1 A Certificação de Qualidade nos Negócios Electrónicos Proposta de um Novo Código de Conduta João Esteves e Henriqueta Nóvoa Resumo — A necessidade de melhorar a confiança das pessoas nos negócios electrónicos, garantindo que as suas exigências e expectativas são cabalmente satisfeitas, é um desafio inadiável. A analogia com a realidade industrial é óbvia - a certificação das empresas através das normas ISO 9000:2000 tem um impacto considerável na credibilidade e confiança das empresas e dos seus clientes. São estes conceitos de certificação de qualidade que, com as devidas alterações, têm que ser transpostos para os negócios electrónicos (entendendo-se como negócios electrónicos os efectuados preferencialmente via Internet). Para tal foram analisados detalhadamente os códigos de conduta para os negócios electrónicos mais utilizados a nível nacional e internacional, ponderando-se as suas vantagens e limitações. O objectivo pretendido foi o de desenvolver uma proposta para um código de conduta baseado nos conceitos de qualidade da ISO 9000:2000, que ultrapassasse as limitações identificadas nos códigos actualmente em uso. O código de conduta para os negócios electrónicos que se propõe é constituído por 130 requisitos, agrupados por processos de qualidade. Com o propósito de tornar mais expedita a avaliação dos sites através deste novo código, desenvolveu-se uma versão simplificada com os 50 requisitos mais relevantes, que serve como uma check-list de auto-avaliação para as empresas. No seguimento deste trabalho pretende estudar-se a integração do código na certificação pela norma ISO 9000:2000, já que a sua reputação e credibilidade traria uma mais valia significativa para o aumento da confiança nos consumidores. Palavras-chave — Negócios Electrónicos, Comércio Electrónico, Internet, Qualidade, Certificação de Sistemas de Gestão da Qualidade, Código de Conduta dos Negócios Electrónicos. ——————————‹ —————————— 1 INTRODUÇÃO A Internet disponibilizou uma inovadora plataforma de comunicação global, encurtando distâncias e trans- formando o mundo num mercado global. Muitas em- 1. Conceito de qualidade - para se garantir ao cliente uma experiência negocial de qualidade, um site terá de oferecer: qualidade da informação (a informação presas viram aqui uma nova oportunidade de efectuar fa- deve ser precisa, actualizada, compreensível, com- cilmente negócios em larga escala. Contudo, sem estratégi- pleta, credível e relevante), serviços de suporte à as bem definidas e uma organização preparada começaram transacção (serviços que garantam a fidelidade do rapidamente a surgir problemas de privacidade, segurança cliente, tais como, facilidades na procura dos produ- e qualidade da informação disponibilizada, bem como da tos, resposta pronta às suas questões, informação totalidade do serviço prestado [1]. Estes factos têm sido sobre os produtos, as fases da transacção, meios de demonstrados em vários estudos e relatórios de associações pagamento, entrega, assistência pós-venda, reclama- de consumidores e de organismos estatais um pouco por ções, etc.), segurança e privacidade (métodos de todo o mundo. Em Portugal os relatórios da Unicre/Vector processamento que garantam que as transacções são XXI sobre os “Os Portugueses e as compras na Internet” [2] efectuadas sem quebras da segurança e da confiden- dos últimos anos são os casos mais conhecios. Tornou-se, cialidade dos dados pessoais) [5], [6]. assim, imperioso criar condições para que os clientes confi- 2. Norma de referência - na definição da estrutura do em nos negócios electrónicos, garantindo que as suas exi- código de conduta que se propõe foram tidas em gências e expectativas são satisfeitas [3]. consideração: É da necessidade de garantir ao cliente a presença num site que obedeça a determinados requisitos que nasce o • A norma ISO 9000:2000; conceito da certificação de qualidade nos negócios electró- • As determinações internacionais existentes nicos, tendo sido esta a razão do desenvolvimento dos có- sobre esta matéria, como sejam as da OCDE e digos de conduta actualmente existentes. Considerando as da legislação europeia e nacional; que estes objectivos são os que estão na base da certificação • Os códigos de diversas entidades, nomeada- de qualidade no mundo empresarial e que a norma ISO mente as iniciativas eConfidence, BBBon-line 9000 é o instrumento operativo mais utilizado para os atin- e Webtrader. gir, o que se pretende é que a certificação de qualidade dos negócios electrónicos se baseie cada vez mais nos mesmos 3. Processo de certificação - utilizou-se o mesmo es- conceitos [4]. Em síntese, os conceitos básicos considerados quema de certificação da norma ISO 9000:2000, com são: as devidas alterações, nomeadamente no que se re- 2 QUATIC’2004 PROCEEDINGS fere às formas de avaliação on-line dos compromis- áreas do site; sos. 4. Os procedimentos que a empresa e os seus colabo- Estes conceitos vão ser a base do sistema de certificação radores devem desenvolver para executar de forma nos negócios electrónicos, sendo os requisitos do código de consistente a sua actividade; conduta e os passos do processo de cerficação os seus ele- 5. O processo de certificação do site; mentos chave. 6. O processo para monitorizar, avaliar e melhorar continuamente o sistema de gestão da empresa. 2 ANÁLISE A CÓDIGOS DE CONDUTA EXISTENTES Embora os códigos de conduta analisados tenham subja- Diversas instituições têm promovido e desenvolvido pro- cente o conceito de qualidade para os negócios electrónicos, gramas e códigos de conduta para os negócios electrónicos. pode concluir-se facilmente que não implementam de for- Assim, seleccionaram-se quatro iniciativas que se conside- ma cabal os restantes conceitos que conduzem a uma efec- raram de maior relevância, quer pela importância das insti- tiva implementação dentro da estrutura da empresa. tuições envolvidas, quer pelo número de empresas que as Relativamente a Portugal, a Associação do Comércio adoptaram, quer ainda pelo impacto que algumas estão a Electrónico em Portugal (ACEP) lançou em 2003 o progra- ter em termos legislativos, modelo de referência ou áreas de ma nacional de acreditação do comércio electrónico [14] e a actuação. Essas iniciativas são: da OCDE que lançou em Associação Portuguesa de Certificação (APCER) lançou a 1998 as “Linhas Orientadoras para protecção dos consumi- iniciativa DIGI-Q [15]. Utilizando estes códigos estas duas dores no contexto do Comércio Electrónico” [7], da Comis- instituições certificaram diversos sites em 2004, como o são Europeia que lançou a iniciativa eConfidence [8] onde superemprego.pt, Chip7, pmelink.pt, ou o El Corte Inglês. se definem os princípios para os códigos de conduta do Têm ainda efectuado acções de promoção das suas iniciati- comércio electrónico; dos