Sadržaj 1 O elektroničkoj trgovini (e-Commerce) 2 Zakonske potrebe 2.1 Zakon o elektroničkoj trgovini 2.1.1 Pojmovi i definicije 2.1.2 Sklapanje ugovora 2.1.3 Kaznene odredbe 2.1.4 Ostale natuknice 2.2 Zakon o zaštiti potrošača (natuknice važne za elektroničku prodaju) 2.2.1 Kaznene odredbe 2.2.2 Obveze trgovca 2.2.3 Obavijesti o proizvodu 2.2.4 Obveze potrošača 2.2.5 Ugovorne odredbe koje se zakonski mogu smatrati nepoštenima 2.2.6 Komparativno oglašavanje 2.3 Zakon o elektroničkom potpisu 2.3.1 Pojmovi u zakonu 2.3.2 Elektronički potpis 2.3.3 Sredstvo za izradu naprednoga elektroničkog potpisa 2.3.4 Certifikati 3 Zaštita usluga elektroničke trgovine 3.1 Sigurnosni zahtjevi 3.1.1 Trgovčevi zahtjevi 3.1.2 Kupčevi zahtjevi 3.1.3 Mjere zaštite 3.2 Uobičajene vrste napada 3.3 Sigurnosni protokoli i sustavi zaštite 3.3.1 SSL: Security Sockets Layer i TLS: Transport Layer Security protokoli 3.3.2 X.509 certifikati 3.3.3 PGP: Pretty Good Privacy 3.3.4 SET: Secure Electronic Transaction 3.3.5 3-D Secure 3.3.6 AVS: Address Verification System 3.3.7 CSC: Card Security Code 3.4 Savjeti za zaštitu 4 Literatura

O elektroničkoj trgovini (e-Commerce)

Vjerojatno ništa u povijesti nije dovelo do tolike revolucije u trgovačkoj djelatnosti kao što je to donijela pojava Interneta. Elektronička trgovina (ili ukratko e-trgovina), kako nazivamo ovaj novi oblik trgovanja, je ne samo uklonio granice udaljenosti te vremenske i inventarne raspoloživosti između kupca i prodavača, već je i povećalo efikasnosti promoviranja proizvoda, komunikacije između kupca i korisnika te, najvažnije od svega, širenje na strana tržišta (i stvaranje novih trgovačkih pravnih osoba) što je dosad bilo skupo i riskantno.

Ali pojava ovog novog oblika trgovanja je dovelo i nove vrste prijetnji. Kao i stvarni svijet, i Internet je opasno mjesto u kojem vrebaju razni kriminalci a pljačka je postala lakša i manje riskantna za potencijalne kriminalce. Također, nedostatak bliskog kontakta između kupca i prodavača dovelo je do toga da je teoretski jednostavno da jedan opljačka ili prevari drugoga. Također, postoji i problem plaćanja na daljinu jer se gotovina, iz očitih razloga, ne može koristiti.

Iz tih razloga, za tržište je bilo potrebno razviti razne tehnologije, norme metodologije za zaštitu informacijskih sustava a državna tijela su također morala stvoriti nove zakone.

U ovom radu osvrnuti ćemo se na zakonske potrebe za elektroničku, i općenitu, trgovinu te ćemo sažeto opisati razne popularne tehnologije i protokole koji se koriste za zaštitu elektroničke trgovine.

Zakonske potrebe

Nekoliko zakona Republike Hrvatske je povezano s zaštitom usluga elektroničke trgovine, prvenstveno Zakon o elektroničkoj trgovini, ali važni su i određeni drugi zakoni poput Zakona o zaštiti potrošača i Zakona o informacijskoj sigurnosti.

Zakon o elektroničkoj trgovini

Ovim se Zakonom uređuje pružanje usluga informacijskog društva, odgovornost davatelja usluga informacijskog društva, te pravila u vezi sa sklapanjem ugovora u elektroničkom obliku. Ovim zakonom se pak ne određuju teme poput oporezivanja, zaštite podataka, zaštita stranaka pred sudom, itd. već se te teme određuju u drugim zakonima.

Svaki davatelj usluga sa sjedištem u Republici Hrvatskoj dužan je postupati po zakonima Republike Hrvatske, ali zakon se ne primjenjuje na davatelja usluga čije je sjedište u zemlji članici Europske unije i koji nudi usluge informacijskog društva, čak i u slučajevima kada je usluga ciljano usmjerena prema građanima Republike Hrvatske, osim ako to nije navedeno u odvojenom zakonu, u potpisanom ugovoru, nanosi se šteta, ukoliko neko nadležno tijelo tako odredi, te određenim drugim iznimkama.

Pojmovi i definicije

U ovom zakonu definiraju se slijedeći pojmovi i njihova značenja:

1. Podatak – informacija, poruka i dokument sastavljen, poslan, primljen, zabilježen, pohranjen ili prikazan elektroničkim, optičkim ili sličnim sredstvom, uključujući, ali ne ograničavajući se na prijenos Internetom, elektroničku poštu i telefaksove

2. Usluga informacijskog društva – usluga koja se uz naknadu pruža elektroničkim putem na individualni zahtjev korisnika, a posebno Internet prodaja robe i usluga, nuđenje podataka na Internetu, reklamiranje putem Interneta, elektronički pretraživači, te mogućnost traženja podataka i usluga koje se prenose elektroničkom mrežom, posreduju u pristupu mreži ili pohranjuju podatke korisnika

3. Elektronički potpis – skup podataka u elektroničkom obliku koji su pridruženi ili su logički povezani s drugim podacima u elektroničkom obliku, a služe za identifikaciju potpisnika i vjerodostojnosti potpisanoga elektroničkog dokumenta, kako je to definirano posebnim zakonom

4. Davatelj usluga – pravna ili fizička osoba koja pruža usluge informacijskog društva

5. Korisnik usluge – svaka fizička ili pravna osoba koja zbog profesionalnih ili drugih ciljeva koristi uslugu informacijskog društva

6. Ugovori u elektroničkom obliku – ugovori što ih pravne i fizičke osobe u cijelosti ili djelomično sklapaju, šalju, primaju, raskidaju, otkazuju, pristupaju i prikazuju elektroničkim putem koristeći elektronička, optička ili slična sredstva, uključujući, ali ne ograničavajući se na prijenos Internetom

7. Komercijalno priopćenje - priopćenje u bilo kojem obliku, oblikovano da promiče, izravno ili neizravno, robu, usluge ili ugled svake pravne ili fizičke osobe koja obavlja registriranu djelatnost. Valja napomenuti da korištenje elektroničke pošte u svrhu komercijalnog priopćenja nije dozvoljeno bez pristanka osobe kojoj se priopćuje. Također, slijedeći podaci iznimno nisu komercijalna priopćenja

