PC SOFT

PROFESSIONAL NEWSGROUPS
WINDEVWEBDEV and WINDEV Mobile

Home → Off-topic → Certification NF 525
Certification NF 525
Started by Yo!, Jan., 14 2015 2:22 PM - 193 replies
//hostimage.webdev.info/avatars/default.gif
Posted on January, 14 2015 - 2:22 PM
Bonjour,

Je ne sais pas si Laurent a posté sur un sujet plus global concernant la certification NF525, comme il l'avait dit le mois dernier ... fouillé, rien trouvé.

Je rebondis sur la réponse de Fredo, que je reprends ci-après et je crée un nouveau post plus global ici (déjà posté ailleurs, peut-être pas au bon endroit, sans réponse aucune) :

"ll faut donc :
- Cartographie logicielle (tableau excel qui fait le lien entre l'IHM,
le code, l'exigence 525 et la base de donnée)
- Plan de tests <= hyper important !!! surtout pour tout ce qui concerne
la 525.
- Documentation utilisateur à jour
- Suivi des modifications (le gds ne suffit pas)
- ... pleins d'autre trucs qui garantissent à l'auditeur que tu as un
minimum de suivi sur ton produit."

http://forum.pcsoft.fr/fr-FR/pcsoft.fr.windev/177373-securisation-par-signature-electronique-177404/read.awp…
________________________________________________________________________________

1 - Signature électronique => Il me semble qu'il n'est pas obligatoire de signer chaque ligne mais uniquement l'entête ? La dernière mouture de la certification le prévoit-elle ? Risque de ralentir drastiquement l'encaissement tout ça : j'imagine un ticket comportant une cinquantaine de lignes.

2 - Cartographie au format excel => nous avions commencé sous forme de logigrammes ... ? Obligatoire au format excel donc (?!). Serait-il possible d'avoir un exemple, afin d'avoir une idée des colonnes à placer dans le fichier ? Jusqu'à quel niveau de précision aller ? Toutes les fonctions doivent-elles être listées lors de l'Audit ou il faut axer la carto' sur l'aspect sécurisation spécifié dans la 'norme' ?

3 - Plan de test ... certainement une question idiote. Combien de tests envisager ?

A vous lire.

MERCI !

Yo!
//hostimage.webdev.info/avatars/default.gif
Posted on January, 14 2015 - 3:50 PM
Salut,

Réponse ci après


Le 14/01/2015 13:22, Yo! a écrit :
Bonjour,

Je ne sais pas si Laurent a posté sur un sujet plus global concernant la
certification NF525, comme il l'avait dit le mois dernier ... fouillé,
rien trouvé.

Je rebondis sur la réponse de Fredo, que je reprends ci-après et je crée
un nouveau post plus global ici (déjà posté ailleurs, peut-être pas au
bon endroit, sans réponse aucune) :

"ll faut donc :
- Cartographie logicielle (tableau excel qui fait le lien entre l'IHM,
le code, l'exigence 525 et la base de donnée)
- Plan de tests <= hyper important !!! surtout pour tout ce qui concerne
la 525.
- Documentation utilisateur à jour
- Suivi des modifications (le gds ne suffit pas)
- ... pleins d'autre trucs qui garantissent à l'auditeur que tu as un
minimum de suivi sur ton produit."

http://forum.pcsoft.fr/fr-FR/pcsoft.fr.windev/177373-securisation-par-signature-electronique-177404/read.awp…

________________________________________________________________________________


1 - Signature électronique => Il me semble qu'il n'est pas obligatoire
de signer chaque ligne mais uniquement l'entête ? La dernière mouture de
la certification le prévoit-elle ? Risque de ralentir drastiquement
l'encaissement tout ça : j'imagine un ticket comportant une cinquantaine
de lignes.

2 - Cartographie au format excel => nous avions commencé sous forme de
logigrammes ... ? Obligatoire au format excel donc (?!). Serait-il
possible d'avoir un exemple, afin d'avoir une idée des colonnes à placer
dans le fichier ? Jusqu'à quel niveau de précision aller ? Toutes les
fonctions doivent-elles être listées lors de l'Audit ou il faut axer la
carto' sur l'aspect sécurisation spécifié dans la 'norme' ?

3 - Plan de test ... certainement une question idiote. Combien de tests
envisager ?

A vous lire.

MERCI !

Yo!



1. Ce sont effectivement toutes les lignes qu'ils faut signer et pas
uniquement les entêtes. Très sincèrement, nous n'avons pas constaté de
ralentissement particulier lors de l'enregistrement.

2. Si tu trouve un soft capable de faire la cartographie, n'utilise pas
excel, bien évidemment. Seul problème, la carto est un gros travail et
même si je suis prêt à donner les grandes lignes, il ne me sera pas
possible de diffuser un document exemple (pas d'autorisation dans ce
sens de ma hiérarchie)

L'idée n'est pas de détailler jusqu'à la plus petite fonction, mais si
par exemple tu as une fonction : EnregistreFacture, il va falloir lister
tous les endroits de ton soft ou cette fonction est appellée et la lier
à la fois au bouton de ton interface mais aussi à l’exigence nf 525
correspondante (paragraphe de la NF525) si en plus tu peux lié la
fonction utilisateur au paragraphe correspondant de ta doc, tu as tout
gagné !

Dans un premier temps, axe ton travail sur la carto "NF 525" et ensuite
au fur et à mesure tu l'alimente avec d'autres parties de ton soft.

3 - Prioritairement les plans de tests qui impactent la NF 525
(sécurisation, enregistrement, impression, piste d'audit, ...) et
ensuite tu mets en place des plans de tests pour tout ton soft.

