O certyfikacie

Bezpieczeństwo zakupów online to kluczowy aspekt dla klientów przy wyborze sklepu Internetowego. Zapewnienie klientowi i jego danym pełnego bezpieczeństwa oraz umiejętność zakumunikowania tego faktu zainteresowanym to dwie niezbędne cechy każdego sklepu internetowego dążącego do zbudowania rynku oraz przewagi konkurencyjnej. Certyfikat Bezpieczny Sklep to gwarancja bezpieczeństwa i poszanowania praw Klienta Sklepu.

Bezpieczny Sklep to certyfikat przyznawany sklepom internetowym, które:

  • zapewniają właściwy poziom bezpieczeństwa swoim Klientom i ich danym osobowym,
  • działają zgodnie z filozofią poszanowania praw Klienta i użytkownika Internetu,
  • cechują się przejrzystością działania i etyką biznesową,
  • nastawione są na zaspokojenie potrzeb Klienta z zachowaniem odpowiednich środków ostrożności,
  • chcą we właściwy sposób komunikować się ze swoimi Klientami,
  • są wiarygodnym i zaufanym partnerem.


Fundacja Veracity przyznaje certyfikat bezpieczeństwa w oparciu o przeprowadzoną obiektywną analizę bezpieczeństwa teleinformatycznego i prawnego. Audytorzy fundacji przeprowadzają analizę na zgodność z wymaganiami:

  • Ustawy o ochronie danych osobowych
  • Ustawy o świadczeniu usług drogą elektroniczną
  • innych przepisów prawa polskiego i unijnego
  • dobrych praktyk w zakresie bezpieczeństwa (w tym: ISO 27001, BS 25999)
  • dobrych praktyk w zakresie komunikacji z Klientem.


Dzięki certyfikacji Sklep otrzymuje:

  • Niezależne potwierdzenie zgodności z wymaganiami prawa
  • Zapewnienie odpowiedniego poziomu bezpieczeństwa
  • Informację zwrotną o niezbędnych działaniach do podjęcia w celu podnoszenia poziomu bezpieczeństwa
  • Informacje o nowych zagrożeniach i wymaganiach
  • Uwiarygodnienie podejmowanych działań w zakresie bezpieczeństwa
  • Narzędzie komunikacji z Klientem – Rzecznika Interesu
  • Promocja firmy na stronach fundacji Veracity
  • Stały monitoring poziomu bezpieczeństwa
  • Stałe wsparcie w zakresie budowy bezpieczeństwa i ładu
  • Stałe wsparcie komunikacji z Klientem


Certyfikacja Veracity dla Klienta to:

  • Gwarancja bezpieczeństwa podczas transakcji i po
  • Gwarancja właściwej komunikacji
  • Gwarancja zadowolenia
  • Gwarancja udanych zakupów
  • Gwarancja właściwego wyboru sklepu


Zakres audytu i certyfikacji

W ramach podstawowej certyfikacji audytorzy fundacji weryfikują poziom bezpieczeństwa na bazie audytu i checklist. Podczas audytu badane jest kilkadziesiąt kryteriów bezpieczeństwa sklepów Internetowych. Poniżej przedstawiono główne kryteria badane przez audytorów fundacji Veracity:

1. Informacje podstawowe

1.1. Sprawdzenie właścicielstwa domeny, powiązanie właściciela z podmiotem prowadzącym sklep

1.2. Sprawdzenie przejrzystości i kompletności danych kontaktowych i danych rejestrowych podmiotu prowadzącego sklep na stronie sklepu.