• podaci koji omogućuju izravan pristup aktivnosti pravne osobe ili fizičke osobe, uključujući adrese, naziv domene ili adrese za elektroničku poštu,
• podaci koji se odnose na robu, usluge ili ugled osobe, prikupljene na neovisan način, posebice ako je učinjeno bez razmatranja financijskih učinaka

8. Potrošač – svaka fizička osoba koja sklapa pravni posao na tržištu u svrhe koje nisu namijenjene njezinu zanimanju niti njezinoj poslovnoj aktivnosti ili poduzetničkoj djelatnosti, a u skladu s odredbama posebnoga zakona

Sklapanje ugovora

Davatelj usluga informacijskog društva dužan je mogućem korisniku usluga, prije sklapanja ugovora o pružanju usluga informacijskog društva, osigurati na jasan, razumljiv i nedvosmislen način podatke i obavijesti:

• različiti stupnjevi koji slijede u postupku sklapanja ugovora
• ugovorne odredbe
• opći uvjeti poslovanja ako su sastavni dio ugovora
• jezici ponuđeni za sklapanje ugovora
• kodeksi postupanja u skladu s kojima postupaju davatelji usluga i informacije o tome kako se ti kodeksi mogu pregledati elektroničkim putem

Također, davatelj usluga informacijskog društva dužan je mogućem korisniku usluga, prije sklapanja ugovora o pružanju usluga informacijskog društva, osigurati tehnička sredstva za prepoznavanje i ispravljanje pogrešnog unosa podataka u poruku prije njezine predaje ili slanja.

Ugovor je prihvaćen onog trenutka kad se ponuditelju pošalje potvrda prihvaćanja ugovora od ponuđene strane. Osim ukoliko ponuđena strana nije potrošač, davatelj usluga informacijskog društva mora bez odgode elektroničkim putem, posebnom elektroničkom porukom, potvrditi primitak elektroničke poruke koja sadrži ponudu ili prihvat ponude za sklapanje ugovora.

Ugovori sklopljeni putem elektroničke pošte, Instant Messaginga ili bilo kojim drugim oblikom individualne komunikacije su nevažeći.

Kaznene odredbe

Novčanom kaznom od 5.000,00 do 100.000,00 kuna kaznit će se za prekršaj pravna osoba davatelj usluga informacijskog društva ukoliko se

• prekrše opće obveze o informiranju
• prekrši obveza informiranja u komercijalnom priopćenju
• prekrši obveza osiguranja dostupnosti podataka za sklapanje ugovora
• ne omogući pristup odredbama ugovora i općim uvjetima poslovanja na način da ih korisnik može spremiti, ponovno koristiti i reproducirati
• ne obavijesti nadležna tijela o saznanju da je korisnik usluge počinio neko kazneno djelo ili da postoji jak razlog da se sumnja u podčinjavanje kaznenoga djela
• ne omogući pristup računalnoj opremi i uređajima, te bez odgode ne predoči ili ne dostavi potrebne podatke ili dokumentaciju, a radi provedbe inspekcijskoga nadzora

Ukoliko je davatelj usluga informacijskog sustava, koji je počinio prekršaj, fizička osoba tad će se ta osoba kazniti novčanom kaznom u iznosu 1.000,00 do 10.000,00 kuna. Ako je prekršitelj pravna osoba, kaznit će se novčanom kaznom u iznosu od 1.000,00 do 10.000,00 kuna odgovorna osoba davatelja usluga informacijskog sustava.

U osobito teškim povredama ili u slučaju ponavljanja povreda iz navedenih stavaka, sud može izreći zabranu obavljanja djelatnosti davatelju usluga informacijskog društva i odgovornoj osobi u pravnoj osobi davatelju usluga informacijskog društva na određeno vrijeme u trajanju od 3 do 6 mjeseci.

Ostale natuknice

• Davatelj usluga nije obavezan pregledavati podatke povezane s određenom transakcijom, ali ukoliko se utvrdi da postoji sumnja da korisnik usluge ili proizvoda zlouporabi davateljevu uslugu ili proizvod, da je korisnik varao davatelja usluge ili da je bilo počinjeno (ili postoji sumnja za to), davatelj usluge je obavezan o tome obavijestiti nadležna tijela i predočiti sve potrebne podatke koji dokazuju na kriminalno djelo, na sumnju da je počinjeno kriminalno djelo ili da postoji opasnost da dođe do počinjavanja kriminalnog djela
• Inspekcijski nadzor nad provedbom ovoga Zakona obavlja Državni inspektorat i inspektori nadležnog ministarstva u skladu s ovlastima utvrđenima zakonom. Ukoliko inspektorat to zatraži, davatelji usluga informacijskog društva moraju ovlaštenim osobama omogućiti pristup računalnoj opremi i uređajima, te bez odgode predočiti ili dostaviti potrebne podatke i dokumentaciju u vezi s predmetom inspekcijskog nadzora
• Onaj tko smatra da davatelj usluga krši neko njegovo pravo, može podnijeti tužbu nadležnom sudu u skladu sa zakonom ili zahtjev za određivanje privremene mjere. Sud može privremenom mjerom zabraniti radnje ili postupke koji mogu dovesti do kršenja prava ili nastavak već započetih kršenja te ograničiti pružanje usluga informacijskog društva. Sud može odrediti privremenu mjeru i bez saslušanja suprotne strane ako podnositelj zahtjeva dokaže vjerojatnim da bi odgađanje određivanja privremene mjere onemogućilo postizanje njezinog cilja ili uzrokovalo teško nadoknadivu štetu podnositelju

Zakon o zaštiti potrošača (natuknice važne za elektroničku prodaju)

Zakon o zaštiti potrošača je zakon koji obuhvaća sve trgovačke djelatnosti, uključujući i elektroničku trgovinu. Radi toga, razumjevanje i poštivanje ovog zakona je svakako važno za trgovce koji svoje usluge nude elektroničkim putem.

Po članku 1 ovog zakona, uređuje se zaštita osnovnih prava potrošača pri kupnji proizvoda i usluga, kao i pri drugim oblicima stjecanja proizvoda i usluga na tržištu. Te zaštite uključuju:

• pravo na zaštitu gospodarskih interesa potrošača
• pravo na zaštitu od opasnosti za život, zdravlje i imovinu
• pravo na pravnu zaštitu potrošača
• pravo na udruživanje potrošača u svrhu zaštite njihovih interesa
• pravo na predstavljanje potrošača i sudjelovanje predstavnika potrošača u radu tijela koja rješavaju pitanja od njihova interesa

Izborom stranog prava kao mjerodavnog prava potrošač koji ima boravište u Republici Hrvatskoj ne može biti lišen zaštite na koju ima pravo po ovom Zakonu ili drugom zakonu kojim se uređuju pojedini aspekti zaštite potrošača.

Kaznene odredbe

Za prekršaje stavaka iz ovog zakona, kazniti će se pravna osoba u iznosu 10.000,00 do 100.000,00 kuna. Odgovorna osoba u pravnoj osobi kazniti će se novčanom kaznom u iznosu 10.000,00 do 15.000,00 kuna dok će se fizička osoba kazniti novčanom kaznom u iznosu 5.000,00 do 15.000,00 kuna. Za određene stavke, inspektor može kazniti na mjestu počinjenja prekršaja radnika novčanom kaznom u iznosu od 500,00 kuna.