Il faut bien comprendre que l'idée générale est de prouver à l'auditeur
que 1) tu respecte la NF 525 et que 2) tu es capable de garantir la
fiabilité et la pérennité de ton soft. Vu que le "certificateur" engage
sa responsabilité en t'accordant le certificat, il a besoin d'être
rassuré sur la qualité de ton travail au sens large.

Bon courage,

Fred.
//hostimage.webdev.info/avatars/default.gif
Posted on January, 15 2015 - 3:38 PM
On ne peut plus clair. Bien normal pour la cartographie (cf. exemple).

Merci beaucoup, Fred, pour le temps passé à répondre avec précision à chacune de mes interrogations.

Si j'ai d'autres questions, je retenterai ma chance. ;)

Un énorme travail en perspective.

A bientôt !

Yo!
//hostimage.webdev.info/avatars/default.gif
Posted on January, 16 2015 - 5:59 PM
Le 15/01/2015 14:38, Yo! a écrit :
On ne peut plus clair. Bien normal pour la cartographie (cf. exemple).

Merci beaucoup, Fred, pour le temps passé à répondre avec précision à
chacune de mes interrogations.

Si j'ai d'autres questions, je retenterai ma chance. ;)

Un énorme travail en perspective.

A bientôt !

Yo!


Pas de soucis.

Pour ce qui est de la charge de travail, c'est lourd mais pas impossible
et sincèrement, le fait de se structurer pour répondre à la 525 nous as
fait énormément de bien en terme de qualité.

Fred.
//hostimage.webdev.info/avatars/default.gif
Posted on January, 27 2015 - 5:54 PM
Entièrement d'accord avec les termes 'structurer' et 'qualité'.

J'aurais aussi pu ajouter 'charge de travail' & 'lourd'.

Encore merci !
//hostimage.webdev.info/avatars/default.gif
Posted on February, 05 2015 - 4:50 PM
En effet j'ai pas encore posté sur ce sujet.
Je vais bientôt y replonger.

Merci

Laurent
//hostimage.webdev.info/avatars/default.gif
Posted on May, 27 2015 - 10:16 AM
Bonjour,

Je vous invite à consulter le site de l'ACEDISE : www.acedise.fr

Nous sommes à votre disposition.

l'ACEDISE (Association des Constructeurs, Editeurs, Distributeurs, Installateurs de Systèmes d'Encaissement) a participé aux travaux d'élaboration de la marque NF 525.

Jean-Luc BAERT
président
0695891191
jeanluc.baert@acedise.fr
//hostimage.webdev.info/avatars/cIdt9gZBWwUN9ZAFw8yOA
Registered member
3 messages
Posted on February, 05 2016 - 3:58 PM
Bonjour,

Nous avons dû mettre entre parenthèses la certification ... nous y revenons.

Est-il possible d'avoir une réponse aux questions posées ci-après ?

1 - En ce qui concerne la Piste d'Audit et sa sécurisation, il est spécifié en 5.4.1.3 qu'elle ne doit être ni modifiable, ni effaçable 'par une fonction du logiciel. Si l'utilisateur efface le fichier, nous sommes d'accord que nous ne parlons pas d'une fonction du logiciel. Difficile de pouvoir restreindre l'effacement sans passer par de l’administration et encore (puis il peut s'agir du matériel, de l'infrastructure client).

2 - Point 7.1.1.6
=> Nous ne voyons pas à quoi pourrait correspondre le champ 'Type de règlement' exigé ? Il est indiqué entre parenthèse 'transfert' mais sur Kezia II, nous ne gérons pas les transferts tables vers un compte client ou une chambre.

=> La même chose pour le champ Quantité dans la mesure où nous enregistrons une ligne à chaque règlement. Ce champ est également exigé dans les données.

3 - Point 7.2
=> Le numéro de ligne de la table duplicata peut-il correspondre au numéro d'enregistrement géré par HyperFile (WINDEV) ? Nous avons déjà un champ 'Identifiant'.

4 - Point 7.1.4
=> La traçabilité des grands totaux (cf. 7.1.4.2 & 7.1.4.3) est exigée mais il n'existe aucun code s'y apparentant dans la piste d'audit (cf. 7.1.5). L'enregistrement d'un ticket, d'une facture, d'un avoir, d'une annulation par contre-écriture impacte les grands totaux. Nous proposons d'utiliser le code éditeur '999' et d'ajouter les colonnes y faisant référence lorsqu'un enregistrement mouvemente ces totaux. Proposition valable ?

=> Il est mentionné en partie 4 - Définitions - que le 'Grand Total Perpétuel' totalise l'ensemble du CA TTC validé, que les opérations négatives validées (annulations de tickets validés, notes de crédit) sont comptées en positif et incrémentent ce dernier. On parle de valeurs absolues. Les grands totaux (Période et Exercice) se doivent-ils aussi de fonctionner de la même manière (+ et - ) ou non ? Quid des cumuls des Montants TTC ventilés par taux de TVA ... + et - également ?

A vous lire.

MERCI.

Yo!
//hostimage.webdev.info/avatars/cIdt9gZBWwUN9ZAFw8yOA
Registered member
3 messages
Posted on February, 10 2016 - 9:03 AM
###Réponses communiquées par INFOCERT, si ça peut aider ... :

× Point 7.1.1.6

###Exemple table dans Base de données :

ID "Type de règlement" Libellé du mode de règlement
1 "Carte Bancaire" Mastercard
2 "Carte Bancaire" Visa
3 "Ticket Restaurant" Ticket Restaurant
4 "Ticket Restaurant" Chèque Restaurant


× Champ Quantité exigé dans les données :

###Exemple : Si 10 Tickets Restos (1 ligne de règlement « Ticket Resto » avec 10 en quantité)


× Point 7.1.2
Le numéro de ligne peut-il correspondre au numéro d'enregistrement
géré par HyperFile (WINDEV) ?

