PC SOFT

PROFESSIONAL NEWSGROUPS
WINDEVWEBDEV and WINDEV Mobile

Home → Off-topic → Certification NF 525
Certification NF 525
Started by Yo!, Jan., 14 2015 2:22 PM - 273 replies
Posted on January, 14 2015 - 2:22 PM
Bonjour,

Je ne sais pas si Laurent a posté sur un sujet plus global concernant la certification NF525, comme il l'avait dit le mois dernier ... fouillé, rien trouvé.

Je rebondis sur la réponse de Fredo, que je reprends ci-après et je crée un nouveau post plus global ici (déjà posté ailleurs, peut-être pas au bon endroit, sans réponse aucune) :

"ll faut donc :
- Cartographie logicielle (tableau excel qui fait le lien entre l'IHM,
le code, l'exigence 525 et la base de donnée)
- Plan de tests <= hyper important !!! surtout pour tout ce qui concerne
la 525.
- Documentation utilisateur à jour
- Suivi des modifications (le gds ne suffit pas)
- ... pleins d'autre trucs qui garantissent à l'auditeur que tu as un
minimum de suivi sur ton produit."

http://forum.pcsoft.fr/fr-FR/pcsoft.fr.windev/177373-securisation-par-signature-electronique-177404/read.awp…
________________________________________________________________________________

1 - Signature électronique => Il me semble qu'il n'est pas obligatoire de signer chaque ligne mais uniquement l'entête ? La dernière mouture de la certification le prévoit-elle ? Risque de ralentir drastiquement l'encaissement tout ça : j'imagine un ticket comportant une cinquantaine de lignes.

2 - Cartographie au format excel => nous avions commencé sous forme de logigrammes ... ? Obligatoire au format excel donc (?!). Serait-il possible d'avoir un exemple, afin d'avoir une idée des colonnes à placer dans le fichier ? Jusqu'à quel niveau de précision aller ? Toutes les fonctions doivent-elles être listées lors de l'Audit ou il faut axer la carto' sur l'aspect sécurisation spécifié dans la 'norme' ?

3 - Plan de test ... certainement une question idiote. Combien de tests envisager ?

A vous lire.

MERCI !

Yo!
Posted on January, 14 2015 - 3:50 PM
Salut,

Réponse ci après


Le 14/01/2015 13:22, Yo! a écrit :
Bonjour,

Je ne sais pas si Laurent a posté sur un sujet plus global concernant la
certification NF525, comme il l'avait dit le mois dernier ... fouillé,
rien trouvé.

Je rebondis sur la réponse de Fredo, que je reprends ci-après et je crée
un nouveau post plus global ici (déjà posté ailleurs, peut-être pas au
bon endroit, sans réponse aucune) :

"ll faut donc :
- Cartographie logicielle (tableau excel qui fait le lien entre l'IHM,
le code, l'exigence 525 et la base de donnée)
- Plan de tests <= hyper important !!! surtout pour tout ce qui concerne
la 525.
- Documentation utilisateur à jour
- Suivi des modifications (le gds ne suffit pas)
- ... pleins d'autre trucs qui garantissent à l'auditeur que tu as un
minimum de suivi sur ton produit."

http://forum.pcsoft.fr/fr-FR/pcsoft.fr.windev/177373-securisation-par-signature-electronique-177404/read.awp…

________________________________________________________________________________


1 - Signature électronique => Il me semble qu'il n'est pas obligatoire
de signer chaque ligne mais uniquement l'entête ? La dernière mouture de
la certification le prévoit-elle ? Risque de ralentir drastiquement
l'encaissement tout ça : j'imagine un ticket comportant une cinquantaine
de lignes.

2 - Cartographie au format excel => nous avions commencé sous forme de
logigrammes ... ? Obligatoire au format excel donc (?!). Serait-il
possible d'avoir un exemple, afin d'avoir une idée des colonnes à placer
dans le fichier ? Jusqu'à quel niveau de précision aller ? Toutes les
fonctions doivent-elles être listées lors de l'Audit ou il faut axer la
carto' sur l'aspect sécurisation spécifié dans la 'norme' ?

3 - Plan de test ... certainement une question idiote. Combien de tests
envisager ?