Obveze trgovca

Nepoštivanje obveza može biti proglašeno zavaravajućom (davanje lažnih podataka, varanje potrošača, itd.) ili agresivnom poslovnom praksom (prijetnje, prisile, ustrajno i neželjeno komuniciranje, itd.).

Neke od zakonskih obveza trgovaca su:

• Trgovac je dužan potrošaču ispuniti ugovor u skladu s odredbama ovoga Zakona i propisima obveznog prava
• Trgovac je dužan, na zahtjev i prema izboru potrošača, proizvod koji ima nedostatak zamijeniti novim ispravnim proizvodom ili mu vratiti iznos plaćen za taj proizvod, odnosno sniziti cijenu ili, uz suglasnost potrošača, otkloniti nedostatak na proizvodu
• Trgovac je u slučaju nedostatka kod obavljene usluge dužan, na zahtjev potrošača, vratiti iznos plaćen za tu uslugu, sniziti cijenu usluge ili otkloniti nedostatak obavljene usluge
• Potrošač može zahtijevati povrat plaćenog iznosa samo ako je prethodno dao trgovcu primjereni rok za ispunjenje ugovora
• Nedostatak na proizvodu, odnosno obavljenoj usluzi, kada je to nužno, dokazuje se vještačenjem u za to ovlaštenim ustanovama ili uz pomoć ovlaštenog sudskog vještaka, a troškove vještačenja snosi potrošač ili trgovac, ovisno o rezultatu vještačenja
• Trgovac je dužan, u tijeku jamstvenog roka, popraviti u primjerenom roku neispravan proizvod potrošaču koji je predao jamstveni (garancijski) list, ili, ako to nije moguće, umjesto istoga predati mu proizvod koji je ispravan
• Trgovac mora svoje prodajne uvjete, uvjete koje daje za pojedine proizvode te ako trgovac pojedinim skupinama potrošača odobrava posebne uvjete, svi ti uvjeti moraju biti jasno, vidljivo i čitljivo istaknuti potrošaču
• Trgovcu se zabranjuje davanje osobnih podataka potrošača bilo kojoj trećoj osobi bez prethodnog izričitog odobrenja potrošača, osim ako je na to obvezan zakonom ili odlukom nadležnog tijela vlasti
• Svaki trgovac je dužan potrošačima omogućiti podnošenje pisanih prigovora, bilo u prodajnom prostoru ili putem pošte, telefaks uređaja ili elektroničke pošte, te je na njih dužan odgovoriti u roku od 15 dana od dana zaprimljenog prigovora. Svaki trgovac, dužan je voditi i čuvati pisanu evidenciju prigovora potrošača najmanje godinu dana od dana primitka prigovora potrošaĉa
• Pod maloprodajnom cijenom podrazumijeva se konačna cijena za pojedini proizvod ili uslugu, odnosno određenu količinu proizvoda, uključujući porez na dodanu vrijednost
• Trgovac mora jasno, vidljivo i čitljivo istaknuti iznos utvrđene maloprodajne cijene u kunama
• Trgovac se mora pridržavati istaknute maloprodajne cijene i uvjeta prodaje
• Pri oglašavanju u kojem se spominje maloprodajna cijena proizvoda ili usluga mora biti istovjetna cijeni prodaje
• Trgovac mora za prodani proizvod, odnosno obavljenu uslugu potrošaču izdati račun koji mora biti točan, neizbrisiv, jasan, vidljiv i čitljiv u papirnatom ili elektroničkom obliku. Izdavanje računa nije dopušteno naplaćivati. Izdavanje opomene radi naplate dospjelih novčanih potraživanja također nije dozvoljeno naplaćivati
• Trgovac mora potrošaču omogućiti provjeru ispravnosti zaračunatog iznosa u odnosu na kupljene proizvode, odnosno pružene usluge
• Trgovac mora prigodom prodaje proizvoda potrošaču predati propisane isprave koje je proizvođač priredio radi lakše i sigurnije uporabe proizvoda. Te isprave moraju biti napisane jasno, vidljivo i čitljivo na hrvatskom jeziku i latiničnim pismom
• Trgovac koji prigodom ponude proizvoda ili usluge potrošaču obećava dobitak u obliku nagrade ili daje druge slične izjave stvarajući dojam kod potrošača da je dobio priopćenu nagradu ili je nagradna igra završila a proizvod se i dalje tako obilježen nalazi u prometu dužan je predati proizvod koji je namijenjen za nagradu
• Proizvod koji se prodaje na sniženju, odnosno rasprodaji mora biti jasno, vidljivo i čitljivo označen cijenom prije i cijenom nakon sniženja, odnosno tijekom rasprodaje
• Proizvod koji je na sniženju, odnosno rasprodaji jer mu istječe rok uporabe mora dodatno imati jasno, vidljivo i čitljivo istaknut najkraći ili krajnji rok uporabe
• Sredstvima daljinske komunikacije (znači u elektroničkoj trgovini) nije dopušteno sklapati ugovore o prodaji lijekova, medicinskih i veterinarskih proizvoda, eksploziva, oružja i ostalih proizvoda za koje je prije stavljanja u promet potrebno izdati odobrenje nadležnog ministarstva
• Kad se proizvod isporuči, trgovac je obavezan o tome odmah obavijestiti potrošača. Inače, potrošač će imati pravo raskinuti ugovor u roku od tri mjeseca od primanja proizvoda ili u trenutku kad se sklopio ugovor ukoliko se radi o usluzi. Ukoliko je potrošač bio obaviješten, rokovi raskida ugovora se smanjuju na 14 dana od dana primitka potvrde
• Potrošač može, ne navodeći za to razlog, raskinuti u roku od sedam dana ukoliko se nije drugačije složio s trgovcem. Potrošač ne odgovara za štetu koju je trgovac pretrpio zbog raskida ugovora. Trgovac je dužan, u roku od 30 dana od dana primitka pisane obavijesti o raskidu, vratiti potrošaču cjelokupan iznos koji je potrošač do trenutka raskida platio na temelju ugovora, uvećan za zatezne kamate po kamatnoj stopi poslovne banke trgovca za oročene štedne uloge na tri mjeseca za cijelo razdoblje, računajući od primitka pisane obavijesti o raskidu do isplate
• Nije dopušteno isporučiti potrošaču proizvod ili pružiti uslugu koju potrošač nije unaprijed naručio, ako je riječ o naplatnom poslu. Zakonski, svaka takva akcija smatrati će se promidžbenim darom potrošaču

Obavijesti o proizvodu

Trgovac je obavezan pridržavati se pravila o obavijestima o proizvodu, što znači da svaki proizvod mora sadržavati slijedeće podatke:

• proizvođački naziv proizvoda, ime pod kojim se proizvod prodaje
• tip i model proizvoda te oznaku mjere proizvoda, ako je to bitno obilježje proizvoda
• datum proizvodnje i rok uporabe, ako je to propisano
• naziv i sjedište proizvođača te zemlju podrijetla
• za uvozne proizvode naziv i sjedište uvoznika
• podatke utvrđene posebnim propisima za određene tipove proizvoda

Obavijest o proizvodu mora biti lako uočljiva, općerazumljiva, jednoznačna i čitljiva.