###Oui, réponse acceptable


× Point 7.1.4
La traçabilité des grands totaux (cf. 7.1.4.2 & 7.1.4.3) est exigée mais ...

###La notion de traçabilité des grands totaux devra être discutée car nous n’en voyons pas
l’intérêt.


× Les grands totaux (Période et Exercice) se doivent-ils aussi de fonctionner de la
même manière (+ et - ) ou non ? Quid des cumuls des Montants TTC ventilés par taux de TVA
... + et - également ?

###OUI
//hostimage.webdev.info/avatars/default.gif
Posted on February, 11 2016 - 6:22 PM
Le 10/02/2016 08:03, Johann K. a écrit :
###Réponses communiquées par INFOCERT, si ça peut aider ... :

× Point 7.1.1.6
###Exemple table dans Base de données :

ID "Type de règlement" Libellé du mode de règlement 1 "Carte
Bancaire" Mastercard 2 "Carte Bancaire" Visa
3 "Ticket Restaurant" Ticket Restaurant 4 "Ticket
Restaurant" Chèque Restaurant

× Champ Quantité exigé dans les données :

###Exemple : Si 10 Tickets Restos (1 ligne de règlement « Ticket Resto »
avec 10 en quantité)

× Point 7.1.2 Le numéro de ligne peut-il correspondre au numéro
d'enregistrement géré par HyperFile (WINDEV) ?

###Oui, réponse acceptable

× Point 7.1.4 La traçabilité des grands totaux (cf. 7.1.4.2 & 7.1.4.3)
est exigée mais ...

###La notion de traçabilité des grands totaux devra être discutée car
nous n’en voyons pas l’intérêt.

× Les grands totaux (Période et Exercice) se doivent-ils aussi de
fonctionner de la même manière (+ et - ) ou non ? Quid des cumuls des
Montants TTC ventilés par taux de TVA ... + et - également ?
###OUI


Désolé, j'étais en déplacement et je ne rentre qu'aujourd'hui.

Au vu des questions (et des réponses) vous avez bien avancé :)

Pour l'effacement par l'utilisateur de la piste d'audit, si cela ne peut
être restreint, cela doit être détecté et tracé.

Bon courage !

Fred.
//hostimage.webdev.info/avatars/cIdt9gZBWwUN9ZAFw8yOA
Registered member
3 messages
Posted on February, 22 2016 - 9:07 AM
Merci pour la réponse concernant la piste d'audit.

Excellente journée Fred.
//hostimage.webdev.info/avatars/T9qhmx8ipNkmOmx8YfpQ
Registered member
161 messages
Posted on February, 29 2016 - 2:12 PM
Bonjour

Par rapport a la loi de finance 2016, le site du service public a fait un article
https://www.service-public.fr/professionnels-entreprises/actualites/A10279

Dans cet article nous trouvons :
À partir du 1er janvier 2018, devient obligatoire l'utilisation d'un logiciel de gestion ou d'un système de caisse satisfaisant aux conditions d'inaltérabilité, de sécurisation, de conservation et d'archivage des données, attestées par un certificat délivré par un organisme accrédité ou par une attestation individuelle délivrée par l'éditeur.

Nous avons demande au site du service public, ce que voulez dire "par une attestation individuelle délivrée par l'éditeur." et que devait contenir cette attestation, reponse du site

Un texte réglementaire (décret ou arrêté) doit venir fixer ce modèle d'attestation. Il n'est pas encore paru au JO. L'obligation ne doit entrer en vigueur qu'à partir du 1er janvier 2018. Dès que le modèle d'attestation sera disponible en ligne, nous le référencerons sur service-public.fr.

Est ce quelqu'un a entendu parler de cette attestation ?
La question que l'on se pose, doit on obligatoirement passer par la norme NF 525 ?

Merci
Olivier
//hostimage.webdev.info/avatars/default.gif
Posted on March, 03 2016 - 3:18 PM
Est ce quelqu'un a entendu parler de cette attestation ?

une attestation signé par l’éditeur engage celui-ci a ce que son logiciel soit conforme a l'article "3° bis du I de l'article 286"
c'est a dire invulnérabilité conservation securisation et archivage des données

C'est vague et précis a la fois . Attention je parle de l'attestation et non pas de la certification. Si le but est identique c'est a dire rassurer le client qui utilise un logiciel d'encaissement la démarche est différentes.

La question que l'on se pose, doit on obligatoirement passer par la norme NF 525 ?

Cela n'existe pas la norme NF 525 ... c'est une certification

Si un client utilise un système assujetti a la TVA , il doit a partir du 01/01/2018 fournir une attestation de conformité à l'article 88 de la LF 2016 ou un certificat NF 525. sinon il s'expose à 7500€ d'amendes par système. Le contrôleur connaîtra l'éditeur. Ensuite l'éditeur devra fournir la liste de ses clients qui seront eux mêmes contrôler. c'est légal.
cela revient a dire que même si le client ne se fait pas contrôler directement il peut par le reseau client de son éditeur être rattrapé par la patrouille.


Aujourd'hui un client qui achète un produit sans ce renseigner sur la volonté de l’éditeur a aller dans le sens de l'article 88 est pour moi, fou.
J'ai dis "renseigner" j'ai pas dis que l'éditeur aujourd'hui (Mars 2016) forcement certifié...