A vous lire.

MERCI !

Yo!



1. Ce sont effectivement toutes les lignes qu'ils faut signer et pas
uniquement les entêtes. Très sincèrement, nous n'avons pas constaté de
ralentissement particulier lors de l'enregistrement.

2. Si tu trouve un soft capable de faire la cartographie, n'utilise pas
excel, bien évidemment. Seul problème, la carto est un gros travail et
même si je suis prêt à donner les grandes lignes, il ne me sera pas
possible de diffuser un document exemple (pas d'autorisation dans ce
sens de ma hiérarchie)

L'idée n'est pas de détailler jusqu'à la plus petite fonction, mais si
par exemple tu as une fonction : EnregistreFacture, il va falloir lister
tous les endroits de ton soft ou cette fonction est appellée et la lier
à la fois au bouton de ton interface mais aussi à l’exigence nf 525
correspondante (paragraphe de la NF525) si en plus tu peux lié la
fonction utilisateur au paragraphe correspondant de ta doc, tu as tout
gagné !

Dans un premier temps, axe ton travail sur la carto "NF 525" et ensuite
au fur et à mesure tu l'alimente avec d'autres parties de ton soft.

3 - Prioritairement les plans de tests qui impactent la NF 525
(sécurisation, enregistrement, impression, piste d'audit, ...) et
ensuite tu mets en place des plans de tests pour tout ton soft.

Il faut bien comprendre que l'idée générale est de prouver à l'auditeur
que 1) tu respecte la NF 525 et que 2) tu es capable de garantir la
fiabilité et la pérennité de ton soft. Vu que le "certificateur" engage
sa responsabilité en t'accordant le certificat, il a besoin d'être
rassuré sur la qualité de ton travail au sens large.

Bon courage,

Fred.
Posted on January, 15 2015 - 3:38 PM
On ne peut plus clair. Bien normal pour la cartographie (cf. exemple).

Merci beaucoup, Fred, pour le temps passé à répondre avec précision à chacune de mes interrogations.

Si j'ai d'autres questions, je retenterai ma chance. ;)

Un énorme travail en perspective.

A bientôt !

Yo!
Posted on January, 16 2015 - 5:59 PM
Le 15/01/2015 14:38, Yo! a écrit :
On ne peut plus clair. Bien normal pour la cartographie (cf. exemple).

Merci beaucoup, Fred, pour le temps passé à répondre avec précision à
chacune de mes interrogations.

Si j'ai d'autres questions, je retenterai ma chance. ;)

Un énorme travail en perspective.

A bientôt !

Yo!


Pas de soucis.

Pour ce qui est de la charge de travail, c'est lourd mais pas impossible
et sincèrement, le fait de se structurer pour répondre à la 525 nous as
fait énormément de bien en terme de qualité.

Fred.
Posted on January, 27 2015 - 5:54 PM
Entièrement d'accord avec les termes 'structurer' et 'qualité'.

J'aurais aussi pu ajouter 'charge de travail' & 'lourd'.

Encore merci !
Posted on February, 05 2015 - 4:50 PM
En effet j'ai pas encore posté sur ce sujet.
Je vais bientôt y replonger.

Merci

Laurent
Posted on May, 27 2015 - 10:16 AM
Bonjour,

Je vous invite à consulter le site de l'ACEDISE : www.acedise.fr

Nous sommes à votre disposition.

l'ACEDISE (Association des Constructeurs, Editeurs, Distributeurs, Installateurs de Systèmes d'Encaissement) a participé aux travaux d'élaboration de la marque NF 525.

Jean-Luc BAERT
président
0695891191
jeanluc.baert@acedise.fr
Registered member
3 messages
Posted on February, 05 2016 - 3:58 PM
Bonjour,

Nous avons dû mettre entre parenthèses la certification ... nous y revenons.

Est-il possible d'avoir une réponse aux questions posées ci-après ?

1 - En ce qui concerne la Piste d'Audit et sa sécurisation, il est spécifié en 5.4.1.3 qu'elle ne doit être ni modifiable, ni effaçable 'par une fonction du logiciel. Si l'utilisateur efface le fichier, nous sommes d'accord que nous ne parlons pas d'une fonction du logiciel. Difficile de pouvoir restreindre l'effacement sans passer par de l’administration et encore (puis il peut s'agir du matériel, de l'infrastructure client).