Nepoštivanje zakona o obavijestima o proizvodu kazniti će se pravna osoba novčanom kaznom u iznosu od 80.000,00 do 200.000,00 kuna. Odgovorna osoba pravne osobe kazniti će se novčanom kaznom u iznosu od 10.000,00 do 15.000,00 dok će se fizička osoba kazniti u iznosu od 5.000,00 do 15.000,00 kuna.

Nadležni inspektor neće podnijeti zahtjev za pokretanje prekršajnog postupka ako trgovac najkasnije u roku od osam dana od dana provedenog inspekcijskog nadzora otkloni utvrđene nepravilnosti sukladno uputama iz rješenja nadležnog inspektora.

Obveze potrošača

• Novčana obveza koju potrošač plaća putem pošte, banke ili neke druge ustanove za platni promet smatrat će se namirenom s danom kada je takva ustanova primila od potrošača nalog za plaćanje
• U slučaju raskida ugovora, potrošač je dužan o svom trošku vratiti proizvod trgovcu. Potrošaĉ ne odgovara za štetu koju je trgovac pretrpio zbog raskida ugovora
• Ako je zlouporabljena kreditna ili debitna kartica određenog potrošača, oštećeni je potrošač ovlašten zahtijevati storniranje plaćanja, odnosno ako je plaćanje već izvršeno, potrošač ima pravo zahtijevati od trgovca da mu vrati ili nadoknadi plaćeni iznos uvećan za zatezne kamate po kamatnoj stopi poslovne banke trgovca za oročene štedne uloge na tri mjeseca za cijelo razdoblje, računajući od dana kada je plaćanje izvršeno

Ugovorne odredbe koje se zakonski mogu smatrati nepoštenima

Ugovorna odredba o kojoj se nije pojedinačno pregovaralo smatra se nepoštenom ako, suprotno načelu savjesnosti i poštenja, uzrokuje znatnu neravnotežu u pravima i obvezama ugovornih strana na štetu potrošača. Neke od mogućih nepoštenih odredbi su:

• odredba o ograničenju ili isključenju odgovornosti trgovca za štetu uzrokovanu smrću ili tjelesnom ozljedom potrošača, ako je šteta posljedica štetne radnje trgovca
• odredba kojom se potrošač obvezuje na ispunjenje ugovorne činidbe, dok je ispunjenje obveze trgovca uvjetovano okolnošću čije ispunjenje ovisi isključivo o volji trgovca
• odredba kojom se predviđa da trgovac zadrži plaćeno od strane potrošača kada ovaj odluči da neće sklopiti, odnosno ne ispuni ugovor, dok se isto pravo ne predviđa za potrošača u slučaju da trgovac ne želi sklopiti, odnosno ne ispuni ugovor
• odredba kojom se trgovca ovlašćuje na raskid ugovora na temelju njegove diskrecijske ocjene, dok isto pravo nije predviđeno i za potrošača
• odredba kojom se trgovca ovlašćuje da, u slučaju kada raskine ugovor, zadrži plaćeno za usluge koje još nije obavio
• odredba kojom se trgovcu dopušta da jednostrano mijenja obilježja proizvoda ili usluge koji su predmet ugovora, bez valjanog razloga
• odredba kojom se cijena robe ili usluge utvrđuje u vrijeme isporuke robe, odnosno pružanja usluge ili odredba kojom se trgovcu dopušta povećanje cijene, u oba slučaja ne priznajući pritom potrošaču pravo na raskid ugovora, ako je stvarna cijena znatno viša od cijene dogovorene u vrijeme sklapanja ugovora
• odredba kojom se trgovcu dopušta da, bez prethodnog pristanka potrošača, prenese prava i obveze iz ugovora na treću osobu, ako se potrošač time dovodi u nepovoljniji položaj
• odredba kojom se isključuje, ograničava ili otežava pravo potrošača da prava iz ugovora ostvari pred sudom ili drugim nadležnim tijelom, a poglavito odredba kojom se obvezuje potrošača na rješavanje spora pred arbitražom koja nije predviđena mjerodavnim pravom, odredba koja onemogućava izvođenje dokaza koji idu u prilog potrošaču ili odredba kojom se teret dokaza prebacuje na potrošača kada bi, prema mjerodavnom pravu, teret dokaza bio na trgovcu

Svaka ovlaštena osoba (bilo koja udruga za zaštitu potrošača, državna tijela nadležna za zaštitu potrošača te komorska i interesna udruženja trgovaca) ima pravo zahtijevati od suda da zabrani korištenje određene ugovorne odredbe u standardnim ugovorima koja je nepoštena i to bez obzira na to jesu li tim odredbama povrijeđena prava i interesi potrošača u Republici Hrvatskoj ili u nekoj državi članici Europske unije. Ovaj postupak može se pokrenuti protiv pojedinog trgovca ili skupine trgovaca iz istog gospodarskog sektora koji u svojim standardnim ugovorima koriste određenu nepoštenu odredbu, protiv komorskih i interesnih udruga trgovaca koje promiču korištenje određenih nepoštenih odredaba te protiv tvorca pravila postupanja trgovaca postupanja kojim se promiče korištenje nepoštenih ugovornih odredaba

Komparativno oglašavanje

Komparativno oglašavanje jest svako oglašavanje koje, u svrhu promocije nekog proizvoda ili usluge, izravno ili neizravno upućuje na konkurenta na tržištu, odnosno koje, izravno ili neizravno, upućuje na konkurentski proizvod ili uslugu.