D'ici quelques semaines , il ne sera pas possible de vendre des logiciels qui n'ont pas entrepris une démarche sérieuse vers l'article 88.
//hostimage.webdev.info/avatars/T9qhmx8ipNkmOmx8YfpQ
Registered member
161 messages
Posted on March, 03 2016 - 4:07 PM
"La question que l'on se pose, doit on obligatoirement passer par la norme NF 525 ?"
(évidement si on répond au "c'est a dire invulnérabilité conservation sécurisation et archivage des données")

Si je comprends bien l'article du Service Public , je dirais que non , mais le probleme (pour l'instant ;o)) ) c'est que nous n'avons aucune nouvelle de cette fameuse attestation.
//hostimage.webdev.info/avatars/default.gif
Posted on March, 03 2016 - 5:11 PM
Le 03/03/2016 15:07, Olivier PERRIN a écrit :
"La question que l'on se pose, doit on obligatoirement passer par la
norme NF 525 ?"
(évidement si on répond au "c'est a dire invulnérabilité conservation
sécurisation et archivage des données")

Si je comprends bien l'article du Service Public , je dirais que non ,
mais le probleme (pour l'instant ;o)) ) c'est que nous n'avons aucune
nouvelle de cette fameuse attestation.


Bonjour à tous,

A mon avis (je ne suis pas juriste) C'est juste une question de
responsabilités. Il y a les deux cas de figures:

1. Je suis éditeur et je suis certifié NF525, c'est un organisme
extérieur qui est venu contrôler mon travail et qui certifie que je
respecte les règles. En cas de problème (bug ou autre, on est pas
parfait) c'est cet organisme qui va vérifier que l'éditeur est de bonne
foi. Par rapport au fisc on est de bon élèves

2. Je suis éditeur et j'atteste que mon logiciel est conforme, dans le
même cas de figure (bug ou autre) , il n'y a pas de tiers capable de
dire "ce n'est pas volontaire de la part de l'éditeur". A l'éditeur de
se débrouiller pour prouver sa bonne foi et on ne peut pas dire que dans
l'encaissement on ai une bonne réputation.

j'ai suivi la NF525 depuis ses prémisses et malgré cela il y a pas mal
de points sur lesquels on était passé à coté. On pensait être pas mal et
l'audit à blanc que nous avons passé nous a vite fait déchanter et
passer par l'attestation reviendra à dire "Je suis conforme à 100% à la
NF525, je l'ai vérifié moi même".

Fred.
//hostimage.webdev.info/avatars/default.gif
Posted on March, 13 2016 - 1:40 PM
Il faut bien faire la distinction entre la NF525 et les exigences de la loi.

La certification NF525 est valable un an sous conditions , voir
http://www.jdclr.com/files/JDC-LANGUEDOC-NF525-LEO2-Certificat.pdf

Elle a des exigences, qui ne seront publiques (consultable gratuitement mais uniquement en ligne sur le site AFNOR) QUE si la loi l'impose comme référence, auquel cas elle servira de référence mais ne rendra pas pour autant la certification obligatoire.

De toute façon, tant que l'attestation de l'éditeur ne sera pas définie, cette loi sera inapplicable et la certification ne pourra pas être exigée.
//hostimage.webdev.info/avatars/default.gif
Posted on March, 14 2016 - 11:12 AM
Le 13/03/2016 12:40, Execute a écrit :
Il faut bien faire la distinction entre la NF525 et les exigences de la
loi.

La certification NF525 est valable un an sous conditions , voir



Elle a des exigences, qui ne seront publiques (consultable gratuitement
mais uniquement en ligne sur le site AFNOR) QUE si la loi l'impose comme
référence, auquel cas elle servira de référence mais ne rendra pas pour
autant la certification obligatoire.

De toute façon, tant que l'attestation de l'éditeur ne sera pas définie,
cette loi sera inapplicable et la certification ne pourra pas être exigée.



C'est bien ce qu'on essaye de faire comprendre, la NF525 est un
référentiel de ce que demande les impôts (normal, ils ont participé à
l'élaboration)

Tu as la NF, tu es dans les clous et tu colle à la demande, tu ne l'as
pas, à toi d'être sur que tu correspond à la demande et surtout à toi de
le prouver.

Mais il n'est écrit nulle part que la NF est obligatoire.

Fred
//hostimage.webdev.info/avatars/T9qhmx8ipNkmOmx8YfpQ
Registered member
161 messages
Posted on March, 14 2016 - 4:58 PM
Moi ce qui me parait surprenant, c'est quand on pose des questions a la DGFIP

"Cette nouvelle disposition de la loi de finances pour 2016 est très récente et doit faire l'objet de la part de nos services à BERCY d'un Bulletin Officiel des Impôts ( BOI) définissant de manière précise le type de logiciel concerné ainsi que les normes attendus .
A ce jour , ce BOI n'est pas encore paru"

Du cote de la DGFIP rien n'est donc encore officiel et les normes pas encore validées.

Alors sur quelle base AFNOR a crée la norme NF525 ?
//hostimage.webdev.info/avatars/default.gif
Posted on March, 15 2016 - 4:24 PM
Le 14/03/2016 15:58, Olivier PERRIN a écrit :
Moi ce qui me parait surprenant, c'est quand on pose des questions a la
DGFIP
"Cette nouvelle disposition de la loi de finances pour 2016 est très
récente et doit faire l'objet de la part de nos services à BERCY d'un
Bulletin Officiel des Impôts ( BOI) définissant de manière précise le
type de logiciel concerné ainsi que les normes attendus .
A ce jour , ce BOI n'est pas encore paru"

Du cote de la DGFIP rien n'est donc encore officiel et les normes pas
encore validées.

Alors sur quelle base AFNOR a crée la norme NF525 ?


Pour la NF525, la base de travail a été la certif des logiciels
comptables. Ce sont ensuite réunis les gens d'infocert qui avaient déjà
travaillé sur le BOI de 2006 qui concernait l'encaissement, des éditeurs
de logiciels (ceux qui ont fait l'effort de participer), la DGFIP et
différents intervenants.

Le principe était de trouver un moyen de rendre les "tricheries"
impossible ( le plus impossible possible) en sécurisant les données
(signature numérique) et en identifiant les fonctionnalités à risques
(mode école non tracé, éditions non numérotés, effacement non
répertoriées, ...)

