Heartland CEO: Enkripsi Kartu Kredit Dibutuhkan

Transaksi kartu kredit di AS sering tidak dienkripsi, dan vendor kartu kredit, prosesor pembayaran dan pengecer perlu merangkul standar enkripsi untuk melindungi nomor kartu kredit, CEO dari prosesor pembayaran yang dilanggar mengatakan Senin.

Nomor kartu kredit sekarang tidak diperlukan dalam industri kartu pembayaran pedoman untuk dienkripsi dalam perjalanan antara pengecer, prosesor pembayaran dan penerbit kartu, Robert Carr, ketua dan CEO Sistem Pembayaran Heartland, mengatakan kepada komite Senat AS. Heartland pada bulan Januari mengumumkan penemuan pelanggaran data yang menyebabkan puluhan juta nomor kartu kredit terpapar oleh sekelompok peretas.

"Saya sekarang tahu bahwa industri ini perlu, dan dapat, melakukan lebih banyak untuk lebih melindungi terhadap metode yang lebih canggih yang digunakan oleh para penjahat dunia maya ini, "Carr mengatakan kepada Senat Homeland Security dan Komite Urusan Pemerintahan. "Saya percaya sangat penting untuk menerapkan teknologi baru, tidak hanya di Heartland, tetapi di seluruh industri." Tujuan dari sidang komite adalah, sebagian, untuk menentukan apakah undang-undang baru diperlukan untuk memerangi cybercrime.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Heartland mendorong industri kartu kredit untuk mengadopsi standar enkripsi end-to-end, katanya, dan perusahaan ini menyebarkan terminal point-of-sale tamper-tahan di pengecer anggota. "Tujuan kami adalah untuk sepenuhnya menghapus nomor rekening pembayaran kartu kredit dan debit dan data magnetik sehingga mereka tidak pernah dapat diakses dalam format yang dapat digunakan dalam sistem pedagang atau prosesor," kata Carr.

Heartland telah meminta perusahaan kartu kredit untuk menerima transaksi terenkripsi dan perusahaan telah melibatkan badan standar dan vendor enkripsi, kata Carr. Perusahaan juga telah membantu membentuk dewan berbagi informasi untuk para pemroses pembayaran, di mana perusahaan dapat berbagi informasi tentang ancaman, kerentanan dan praktik terbaik, katanya.

"Kami sedang mengerjakan solusi ini, baik teknologi dan kooperatif, karena Saya tidak ingin orang lain di industri kami, atau pelanggan kami, atau pelanggan mereka … menjadi korban kejahatan cyber, "katanya.

Carr tidak memberikan rincian tentang pelanggaran Heartland, di mana perusahaan itu dikompromikan selama sekitar satu tahun setengah. Perusahaan tetap terlibat dalam penyelidikan dan tuntutan hukum yang melibatkan pelanggaran, katanya.

Namun, Heartland membayar sekitar US $ 32 juta pada paruh pertama tahun 2009 untuk penyelidikan forensik, kerja hukum dan biaya lainnya yang terkait dengan pelanggaran, katanya.

Para senator mengajukan beberapa pertanyaan runcing pada Carr. Senator Susan Collins, seorang Republik Maine, ingin tahu bagaimana perusahaan dapat dikompromikan dari Oktober 2006 hingga Mei 2008 tanpa menemukan pelanggaran. "Saya terkejut pada apa yang telah lama berlalu di mana para peretas ini dapat mencuri nomor kartu kredit ini," katanya. "Jelaskan kepada saya bagaimana pelanggaran sebesar itu bisa hilang begitu lama."

Pemegang kartu tidak melaporkan pelanggaran besar, Carr menjawab. "Cara pelanggaran biasanya dideteksi adalah bahwa penggunaan kartu curang ditentukan," katanya. "Tidak ada petunjuk penggunaan kartu curang yang menjadi perhatian kami sampai menjelang akhir tahun 2008."

Collins menekannya lebih jauh. "Tetapi apakah tidak ada program komputer yang dapat digunakan untuk memeriksa apakah ada gangguan yang terjadi?" tanyanya.

"Ada, dan para penjahat dunia maya sangat baik dalam menutupi diri mereka sendiri," kata Carr.

Senator Joe Lieberman, seorang independen dari Connecticut, bertanya kepada Carr tentang tingkat pelanggarannya.

Pada bulan Agustus, Albert Gonzalez dari Miami didakwa di New Jersey atas pencurian lebih dari 130 juta kartu kredit dan debit, menurut Departemen Kehakiman AS. Dia didakwa, bersama dengan dua rekan konspirator yang tidak disebutkan namanya, dengan menggunakan serangan injeksi SQL untuk mencuri informasi kartu kredit dan debit dari Heartland, 7-Eleven dan Hannaford Brothers, jaringan supermarket yang berbasis di Maine. Gonzalez mengaku bersalah pekan lalu untuk pungutan terpisah di Massachusetts dan New York.

Terlalu cepat untuk mengetahui berapa banyak nomor kartu kredit yang diproses oleh Heartland telah dikompromikan, kata Carr. "Kami tidak tahu sejauh mana penipuan pada saat ini," katanya. "Ini kompromi yang signifikan."