Komparativno oglašavanje dopušteno je samo:

• ako nije zavaravajuća poslovna praksa
• ako se uspoređuju proizvodi ili usluge koje zadovoljavaju iste potrebe ili ako se uspoređuju proizvodi ili usluge iste namjene
• ako su objektivno uspoređene odlike različitih proizvoda ili usluga koje su materijalne, bitne, usporedive i provjerljive
• ako ne stvara zabunu na tržištu glede odnosa oglašivača i njegovih konkurenata, odnosno ne stvara zabunu na tržištu glede odnosa proizvoda ili usluge koja se oglašava te konkurentskog proizvoda ili usluge
• ako ne obezvređuje konkurenta na tržištu, njegove aktivnosti, njegove proizvode, njegove usluge, njegove žigove ili zaštićena imena
• ako se, kod proizvoda s oznakom podrijetla, uspoređuju proizvodi istog podrijetla
• ako nije usmjereno na nepošteno iskorištavanje ugleda žiga, zaštićenog imena ili drugih obilježja konkurenta na tržištu, njegovog proizvoda ili usluge
• ako nije usmjereno na nepošteno iskorištavanje oznake podrijetla konkurentskog proizvoda ili usluge
• ako se ne odnosi na proizvod ili uslugu koja se oglašava kao imitacija proizvoda ili usluge sa zaštićenim znakom ili imenom

Osobe koje za to imaju opravdani interes mogu od Državnog inspektorata ili drugog nadležnog tijela zahtijevati da naredi prekid nedopuštenoga komparativnog oglašavanja. Ako oglas još nije objavljen, ali je njegovo objavljivanje izvjesno, osobe koje za to imaju opravdani interes mogu od nadležnog tijela zahtijevati zabranu objavljivanja nedopuštenog komparativnog oglašavanja. Na zahtjev stranke, nadležno tijelo može, uz nalog da se prekine nedopušteno komparativno oglašavanje, narediti da se o trošku oglašivača objavi presuda u cijelosti ili djelomično, odnosno narediti da se o trošku oglašivača objavi ispravak oglasa.

Prilikom odlučivanja o zahtjevima zabrane komparativnog oglašavanja, nadležno tijelo neće uzimati u obzir je li spornim oglašavanjem nekome počinjena šteta, odnosno je li vjerojatno da će nekome biti počinjena šteta, kao niti je li oglašivač kriv što je komparativno oglašavanje nedopušteno.

Zakon o elektroničkom potpisu

U elektroničkoj trgovini, elektronički potpis je tehnologija koja se koristi za autentifikaciju i identifikaciju kupca, odnosno svakog korisnika neke plaćajuće elektroničke usluge, te također služi kao sredstvo plaćanja. Radi te velike važnosti, postoji zaseban zakon za elektroničke potpise.

Zakonom o elektroničkom potpisu uređuje pravo fizičkih i pravnih osoba na uporabu elektroničkog potpisa u upravnim, sudskim i drugim postupcima, poslovnim i drugim radnjama, te prava, obveze i odgovornosti fizičkih i pravnih osoba u svezi s davanjem usluga certificiranja elektroničkog potpisa, ako posebnim zakonom nije drukčije određeno.

Pojmovi u zakonu

1. Elektronički potpis – znači skup podataka u elektroničkom obliku koji su pridruženi ili su logički povezani s drugim podacima u elektroničkom obliku i koji služe za identifikaciju potpisnika i vjerodostojnosti potpisanoga elektroničkog dokumenta

2. Napredan elektronički potpis – znači elektronički potpis koji pouzdano jamči identitet potpisnika

3. Vremenski žig – je elektronički potpisana potvrda izdavatelja koja potvrđuje sadržaj podataka na koje se odnosi u navedenom vremenu, a napredan vremenski žig je elektronički potpisana potvrda ovjerovitelja koja ispunjava uvjete za napredan elektronički potpis

4. Potpisnik – znači osobu koja posjeduje sredstvo za izradu elektroničkog potpisa kojim se potpisuje, a koja djeluje u svoje ime ili u ime fizičke ili pravne osobe koju predstavlja

5. Elektronički zapis – je cjelovit skup podataka koji su elektronički generirani, poslati, primljeni ili sačuvani na elektroničkom, magnetnom, optičkom ili drugom mediju. Sadržaj elektroničkog zapisa uključuje sve oblike pisanog i drugog teksta, podatke, slike i crteže, karte, zvuk, glazbu, govor, računalne baze podataka

6. Podaci za izradu elektroničkog potpisa – znače jedinstvene podatke, poput kodova ili privatnih kriptografskih ključeva, koje potpisnik koristi za izradu elektroničkog potpisa,

7. Sredstvo za izradu elektroničkog potpisa – znači odgovarajuću računalnu opremu ili računalni program koji potpisnik koristi pri izradi elektroničkog potpisa

8. Sredstvo za izradu naprednoga elektroničkog potpisa – znači sredstvo za izradu potpisa koje udovoljava zahtjevima iz članka 9. ovoga Zakona

9. Podaci za verificiranje elektroničkog potpisa – znače podatke poput kodova ili javnih kriptografskih ključeva koji se koriste u svrhu verificiranja (ovjere) elektroničkog potpisa

10. Sredstvo za verificiranje potpisa – znači odgovarajuću računalnu opremu ili računalni program koji se koristi za primjenu podataka za verificiranje potpisa

11. Certifikat – znači potvrdu u elektroničkom obliku koja povezuje podatke za verificiranje elektroničkog potpisa s nekom osobom i potvrđuje identitet te osobe

12. Kvalificirani certifikat – znači certifikat koji udovoljava zahtjevima iz članka 11. ovoga Zakona i kojeg izdaje davatelj usluga izdavanja kvalificiranog certifikata koji ispunjava uvjete propisane ovim Zakonom

13. Davatelj usluga certificiranja – znači pravnu ili fizičku osobu koja izdaje certifikate ili daje druge usluge povezane s elektroničkim potpisima

14. Sredstvo za elektronički potpis – znači računalnu opremu ili računalni program ili njihove relevantne sastojke koji su namijenjeni za primjenu od strane davatelja usluga certificiranja za davanje usluga u vezi s elektroničkim potpisima ili su namijenjeni za primjenu kod izrade ili verificiranja elektroničkih potpisa

Elektronički potpis

Elektronički potpis je skup podataka u elektroničkom obliku koji služe za identifikaciju potpisnika i potvrdu vjerodostojnosti potpisanoga elektroničkog zapisa. Napredan elektronički potpis je elektronički potpis koji je povezan isključivo s potpisnikom i nedvojbeno ga identificira, nastaje korištenjem sredstava kojima potpisnik može samostalno upravljati i koja su isključivo pod nadzorom potpisnika te sadržava izravnu povezanost s podacima na koje se odnosi i to na način koji nedvojbeno omogućava uvid u bilo koju izmjenu izvornih podataka. Napredan elektronički potpis ima istu pravnu snagu i zamjenjuje vlastoručni potpis

Sredstvo za izradu naprednoga elektroničkog potpisa

Sredstvo za izradu naprednoga elektroničkog potpisa mora osigurati:

1. da se podaci za izradu naprednoga elektroničkog potpisa mogu pojaviti samo jednom te da je ostvarena njihova sigurnost

2. da se podaci za izradu naprednoga elektroničkog potpisa ne mogu ponoviti te da je potpis zaštićen od krivotvorenja pri korištenju postojeće raspoložive tehnologije

3. da podatke za izradu naprednoga elektroničkog potpisa potpisnik može pouzdano zaštititi protiv korištenja od strane drugih

Sredstvo za izradu naprednoga elektroničkog potpisa ne smije prilikom izrade naprednoga elektroničkog potpisa promijeniti podatke koji se potpisuju ili onemogućiti potpisniku uvid u te podatke prije procesa izrade naprednoga elektroničkog potpisa.

