Heartland esce oscillando dopo la violazione dei dati

Nei mesi successivi alla divulgazione di quella che potrebbe essere la più grande violazione dei dati nella storia degli Stati Uniti, Robert O. Carr, presidente e CEO di Heartland, è uscito con lo swing. Invece di entrare in una spirale quasi mortale di controllo dei danni mitigando la rivelazione di 100 milioni di record di clienti trapelati nel corso del 2008, Carr ha puntato il dito contro l'industria dei pagamenti per non andare abbastanza lontano con le migliori pratiche. Heartland ha approfittato di diverse associazioni di commercianti per promuovere nuove iniziative che potrebbero rivoluzionare il settore delle carte di pagamento oltre la conformità PCI DSS.

Carr è stato molto franco quando ha parlato della violazione stessa, in opposizione al relativo silenzio di TJX dopo i suoi dati violazione nel 2007. Heartland ha detto presto che credevano che qualcuno avesse inserito un programma di ascolto nel flusso in cui i dati in movimento non erano crittografati. Quando il PPISC (Payment Information Information Sharing Council) si è riunito per la prima volta questa settimana a St. Pete Beach, in Florida, Carr ha preso l'insolita iniziativa di distribuire le USB con il codice malware trovato sul sistema Heartland al momento della loro violazione come così come il malware scoperto attraverso altre indagini sulla violazione dei dati nel 2008 e nel 2009, così altri processori di pagamento potrebbero cercare malware sui propri sistemi. Carr ha detto nel suo Q1 2009 Earnings Call giovedì che altre industrie condividono informazioni sulla sicurezza come questa, perché non possono processare le schede?

Inoltre, Heartland sta sviluppando una vera e propria crittografia end-to-end (E2E) soluzione per i suoi commercianti. Ciò che è diverso è che Heartland vuole essere il primo processore di pagamenti per garantire che i dati rimangano crittografati dal punto vendita fino all'elaborazione da parte della società di carte. Attualmente, i processori devono annullare la crittografia dei dati della carta di credito del cliente nell'ultimo passaggio a causa dei sistemi legacy in vigore presso le società di carte. Heartland spera di offrire il servizio E2E nel terzo trimestre di quest'anno.

Infine, Carr è stato più esplicito nei confronti dei suoi concorrenti, alcuni dei quali afferma che ha provato a utilizzare la violazione dei dati contro Heartland. Ci sono state serie ripercussioni dalla violazione: sia Visa che MasterCard hanno rimosso Heartland dai loro elenchi di processori certificati PCI DSS, e almeno MasterCard ha anche imposto una multa salata alle banche che utilizzavano Heartland. La società deve anche affrontare un'azione legale collettiva. Separatamente, Carr stesso è sotto indagine da parte della SEC in merito a una vendita di titoli effettuata nel 2008.

La scorsa settimana, Heartland, che elabora i dati delle carte principalmente da ristoranti, stazioni di servizio e hotel, è stata nuovamente certificata come conforme PCI DSS da Visa, MasterCard e Discover. "Ci auguriamo che questo finisca una volta per tutte la schiera di falsità e dichiarazioni fuorvianti che alcuni concorrenti hanno utilizzato, certamente con un certo successo per spaventare i commercianti nel lasciare Heartland", ha detto Carr nella chiamata di guadagni.

Robert Vamosi è un analista di rischio, frode e sicurezza per Javelin Strategy & Research e uno scrittore indipendente di sicurezza informatica che si occupa di hacker criminali e minacce malware.