La sécurité est assurée de deux manières :

• Authentification :  vérification d´une identité déclarée, elle permet d´assurer l´ « imputabilité » soit d'attribuer à une personne la responsabilité de l´acte effectué par voie électronique.

L´authentification la plus couramment mise en œuvre est celle du site marchand, le protocole SSL (Secure Sockets Layer) permet une vérification automatique par l´ordinateur de l´utilisateur avant tout échange sécurisé. Le serveur doit alors posséder une attestation numérique ou « certificat » confirmant son identité. Ce dernier est délivré par une « autorité de certification » indépendante telle que Verisign. Par exemple, cela aura lieu avant la transmission du numéro de carte bancaire.

Dans certains cas l´authentification réciproque est obligatoire (intranet ou partie réservée du site pour abonnés).

• Intégrité : Le contenu de l´échange doit également être exempt de toute altération, accidentelle ou volontaire.

Ces fonctions de sécurité sont assurées actuellement de la façon la mieux adaptée par le processus cryptographique. Cette technique offre un niveau de sécurité optimum et bien supérieur à celui du monde réel. Une telle sécurité reste toutefois tributaire d´une organisation fiable et rigoureuse et d´une mise en œuvre des procédures uniforme.

Lorsqu'un procédé cryptographique est utilisé, le risque d'interception de renseignements relatifs au consommateur et à sa carte de crédit est faible.
La faille se situe au niveau des systèmes informatiques des commerçants compilant certaines données sauvegardées sur des serveurs de transactions. Les cas de fraudes les plus courants viennent de là.

L'article 33 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l´économie numérique engage la responsabilité des prestataires de services de certification électronique pour tout préjudice causé «aux personnes qui se sont fiées raisonnablement aux certificats présentés par eux».

Un certificat électronique doit remplir certaines conditions : article 6-I du Décret 2001-272 du 30 mars 2001.

Le prestataire « qualifié » d'un tel service doit satisfaire à certaines exigences : article 6-II du Décret 2001-272 du 30 mars 2001.

Dans le cadre d'une signature électronique, si ces deux critères sont remplis, alors il sera possible d'imputer au signataire les conséquences juridiques qui découlent de ce contenu auquel il ne pourra nier y avoir consenti.

L'article 34 de Loi concernant le cadre juridique des technologies de l'information exige que la transmission d'un document technologique s'effectue en conformité avec la Loi. Lorsque le document contient des informations confidentielles, il doit être transmis par un moyen jugé approprié et la transmission doit être documentée. Une infrastructure à clé publique semble être la solution la plus appropriée.

Toujours selon cette même loi, les personnes détenant des documents renfermant des données confidentielles ont l'obligation d'assurer un niveau de sécurité adéquat.

Les articles 47 et suivants de Loi concernant le cadre juridique des technologies de l'information établissent les obligations de l'autorité de certification, du certifié et du tiers. Ainsi, une politique de certification doit expliquer les considérations techniques de l'opération et être rendue publique. L'autorité doit aussi garantir son impartialité, assurer l'intégrité du certificat et signaler les certificats invalides au répertoire.