Certifikati

Certifikat je elektronička potvrda kojom se potvrđuje identitet potpisnika u postupcima razmjene elektroničkih zapisa. Kvalificirani certifikat je elektronička potvrda kojom davatelj usluga izdavanja kvalificiranih certifikata potvrđuje napredni elektronički potpis.

Kvalificirani certifikat mora sadržavati:

1. oznaku o tome da se radi o kvalificiranom certifikatu

2. identifikacijski skup podataka o osobi koja izdaje certifikat (osobno ime; ime oca ili majke; nadimak, ako ga osoba ima; datum rođenja; prebivalište, odnosno boravište; naziv pravne osobe i sjedište, ako certifikat izdaje pravna osoba)

3. identifikacijski skup podataka o potpisniku (osobno ime, ime oca ili majke, nadimak, ako ga osoba ima, datum rođenja, prebivalište, odnosno boravište)

4. podatke za verificiranje elektroničkog potpisa koji odgovaraju podacima za izradu elektroničkog potpisa koji su pod kontrolom potpisnika

5. podatke o početku i kraju važenja certifikata

6. identifikacijsku oznaku izdanog certifikata (brojčanu ili drugu oznaku, te datum izdavanja)

7. napredni elektronički potpis davatelja usluge izdavanja kvalificiranih certifikata

8. ograničenja vezana za uporabu certifikata, ako ih ima

9. ograničenja u odnosu na važnost pravnih radnji za koje se daje certifikat, ako ih ima

Valja napomenuti da davatelji usluga certificiranja ne trebaju posebnu dozvolu za obavljanje usluga ali mora prijaviti Ministarstvu gospodarstva, rada i poduzetništva početak obavljanja usluga certificiranja najmanje osam dana prije početka rada te mora ispunjavati potrebne uvjete kao zaštitu sigurnosti podataka, specijalističko osoblje, sigurnosne mjere, itd. Davatelji usluga certificiranja moraju primatelju elektroničke poruke potpisane elektroničkim potpisom ili drugoj ovlaštenoj osobi omogućiti provjeru elektroničkog potpisa.

Zaštita usluga elektroničke trgovine

Sigurnosni zahtjevi

Kod svih informacijskih sustava, zaštita podataka je od velike važnosti, ali kod usluga čiji sigurnosni propusti mogu rezultirati novčanom štetom klijenata, sigurnost mora biti potpuna i beskompromisna. Dovoljan je jedan incident da se ugrozi preživljavanje davatelja ove informacijske usluge.

• Povjerljivost - podaci ne smiju biti dostupni ne-autoriziranim osobama i niti jedan napadač ne smije biti u stanju presretati podatke te ih čitati, mijenjati ili koristiti
• Integritet - ne smije doći do pogreške tijekom prijenosa podataka jer već jedna mala pogreška može imati dalekosežne posljedice
• Dostupnost - usluga mora uvijek biti dostupna klijentu. Ovaj zahtjev ne postoji samo zato da se klijenta spasi od frustracije, već i zato da se sustav ne postane nedostupan dok se obavlja neka važna funkcija, npr. prijenos novca
• Autentičnost - sustav mora biti u stanju potvrditi da je klijent stvarno osoba kojom se predstavlja
• Enkripcija - svi podaci koji se šalju moraju biti zaštićeni enkripcijom
• Neporecivost - zaštita od poricanja, tj. klijent ne smije biti u stanju poricati da je nešto naručio ili platio ukoliko je te radnje obavio

Trgovčevi zahtjevi

• Trgovac treba biti siguran da je klijent s kojime komunicira stvarno onaj tko tvrdi da jest – ignoriranje ovog zahtjeva može stvoriti pravne probleme za trgovca

• Narudžba koju je prodavač primio od kupca mora biti identična onoj koju je kupac stvarno napisao – znači, mora se osigurati da je zaštićen integritet poruke i da neki napadač nije promijenio sadržaj narudžbe

• Da je identitet autora neporeciv – prodavač se mora zaštiti od mogućnosti da kupac nakon narudžbe tvrdi da nije on naručio proizvod ili koristio uslugu od prodavača

Kupčevi zahtjevi

• Mora biti siguran da komunicira sa stvarnim prodavačem - ukoliko komunicira s kriminalcem koji se pretvara da je neki stvarni trgovac, kupac može biti opljačkan

• Poruka koju pošalje neće biti promjenjena tijekom prijenosa (postoji zaštita integriteta)

• Mora biti u stanju dokazati da je on poslao poruku narudžbe

• Samo osoba kojoj je poslao narudžbu i ostale podatke može pročitati poruku – kanal mora biti siguran a poruka enkriptirana kako ne bi neki napadač presreo poruku te ju promjenio ili koristio podatke iz nje

• Ne smije biti sumnje u to da će njegova narudžba biti primljena

Mjere zaštite

Svaka elektronička trgovina mora imati bar slijedeće mjere zaštite kako bi zaslužila povjerenje klijenata (i kojima se ispunjavaju neki od sigurnosnih zahtjeva):

• Enkripcija podataka - efektivna mjera zaštite podataka u prijenosu jer samo primatelj može biti u stanju pročitati njemu poslane podatke
• Digitalno potpisivanje - mjera zaštite kojom se štite autentičnost i integritet podataka
• Sigurnosni certifikati - ovom mjerom prodavač dokazuje klijentu da je stvarno onaj kojim se predstavlja

Uobičajene vrste napada

• Presretanje poruka – ukoliko se ne koristi enkripcija, napadač može lako presresti poruku te promijeniti njen sadržaj ili čitati osjetljive podatke koji se nalaze u njoj. Enkripcija se zato MORA koristiti

• Provala u trgovčev sustav – ukoliko napadač pronađe način da provali u sustav kroz jedan izvor, postoji prijetnja da može provaliti u bilo koji drugi dio sustava. Radi toga, potrebno je koristiti Firewalle, odvojiti servise koji direktno komuniciraju s korisnicima od servisa koji ne komuniciraju s korisnicima (ili komuniciraju indirektno) i strogo zabraniti neovlaštenim osobama pristup bazama podataka i ostalim osjetljivim servisima

• Provala u kupčev sustav – nije potrebno samo zaštiti podatke na poslužitelju, već i podatke koji se skinu na korisnikovo računalo. Ukoliko napadač uspješno provali u računalo nekog kupca (što je daleko jednostavnije nego provaliti u trgovčev informacijski sustav), postoji mogućnost da napadač tamo pronađe osjetljive podatke za kupca ili prodavača. Radi toga potrebno je zaštiti te podatke i ne ovisiti o korisniku da ih aktivira (većina korisnika će odlučiti da konfiguriranje zaštite aplikacije nije vrijedno truda)

