Cilj: Pružiti sigurnost elektroničkih trgovinskih usluga i njihovu sigurnu uporabu. Potrebno je uzeti u obzir sigurnosne implikacije vezane uz uporabu elektroničkih trgovinskih usluga, uključujući i on-line transakcije, te implemetirati zahtjevane kontrole. Važna pretpostavka takvih sustava je integritet i raspoloživost informacija u elektroničkom obliku koje su dostupne na javnim sustavima.
Kontrola Informacije uključene u elektroničku trgovinu koje prolaze javnim mrežama tebaju biti zaštićene od neovlaštenih aktivnosti, osporavanja ugovora i neovlaštenog razotkrivanja ili modificiranja. Implementacijske smjernice Sigurnosna razmatranja vezana uz elektroničku trgovinu uključuju: a) razinu povjerljivosti koju svaka strana očekuje prilikom identifikacije, npr. kroz autentifikaciju; b) autorizacijske procese vezane za postavljanje cijena, izdavanje ili potpisivanje dokumenata; c) osigurati da trgovinski partneri budu svjesni svojih ovlasti; d) ispunjenje zahtjeva za povjerljivošću, integritetom, dokazom o ispostavi, neporicanjem ugovora i sl. e) razinu povjerenja potrebnu za integritet objavljenih cijena; f) povjerljivost svih osjetljivih informacija i podataka; g) povjerljivost i integritet svih transakcija, informacija o uplatama, adresa za dostavu i potvrda primatelja; h) stupanj verifikacije prikladan za provjeru informacija o uplati koje daje kupac; i) odabir najprikladnijeg oblika plaćanja za zaštitu od prevare; j) razinu zaštite potrebne da si se održala povjerljivost informacija o narudžbi; k) izbjegavanje gubitka ili umnožavanja informacija o transakciji; l) odgovornost za neovlaštene transakcije; m) osiguranje; Većina od gore navedenog se može riješiti primjenom kriptografskih kontrola uzimajući u obzir zakonske propise vezane uz kriptografiju. Dodatne informacije Za elektroničku trgovinu se upotrebljavaju autentifikacijske metode poput kriptografije javnih ključeva i digitalnog potpisa te se na taj način smanjuje rizik.
Kontrola Informacije uključene u on-line transakcije trebaju biti zaštićene od nepotpunog prijenosa, krivog usmjeravanja, neovlaštene izmjene poruka, neovlaštenog razotkrivanja i umnožavanja poruka ili odgovora. Implementacijske smjernice Kod on-line transakcija, potrebno je uzeti u obzir: a) uporabu elektroničkog potpisa kod svake strane koja sudjeluje u transakciji; b) sve aspekte transakcije, osiguravajući da: 1) vjerodajnice svih korisnika budu ispravne i verificirane; 2) transakcija ostane povjerljiva; 3) ostane sačuvana privatnost svih stranaka uključenih u transakciju ; c) komunikacijski put između svih strana koje sudjeluju u transakciji treba biti kriptiran; d) uporabu sigurnog protokola za komunikaciju između uključenih stranaka; e) informacije o transakciji trebaju biti pohranjene izvan javno dostupnog okruženja; f) tamo gdje se koristi posredništvo treće strane kojoj svi vjeruju, sigurnost se integrira kroz mrežu certifikata i potpisa.
Kontrola Integritet informacija koje su javno dostupne treba biti zaštićen od neovlaštene modifikacije. Implementacijske smjernice Programska oprema, podaci i druge informacije koje zahtjevaju visoku razinu integriteta, trebaju biti zaštićeni prikladnim mjerama (npr. digitalnim potpisom) kad su dostupne na javnim sustavima. Javno dostupan sustav se treba testirati prije nego se informacija učini dostupnom. Elektronički sustavi za objavljivanje informacija trebaju zadovoljiti: a) da informacije budu u skladu s važećim zakonima o zaštiti podataka; b) informacije koje se objavljuju na takvom sustavu budu procesirane točno i kompletno u odgovarajućim vremenskim okvirima; c) da osjetljive informacije budu zaštićene tijekom sakupljanja, obrade i pohranjivanja; d) da pristup sustavu za objavljivanje ne dopusti pristup mrežama na koje je sustav spojen. Dodatne informacije Informacije na javno dostupnim sustavima, npr. web poslužiteljima dostupnim s Interneta, trebaju biti u skladu sa zakonskim pravilima.