1 Copyright WebTrust France Nouveautés 2001
2 Copyright WebTrust France Les premiers sceaux français délivrés par WebTrust France
3 Copyright WebTrust France Historique du concept 1998 : les Institutions de l’audit en Europe et aux USA élaborent un référentiel des « bonnes pratiques » du commerce électronique : la première version est publiée aux USA : Les principes de WebTrust sont publiés en France – 400 cabinets d’audit formés en France : Mise en œuvre dans les entreprises.
4 Copyright WebTrust France W ebTrust est opérationnel sur tous les continents
5 Copyright WebTrust France Les « 7 principes capitaux » de WebTrust V3.0 Pratiques commerciales et intègrité des transactions Protections des données personelles Sécurité Confidentialité Disponibilité Non répudiation dispositions spécifiques ; ex: ASP, places de marché
6 Copyright WebTrust France Actualité technique et internationale Application au B2B : des exigeances particulières : disponibilité – non répudiation – sécurité Audit des fournisseurs de signature électronique : Le référentiel WebTrust est choisi par Microsoft comme critère d’inscription dans Internet Explorer
7 Copyright WebTrust France Application dans les PME des critères de bonnes pratiques commerciales et d’intégrité des opérations Nature des biens ou services offerts Méthodes et délais habituels de livraison Délais de résiliation de commande Modalités et options de paiement Annulation d ’abonnements Conditions de retours garanties et service clients –Renseignements pour permettre aux internautes de présenter des réclamations et plaintes quelles informations sont recueillies sur les clients –obligation d’information préalable du client A°) PRATIQUES COMMERCIALES
8 Copyright WebTrust France AVIS – L’entreprise doit informer les clients sur: 1) les motifs de la collecte d’un renseignement 2) les utilisations du renseignement fourni, 3) la façon dont le client peut modifier ou mette à jour les renseignements fournis 4) les tiers avec lesquels l’entité partage les renseignements 5) les recours dont dispose le client pour limiter l’utilisation de l’information fournie ou les conséquences possibles pour le client lorsqu’un renseignement n’est pas fourni. CHOIX – pour la transmission ou la cession des données à des tiers : « opt-out » :possibilité de décider ou de refuser que les renseignements personnels soient communiqués à des tiers. « opt-in » : pour les renseignements sensibles, nécéssité de l’accord explicite du client TRANSMISSION – L’entité doit respecter les directives relatives à la transmission des données des clients à d’autres entités ou parties qui n’interviennent pas dans l’opération initiale. Protection des données personnelles
9 Copyright WebTrust France Critères relatifs à la sécurité Exemples de contrôles réalisés 1.Tests d’intrusion sur le serveur web 2.Contrôle des accès au système Système d’identification :- login/pass-word Système d’.habilitation : login/ profil user Traçabilité
10 Copyright WebTrust France Principe de disponibilité L’entreprise : décrit ses engagements : disponibilité 24H/24 ? applique effectivement ces principes : solutions de secours ? met en oeuvre les contrôle efficaces : analyses de charges
11 Copyright WebTrust France Un « tronc commun » à chaque module Chaque module inclut les critères suivants: 1.Informations obligatoires 2.Directives sur les règles à respecter 3.Procédures de contrôle interne à mettre en place 4.Surveillance et traçabilité des opérations
12 Copyright WebTrust France Le sceau WebTrust Page web sécurisée En cliquant sur le sceau on visualise le certificat et on a accès au détail de la NORME Exemple N°1 Exemple N°2
13 Copyright WebTrust France Une démarche progressive : par étapes Pré-audit : diagnostic Mise à niveau du site Audit complet Revue finale Rapport de conformité Expert /consultant technique certificateur
14 Copyright WebTrust France Étude comparative des sceaux opérationnels sur le marché CRITERES QUALITATIFS* SCEAUX ADD Secure BBB Online ICC Internationa l Computer Securrity Association TRUST e LABEL SITE CCI ** PROTECTION DONNEES PERSONNELLES SECURITE DES DONNEES INTEGRITE DU PROCESSUS D ACHAT PRATIQUES COMMERCIALES PROCEDURES DE CONTRÔLE INTERNE RECOURS DES CLIENTS DIMENSION INTERNATIONALE GARANTIE ASSURANCE CONTRÔLE PERMANENT *critères définis par l’e Commerce International Task Force** Chambres de commerce françaises