• SQL Injection – najrasprostranjeniji način napada i općenito prvi napad koji će većina napadača pokušati izvesti. Uobičajeno je da neiskusni programeri direktno prenose podatke iz formi, koje potencijalni kupac ispunjava, u SQL kod kojime se manipulira bazom podataka. Potencijalni napadač može umjesto uobičajenih napada napisati vlastiti SQL kod koji će se, jer se podaci direktno spajaju s SQL kodom, izvršiti i time omogućiti napdaču da čita i koristi bazu podataka kako da je volja. Zato je potrebno koristiti sve zaštitne mehanizme koje SQL nudi, ne kopirati podatke direktno u SQL kod već, umjesto toga, ih je prvo potrebno obraditi

• XSS (Cross Side Scripting) – slično kao SQL Injection, ukoliko ne postoji potrebna validacija u PHP ili Java kodu, napadač može to koristiti da ugradi vlastitu skriptu na stranici koja će posjetitelja navesti da posjeti napadačevu stranicu gdje, na primjer, korisnik može unijeti podatke kreditne kartice u formu koju mu je napadač ponudio

• Provala koristeći početne postavke – nakon ugradnje raznih tehnologija u informacijski sustav, prečesto se zaboravi promijeniti početne postavke sustava što napadač može iskoristiti (npr. Napadač se može prijaviti u sustav kao administrator koristeći korisničko ime Admin i lozinku admin)

• Promjena cijene – određene implementacije čine kobnu pogrešku da se cijene dohvaćaju iz nesigurnih lokacija poput skrivenih HTML polja, cookia i lokalnih podataka spremljenih na korisnikovo računalo. Takvi načini dohvaćanja podataka omogućuju napadaču da promjeni pohranjene vrijednosti tijekom narudržbe, time mu omogućivši da proizvod kupi pod manjom cijenom. Radi toga je od iznimne važnosti cijene uvijek dohvaćati s poslužiteljeve baze podataka a nikad s korisnikove

• Denial of Service – napadač može Malwareom zaraziti veliku količinu računala i poslati ih da konstantno posjećuju trgovčevu stranicu, što dovodi do pada poslužitelja radi prevelikoga prometa i time postaje nemoguće vršiti trgovačku djelatnost što može stvoriti veliku štetu, posebno ukoliko se napad brzo ne zaustavi

• Praćenje kupaca – nije potrebno štiti samo osjetljive podatke o korisniku, več i općenito ostale podatke poput e-mail adrese i ostalih kontakt podataka te proizvoda koje je korisnik kupio. Ukoliko se to ne napravi, napadač moće pratiti korisnika i nakon nekog vremena predstaviti se kao prodavač, što postaje iznimno jednostavno ako napadač zna podatke za kontakt i samo par detalja o obavljenim kupnjama na trgovčevoj stranici

Sigurnosni protokoli i sustavi zaštite

SSL: Security Sockets Layer i TLS: Transport Layer Security protokoli

Ovo su najrasprostranjeniji protokoli za zaštitu Internetskih transakcija i ostvaruju slijedeće sigurnosne zahtjeve: povjerljivost, autentičnost, integritet, enkripciju podataka i neporecivost. Ovi protokoli u osnovi služe kao kanal za komunikaciju između dva učesnika u mreži koji šalju podatke putem nesigurne veze (Interneta).

Najveća prednost ovih protokola je njihova jednostavnost za korištenje: klijenti često ni ne znaju da postoji jer ne protokol ne zahtjeva od njih da interaktiraju s njime (osim kad neka stranica nije povjerljiva). Pružateljima usluga su ovi protokoli također podosta jednostavni i jeftini.

Uz zaštitu samog prijenosa podataka, ovi protokoli omogućavaju korisniku da provjeri povjerljivost stranica koje posjećuje jer SSL/TLS također koristi i X.509 certifikate.

Ipak, valja držati na umu to da su svakog dana sve nepouzdaniji i njihova zaštita se probije po nekoliko puta u godini. Ipak, u Siječnju 2015. najavljena je nova, 1.3, verzija TLS protokola koja će popraviti neke od sigurnosnih propusta.

X.509 certifikati

X.509 je najrasprostranjeniji i međunarodno priznat davatelj sigurnosnih certifikata koji se također koriste u SSL/TLS protokolima a sama tehnologija je stara 27 godina. On i njegova infrastruktura osigurava autentičnost korisnika enkripcijskih ključeva.

PGP: Pretty Good Privacy

PGP je računalni program koji je 1991. razvio Phil Zimmerman. PGP služi za enkripciju, dekripciju, segmentaciju i kompresiju poruka, e-mailova, datoteka pa čak i čitavih diskova.

Algoritam na kojem je program baziran redovito prolazi sve testove sigurnosti i smatra se iznimno sigurnim i dosad nitko nije probio sigurnosne usluge PGP-a, uključujući i policijska tijela Italije, Britanije pa i FBI-a koja su nerijetko napadala PGP koji i kriminalci koriste da zaštite vlastite podatke, te je čak jednom nazvan i „...najbliže što ćeš doći vojnoj razini sigurnosti“. PGP također nije pod nadzorom niti razvojem ikojeg vladinog tijela niti standarda.

SET: Secure Electronic Transaction

Protokol koji su zajedno stvorili MasterCard i Visa. SET je jaki protokol koji ostvaruje zahtjeve za povjerljivost, integritet te autentifikaciju trgovca i vlasnika kreditne kartice kojom se plaća. Još jedna korisna pogodnost ovog protokola je i ta da trgovac ne mora znati broj kartice kojom korisnik plaća što dodatno štiti sve stranke i smanjuje šansu od prijevare.

Na žalost, SET protokol se nije uspjeo probiti na tržište te je napušten i od strane tvrtki koje su ga stvorile. Razlog SET-ova neuspjeha na tržištu nije bila nepouzdanost već činjenica da je, za razliku od SSL/TLS protokola, prekompleksan, skup i zahtjeva instalaciju softwarea na klijentovo računalo.

3-D Secure

Nakon napuštanja SET protokola radi njegova neuspjeha da se probije na tržište, Visa je proizvela novi protokol zvan 3-D Secure kao dodatak SSL protokolu za zaštitu kreditnih i debitnih kartica putem Interneta. Ostale tvrtke osim Vise koriste protokole bazirane na ovom s pokojom preinakom.

3-D u nazivu protokola se odnosni na tri domene autentifikacije: Stjecateljevu, Izdavateljevu i Interoperabilnu. Protokol šalje XML poruke putem SSL-a te od klijenta zahtjeva dodatni korak autentifikacije unošenjem lozinke. Na primjer, ta lozinka može biti primljena od strane banke SMS-om, ali mogu se koristiti i druge metode.

Za trgovca, ovaj protokol daje par još pogodnosti, ali također i nepogodnosti. Jedna nepogodnost je ta što trgovac mora kupiti MPI (Merchant Plug-In) software koji donosi dodatne troškove trgovcu (kupnja, mjesečna naknada i naknada po obavljenoj transakciji) i može dovesti do pogreški tijekom transakcije. Također, klijenti smatraju ovaj dodatni korak autentifikacije smetnjom i nije rijetkost da odustanu od transakcije radi toga.

