Jantung Dilepaskan Berayun Setelah Pelanggaran Data

Dalam bulan-bulan setelah pengungkapan apa yang mungkin merupakan pelanggaran data terbesar dalam sejarah AS, Robert O. Carr, ketua dan CEO Heartland, telah keluar berayun. Alih-alih masuk ke spiral pengendali kerusakan yang nyaris mati yang meredakan penyataan bahwa 100 juta catatan pelanggan bocor selama tahun 2008, Carr telah mengarahkan jari pada industri pembayaran itu sendiri karena tidak pergi cukup jauh dengan praktik terbaik. Heartland telah mengambil keuntungan dari beberapa asosiasi pedagang untuk mempromosikan inisiatif baru yang dapat merevolusi industri kartu pembayaran di luar kepatuhan PCI DSS.

Carr telah cukup jujur ​​ketika berbicara tentang pelanggaran itu sendiri, yang bertentangan dengan keheningan relatif dari TJX setelah datanya melanggar kembali pada tahun 2007. Heartland mengatakan sejak awal bahwa mereka percaya seseorang menempatkan program pendengar dalam aliran tempat data bergerak tidak dienkripsi. Ketika Dewan Informasi Pengolahan Pengolahan Pembayaran (PPISC) bertemu untuk pertama kalinya minggu ini di St. Pete Beach, Florida, Carr mengambil langkah yang tidak biasa dalam membagikan USB dengan kode malware yang ditemukan pada sistem Heartland pada saat pelanggaran mereka terjadi. serta malware yang ditemukan melalui investigasi pelanggaran data lainnya pada tahun 2008 dan 2009 sehingga pemroses pembayaran lainnya dapat mencari malware di sistem mereka sendiri. Carr mengatakan di Q1 2009 Penghasilan Call pada hari Kamis bahwa industri lain berbagi informasi keamanan seperti ini, mengapa tidak bisa prosesor kartu?

Selain itu, Heartland sedang dalam proses mengembangkan enkripsi end-to-end (E2E) yang benar solusi untuk para pedagangnya. Apa yang berbeda adalah Heartland ingin menjadi prosesor pembayaran pertama untuk memastikan bahwa data tetap dienkripsi sepanjang jalan dari titik penjualan melalui pemrosesan oleh perusahaan kartu. Saat ini, prosesor harus tidak mengenkripsi data kartu kredit pelanggan pada langkah terakhir karena sistem warisan di tempat perusahaan kartu. Heartland berharap dapat menawarkan layanan E2E mereka pada kuartal ketiga tahun ini.

Akhirnya, Carr menjadi yang paling vokal terhadap para pesaingnya, beberapa di antaranya dia mengatakan mencoba menggunakan data pelanggaran terhadap Heartland. Ada dampak serius dari pelanggaran tersebut: Baik Visa dan MasterCard menghapus Heartland dari daftar prosesor bersertifikasi PCI DSS mereka, dan setidaknya MasterCard juga memberlakukan denda besar pada bank yang menggunakan Heartland. Perusahaan juga menghadapi gugatan class action. Secara terpisah, Carr sendiri sedang diselidiki dari SEC mengenai penjualan saham yang dia buat pada akhir 2008.

Pekan lalu, Heartland, yang memproses data kartu terutama dari restoran, pom bensin, dan hotel, disertifikasi lagi sebagai PCI DSS compliant oleh Visa, MasterCard, dan Discover. "Kami berharap ini akan berakhir sekali dan untuk semua host kebohongan dan pernyataan menyesatkan bahwa beberapa pesaing telah menggunakan, diakui dengan beberapa keberhasilan untuk menakut-nakuti pedagang agar meninggalkan Heartland," kata Carr dalam panggilan pendapatan.

Robert Vamosi adalah analis risiko, penipuan, dan keamanan untuk Javelin Strategy & Research dan penulis keamanan komputer independen yang mencakup peretas kriminal dan ancaman malware.