2 - Point 7.1.1.6
=> Nous ne voyons pas à quoi pourrait correspondre le champ 'Type de règlement' exigé ? Il est indiqué entre parenthèse 'transfert' mais sur Kezia II, nous ne gérons pas les transferts tables vers un compte client ou une chambre.

=> La même chose pour le champ Quantité dans la mesure où nous enregistrons une ligne à chaque règlement. Ce champ est également exigé dans les données.

3 - Point 7.2
=> Le numéro de ligne de la table duplicata peut-il correspondre au numéro d'enregistrement géré par HyperFile (WINDEV) ? Nous avons déjà un champ 'Identifiant'.

4 - Point 7.1.4
=> La traçabilité des grands totaux (cf. 7.1.4.2 & 7.1.4.3) est exigée mais il n'existe aucun code s'y apparentant dans la piste d'audit (cf. 7.1.5). L'enregistrement d'un ticket, d'une facture, d'un avoir, d'une annulation par contre-écriture impacte les grands totaux. Nous proposons d'utiliser le code éditeur '999' et d'ajouter les colonnes y faisant référence lorsqu'un enregistrement mouvemente ces totaux. Proposition valable ?

=> Il est mentionné en partie 4 - Définitions - que le 'Grand Total Perpétuel' totalise l'ensemble du CA TTC validé, que les opérations négatives validées (annulations de tickets validés, notes de crédit) sont comptées en positif et incrémentent ce dernier. On parle de valeurs absolues. Les grands totaux (Période et Exercice) se doivent-ils aussi de fonctionner de la même manière (+ et - ) ou non ? Quid des cumuls des Montants TTC ventilés par taux de TVA ... + et - également ?

A vous lire.

MERCI.

Yo!
Registered member
3 messages
Posted on February, 10 2016 - 9:03 AM
###Réponses communiquées par INFOCERT, si ça peut aider ... :

× Point 7.1.1.6

###Exemple table dans Base de données :

ID "Type de règlement" Libellé du mode de règlement
1 "Carte Bancaire" Mastercard
2 "Carte Bancaire" Visa
3 "Ticket Restaurant" Ticket Restaurant
4 "Ticket Restaurant" Chèque Restaurant


× Champ Quantité exigé dans les données :

###Exemple : Si 10 Tickets Restos (1 ligne de règlement « Ticket Resto » avec 10 en quantité)


× Point 7.1.2
Le numéro de ligne peut-il correspondre au numéro d'enregistrement
géré par HyperFile (WINDEV) ?

###Oui, réponse acceptable


× Point 7.1.4
La traçabilité des grands totaux (cf. 7.1.4.2 & 7.1.4.3) est exigée mais ...

###La notion de traçabilité des grands totaux devra être discutée car nous n’en voyons pas
l’intérêt.


× Les grands totaux (Période et Exercice) se doivent-ils aussi de fonctionner de la
même manière (+ et - ) ou non ? Quid des cumuls des Montants TTC ventilés par taux de TVA
... + et - également ?

###OUI
Posted on February, 11 2016 - 6:22 PM
Le 10/02/2016 08:03, Johann K. a écrit :
###Réponses communiquées par INFOCERT, si ça peut aider ... :

× Point 7.1.1.6
###Exemple table dans Base de données :

ID "Type de règlement" Libellé du mode de règlement 1 "Carte
Bancaire" Mastercard 2 "Carte Bancaire" Visa
3 "Ticket Restaurant" Ticket Restaurant 4 "Ticket
Restaurant" Chèque Restaurant

× Champ Quantité exigé dans les données :

###Exemple : Si 10 Tickets Restos (1 ligne de règlement « Ticket Resto »
avec 10 en quantité)

× Point 7.1.2 Le numéro de ligne peut-il correspondre au numéro
d'enregistrement géré par HyperFile (WINDEV) ?

###Oui, réponse acceptable

× Point 7.1.4 La traçabilité des grands totaux (cf. 7.1.4.2 & 7.1.4.3)
est exigée mais ...

