Het is moeilijk mensen te vertrouwen in een monetair systeem



Aan de Raad voor Accreditatie

Is het erger dat een webwinkel met een "F" score op SSL Labs (geen veiligheid van de verbinding tussen consument en webwinkel) een keuring toont van een Webshop Keurmerk of dat deze Keurmerk "een 10 heeft gekregen voor de betrouwbaarheid door de Raad voor Accreditatie" met name over "de manier waarop de keurmerk wordt verleend"?

De webwinkel www.destofzuigerzak.nl is een van de vele online winkels van Nederland.

Het menu Informatie, hoofdstuk Veilig winkelen verklaart:
"U kunt bij ons met een gerust hart winkelen. Wij zijn gecertificeerd door Webshop Keurmerk, hét toonaangevende door de overheid erkende keurmerk voor kopen op afstand. Daarnaast worden uw gegevens vertrouwelijk behandeld (zie ons Privacy beleid) en worden alle gegevens die u tijdens uw bestelling invoert, versleuteld/beveiligd verstuurd middels een SSL-verbinding. Wij zijn hiervoor officieel gecertificeerd door Safe2Shop met de hoogst mogelijke waardering van 5 sterren!"

Het is merkwaardig dat Safe2Shop een webwinkel keurmerk lijkt te zijn (titel van de homepagina) die per 01-07-2015 is gestopt met welke dienst- of garantieverlening dan ook, sindsdien: de geclaimde 5 sterren zijn - op z'n best - niet verifieerbaar al bijna 1 1/2 jaar.

Volgens de Server Test door SSL Labs behaalt de betreffende website een "F" (van "F" tot "A"):

Op elke pagina van deze webwinkel staat een logo van "WEBSHOP KEURMERK, VEILIG EN BETROUWBAAR":
gezien dit ook een keurmerkorganisatie leek te zijn, heb ik ook deze site willen bezoeken op zoek naar keuringscriteria en referenties.

"De Stichting Webshop Keurmerk stelt zich mede ten doel het vertrouwen van consumenten ten aanzien van internetaankopen [...] te vergroten."

Terwijl, de website zo nadrukkelijk over "veilig en betrouwbaar" gaat:
verschijnt de tekst [...]veilig[...] op slechts 1 van de 11 pagina's van de Algemene voorwaarden voor winkels aangesloten bij de Stichting Webshop Keurmerk:
"Indien de overeenkomst elektronisch tot stand komt, treft de ondernemer passende technische en organisatorische maatregelen ter beveiliging van de elektronische overdracht van data en zorgt hij voor een veilige webomgeving. Indien de consument elektronisch kan betalen, zal de ondernemer daartoe passende veiligheidsmaatregelen in acht nemen."

De voorwaarden m.b.t. informatiebeveiliging zijn vrij nietszeggend om in een formeel document te staan, zonder verder verwijzingingen naar specifiekere normen en eisen.

Onderstaande sites waren genoemd als recent aangesloten:

http://www.bedden-amsterdam.nl HTTP ONLY (wel webwinkel)
https://www.combifit.nl [A-]
https://www.3opmaat.nl [F]
https://bmwshop.ekris.nl [A]
https://minishop.ekris.nl [A]
https://www.neyfik.com Mixed Content
http://www.alleenvoormij.eu HTTP ONLY (geen webwinkel)
https://www.geboortekleed.nl [A] https://secure.mijnwebwinkel.nl
https://www.vanshirtjetotshirtje.nl [A] https://secure.mijnwebwinkel.nl
https://www.watschaftdepot.nu [A] https://secure.mijnwebwinkel.nl

Uiteindelijk, staat onderstaande tekst onder het kopje "Over ons":
"Op 17 april 2008 heeft Webshop Keurmerk de keurmerkentoets van het Ministerie van Economische Zaken ondergaan. De toets is uitgevoerd door de Raad voor Accreditatie.

