Mon Jesus Je T'aime (Instrumental)
Carr a parlé franchement de l'infraction, par opposition au silence relatif de TJX. En 2007, Heartland a déclaré qu'ils croyaient que quelqu'un avait placé un programme d'écoute dans le flux où les données en mouvement n'étaient pas cryptées. Lorsque le Conseil de partage des informations sur le traitement des paiements s'est réuni pour la première fois cette semaine à St. Pete Beach, en Floride, Carr a pris l'initiative inhabituelle de distribuer des clés USB avec le code malveillant du système Heartland au moment de leur violation. ainsi que les logiciels malveillants découverts lors d'autres enquêtes sur les violations de données en 2008 et 2009, de sorte que d'autres processeurs de paiement pourraient rechercher des logiciels malveillants sur leurs propres systèmes. Carr a déclaré dans son Q1 2009 Earnings Call jeudi que d'autres industries partagent des informations de sécurité comme ceci, pourquoi ne pas les processeurs de carte?
En outre, Heartland est en train de développer un véritable cryptage de bout en bout (E2E) solution pour ses commerçants. Ce qui est différent, c'est que Heartland veut être le premier processeur de paiement pour s'assurer que les données restent cryptées depuis le point de vente jusqu'au traitement par la compagnie de cartes. Actuellement, les processeurs doivent déchiffrer les données de carte de crédit client sur la dernière étape en raison des systèmes hérités en place des sociétés de cartes. Heartland espère offrir son service E2E au cours du troisième trimestre de cette année.
Finalement, Carr a été le plus frondeur contre ses concurrents, dont certains disent avoir essayé d'utiliser la faille de données contre Heartland. La violation a eu de graves répercussions: Visa et MasterCard ont retiré Heartland de leurs listes de processeurs certifiés PCI DSS, et au moins, MasterCard a également imposé une lourde amende aux banques utilisant Heartland. L'entreprise fait également face à un recours collectif. Séparément, Carr fait lui-même l'objet d'une enquête de la SEC sur une vente d'actions qu'il a faite fin 2008.
La semaine dernière, Heartland, qui traite principalement des données de restaurants, de stations-service et d'hôtels, a été certifiée PCI DSS par Visa, MasterCard et Discover. "Nous espérons que cela mettra fin une fois pour toutes à la multitude de faussetés et de déclarations mensongères que certains concurrents ont utilisées, avec un certain succès pour faire peur aux marchands de quitter Heartland", a déclaré M. Carr. est un analyste des risques, de la fraude et de la sécurité pour Javelin Strategy & Research et un rédacteur indépendant en sécurité informatique couvrant les pirates criminels et les logiciels malveillants.
Comment prévenir une violation de données Heartland Style
Voici trois conseils pour vous aider à protéger vos données et à vous assurer de ne pas devenir les prochains systèmes de paiement Heartland.
Le courtier ChoicePoint, victime d'une violation de données en 2004 affectant plus de 160 000 résidents américains, a accepté de renforcer ses efforts de sécurité des données et de payer une amende pour une deuxième violation en 2008, a annoncé lundi la Federal Trade Commission. une filiale de Reed Elsevier paiera 275 000 $ US pour régler la plus récente plainte de FTC. La FTC a accusé la société de ne pas avoir mis en place un programme complet de sécurité de l'information pour protéger les ren
La violation d'avril 2008 compromettait les données personnelles de 13 750 personnes un communiqué de presse. ChoicePoint a désactivé un outil de sécurité électronique «clé» utilisé pour surveiller l'accès à l'une de ses bases de données et n'a pas détecté que l'outil de sécurité avait été éteint pendant quatre mois, a déclaré la FTC. depuis votre PC Windows]
Fortify Software, une société privée basée à San Mateo en Californie, se spécialise dans les logiciels des problèmes dans le code pouvant entraîner des vulnérabilités logicielles, qui pourraient être exploitées par un attaquant, provoquant des problèmes tels qu'une violation de données.
HP a déclaré que l'expertise de Fortify dans l'analyse de sécurité des applications statiques viendrait compléter son analyse dynamique de sécurité applicative. Selon le site Web de Fortify, les tests de sécurité des applications statiques peuvent révéler des vulnérabilités lors du développement ou de l'assurance qualité d'un projet. Les tests dynamiques de sécurité applicative détectent les vulnérabilités dans une application active et évaluent la sécurité globale de l'application.