###La notion de traçabilité des grands totaux devra être discutée car
nous n’en voyons pas l’intérêt.

× Les grands totaux (Période et Exercice) se doivent-ils aussi de
fonctionner de la même manière (+ et - ) ou non ? Quid des cumuls des
Montants TTC ventilés par taux de TVA ... + et - également ?
###OUI


Désolé, j'étais en déplacement et je ne rentre qu'aujourd'hui.

Au vu des questions (et des réponses) vous avez bien avancé :)

Pour l'effacement par l'utilisateur de la piste d'audit, si cela ne peut
être restreint, cela doit être détecté et tracé.

Bon courage !

Fred.
Registered member
3 messages
Posted on February, 22 2016 - 9:07 AM
Merci pour la réponse concernant la piste d'audit.

Excellente journée Fred.
Registered member
164 messages
Posted on February, 29 2016 - 2:12 PM
Bonjour

Par rapport a la loi de finance 2016, le site du service public a fait un article
https://www.service-public.fr/professionnels-entreprises/actualites/A10279

Dans cet article nous trouvons :
À partir du 1er janvier 2018, devient obligatoire l'utilisation d'un logiciel de gestion ou d'un système de caisse satisfaisant aux conditions d'inaltérabilité, de sécurisation, de conservation et d'archivage des données, attestées par un certificat délivré par un organisme accrédité ou par une attestation individuelle délivrée par l'éditeur.

Nous avons demande au site du service public, ce que voulez dire "par une attestation individuelle délivrée par l'éditeur." et que devait contenir cette attestation, reponse du site

Un texte réglementaire (décret ou arrêté) doit venir fixer ce modèle d'attestation. Il n'est pas encore paru au JO. L'obligation ne doit entrer en vigueur qu'à partir du 1er janvier 2018. Dès que le modèle d'attestation sera disponible en ligne, nous le référencerons sur service-public.fr.

Est ce quelqu'un a entendu parler de cette attestation ?
La question que l'on se pose, doit on obligatoirement passer par la norme NF 525 ?

Merci
Olivier
Posted on March, 03 2016 - 3:18 PM
Est ce quelqu'un a entendu parler de cette attestation ?

une attestation signé par l’éditeur engage celui-ci a ce que son logiciel soit conforme a l'article "3° bis du I de l'article 286"
c'est a dire invulnérabilité conservation securisation et archivage des données

C'est vague et précis a la fois . Attention je parle de l'attestation et non pas de la certification. Si le but est identique c'est a dire rassurer le client qui utilise un logiciel d'encaissement la démarche est différentes.

La question que l'on se pose, doit on obligatoirement passer par la norme NF 525 ?

Cela n'existe pas la norme NF 525 ... c'est une certification

Si un client utilise un système assujetti a la TVA , il doit a partir du 01/01/2018 fournir une attestation de conformité à l'article 88 de la LF 2016 ou un certificat NF 525. sinon il s'expose à 7500€ d'amendes par système. Le contrôleur connaîtra l'éditeur. Ensuite l'éditeur devra fournir la liste de ses clients qui seront eux mêmes contrôler. c'est légal.
cela revient a dire que même si le client ne se fait pas contrôler directement il peut par le reseau client de son éditeur être rattrapé par la patrouille.


Aujourd'hui un client qui achète un produit sans ce renseigner sur la volonté de l’éditeur a aller dans le sens de l'article 88 est pour moi, fou.
J'ai dis "renseigner" j'ai pas dis que l'éditeur aujourd'hui (Mars 2016) forcement certifié...

D'ici quelques semaines , il ne sera pas possible de vendre des logiciels qui n'ont pas entrepris une démarche sérieuse vers l'article 88.
Registered member
164 messages
Posted on March, 03 2016 - 4:07 PM
"La question que l'on se pose, doit on obligatoirement passer par la norme NF 525 ?"
(évidement si on répond au "c'est a dire invulnérabilité conservation sécurisation et archivage des données")

Si je comprends bien l'article du Service Public , je dirais que non , mais le probleme (pour l'instant ;o)) ) c'est que nous n'avons aucune nouvelle de cette fameuse attestation.