1

NOUVEAUTÉS 2001

2

LES PREMIERS SCEAUX FRANÇAIS DÉLIVRÉS PAR WEBTRUST FRANCE

3

HISTORIQUE DU CONCEPT

1998 :les Institutions de l’audit en Europe et aux USA élaborent un référentiel des « bonnes pratiques » du commerce électronique.

1999 :la première version est publiée aux USA.

2000 :Les principes de WebTrust sont publiés en France 400 cabinets d’audit formés en France.

2001 :Mise en œuvre dans les entreprises.

4

WEBTRUST EST OPÉRATIONNEL SUR TOUS LES CONTINENTS

5

LES « 7 PRINCIPES CAPITAUX »DE WEBTRUST V3.0

Pratiques commerciales et intégrité des transactions

Protections des données personnelles

Sécurité

Confidentialité

Disponibilité

Non répudiation

dispositions spécifiques ; ex: ASP, places de marché

6

ACTUALITÉ TECHNIQUE ET INTERNATIONALEApplication au B2B :

des exigences particulières :disponibilité – non répudiation – sécurité

Audit des fournisseurs de signature électronique :

Le référentiel WebTrust est choisi par Microsoft commecritère d’inscription dans Explorer

7

APPLICATION DANS LES PME DESCRITÈRES DE BONNES PRATIQUES COMMERCIALESET D’INTÉGRITÉ DES OPÉRATIONS

Nature des biens ou services offerts

Méthodes et délais habituelsde livraison

Délais de résiliation de commande

Modalités et options de paiement

PRATIQUES COMMERCIALES

8

APPLICATION DANS LES PME DESCRITÈRES DE BONNES PRATIQUES COMMERCIALESET D’INTÉGRITÉ DES OPÉRATIONS

Annulation d’abonnements

Conditions de retours

Garanties et service clients Renseignements pour permettre aux internautes

de présenter des réclamations et plaintes

Quelles informations sont recueillies sur les clients

obligation d’information préalable du client

PRATIQUES COMMERCIALES

9

AVIS

L’entreprise doit informer les clients sur:

les motifs de la collecte d’un renseignement

les utilisations du renseignement fourni,

la façon dont le client peut modifier ou mette à jourles renseignements fournis

les tiers avec lesquels l’entité partage les renseignements

les recours dont dispose le client pour limiter l’utilisationde l’information fournie ou les conséquences possibles pourle client lorsqu’un renseignement n’est pas fourni.

PROTECTION DES DONNÉES PERSONNELLES

10

 CHOIX

Pour la transmission ou la cession des donnéesà des tiers :

«opt-out» : possibilité de décider ou de refuserque les renseignements personnels soient communiquésà des tiers.

«opt-in» : pour les renseignements sensibles, nécessitéde l’accord explicite du client

 TRANSMISSION

L’entité doit respecter les directives relativesà la transmission des données des clients à d’autres entitésou parties qui n’interviennent pas dans l’opération initiale.

PROTECTION DES DONNÉES PERSONNELLES

11

CRITÈRES RELATIFS À LA SÉCURITÉ EXEMPLES DE CONTRÔLES RÉALISÉS

Tests d’intrusion sur le serveur web

Contrôle des accès au système

Système d’identification :- login/pass-word

Système d’.habilitation : login/ profil user

Traçabilité : (logs

12

PRINCIPE DE DISPONIBILITÉ

L’entreprise : décrit ses engagements : disponibilité 24H/24 ? applique effectivement ces principes : solutions de secours

? met en oeuvre les contrôle efficaces : analyses de charges

13

UN « TRONC COMMUN » À CHAQUE MODULE

Chaque module inclut les critères suivants:

1. Informations obligatoires

2. Directives sur les règles à respecter

3. Procédures de contrôle interne à mettre en place

4. Surveillance et traçabilité des opérations

14

LE SCEAU WEBTRUST

Page web sécurisée

En cliquant sur le sceau on visualise le certificat et on a accès au détail de la NORME

Exemple N°1 Exemple N°2

15

UNE DÉMARCHE PROGRESSIVE : PAR ÉTAPES

Pré-audit : diagnostic

Mise à niveau du site

Audit complet

Revue finale

Rapport de conformité

Expert /consultant

technique

certificateur

16

ÉTUDE COMPARATIVE DES SCEAUX OPÉRATIONNELS SUR LE MARCHÉ

*critères définis par l’e Commerce International Task Force ** Chambres de commerce françaises

Critères qualitatifs* Sceaux

ADDSecure

BBBOnline

ICCInternationalComputerSecurrityAssociation

TRUSTLABEL SITE CCI**

CONTRÔLE PERMANENT

GARANTIE ASSURANCE

DIMENSION INTERNATIONALE

RECOURS DES CLIENTS

PROCEDURES DE CONTRÔLE INTERNE

PRATIQUES COMMERCIALES

INTEGRITE DU PROCESSUS D ACHAT

SECURITE DES DONNEES

PROTECTION DONNEES PERSONNELLES

17

QUESTIONS / RÉPONSES