 In deze toets wordt gekeken of een keurmerk en de manier waarop het keurmerk wordt verleend, wel betrouwbaar is. De betrouwbaarheid wordt uitgedrukt met een rapportcijfer, op de schaal van 1 tot 10. Het Webshop Keurmerk heeft een 10 gekregen."

...dit is de SSL Labs uitslag van WEBSHOP KEURMERK (keurmerk.info):

UPDATE - Reactie van de Raad voor Accreditatie (7 december 2016):

Geachte heer Torrisi,

Dank u voor het toezenden van de bijlage.

Wij hebben de door u toegezonden informatie bestudeerd en komen tot de conclusie dat wij uw klacht niet als melding in behandeling kunnen nemen. De activiteiten van zowel DeStofzuigerzak.nl als Stichting Webshop Keurmerk, evenals het Webshop Keurmerk, vallen niet onder accreditatie en derhalve niet onder het toezicht van de Raad voor Accreditatie (RvA).

De informatie betreffende de keurmerkentoets die de RvA in 2008 ten aanzien van het Webshop Keurmerk heeft uitgevoerd, betreft gedateerde informatie. Wij adviseren u om uw klacht bij DeStofzuigerzak.nl dan wel bij Stichting Webshop Keurmerk in te dienen.

Wij vertrouwen erop u voldoende te hebben geïnformeerd.

Ik word geadviseerd mijn (?) klacht (?) bij de betreffende partijen in te dienen.

Comments

Post a Comment

Popular posts from this blog

SSLLabs SSL Test on 716 .gov https sites

Image
716 .gov https sites (thanks to @hackertarget dnsdumpster) 328 " F " (45,81%) 178 " A " (24,86%) (one IP address per subdomain unless multiple scores) 2016/03/02 18:12:18 a068-acswebsrv.nyc.gov 167.153.11.46: F 2016/03/02 18:12:29 ace.cbp.dhs.gov 216.81.83.93: F 2016/03/02 18:12:29 accela1.howardcountymd.gov 167.102.191.83: F 2016/03/02 18:12:35 1click.dhsoha.oregon.gov 170.104.63.76: A- 2016/03/02 18:12:38 adfs.txdot.gov 168.58.229.156: C 2016/03/02 18:12:42 adfg.alaska.gov 146.63.61.200: C 2016/03/02 18:12:52 aip.medi-cal.ca.gov 12.9.80.162: F 2016/03/02 18:13:02 ac.ninds.nih.gov 156.40.215.10: A 2016/03/02 18:13:06 adhimmreglive.arkansas.gov 170.94.17.67: A 2016/03/02 18:13:09 adherave.arkansas.gov 170.94.15.181: B 2016/03/02 18:13:24 alerts.rochestermn.gov 12.184.36.207: A 2016/03/02 18:13:24 airmobile.house.gov 143.228.131.184: F 2016/03/02 18:13:32 aoprals.state.gov 169.253.204.152: B 2016/03/02 18
Read more

Is DHS running honeypots?

Image
When in September 2015 DHS published its own Security Audit Report , I was rather speechless I could not find any mention of "SSL" or "TLS" in the text, but apparently DHS has been aware of Transport Layer Security earlier than that. Today KrebsOnSecurity published a post titled DHS Giving Firms Free Penetration Tests  containing a link to a document which include the  status update about the ongoing cyber programs and efforts underway at the Department of Homeland Security (DHS) National Cybersecurity and Communications Integration Center (NCCIC) . In a rather confusing timeline, we read first about a DHS ignoring SSL/TLS during its own Security Audit Report (Sept. 2015) and today about how SSL (TLS) related vulnerabilities occupy 5/5 of the Top 5 (Occurring) Vulnerabilities list in the DHS NCATS Year-Engagement Report 2014 (which indeed might have more conveniently be published at an earlier date). The reason for this post is not the confusing orde
Read more