1.3. Sprawdzenie danych rejestrowych podmiotu prowadzącego sklep

2. Komunikacja

2.1. Możliwości kontaktu z podmiotem prowadzącym Sklep i informacja o tym na stronie.

2.2. Kanały kontaktu z klientem

2.3. Tożsamość osób odpowiadających klientowi

2.4. Potwierdzenie założenia konta

2.5. Możliwość odzyskania hasła

2.6. Potwierdzanie zamówień

2.7. Potwierdzanie realizacji zlecenia

2.8. Potwierdzenie dokonania płatności

3. Przejrzystość

3.1. Weryfikacja regulaminu sklepu

3.2. Czytelność oferty

3.3. Czytelność procesu sprzedaży

4. Bezpieczeństwo

4.1. Szyfrowanie połączenia klient<>sklep

4.2. Bezpieczeństwo procesu płatności (czy są stosowane sposoby i technologie zabezpieczające transmisję danych).

4.3. Weryfikacja sposobu autoryzacji użytkownika.

4.4. Procedura resetowania hasła, odzyskania dostępu do zapomnianego konta.

4.5. Zdalna weryfikacja zabezpieczeń strony internetowej

5. Ochrona Danych Osobowych

5.1. Funkcjonowanie Polityki Ochrony Danych Osobowych

5.2. Funkcjonowanie Instrukcji Systemu Przetwarzającego Dane Osobowe

5.3. Weryfikacja czy zarejestrowano zbiór danych osobowych

5.4. Prawo do bycia zapomnianym – weryfikacja możliwości usunięcia zbioru danych osobowych.

5.5. Zawartość klauzul definiujących zgodę na przetwarzanie danych osobowych.

6. Prywatność

6.1. Weryfikacja polityki prywatności

7. Płatności

7.1. Sposób realizacji płatności

7.2. Bezpieczeństwo realizacji płatności

7.3. Informowanie o całkowitych kosztach transakcji

Wzór Polityki Bezpieczeństwa Danych Osobowych

 

Każda firma zatrudniająca pracowników przetwarza ich dane osobowe.

Zgodnie z obowiązującą ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych każdy podmiot przetwarzający dane osobowe musi posiadać Politykę Bezpieczeństwa Danych Osobowych. Jeżeli dane osobowe przetwarzane są w systemie teleinformatycznym musi powstać również Instrukcja Systemu Przetwarzającego Dane Osobowe.

Wszystkie te dokumenty wymagane prawem mają za zadanie zapewnić bezpieczeństwo przetwarzanych danych osobowych. Przedsiębiorca posiadający te dokumenty zminimalizuje groźbę kary jaką może nałożyć Generalny Inspektor Danych Osobowych w przypadku kontroli. Obecne wartość kary łącznie może wynieść do 200 000 PLN dla firmy i do 50 000 PLN dla osoby zarządzającej firmą.

Przetwarzanie danych osobowych jest szczególnie istotne w sklepach internetowych. Wszędzie tam gdzie mamy adresy e-mail, numery IP osób kupujących, mamy do czynienia zgodnie z interpretacjami GIODO z danymi osobowymi.

Eksperci fundacji z racji bogatego doświadczenia we wdrażaniu standardów bezpieczeństwa przygotowali dla Państwa wzór dokumentacji spełniającej wymagania ustawy o ochronie danych osobowych.

Przy każdej certyfikacji „Bezpieczny Sklep” wraz z raportem z audytu otrzymają Państwo kompletny wzór dokumentacji wypełniającej wymagania ustawy o ochronie danych osobowych. Unikną państwo w ten sposób perturbacji związanych z ewentualną kontrolą GIODO w Państwa firmie.

Szczegółowe warunki certyfikacji

Certyfikacja podstawowa fundacji Veracity przebiega w dwóch etapach. Pierwszy jest całkowicie bezpłatny, natomiast drugi opcjonalny - płatny. 

 

W pierwszym etapie eksperci fundacji dokonują bezpłatnego audytu sklepu. Weryfikują kryteria opisane w zakładce "zakres audytu i certyfikacji", a następnie informują klienta o ocenie pokontrolnej. Na tej podstawie klient może podjąć decyzję o przejściu drugiego etapu certyfikacji (opcjonalnego) lub wycofania się z usługi bez żadnych opłat ani konsekwencji.

 

Drugi etap certyfikacji jest opcjonalny. Całkowity koszt drugiego etapu to 490zł netto/rok.

W ramach etapu klient zostaje wpisany do rejestru certyfikatów, otrzymuje:

  • znak i certyfikat "bezpieczny sklep" fundacji Veracity
  • raport obejmujący rekomendacje pokontrolne
  • pakiet promocji biznesu

Więcej informacji w zakładce korzyści - zapraszamy!

 

Fundusze pozyskane przez fundację Veracity są przeznaczane na jej cele statutowe, w tym przedewszystkim na promowanie bezpiecznych firm i instytucji. Zapraszamy do zapoznania się z celami i działalnością fundacji.