EUA, o código desenvolvido pela vas de certificação, através da realização de congressos, BBBon-line [9], talvez um dos mais utilizados em termos seminários, acções de formação, entre outras. De referir mundiais; e finalmente, da iniciativa europeia do código de ainda que no decurso de 2004 foi publicado o Decreto-Lei conduta Webtrader [10], que contou com o envolvimento nº07/04, de 7 de Janeiro, que transpôs a directiva sobre o da DECO em Portugal [11]. Comércio electrónico [19]. De uma forma geral pode referir-se que existe um tronco Comparando as duas iniciativas com o código proposto, central comum a todos estes códigos de conduta. Este tron- verificamos que estas não desenvolvem todos os aspectos co é constituído pela referência às práticas negociais da que conduzem à certificação do sistema de gestão. Este fac- empresa, pelas informações sobre os produtos e serviços, os to dificulta o objectivo fundamental de aumentar a confian- termos em que se processam as transacções, as questões ça dos clientes nos negócios electrónicos. relativas ao tratamento das reclamações, privacidade, pro- tecção de crianças e segurança. Relativamente ao código de conduta proposto, o que se 3 O CÓDIGO DE CONDUTA PARA OS NEGÓCIOS verifica é que o conceito de qualidade que foi definido para ELECTRÓNICOS os negócios electrónicos está implícito nos códigos analisa- dos, muito embora não haja uma assunção directa deste 3.1 Princípios e Estrutura do Código de conceito. Já em relação aos serviços de suporte à transacção, Conduta todos os códigos apresentam requisitos relativos a estes serviços de apoio, bem como sobre segurança e privacida- Tal como já foi referido, o objectivo primordial do código é de. o de promover a confiança, com base no conceito de que o Existem outros códigos (eg. o código da Truste [12]) que que se aplica off-line também se deve aplicar on-line. As- apenas concentram a sua atenção em pontos mais específi- sim, na formulação do código de conduta devem ser consi- cos, como sejam, as práticas comerciais do site ou as suas derados os princípios do código desenvolvido pela OCDE regras quanto à privacidade ou segurança da informação. [7] e os da norma ISO 9000:2000 [16]. Os princípios defini- Também se verifica que o processo de certificação dos sites dos são: compromisso com o código, honestidade e equida- varia de uma iniciativa para outra e existe alguma confusão de nas relações com os clientes, liderança e envolvimento sobre a credibilidade dos códigos on-line e sobre a necessi- dos colaboradores da empresa, transparência nas relações dade de aumentar os requisitos relativos à informação que com os clientes, valor acrescentado ao nível dos serviços de é facultada ao utilizador [13]. apoio e participação dos parceiros. No entanto, requisitos que consideramos relevantes e O código de conduta para os negócios electrónicos que que consequentemente foram incluídos no código de con- se propõe tem por base a estrutura da norma ISO 9000:2000. duta, encontram-se omissos nos códigos acima menciona- O modelo de sistema de gestão é baseado em processos tal dos. Exemplos destes requisitos são: como na norma ISO 9000:2000 [17]. Os requisitos do código 1. A declaração formal de compromisso da empresa re- são estruturados de acordo com as quatro grandes secções lativamente às suas práticas negociais; previstas igualmente na norma e que são: responsabilidade 2. Os recursos que a empresa deve disponibilizar para da gestão, gestão dos recursos, realização do produto e desenvolver a sua actividade; monitorização, análise e melhoria. Como o objectivo é ga- rantir a satisfação dos clientes nos negócios electrónicos, 3. A informação sobre os responsáveis pelas diversas todos estes processos devem ser implementados de acordo JOÃO ESTEVES ET AL: CERTIFICAÇÃO DE QUALIDAE NOS NEGÓCIOS ELECTRÓNICOS – PROPOSTA DE UM NOVO CÓDIGO DE CONDUTA 3 com a metodologia do Ciclo de Melhoria do Deming compromissos que devem ser assumidos pela empresa pe- (PDCA), que representa de forma exemplar o conceito de rante os clientes. Embora estes compromissos sejam essen- melhoria contínua que se pretende implementar nos negó- ciais, nem sempre nos códigos analisados mereceram o de- cios electrónicos. vido destaque ou abrangeram a totalidade dos aspectos Tendo presente este conceito de qualidade para os negó- acima mencionados. Exemplos destes requisitos em falta cios electrónicos (qualidade da informação, serviços de su- são o envolvimento da gestão de topo ou as preocupações porte à transacção, segurança e privacidade) e a análise com a melhoria contínua do sistema de gestão, aspectos efectuada aos outros códigos já em vigor referidos em 2., foi considerado como determinantes no código proposto. Este definido um conjunto de processos que garantem a satisfa- processo engloba os requisitos de 1 a 21. ção das expectativas e necessidades dos clientes. Os proces- sos identificados são: Práticas e Compromissos da Empresa, Serviços de Apoio a Clientes Serviços de Apoio ao Cliente, Oferta e Transacção de Pro- Estes serviços são importantes e determinantes em qual- dutos e Serviços, Reclamações e Regulação de Litígios, Pri- quer empresa. No caso dos negócios electrónicos estes ser- vacidade, Segurança e Monitorização, Avaliação e Melho- viços assumem uma maior relevância, pois o cliente deixa ria. de estar em contacto físico com o pessoal da empresa, as- sumindo a informação veiculada e o apoio prestado pelos serviços um papel ainda mais determinante. Sendo esta uma das chaves para o incremento da confiança nos negó- cios electrónicos é de vital importância que o cliente saiba com quem está a negociar. Com o objectivo de reforçar a importância do apoio ao cliente foi criado um processo es- pecífico para lidar com esta matéria. Neste processo devem ser implementadas diversas for- mas de interagir com o cliente, disponibilizando informa- ção sobre a empresa, os produtos e serviços, a transacção e as regras relativas à devolução, resolução, reclamação, se- gurança e privacidade, bem como sobre a certificação do site. Devem ser disponibilizados recursos humanos compe- tentes para realizar estas actividades. Devem, ainda, ser definidos procedimentos sobre a actualização da informa- ção e a gestão dos pedidos de informação. Este processo engloba os requisitos de 22 a 34. Oferta e Transacção de Produtos e Serviços Este é um processo complexo que engloba as actividades Fig.1. Estrutura do Código de Conduta. que asseguram as transacções electrónicas e encontra-se presente em todos os códigos analisados. Estas actividades são: oferta, encomenda, pagamento, entrega, assistência O código de conduta desenvolvido é composto por 130 pós-venda e resolução do contrato. requisitos, organizados com base nos processos de qualida- Nesse sentido, a