Heartland sale oscilando tras incumplimiento de datos

En los meses posteriores a la revelación de lo que podría ser la mayor violación de datos en la historia de los EE. UU., Robert O. Carr, presidente y CEO de Heartland, ha salido de balance. En lugar de entrar en una espiral de control de daños cercano a la muerte que mitiga la revelación de que 100 millones de registros de clientes se filtraron durante 2008, Carr ha estado señalando a la industria de pagos por no ir lo suficientemente lejos con las mejores prácticas. Heartland ha aprovechado varias asociaciones de comerciantes para promover nuevas iniciativas que podrían revolucionar la industria de las tarjetas de pago más allá del cumplimiento con PCI DSS.

Carr ha sido bastante sincero al hablar sobre la brecha en sí misma, en oposición al silencio relativo de TJX después de sus datos retroceso en 2007. Heartland dijo desde el principio que creían que alguien había colocado un programa de escucha en la transmisión donde los datos en movimiento no estaban encriptados. Cuando el Consejo de Intercambio de Información sobre Procesamiento de Pagos (PPISC) se reunió por primera vez esta semana en St. Pete Beach, Florida, Carr tomó la inusual medida de entregar USB con el código de malware encontrado en el sistema Heartland en el momento de su violación como así como el malware descubierto a través de otras investigaciones de violación de datos en 2008 y 2009 para que otros procesadores de pago puedan buscar malware en sus propios sistemas. Carr dijo en su Q1 2009 Earnings Call el jueves que otras industrias comparten información de seguridad como esta, ¿por qué no pueden los procesadores de tarjetas?

Además, Heartland está en proceso de desarrollar un verdadero cifrado de extremo a extremo (E2E) solución para sus comerciantes. Lo que es diferente es que Heartland quiere ser el primer procesador de pagos para garantizar que los datos permanezcan encriptados desde el punto de venta hasta el procesamiento por parte de la compañía de tarjetas. Actualmente, los procesadores deben desencriptar los datos de las tarjetas de crédito de los clientes en el último paso debido a los sistemas heredados que tienen las compañías de tarjetas. Heartland espera ofrecer su servicio E2E en el tercer trimestre de este año.

Finalmente, Carr ha sido muy abierto en contra de sus competidores, algunos de los cuales dice que trataron de usar la violación de datos contra Heartland. Hubo serias repercusiones de la violación: Visa y MasterCard eliminaron Heartland de sus listas de procesadores certificados por PCI DSS, y al menos MasterCard también impuso una fuerte multa a los bancos que usan Heartland. La compañía también enfrenta una demanda colectiva. Por otra parte, el propio Carr está siendo investigado por la SEC con respecto a una venta de acciones que hizo a fines del 2008.

La semana pasada, Heartland, que procesa datos de tarjetas principalmente de restaurantes, estaciones de servicio y hoteles, fue nuevamente certificada como PCI DSS. por Visa, MasterCard y Discover. "Esperamos que esto ponga fin de una vez por todas a la multitud de falsedades y declaraciones engañosas que algunos competidores han estado usando, sin duda con cierto éxito para asustar a los comerciantes a abandonar Heartland", dijo Carr en la llamada de ganancias.

Robert Vamosi es un analista de riesgo, fraude y seguridad para Javelin Strategy & Research y un escritor de seguridad informática independiente que cubre hackers criminales y amenazas de malware.