Heartland vystupuje po houpání po porušení dat

V měsících následujících po zveřejnění toho, co může být největším narušením údajů v historii USA, se Robert O. Carr, předseda a generální ředitel společnosti Heartland, vydal houpat. Namísto toho, aby vstoupil do téměř smrtelné spirály kontroly škod, která zmírnila odhalení, že v průběhu roku 2008 uniklo 100 milionů zákaznických záznamů, Carr poukazuje prstem na samotný sektor plateb za to, že s osvědčenými postupy nedosáhl dostatečně daleko. Heartland využila několik sdružení obchodníků, aby podpořila nové iniciativy, které by mohly převrat v odvětví platebních karet nad rámec dodržování standardu PCI DSS.

Carr byl naprosto upřímný, když hovořil o samotném narušení, na rozdíl od relativního ticha od TJX po jeho dat v roce 2007 došlo k porušení. Heartland řekl brzy, že věřili, že někdo umístil program posluchače do proudu, kde nebyla data v pohybu šifrována. Když se Rada pro sdílení informací o zpracování plateb (PPISC) sešla tentokrát v pátek v St. Pete Beach na Floridě, Carr vzal neobvyklý krok rozdávání USB s kódem malwaru nalezeným v systému Heartland v době jejich porušení stejně jako malware, který byl zjištěn v průběhu dalších šetření porušení údajů v letech 2008 a 2009, takže ostatní zpracovatelé plateb mohou vyhledávat škodlivý software na svých vlastních systémech. Carr řekl ve svém čtvrtém čtvrtletí roku 2009, že v ostatních průmyslových odvětvích sdílí informace o bezpečnosti, jako například to, proč nemohou zpracovat karty?

Navíc Heartland vyvíjí skutečné šifrování typu E2E (end-to-end) řešení pro své obchodníky. Co se liší, je, že Heartland chce být prvním platebním procesorem, který zajistí, aby data zůstala šifrována až od místa prodeje přes zpracování kartovou společností. V současné době zpracovatelé musí v posledním kroku nekódovat údaje o kreditní kartě zákazníků kvůli starším systémům, které jsou umístěny v kartách. Heartland doufá, že nabídne službu E2E ve třetím čtvrtletí letošního roku.

Konečně byl Carr nejvíce otevřen proti svým konkurentům, někteří z nich se pokoušeli využít průlomu dat proti Heartland. Z porušení došlo k vážným důsledkům: Visa i MasterCard odstranily Heartland ze svých seznamů zpracovatelů certifikovaných podle PCI DSS a přinejmenším společnost MasterCard uložila bankovkám Heartland pokutu. Společnost také čelí žalobě ve třídě. Samotný Carr se vyšetřuje od společnosti SEC ohledně prodeje akcií, které uskutečnil později v roce 2008. Minulý týden společnost Heartland, která zpracovává data o kartách především z restaurací, čerpacích stanic a hotelů, byla certifikována znovu jako kompatibilní s PCI DSS Visa, MasterCard a Discover. "Doufáme, že to skončí jednou a za celou řadu falešných a zavádějících tvrzení, které několik konkurentů používá, s určitým úspěchem, aby vyděsil obchodníky, aby opustili Heartland," řekl Carr ve výpisech.

Robert Vamosi je rizikový, podvodný a bezpečnostní analytik společnosti Javelin Strategy & Research a nezávislý spisovatel bezpečnosti počítačů, který se zabývá kriminálními hackery a malwarovými hrozbami.