Heartland выходит из-под качания после нарушения данных

В течение нескольких месяцев после раскрытия того, что может быть самым большим нарушением данных в истории США, Роберт О. Карр, председатель и главный исполнительный директор Heartland, вышел из-под контроля. Вместо того, чтобы входить в почти смертельную спираль контроля над повреждениями, смягчая откровение о том, что в течение 2008 года было пропущено 100 миллионов записей клиентов, Карр указывал пальцем на самую систему платежей за то, что не стал достаточно далеко ходить с лучшими практиками. Хартленд воспользовался несколькими торговыми ассоциациями, чтобы продвигать новые инициативы, которые могли бы революционизировать индустрию платежных карт за пределами соблюдения PCI DSS.

Карр был откровенен, когда говорил о самом нарушении, в отличие от относительной тишины TJX после его данных в 2007 году. Хартленд сказал, что, по их мнению, кто-то разместил программу прослушивания в потоке, где данные в движении не были зашифрованы. Когда на этой неделе в Совете по связям с информацией о платежах (PPISC) собрались в Сант-Пит-Бич, штат Флорида, Карр предпринял необычный шаг по раздаче USB-устройств с кодом вредоносного кода, который был обнаружен в системе Heartland во время их нарушения, а также вредоносное ПО, обнаруженное в других исследованиях нарушений данных в 2008 и 2009 годах, поэтому другие процессоры платежей могут искать вредоносное ПО в своих системах. Карр сказал в своем четвертом выпуске Einings Call в четверг, что другие отрасли промышленности разделяют информацию о безопасности, подобную этой, почему процессоры карт не могут быть?

Кроме того, Heartland находится в процессе разработки подлинного сквозного (E2E) шифрования решение для его продавцов. Другое дело, что Heartland хочет быть первым платежным процессором, чтобы гарантировать, что данные остаются зашифрованными на всем пути от точки продажи посредством обработки карточной компанией. В настоящее время процессоры должны дешифровать данные кредитной карты клиента на последнем этапе из-за устаревших систем на месте карточных компаний. Heartland надеется предложить свою услугу E2E в третьем квартале этого года.

Наконец, Карр был наиболее откровенен в отношении своих конкурентов, некоторые из которых, по его словам, пытались использовать нарушение данных против Heartland. От нарушения были серьезные последствия: и Visa, и MasterCard удалили Heartland из своих списков обработчиков, сертифицированных PCI DSS, и, по крайней мере, MasterCard также наложила огромный штраф на банки, использующие Heartland. Компания также сталкивается с исками о групповых исках. Отдельно, сам Карр находится под следствием в SEC по поводу продажи акций, которую он сделал в конце 2008 года.

На прошлой неделе Heartland, которая обрабатывает данные карточек в основном из ресторанов, заправочных станций и отелей, снова была сертифицирована как совместимая с PCI DSS Visa, MasterCard и Discover. «Мы надеемся, что это закончит раз и навсегда множество ложных и вводящих в заблуждение заявлений, которые некоторые конкуренты использовали, по общему признанию, с некоторым успехом, чтобы напугать торговцев покинуть Хартленд», - сказал Карр в призыве о заработке.

Роберт Вамоси является аналитиком риска, мошенничества и безопасности для Javelin Strategy & Research и независимым автором компьютерной безопасности, охватывающим преступных хакеров и вредоносных угроз.