empresa deve assumir um conjunto de de assim definidos (Ver Apêndice A). Para melhor perceber compromissos quanto às regras de promoção dos produtos a estrutura e os princípios básicos do código, segue-se uma e a celebração de contratos à distância conforme previsto na análise sintética de cada um destes processos, bem como legislação nacional e europeia. Deve ser nomeado um res- dos motivos que estão na origem da sua inclusão no código ponsável por esta área. O cliente deve ser informado sobre de conduta proposto. as características dos produtos e serviços oferecidos, sobre Práticas e Compromissos da Empresa os custos, as modalidades, condições e modos de pagamen- to, bem como sobre as normas e níveis de segurança dos Neste processo a empresa deve assumir um conjunto de sistemas de pagamento disponibilizados. Devem ser im- compromissos com os clientes, nomeadamente, ao nível do plementados procedimentos de suporte ao processo de código de conduta, da identificação e satisfação das suas aquisição (criação, consulta, alteração, confirmação, cance- necessidades, do envolvimento de toda a organização, da lamento e devolução de encomendas), pagamento, entrega qualidade da informação que é veiculada, da utilização e serviço pós-venda. Devem ainda ser definidos procedi- correcta das tecnologias disponibilizadas pela Internet, da mentos para planear e controlar a disponibilização dos disponibilidade de recursos humanos e materiais, da fide- produtos no site visando o cumprimento dos requisitos dignidade dos seus sistemas e organização e de que age de contratuais e do código de conduta. Este processo engloba forma leal nas suas práticas negociais. Para tal, deve ser os requisitos de 35 a 78. nomeado um responsável pela gestão do site e definidos os procedimentos para tratar os documentos. A melhoria con- Reclamações e Regulação de Litígios tínua do sistema através da sua revisão periódica deve ser A fim de fomentar a confiança dos clientes nos negócios incentivada. Neste processo estão englobados todos os as- electrónicos, as empresas necessitam de lhes fornecer me- pectos mais óbvios de um código de conduta, ou seja os canismos internos e externos de resolução dos litígios efica- 4 QUATIC’2004 PROCEEDINGS zes. É por este motivo que este processo é considerado um normas de segurança da empresa. A empresa deve aderir a dos mais críticos no relacionamento com o cliente. O pro- tecnologias aprovadas e avançadas, bem como aos serviços cesso é referido em todos os códigos analisados, mas no de segurança digital disponibilizados por entidades certifi- código proposto esta matéria é aprofundada considerando cadas nesta matéria. É importante que seja nomeado um a norma ISO e a legislação existente. responsável pela área e disponibilizados meios humanos e No processo devem ser assumidos compromissos com a materiais adequados. A definição de um procedimento legislação e com os princípios da resolução dos litígios. A para assegurar a integridade e confidencialidade dos dados empresa deve aceitar a resolução dos litígios por uma ter- deve ficar estabelecida atempadamente de forma a prevenir ceira entidade. O cliente deve ser informado sobre o funci- problemas futuros. De igual modo é aconselhável que o onamento dos mecanismos internos e externos de resolução controlo do cumprimento das normas seja efectuado por dos litígios, devendo estar perfeitamente definido um pro- terceiros que providenciem estes serviços, e que as formas cedimento de gestão das reclamações, ao nível do seu aten- de actuação em caso de quebra de segurança sejam defini- dimento e pronta resolução. Para se atingir este objectivo, das. Este processo engloba os requisitos de 104 a 120. deve ser nomeado um responsável pela gestão deste pro- cesso. Este processo engloba os requisitos de 79 a 87. Monitorização, Avaliação e Melhoria Nenhum sistema de gestão pode aspirar à melhoria con- Privacidade tínua se não acompanhar a execução das suas actividades, Este é um processo chave no sistema de gestão, pois par- proceder à respectiva avaliação, analisar os dados daí pro- te da confiança que o cliente deve ter no negócio electrónico venientes e propor medidas correctivas e preventivas vi- advém da eficácia da sua implementação. Em alguns códi- sando a melhoria do sistema. Este é o propósito deste pro- gos existentes esta matéria é tratada em conjunto com as cesso que, tal como na norma ISO 9000:2000, preconiza a questões da segurança. No código proposto esta matéria é realização de auditorias internas e externas e a avaliação do tratada autonomamente considerando: grau de satisfação dos clientes através da recolha das suas 1. As preocupações dos clientes sobre esta matéria, opiniões. Deve ser definido um procedimento para lidar amplamente manifestadas nos estudos realizados com os produtos ou serviços não conformes. Um sistema de por diversas instituições; informação para análise dos dados decorrentes das audito- 2. As regras da norma ISO; rias e avaliações feitas pelos clientes é, igualmente, essencial para garantir que nenhuma informação importante é des- 3. O tratamento especial que a legislação lhe dá, por curada. A partir da análise dos dados devem ser propostas exemplo a Lei da Protecção de Dados Pessoais [18]; medidas de melhoria à gestão de topo a fim de esta promo- 4. As diversas iniciativas sobre este tema, como por ver a revisão periódica do sistema. Este processo engloba os exemplo a da OCDE para as actividades de comércio requisitos de 121 a 130. electrónico entre empresas e clientes. 3.2 Requisitos do Código de conduta Nesse sentido, devem ser comunicados aos clientes os A fim de simplificar o processo de avaliação dos sites foi compromissos com os princípios de protecção da privaci- elaborada uma síntese do código que integra os 50 requisi- dade dos dados definidos pela OCDE e pela legislação na- tos mais relevantes, condensando os seus objectivos. Estes cional e europeia. É de igual modo importante comunicar o requisitos são: respeito pelas preferências dos clientes relativamente à re- A) Práticas e Compromissos da Empresa cepção ou não de mensagens não solicitadas, pelos direitos 1. Declaração sobre as práticas e compromissos com de propriedade intelectual e pelos princípios de promoção e os clientes, código de conduta, os sistemas da em- venda de produtos e serviços a crianças. Para tal deve ser presa e a utilização da tecnologia disponibilizada nomeado um responsável pelo tratamento dos dados pes- pela Internet. soais e disponibilizado um serviço de apoio ao cliente. 2. Disponibilidade e competência de recursos hu- Deve ser ainda implementado um sistema de gestão de da- manos e equipamentos, nomeadamente novas dos pessoais que respeite as normas estabelecidas e devem tecnologias de informação e comunicação. ser disponibilizados recursos humanos com perfil e forma- 3. Nomear um responsável pela gestão do site e in- ção para lidar com este sistema. Este processo engloba os formar os clientes. requisitos de 88 a 103. 