‘Webwinkels lekken klantgegevens’, zo kopte het Algemeen Dagblad naar aanleiding van het jaarlijkse onderzoek van Networking4all, leverancier van SSL-certificaten . Vorig jaar werden de pijlen nog nadrukkelijk op leden van Thuiswinkel.org gericht, dit jaar was iDeal de klos.
Van alle ongeveer dertienduizend webwinkels die iDeal aanbieden heeft volgens de internetbeveiliger maar 12 procent de zaakjes op orde. Bij Thuiswinkel.org leden ligt dat momenteel op bijna 40 procent. De certificering van Thuiswinkel Waarborg moet er voor zorgen dat dit op 100 procent komt te liggen, want zonder SSL-certificaten kom je gewoonweg niet door de certificering heen. Leden hebben hiervoor overigens nog tot einde van dit jaar de tijd.
Currence reageerde furieus op het persbericht van Networking4all, waarbij de suggestie wordt gewekt dat het ‘aantal onveilige iDEAL-webwinkels explosief groeit’. Dat is natuurlijk ook flauwekul, want iDeal en webwinkels hebben ieder zo hun eigen verantwoordelijkheid. Je kan iDeal moeilijk de verantwoordelijkheid in de schoenen schuiven van het beveiligen van webpagina’s in een webwinkel. Zoals iDeal ook niet verantwoordelijk kan worden gesteld voor het afleveren van pakketjes of van duurzaam zaken doen of wat dan ook.
De werkelijke boodschap verliest daarmee ook kracht. Het gaat er natuurlijk om dat er steeds meer webwinkels bij komen die het niet zo nauw nemen met het beveiligen van persoonsgegevens. Alhoewel ik denk ik dat veel kleine webwinkels dit niet eens bewust doen. Wij proberen daar als belangenvereniging dan ook een rol in te spelen en webwinkels zo goed mogelijk voor te lichten.
Uiteindelijk gaat het om het nemen van verantwoordelijkheid. Thuiswinkel.org is daar helder over: de verantwoordelijkheid van het beveiligen van persoonsgegevens ligt bij webwinkels en nergens anders. Dus verwachten we dat webwinkels het optimale doen om hun website te beveiligen. De huidige technische standaard is het SSL-certificaat (het welbekende slotje). Dat doen we niet omdat het College bescherming persoonsgegevens dit van ons vraagt, maar omdat we vinden dat het de normaalste zaak van de wereld is dat je je klantgegevens zo optimaal mogelijk beschermt!
@Wijnand
Technisch gezien is SSL maar een van de vele punten. Wij bieden alle klanten SSL via een wildcard SSL certificaat.
Wat volledig buiten beschouwing blijft zijn alle andere communicatiemogelijkheden.
1. Kijk bijv. eens naar e-mail, wie stuurt er mail via een versleutelde verbinding? 2. Is je website en backoffice volledig bulletproof? Hackersafe heeft een erg handige tool. Ik denk dat dit punt nog veel belangrijker is als het om persoonsgegevens gaat. De meeste oscommerce sites die vijf jaar bestaan bevatten enorm veel vulnerabilities.
Het hacken van simpele sites gebouwd door amateurs bevatten een ellende aan inbreekmogelijkheden. Hoe eenvoudig is dat hacken nou eigenlijk? Klik hier: http://www2.packetstormsecurity.org/cgi-bin/search/search.cgi?searchvalue=osCommerce+&type=archives
Daar staan handleidingen. Wil je sites vinden die het juiste versienummer voor die exploit hebben? Google even 'powered by oscommerce 2.x.x.x'
Easy as well.
SSL is zeker iets dat een webwinkel moet hebben, echter blijven er zoveel belangrijkere dingen onbelicht.
Ben het helemaal met Ruud eens, er is meer dan alleen SSL.
Het verbaast mij dan ook dat de Thuiswinkel gewoon leden aanneemt zonder SSL, je moet een bak geld betalen voor certificering en wat is de meerwaarde ervan????
Het grootste gedeelte webshop is bijhandel, elke euro investering is teveel voor deze groep.
Hier ligt misschien een taak voor de hosting aanbieder om hier verplicht een certificaat aan te koppelen.
In mijn webwinkel zijn we pas geleden gestart met een security awareness programma. We hebben een stappenplan opgezet die loopt van 'man to machine'. Dus van hoofd tot en met hostingspartij en alles wat er tussen zit. Op deze manier lopen we alle facetten na en dit zou iedere webshop moeten doen. Periodiek. Wat éénmaal is géénmaal.
Nog maar eens voor de duidelijkheid. Thuiswinkel.org stelt het beschermen van persoonsgegevens via SSL verplicht. Er komt sinds de start van de certificering van Thuiswinkel Waarborg geen nieuw lid binnen in de vereniging zonder aan deze eis te voldoen. En alle bestaande leden dienen voor het einde van dit jaar aan deze verplichting te voldoen. De kosten voor de certificering bedragen 290 euro voor aspirant leden en 390 voor alle overige leden. Dagelijks krijgen we 2 tot 3 aanvragen van nieuwe leden binnen, het overgrote merendeel kleine leden. Laten we ons wel gewoon bij de feiten houden.
@Arie, het 2e deel van je reactie slaat als een tang op een varken. Internet als bijhandel? Heb je cijfers? De gedane investeringen zijn juist zo groot dat deze te groot zijn om alleen maar wat handel erbij te hebben. Veiligheid is nmi een zaak van de winkelier zelf. Wellicht een goed onderwerp voor de volgende thuiswinkelupdate (ik weet nog wel een hele goede spreker).
Beveiliging is geen eenmalige actie, maar een continue proces. 100% veilig zal nooit lukken en kost bovendien klauwen vol geld (dat weer moet worden terugverdient aan de klant). Ik vraag me daarom af tot hoever de beveiliging verplichting moet worden. Een vergelijking met de bakstenen winkels: als ik naar de supermarkt ga, kan iedereen precies zien welke supermarkt, welke producten, welk totaalbedrag, hoe ik betaal en in geval van PIN, bij welke bank ik bankier, aan welke spaarprogramma's ik meedoe, in welke auto ik vervolgens stap en als ze echt willen naar welk adres ik vervolgens rijd. Moeten deze gegevens bij een webwinkel dan wel (verplicht bij de wet) geheim blijven? Ik denk van niet. Begrijp me niet verkeerd: de betaling moet wel verplicht zijn beveiligd. Gelukkig is dat bij Ideal al het geval.
Een andere opmerking bij dit nieuwsbericht: slimme reclamestunt van Networking4all om hun SSL-certificaten te promoten. Speelt in op de veiligheid en heeft daarom al snel de sympathie.