Heartland kommer til å svinge etter datautbrudd

I månedene etter avsløringen av hva som kan være det største dataskbrudd i amerikansk historie, har Robert O. Carr, styreformann og administrerende direktør i Heartland, kommet ut svingende. I stedet for å gå inn i en nær-døds spiral av skadekontroll, som reduserer åpenbaringen som 100 millioner kunderekorder lekket ut i 2008, har Carr peket fingeren på betalingsindustrien selv for ikke å gå langt nok med beste praksis. Heartland har benyttet seg av flere handelsforeninger for å fremme nye tiltak som kan revolusjonere betalingskortindustrien utover PCI DSS-overholdelse.

Carr har vært ganske ærlig da han snakket om bruddet selv, i motsetning til den relative stillheten fra TJX etter dataene sine bryter tilbake i 2007. Heartland sa tidlig at de trodde at noen hadde lagt et lytterprogram i strømmen der data i bevegelse ikke var kryptert. Da Payments Processing Information Sharing Council (PPISC) møttes for knyttiden i denne uken i St. Pete Beach, Florida, tok Carr det uvanlige skrittet med å overføre USB-filer med skadelig kode som ble funnet på Heartland-systemet ved brudd som i tillegg til skadelig programvare oppdaget gjennom andre undersøkelser av databrudd i 2008 og 2009, slik at andre betalingsprosessorer kan lete etter skadelig programvare på sine egne systemer. Carr sa i sin Q1 2009 Earnings Call på torsdag at andre næringer deler sikkerhetsinformasjon som dette, hvorfor kan ikke kortprosessorerene?

I tillegg er Heartland i ferd med å utvikle en sann end-to-end (E2E) kryptering løsning for sine kjøpmenn. Hva er forskjellig er at Heartland ønsker å være den første betalingsprosessoren for å sikre at dataene fortsatt krypteres helt fra salgsstedet gjennom behandling av kortselskapet. Foreløpig må prosessorer dekryptere kundekredittkortdata på det siste trinnet på grunn av eldre systemer på plass i kortselskapene. Heartland håper å tilby sin E2E-tjeneste i tredje kvartal i år.

Endelig har Carr vært mest uttalt mot sine konkurrenter, hvorav noen sier at han prøvde å bruke databrudd mot Heartland. Det var alvorlige konsekvenser av bruddet. Både Visa og MasterCard fjernet Heartland fra sine lister over PCI DSS-sertifiserte prosessorer, og i det minste gjorde MasterCard en stor bot på banker som brukte Heartland. Selskapet står også overfor en klageaksjon. Separat Carr selv er under utredning fra SEC om et lager salg han gjorde sent i 2008.

Sist uke, Heartland, som behandler kortdata primært fra restauranter, bensinstasjoner og hotell, ble sertifisert igjen som PCI DSS-kompatibel ved Visa, MasterCard og Discover. "Vi håper at dette vil ende en gang for alle de mange falskhetene og misvisende uttalelsene som noen konkurrenter har brukt, med viss suksess for å skremme kjøpmenn til å forlate Heartland," sa Carr i inntjeningsanropet.

Robert Vamosi er en risiko-, svindel- og sikkerhetsanalytiker for Javelin Strategy & Research og en uavhengig datasikkerhetsforfatter som dekker kriminelle hackere og malware trusler.