Au final des propositions ont été faites par les divers participants,
elles ont étés validées par la DGFIP et formalisées par la NF525.

Fin de l'histoire.

Fred.
//hostimage.webdev.info/avatars/default.gif
Posted on April, 06 2016 - 5:19 PM
La loi a été voté et parue au J.O 2016/01
vous pouvez consulter les sites :
acedise.fr
infocert.fr
et aussi, la page facebook "je suis NF 525" où vous trouverez des informations, conseils.
bien cordialement

Reine-Marie Noblecourt
//hostimage.webdev.info/avatars/default.gif
Posted on November, 29 2016 - 11:15 AM
Bonjour,

je me lance moi aussi dans la certification de mon logiciel d'encaissement et ce sujet m'a déjà bien aidé ! Merci.

Mon logiciel n'est destiné qu'à nos propres magasins et non vendu à des clients.
Je sais que je suis aussi concerné par cette loi, mais je pense qu'il y a des différences avec un éditeur qui vends son outil d'encaissement, connaissez-vous lesquels ?

Concernant la signature numérique, est-ce qu'un certificat auto-signé (avec openSSL) est suffisant ou faut-il en acheter un ?
J'ai fait quelques tests en générant un certificat OpenSSL auto signé en RSA 2048 bits.
Je signe mes données avec et je les encode en base 64 (comme le veut la NF525).
Je me retrouve avec des checksums d'environ 3700 caractères !

Cela me parait énorme : la taille de ma base de données explose !
Je base d'une petite base de données de 16 mo à une base de 760 mo !
L'autre algo de cryptage autorisé est peut être moins gourmand (Ellyptic Curve) ?
Mais je rate peut être quelque chose ?

Merci pour vos réponses.

Note : J'ai déjà acheté les règles NF525 et j'ai prévu de participer à une journée de formation.

Michaël.
//hostimage.webdev.info/avatars/default.gif
Posted on November, 29 2016 - 11:17 AM
Bonjour,

je me lance moi aussi dans la certification de mon logiciel d'encaissement et ce sujet m'a déjà bien aidé ! Merci.

Mon logiciel n'est destiné qu'à nos propres magasins et non vendu à des clients.
Je sais que je suis aussi concerné par cette loi, mais je pense qu'il y a des différences avec un éditeur qui vends son outil d'encaissement, connaissez-vous lesquels ?

Concernant la signature numérique, est-ce qu'un certificat auto-signé (avec openSSL) est suffisant ou faut-il en acheter un ?
J'ai fait quelques tests en générant un certificat OpenSSL auto signé en RSA 2048 bits.
Je signe mes données avec et je les encode en base 64 (comme le veut la NF525).
Je me retrouve avec des chaines signés d'environ 3700 caractères !

Cela me parait énorme : la taille de ma base de données serait multipliée par 40.
L'autre algo de cryptage autorisé est peut être moins gourmand (Ellyptic Curve) ?

Merci pour vos réponses.

Note : J'ai déjà acheté les règles NF525 et j'ai prévu de participer à une journée de formation.

Michaël.
//hostimage.webdev.info/avatars/default.gif
Posted on November, 29 2016 - 1:35 PM
Bonjour

tu es dans un cas très intéressant... Comme tu as les sources de ton
soft, que tu connais les clé d'encryption et tout ce qui concerne la
sécurité, tu peux sans problème trafiquer tes fichiers et recalculer les
checksums pour l'utilisation dans ta propre société...

NF525 n'apporte donc aucune sécurité dans ton cas.

Normalement, le gars qui a les clés du coffre n'est pas aussi le gars
susceptible d'essayer de voler son contenu...


Donc, sauf si NF525 parle spécifiquement de ce cas, je me demande
jusqu'à quel point ca vaut la peine de l'implémenter, du coup.


Cordialement


--
Fabrice Harari
Consultant WinDev, WebDev et WinDev Mobile International

A votre disposition : WXShowroom.com, WXReplication (open source) et
maintenant WXEDM (open source)

Plus d'information sur http://fabriceharari.com


Le 11/29/2016 à 5:17 AM, "ÿÿÿÿÿÿÿ" a écrit :
Bonjour,

je me lance moi aussi dans la certification de mon logiciel
d'encaissement et ce sujet m'a déjà bien aidé ! Merci.

Mon logiciel n'est destiné qu'à nos propres magasins et non vendu à des
clients.
Je sais que je suis aussi concerné par cette loi, mais je pense qu'il y
a des différences avec un éditeur qui vends son outil d'encaissement,
connaissez-vous lesquels ?

Concernant la signature numérique, est-ce qu'un certificat auto-signé
(avec openSSL) est suffisant ou faut-il en acheter un ?
J'ai fait quelques tests en générant un certificat OpenSSL auto signé en
RSA 2048 bits.
Je signe mes données avec et je les encode en base 64 (comme le veut la
NF525).
Je me retrouve avec des chaines signés d'environ 3700 caractères !

Cela me parait énorme : la taille de ma base de données serait
multipliée par 40.
L'autre algo de cryptage autorisé est peut être moins gourmand (Ellyptic
Curve) ?

Merci pour vos réponses.

Note : J'ai déjà acheté les règles NF525 et j'ai prévu de participer à
une journée de formation.

Michaël.
//hostimage.webdev.info/avatars/default.gif
Posted on November, 29 2016 - 1:56 PM
Merci pour ta réponse.

En effet, c'est la question que je me posais, mais je ne peux pas me permettre de m'auto-certifier.
Aujourd'hui mon soft ne répond absolument pas à ces règles.

