23 марта гигант карточной системы платежей – компания Visa – нанесла
публичный удар компании
Хартленд,
ведущей системе дебетовых и кредитных платежей США, удалив её из своего списка
организаций, предоставляющих услуги электронных платежей, которые соблюдают
стандарт безопасности индустрии платежных карт – PCI DSS. Организации,
предоставляющие услуги электронных платежей, соответствующие правилам данного
стандарта, обязаны обеспечить защиту конфиденциальной информации держателей
банковских карт, а также бороться с воровством персональных данных и
мошенничеством.
Компания Visa подвергла сомнению соответствие системы защиты платежей
Хартленд стандарту PCI DSS после того, как система была
взломана в конце 2008 года,
заявив, что ни одна коммерческая организация, соблюдающая стандарты платежных
систем, до сих пор не была скомпрометирована.
20 января 2009 года Visa и MasterCard сообщили общественности об обнаружении
подозрительной активности вокруг транзакций по банковским картам. Компания
Хартленд пояснила, что в конце 2008 года в их системе был обнаружен вирус.
Скомпрометированные данные содержали информацию о номерах карт, сроках окончания
действия карт и другие данные, которые считываются с магнитной полосы банковской
карты. В некоторых случаях и имена держателей дебетовых и кредитных карт сети
Хартленд, которых в США насчитывается 250000.
Хартленд не раскрывал информацию о масштабах утечки, но руководство компании
охарактеризовало ее как
одну из самых крупных в истории. По всей стране банки быстро среагировали и
стали отправлять карты на замену, а также посоветовали клиентам внимательно
следить за своими счетами.
Руководитель аналитического департамента InfoWatch Илья Шабанов полагает, что
"компания Хартленд своими действиями создала опасный прецедент, ставящий под
сомнение качество сертификации PCI DSS для процессинговых компаний. Как мы видим
на этом примере, формальное прохождение сертификации и получение
соответствующего свидетельства не является основанием успокоиться и перестать
соблюдать режим повышенной безопасности, который требуется в работе с
конфиденциальными данными клиентов. Допущенной утечкой компания Хартленд не
только нанесла сильный удар по доверию к себе со стороны клиентов, но и
поставила под сомнения эффективность всей системы сертификации PCI DSS,
продвигаемой Visa. Весьма забавно, что Хартленд, несмотря на этот инцидент,
продолжает говорить о себе, как о компании с наиболее безопасным сервисом".
После удаления Хартленд из списка Visa, представители Хартленд напомнили о
том, что за месяц до начала вторжения в их систему платежей компания была
признана соответствующей стандарту PCI DSS. В ответ на это Visa пообещала
восстановить Хартленд в списке доверенных организаций при условии, что компания
приведет свою систему ИТ безопасности в полное соответствие со стандартом PCI
DSS. По словам Директора компании Хартленд Роберта О Кара, это условие будет
выполнено в течение нескольких недель.
