CEO de Heartland: Se necesita cifrado de tarjeta de crédito

Transacciones con tarjeta de crédito en los EE. A menudo no están encriptados, y los proveedores de tarjetas de crédito, procesadores de pago y minoristas necesitan adoptar un estándar de encriptación para proteger los números de tarjetas de crédito, dijo el lunes el CEO de un procesador de pagos incumplido.

Ahora no se requieren números de tarjetas de crédito en la industria de tarjetas de pago. directrices que deben encriptarse en tránsito entre los minoristas, los procesadores de pagos y los emisores de tarjetas, Robert Carr, presidente y CEO de Heartland Payment Systems, le dijo a un comité del Senado de los EE. UU. Heartland en enero anunció el descubrimiento de una violación de datos que dejó a decenas de millones de números de tarjetas de crédito expuestos a una pandilla de hackers.

"Ahora sé que esta industria necesita y puede hacer más para protegerla mejor contra el métodos cada vez más sofisticados utilizados por estos ciberdelincuentes ", dijo Carr a la Comisión de Seguridad Nacional y Asuntos Gubernamentales del Senado. "Creo que es fundamental implementar nueva tecnología, no solo en Heartland, sino en toda la industria". El propósito de la audiencia del comité fue, en parte, determinar si se necesita nueva legislación para combatir el delito cibernético.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Heartland está presionando para que la industria de tarjetas de crédito adopta un estándar de encriptación de extremo a extremo, dijo, y la compañía está implementando terminales de punto de venta a prueba de manipulaciones en sus minoristas miembros. "Nuestro objetivo es eliminar por completo los números de cuenta de pago de tarjetas de crédito y débito y datos de banda magnética para que nunca sean accesibles en un formato utilizable en los sistemas de comerciantes o procesadores", dijo Carr.

Heartland solicitó a las compañías de tarjetas de crédito acepta transacciones encriptadas y la compañía ha involucrado a organismos de estándares y proveedores de encriptación, dijo Carr. La compañía también ayudó a formar un consejo de intercambio de información para procesadores de pagos, donde las compañías pueden compartir información sobre amenazas, vulnerabilidades y mejores prácticas, dijo.

"Estamos trabajando en estas soluciones, tanto tecnológicas como cooperativas, porque No quiero que nadie más en nuestra industria, ni nuestros clientes, ni sus clientes … sean víctimas de estos ciberdelincuentes ", dijo.

Carr no dio detalles sobre la violación de Heartland, en la cual la empresa se vio comprometida durante aproximadamente un año y medio. La compañía continúa involucrada en investigaciones y demandas relacionadas con la violación, dijo.

Sin embargo, Heartland pagó cerca de $ 32 millones en el primer semestre de 2009 por investigaciones forenses, trabajo legal y otros cargos relacionados con la violación, dijo.

Los Senadores le preguntaron a Carr algunas preguntas puntuales sobre la violación. La senadora Susan Collins, una republicana de Maine, quería saber cómo la compañía podría verse comprometida desde octubre de 2006 hasta mayo de 2008 sin descubrir la violación. "Me sorprendió el largo período transcurrido en el que estos hackers pudieron robar estos números de tarjetas de crédito", dijo. "Explíqueme cómo una brecha de esa magnitud podría pasar desapercibida durante tanto tiempo".

Los titulares de la tarjeta no informaban incumplimientos importantes, respondió Carr. "La forma en que normalmente se detectan las infracciones es que se determinan los usos fraudulentos de las tarjetas", dijo. "No hubo indicios de uso fraudulento de tarjetas que nos llamó la atención hasta fines de 2008".

Collins lo presionó aún más. "¿Pero no hay programas de computadora que uno pueda usar para verificar si ha ocurrido una intrusión?" preguntó ella.

"Los hay, y los ciberdelincuentes son muy buenos para enmascararse", dijo Carr.

El senador Joe Lieberman, un independiente de Connecticut, le preguntó a Carr sobre el alcance de la violación.

En agosto, Albert González de Miami fue acusado formalmente en Nueva Jersey por el robo de más de 130 millones de tarjetas de crédito y débito, según el Departamento de Justicia de los Estados Unidos. Fue acusado, junto con dos co-conspiradores no identificados, de usar ataques de inyección SQL para robar información de tarjetas de crédito y débito de Heartland, 7-Eleven y Hannaford Brothers, una cadena de supermercados con sede en Maine. González se declaró culpable la semana pasada de separar los cargos en Massachusetts y Nueva York.

Es muy pronto para decir cuántos números de tarjetas de crédito procesados ​​por Heartland se vieron comprometidos, dijo Carr. "No sabemos el alcance del fraude en este momento", dijo. "Es un compromiso significativo".