4. Informar sobre a identificação da empresa. Segurança 5. Disponibilizar acesso, em qualquer momento, no Juntamente com as questões da privacidade este proces- site à informação de acordo com o art.º 10º da Di- so é um dos pilares do sistema de gestão. A preservação da rectiva Comunitária sobre Comércio Electrónico confidencialidade, integridade e autenticidade da informa- [19]. ção é nuclear para garantir a confiança na empresa. Nesta 6. Definir os procedimentos para tratar os documen- matéria foram tidas em consideração as seguintes reco- tos. mendações: 7. Promover a revisão do sistema em busca da sua 1) Dos códigos analisados; melhoria contínua. 2) Da legislação nacional e europeia sobre a matéria; B) Serviços de Apoio ao Cliente 3) Da norma ISO 9000:2000. 8. Disponibilizar um ponto de contacto na empresa. Como resultado devem ser definidas e comunicadas as 9. Implementar formas de comunicar com o cliente. JOÃO ESTEVES ET AL: CERTIFICAÇÃO DE QUALIDAE NOS NEGÓCIOS ELECTRÓNICOS – PROPOSTA DE UM NOVO CÓDIGO DE CONDUTA 5 10. Providenciar informação sobre a certificação do si- por uma entidade exterior à empresa de reconhe- te. cido mérito. C) Oferta e Transacção de Produtos e Serviços 29. Nomear um responsável pelo tratamento das re- 11. Declaração de compromisso sobre a origem da clamações e litígios e informar os clientes. publicidade on-line, de acordo com o art.º 6 da Di- 30. Informar sobre o funcionamento dos mecanismos rectiva Comunitária sobre Comércio Electrónico internos e externos de resolução dos litígios. [19]. 31. Definir um procedimento de gestão de reclama- 12. Declaração de compromisso da empresa relativa- ções dos clientes. mente às normas sobre os contratos celebrados à E) Privacidade distância previstas na legislação nacional e euro- 32. Declaração de adesão aos princípios de protecção peia. da privacidade dos dados definidos pela OCDE 13. Definir um procedimento para planear e controlar [7]. a disponibilização de produtos e serviços no site. 33. Declaração de adesão à legislação nacional e eu- 14. Informar sobre as características dos produtos e ropeia sobre a protecção de dados pessoais. serviços oferecidos. 34. Declaração de compromisso sobre as preferências 15. Informar, na moeda especificada, a lista detalhada dos clientes relativamente à recepção ou não de de preços ou encargos, assim como os custos que mensagens electrónicas comerciais não solicitadas. se prevê cobrar pelos produtos ou serviços dispo- 35. Declaração de respeito pelos direitos de proprie- nibilizados. dade intelectual. 16. Informar sobre as modalidades, condições e mo- 36. Declaração de compromisso sobre os princípios dos de pagamento. para a promoção e venda de produtos e serviços a 17. Informar sobre a política de devoluções e os pro- crianças. cedimentos a adoptar relativamente ao cancela- 37. Nomear um responsável pelo tratamento dos da- mento, à devolução ou ao reembolso. dos pessoais e informar os clientes. 18. Declaração de compromisso sobre as normas rela- 38. Informar os utilizadores sobre quem trata os da- tivas à encomenda previstas no art.º 11º da Direc- dos, quais, como e quando estes são tratados. tiva Comunitária sobre Comércio [19]. 39. Definir um procedimento para a implementação 19. Nomear um responsável comercial e informar os do sistema de gestão de dados. clientes. F) Segurança 20. Informar, de forma clara, sobre os passos que o 40. Declaração de adesão às tecnologias de segurança, cliente deve seguir para efectuar uma transacção. por exemplo, SET, SSL e Certificados Digitais de 21. Proporcionar ao cliente a oportunidade de, a Chave Pública. qualquer momento, consultar e alterar a lista de 41. Declaração de adesão aos serviços de uma entida- aquisições efectuada até aquele momento, infor- de de certificação. mando detalhadamente sobre os produtos ou ser- 42. Declaração de compromisso do fornecedor de ser- viços adquiridos e respectivas quantidades e rece- viços Internet (Internet Service Provider – ISP) sobre ber uma confirmação da transacção uma vez con- as regras impostas pelos artigos 12 a 15 da Direc- cluída. tiva Comunitária sobre o Comércio Electrónico 22. Definir um procedimento de controlo das opera- [19]. ções de produção e de serviço visando o cumpri- 43. Nomear um responsável pela segurança do site e mento de requisitos contratuais e do código de informar os clientes. conduta. 44. Definir os procedimentos de segurança da empre- 23. Definir um procedimento para a entrega do pro- sa. duto no local determinado e para o serviço pós- 45. Descrever as práticas, procedimentos e técnicas venda. utilizadas nos sistemas de segurança do fornece- 24. Declaração sobre as normas de segurança na rea- dor de serviços Internet (ISP) e outras entidades lização das transacções. exteriores à empresa, nomeadamente entidades 25. Informar sobre os mecanismos e os níveis de se- bancárias. gurança dos sistemas de pagamento disponibili- 46. Definir um procedimento de emergência em caso zados. de quebra de segurança. D) Reclamações e Regulação de Litígios 47. Definir um procedimento para o controlo de da- 26. Declaração de compromisso com os princípios da dos informaticamente. resolução dos litígios: acessibilidade, independên- G) Monitorização, Avaliação e Melhoria cia, lealdade, responsabilidade, eficiência e eficá- 48. Definir um procedimento para o planeamento e cia. implementação de auditorias internas. 27. Declaração sobre as normas previstas no Decreto – 49. Desenvolver métodos para os clientes manifestarem Lei N.º 143/2001 de 26 de Abril relativamente às o seu grau de satisfação com o sistema. transacções onde ocorrem situações anormais ou 50. Desenvolver um procedimento de melhoria do sis- sobre a resolução do litígio [20]. tema através da criação de um sistema de informa- 28. Declaração de aceitação da resolução do litígio ção. 6 QUATIC’2004 PROCEEDINGS 4 CONCLUSÃO [2] Unicre / VectorXXI, (2001), “Os Portugueses e as Compras na Internet: III Estudo Unicre/VectorXXI”, http://www.vector21. Estendendo o conceito da certificação da qualidade aos ne- com, Abril 2004. gócios electrónicos, este trabalho pretendeu apresentar uma [3] Comissião Europeia, (2002a), “Working Paper on B2B internet proposta de código de conduta para os negócios electróni- trading platforms: Opportunities and barriers for SMEs”, cos inovadora, que ultrapassasse as limitações dos códigos http://europa.eu.int/ISPO/ , Maio 2004. [4] Boletto, Andrea, (2000), La certificazione di qualità per l'e- de conduta nacionais e internacionais que se encontram commerce, http://www.isec.it/, Junho 2004. actualmente em vigor. Este código