Wij bezitten een webshop die werkt met de provider Sisow.

Wij zitten met de vraag of wij naast de veilige verbinding die Sisow legt, ook nog een SSL certificaat moeten aanschaffen. Wij hebben namelijk vernomen dat te allen tijde een SSL verbinding moet worden gelegd.

Kortom: moeten wij naast de veilige verbinding die Sisow legt, ook nog een SSL certificaat aanschaffen voor onze webshop?

Je bedoelt voor het bekijken van je webshop? Lijkt me geheel overbodig.
De betalingen die gedaan worden, die gaan wel over een SSL, maar de inhoud van je webshop hoef je niet te beveiligen.

Dus de beveiligde verbinding van Sisow is voldoende?

Origineel gepost door Mark T

Dus de beveiligde verbinding van Sisow is voldoende?

Dat klopt inderdaad, Sisow zorgt ervoor dat het betalings verkeer beveiligd wordt.

Wanneer je persoonsgegevens verstuurd (lees: naam, adres etc) ben je het verplicht. Bijv. bij een klantregistratie. (zie http://www.networking4all.com/nl/ssl...telijke+eisen/).

Overigens zou je wel de eerste zijn die een boete krijgt geloof ik ;-)

Als de klant zich eerst registreert op je webshop en vervolgens doorgestuurd wordt naar Sisow, moet je eigenlijk een SSL verbinding hebben voor het versleuteld versturen van de klantgegevens naar je database. Gaat ook de registratie via Sisow, dan is de SSL verbinding van Sisow voldoende.
Veel webshops werken zonder SSL, hoewel dit wettelijk gezien wel verplicht is, maar er zelden gecontroleerd wordt. Overigens is SSL niet moeilijk te implementeren, je heb een dedicated IP-adres nodig, die kosten vaak tegen de honderd euro per jaar en een eenvoudig SSL certificaat die heb je al voor een paar tientjes per jaar.
Mochten er ooit klantgegevens gestolen worden via de onbeveiligde verbinding, dan ben je volgens mij wel aansprakelijk.

Met de aanschaf van een SSL Certificaat zorgt u ervoor dat deze gegevens niet in handen van kwaadwillenden kunnen komen.

Bron: http://www.networking4all.com/nl/ssl...telijke+eisen/

De veiligheid van een SSL Certificaat is wat over rated hier.
Een SSL Certificaat maakt de webapplicatie aan de frontend of backend code per definitie niet veiliger, enkel het verkeer wordt versleuteld zodat afluisteren niet mogelijk is.
Hackers kunnen buiten de versleuteling nog steeds succesvol cross site scripting of sql injections of andere aanvallen uitvoeren wanneer de web applicatie slecht geprogrammeerd is. Zodoende zouden ze nog steeds de klant gegevens kunnen stelen.