CEO da Heartland: Criptograma de cartão de crédito necessário

[Leia mais: Como remover malware do seu PC com Windows]

Heartland está pressionando para que a indústria de cartões de crédito adotar um padrão de criptografia de ponta a ponta, disse ele, e a empresa está implantando terminais de ponto de venda invioláveis ​​em seus varejistas membros. "Nosso objetivo é remover completamente os números de conta de pagamento de cartões de crédito e débito e dados de tarja magnética para que eles nunca sejam acessíveis em um formato utilizável nos sistemas de comerciante ou processador", disse Carr.

Heartland pediu às empresas de cartão de crédito Aceitar transações criptografadas e a empresa contratou órgãos de normas e fornecedores de criptografia, disse Carr. A empresa também ajudou a formar um conselho de compartilhamento de informações para processadores de pagamentos, onde as empresas podem compartilhar informações sobre ameaças, vulnerabilidades e melhores práticas, disse ele.

"Estamos trabalhando nessas soluções, tanto tecnológicas quanto cooperativas, porque Eu não quero que mais ninguém em nossa indústria, ou nossos clientes, ou seus clientes … sejam vítimas desses cibercriminosos ", disse ele.

Carr não deu detalhes sobre a violação da Heartland, em que a empresa foi comprometida por cerca de um ano e meio. A empresa continua envolvida em investigações e processos judiciais envolvendo a violação, disse ele.

No entanto, Heartland pagou cerca de US $ 32 milhões no primeiro semestre de 2009 por investigações forenses, trabalho legal e outros encargos relacionados à violação, disse ele.

Os senadores fizeram algumas perguntas a Carr sobre a violação. A senadora Susan Collins, uma republicana do Maine, queria saber como a empresa poderia ser comprometida de outubro de 2006 a maio de 2008 sem descobrir a violação. "Fiquei espantado com o longo período decorrido em que esses hackers conseguiram roubar esses números de cartão de crédito", disse ela. "Explique-me como uma violação dessa magnitude poderia passar despercebida por tanto tempo".

Os titulares de cartão não reportaram grandes violações, respondeu Carr. "A forma como as violações são normalmente detectadas é que os usos fraudulentos dos cartões são determinados", disse ele. "Não houve indícios de uso fraudulento de cartões que chegaram ao nosso conhecimento até o final de 2008."

Collins pressionou ainda mais. "Mas não há programas de computador que se possa usar para verificar se ocorreu uma invasão?" Ela perguntou. "Há, e os cibercriminosos são muito bons em se mascarar", disse Carr.

O senador Joe Lieberman, independente de Connecticut, perguntou a Carr sobre a extensão da brecha.

Em agosto Albert Gonzalez, de Miami, foi indiciado em Nova Jersey pelo roubo de mais de 130 milhões de cartões de crédito e débito, segundo o Departamento de Justiça dos EUA. Ele foi acusado, junto com dois co-conspiradores, de usar ataques de injeção de SQL para roubar informações de cartões de crédito e débito da Heartland, 7-Eleven e Hannaford Brothers, uma cadeia de supermercados com sede no Maine. Gonzalez se declarou culpado na semana passada por separar acusações em Massachusetts e Nova York.É muito cedo para dizer quantos números de cartão de crédito processados ​​pela Heartland foram comprometidos, disse Carr. "Não sabemos a extensão da fraude neste momento", disse ele. "É um compromisso significativo".