Heartland kommt nach Datenpanne auf Swing

In den Monaten nach der Veröffentlichung der möglicherweise größten Datenpanne in der US-Geschichte hat Robert O. Carr, Chairman und CEO von Heartland, die Runde gemacht. Statt in eine Nahtod-Spirale der Schadenskontrolle zu gehen, die die Enthüllung, dass 100 Millionen Kundendaten im Jahr 2008 geleakt wurden, milderte, hat Carr der Zahlungsindustrie selbst den Finger gezeigt, dass sie mit Best Practices nicht weit genug ging. Heartland hat mehrere Händlerverbände genutzt, um neue Initiativen zu fördern, die die Zahlungskartenbranche über die PCI-DSS-Compliance hinaus revolutionieren könnten.

Carr hat sich offen über den Bruch selbst geäußert, im Gegensatz zu dem Schweigen von TJX nach seinen Daten Zurück in 2007. Heartland sagte früh, dass sie glaubten, jemand habe ein Listener-Programm in den Stream platziert, wo Daten in Bewegung nicht verschlüsselt waren. Als sich der Rat für die Verarbeitung von Zahlungsinformationen (PPISC) diese Woche zum ersten Mal in St. Pete Beach, Florida, traf, machte Carr den ungewöhnlichen Schritt, USBs mit dem zum Zeitpunkt des Verstoßes auf dem Heartland-System gefundenen Malware-Code auszuhändigen Dies gilt auch für Malware, die 2008 und 2009 durch andere Ermittlungen wegen Datenschutzverletzungen entdeckt wurde, so dass andere Zahlungsprozessoren auf ihren eigenen Systemen nach Malware suchen konnten. Carr sagte in seinem Gewinnanruf am 1. Quartal 2009 am Donnerstag, dass andere Branchen Sicherheitsinformationen wie diese teilen, warum können die Kartenprozessoren nicht?

Zusätzlich entwickelt Heartland eine echte End-to-End (E2E) Verschlüsselung Lösung für seine Händler. Der Unterschied besteht darin, dass Heartland der erste Zahlungsprozessor sein möchte, der sicherstellt, dass die Daten vom Verkauf bis zur Verarbeitung durch die Kartenfirma verschlüsselt bleiben. Derzeit müssen die Prozessoren die Kreditkartendaten der Kunden im letzten Schritt entschlüsseln. Heartland hofft, im dritten Quartal dieses Jahres seinen E2E-Dienst anbieten zu können.

Schließlich hat sich Carr am deutlichsten gegen seine Konkurrenten ausgesprochen, von denen einige sagen, er habe versucht, die Datenverletzung gegen Heartland zu nutzen. Der Verstoß hatte schwerwiegende Auswirkungen: Sowohl Visa als auch MasterCard haben Heartland von ihren Listen der PCI DSS-zertifizierten Prozessoren gestrichen, und zumindest MasterCard hat Banken, die Heartland verwenden, eine hohe Strafe auferlegt. Das Unternehmen steht auch einer Sammelklage gegenüber. Getrennt wird Carr selbst von der SEC wegen eines Aktienverkaufs, den er Ende 2008 gemacht hat, untersucht.

Letzte Woche wurde Heartland, das Kartendaten hauptsächlich von Restaurants, Tankstellen und Hotels verarbeitet, erneut als PCI DSS-konform zertifiziert mit Visa, MasterCard und Discover. "Wir hoffen, dass dies ein für allemal die vielen Falschheiten und irreführenden Aussagen, die ein paar Konkurrenten verwendet haben, ein Ende nimmt, zugegebenermaßen mit einigem Erfolg, um Händlern Angst zu machen, Heartland zu verlassen", sagte Carr in dem Gewinnbericht.

Robert Vamosi ist ein Risiko-, Betrugs- und Sicherheitsanalyst für Javelin Strategy & Research und ein unabhängiger Computer-Sicherheitsexperte, der kriminelle Hacker und Malware-Bedrohungen abdeckt.