Je découvre le principe de signature numérique, ainsi que toutes les règles à mettre en place.
Donc je veux être en accord avec la loi et ne pas risquer une amende lors d'une visite dans un de nos magasins parce que j'aurais oublié une notion importante...
//hostimage.webdev.info/avatars/default.gif
Posted on November, 30 2016 - 4:59 PM
En effet, Fabrice a raison.
Autrement dit, on tourne en rond, le serpent se mord la queue.

De nombreuses sociétés, les franchises en autres, sont sur des logiciels maison.

De toute façon cette norme est une aberration totale.
Comme d'habitude, pondue par des théoriciens peu rompus au contraintes du développement logiciel.

Quand à faire payer le concepteur d'une application pour qu'il est accès aux règles, alors là !
//hostimage.webdev.info/avatars/3p2WFxJYv5QPx7d8CbHN5A
Registered member
899 messages
Posted on December, 01 2016 - 7:52 AM
C'est le grand principe de ceux qui pondent des normes, ils ne sont déjà pas forcément du privé, c'est voté par un petit groupe qui prend des décisions en se disant que ce sera mieux pour le peuple.

Ensuite ben faut se rembourser de toutes ces heures que l'on a passé au restau à discuter de ça alors on fait payer. Et si tu ne payes pas ben tu n'as plus le droit de travailler.

Quel beau système...:D

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique
//hostimage.webdev.info/avatars/default.gif
Posted on December, 01 2016 - 8:15 AM
Merci pour vos réponses.

Mais si nous décidons de ne pas l'implémenter, et que nous avons un contrôle, nous devrons nous mettre en règle (c'est à dire conforme à la NF525) dans les 60 jours, ce qui est impossible étant donné les nombreuses règles complexes pour un développeur seul comme moi... Je ne suis même pas sûr d'être capable de le faire en 1 an.
Que feriez-vous à ma place ?
//hostimage.webdev.info/avatars/3p2WFxJYv5QPx7d8CbHN5A
Registered member
899 messages
Posted on December, 01 2016 - 10:10 AM
Tu n'as aucune autre possibilité que de la faire ou alors attendre un contrôle au choix...

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique
//hostimage.webdev.info/avatars/default.gif
Posted on December, 01 2016 - 11:33 AM
Ou bien abandonner ce programme, et en prendre un qui est certifié chez un éditeur...
Ce qui serait peut être la décision la plus sage pour l'avenir...
Je me laisse jusqu'à la fin de l'année pour me décider.
Merci.
//hostimage.webdev.info/avatars/T9qhmx8ipNkmOmx8YfpQ
Registered member
161 messages
Posted on December, 01 2016 - 12:03 PM
@Michael , tu peux aussi voir avec la DGFIP , ce qu'il en pense
//hostimage.webdev.info/avatars/default.gif
Posted on December, 01 2016 - 12:13 PM
ou alors...

Plusieurs développeurs se mettent d'accord pour développer ensemble un
module séparé qui lui sera certifié...

ce serait :
- une boite noire
- un exe séparé (ou un assemblage .net, fait en windev)
- qui ne ferait QUE fournir les fonctions d'écriture et de lecture dans
un fichier facture/caisse
- et qui contiendrait tout le bordel de sécurité
- de windev, on ne ferait que ajouter des factures, ou lire des
factures, avec des fonctions très précises...

De cette manière, chacun pourrait faire sa sauce au niveau saisie, avec
toutes les options nécessaires au métier, et quand ca se réduit à
enregistrer des lignes d'article, hop, on transfère au module certifié

Bonne idée ? Mauvaise idée ?

Cordialement


--
Fabrice Harari
Consultant WinDev, WebDev et WinDev Mobile International

A votre disposition : WXShowroom.com, WXReplication (open source) et
maintenant WXEDM (open source)

Plus d'information sur http://fabriceharari.com


Le 12/1/2016 à 5:33 AM, "ÿÿÿÿÿÿÿ" a écrit :
Ou bien abandonner ce programme, et en prendre un qui est certifié chez
un éditeur...
Ce qui serait peut être la décision la plus sage pour l'avenir...
Je me laisse jusqu'à la fin de l'année pour me décider.
Merci.
//hostimage.webdev.info/avatars/default.gif
Posted on December, 01 2016 - 2:03 PM
Le 01/12/2016 à 06:52, Philippe SB a écrit :
C'est le grand principe de ceux qui pondent des normes, ils ne sont déjà
pas forcément du privé, c'est voté par un petit groupe qui prend des
décisions en se disant que ce sera mieux pour le peuple.

Ensuite ben faut se rembourser de toutes ces heures que l'on a passé au
restau à discuter de ça alors on fait payer. Et si tu ne payes pas ben
tu n'as plus le droit de travailler.
Quel beau système...:D

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique


Pas trop d'accord, j'ai pu participer à l'élaboration de la NF et on est
pas des "gros" ni des énarques. Par contre, sur la centaine (ou plus)
d'éditeur de logiciels, on devait être en effet 4 ou 5 boites de dév
présente. Si on y est allé c'est justement pour pas qu'on nous impose
n'importe quoi et les discussions ont effectivement été rudes.

L'objectif n'a jamais été d'emmerder le monde mais de faire en sorte que
la NF nous "protège" en garantissant qu'on avait fait le nécessaire pour
que notre soft ne soit pas détourné de son usage.

Mais bon ... à l'époque, lorsqu'on évoquait l'idée d'une norme, on se
foutait de notre gueule ... rira bien comme disait l'autre.

Reste l'attestation pour ceux qui sont sur d'eux.

Fred.
//hostimage.webdev.info/avatars/3p2WFxJYv5QPx7d8CbHN5A
Registered member
899 messages
Posted on December, 01 2016 - 3:08 PM
Reste que le coût n'a pas lieu d'être. Je ne vois pas pourquoi on nous obligerait à payer pour respecter une norme qu'on nous oblige à respecter. Dans tout ça ce sont toujours les plus petits qui trinquent.