de conduta é baseado no [5] Chou, David C., (2001), "Integrating TQM into e-commerce", conceito de qualidade definido, na norma ISO 9000:2000, na http://www.techrepublic.com/article_guest.jhtml?id=r00620010 legislação europeia e nacional sobre o assunto e na análise 09nor03.htm&fromtm=e1062&_requestid=204034, Maio 2004. dos códigos de conduta para os negócios electrónicos exis- [6] Licker, Paul S. e Alemayehu Molla, (2001), “E-commerce systems tentes. Julgamos que o código proposto pode ser útil para success: An attempt to extend and respecify the Delone and Mac- lean model of IS success”, Journal of Electronic Commerce Re- as empresas que queiram realizar negócios na Internet, search, Vol. 2, nº 4, 131-141pp, http://www.csulb.edu/web/ como um ponto de partida para avaliar as funcionalidades journals/jecr/issues/20014/paper1.pdf, Maio 2004. que o site deverá possuir tendo em vista um futuro proces- [7] OCDE, (1999), “Guidelines for Consumer Protection in the con- so de certificação. Para aquelas empresas que já têm site, o text of electronic commerce”, http://www.oecd.org/dsti/sti/it/ código pode ser utilizado não só como uma ferramenta de consumer/prod/CPGuidelines_final.pdf, Maio 2004. avaliação do grau de conformidade com o código, mas [8] eConfidence Forum, (2000), Principles for e-commerce codes of também para identificar as áreas do site que podem ser me- conduct, http://econfidence.jrc.it/default/show.gx?Oject.oject_ id=EC_FORUM000000000000088 , Maio 2004. lhoradas e para análises de benchmark. De uma forma sinté- [9] BBBOnline, Better Business Bureaus, (2000), “Code of Online tica, este código é importante para todos aqueles que pre- Business Practices”, http://www.bbbonline.org, Abril 2004. tendam implementar um negócio electrónico que satisfaça [10] Comissão Europeia, (2002b), “Webtrader trust scheme for B2C e- as expectativas e necessidades dos clientes. commerce, supported by the Enterprise DG – main results of the Como a questão da certificação de qualidade nos negóci- pilot operation”, http://europa.eu.int/comm/enterprise/ict/ os electrónicos é uma questão recente, com um grande ca- policy/webtrader.htm, Maio 2004. [11] DECO, Associação Portuguesa para a Defesa do Consumidor, minho a percorrer, para dar sequência a este trabalho será (2000), “WebTrader Code”, http://www.poupanca-investimento. necessário: com/webtradersite/webtrader_home_po.html, Maio 2004. 1. Incentivar o envolvimento dos clientes e fornecedo- [12] Truste, (2001), “Truste Privacy Seal Program”, http://www. trus- res na certificação de qualidade nos negócios elec- te.com, Abril de 2004. trónicos; [13] ISO Consumer Policy Committee, Working Group on Consumer Protection in the Global Market, (2000),” Desirability and feasibil- 2. Definir metodologias de implementação e avaliação ity of ISO E-Commerce Consumer Standards: A Preliminary Re- da certificação de qualidade nos negócios electróni- port,” http://www.iso.ch, Maio 2004. cos; [14] ACEP, Associação de Comércio Electrónico em Portugal, (2003), “Programa de Acreditação do Comércio Electrónico,” 3. Estudar a integração do código de conduta na certi- http://www.portugalacep.org, Junho 2004. ficação pela norma ISO 9000:2000. [15] APCER, Associação Portuguesa de Certificação, (2003), “DIGI-Q - Este último ponto é de crucial importância, uma vez que Um Passo para a Economia Digital”, http://www.apcer.pt.,Junho 2004. a integração do código de conduta na norma ISO traria [16] IPQ, Instituto Português da Qualidade, (2001), “Sistemas de Ges- múltiplas vantagens, considerando a sua reputação, a sua tão da Qualidade - Requisitos (ISO 9001:2000)”, Lisboa: IPQ, experiência na definição de normas e a confiança que nela 38pp, Maio 2004. têm os consumidores e as empresas. Estes aspectos seriam [17] AENOR, Asociación Española de Normalización y Certificación, essênciais para assegurar uma maior credibilidade ao códi- (2002), “Libro Blanco sobre los Sistemas de Autorregulación, los go, um maior envolvimento de todas as partes e um forte Sellos y las Marcas de Confianza en Mercados Digitales y Códigos incentivo para a sua adopção [13]. de Buenas Prácticas para el Comercio Electrónico”, http://www.aenor.es, Junho 2004. A certificação de qualidade nos negócios electrónicos [18] Lei 67/98, Diário da República, (1998), Lei n.º 67/98, Lei da Pro- tem por objectivo aumentar a confiança dos consumidores e tecção de Dados Pessoais, transpõe para a ordem jurídica portu- a sua concretização implicará uma maior sensibilização e guesa a Directiva n.º 95/46/CE, do Parlamento Europeu e do promoção dos conceitos da qualidade e certificação, envol- Conselho, de 24 de Outubro de 1995, relativa à protecção das pes- vendo todos os parceiros (empresas, consumidores e enti- soas singulares no que diz respeito ao tratamento dos dados pes- dades certificadoras). Este objectivo só se alcançará com soais e à livre circulação desses dados, DR n.º 247, Série I-A, de 26 de Outubro de 1998, Abril de 2002, http://www.pj.pt/htm/ le- uma maior expansão da Internet como ferramenta de uso gislacao/dr_informatica/Lei67_98, Maio 2004. generalizado e reconhecido nos negócios, aproximando a [19] Directiva 2000/31/CE, JO L, (2000), Directiva 2000/31/CE, do desejada “Sociedade da Informação” da realidade quotidi- Parlamento Europeu e do Conselho de 8 de Junho de 2000 relati- ana. va a certos aspectos legais dos serviços da sociedade de informa- ção, em especial do comércio electrónico, no mercado interno REFERÊNCIAS ("Directiva sobre comércio electrónico"), JO L 178, 08/05/2000, http://europa.eu.int/smartapi/cgi/sga_doc?smarpi!celexpi!prod [1] Patton, Mary Anne e Audun Josang, (2001), “Technologies for !CELEXnumdoc&lg=PT&numdoc=32000L0031&model=guichett, Trust in Electronic Commerce”, http://www.dstc.edu.au/, Abril Maio de 2004. 2004. [20] DL 143/2001, Diário da República, (2001), Decreto - Lei n.º 143/2001, transpõe para a ordem jurídica interna da Directiva 97/7/CE, do Parlamento Europeu e do Conselho de 20 de Maio, JOÃO ESTEVES ET AL: CERTIFICAÇÃO DE QUALIDAE NOS NEGÓCIOS ELECTRÓNICOS – PROPOSTA DE UM NOVO CÓDIGO DE CONDUTA 7 relativa à protecção dos consumidores em matéria de contratos ção do código, de acordo com Directiva 2000/31/CE, relativa a celebrados a distância, DR n.