Утечка данных в платежной системе Heartland
Платежная система Visa исключила процессинговую компанию Heartland Payment Systems из списка доверенных операторов банковских электронных платежей, соответствующих стандартам безопасности индустрии платежных карт – PCI DSS. Организации, соответствующие правилам данного стандарта, обязаны обеспечить защиту конфиденциальной информации держателей банковских карт, а также бороться с воровством персональных данных и мошенничеством. Visa подвергла сомнению соответствие системы защиты платежей Heartland стандарту PCI DSS после того, как система была взломана в конце 2008 г., заявив, что ни одна коммерческая организация, соблюдающая стандарты платежных систем, до сих пор не была скомпрометирована.
В января этого года Visa и MasterCard сообщили об обнаружении подозрительной активности вокруг транзакций Heartland Payment. Как пояснила компания, в конце 2008 г. в их системе был обнаружен вирус. независимые следователи подтвердили наличие в сети Heartland как минимум одного вредоносного кода, написанного конкретно под данную систему платежей. Скомпрометированные данные содержали информацию о номерах карт, сроках окончания их действия и другие данные, которые считываются с магнитной полосы банковской карты, а в некоторых случаях и имена держателей дебетовых и кредитных карт сети Heartland. Между тем только в США Heartland выступает как стандартный банковский провайдер для почти 250 тыс. организаций и через ее сети ежемесячно проходит около 100 млн финансовых транзакций.
Heartland не раскрывает информацию о масштабах утечки, но ее уже называют «крупнейшей в истории». По всей стране банки быстро среагировали и стали отправлять карты на замену, а также посоветовали клиентам внимательно следить за своими счетами.
После удаления Heartland из списка Visa ее представители напомнили о том, что за месяц до начала вторжения в их систему платежей компания была признана соответствующей стандарту PCI DSS. В ответ на это Visa пообещала восстановить Heartland в списке доверенных организаций при условии, что компания приведет свою систему ИТ-безопасности в полное соответствие со стандартом PCI DSS.
Как полагают эксперты компании Infowatch, Heartland создала опасный прецедент, ставящий под сомнение качество сертификации PCI DSS для процессинговых компаний. Как видно из ее примера, формальное прохождение сертификации и получение соответствующего свидетельства не является основанием успокоиться и перестать соблюдать режим повышенной безопасности при работе с конфиденциальными данными клиентов. Не исключено также, что у Visa появятся претензии к компании, которая проводила сертификацию (признаются только сертификаты, выданные оценщиком, аккредитованным самой Visa). Ситуация щекотливая: компания официально подтвердила соответствие стандарту защиты платежных карт, и после этого случается утечка. Следует признать, что либо сертификация была проведена не должным образом, либо стандарт не гарантирует защиты.