Perso je ne développe pas (enfin plus) de logiciel de gestion donc ça ne me touche pas pour le moment, mais je reste solidaire de mes compagnons et je dis que si c'est une obligation alors libérons la norme dans le domaine public alors tout le monde aura le droit d'y accéder et de travailler dessus et ceux qui ne se sentent pas les épaules de mettre à jour leur logiciel pourront dans ce cas choisir un autre chemin.

Imagine que demain tu veuilles intégrer un module de prélèvement SEPA et que l'on te dise: "D'accord mais avant toute chose c'est 2 000 €". Eh bien tu réfléchirais à 2 fois avant de te lancer dans un module dont tu ne sais pas si tu iras jusqu'au bout car peut-être trop pénalisant en temps par rapport au bénéfice que tu en retirerais...

Je ne pense pas que cette norme soit une aberration mais que la manière de la faire appliquer est complètement inéquitable. Pour une entreprise comme Sage, le coût ne représentera pas la même chose que pour une petite boîte ou un auto-entrepreneur qui peine déjà à sortir la tête de l'eau vu le poids des charges qui pèsent sur lui.

Voilà réellement mon point de vue là-dessus.

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique
Message modified, December, 01 2016 - 3:11 PM
//hostimage.webdev.info/avatars/default.gif
Posted on December, 02 2016 - 10:43 AM
Le 01/12/2016 à 14:08, Philippe SB a écrit :
Reste que le coût n'a pas lieu d'être. Je ne vois pas pourquoi on nous
obligerait à payer pour respecter une norme qu'on nous oblige à
respecter. Dans tout ça ce sont toujours les plus petits qui trinquent.

Perso je ne développe pas (enfin plus) de logiciel de gestion donc ça ne
me touche pas pour le moment, mais je reste solidaire de mes compagnons
et je dis que si c'est une obligation alors libérons la norme dans le
domaine public alors tout le monde aura le droit d'y accéder et de
travailler dessus et ceux qui ne se sentent pas les épaules de mettre à
jour leur logiciel pourront dans ce cas choisir un autre chemin.

Imagine que demain tu veuilles intégrer un module de prélèvement SEPA et
que l'on te dise: "D'accord mais avant toute chose c'est 2 000 €". Eh
bien tu réfléchirais à 2 fois avant de te lancer dans un module dont tu
ne sais pas si tu iras jusqu'au bout car peut-être trop pénalisant en
temps par rapport au bénéfice que tu en retirerais...

Je ne pense pas que cette norme soit une aberration mais que la manière
de la faire appliquer est complètement inéquitable. Pour une entreprise
comme Sage, le coût ne représentera pas la même chose que pour une
petite boîte ou un auto-entrepreneur qui peine déjà à sortir la tête de
l'eau vu le poids des charges qui pèsent sur lui.

Voilà réellement mon point de vue là-dessus.

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique


C'est pourquoi la certification n'est pas obligatoire et que tu as le
choix de l'attestation.

Pour la connexion avec les balances c'est même pire, les protocoles sont
libres, par contre pour pouvoir connecter la balance à ton soft tu dois
le faire certifier auprès du LNE (ou autre organisme de certification)
et tu claque plusieurs milliers d'euro. Et à chaque modification de la
partie certifié tu dois recommencer.

Fred.
//hostimage.webdev.info/avatars/default.gif
Posted on December, 12 2016 - 9:54 AM
Bonjour,

merci à tous pour vos différents points vues très intéressant.
Nous allons donc nous lancer dans cette certification...

Pour parler un peu plus technique, quelqu'un pourrait m'éclairer sur l'autre partie de ma question initiale :

Concernant la signature numérique, est-ce qu'un certificat auto-signé (avec openSSL) est suffisant ou faut-il en acheter un ?
J'ai fait quelques tests en générant un certificat OpenSSL auto signé en RSA 2048 bits.
Je signe mes données avec et je les encode en base 64 (comme le veut la NF525) et je me retrouve avec des chaines signés d'environ 3700 caractères !

Ce checksum doit donc être appliqué aux entêtes de ticket, aux lignes de ticket ainsi qu'aux lignes de paiement (je n'oublie rien ?).
Cela me parait énorme : la taille de ma base de données serait multipliée par 40.
L'autre algo de cryptage autorisé est peut être moins gourmand (Ellyptic Curve) ?
Mais pour ce dernier j'ai passé plusieurs heures à essayer de générer un certificat mais ça ne fonctionne pas.

Merci pour votre aide.

Michaël.
//hostimage.webdev.info/avatars/default.gif
Posted on December, 13 2016 - 5:11 PM
Le 12/12/2016 à 08:54, "ÿÿÿÿÿÿÿ" a écrit :
Bonjour,

merci à tous pour vos différents points vues très intéressant.
Nous allons donc nous lancer dans cette certification...

Pour parler un peu plus technique, quelqu'un pourrait m'éclairer sur
l'autre partie de ma question initiale :

Concernant la signature numérique, est-ce qu'un certificat auto-signé
(avec openSSL) est suffisant ou faut-il en acheter un ?
J'ai fait quelques tests en générant un certificat OpenSSL auto signé en
RSA 2048 bits.
Je signe mes données avec et je les encode en base 64 (comme le veut la
NF525) et je me retrouve avec des chaines signés d'environ 3700
caractères !

Ce checksum doit donc être appliqué aux entêtes de ticket, aux lignes de
ticket ainsi qu'aux lignes de paiement (je n'oublie rien ?).
Cela me parait énorme : la taille de ma base de données serait
multipliée par 40.
L'autre algo de cryptage autorisé est peut être moins gourmand (Ellyptic
Curve) ? Mais pour ce dernier j'ai passé plusieurs heures à essayer de
générer un certificat mais ça ne fonctionne pas.