Złoty Certyfikat Veracity

Wszystkie Sklepy, które uzyskały podstawowy certyfikat Veracity, mają możliwość przejścia drugiego etapu certyfikacji i uzyskania Złotego Certyfikatu Veracity. W ramach złotej certyfikacji audytorzy fundacji weryfikują szczegółowy poziom bezpieczeństwa i sposób świadczenia usług na miejscu w siedzibie badanego podmiotu.

Ponadto przeprowadzają cykliczną kontrolę spełnienia wymagań. Definiują i nadzorują realizację rekomendacji pokontrolnych. Po przyznaniu złotego certyfikatu Veracity przejmuje na siebie obowiązki pośredniczenia w kontaktach między Klientami, a Sklepem w zakresie bezpieczeństwa i zapytań z nimi związanych, co ma odzwierciedlenie w polityce prywatności. Umieszczone w niej i na stronie Sklepu dane kontaktowe fundacji powodują przeniesienie ciężaru komunikacji w zakresie ochrony danych i bezpieczeństwa na Fundacje, która staje się rzecznikiem interesu.

W ramach złotej certyfikacji analizie poddane są:
1. Zarządzanie ryzykiem

1.1. Weryfikacja funkcjonowania systematycznego procesu zarządzania ryzykiem

1.2. Weryfikacja skuteczności procesu realizacji działań doskonalących wynikających z zarządzania ryzykiem.

1.3. Wskazywanie podatności zidentyfikowanych podczas audytów

2. Zarządzanie zmianą

2.1. Funkcjonowanie dokumentów opisujących zarządzanie zmianą w systemie informatycznym przetwarzającym dane osobowe.

2.2. Weryfikacja spełnienia procedury zarządzania zmianą.

2.3. Identyfikacja słabości dotyczących procesu zarządzania zmianą

3. Zarządzanie treścią

3.1. Funkcjonowanie dokumentacji opisującej zarządzanie treścią w systemie w którym realizowany jest kontakt z klientem i prezentacja oferty.

3.2. Weryfikacja spełnienia procedury zarządzania treścią.

3.3. Sposób wprowadzania oferty i reagowanie w przypadku błędów w ofercie.

4. Zarządzanie reklamacjami

4.1. Funkcjonowanie dokumentacji opisującej obieg reklamacji.

4.2. Weryfikacja sposobu wyjaśniania reklamacji.

4.3. Weryfikacja skuteczności i terminowości procesu reklamacyjnego

4.4. Funkcjonowanie rejestru reklamacji.

5. Komunikacja z klientem

5.1. Sposób komunikacji z klientem

5.2. Weryfikacja przypadków komunikacji z klientem i terminowość wysyłanych odpowiedzi.

6. Bezpieczeństwo+

6.1. Funkcjonowanie procedury zarządzania uprawnieniami

6.2. Weryfikacja sposobu nadawania uprawnień do zasobów i ich odbierania

6.3. Funkcjonowanie dokumentacji opisującej podstawowe zasady bezpieczeństwa dla pracowników.

6.4. Funkcjonowanie polityki bezpieczeństwa informacji dotyczącej całości systemów teleinformatycznych.

6.5. Weryfikacja bezpieczeństwa (umów i sposobu świadczenia usług) usług informatycznych.

6.6. Weryfikacja bezpieczeństwa aplikacji i baz danych.

6.7. Funkcjonowanie zasad zgłaszania incydentów bezpieczeństwa

6.8. Weryfikacja sposobu i skuteczności zgłaszania incydentów bezpieczeństwa

6.9. Weryfikacja skuteczności i kompletności przeprowadzania audytów wewnętrznych

7. Ochrona Danych Osobowych+

7.1. Weryfikacja umów o powierzenie danych osobowych.

7.2. Prawidłowość i aktualność prowadzonych rejestrów upoważnień, osób przetwarzających dane osobowe.

7.3. Weryfikacja sposobu źródeł pozyskiwania danych osobowych.

8. Szkolenia pracowników

8.1. Weryfikacja realizacji szkoleń dla pracowników

8.2. Weryfikacja zakresu i tematyki szkoleń dla pracowników

8.3. Znajomość przez pracowników przepisów prawa dotyczących realizowanej działalności.

8.4. Sposób przygotowywania nowych pracowników do pracy

« wstecz
Certyfikaty bezpieczeństwa przyznano