CEO Heartland: necessaria crittografia carta di credito

Transazioni con carta di credito negli Stati Uniti spesso non sono crittografati e fornitori di carte di credito, processori di pagamento e rivenditori devono adottare uno standard di crittografia per proteggere i numeri delle carte di credito, ha detto lunedì il CEO di un processore di pagamento con violazione.

I numeri delle carte di credito non sono richiesti nel settore delle carte di pagamento Le linee guida da criptare in transito tra rivenditori, processori di pagamento e emittenti di carte, Robert Carr, presidente e CEO di Heartland Payment Systems, hanno detto ad un comitato del Senato degli Stati Uniti. Heartland a gennaio ha annunciato la scoperta di una violazione dei dati che ha portato decine di milioni di numeri di carte di credito esposti a una banda di hacker.

"Ora so che questo settore ha bisogno, e può, fare di più per proteggerlo meglio contro metodi sempre più sofisticati usati da questi criminali informatici ", ha detto Carr al Senato della Sicurezza nazionale e alla commissione per gli affari governativi. "Credo che sia fondamentale implementare nuove tecnologie, non solo a Heartland, ma a livello di settore". Lo scopo dell'audizione della commissione era, in parte, determinare se fosse necessaria una nuova legislazione per combattere la criminalità informatica.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Heartland sta spingendo affinché l'industria delle carte di credito Adotta uno standard di crittografia end-to-end, ha affermato, e la società sta implementando terminali point-of-sale antimanomissione presso i suoi rivenditori membri. "Il nostro obiettivo è di rimuovere completamente i numeri di conto di pagamento delle carte di credito e di debito e dei dati a banda magnetica in modo che non siano mai accessibili in un formato utilizzabile nei sistemi di commercianti o processori", ha detto Carr.

Heartland ha chiesto alle società di carte di credito di accettare transazioni crittografate e la società ha ingaggiato enti standard e fornitori di crittografia, ha detto Carr. La società ha anche contribuito a formare un consiglio di condivisione delle informazioni per i processori dei pagamenti, dove le società possono condividere informazioni su minacce, vulnerabilità e best practice, ha affermato.

"Stiamo lavorando a queste soluzioni, sia tecnologiche che cooperative, perché Non voglio che nessun altro nel nostro settore, o ai nostri clienti o ai loro clienti … cada vittima di questi criminali informatici ", ha detto.

Carr non ha fornito dettagli sulla violazione di Heartland, in cui la società è stata compromessa per circa un anno e mezzo. La società rimane coinvolta in indagini e cause legali che hanno coinvolto la violazione, ha detto.

Tuttavia, Heartland ha pagato circa 32 milioni di dollari USA nella prima metà del 2009 per indagini forensi, lavoro legale e altri oneri relativi alla violazione.

I senatori hanno chiesto a Carr alcune domande a proposito della violazione. La senatrice Susan Collins, un repubblicano del Maine, voleva sapere come la società potrebbe essere compromessa da ottobre 2006 a maggio 2008 senza scoprire la violazione. "Sono rimasto sbalordito da quanto è trascorso un lungo periodo in cui questi hacker sono stati in grado di rubare questi numeri di carta di credito", ha detto. "Spiegami come una violazione di tale portata potrebbe non essere rilevata per così tanto tempo."

I titolari della carta non riportarono gravi violazioni, rispose Carr. "Il modo in cui le violazioni vengono normalmente rilevate è che gli usi fraudolenti delle carte sono determinati", ha affermato. "Non ci fu traccia di uso fraudolento di carte che arrivò alla nostra attenzione fino alla fine del 2008."

Collins lo spinse ulteriormente. "Ma non ci sono programmi per computer che si possono usare per verificare se si è verificata un'intrusione?"

"Ci sono, ei criminali informatici sono molto bravi a mascherarsi", ha detto Carr.

Il senatore Joe Lieberman, indipendente dal Connecticut, ha chiesto a Carr l'entità della violazione.

In agosto, Albert Gonzalez di Miami è stato incriminato nel New Jersey per il furto di oltre 130 milioni di carte di credito e debito, secondo il Dipartimento di Giustizia degli Stati Uniti. È stato accusato, insieme a due co-cospiratori senza nome, di utilizzare attacchi SQL injection per sottrarre informazioni su carte di credito e debito da Heartland, 7-Eleven e Hannaford Brothers, una catena di supermercati con sede nel Maine. Gonzalez si è dichiarato colpevole la scorsa settimana per separare le accuse in Massachusetts e New York.

È troppo presto per dire quanti numeri di carta di credito elaborati da Heartland sono stati compromessi, ha detto Carr. "A questo punto non conosciamo l'entità della frode", ha affermato. "È un compromesso significativo."