º 97, Série I-A, de 26 de Abril de 2001, certos aspectos legais dos serviços da sociedade de informação, http://www.mreis.pt/legislacao/DL 143_01.htm, Maio de 2004. em especial do comércio electrónico, no mercado interno (Direc- João Esteves Licenciado em Matemática e Ciências de Computação, tiva sobre Comércio Electrónico). pela Universidade do Minho. Mestre em Gestão de Empresas, Escola 17 Proceder ao registo do nome de domínio do site na Internet. de Gestão do Porto, da Universidade do Porto, em 2003. As áreas de 18 Definir a documentação do sistema de gestão da qualidade dos interessessão: os negócios electrónicos, as novas tecnologias de in- formação e comunicação, o empreendedorismo e a inovação. negócios electrónicos. Henriqueta Nóvoa Licenciada em Engenharia Electrotécnica pela 19 Definir um procedimento para controlar o manuseamento dos Faculdade de Engenharia da Universidade do Porto, tem um Douto- documentos e dados que reportam aos requisitos do Código de ramento em Sistemas de Informação pela Universidade do Porto. As suas áreas de interesse são o negócio electrónico, divulgação e inte- Conduta. gração de tecnologias web em PME, modelos de negócio electrónico e 20 Definir um procedimento para as alterações dos documentos e planeamento estratégico de sistemas de informação. dados. 21 Promover a revisão do sistema em busca da sua melhoria contí- APÊNDICE A nua. A Práticas e Compromissos da Empresa B Serviço de Apoio ao Cliente 1 Declaração de compromisso de que assegura que as necessidades 22 Declaração de compromisso de que disponibiliza apoio ao cliente e expectativas dos clientes são identificadas, convertidas em para atender aos seus pedidos de informação. requisitos e são satisfeitas. 23 Declaração de compromisso de que a resposta ao cliente é pronta 2 Definição dos objectivos de qualidade a atingir. e substancial. 3 Declaração de compromisso com as regras do código de conduta. 24 Realizar acções de sensibilização e formação para os colaborado- res sobre os métodos de atendimento aos clientes. 4 Declaração de compromisso de que os seus sistemas e organiza- 25 Disponibilizar um ponto de contacto dentro da organização que ção são fidedignos. se encarrega de atender aos pedidos de informação dos clientes. 5 Declaração de compromisso sobre o reconhecimento das comu- 26 Se disponibilizar a selecção de idiomas, então toda a informação nicações electrónicas, não pondo em causa a sua validade, qual- referente à transacção deve ser realizada no idioma seleccionado. quer efeito legal ou sua exequibilidade. 27 Se utilizar tipos diferentes de interface para clientes com defici- 6 Declaração de compromisso sobre a utilização correcta das tecno- ências, por exemplo, tipos de letra grandes ou cores específicas, logias disponibilizadas pela Internet. então toda a informação acerca da transacção deve ser proporci- 7 Disponibilidade e competência de recursos humanos e equipa- onada da mesma maneira. mentos, nomeadamente novas tecnologias de informação e co- 28 Implementar formas de comunicar com o cliente. municação. 8 Comunicar a todos os níveis da organização a importância de 29 Informar o cliente sobre os compromissos com o código de con- satisfazer tanto os requisitos do cliente como os requisitos legais duta, os produtos e serviços disponibilizados, os termos e condi- e regulamentares, motivando os recursos humanos para fornecer ções gerais da transacção, a organização, sua estrutura e respon- um serviço de qualidade. sáveis, as normas de protecção de dados pessoais e segurança, 9 Desenvolver um sistema de comunicação interno. etc. 30 Providenciar informação sobre a certificação do site, de modo 10 Definir dentro da organização as funções, as responsabilidades e que os clientes possam facilmente verificar que a empresa é certi- autoridades. ficada pelo código e determinar os seus propósitos, alcance e 11 Nomear um responsável pela gestão do site. normas. 12 Desenvolver acções de sensibilização e formação para os colabo- 31 Se a empresa declarar ser membro de uma associação profissio- radores sobre a necessidade de aplicar as práticas e os compro- nal, organização de resolução de litígios ou qualquer outro orga- missos do Código de Conduta como forma de satisfazer os clien- nismo de certificação relevante, então deve fornecer aos clientes tes. as coordenadas adequadas e um meio fácil de verificar essa de- 13 Desenvolver procedimentos para identificar as necessidades de claração e de aceder aos códigos e práticas aplicáveis pelo referi- formação em termos de competência, garantir os recursos para a do organismo. concretização, verificar que os colaboradores recebem a formação 32 A empresa pode utilizar links que sejam claramente visíveis e adequada e avaliar a performance destes tendo em vista a identi- descritivos. ficação de novas necessidades de formação. 33 Definir um procedimento de actualização da informação. 14 Definir um procedimento que garanta a identificação, disponibi- 34 Definir um procedimento de gestão dos pedidos de informação. lização e manutenção das infra-estruturas necessárias para obter C Oferta e Transacção de Produtos e Serviços a conformidade do produto ou serviço, incluindo: espaço de trabalho e meios associados, equipamento para os processos, 35 Declaração de compromisso sobre a origem da publicidade on- tanto hardware como software e serviços de apoio, como por line, de acordo com o art. 6 da Directiva sobre Comércio Electró- exemplo transporte ou comunicações. nico. 15 Informar sobre a identificação da empresa. 36 Declaração de compromisso de que a empresa só faz circular a informação publicitária após ter confirmado as suas afirmações, 16 Disponibilizar acesso a qualquer momento, no site, aos dados sejam elas expressas ou logicamente implícitas. A empresa deve que identificam a empresa, à declaração sobre as práticas e com- respeitar o previsto na Directiva 97/55/CE, relativa à publicida- promisso da empresa, bem como ao site da entidade de certifica- 8 QUATIC’2004 PROCEEDINGS de enganosa e comparativa e no Código da Publicidade. 57 Disponibilizar meios para garantir que os clientes possam man- ter um registo da informação pertinente sobre a sua transacção e os termos da transacção. 37 Declaração de compromisso da empresa relativamente às normas 58 Estimar, numa base razoável, os prazos de envio e indicá-los aos sobre os contratos celebrados à distância previstas na legislação clientes (ou no caso da entrega on-line, os prazos de entrega). nacional e europeia, nomeadamente, no Decreto - Lei N.º 59 Identificar e informar o cliente dos requisitos do produto não 143/2001 e na Directiva 97/7/CE. especificados por si, mas necessários para o uso pretendido ou 38 Declaração de compromisso da empresa de que não utiliza a especificado, e os requisitos legais e regulamentares. publicidade como se tratasse de uma função técnica, quando tal 60 Proporcionar ao cliente a oportunidade de, a qualquer momento, induza enganosamente o cliente a ver o anúncio pensando que consultar e alterar a lista de aquisições efectuada até aquele mo- está a executar tal função. mento, informando detalhadamente sobre os produtos ou servi- 39 Declaração de compromisso de que coopera com os programas ços adquiridos e respectivas quantidades. de regulação da actividade publicitária para resolver qualquer 61 A empresa deve proporcionar ao cliente meios para este ser ca- disputa relacionada com a publicidade. paz, antes de concluir a transacção, de: reconhecer com exactidão 40 Disponibilizar ferramentas informáticas adequadas para a procu- os bens ou serviços que deseja comprar, identificar e corrigir ra dos produtos e serviços oferecidos. quaisquer erros, modificar a encomenda, exprimir o seu consen- 41 A publicidade realizada e disseminada por meios electrónicos timento claro sobre a compra e conservar um registo completo e pela empresa deve ser sempre identificável como tal, bem como a exacto da transacção. sua proveniência. Aplicando-se o mesmo à publicidade de tercei- 62 As empresas devem enviar aos clientes uma confirmação da ros existente no site. Estas regras são determinadas pelo art.