Ali frustracije radi dodatnog koraka autentifikacije nisu jedini nedostatak ove tehnologije za klijente. Najveća zamjerka je ta da se dodatni korak autentifikacije ne vrši od strane stranice na kojoj korisnik kupuje, već preko forme date od druge stranice. Ovo je omogućilo novi val Phishing napada jer korisnik ne može uvijek znati je li otvoreni prozor autentičan ili nije.

Također, određene varijante ovog protokola ne ispunjavaju uvjete Europske središnje banke (ECB-a).

AVS: Address Verification System

AVS je sustav koji provjerava adresu naplate, poštansku adresu, itd. s adresama koje posjeduje izdavatelj kartice. Ovime se smanjuje šansa prijevare.

CSC: Card Security Code

Sam broj kartice nije dovoljan kao autentifikacija vlasnika kartice jer se spomenuti broj često dijeli na Internetu i u stvarnom svijetu. Kao dodatna mjera zaštite, mnoge kartice na svojoj poleđini imaju CSC, kratki broj koji se uz broj kartice koristi kao autentifikacija korisnika kartice na elektroničkim trgovinama. Mada nije od velike koristi ukoliko napadač posjeduje i broj kartice i CSC, ovaj dodatni korak autentifikacije se dokazao kao dobra dodatna mjera zaštite.

Savjeti za zaštitu

• Brisanje osjetljivih podataka - zlatno pravilo rada s bazama podataka je taj da se podaci ne smiju brisati iz baze, ali u određenim situacijama postoje iznimke. e-trgovina je jedna od tih iznimki jer pohranjivanje osjetljivih podataka predstavlja sigurnosnu prijetnju u slučaju da napadač dobije pristup bazi podataka. Radi toga, sve osjetljive podatke, poput brojeva kartica, treba izbrisati jednom kad više nisu potrebni i preporučuje se pohrana minimalne količine podataka, tek toliko da se omoguće usluge poput povrata novca i Charge-Backa
• Zahtijevanje da korisnici posjeduju jake lozinke - da se korisnici zaštite od samih sebe, dobra je poslovna praksa od njih zahtijevati da koriste jake lozinke kad se prijavljuju na stranicu. Zahtijevanje minimalog broja simbola, miješanje slova i brojeva te ocjena sigurnosti lozinke pridonose k tome da korisnici imaju dovoljno jake lozinke da ih je teško probiti
• Ne pohranjuj čiste ili enkriptirane lozinke, pinove i slične autorizacijske podatke – ukoliko napadač nađe način da provali u bazu podataka, mora postojati dodatna zaštita koja će ga onemogućiti od toga da čita lozinke, pinove i sl. Koristi Hash algoritme za ovo (noviji SHA, nikako MD5 koji je probijen)
• Koristi jake enkripcijske algoritme koji nisu probijeni, npr. AES i RSA
• Motrenje sumnjivih aktivnosti - čak i ako je napadač nabavio sve potrebne podatke da se autentificira kao osoba koju želi pokrasti, moguće je otkriti napad. Na primjer, naglo trošenje velikih količina novca i promjena prebivališta na drugi kraj svijeta su samo neki od mogućih pokazatelja da postoji razlog za sumnju da korisnik kartice nije i njen vlasnik. Radi toga, dobra je praksa stvoriti algoritme koji će motriti rad klijenata i tražiti od klijenta, putem njegove druge e-mail adrese ili SMS-a, da potvrdi kako upravo on trenutno koristi usluge elektroničke trgovine
• Snaga sigurnosti čitavog sustava je ekvivalentna snazi sigurnosti najslabije osigurane komponente – ako je od deset sigurnosnih komponenti devet jako dobro osigurano a jedna komponenta slabo osigurana, onda je čitav sustav slabo osiguran. Onaj tko gradi sustav sigurnosti ne smije si dopustiti da misli kako će količina dobro osiguranih komponenti biti dovoljna da zaštiti sustav jer napadaču ta jedna komponenta moće biti dovoljna da ugrozi čitav sustav sigurnosti
• Stvori plan u slučaju da sigurnosni sustav bude probijen – ne postoji sustav koji je imun na sve vrste napada i uvijek postoji šansa da sustav ude probijen. Iz tog razloga, trgovac mora imati plan u slučaju nužde kojime će pokušati minimizirati posljedice ili bar zaštiti sustav od slične provale prije nego se sigurnosna rupa ispravi
• Pozovi POVJERLJIVE eksperte da pokušaju provaliti u tvoj sustav i savjetuju o tome što bi valjalo poboljšati. Bogatije tvrtke čak nude i novčane nagrade onima koji pronađu rupe u sigurnosti
• Čitanje sigurnosnih normi i savjeta dobre prakse – na mnogo mjesta se mogu naći razne norme i savjeti koji trgovcu omogućuju lakši i sistematiziraniji način izgradnje efikasnog sustava sigurnosti, posebno za ovu djelatnost. ISO norme, FIPS i CC su neki od prijedloga

Literatura

CIO, 15 Ways to Protect Your Ecommerce Site From Hacking and Fraud - http://www.cio.com/article/2384809/e-commerce/15-ways-to-protect-your-ecommerce-site-from-hacking-and-fraud.html

Dieter Gollman, E-commerce Security, ftp://ftp.tik.ee.ethz.ch/pub/lehre/inteco/SS02/material/00850785.pdf

Dr. Nada M. A. Al-Slamy, E-Commerce security, Alzaytoonah University MIS Dept. Amman, Jordan 962: http://paper.ijcsns.org/07_book/200805/20080550.pdf

IBM, developerWorks, e-Commerce security, Attacks and preventive strategies: http://www.ibm.com/developerworks/library/co-0504_mckegney/

NIBUSINESSINFO.co.uk, Common e-commerce pitfalls, Security weaknesses: https://www.nibusinessinfo.co.uk/content/security-weaknesses

PCmag, 5 E-Commerce Security tips: http://www.pcmag.com/article2/0,2817,2421846,00.asp

Sagar Chakraborty, e-Commerce Security: http://www.facweb.iitkgp.ernet.in/~isg/ICT-SEMINAR/REPORT-Sagar.pdf

Sitepoint, 5 Security Essentials for Ecommerce Sites - http://www.sitepoint.com/5-security-essentials-ecommerce-sites/

Strategic Website Technologies: http://web.itu.edu.tr/~soylemezm/ebus577/Lectures/Lecture7_Security.pdf

Symantec, Common Security Vulnerabilities in e-commerce Systems: http://www.symantec.com/connect/articles/common-security-vulnerabilities-e-commerce-systems

Tutorialspoint, E-Commerce Security Systems - http://www.tutorialspoint.com/e_commerce/e_commerce_security.htm

Wikipedia – http://en.wikipedia.org/wiki/Main_Page

Zakon.hr - http://www.zakon.hr