Derde partij test
Een website of webshop veiliger te maken leidt waarschijnlijk tot twee opvolgende handelingen. In technisch opzicht zal er het een en ander worden aangepast. Als dat is gebeurd zal waarschijnlijk aan een derde partij worden gevraagd het resultaat te testen en de bevindingen te delen met de opdrachtgever. Wat dat betreft maakt het niet uit of het gaat op de website van de hoster zelf, of die van een van zijn klanten.
Keurmerk
Het verschil zit er in dat het bewijs van veiligheid, annex professionaliteit niet gelijk is. Een grotere managed provider zal bijvoorbeeld ISO27001 belangrijk vinden om de gewenste kwaliteit uit te stralen. Voor een webshop is dat minder relevant. Daar wordt meer gekeken naar de keurmerken voor veilige webshops. Over dat soort keurmerken gaat dit artikel en direct wordt opgemerkt dat met name de kleinere hosters ook neigen dat soort keurmerken te voeren.
Duitse test
De Duitse consumentenbond heeft een paar dagen terug de bevindingen gepubliceerd van een bijzonder test. De bond heeft een al langer bestaande website van een bonafide webshop exploitant met zijn instemming gemanipuleerd. De webshop werd technisch onveiliger gemaakt en bij de voorwaarden werd met de nodige creativiteit ook het nodige aangepast.
De helft of twee derde?
Vervolgens werd de website bij vier bekende Duitse keurmerk organisaties aangemeld. Wat blijkt? twee daarvan hebben geen moeite met de rammelende websites. Die verstrekken de keurmerken. De twee andere gaan niet zo ver. Een struikelt over de kromme voorwaarden en de ander geeft aan dat de standaard voorwaarden die het verplicht stelt niet passen bij het aanbod van de gemanipuleerde webshop.
Geconcludeerd kan worden dat in de helft van de gevallen de keurmerkclubs niet door hebben dat de voorwaarden compleet onzinnig zijn. Het lijkt erop dat die twee ofwel geen kennis van de materie hebben, dan wel het testen niet serieus nemen. Triester is het natuurlijk dat ze drie van de vier keurmerk verstrekkers geen punt heeft gemaakt van de technische kwaliteit. Slechts een heeft aangestuurd op een betere versleuteling.
Wat leren we hiervan?
Allereerst kan weer eens de vraag herhaald worden: zijn keurmerken zinvol of zinloos? Als marketingtool lijkt het onomstreden een zekere waarde te hebben. Of het de klant en de website exploitant echt iets garandeert kan worden betwijfeld. Iedereen hoster die zijn klanten, zonder verdere context, adviseert een certificaat te nemen kan hen daarmee op het verkeerde been zetten. Veilige hosting is meer dan een groen slotje of plaatjes van fancy keurmerken. Wat we hier ook van leren is dat Duitsers best humor hebben. Ze zullen er een hoop lol aan beleefd hebben op legale wijze een webshop op alle punten te manipuleren.