º 6 da transacção uma vez concluída, conforme previsto no artigo 11º Directiva Comunitária sobre Comércio Electrónico. da Directiva sobre Comércio Electrónico, bem como nos termos 42 Definir um procedimento para planear e controlar a disponibili- do Decreto - Lei N.º 143/2001. zação de produtos e serviços no site. 63 A empresa deve definir um procedimento de controlo das opera- 43 Fornecer a identidade da empresa para a qual se efectua publici- ções de fornecimento de produtos e serviços visando o cumpri- dade ou marketing, sempre que a ausência de identificação possa mento dos requisitos contratuais e do código de conduta. ser enganosa. 64 Declaração de compromisso sobre as condições de entrega dos 44 Informar sobre as características dos produtos e serviços ofereci- produtos e execução dos serviços conforme estipulado e de acor- dos. do com o art. 9º do Decreto - Lei N.º 143/2001, sobre a execução 45 No caso de fornecimentos periódicos de bens ou de prestação do contrato. continuada de serviços deve ser prestada informação. 65 Ter um serviço de logística ou sub-contratar um que garanta o 46 A empresa deve dar a conhecer o custo dos produtos ou serviços, nível de prestação e qualidade especificado, nomeadamente o na moeda especificada, a lista detalhada de preços ou encargos, tempo de entrega contratado e as condições. assim como os custos que prevê cobrar. 66 Indicar as condições de envio ou execução (data de entrega, 47 Informar, quando aplicável, sobre as formas e condições de assis- meio, responsabilidades pela entrega, condições especiais de tência pós-venda. embalagem). 48 Informar sobre as modalidades, condições e modos de pagamen- 67 Enviar a factura ou documento equivalente que poderá ser to. transmitida por via electrónica. Nos termos do Decreto - Lei n.º 49 Definir procedimento para a actualização das informações sobre 375/99, em que o documento electrónico assim transmitido os produtos e serviços oferecidos, bem como das condições ge- equivale, para todos os efeitos legais, aos originais das facturas rais do serviço e sua comunicação aos clientes. ou documentos equivalentes emitidos em suporte papel, desde 50 Se as empresas fazem comparações de preços, devem revelar os que lhe seja aposta uma assinatura digital nos termos do Decreto dados em que se fundamentam ou a área geográfica que abar- - Lei n.º 290-D/99. cam, assim como devem indicar a data em que se efectua a com- 68 Definir um procedimento para a entrega do produto no local paração. determinado. 51 Em caso de ligação com outros sites informar os utilizadores 69 Decorrida uma demora longa no envio ou execução, a empresa sobre a verificação ou não da sua conformidade com o código. deve proporcionar ao cliente informação oportuna sobre tal e 52 As empresas devem tomar precauções sobre a utilização de ban- dar-lhe a oportunidade de cancelar a transacção. ners no seu site para evitar mal entendidos com os clientes. 70 Em caso de incumprimento do contrato pela empresa devido a 53 Informar sobre o direito de resolução e a forma de apresentar indisponibilidade do bem ou serviço encomendado, a empresa reclamações. deve informar do facto o cliente, indicar nova data de envio e dar a oportunidade ao cliente de cancelar a transacção se o prazo 54 Declaração de compromisso sobre as normas relativas à enco- indicado não for aceitável e reembolsá-lo, de acordo com a legis- menda previstas no artigo 11 da Directiva Comunitária sobre lação sobre contratos à distância. Comércio Electrónico (envio da confirmação da encomenda, descrevendo as condições e termos do fornecimento). 71 Definir um procedimento para a assistência após venda. 55 Nomear um responsável comercial que tem a obrigação de ga- 72 Declaração sobre as normas de segurança na realização das tran- rantir a boa execução das actividades envolvidas na transacção sacções. dos produtos e serviços oferecidos no site. 73 Declaração de não exigência de qualquer pagamento antes da 56 Informar de forma clara os passos que o cliente deverá seguir entrega do produto ou da execução do serviço. para efectuar uma transacção. JOÃO ESTEVES ET AL: CERTIFICAÇÃO DE QUALIDAE NOS NEGÓCIOS ELECTRÓNICOS – PROPOSTA DE UM NOVO CÓDIGO DE CONDUTA 9 74 Informar sobre os mecanismos de pagamento existentes: cartão sas podem utilizar como guia as regras definidas no documento de crédito, transferência bancária, cartão de débito, pagamento à “Children’s Advertising Review Unit’s – CARU 1974”, da Natio- cobrança ou outro. nal Advertising Review Council – NARC, ou no “Children’s On- 75 Informar sobre o nível de segurança que esses mecanismos pro- line Privacy Protection Act – COPPA 1998” da Comissão Federal porcionam. do Comércio – FTC dos EUA. 76 Informar sobre as responsabilidades da empresa, dos clientes e 92 Nomear um responsável pelo tratamento dos dados pessoais que das entidades bancárias em caso de utilização não autorizada ou tem a obrigação de fazer respeitar os direitos dos clientes que fraudulenta dos sistemas de pagamento, conforme previsto no fornecem os seus dados, aquando da sua manipulação pelos Decreto – Lei N.º 143/2001. colaboradores da empresa; 77 Declaração de compromisso da empresa sobre o direito de livre 93 Informar os clientes sobre os colaboradores que manipulam estes resolução, previsto no Decreto – Lei N.º 143/2001, em que o cli- dados. ente dispõe de um prazo mínimo de 14 dias para resolver o con- 94 Realizar acções de sensibilização e formação para os colaborado- trato sem pagamento de indemnização e sem necessidade de res que lidam com os dados dos clientes. indicar o motivo. 95 Disponibilizar meios físicos e equipamentos (software e hardwa- 78 Implementar e informar o cliente sobre os procedimentos para a re) adequados para implementar o sistema de gestão de dados resolução do contrato, ou seja, sobre o cancelamento, a devolução pessoais. ou o reembolso. 96 Disponibilizar um sistema de apoio aos clientes sobre as normas D Reclamações e regulação de litígios de privacidade das empresas. 