Merci pour votre aide.

Michaël.



Salut,

Nous on est parti sur un duo clé publique / clé privé généré en interne,
par contre notre signature ne fait pas 3700 caractères mais moins de 60.

Tu es sur que tu n'as pas fait un cryptage au lieu d'une signature ?

Fred.
//hostimage.webdev.info/avatars/default.gif
Posted on December, 14 2016 - 8:52 AM
Salut Fred,

ce n'est pas la signature qui fait 3700 caractères mais les données signées qui sont sur chaque ligne.

Quand je génère ma clé avec OpenSSL je choisis de crypter en RSA 2048 bits comme indiqué dans les règles de la NF525.
Je fais un certificat Windows avec cette clé, et je l'utilise dans Windev pour signer mes lignes.

J'ai mal compris ?
//hostimage.webdev.info/avatars/default.gif
Posted on December, 14 2016 - 4:52 PM
Le 14/12/2016 à 07:52, "ÿÿÿÿÿÿÿ" a écrit :
Salut Fred,

ce n'est pas la signature qui fait 3700 caractères mais les données
signées qui sont sur chaque ligne.

Quand je génère ma clé avec OpenSSL je choisis de crypter en RSA 2048
bits comme indiqué dans les règles de la NF525.
Je fais un certificat Windows avec cette clé, et je l'utilise dans
Windev pour signer mes lignes.

J'ai mal compris ?


Tu dis bien que tu choisis de crypter en RSA et pas de signer. Le
cryptage indique que tu dois pouvoir décrypter et retrouver les données
d'origine, ce qui n'est pas le cas d'une signature (qui correspond à un
checksum)

Bon dev,

Fred.
//hostimage.webdev.info/avatars/default.gif
Posted on December, 14 2016 - 7:20 PM
ou plutot à un Hash

Le 12/14/2016 à 10:52 AM, Fredo a écrit :
Le 14/12/2016 à 07:52, "ÿÿÿÿÿÿÿ" a écrit :
Salut Fred,

ce n'est pas la signature qui fait 3700 caractères mais les données
signées qui sont sur chaque ligne.

Quand je génère ma clé avec OpenSSL je choisis de crypter en RSA 2048
bits comme indiqué dans les règles de la NF525.
Je fais un certificat Windows avec cette clé, et je l'utilise dans
Windev pour signer mes lignes.

J'ai mal compris ?

Tu dis bien que tu choisis de crypter en RSA et pas de signer. Le
cryptage indique que tu dois pouvoir décrypter et retrouver les données
d'origine, ce qui n'est pas le cas d'une signature (qui correspond à un
checksum)

Bon dev,

Fred.
//hostimage.webdev.info/avatars/default.gif
Posted on December, 15 2016 - 9:53 AM
Bonjour,

J'ai également le même problème, le cryptage de ma chaine est limité à
environ 200 caractères avec le RSA, et ma chaine cryptée me renvoie une
chaine de 1050 caractères. Et comme on doit chainer les enregistrements
avec la précédente chaine cryptée, j'ai un big problème.
Comment peut on faire ?

Merci



Fredo vient de nous annoncer :
Le 14/12/2016 à 07:52, "ÿÿÿÿÿÿÿ" a écrit :
Salut Fred,

ce n'est pas la signature qui fait 3700 caractères mais les données
signées qui sont sur chaque ligne.

Quand je génère ma clé avec OpenSSL je choisis de crypter en RSA 2048
bits comme indiqué dans les règles de la NF525.
Je fais un certificat Windows avec cette clé, et je l'utilise dans
Windev pour signer mes lignes.

J'ai mal compris ?

Tu dis bien que tu choisis de crypter en RSA et pas de signer. Le cryptage
indique que tu dois pouvoir décrypter et retrouver les données d'origine, ce
qui n'est pas le cas d'une signature (qui correspond à un checksum)

Bon dev,

Fred.
//hostimage.webdev.info/avatars/default.gif
Posted on December, 15 2016 - 11:17 AM
J'ai du mal à comprendre...

Selon la NF525 :
"Le système doit proposer l'apposition d'une signature électronique asymétrique conforme aux recommandations administratives pour les fichiers (au 1er janvier 2014, RSA 2048 bits ou Elliptic Curve (ECDSA) 224 bits au minimum"

Je comprends donc qu'il faut signer ET CRYPTER avec l'un des deux algorithmes.
Non ?

D'ailleurs, je ne pensais pas qu'on pouvait créer un certificat auto-signé, permettant de signer sans crypter ?
Quand on le fait sous OpenSSL, on choisit les commandes pour générer une clé RSA ("genrsa") ou bien une clé ECDSA ("ecparam"), mais c'est tout.

J'espère me faire comprendre.
Merci.
//hostimage.webdev.info/avatars/default.gif
Posted on December, 26 2016 - 2:12 PM
Mickael, as tu trouvé réponse a ton interrogation, vis a vis d'un soft certifié chez un autre éditeur ?
//hostimage.webdev.info/avatars/default.gif
Posted on January, 04 2017 - 10:29 AM
Bonjour,

non, nous n'avons pas cherché d'éditeur.
Nous nous lançons dans la certification de notre propre logiciel.
//hostimage.webdev.info/avatars/default.gif
Posted on January, 04 2017 - 6:07 PM
Le 04/01/2017 à 09:29, "ÿÿÿÿÿÿÿ" a écrit :
Bonjour,

non, nous n'avons pas cherché d'éditeur.
Nous nous lançons dans la certification de notre propre logiciel.


Si vous avez besoin, n'hésitez pas à poser vos questions ici, on est
plusieurs à être passé à la moulinette de la NF, ça peut aider.

Bon courage,

Fred.