Heartland jön az árnyékolás adatszegés után

Az USA történetében a legnagyobb adatszegés felfedését követő hónapokban Robert O. Carr, a Heartland elnöke és vezérigazgatója lengett. Ahelyett, hogy a kárellenőrzés közel halálozásának spiráljára lépne, azzal a kinyilatkoztatással, hogy 100 millió vevői rekordot szivárogt 2008-ban, Carr már az ujjával foglalkozik a fizetési ágazatban, mert nem eléggé megfelel a legjobb gyakorlatoknak. Heartland számos kereskedőegyesületet kihasználva olyan új kezdeményezéseket támogatott, amelyek a fizetési kártya iparát forradalmasíthatják a PCI DSS megfelelésen túl.

Carr egészen őszinték volt, amikor beszélt a jogsértésről, szemben a TJX relatív csendével az adataival 2007-ben megsértették. Heartland azt mondta korán, hogy azt hitték, hogy valaki egy olyan hallgatóprogramot helyez el a streamben, ahol a mozgásban lévő adatok nem titkoltak. Amikor a Paying Processing Information Sharing Council (PPISC) ezen a héten, a St. Pete Beach-i Floridában első ízben találkozott, Carr megszerezte a szokatlan lépést, amikor az USB-t a Heartland rendszerben talált kártevő kóddal adta ki, amikor megsértették őket valamint a 2008-ban és 2009-ben más adatszegési vizsgálaton alapuló rosszindulatú programok is, így más fizetési szolgáltatók malware-t kereshetnek saját rendszerükön. Carr 2009 első negyedéves bevételi felhívásán csütörtökön azt mondta, hogy más iparágak megosztják az ilyen biztonsági információkat, miért nem tudják a kártya feldolgozói?

Továbbá, a Heartland egy valódi end-to-end (E2E) titkosítás megoldás a kereskedők számára. Különben is, hogy a Heartland az első kifizetési folyamat, amely biztosítja, hogy az adatok titkosíthatók legyenek az értékesítés helyétől a kártyatársaság által végzett feldolgozáson keresztül. Jelenleg a processzoroknak meg kell titkosítaniuk az ügyfelek hitelkártya adatait az utolsó lépésben a kártyatársaságok helyett működő örökölt rendszerek miatt. Heartland reméli, hogy az idei év harmadik negyedévében felajánlja E2E szolgáltatását.

Végül Carr volt a legkifejezőbb versenytársaival szemben, akik közül néhányan azt mondta, hogy próbálta felhasználni a Heartland elleni adatszegést. A jogsértés súlyos következményei voltak: Mind a Visa, mind a MasterCard eltávolította a Heartland-t a PCI DSS-tanúsítvánnyal rendelkező feldolgozók listájáról, és legalábbis a MasterCard a Heartland-t használó bankok számára súlyos bírságot szabott ki. A cég szintén osztályellenes keresetet indít. Carr külön vizsgálja a SEC-t a 2008-ban későn elért készletesítéssel kapcsolatban.

A múlt héten a Heartland, amely elsősorban az éttermekből, benzinkutakból és szállodákból származó kártyaadatokat feldolgoz, ismét PCI DSS-nek megfelelő a Visa, a MasterCard és a Discover. "Reméljük, hogy ez egyszer és mindenkorra véget érhet a hamisítások és félrevezető kijelentések sorozata miatt, amelyeket néhány versenytárs használ, bizonyára bizonyos sikerekkel, hogy megijessék a kereskedőket a Heartland elhagyására" - mondta Carr a bevételi felhívásban.

Robert Vamosi a Javelin Strategy & Research kockázati, csalási és biztonsági elemzője, valamint egy független számítógépes biztonsági író, aki bűnügyi hackerek és rosszindulatú programok fenyegetéseit fedezi.