在披露可能是美国历史上最大的数据泄露事件之后的几个月里,Heartland的董事长兼首席执行官罗伯特·卡尔(Robert O. Carr)出现了摇摆。与其进入一个近乎死亡的损害控制螺旋之中,减少了2008年期间泄漏1亿个客户记录的启示,Carr一直指责支付行业本身,因为没有足够的最佳实践。 Heartland利用多家商户协会推广新举措,这些举措可能会使支付卡行业发生革命性的变化,超出PCI DSS合规性。
谈到违规本身时,Carr一直很坦率,相对于TJX在其数据后相对沉默Heartland在早些时候表示,他们相信有人在流动数据未加密的流中放置了一个听众程序。当支付处理信息共享委员会(PPISC)本周在佛罗里达州的圣彼得海滩举行会议时,Carr采取了不寻常的步骤,将发生违规时Heartland系统中发现的恶意代码发送到USB以及2008年和2009年通过其他数据泄露调查发现的恶意软件,以便其他支付处理器可以在他们自己的系统上查找恶意软件。 Carr在周四举行的2009年第一季度收益电话会议上表示,其他行业共享这样的安全信息,为什么卡处理器不能?
此外,Heartland正在开发真正的端到端(E2E)加密为其商户提供解决方案。不同之处在于Heartland希望成为第一个支付处理器,以确保数据从销售点到卡公司的处理始终保持加密。目前,处理器必须在最后一步不解密客户信用卡数据,因为传统系统已安装卡公司。 Heartland希望在今年第三季度提供他们的E2E服务。
最后,Carr最直率地反对他的竞争对手,其中一些人说他试图利用对Heartland的数据泄露。这次违规行为引起了严重的反响:Visa和MasterCard都将Heartland从PCI DSS认证的加工商列表中删除,至少万事达卡还对使用Heartland的银行施加了巨额罚款。该公司还面临集体诉讼。另外,Carr本人正在接受SEC对他在2008年晚些时候进行的股票销售的调查。
上周,主要从餐厅,加油站和酒店处理卡数据的Heartland再次获得了PCI DSS认证Visa,MasterCard和Discover。 “我们希望这将永远结束一些虚伪和误导性陈述,一些竞争对手一直在使用,无可否认的是,一些成功的商家离开了Heartland,”Carr在收益电话中表示。
Robert Vamosi是Javelin Strategy&Research的风险,欺诈和安全分析师,也是一名涵盖黑客和恶意软件威胁的独立计算机安全作家。