CEO Heartland: Penyulitan Kartu Kredit Diperlukan

Transaksi kad kredit di Amerika Syarikat sering tidak disulitkan, dan penjual kad kredit, pemproses pembayaran dan peruncit perlu merangkul standard penyulitan untuk melindungi nombor kad kredit, kata CEO pemproses pembayaran yang dilanggar pada hari Isnin.

Nombor kad kredit tidak diperlukan dalam industri kad pembayaran garis panduan untuk disulitkan dalam transit antara peruncit, pemproses pembayaran dan pengeluar kad, Robert Carr, pengerusi dan Ketua Pegawai Eksekutif Sistem Pembayaran Heartland, memberitahu jawatankuasa Senat AS. Heartland pada bulan Januari mengumumkan penemuan pelanggaran data yang menyebabkan berpuluh-puluh juta nombor kad kredit yang terdedah kepada sekumpulan penggodam.

"Saya kini tahu bahawa industri ini perlu, dan boleh, berbuat lebih banyak untuk lebih melindunginya daripada kaedah yang lebih canggih yang digunakan oleh penjenayah siber ini, "kata Carr kepada Jawatankuasa Keselamatan Dalam Negeri dan Jawatankuasa Hal Ehwal Kerajaan. "Saya percaya penting untuk melaksanakan teknologi baru, bukan hanya di Heartland, tetapi di seluruh dunia." Tujuan pendengaran jawatankuasa adalah, sebahagiannya, menentukan sama ada perundangan baru diperlukan untuk melawan jenayah siber.

[Bacaan lanjut: Bagaimana untuk membuang malware dari PC Windows anda]

Heartland mendorong industri kad kredit mengguna pakai piawaian penyulitan end-to-end, katanya, dan syarikat itu menggerakkan terminal point-of-sale tamper-resistant di peruncit ahli. "Matlamat kami adalah untuk menghapuskan sepenuhnya nombor akaun kredit dan kad debit pembayaran dan data magnetik supaya tidak dapat diakses dalam format yang boleh digunakan dalam sistem saudagar atau pemproses," kata Carr.

Heartland telah meminta syarikat kad kredit untuk menerima transaksi yang disulitkan dan syarikat itu telah menjalankan badan standard dan vendor penyulitan, kata Carr. Syarikat itu juga membantu membentuk majlis perkongsian maklumat untuk pemproses pembayaran, di mana syarikat-syarikat boleh berkongsi maklumat mengenai ancaman, kelemahan dan amalan terbaik, katanya. "Kami sedang berusaha untuk penyelesaian ini, baik teknologi dan koperasi, kerana Saya tidak mahu orang lain dalam industri kami, atau pelanggan kami, atau pelanggan mereka … untuk menjadi korban kepada penjenayah siber ini, "katanya.

Carr tidak memberikan butiran tentang pelanggaran Heartland, di mana syarikat itu dikompromikan selama kira-kira satu setengah tahun. Syarikat itu tetap terlibat dalam penyiasatan dan tuntutan undang-undang yang melibatkan pelanggaran tersebut, katanya.

Namun, Heartland membayar sekitar AS $ 32 juta pada paruh pertama 2009 untuk penyelidikan forensik, kerja hukum dan tuduhan lain yang berkaitan dengan pelanggaran itu, katanya.

Senator meminta Carr beberapa soalan menunjuk mengenai pelanggaran itu. Senator Susan Collins, seorang Republikan Maine, ingin mengetahui bagaimana syarikat itu dapat dikompromikan dari Oktober 2006 hingga Mei 2008 tanpa menemui pelanggaran itu. "Saya terkejut dengan apa tempoh yang lama berlalu di mana penggodam ini dapat mencuri nombor kad kredit ini," katanya. "Jelaskan kepada saya bagaimana pelanggaran magnitud itu tidak boleh dikesan selama sekian lama."

Pemegang kad tidak melaporkan pelanggaran utama, Carr menjawab. "Cara pelanggaran biasanya dikesan adalah kegunaan kad yang palsu," katanya. "Tidak ada tanda-tanda penggunaan kad yang palsu yang kami perhatikan sehingga menjelang akhir tahun 2008."

Collins menekannya lagi. "Tetapi adakah tiada program komputer yang boleh digunakan untuk memeriksa jika terdapat pencerobohan?"

"Ada, dan penjahat-penjerat siber sangat baik untuk menutup diri mereka sendiri," kata Carr.

Senator Joe Lieberman, yang bebas dari Connecticut, meminta Carr tentang sejauh mana pelanggaran itu., Albert Gonzalez dari Miami didakwa di New Jersey kerana pencurian lebih daripada 130 juta kad kredit dan kad debit, menurut Jabatan Kehakiman Amerika Syarikat. Dia didakwa, bersama-sama dengan dua penculik bersama yang tidak disebut namanya, dengan menggunakan serangan suntikan SQL untuk mencuri maklumat kad kredit dan debit dari Heartland, 7-Eleven dan Hannaford Brothers, sebuah rantaian pasar raya utama di Maine. Gonzalez mengaku bersalah minggu lepas untuk memisahkan tuduhan di Massachusetts dan New York.

Tidak lama lagi untuk memberitahu berapa banyak nombor kad kredit yang diproses oleh Heartland telah dikompromi, kata Carr. "Kami tidak tahu tahap penipuan pada ketika ini," katanya. "Ia satu kompromi yang ketara."