79 Declaração de compromisso com os princípios da resolução dos 97 O sistema de apoio deve informar os clientes, de acordo com a litígios: acessibilidade, independência, lealdade, responsabilida- legislação nacional, (Lei 67/98, 1998). de, eficiência e eficácia. 98 Disponibilizar aos clientes acesso aos sistemas de opt-out e opt- 80 Declaração sobre as normas previstas no Decreto – Lei N.º in, antes da sua informação ser utilizada ou divulgada para um 143/2001 relativamente às transacções onde ocorrem situações fim diverso do definido, aquando da sua recolha ou por terceiros anormais ou sobre a resolução do litígio. não autorizados. 81 Declaração de aceitação da resolução do litígio por uma entidade 99 Definir um procedimento para a implementação do sistema de exterior à empresa, de reconhecido mérito. gestão de dados, para que sejam implementadas medidas para proteger os dados privados contra qualquer forma ilegal de pro- 82 Declaração de adesão ao Regulamento de Bruxelas em que os clientes escolhem qual o tribunal competente. cessamento. 100 Informar que os dados serão eliminados no caso da transacção 83 Nomear um responsável pelo tratamento das reclamações e lití- gios. ser abandonada antes de estar concluída. 101 A empresa deve respeitar as preferências do cliente quanto à 84 Informar os clientes sobre o funcionamento dos mecanismos internos e externos de resolução dos litígios. recepção de mensagens electrónicas não solicitadas. 102 A empresa deve apresentar de forma explícita e fazer esforços 85 A empresa deve fornecer aos clientes informação fácil de encon- trar e entender acerca do modo como podem contactar com a para assegurar que os direitos de propriedade intelectual são respeitados, de acordo com o Código do Direito de Autor e dos entidade exterior para a resolução do litígio. Direitos Conexos e a Directiva 2001/29/CE, relativa à harmoni- 86 Disponibilizar informação sobre as decisões anteriores relativa- zação de certos aspectos do direito de autor e dos direitos cone- mente às reclamações apresentadas. xos na sociedade da informação. 87 Definir um procedimento de gestão de reclamações dos clientes. 103 A empresa deve definir um procedimento para tratamento das E Privacidade questões relativas à protecção de crianças. 88 Declaração de adesão aos princípios de protecção da privacidade F Segurança dos dados definidos pela OCDE no documento “Protecção da 104 Declaração de adesão às tecnologias de segurança, por exemplo, Vida Privada e os Fluxos Transfronteiriços da Dados de Carácter SET, SSL e Certificados Digitais Electrónicos (PKI - Chaves públi- Pessoal”. ca e privadas). 89 Declaração de adesão à legislação nacional e europeia sobre a 105 Declaração de adesão aos serviços de uma entidade certificadora. protecção de dados pessoais, nomeadamente a Lei n.º 67/98, o Decreto – Lei n.º 122/2000, a Directiva Comunitária 95/46/CE, a 106 Declaração de compromisso do fornecedor de serviços Internet (ISP) sobre as regras impostas pelos artigos 12 a 15 da Directiva Directiva 97/66/CE, relativa ao tratamento de dados pessoais e à sobre o Comércio electrónico. protecção da privacidade no sector das telecomunicações e a Directiva 2002/58/CE, relativa ao tratamento de dados pessoais 107 Nomear um responsável pela segurança do site. e à protecção da privacidade no sector das comunicações electró- 108 Disponibilizar tecnologia (hardware e software) para assegurar a nicas. autenticidade, integridade e confidencialidade dos dados, em 90 Declaração de compromisso relativa ao respeito pela preferência especial durante as transacções. dos clientes em receber ou não mensagens electrónicas comerci- 109 Disponibilizar um local físico seguro para o sistema informático ais não solicitadas. onde serão armazenados os dados e tomadas medidas apropria- 91 Declaração de compromisso com os princípios para a promoção e das para prevenir acessos electrónicos não autorizados. venda de produtos e serviços a crianças, respeitando o previsto 110 Actualizar de forma permanente as tecnologias de protecção de na Lei de Protecção de Crianças e Jovens em Perigo, o Decreto – dados utilizadas no site. Lei N.º 143/2001 e o art. 14 do Código da Publicidade. As empre- 111 Aderir ao sistema de uma entidade de fornecimento serviços 10 QUATIC’2004 PROCEEDINGS digitais de segurança certificada. 112 Informar sobre a forma de contactar o responsável pelo sistema de segurança. 113 Informar sobre a divisão de responsabilidade relativamente à confidencialidade das chaves e códigos usados. 114 A empresa deve indicar de forma lógica e acessível ao cliente quais as formas e tecnologias associadas às assinaturas electróni- cas que são aceites e/ou usadas. 115 Definir procedimentos de segurança da empresa. 116 Definir um procedimento para guardar o historial da transacção, durante um período de tempo de forma segura, só acessível por pessoal autorizado. 117 Descrever os procedimentos utilizados pelo fornecedor de servi- ços Internet (Internet Service Provider – ISP) e outras entidades exteriores à empresa, nomeadamente entidades bancárias, na transmissão de dados pessoais. 118 Definir um procedimento sobre as acções de emergência imple- mentadas em caso de quebra de segurança. 119 Implementar, no todo ou em parte, as normas do “Code of prati- ce for Information Security Management” da ISO/IEC 17799:2000. 120 Definir um procedimento para o controlo de dados informatica- mente, para estabelecer métodos de validação, em termos de segurança e privacidade dos mesmos. G Monitorização, Avaliação e Melhoria 121 Definir um procedimento para o planeamento e implementação de auditorias internas 122 O relatórios das auditorias devem ser registados e levados ao conhecimento dos responsáveis da área auditada. 123 Definir um procedimento para assegurar que o produto ou servi- ço não conforme com os requisitos especificados é impedido de ser disponibilizado inadvertidamente. 124 Desenvolver métodos para os clientes manifestarem o seu grau de satisfação com o sistema. 125 Realização de auditorias pela entidade de certificação do código de conduta sobre a conformidade entre este e as actividades desenvolvidas no site. 126 Analisar os resultados das auditorias realizadas pela empresa e pela entidade de certificação e da avaliação feita pelos clientes ao serviço. 127 Analisar as sugestões enviadas pelos clientes sobre a melhoria dos serviços disponibilizados. 128 Desenvolver um procedimento de melhoria do sistema através da criação de um sistema de informação. 129 A organização deve empreender acções correctivas para eliminar a causa das não conformidades com o objectivo de evitar repeti- ções. 130 A organização deve determinar da necessidade de implementar acções preventivas para evitar potenciais não conformidades, tendo em vista prevenir a sua ocorrência.