Номера кредитных карт теперь не требуются в индустрии платежных карт руководящие принципы, которые должны быть зашифрованы при транзите между розничными торговцами, обработчиками платежей и эмитентами карт, Роберт Карр, председатель и главный исполнительный директор Heartland Payment Systems, сказал в комитете Сената США. Heartland в январе объявила об обнаружении нарушения данных, которое оставило десятки миллионов номеров кредитных карт, оказавшихся в банде хакеров.

«Теперь я знаю, что эта отрасль должна и может сделать больше, чтобы лучше защитить ее от все более изощренные методы, используемые этими киберпреступниками », - сказал Карр в комитете по национальной безопасности Сената и по правительственным делам. «Я считаю, что крайне важно внедрять новые технологии не только в Heartland, но и в масштабах всей отрасли». Цель слушания в комитете состояла в том, чтобы определить, требуется ли новое законодательство для борьбы с киберпреступностью.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

Heartland настаивает на том, чтобы индустрия кредитных карт утверждают, что он использует сквозной стандарт шифрования, и компания развертывает терминальные терминалы, устойчивые к несанкционированному доступу, в своих розничных сетях. «Наша цель - полностью удалить номера платежных счетов кредитных и дебетовых карт и данных с магнитной полосой, чтобы они никогда не были доступны в пригодном для использования формате в торговых или процессорных системах», - сказал Карр.

Heartland обратилась к компаниям кредитных карт с просьбой Carr сказал, что они принимают зашифрованные транзакции, и компания привлекла органы стандартов и поставщиков шифрования.

«Мы работаем над этими решениями, как технологическими, так и кооперативными, потому что компания также помогла сформировать Совет по обмену информацией для платежных процессоров, где компании могут делиться информацией об угрозах, уязвимости и передовой практике. Я не хочу, чтобы кто-либо еще в нашей отрасли, или наши клиенты, или их клиенты … стали жертвами этих киберпреступников », - сказал он.

Carr не представил подробностей о нарушении Heartland, в котором компания была скомпрометирована около полутора лет. По его словам, компания продолжает участвовать в расследованиях и судебных процессах, связанных с нарушением.

Тем не менее, Хартленд заплатил около 32 миллионов долларов США в первом полугодии 2009 года за судебные расследования, юридическую работу и другие обвинения, связанные с нарушением, сказал он.

Сенаторы задали Карру некоторые острые вопросы о бремени. Сенатор Сьюзен Коллинз, республиканец штата Мэн, хотела узнать, как компания может быть скомпрометирована с октября 2006 года по май 2008 года, не обнаружив нарушения. «Я был поражен тем, что прошло много времени, когда эти хакеры смогли украсть эти номера кредитных карт», - сказала она. «Объясните мне, как нарушение такого масштаба может оставаться незамеченным так долго».

Владельцы карт не сообщали о серьезных нарушениях, ответил Карр. «Как правило, обнаружены нарушения, связанные с использованием мошеннических видов использования карт», - сказал он. «Не было намека на мошенническое использование карт, которые дошли до нашего внимания до конца 2008 года».

Коллинз нажал на него дальше. «Но нет ли компьютерных программ, которые можно использовать, чтобы проверить, произошло ли вторжение?» - спросила она.

«Есть, и киберпреступники очень хорошо маскируются», - сказал Карр.

Сенатор Джо Либерман, независимый от Коннектикута, спросил Карра о степени нарушения.

В августе, Альберту Гонсалесу из Майами было предъявлено обвинение в Нью-Джерси за кражу более 130 миллионов кредитных и дебетовых карт, согласно данным Министерства юстиции США. Ему было предъявлено обвинение вместе с двумя неназванными соучастниками, используя атаки SQL-инъекций, чтобы украсть информацию о кредитных и дебетовых картах от Heartland, 7-Eleven и Hannaford Brothers, сети супермаркетов в Мейне. Гонсалес признал себя виновным на прошлой неделе, чтобы разделить обвинения в Массачусетсе и Нью-Йорке.

Слишком рано говорить о том, сколько кредитных карт, обработанных Heartland, было скомпрометировано, сказал Карр. «На данный момент мы не знаем масштабов мошенничества», - сказал он. «Это важный компромисс».